Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
mac address コマンド~ mus server コマンド
mac address コマンド~ mus server コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

mac address コマンド~ mus server コマンド

mac address

mac-address

mac-address auto

mac-address-table aging-time

mac-address-table static

mac-learn

mac-list

mail-relay

management-access

management-only

map-name

map-value

mapping-service

mask

mask-banner

mask-syst-reply

match access-list

match active-ftp

match any

match apn

match body

match called-party

match calling-party

match certificate

match cmd

match default-inspection-traffic

match dns-class

match dns-type

match domain-name

match dscp

match ehlo-reply-parameter

match filename

match filetype

match flow ip destination-address

match header

match header-flag

match im-subscriber

match invalid-recipients

match ip address

match ip next-hop

match ip route-source

match login-name

match media-type

match message id

match message length

match message-path

match mime

match passive-ftp

match peer-ip-address

match peer-login-name

match port

match precedence

match protocol

match question

match req-resp

match request-command

match request-method

match request method

match route-type

match rtp

match sender-address

match server

match service

match third-party-registration

match tunnel-group

match uri

match url-filter

match username

match version

max-failed-attempts

max-forwards-validation

max-header-length

max-object-size

max-retry-attempts

max-uri-length

mcc

media-termination

media-type

member

member-interface

memberof

memory delayed-free-poisoner enable

memory delayed-free-poisoner validate

memory caller-address

memory profile enable

memory profile text

memory-size

memory tracking enable

message-length

mfib forwarding

min-object-size

mkdir

mode

monitor-interface

more

mount(CIFS)

mount(FTP)

mroute

mschapv2-capable

msie-proxy except-list

msie-proxy local-bypass

msie-proxy lockdown

msie-proxy method

msie-proxy pac-url

msie-proxy server

mtu

multicast boundary

multicast-routing

mus

mus password

mus server

mac address コマンド~ mus server コマンド

mac address

アクティブ装置およびスタンバイ装置の仮想 MAC アドレスを指定するには、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用します。デフォルトの仮想 MAC アドレスに戻すには、このコマンドの no 形式を使用します。

mac address phy_if [ active_mac ] [ standby_mac ]

no mac address phy_if [ active_mac ] [ standby_mac ]

 
構文の説明

phy_if

MAC アドレスを設定するインターフェイスの物理名です。

active_mac

アクティブ装置の仮想 MAC アドレスです。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。

standby_mac

スタンバイ装置の仮想 MAC アドレスです。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。

 
デフォルト

デフォルトは次のとおりです。

アクティブ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01。

スタンバイ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

仮想 MAC アドレスがフェールオーバー グループに定義されていない場合、デフォルト値が使用されます。

同じネットワークに複数の Active/Active フェールオーバー ペアがある場合、あるペアのインターフェイスと別のペアのインターフェイスに同じデフォルトの仮想 MAC アドレスが割り当てられている可能性があります。これは、デフォルトの仮想 MAC アドレスを決定する方法が原因です。ネットワーク上での MAC アドレスの重複を回避するには、物理インターフェイスそれぞれに仮想アクティブ MAC アドレスと仮想スタンバイ MAC アドレスを割り当てます。

次の例(抜粋)では、フェールオーバー グループに対して適用可能なコンフィギュレーションを示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover mac address

物理インターフェイスの仮想 MAC アドレスを指定します。

mac-address

インターフェイスまたはサブインターフェイスにプライベート MAC アドレスを手動で割り当てるには、インターフェイス コンフィギュレーション モードで mac-address コマンドを使用します。マルチ コンテキスト モードでは、このコマンドを使用するとコンテキストそれぞれのインターフェイスに異なる MAC アドレスを割り当てることができます。MAC アドレスをデフォルトに戻すには、このコマンドの no 形式を使用します。

mac-address mac_address [ standby mac_address ]

no mac-address [ mac_address [ standby mac_address ]]

 
構文の説明

mac_address

このインターフェイスの MAC アドレスを H.H.H 形式で設定します。ここで、H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。フェールオーバーを使用する場合、この MAC アドレスはアクティブ MAC アドレスになります。

コマンド)は A2 で始まるため、自動生成も使用する場合には、手動作成の MAC アドレスを A2 で始めることはできません。

standby mac_address

(任意)フェールオーバーのためにスタンバイ MAC アドレスを設定します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、ネットワークの中断を最小化するために新しいアクティブ装置がアクティブ MAC アドレスの使用を開始し、元のアクティブ装置がスタンバイ アドレスを使用します。

 
デフォルト

デフォルトの MAC アドレスは、物理インターフェイスのバーンドイン MAC アドレスです。サブインターフェイスは物理インターフェイスの MAC アドレスを継承します。一部のコマンドは物理インターフェイスの MAC アドレス(シングル モードでのこのコマンドを含む)を設定します。したがって、継承されるアドレスはそのコンフィギュレーションによって異なります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(5)/8.2(2)

mac-address auto コマンドも使用する場合、A2 で始まる MAC アドレスの使用が制限されるようになりました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、コンテキスト間で 1 つのインターフェイスを共有する場合、コンテキストそれぞれのインターフェイスに固有の MAC アドレスを割り当てることができます。この機能を使用すると、適応型セキュリティ アプライアンスでパケットを適切なコンテキストに容易に分類できます。固有の MAC アドレスを使用せずに共有インターフェイスを使用することは可能ですが、制限があります。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

このコマンドを使用して各 MAC アドレスを手動で割り当てることができます。または、 mac-address auto コマンドを使用して、コンテキストの共有インターフェイスのための MAC アドレスを自動的に生成できます。MAC アドレスを自動で生成した場合、 mac-address コマンドを使用して、生成されアドレスを上書きできます。

シングル コンテキスト モード、またはマルチ コンテキスト モードでインターフェイスを共有していない場合、固有の MAC アドレスをサブインターフェイスに割り当てる必要があります。たとえば、サービス プロバイダーは MAC アドレスに基づいてアクセス制御を行う場合があります。

他のコマンドまたは方式で MAC アドレスを設定することもできます。MAC アドレスの設定方法には次の優先順位があります。

1. インターフェイス コンフィギュレーション モードの mac-address コマンド。

このコマンドは、物理インターフェイスとサブインターフェイスに対して使用します。マルチ コンテキスト モードでは、MAC アドレスを各コンテキスト内で設定します。この機能を使用すると、複数のコンテキストの同じインターフェイスに異なる MAC アドレスを設定できます。

2. グローバル コンフィギュレーション モードでの Active/Standby フェールオーバーのための failover mac address コマンド。

このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

3. フェールオーバー グループ コンフィギュレーション モードでの Active/Active フェールオーバーのための mac address コマンド。

このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

4. グローバル コンフィギュレーション モードでの mac-address auto コマンド(マルチ コンテキスト モードのみ)。

このコマンドは、コンテキストの共有インターフェイスに適用されます。

5. Active/Active フェールオーバーの場合の物理インターフェイスのためのアクティブ MAC アドレスおよびスタンバイ MAC アドレスの自動生成。

この方法は、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

6. バーンドイン MAC アドレス。この方法は、物理インターフェイスに適用されます。

サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

次の例では、GigabitEthernet 0/1.1 の MAC アドレスを設定します。

hostname/contextA(config)# interface gigabitethernet0/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# mac-address 030C.F142.4CDE standby 040C.F142.4CDE
hostname/contextA(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

failover mac address

Active/Standby フェールオーバーの物理インターフェイスに対して、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定します。

mac address

Active/Active フェールオーバーの物理インターフェイスに対して、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定します。

mac-address auto

マルチ コンテキスト モードでの共有インターフェイスの MAC アドレス(アクティブおよびスタンバイ)を自動生成します。

mode

セキュリティ コンテキスト モードをマルチまたはシングルに設定します。

show interface

MAC アドレスを含む、インターフェイスの特性を表示します。

mac-address auto

共有コンテキスト インターフェイスそれぞれにプライベート MAC アドレスを自動的に割り当てるには、グローバル コンフィギュレーション モードで mac-address auto コマンドを使用します。MAC アドレスの自動割り当てをディセーブルにするには、このコマンドの no 形式を使用します。

mac-address auto prefix prefix

no mac-address auto

 
構文の説明

prefix prefix

MAC アドレスの一部として使用するプレフィクスを設定します。 prefix は、0 ~ 65535 の 10 進値です。このプレフィクスは、4 桁の 16 進数に変換されます。このプレフィクスによって、適応型セキュリティ アプライアンスそれぞれが固有の MAC アドレスを使用するようになります。したがって、たとえば 1 つのネットワーク セグメント上で複数の適応型セキュリティ アプライアンスを使用できます。プレフィクスの使用法の詳細については、「MAC アドレス形式」の項を参照してください。

 
デフォルト

デフォルトでは、自動生成はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(5)/8.2(2)

prefix キーワードが追加されました。プレフィクスの使用、固定開始値(A2)の使用、およびフェールオーバー ペアでプライマリ装置とセカンダリ装置の MAC アドレスに対して異なる方式の使用が可能になるように MAC アドレス形式が変更されました。MAC アドレスは、リロード後でも固定されたままになりました。コマンド パーサーは、自動生成がイネーブルかどうかをチェックするようになりました。手動でも MAC アドレスを割り当てる場合、手動作成の MAC アドレスを A2 で始めることはできません。

 
使用上のガイドライン

コンテキストの複数のインターフェイスを共有するためには、共有コンテキスト インターフェイスそれぞれに固有の MAC アドレスを割り当てることを推奨します。MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。1 つのインターフェイスを共有しているが、コンテキストそれぞれのインターフェイスに固有の MAC アドレスがない場合、パケットを分類するために宛先 IP アドレスが使用されます。宛先 IP アドレスはコンテキスト NAT コンフィギュレーションと一致しますが、この方式は MAC アドレス方式と比較すると制限があります。パケットの分類の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

生成された MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合するというまれなケースでは、コンテキスト内でインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスを手動で設定する方法については、 mac-address コマンドを参照してください。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

自動生成 MAC アドレスは、すべて A2 で始まります。自動生成 MAC アドレスはリロード後も固定されたままです。

手動で作成した MAC アドレスとの相互作用

MAC アドレスを手動で割り当て、自動生成もイネーブルにした場合、手動で割り当てられた MAC アドレスが使用されます。手動で作成した MAC アドレスを後で削除すると、自動生成されたアドレスが使用されます。

自動で生成されるアドレスは A2 で始まるため、自動生成も使用する場合には、手動作成の MAC アドレスを A2 で始めることはできません。

フェールオーバー用の MAC アドレス

フェールオーバーで使用する場合、適応型セキュリティ アプライアンスはインターフェイスそれぞれのアクティブ MAC アドレスとスタンバイ MAC アドレスの両方を生成します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、ネットワークの中断を最小化するために、新しいアクティブ装置がアクティブ MAC アドレスの使用を開始します。詳細については、「MAC アドレス形式」の項を参照してください。

prefix キーワードが導入される前の古いバージョンの mac-address auto コマンドを使用してフェールオーバー装置をアップグレードする場合、「プレフィクス キーワードを使用していないときの古い MAC アドレス形式」の項を参照してください。

MAC アドレス形式

適応型セキュリティ アプライアンスは、次の形式で MAC アドレスを生成します。

A2xx.yyzz.zzzz

ここで xx.yy はユーザ定義のプレフィクスで zz.zzzz は適応型セキュリティ アプライアンスが生成する内部カウンタです。スタンバイ MAC アドレスは、内部カウンタが 1 増えている以外は同じです。

プレフィクスの使用方法の例として、プレフィクスを 77 に設定すると、適応型セキュリティ アプライアンスは 77 を 16 進値 004D(yyxx)に変換します。MAC アドレスで使用される場合、このプレフィクスは適応型セキュリティ アプライアンスの元の形式と一致するように逆(xxyy)にされます。

A2 4D.00 zz.zzzz

プレフィクスが 1009(03F1)の場合、MAC アドレスは次のようになります。

A2 F1.03 zz.zzzz

いつ MAC アドレスが生成されるか

コンテキストのインターフェイスに nameif コマンドを設定すると、すぐに新しい MAC アドレスが生成されます。コンテキスト インターフェイスを設定した後にこのコマンドをイネーブルにすると、このコマンドを入力した直後にすべてのインターフェイスの MAC アドレスが生成されます。 no mac-address auto コマンドを使用すると、インターフェイスそれぞれの MAC アドレスがデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは GigabitEthernet 0/1 の MAC アドレスを使用するように元に戻ります。

他の方式を使用した MAC アドレスの設定

他のコマンドまたは方式で MAC アドレスを設定することもできます。MAC アドレスの設定方法には次の優先順位があります。

1. インターフェイス コンフィギュレーション モードの mac-address コマンド。

このコマンドは、物理インターフェイスとサブインターフェイスに対して使用します。マルチ コンテキスト モードでは、MAC アドレスを各コンテキスト内で設定します。この機能を使用すると、複数のコンテキストの同じインターフェイスに異なる MAC アドレスを設定できます。

2. グローバル コンフィギュレーション モードでの Active/Standby フェールオーバーのための failover mac address コマンド。

このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

3. フェールオーバー グループ コンフィギュレーション モードでの Active/Active フェールオーバーのための mac address コマンド。

このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

4. グローバル コンフィギュレーション モードでの mac-address auto コマンド(マルチ コンテキスト モードのみ)。

このコマンドは、コンテキストの共有インターフェイスに適用されます。

5. Active/Active フェールオーバーの場合の物理インターフェイスのためのアクティブ MAC アドレスおよびスタンバイ MAC アドレスの自動生成。

この方法は、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

6. バーンドイン MAC アドレス。この方法は、物理インターフェイスに適用されます。

サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。

システム設定での MAC アドレスの表示

割り当てられた MAC アドレスをシステム実行スペースから表示するには、 show running-config all context コマンドを入力します。

割り当てられた MAC アドレスを表示するには、 all オプションが必要です。このコマンドはグローバル コンフィギュレーション モードでのみユーザ設定可能ですが、割り当てられた MAC アドレスとともに各コンテキストの設定に読み取り専用入力として mac-address auto コマンドが表示されます。コンテキスト内で nameif コマンドを使用して設定される、割り当てられたインターフェイスのみに MAC アドレスが割り当てられます。


) インターフェイスに手動で MAC アドレスを割り当てたが、自動生成もイネーブルにしている場合、手動で割り当てた MAC アドレスが使用中のアドレスだとしても自動生成アドレスがコンフィギュレーションに表示され続けます。手動で割り当てた MAC アドレスを後で削除すると、表示されている自動生成のアドレスが使用されます。


コンテキスト内での MAC アドレスの表示

コンテキスト内で各インターフェイスが使用している MAC アドレスを表示するには、 show interface | include (Interface)|(MAC) コマンドを入力します。


show interface コマンドを使用すると、使用中の MAC アドレスが表示されます。手動で MAC アドレスを割り当て、自動生成もイネーブルにしている場合、システム設定内から使用していない自動生成アドレスのみを表示できます。


プレフィクス キーワードを使用していないときの古い MAC アドレス形式

バージョン 8.0(5) よりも前は、 mac-address auto コマンドに prefix キーワードは含まれていませんでした。この古いバージョンのコマンドはまだ使用でき、フェールオーバー ペア間のアップグレードを実行できます。このコマンドは、アップグレード時に自動的に変換されません。したがって、このコマンドはアップグレードされたフェールオーバー装置とアップグレードされていないフェールオーバー装置の照合を継続します。両方の装置を新しいソフトウェア バージョンにアップグレードした後、このコマンドを prefix キーワードを使用するように変更する必要があります。

prefix キーワードがない場合、MAC アドレスは次の形式で生成されます。

アクティブ装置の MAC アドレス:12_ slot . port _ subid . contextid

スタンバイ装置の MAC アドレス:02_ slot . port _ subid . contextid

インターフェイス スロットのないプラットフォームの場合、スロットは常に 0 です。 port はインターフェイスのポートです。 subid は、サブインターフェイスの内部 ID です。これは表示できません。 contextid は、コンテキストの内部 ID です。 show context detail コマンドを使用して表示できます。たとえば、ID が 1 のコンテキストのインターフェイス GigabitEthernet 0/1.200 には生成された次の MAC アドレスがあります。ここでサブインターフェイス 200 の内部 ID は 31 です。

アクティブ:1200.0131.0001

スタンバイ:0200.0131.0001

この古い MAC アドレス生成方式では、リロード後に MAC アドレスを固定できず、同じネットワーク セグメントに複数の適応型セキュリティ アプライアンスが存在できず(固有の MAC アドレスが保証されないため)、MAC アドレスと手動で割り当てられた MAC アドレスの重複を防止できません。

次の例では、プレフィクスが 78 の自動 MAC アドレス生成をイネーブルにします。

hostname(config)# mac-address auto prefix 78
 

show running-config all context admin コマンドによる次の出力は、Management0/0 インターフェイスに割り当てられたプライマリおよびスタンバイの MAC アドレスを示します。

hostname# show running-config all context admin
 
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a24d.0000.1440 a24d.0000.1441
config-url disk0:/admin.cfg
 

show running-config all context コマンドによる次の出力は、すべてのコンテキスト インターフェイスに対するすべての MAC アドレス(プライマリとスタンバイ)を示します。GigabitEthernet0/0 と GigabitEthernet0/1 のメイン インターフェイスは、コンテキスト内の nameif コマンドを使用して設定されていないため、これらに対して MAC アドレスは生成されていません。

 
hostname# show running-config all context
 
admin-context admin
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a2d2.0400.125a a2d2.0400.125b
config-url disk0:/admin.cfg
!
 
context CTX1
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11bc a2d2.0400.11bd
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11c0 a2d2.0400.11c1
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c4 a2d2.0400.11c5
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c8 a2d2.0400.11c9
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11cc a2d2.0400.11cd
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120c a2d2.0400.120d
mac-address auto GigabitEthernet0/1.2 a2d2.0400.1210 a2d2.0400.1211
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1214 a2d2.0400.1215
config-url disk0:/CTX1.cfg
!
 
context CTX2
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11ba a2d2.0400.11bb
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11be a2d2.0400.11bf
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c2 a2d2.0400.11c3
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c6 a2d2.0400.11c7
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11ca a2d2.0400.11cb
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120a a2d2.0400.120b
mac-address auto GigabitEthernet0/1.2 a2d2.0400.120e a2d2.0400.120f
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1212 a2d2.0400.1213
config-url disk0:/CTX2.cfg
!

 
関連コマンド

コマンド
説明

failover mac address

Active/Standby フェールオーバーの物理インターフェイスに対して、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定します。

mac address

Active/Active フェールオーバーの物理インターフェイスに対して、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定します。

mac-address

物理インターフェイスまたはサブインターフェイスの MAC アドレス(アクティブとスタンバイ)を手動で設定します。マルチ コンテキスト モードでは、同じインターフェイスに対して、コンテキストごとにそれぞれ別の MAC アドレスを設定することができます。

mode

セキュリティ コンテキスト モードをマルチまたはシングルに設定します。

show interface

MAC アドレスを含む、インターフェイスの特性を表示します。

mac-address-table aging-time

MAC アドレス テーブルのエントリにタイムアウトを設定するには、グローバル コンフィギュレーション モードで mac-address-table aging-time コマンドを使用します。デフォルト値の 5 分に戻すには、このコマンドの no 形式を使用します。

mac-address-table aging-time timeout_value

no mac-address-table aging-time

 
構文の説明

timeout_value

MAC アドレス エントリがタイムアウトになるまでに MAC アドレス テーブルに留まる時間です。5 ~ 720 分(12 時間)です。デフォルトは 5 分です。

 
デフォルト

デフォルトのタイムアウトは 5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

使用上のガイドラインはありません

次の例では、MAC アドレスのタイムアウトを 10 分に設定します。

hostname(config)# mac-address-timeout aging time 10
 

 
関連コマンド

コマンド
説明

arp-inspection

ARP パケットとスタティック ARP エントリを比較する ARP インスペクションをイネーブルにします。

firewall transparent

ファイアウォール モードをトランスペアレントに設定します。

mac-address-table static

MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

mac-learn

MAC アドレス ラーニングをディセーブルにします。

show mac-address-table

ダイナミック エントリおよびスタティック エントリを含む MAC アドレス テーブルを表示します。

mac-address-table static

MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入るときに MAC アドレス テーブルに動的に追加されます。必要な場合、MAC アドレス テーブルにスタティック MAC アドレスを追加できます。スタティック エントリを追加する 1 つの利点は、MAC スプーフィングを防ぐことです。スタティック エントリとして同じ MAC アドレスを持つクライアントがこのスタティック エントリと一致しないインターフェイスにトラフィックを送信しようとすると、適応型セキュリティ アプライアンスはこのトラフィックをドロップし、システム メッセージを生成します。

mac-address-table static interface_name mac_address

no mac-address-table static interface_name mac_address

 
構文の説明

interface_name

送信元インターフェイスです。

mac_address

テーブルに追加する MAC アドレスです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

hostname(config)# mac-address-table static inside 0010.7cbe.6101
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

firewall transparent

ファイアウォール モードをトランスペアレントに設定します。

mac-address-table aging-time

ダイナミック MAC アドレス エントリのタイムアウトを設定します。

mac-learn

MAC アドレス ラーニングをディセーブルにします。

show mac-address-table

MAC アドレス テーブルのエントリを表示します。

mac-learn

インターフェイスの MAC アドレス ラーニングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-learn コマンドを使用します。MAC アドレス ラーニングを再度イネーブルにするには、このコマンドの no 形式を使用します。デフォルトでは、各インターフェイスは入力トラフィックの MAC アドレスを自動的にラーニングし、適応型セキュリティ アプライアンスは対応するエントリを MAC アドレス テーブルに追加します。必要な場合、MAC アドレス ラーニングをディセーブルにできます。

mac-learn interface_name disable

no mac-learn interface_name disable

 
構文の説明

interface_name

MAC ラーニングをディセーブルにするインターフェイスです。

disable

MAC ラーニングをディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、外部インターフェイスの MAC ラーニングをディセーブルにします。

hostname(config)# mac-learn outside disable
 

 
関連コマンド

コマンド
説明

clear configure mac-learn

mac-learn 設定をデフォルトに設定します。

firewall transparent

ファイアウォール モードをトランスペアレントに設定します。

mac-address-table static

MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

show mac-address-table

ダイナミック エントリおよびスタティック エントリを含む MAC アドレス テーブルを表示します。

show running-config mac-learn

mac-learn 設定を表示します。

mac-list

MAC アドレスの認証や認可を免除するために使用する MAC アドレスのリストを指定するには、グローバル コンフィギュレーション モードで mac- list コマンドを使用します。MAC リストのエントリを削除するには、このコマンドの no 形式を使用します。

mac-list id { deny | permit } mac macmask

no mac-list id { deny | permit } mac macmask

 
構文の説明

deny

この MAC アドレスと一致するトラフィックは、MAC リストと一致せず、 aaa mac-exempt コマンドで指定されると認証と認可の両方の対象になることを示します。ffff.ffff.0000 などの MAC アドレス マスクを使用する MAC アドレスの範囲を許可し、この範囲の MAC アドレスを強制的に認証および認可の対象にする場合は、MAC リストに拒否エントリを追加する必要がある場合があります。

id

16 進の MAC アクセス リスト番号を指定します。MAC アドレスのセットをグループ化するには、同じ ID 値を使用して必要な数だけ mac-list コマンドを入力します。パケットは、一致率が最も高いアドレスを使用するのではなく、最初に一致するエントリを使用するため、エントリの順序が重要です。許可エントリがあり、この許可エントリが許可しているアドレスを拒否する場合、許可エントリの前に拒否エントリを入力します。

mac

送信元 MAC アドレスを 12 桁の 16 進数形式で指定します。つまり nnnn.nnnn.nnnn となります。

macmask

照合に使用する MAC アドレスの一部を指定します。たとえば、ffff.ffff.ffff が MAC アドレスと完全に一致するとします。ffff.ffff.0000 は最初の 8 桁のみが一致します。

permit

この MAC アドレスと一致するトラフィックは、MAC リストと一致し、 aaa mac-exempt コマンドで指定されると認証と認可の両方の対象から免除されることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

MAC アドレスの認証および認可の対象からの免除をイネーブルにするには、 aaa mac-exempt コマンドを使用します。追加できる aaa mac-exempt コマンドのインスタンスは 1 つのみです。したがって、免除するすべての MAC アドレスを MAC リストに入れてください。複数の MAC リストを作成できますが、使用できるのは一度に 1 つだけです。

次に、1 つの MAC アドレスについての認証をバイパスする例を示します。

hostname(config)# mac-list abc permit 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# aaa mac-exempt match abc
 

次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。

hostname(config)# mac-list acd permit 0003.E300.0000 FFFF.FF00.0000
hostname(config)# aaa mac-exempt match acd
 

次の例では、00a0.c95d.02b2 を除く MAC アドレスのグループについて認証をバイパスします。permit ステートメントの前に deny ステートメントを入力します。これは、00a0.c95d.02b2 が permit ステートメントとも一致するため、permit ステートメントが先にあると deny ステートメントが一致しなくなるためです。

hostname(config)# mac-list 1 deny 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# mac-list 1 permit 00a0.c95d.0000 ffff.ffff.0000
hostname(config)# aaa mac-exempt match 1
 

 
関連コマンド

コマンド
説明

aaa authentication

ユーザ認証をイネーブルにします。

aaa authorization

ユーザ認可サービスをイネーブルにします。

aaa mac-exempt

MAC アドレスのリストを認証と認可の対象から免除します。

clear configure mac-list

mac-list コマンドで以前指定した MAC アドレスのリストを削除します。

show running-config mac-list

mac-list コマンドで以前指定された MAC アドレスのリストを表示します。

mail-relay

ローカル ドメイン名を設定するには、パラメータ コンフィギュレーション モードで mail-relay コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

mail-relay domain_name action {drop-connection | log}

no mail-relay domain_name action {drop-connection | log}

 
構文の説明

domain_name

ドメイン名を指定します。

drop-connection

接続を閉じます。

log

システム ログ メッセージを生成します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、特定のドメインにメール リレーを設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# mail-relay mail action drop-connection
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

management-access

VPN を使用したときに適応型セキュリティ アプライアンスを入力した入力元のインターフェイス以外のインターフェイスへの管理アクセスを許可するには、グローバル コンフィギュレーション モードで management-access コマンドを使用します。管理アクセスをディセーブルにするには、このコマンドの no 形式を使用します。

management-access mgmt_if

no management-access mgmt_if

 
構文の説明

mgmt_if

別のインターフェイスから適応型セキュリティ アプライアンスを入力するときにアクセスする管理インターフェイスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドにより、フル トンネル IPSec VPN または SSL VPN クライアント(AnyConnect 2.x クライアント、SVC 1.x)または Site-to-Site IPSec トンネルの使用時に適応型セキュリティ アプライアンスに入るために使用したインターフェイス以外のインターフェイスに接続できます。たとえば、外部インターフェイスから適応型セキュリティ アプライアンスに入った場合、このコマンドを使用すると Telnet を使用して内部インターフェイスへの接続が可能になります。または、外部インターフェイスから入ったときに、内部インターフェイスを ping できます。

定義できる管理アクセス インターフェイスは 1 つのみです。


) スタティック NAT ステートメントを管理アクセス インターフェイスに適用しないでください。これを行うと、リモート VPN ユーザが管理インターフェイスにアクセスできなくなります。


次の例では、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定する方法を示します。

hostname(config)# management-access inside
hostname(config)# show management-access
management-access inside

 
関連コマンド

コマンド
説明

clear configure management-access

適応型セキュリティ アプライアンスの管理アクセスのための、内部インターフェイスのコンフィギュレーションを削除します。

show management-access

管理アクセスのために設定された内部インターフェイスの名前を表示します。

management-only

管理トラフィックのみを受け入れるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで management-only コマンドを使用します。すべてのトラフィックの受け入れを許可するには、このコマンドの no 形式を使用します。

management-only

no management-only

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ASA 5510 以降の適応型セキュリティ アプライアンスの Management 0/0 インターフェイスは、デフォルトで管理専用モードに設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ASA 5510 以降の適応型セキュリティ アプライアンスには、適応型セキュリティ アプライアンスへのトラフィックをサポートすることを意図した Management 0/0 という専用の管理インターフェイスがあります。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 では、このインターフェイスが他の任意のインターフェイスと同様にトラフィックを通過させるように管理専用モードをディセーブルにできます。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過できます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、管理トラフィック用に Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を 3 番めのインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。このインターフェイスを管理 IP アドレスから異なるサブネット上に移行させる場合、トランスペアレント モードでこのインターフェイスの IP アドレスを設定することもできます。個々のインターフェイスではなく、適応型セキュリティ アプライアンスまたはコンテキストに対して割り当てます。

次の例では、管理インターフェイスの管理専用モードをディセーブルにします。

hostname(config)# interface management0/0
hostname(config-if)# no management-only
 

次の例では、サブインターフェイスの管理専用モードをイネーブルにします。

hostname(config)# interface gigabitethernet0/2.1
hostname(config-subif)# management-only
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

map-name

ユーザ定義のアトリビュート名をシスコ アトリビュート名にマッピングするには、LDAP アトリビュート マップ コンフィギュレーション モードで map-name コマンドを使用します。

このマッピングを削除するには、このコマンドの no 形式を使用します。

map-name user-attribute-name Cisco-attribute-name

no map-name user-attribute-name Cisco-attribute-name

 
構文の説明

 
構文の説明構文の説明

user-attribute-name

シスコ アトリビュートにマッピングする、ユーザ定義のアトリビュート名を指定します。

Cisco-attribute-name

ユーザ定義名にマッピングする、シスコ アトリビュート名を指定します。

 
デフォルト

デフォルトでは、名前のマッピングは存在しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

LDAP アトリビュートマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

map-name コマンドを使用すると、独自のアトリビュート名をシスコ アトリビュート名にマッピングできます。その後、作成されたアトリビュート マップを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていないアトリビュート マップを作成します。このコマンドは LDAP アトリビュート マップ モードを開始します。

2. LDAP アトリビュート マップ モードで map-name コマンドと map-value コマンドを使用し、アトリビュート マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、アトリビュート マップを LDAP サーバにバインドします。このコマンドでは「ldap」の後にハイフンを付けます。


) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュート名と値の両方を理解し、さらにユーザ定義アトリビュート名と値を理解しておく必要があります。


次のコマンド例では、ユーザ定義のアトリビュート名 Hours を LDAP アトリビュート マップ myldapmap のシスコ アトリビュート名 cVPN3000-Access-Hours にマッピングします。

hostname(config)# ldap attribute-map myldapmap
hostname(config-ldap-attribute-map)# map-name Hours cVPN3000-Access-Hours
hostname(config-ldap-attribute-map)#
 

LDAP アトリビュート マップ モード内では、次の例に示すように、「?」を入力して Cisco LDAP アトリビュート名の完全なリストを表示できます。

hostname(config-ldap-attribute-map)# map-name ?
ldap mode commands/options:
cisco-attribute-names:
cVPN3000-Access-Hours
cVPN3000-Allow-Network-Extension-Mode
cVPN3000-Auth-Service-Type
cVPN3000-Authenticated-User-Idle-Timeout
cVPN3000-Authorization-Required
cVPN3000-Authorization-Type
:
:
cVPN3000-X509-Cert-Data
hostname(config-ldap-attribute-map)#

 

 
関連コマンド

コマンド
説明

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

ldap-attribute-map(AAA サーバ ホスト モード)

LDAP アトリビュート マップを LDAP サーバにバインドします。

map-value

ユーザ定義のアトリビュート値をシスコ アトリビュートにマッピングします。

show running-config ldap attribute-map

実行中の特定の LDAP アトリビュート マップまたは実行中のすべてのアトリビュート マップを表示します。

clear configure ldap attribute-map

すべての LDAP アトリビュート マップを削除します。

map-value

ユーザ定義の値を Cisco LDAP アトリビュートにマッピングするには、LDAP アトリビュート マップ コンフィギュレーション モードで map-value コマンドを使用します。マップ内のエントリを削除するには、このコマンドの no 形式を使用します。

map-value user-attribute-name user-value-string Cisco-value-string

no map-value user-attribute-name user-value-string Cisco-value-string

 
構文の説明

cisco-value-string

シスコ アトリビュートに対して Cisco 値の文字列を指定します。

user-attribute-name

シスコ アトリビュート名にマッピングするユーザ定義のアトリビュート名を指定します。

user-value-string

シスコ アトリビュート値にマッピングするユーザ定義の値文字列を指定します。

 
デフォルト

デフォルトでは、シスコ アトリビュートにマッピングされているユーザ定義の値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

LDAP アトリビュートマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

map-value コマンドを使用すると、独自のアトリビュート値をシスコ アトリビュート名および値にマッピングできます。その後、作成されたアトリビュート マップを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていないアトリビュート マップを作成します。このコマンドは LDAP アトリビュート マップ モードを開始します。

2. LDAP アトリビュート マップ モードで map-name コマンドと map-value コマンドを使用し、アトリビュート マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、アトリビュート マップを LDAP サーバにバインドします。このコマンドでは「ldap」の後にハイフンを付けます。


) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュート名と値の両方を理解し、さらにユーザ定義アトリビュート名と値を理解しておく必要があります。


次の例では、LDAP アトリビュート マップ モードで入力され、ユーザ アトリビュート Hours のユーザ定義の値を workDay という名前のユーザ定義の時間ポリシーおよび Daytime という名前のシスコ定義の時間ポリシーに設定します。

hostname(config)# ldap attribute-map myldapmap
hostname(config-ldap-attribute-map)# map-value Hours workDay Daytime
hostname(config-ldap-attribute-map)#

 
関連コマンド

コマンド
説明

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

ldap-attribute-map(AAA サーバ ホスト モード)

LDAP アトリビュート マップを LDAP サーバにバインドします。

map-name

ユーザ定義の LDAP アトリビュート名を、Cisco LDAP アトリビュート名にマッピングします。

show running-config ldap attribute-map

実行中の特定の LDAP アトリビュート マップまたは実行中のすべてのアトリビュート マップを表示します。

clear configure ldap attribute-map

すべての LDAP マップを削除します。

mapping-service

Cisco Intercompany Media Engine プロキシに対してマッピング サービスを設定するには、UC-IME コンフィギュレーション モードで mapping-service コマンドを使用します。プロキシからマッピング サービスを削除するには、このコマンドの no 形式を使用します。

mapping-service listening-interface interface [ listening-port port ] uc-ime-interface interface

no mapping-service listening-interface interface [ listening-port port ] uc-ime-interface interface

 
構文の説明

interface

リッスンするインターフェイスまたは uc-ime インターフェイスに使用されるインターフェイスの名前を指定します。

listening-interface

マッピング要求を適応型セキュリティ アプライアンスがリッスンするインターフェイスを設定します。

listening-port

(任意)マッピング サービスのリスニング ポートを設定します。

port

(任意)マッピング要求を適応型セキュリティ アプライアンスがリッスンする TCP ポート番号を指定します。デバイス上の他のサービス(Telnet や SSH など)との競合を回避するため、ポート番号は 1024 以上にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。

uc-ime-interface

リモート Cisco UCM に接続するインターフェイスを設定します。

 
デフォルト

デフォルトでは、Cisco Intercompany Media Engine プロキシのオフパス配置のためのマッピング サービスは、TCP ポート 8060 でリッスンします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

UC-IME コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスの Cisco Intercompany Media Engine プロキシのオフパス配置の場合、マッピング サービスをプロキシ コンフィギュレーションに追加します。マッピング サービスを設定するには、マッピング要求をリッスンする外部インターフェイス(リモート エンタープライズ側)およびリモートの Cisco UCM に接続するインターフェイスを指定する必要があります。


) Cisco Intercompany Media Engine プロキシに対して設定できるマッピング サーバは 1 つだけです。


Cisco Intercompany Media Engine プロキシがオフパス配置に対して設定されたときにマッピング サービスを設定します。

オフ パス配置では、Cisco Intercompany Media Engine のインバウンド コールおよびアウトバウンド コールは、Cisco Intercompany Media Engine プロキシを使用してイネーブルにされた適応型セキュリティ アプライアンスを通過します。適応型セキュリティ アプライアンスは DMZ にあり、主に Cisco Intercompany Media Engine をサポートするように設定されています。通常のインターネットに接続するトラフィックは、この適応型セキュリティ アプライアンスを通過しません。

すべてのインバウンド コールでは、シグナリングは適応型セキュリティ アプライアンスに転送されます。これは、宛先の Cisco UCM が適応型セキュリティ アプライアンスのグローバル IP アドレスを使用して設定されているためです。アウトバウンド コールでは、着信側はインターネット上の任意の IP アドレスでかまいません。したがって、適応型セキュリティ アプライアンスは、インターネット上の着信側のグローバル IP アドレスそれぞれに適応型セキュリティ アプライアンスの内部 IP アドレスを動的に指定するマッピング サービスを使用して設定されます。

Cisco UCM は、すべてのアウトバウンド コールをインターネット上の着信側のグローバル IP アドレスに送信するのではなく、適応型セキュリティ アプライアンス上にマップされた内部 IP アドレスに直接送信します。その後、適応型セキュリティ アプライアンスは、着信側のグローバル IP アドレスにこのコールを転送します。

次に ... をする例を示します。

hostname(config)# uc-ime offpath_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30
hostname(config-uc-ime)# mapping-service listening-interface inside listening-port 8060 uc-ime-interface outside
 

 
関連コマンド

コマンド
説明

show running-config uc-ime

Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します。

show uc-ime

フォールバック通知、マッピング サービス セッション、およびシグナリング セッションに関する統計情報または詳細情報を表示します。

uc-ime

Cisco Intercompany Media Engine プロキシ インスタンスを適応型セキュリティ アプライアンスに作成します。

mask

モジュラ ポリシー フレームワークを使用する場合、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで mask コマンドを使用して、 match コマンドと一致するパケットの一部またはクラス マップをマスクして除外します。このマスク アクションは、アプリケーション トラフィックのためにインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用できます。ただし、すべてのアプリケーションでこのアクションが可能なわけではありません。たとえば、DNS アプリケーション インスペクションで mask コマンドを使用して、トラフィックが適応型セキュリティ アプライアンスを通過するのを許可する前にヘッダー フラグをマスクできます。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

mask [ log ]

no mask [ log ]

 
構文の説明

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別した後( class コマンドが既存の class-map type inspect コマンドを参照し、次に match コマンドが含められます)、 mask コマンドを入力して、 match コマンドまたは class コマンドと一致するパケットの一部をマスクできます。

レイヤ 3/4 のポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。ここで dns_policy_map はインスペクション ポリシー マップの名前です。

次の例では、トラフィックが適応型セキュリティ アプライアンスを通過するのを許可する前に、DNS ヘッダーの RD フラグと RA フラグをマスクします。

hostname(config-cmap)# policy-map type inspect dns dns-map1
hostname(config-pmap-c)# match header-flag RD
hostname(config-pmap-c)# mask log
hostname(config-pmap-c)# match header-flag RA
hostname(config-pmap-c)# mask log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

mask-banner

サーバのバナーを目立たないようにするには、パラメータ コンフィギュレーション モードで mask-banner コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

mask-banner

no mask-banner

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、サーバのバナーをマスクする方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# mask-banner
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

mask-syst-reply

FTP サーバの応答をクライアントに対して非公開にするには、FTP マップ コンフィギュレーション モードで mask-syst-reply コマンドを使用します。このモードには ftp-map コマンドを使用してアクセスできます。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

mask-syst-reply

no mask-syst-reply

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

FTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

mask-syst-reply コマンドは、クライアントから FTP サーバ システムを保護するため、厳密な FTP インスペクションとあわせて使用します。このコマンドをイネーブルすると、 syst コマンドに対するサーバの応答は、X の連続に置き換えられます。

次の例では、適応型セキュリティ アプライアンスが syst コマンドへの FTP サーバの応答を X の連続に置き換えます。

hostname(config)# ftp-map inbound_ftp
hostname(config-ftp-map)# mask-syst-reply
hostname(config-ftp-map)#
 

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

ftp-map

FTP マップを定義し、FTP マップ コンフィギュレーション モードをイネーブルにします。

inspect ftp

アプリケーション インスペクションに使用する特定の FTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

request-command deny

不許可にする FTP コマンドを指定します。

match access-list

モジュラ ポリシー フレームワークを使用する場合、アクセス リストを使用し、クラス マップ コンフィギュレーション モードで match access-list コマンドを使用してアクションを適用するトラフィックを指定します。 match access-list コマンドを削除するには、このコマンドの no 形式を使用します。

match access-list access_list_name

no match access-list access_list_name

 
構文の説明

access_list_name

一致基準として使用するアクセス リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。

class-map コマンドを入力した後、 match access-list コマンドを入力してトラフィックを指定できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。クラス マップに含めることができる match access-list コマンドは 1 つだけです。このコマンドを別のタイプの match コマンドと組み合わせることはできません。適応型セキュリティ アプライアンスでインスペクトできるすべてのアプリケーションが使用するデフォルトの TCP ポートおよび UDP ポートを照合する match default-inspection-traffic コマンドを定義する場合は、例外として match access-list コマンドを使用して照合するトラフィックの範囲を絞り込めます。 match default-inspection-traffic コマンドは照合するポートを指定するため、アクセス リスト内のポートは無視されます。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

次の例では、3 つのアクセス リストと一致する 3 つのレイヤ 3/4 クラス マップが作成されます。

hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
 
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
 
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
 
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match active-ftp

FTP 転送のためのアクティブ FTP トラフィック コマンド PORT および EPRT の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match active-ftp コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] active-ftp

no match [not] active-ftp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

この機能を使用可能にするには厳密な FTP インスペクションを行う必要があります。詳細については、 inspect ftp コマンドの strict キーワードを参照してください。

次の設定では、接続のリセットおよびすべてのパッシブ FTP 接続の許可とロギングによって、すべてのアクティブ FTP トラフィックがグローバルに拒否されます。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# exit
hostname(config)# policy-map type inspect ftp inspect-strict-ftp
hostname(config-pmap)# parameters
hostname(config-pmap-p)# match active-ftp
hostname(config-pmap-p)# reset
hostname(config-pmap-p)# match passive-ftp
hostname(config-pmap-p)# reset log
hostname(config-pmap-p)# exit
hostname(config)# policy-map global_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect ftp strict inspect-strict-ftp
hostname(config-pmap-c)# exit
hostname(config)# service-policy global_policy global
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match any

モジュラ ポリシー フレームワークを使用する場合、クラス マップ コンフィギュレーション モードで match any コマンドを使用してアクションを適用するすべてのトラフィックを照合します。 match any コマンドを削除するには、このコマンドの no 形式を使用します。

match any

no match any

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。

class-map コマンドを入力した後、 match any コマンドを入力してすべてのトラフィックを指定できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。 match any コマンドを別のタイプの match コマンドと組み合わせることはできません。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

この例では、クラス マップおよび match any コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match any
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match access-list

アクセス リストに従ってトラフィックを照合します。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match apn

GTP メッセージのアクセス ポイント名の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match apn コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] apn regex [regex_name | class regex_class_name]

no match [not] apn regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、GTP インスペクション クラス マップのアクセス ポイント名の一致条件を設定する方法を示します。

hostname(config-cmap)# match apn class gtp_regex_apn
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match body

ESMTP のメッセージ本文の長さまたは行の長さに関する一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match body コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。

match [not] body [length | line length] gt bytes

no match [not] body [length | line length] gt bytes

 
構文の説明

length

ESMTP のメッセージ本文の長さを指定します。

line length

ESMTP のメッセージ本文の行の長さを指定します。

bytes

照合する数をバイト単位で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップで本文の行の長さに関する一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map

hostname(config-pmap)# match body line length gt 1000

 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match called-party

H.323 の着信側に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match called-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] called-party [regex regex]

no match [not] match [not] called-party [regex regex]

 
構文の説明

regex regex

正規表現を照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、H.323 インスペクション クラス マップの着信側の一致条件を設定する方法を示します。

hostname(config-cmap)# match called-party regex caller1
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match calling-party

H.323 の発信側に関する一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match calling-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] calling-party [regex regex]

no match [not] match [not] calling-party [regex regex]

 
構文の説明

regex regex

正規表現を照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、H.323 インスペクション クラス マップの発信側の一致条件を設定する方法を示します。

hostname(config-cmap)# match calling-party regex caller1
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match certificate

PKI 証明書の検証プロセス時に、適応型セキュリティ アプライアンスは、証明書の失効ステータスをチェックし、セキュリティを維持します。適応型セキュリティ アプライアンスは、この作業を行うために CRL チェックまたは Online Certificate Status Protocol(OCSP)のいずれかを使用できます。CRL チェックを使用すると、適応型セキュリティ アプライアンスは、証明書失効リストを取得し、解析して、キャッシュします。このリストは、失効した証明書の完全なリストを提供します。OCSP では、検証局で証明書ステータスがローカライズされるという点で、よりスケーラブルな失効ステータス チェック方法が提供されます(OCSP は検証局に特定の証明書のステータスを問い合わせます)。

証明書の一致ルールを使用して、OCSP URL の上書きを設定できます。この上書きでは、リモート ユーザ証明書の AIA フィールドの URL ではなく、失効ステータスをチェックする URL を指定します。一致ルールにより、OCSP レスポンダ証明書の検証に使用するトラストポイントも設定されます。このトラストポイントにより、適応型セキュリティ アプライアンスは、自己署名証明書やクライアント証明書の検証パスへの外部証明書などの CA からのレスポンダ証明書を検証します。

証明書の一致ルールを設定するには、暗号 CA トラストポイント モードで match certificate コマンドを使用します。コンフィギュレーションからこのルールを削除するには、このコマンドの no 形式を使用します。

match certificate map-name override ocsp [trustpoint trustpoint-name ] seq-num url URL

no match certificate map-name override ocsp

 
構文の説明

map-name

このルールと一致する証明書マップの名前を指定します。証明書マップを設定してから、一致ルールを設定する必要があります。最大 65 文字です。

match certificate

この一致ルールに証明書マップを指定します。

override ocsp

このルールの目的が証明書の OCSP URL の上書きであることを指定します。

seq-num

この一致ルールの優先順位を設定します。設定範囲は 1 ~ 10000 です。適応型セキュリティ アプライアンスは、最初に一番小さいシーケンス番号を持つ一致ルールを評価し、一致が見つかるまで番号順に一致ルールを評価します。

trustpoint

(任意)OCSP レスポンダ証明書の検証にトラストポイントを使用することを指定します。

trustpoint-name

(任意)レスポンダ証明書を検証するために上書きに使用するトラストポイントを指定します。

url

OCSP 失効ステータスの確認のために URL にアクセスすることを指定します。

URL

OCSP 失効ステータスの確認のためにアクセスする URL を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント モード

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

OCSP を設定する際には、次のヒントに留意してください。

トラストポイント コンフィギュレーション内に複数の一致ルールを設定できますが、暗号 CA 証明書マップごとに設定できる一致ルールは 1 つだけです。ただし、複数の暗号 CA 証明書マップを設定し、それらを同じトラストポイントと関連付けることができます。

証明書マップを設定してから、一致ルールを設定する必要があります。

自己署名の OCSP レスポンダ証明書を検証するトラストポイントを設定するには、自己署名のレスポンダ証明書をそれ自体のトラストポイントに、信頼できる CA 証明書としてインポートします。次に、レスポンダ証明書の検証に自己署名の OCSP レスポンダ証明書を含むトラストポイントを使用するように、トラストポイントを検証するクライアント証明書に match certificate コマンドを設定します。クライアント証明書の検証パスに含まれないレスポンダ証明書を検証する場合にも同じように設定します。

同じ CA がクライアント証明書とレスポンダ証明書の両方を発行する場合、トラストポイントは両方の証明書を検証できます。ただし、異なる CA がクライアント証明書とレスポンダ証明書を発行する場合は、各証明書に 1 つずつ、計 2 つのトラストポイントを設定する必要があります。

OCSP サーバ(レスポンダ)証明書は通常、OCSP 応答に署名します。応答の受信後、適応型セキュリティ アプライアンスはレスポンダ証明書を検証しようとします。CA は通常、OCSP レスポンダ証明書の期限を比較的短時間に設定して、その信用が失われる危険を最小限にします。また一般的に、CA のレスポンダ証明書には、証明書の失効ステータス チェックが不要であることを示す ocsp-no-check 拡張も含まれます。ただし、この拡張が含まれていない場合、適応型セキュリティ アプライアンスはトラストポイントに指定したのと同じ方法で失効ステータスをチェックしようとします。レスポンダ証明書が検証できない場合、失効チェックに失敗します。失効チェックが失敗しないようにするには、トラストポイントを検証するレスポンダ証明書に revocation-check none を設定すると同時に、クライアント証明書に revocation-check ocsp を設定します。

適応型セキュリティ アプライアンスは、一致を見つけられない場合、 ocsp url コマンドの URL を使用します。 ocsp url コマンドを設定していない場合は、リモート ユーザ証明書の AIA フィールドが使用されます。証明書に AIA 拡張がない場合、失効ステータスのチェックは失敗します。

次の例では、newtrust というトラストポイントに証明書一致ルールを作成する方法を示します。このルールには mymap というマップ名、シーケンス番号 4、mytrust というトラストポイントが含まれ、URL 10.22.184.22 を指定します。

hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# match certificate mymap override ocsp trustpoint mytrust 4 url 10.22.184.22
hostname(config-ca-trustpoint)#

次の例では、暗号 CA 証明書マップを設定した後に、一致証明書ルールを設定して、CA 証明書が含まれるトラストポイントを指定し、レスポンダ証明書を検証する方法を段階的に示します。newtrust トラストポイントで指定された CA が OCSP レスポンダ証明書を発行しない場合にこの方法が必要になります。


ステップ 1 マップ ルールが適用されるクライアント証明書を指定する証明書マップを設定します。この例では、証明書マップの名前は mymap、シーケンス番号は 1 です。mycert と一致する CN アトリビュートを含むサブジェクト名を持つクライアント証明書が mymap エントリと一致します。

hostname(config)# crypto ca certificate map mymap 1 subject-name attr cn eq mycert
hostname(config-ca-cert-map)# subject-name attr cn eq mycert
hostname(config-ca-cert-map)#
 

ステップ 2 OCSP レスポンダ証明書を検証するために使用する CA 証明書が含まれるトラストポイントを設定します。自己署名証明書の場合、これは自己署名証明書自体であり、インポート後にローカルに信頼されます。この目的で、外部の CA 登録を介して証明書を入手することもできます。プロンプトが表示されたら CA 証明書に貼り付けます。

hostname(config-ca-cert-map)# exit
hostname(config)# crypto ca trustpoint mytrust
hostname(config-ca-trustpoint)# enroll terminal
hostname(config-ca-trustpoint)# crypto ca authenticate mytrust
Enter the base 64 encoded CA certificate.
End with the word “quit” on a line by itself
 
MIIBnjCCAQcCBEPOpG4wDQYJKoZIhvcNAQEEBQAwFzEVMBMGA1UEAxQMNjMuNjcu
NzIuMTg4MB4XDTA2MDExODIwMjYyMloXDTA5MDExNzIwMjYyMlowFzEVMBMGA1UE
AxQMNjMuNjcuNzIuMTg4MIGdMA0GCSqGSIb3DQEBAQUAA4GLADCBhwKBgQDnXUHv
7//x1xEAOYfUzJmH5sr/NuxAbA5gTUbYA3pcE0KZHt761N+/8xGxC3DIVB8u7T/b
v8RqzqpmZYguveV9cLQK5tsxqW3DysMU/4/qUGPfkVZ0iKPCgpIAWmq2ojhCFPyx
ywsDsjl6YamF8mpMoruvwOuaUOsAK6KO54vy0QIBAzANBgkqhkiG9w0BAQQFAAOB
gQCSOihb2NH6mga2eLqEsFP1oVbBteSkEAm+NRCDK7ud1l3D6UC01EgtkJ81QtCk
tvX2T2Y/5sdNW4gfueavbyqYDbk4yxCKaofPp1ffAD9rrUFQJM1uQX14wclPCcAN
e7kR+rscOKYBSgVHrseqdB8+6QW5NF7f2dd+tSMvHtUMNw==
quit
INFO: Certificate has the following attributes:
Fingerprint: 7100d897 05914652 25b2f0fc e773df42
Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
 
% Certificate successfully imported
 

ステップ 3 失効チェック方法として OCSP を使用して、元のトラストポイント newtrust を設定します。次に、証明書マップ mymap、およびステップ 2 で設定した自己署名トラストポイント mytrust を含む一致ルールを設定します。

hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# enroll terminal
hostname(config-ca-trustpoint)# crypto ca authenticate newtrust
 
Enter the base 64 encoded CA certificate.
End with the word “quit” on a line by itself
ywsDsjl6YamF8mpMoruvwOuaUOsAK6KO54vy0QIBAzANBgkqhkiG9w0BAQQFAAOB
gQCSOihb2NH6mga2eLqEsFP1oVbBteSkEAm+NRCDK7ud1l3D6UC01EgtkJ81QtCk
AxQMNjMuNjcuNzIuMTg4MIGdMA0GCSqGSIb3DQEBAQUAA4GLADCBhwKBgQDnXUHv
7//x1xEAOYfUzJmH5sr/NuxAbA5gTUbYA3pcE0KZHt761N+/8xGxC3DIVB8u7T/b
gQCSOihb2NH6mga2eLqEsFP1oVbBteSkEAm+NRCDK7ud1l3D6UC01EgtkJ81QtCk
tvX2T2Y/5sdNW4gfueavbyqYDbk4yxCKaofPp1ffAD9rrUFQJM1uQX14wclPCcAN
NzIuMTg4MB4XDTA2MDExODIwMjYyMloXDTA5MDExNzIwMjYyMlowFzEVMBMGA1UE
OPIBnjCCAQcCBEPOpG4wDQYJKoZIhvcNAQEEBQAwFzEVMBMGA1UEAxQMNjMuNjcu
e7kR+rscOKYBSgVHrseqdB8+6QW5NF7f2dd+tSMvHtUMNw==
quit
INFO: Certificate has the following attributes:
Fingerprint: 9508g897 82914638 435f9f0fc x9y2p42
Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
 
% Certificate successfully imported
hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# revocation-check ocsp
hostname(config-ca-trustpoint)# match certificate mymap override ocsp trustpoint mytrust 4 url 10.22.184.22
 

クライアント証明書の認証に newtrust トラストポイントを使用する接続では、クライアント証明書が mymap 証明書マップで指定したアトリビュート ルールと一致するかどうかがチェックされます。その場合、適応型セキュリティ アプライアンスは OCSP レスポンダ(10.22.184.22)にアクセスして、証明書失効ステータスをチェックします。次に mytrust トラストポイントを使用して、レスポンダ証明書を検証します。


) newtrust トラストポイントを設定して、OCSP を介してクライアント証明書の失効チェックを実行します。ただし、mytrust トラストポイントはデフォルトの失効チェック方法(失効チェックしない)に設定されているため、OCSP レスポンダ証明書の失効チェックは実行されません。


 
関連コマンド

コマンド
説明

crypto ca certificate map

暗号 CA 証明書マップを作成します。このコマンドは、グローバル コンフィギュレーション モードで使用します。

crypto ca trustpoint

暗号 CA トラストポイント モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。

ocsp disable-nonce

OCSP 要求のナンス拡張をディセーブルにします。

ocsp url

トラストポイントに関連付けられているすべての証明書をチェックするために使用する OCSP サーバを指定します。

revocation-check

失効確認に使用する方法、および確認を行う順序を指定します。

match cmd

ESMTP コマンド verb に一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match cmd コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]

no match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]

 
構文の説明

verb verb

ESMTP コマンド verb を指定します。

line length gt bytes

行の長さを指定します。

RCPT count gt recipients_number

受信者の電子メール アドレスの数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップに ESMTP トランザクションで交換される verb(メソッド)NOOP についての一致条件を設定する方法を示します。

hostname(config-pmap)# match cmd verb NOOP
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match default-inspection-traffic

クラス マップ内の inspect コマンドに対するデフォルトのトラフィックを指定するには、クラス マップ コンフィギュレーション モードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match default-inspection-traffic

no match default-inspection-traffic

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

各インスペクションのデフォルトのトラフィックについては、「使用上のガイドライン」の項を参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルトのトラフィックと照合できます。 match default-inspection-traffic コマンドは、他の match コマンドの 1 つと組み合わせて使用できます。このコマンドは通常、 permit ip src-ip dst-ip 形式のアクセス リストです。

2 番めの match コマンドを match default-inspection-traffic コマンドと組み合わせる際、 match default-inspection-traffic コマンドを使用してプロトコルとポート情報を指定し、2 番めの match コマンドを使用して他のすべての情報(IP アドレスなど)を指定するというルールがあります。2 番めの match コマンドで指定したプロトコルやポート情報は、 inspect コマンドでは無視されます。

たとえば、次の例で指定するポート 65535 は無視されます。

hostname(config)# class-map cmap
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# match port 65535
 

インスペクション用のデフォルトのトラフィックは次のとおりです。

 

インスペクション タイプ

プロトコル タイプ

送信元ポート

宛先ポート

ctiqbe

tcp

該当なし

1748

dcerpc

tcp

該当なし

135

dns

udp

53

53

ftp

tcp

該当なし

21

gtp

udp

2123、3386

2123、3386

h323 h225

tcp

該当なし

1720

h323 ras

udp

該当なし

1718 ~ 1719

http

tcp

該当なし

80

icmp

icmp

該当なし

該当なし

ils

tcp

該当なし

389

im

tcp

該当なし

1 ~ 65539

ipsec-pass-thru

udp

該当なし

500

mgcp

udp

2427、2727

2427、2727

netbios

udp

137 ~ 138

該当なし

rpc

udp

111

111

rsh

tcp

該当なし

514

rtsp

tcp

該当なし

554

sip

tcp、udp

該当なし

5060

skinny

tcp

該当なし

2000

smtp

tcp

該当なし

25

sqlnet

tcp

該当なし

1521

tftp

udp

該当なし

69

xdmcp

udp

177

177

次の例では、クラス マップおよび match default-inspection-traffic コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match dns-class

DNS Resource Record or Question(DNS リソース レコードまたはクエスチョン)セクションの Domain System Class(ドメイン システム クラス)に一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match dns-class コマンドを使用します。設定されたクラスを削除するには、このコマンドの no 形式を使用します。

match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}

no match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}

 
構文の説明

eq

完全一致を指定します。

c_well_known

既知の名前である IN により DNS クラスを指定します。

c_val

DNS クラス フィールドに任意の値(0 ~ 65535)を指定します。

range

範囲を指定します。

c_val1 c_val2

一致範囲を示す値を指定します。それぞれの値の範囲は、0 ~ 65535 です。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、このコマンドは DNS メッセージのすべてのフィールド(クエスチョンと RR)をインスペクトし、指定したクラスを照合します。DNS クエリーと応答の両方が検査されます。

一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。

このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。

次の例では、DNS インスペクション ポリシー マップで、DNS クラスの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# match dns-class eq IN
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match dns-type

クエリー タイプと RR タイプを含む DNS タイプの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match dns-type コマンドを使用します。設定した dns タイプを削除するには、このコマンドの no 形式を使用します。

match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}

no match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}

 
構文の説明

eq

完全一致を指定します。

t_well_known

A、NS、CNAME、SOA、TSIG、IXFR、または AXFR といった既知の名前を使用して DNS タイプを指定します。

t_val

DNS タイプ フィールドに任意の値(0 ~ 65535)を指定します。

range

範囲を指定します。

t_val1 t_val2

一致範囲を示す値を指定します。それぞれの値の範囲は、0 ~ 65535 です。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、このコマンドは、DNS メッセージ(クエスチョンおよび RR)のすべての項をインスペクトし、指定したタイプを照合します。DNS クエリーと応答の両方が検査されます。

一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。

このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。

次の例では、DNS インスペクション ポリシー マップで、DNS タイプの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# match dns-type eq a
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match domain-name

DNS メッセージ ドメイン名リストの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match domain-name コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。

match [not] domain-name regex regex_id

match [not] domain-name regex class class_id

no match [not] domain-name regex regex_id

no match [not] domain-name regex class class_id

 
構文の説明

regex

正規表現を指定します。

regex_id

正規表現 ID を指定します。

class

複数の正規表現エントリを含むクラス マップを指定します。

class_id

正規表現クラス マップ ID を指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、DNS メッセージのドメイン名を定義済みリストに対して照合します。圧縮されているドメイン名は、拡張後に照合されます。他の DNS match コマンドと組み合わせて、一致条件を特定のフィールドに絞り込むことができます。

このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。

次の例では、DNS インスペクション ポリシー マップの DNS ドメイン名を照合する方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# match domain-name regex
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match dscp

クラス マップ内の IETF 定義の DSCP 値(IP ヘッダー内)を指定するには、クラス マップ コンフィギュレーション モードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match dscp { values }

no match dscp { values }

 
構文の説明

values

IP ヘッダー内の最大 8 つの異なる IETF 定義の DSCP 値を指定します。範囲は 0 ~ 63 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match dscp コマンドを使用すると、IP ヘッダー内の IETF 定義の DSCP 値を照合できます。

次の例では、クラス マップおよび match dscp コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match dscp af43 cs1 ef
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

match port

該当するインターフェイスで受信されるパケットの比較基準として、TCP/UDP ポートを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match ehlo-reply-parameter

ESMTP ehlo 応答パラメータに一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match ehlo-reply-parameter コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] ehlo-reply-parameter parameter

no match [not] ehlo-reply-parameter parameter

 
構文の説明

parameter

ehlo 応答パラメータを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップで ehlo 応答パラメータの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map

hostname(config-pmap)# match ehlo-reply-parameter auth

 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match filename

FTP 転送のファイル名の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filename コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] filename regex [regex_name | class regex_class_name]

no match [not] filename regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、FTP インスペクション クラス マップで FTP 転送ファイル名の一致条件を設定する方法を示します。

hostname(config)# class-map type inspect ftp match-all ftp_class1
hostname(config-cmap)# description Restrict FTP users ftp1, ftp2, and ftp3 from accessing /root
hostname(config-cmap)# match username regex class ftp_regex_user
hostname(config-cmap)# match filename regex ftp-file
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match filetype

FTP 転送のファイル タイプの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filetype コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] filetype regex [regex_name | class regex_class_name]

no match [not] filetype regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、FTP インスペクション ポリシー マップで FTP 転送ファイル タイプの一致条件を設定する方法を示します。

hostname(config-pmap)# match filetype class regex ftp-regex-filetype
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match flow ip destination-address

クラス マップでフロー IP の宛先アドレスを指定するには、クラス マップ コンフィギュレーション モードで match flow ip destination-address コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match flow ip destination-address

no match flow ip destination-address

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

トンネル グループでフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address コマンドと match tunnel-group コマンドを class-map コマンド、 policy-map コマンド、および service-policy コマンドとともに使用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシングは、 match flow ip destination-address コマンドを使用して適用されます。トンネル グループ内の各トンネルを指定のレートにポリシングするには、 match tunnel-group を使用します。

次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match tunnel-group
hostname(config-cmap)# match flow ip destination-address
hostname(config-cmap)# exit
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# police 56000
hostname(config-pmap)# exit
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

tunnel-group

VPN の接続固有レコードのデータベースを作成し、管理します。

match header

ESMTP ヘッダーの一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match header コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]

no match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]

 
構文の説明

length gt bytes

ESMTP ヘッダー メッセージの長さを照合することを指定します。

line length gt bytes

ESMTP ヘッダー メッセージの行の長さを照合することを指定します。

to-fields count gt to_fields_number

To: フィールドの数を照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップでヘッダーの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map

hostname(config-pmap)# match header length gt 512

 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match header-flag

DNS ヘッダー フラグの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match header-flag コマンドを使用します。設定したヘッダー フラグを削除するには、このコマンドの no 形式を使用します。

match [not] header-flag [eq] {f_well_known | f_value}

no match [not] header-flag [eq] {f_well_known | f_value}

 
構文の説明

eq

完全一致を指定します。設定されていない場合、match-all ビット マスク一致が指定されます。

f_well_known

既知の名前を使用して DNS ヘッダー フラグ ビットを指定します。複数のフラグ ビットを入力でき、その場合は論理和(OR)になります。

QR(クエリー、注:QR=1 は DNS 応答を示します)

AA(正式の回答)

TC(省略)

RD(再帰要)

RA(再帰可能)

f_value

16 進形式で任意の 16 ビット値を指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、DNS クラス マップまたは DNS ポリシー マップで設定できます。DNS クラス マップに入力できるエントリは 1 つのみです。

次の例では、DNS インスペクション ポリシー マップで、DNS ヘッダー フラグの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# match header-flag AA
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match im-subscriber

SIP IM サブスクライバの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match im-subscriber コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] im-subscriber regex [regex_name | class regex_class_name]

no match [not] im-subscriber regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。

次の例では、SIP インスペクション クラス マップで SIP IM サブスクライバの一致条件を設定する方法を示します。

hostname(config-cmap)# match im-subscriber regex class im_sender
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match invalid-recipients

ESMTP の無効な受信者アドレスの一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match invalid-recipients コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] invalid-recipients count gt number

no match [not] invalid-recipients count gt number

 
構文の説明

count gt number

無効な受信者番号を照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップで無効な受信者数の一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map

hostname(config-pmap)# match invalid-recipients count gt 1000

 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match ip address

指定したいずれかのアクセス リストによって渡されるルート アドレスまたは一致パケットを持つすべてのルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

match ip address { acl... }

no match ip address { acl... }

 
構文の説明

acl

アクセス リストの名前を指定します。複数のアクセス リストを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。

次の例では、内部ルートを再配布する方法を示します。

hostname(config)# route-map name
hostname(config-route-map)# match ip address acl_dmz1 acl_dmz2
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したアクセス リストのいずれかによって渡されるネクスト ホップ ルータ アドレスを持つルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

match ip next-hop

指定したいずれかのアクセス リストによって渡されるネクスト ホップ ルータ アドレスを持つすべてのルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip next-hop コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。

match ip next-hop { acl... } | prefix-list prefix_list

no match ip next-hop { acl... } | prefix-list prefix_list

 
構文の説明

acl

ACL の名前です。複数の ACL を指定できます。

prefix-list prefix_list

プレフィクス リストの名前です。

 
デフォルト

ルートは自由に配布されます。ネクスト ホップ アドレスに一致する必要はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

コマンドの構文にある省略符号(...)は、コマンド入力で acl 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。

match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。

ルート マップを介してルートを渡す場合、ルート マップがいくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを変更するには、別のルート マップ セクションを設定し、明確な一致基準を指定する必要があります。

次の例では、アクセス リスト acl_dmz1 または acl_dmz2 によって渡されるネクスト ホップ ルータ アドレスを持つルートを配布する方法を示します。

hostname(config)# route-map name
hostname(config-route-map)# match ip next-hop acl_dmz1 acl_dmz2
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したアクセス リストのいずれかによって渡されるネクスト ホップ ルータ アドレスを持つルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

match ip route-source

ルータによってアドバタイズされ、ACL が指定するアドレスでサーバにアクセスするルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip route-source コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。

match ip route-source { acl... } | prefix-list prefix_list

no match ip route-source { acl... }

 
構文の説明

acl

ACL の名前です。複数の ACL を指定できます。

prefix_list

プレフィクス リストの名前です。

 
デフォルト

ルートの送信元ではフィルタリングは実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

コマンドの構文にある省略符号(...)は、コマンド入力で access-list-name 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。

match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。

ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを変更するには、別のルート マップ セクションを設定し、明確な一致基準を指定する必要があります。ルートのネクスト ホップ アドレスおよび送信元ルータ アドレスは、状況によって異なります。

次の例では、ルータによってアドバタイズされ、acl_dmz1 および acl_dmz2 の ACL で指定されたアドレスでサーバにアクセスするルートを配布する方法を示します。

hostname(config)# route-map name
hostname(config-route-map)# match ip route-source acl_dmz1 acl_dmz2
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定した ACL のいずれかによって渡されるネクスト ホップ ルータ アドレスを持つルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

match login-name

インスタント メッセージングのクライアント ログイン名の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] login-name regex [regex_name | class regex_class_name]

no match [not] login-name regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。

次の例では、インスタント メッセージング クラス マップでクライアント ログイン名の一致条件を設定する方法を示します。

hostname(config)# class-map type inspect im im_class
hostname(config-cmap)# match login-name regex login
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match media-type

H.323 メディア タイプの一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match media-type コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] media-type [audio | data | video]

no match [not] media-type [audio | data | video]

 
構文の説明

audio

オーディオ メディア タイプを照合することを指定します。

data

データ メディア タイプを照合することを指定します。

video

ビデオ メディア タイプを照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、H.323 インスペクション クラス マップでオーディオ メディア タイプの一致条件を設定する方法を示します。

hostname(config-cmap)# match media-type audio
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match message id

GTP メッセージ ID の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message id コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] message id [message_id | range lower_range upper_range]

no match [not] message id [message_id | range lower_range upper_range]

 
構文の説明

message_id

1 ~ 255 の英数字 ID を指定します。

range lower_range upper_range

ID の下限と上限を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、GTP インスペクション クラス マップでメッセージ ID の一致条件を設定する方法を示します。

hostname(config-cmap)# match message id 33
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match message length

GTP メッセージ ID の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message length コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] message length min min_length max max_length

no match [not] message length min min_length max max_length

 
構文の説明

min min_length

メッセージ ID の最小の長さを指定します。値の範囲は 1 ~ 65536 です。

max max_length

メッセージ ID の最大長を指定します。値の範囲は 1 ~ 65536 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、GTP インスペクション クラス マップでメッセージ長の一致条件を設定する方法を示します。

hostname(config-cmap)# match message length min 8 max 200
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match message-path

Via ヘッダー フィールドで指定されているとおりに SIP メッセージによって取得されるパスの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message-path コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] message-path regex [regex_name | class regex_class_name]

no match [not] message-path regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。

次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。

hostname(config-cmap)# match message-path regex class sip_message
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match mime

ESMTP mime エンコーディング タイプ、mime ファイル名の長さ、または mime ファイル タイプに関する一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match mime コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] mime [encoding type | filename length gt bytes | filetype regex]

no match [not] mime [encoding type | filename length gt bytes | filetype regex]

 
構文の説明

encoding type

エンコーディング タイプに関して照合することを指定します。

filename length gt bytes

ファイル名の長さに関して照合することを指定します。

filetype regex

ファイル タイプに関して照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップで mime ファイル名の長さに関する一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect esmtp esmtp_map

hostname(config-pmap)# match mime filename length gt 255

 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match passive-ftp

FTP 転送のためのパッシブ FTP トラフィック コマンド PASV および EPSV の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match active-ftp コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] passive-ftp

no match [not] passive-ftp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

この機能を使用可能にするには厳密な FTP インスペクションを行う必要があります。詳細については、 inspect ftp コマンドの strict キーワードを参照してください。

次の設定では、接続のリセットおよびすべてのパッシブ FTP 接続の許可とロギングによって、すべてのアクティブ FTP トラフィックがグローバルに拒否されます。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# exit
hostname(config)# policy-map type inspect ftp inspect-strict-ftp
hostname(config-pmap)# parameters
hostname(config-pmap-p)# match active-ftp
hostname(config-pmap-p)# reset
hostname(config-pmap-p)# match passive-ftp
hostname(config-pmap-p)# reset log
hostname(config-pmap-p)# exit
hostname(config)# policy-map global_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect ftp strict inspect-strict-ftp
hostname(config-pmap-c)# exit
hostname(config)# service-policy global_policy global
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match peer-ip-address

インスタント メッセージングのピア IP アドレスの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match peer-ip-address コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] peer-ip-address ip_address ip_address_mask

no match [not] peer-ip-address ip_address ip_address_mask

 
構文の説明

ip_address

クライアントまたはサーバのホスト名または IP アドレスを指定します。

IP_address_mask

クライアントまたはサーバの IP アドレスのネットマスクを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。

次の例では、インスタント メッセージング クラス マップでピア IP アドレスの一致条件を設定する方法を示します。

hostname(config)# class-map type inspect im im_class
hostname(config-cmap)# match peer-ip-address 10.1.1.0 255.255.255.0
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match peer-login-name

インスタント メッセージングのピア ログイン名の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match peer-login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] peer-login-name regex [regex_name | class regex_class_name]

no match [not] peer-login-name regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。

次の例では、インスタント メッセージング クラス マップでピア ログイン名の一致条件を設定する方法を示します。

hostname(config)# class-map type inspect im im_class
hostname(config-cmap)# match peer-login-name regex peerlogin
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match port

モジュラ ポリシー フレームワークを使用する場合、クラス マップ コンフィギュレーション モードで match port コマンドを使用して、アクションを適用する TCP ポートまたは UDP ポートを照合します。 match port コマンドを削除するには、このコマンドの no 形式を使用します。

match port { tcp | udp } { eq port | range beg_port end_port }

no match port { tcp | udp } { eq port | range beg_port end_port }

 
構文の説明

eq port

ポート名または番号を 1 つ指定します。

range beg_port end_port

ポート範囲の開始値と終了値(1 ~ 65535)を指定します。

tcp

TCP ポートを指定します。

udp

UDP ポートを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

class-map コマンドを入力した後、 matchport コマンドを入力してトラフィックを指定できます。あるいは、異なるタイプの match コマンド( match access-list コマンドなど)を入力できます( class-map type management コマンドのみが match port コマンドを許可します)。クラス マップに含めることができる match port コマンドは 1 つだけです。このコマンドを別のタイプの match コマンドと組み合わせることはできません。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

次の例では、クラス マップおよび match port コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq 8080
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match access-list

アクセス リストに従ってトラフィックを照合します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match precedence

クラス マップ内の優先順位値を指定するには、クラス マップ コンフィギュレーション モードで match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match precedence value

no match precedence value

 
構文の説明

value

スペースで区切られた最大 4 つの優先順位値を指定します。指定できる範囲は 0 ~ 7 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

IP ヘッダー内の TOS バイトで表現された値を指定するには、 match precedence コマンドを使用します。

次の例では、クラス マップおよび match precedence コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match precedence 1
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match protocol

特定のインスタント メッセージング プロトコル(MSN、Yahoo など)の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match protocol コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] protocol {msn-im | yahoo-im}

no match [not] protocol {msn-im | yahoo-im}

 
構文の説明

msn-im

MSN インスタント メッセージング プロトコルと照合することを指定します。

yahoo-im

Yahoo インスタント メッセージング プロトコルと照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。

次の例では、インスタント メッセージング クラス マップで Yahoo インスタント メッセージング プロトコルの一致条件を設定する方法を示します。

hostname(config)# class-map type inspect im im_class
hostname(config-cmap)# match protocol yahoo-im
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match question

DNS クエスチョンまたはリソース レコードの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match question コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。

match {question | {resource-record answer | authority | additional}}

no match {question | {resource-record answer | authority | additional}}

 
構文の説明

question

DNS メッセージのクエスチョン部分を指定します。

resource-record

DNS メッセージのリソース レコード部分を指定します。

answer

Answer(回答)RR セクションを指定します。

authority

Authority(権威)RR セクションを指定します。

additional

Additional(追加)RR セクションを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、このコマンドは DNS ヘッダーをインスペクトし、指定したフィールドと照合します。他の DNS match コマンドと組み合わせて使用し、特定のクエスチョンまたは RR タイプのインスペクションを定義できます。

このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。

次の例では、DNS インスペクション ポリシー マップで、DNS クエスチョンの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# match question
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match req-resp

HTTP 要求と HTTP 応答の一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match req-resp コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] req-resp content-type mismatch

no match [not] req-resp content-type mismatch

 
構文の説明

content-type

応答のコンテンツ タイプを要求の受け入れタイプと照合するように指定します。

mismatch

応答のコンテンツ タイプ フィールドが要求の受け入れフィールドの mime タイプのいずれかと一致している必要があることを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、次のチェックがイネーブルになります。

ヘッダーの content-type の値が、サポートされているコンテンツ タイプの内部リストにあることを確認します。

ヘッダーの content-type が、データ内の実際のコンテンツまたはメッセージのエンティティ本体の部分と一致していることを確認します。

HTTP 応答のコンテンツ タイプ フィールドが、対応する HTTP 要求メッセージの accept フィールドと一致していることを確認します。

メッセージが上記のいずれかのチェックに合格しなかった場合、適応型セキュリティ アプライアンスは設定されたアクションを実行します。

次に、サポートされているコンテンツ タイプのリストを示します。

 

audio/* |

audio/basic |

video/x-msvideo

audio/mpeg |

audio/x-adpcm |

audio/midi

audio/x-ogg |

audio/x-wav |

audio/x-aiff |

application/octet-stream

application/pdf

application/msword

application/vnd.ms-excel

application/vnd.ms-powerpoint

application/postscript

application/x-java-arching

application/x-msn-messenger

application/x-gzip

image |

application/x-java-xm

application/zip

image/jpeg |

image/cgf |

image/gif |

image/x-3ds |

image/png |

image/tiff |

image/x-portable-bitmap |

image/x-bitmap |

image/x-niff |

text/* |

image/x-portable-greymap |

image/x-xpm |

text/plain |

text/css

text/html |

text/xmcd

text/richtext |

text/sgml

video/-flc

text/xml

video/*

video/sgi

video/mpeg

video/quicktime

video/x-mng

video/x-avi

video/x-fli

このリストのコンテンツ タイプの一部は、対応する正規表現(マジック ナンバー)がないため、メッセージの本体部分で確認できない場合があります。その場合、この HTTP メッセージは許可されます。

次の例では、HTTP ポリシー マップで HTTP メッセージのコンテンツ タイプに基づいて HTTP トラフィックを制限する方法を示します。

hostname(config)# policy-map type inspect http http_map
hostname(config-pmap)# match req-resp content-type mismatch
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match request-command

特定の FTP コマンドを制限するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match request-command コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] request-command ftp_command [ftp_command...]

no match [not] request-command ftp_command [ftp_command...]

 
構文の説明

ftp_command

制限する FTP コマンドを 1 つ以上指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、FTP インスペクション ポリシー マップで特定の FTP コマンドの一致条件を設定する方法を示します。

hostname(config)# policy-map type inspect ftp ftp_map1
hostname(config-pmap)# match request-command stou
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match request-method

SIP メソッド タイプの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match request-method コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] request-method method_type

no match [not] request-method method_type

 
構文の説明

method_type

RFC 3261 およびサポートされている拡張機能に応じてメソッド タイプを指定します。サポートされているメソッド タイプには、ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update などがあります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。

次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。

hostname(config-cmap)# match request-method ack
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match request method

HTTP 要求の一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match request method コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] request {built-in-regex | regex {regex_name | class class_map_name}}

no match [not] request {built-in-regex | regex {regex_name | class class_map_name}}

 
構文の説明

built-in-regex

コンテンツ タイプ、メソッド、または転送エンコーディングに組み込み regex を指定します。

class class_map name

regex タイプのクラス マップの名前を指定します。

regex regex_name

regex コマンドを使用して設定された正規表現の名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

 

表 19-1 組み込み Regex の値

bcopy

bdelete

bmove

bpropfind

bproppatch

connect

copy

delete

edit

get

getattribute

getattributenames

getproperties

head

index

lock

mkcol

mkdir

move

notify

options

poll

post

propfind

proppatch

put

revadd

revlabel

revlog

revnum

save

search

setattribute

startrev

stoprev

subscribe

trace

unedit

unlock

unsubscribe

次の例では、「GET」メソッドまたは「PUT」メソッドを使用して「www\.xyz.com/.*\.asp」または「www\.xyz[0-9][0-9]\.com」にアクセスしようとする、すべての HTTP 接続の許可およびログへの記録を行う HTTP インスペクション ポリシー マップを定義する方法を示します。他のすべての URL とメソッドの組み合わせは、通知なしで許可されます。

hostname(config)# regex url1 "www\.xyz.com/.*\.asp
hostname(config)# regex url2 "www\.xyz[0-9][0-9]\.com"
hostname(config)# regex get "GET"
hostname(config)# regex put "PUT"
hostname(config)# class-map type regex match-any url_to_log
hostname(config-cmap)# match regex url1
hostname(config-cmap)# match regex url2
hostname(config-cmap)# exit
hostname(config)# class-map type regex match-any methods_to_log
hostname(config-cmap)# match regex get
hostname(config-cmap)# match regex put
hostname(config-cmap)# exit
hostname(config)# class-map type inspect http http_url_policy
hostname(config-cmap)# match request uri regex class url_to_log
hostname(config-cmap)# match request method regex class methods_to_log
hostname(config-cmap)# exit
hostname(config)# policy-map type inspect http http_policy
hostname(config-pmap)# class http_url_policy
hostname(config-pmap-c)# log
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match route-type

指定したタイプのルートを再配布するには、ルート マップ コンフィギュレーション モードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。

match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}

no match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}

 
構文の説明

local

ローカルに生成された BGP ルートです。

internal

OSPF のエリア内ルートおよびエリア間ルート、または EIGRP の内部ルートです。

external

OSPF の外部ルートまたは EIGRP の外部ルートです。

type-1

(任意)ルート タイプ 1 を指定します。

type-2

(任意)ルート タイプ 2 を指定します。

nssa-external

外部 NSSA を指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルート マップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。

match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。

ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを変更するには、別のルート マップ セクションを設定し、明確な一致基準を指定する必要があります。

OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートのみと一致し、 external type-2 キーワードはタイプ 2 外部キーワードのみと一致します。

次の例では、内部ルートを再配布する方法を示します。

hostname(config)# route-map name
hostname(config-route-map)# match route-type internal
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したアクセス リストのいずれかによって渡されるネクスト ホップ ルータ アドレスを持つルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

match rtp

クラス マップで偶数ポートの UDP ポート範囲を指定するには、クラス マップ コンフィギュレーション モードで match rtp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match rtp starting_port range

no match rtp starting_port range

 
構文の説明

starting_port

偶数の UDP 宛先ポートの下限を指定します。範囲は 2000 ~ 65535 です。

range

RTP ポートの範囲を指定します。範囲は 0 ~ 16383 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

RTP ポート( starting_port starting_port range を加えた範囲の UDP の偶数ポート番号)を照合するには、 match RTP コマンドを使用します。

次の例では、クラス マップおよび match rtp コマンドを使用して、トラフィック クラスを定義する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match rtp 20000 100
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match sender-address

ESMTP 送信者電子メールアドレスの一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match sender-address コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

match [not] sender-address [length gt bytes | regex regex]

no match [not] sender-address [length gt bytes | regex regex]

 
構文の説明

length gt bytes

送信者電子メールアドレスの長さを照合することを指定します。

regex regex

正規表現を照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ESMTP インスペクション ポリシー マップで 320 文字を超える長さの送信者電子メール アドレスの一致条件を設定する方法を示します。

hostname(config-pmap)# match sender-address length gt 320
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match server

FTP サーバの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match server コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] server regex [regex_name | class regex_class_name]

no match [not] server regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

適応型セキュリティ アプライアンスは、FTP サーバに接続するときにログイン プロンプトの上に表示されるサーバ メッセージの最初の 220 個を使用してサーバ名を照合します。この 220 個のサーバ メッセージには複数の行が含まれる場合があります。このサーバ照合は、DNS を使用して解決されたサーバ名の FQDN には基づいていません。

次の例では、FTP インスペクション ポリシー マップで FTP サーバの一致条件を設定する方法を示します。

hostname(config-pmap)# match server class regex ftp-server

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match service

特定のインスタント メッセージング サービスの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match service コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}

no match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}

 
構文の説明

chat

インスタント メッセージングのチャット サービスを照合することを指定します。

file-transfer

インスタント メッセージングのファイル転送サービスを照合することを指定します。

games

インスタント メッセージングのゲーム サービスを照合することを指定します。

voice-chat

インスタント メッセージングの音声チャット サービスを照合することを指定します。

webcam

インスタント メッセージングの webcam サービスを照合することを指定します。

conference

インスタント メッセージングの会議サービスを照合することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。

次の例では、インスタント メッセージング クラス マップでチャット サービスの一致条件を設定する方法を示します。

hostname(config)# class-map type inspect im im_class
hostname(config-cmap)# match service chat
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match third-party-registration

サードパーティ登録の要求者の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match third-party-registration コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] third-party-registration regex [regex_name | class regex_class_name]

no match [not] third-party-registration regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。

third-party registration match コマンドは、SIP レジスタまたは SIP プロキシを使用して他のユーザを登録できるユーザを識別するために使用されます。From 値と To 値が一致しない場合には、REGISTER メッセージの From ヘッダー フィールドによって識別されます。

次の例では、SIP インスペクション クラス マップでサードパーティ登録の一致条件を設定する方法を示します。

hostname(config-cmap)# match third-party-registration regex class sip_regist
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match tunnel-group

以前に定義したトンネル グループに属するクラス マップでトラフィックを照合するには、クラス マップ コンフィギュレーション モードで match tunnel-group コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match tunnel-group name

no match tunnel-group name

 
構文の説明

name

トンネル グループ名のテキストです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address コマンドと match tunnel-group コマンドを class-map コマンド、 policy-map コマンド、および service-policy コマンドとともに使用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシングは、 police コマンドを使用して適用されます。指定したレートにトンネル グループ内の各トンネルをポリシングするには、 match tunnel-group match flow ip destination-address とともに使用します。

次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。

hostname(config)# class-map cmap
hostname(config-cmap)# match tunnel-group
hostname(config-cmap)# match flow ip destination-address
hostname(config-cmap)# exit
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# police 56000
hostname(config-pmap)# exit
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラス マップ内のアクセス リスト トラフィックを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

tunnel-group

IPSec および L2TP の接続固有レコードのデータベースを作成し、管理します。

match uri

SIP ヘッダーの URI の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match uri コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] uri {sip | tel} length gt gt_bytes

no match [not] uri {sip | tel} length gt gt_bytes

 
構文の説明

sip

SIP URI を指定します。

tel

TEL URI を指定します。

length gt gt_bytes

URI の最大長を指定します。値の範囲は 0 ~ 65536 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。

次の例では、SIP メッセージの URI の一致条件を設定する方法を示します。

hostname(config-cmap)# match uri sip length gt
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match url-filter

RTSP メッセージで URL フィルタリングの一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match url-filter コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] url-filter regex [regex_name | class regex_class_name]

no match [not] url-filter regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、RTSP クラス マップまたは RTSP ポリシー マップで設定できます。

次の例では、RTSP インスペクション ポリシー マップで URL フィルタリングの一致条件を設定する方法を示します。

hostname(config)# regex badurl www.url1.com/rtsp.avi
hostname(config)# policy-map type inspect rtsp rtsp-map
hostname(config-pmap)# match url-filter regex badurl
hostname(config-pmap-p)# drop-connection
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match username

FTP ユーザ名の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match username コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] username regex [regex_name | class regex_class_name]

no match [not] username regex [regex_name | class regex_class_name]

 
構文の説明

regex_name

正規表現を指定します。

class regex_class_name

正規表現のクラス マップを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、FTP インスペクション クラス マップで FTP ユーザ名の一致条件を設定する方法を示します。

hostname(config)# class-map type inspect ftp match-all ftp_class1
hostname(config-cmap)# match username regex class ftp_regex_user
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match version

GTP メッセージ ID の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message length コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。

match [not] version [version_id | range lower_range upper_range]

no match [not] version [version_id | range lower_range upper_range]

 
構文の説明

vresion_id

バージョン(0 ~ 255)を指定します。

range lower_range upper_range

バージョンの下限と上限を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップまたはポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。

次の例では、GTP インスペクション クラス マップでメッセージ バージョンの一致条件を設定する方法を示します。

hostname(config-cmap)# match version 1
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

clear configure class-map

すべてのクラス マップを削除します。

match any

クラス マップにすべてのトラフィックを含めます。

match port

クラス マップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

max-failed-attempts

サーバ グループ内にある所定のサーバに対して許容される接続試行の失敗数(この数を超えるとそのサーバは無効になる)を指定するには、AAA サーバ グループ コンフィギュレーション モードで max-failed-attempts コマンドを使用します。この指定を削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。

max-failed-attempts number

no max-failed-attempts

 
構文の説明

number

前の aaa-server コマンドで指定したサーバ グループ内の所定のサーバに対して許容される接続試行の失敗数を指定する 1 ~ 5 の範囲の整数です。

 
デフォルト

number のデフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ グループ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを発行する前に、AAA サーバ/グループを設定しておく必要があります。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 4
hostname(config-aaa-server-group)#
 

 
関連コマンド

コマンド
説明

aaa-server server-tag protocol protocol

AAA サーバ グループ コンフィギュレーション モードを開始して、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

AAA サーバ コンフィギュレーションをすべて削除します。

show running-config aaa

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

max-forwards-validation

Max-forwards ヘッダー フィールドが 0 であるかどうかのチェックをイネーブルにするには、パラメータ コンフィギュレーション モードで max-forwards-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

max-forwards-validation action {drop | drop-connection | reset | log} [log}

no max-forwards-validation action {drop | drop-connection | reset | log} [log}

 
構文の説明

drop

検証発生時にパケットをドロップします。

drop-connection

違反が発生した場合、接続をドロップします。

reset

違反が発生した場合、接続をリセットします。

log

違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、宛先までのホップ数をカウントします。宛先に到達する前にホップ数が 0 になることはありません。

次の例では、SIP インスペクション ポリシー マップで max forwards validation をイネーブルにする方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# max-forwards-validation action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

max-header-length

HTTP ヘッダーの長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-header-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。

max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]

no max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]

 
構文の説明

action

メッセージがこのコマンド インスペクションに合格しなかったときに実行されるアクションです。

allow

メッセージを許可します。

drop

接続を閉じます。

bytes

バイト数です。範囲は 1 ~ 65535 です。

log

(任意)syslog を生成します。

request

メッセージを要求します。

reset

クライアントおよびサーバに TCP リセット メッセージを送信します。

response

(任意)メッセージに応答します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

max-header-length コマンドをイネーブルにすると、適応型セキュリティ アプライアンスは、設定された制限内の HTTP ヘッダーを持つメッセージのみを許可します。それ以外の場合は、指定されたアクションを実行します。適応型セキュリティ アプライアンスで TCP 接続をリセットし、オプションで syslog エントリを作成するには action キーワードを使用します。

次の例では、HTTP 要求を 100 バイト以下の HTTP ヘッダーを持つものに制限します。ヘッダーが大きすぎる場合、適応型セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# max-header-length request bytes 100 action log reset
hostname(config-http-map)#
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

inspect http

アプリケーション インスペクション用に特定の HTTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

max-object-size

WebVPN セッションに対して適応型セキュリティ アプライアンスがキャッシュできるオブジェクトの最大サイズを設定するには、キャッシュ モードで max-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。

max-object-size integer range

 
構文の説明

integer range

0 ~ 10000 KB です。

 
デフォルト

1000 KB

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

キャッシュ モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

最大オブジェクト サイズは、最小オブジェクト サイズよりも大きくする必要があります。キャッシュ圧縮がイネーブルになっている場合、適応型セキュリティ アプライアンスは、オブジェクトを圧縮してからサイズを計算します。

次の例では、最大オブジェクト サイズを 4000 KB に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# max-object-size 4000
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードを開始します。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシュをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシュに関する再確認ポリシーを設定します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

max-retry-attempts

SSO 認証の試行に失敗したときに適応型セキュリティ アプライアンスが再試行する回数(この回数を超えると要求がタイムアウトになります)を設定するには、特定の SSO サーバ タイプに対して webvpn コンフィギュレーション モードで max-retry-attempts コマンドを使用します。

デフォルト値に戻すには、このコマンドの no 形式を使用します。

max-retry-attempts retries

no max-retry-attempts

 
構文の説明

retries

SSO 認証の試行に失敗したときに適応型セキュリティ アプライアンスが再試行する回数です。再試行の回数の範囲は 1 ~ 5 回です。

 
デフォルト

このコマンドのデフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-webvpn-sso-saml

--

--

--

config-webvpn-sso-siteminder

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスが現在サポートしているのは、SSO サーバの SiteMinder タイプと SAML POST タイプの SSO サーバです。

このコマンドは SSO サーバの両タイプに適用されます。

SSO 認証をサポートするように適応型セキュリティ アプライアンスを設定したら、オプションで 2 つのタイムアウト パラメータを調整できます。

SSO 認証の試行に失敗したときに適応型セキュリティ アプライアンスが max-retry-attempts コマンドを使用して再試行する回数。

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数( request-timeout コマンドを参照)。

次の例(webvpn-sso-siteminder コンフィギュレーション モードで入力)では、my-sso-server という名前の SiteMinder SSO サーバの認証の再試行を 4 回に設定します。

hostname(config-webvpn)# sso-server my-sso-server type siteminder
hostname(config-webvpn-sso-siteminder)# max-retry-attempts 4
hostname(config-webvpn-sso-siteminder)#

 
関連コマンド

コマンド
説明

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

max-uri-length

HTTP 要求メッセージの URI 長に基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-uri-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。

max-uri-length bytes action { allow | reset | drop } [ log ]

no max-uri-length bytes action { allow | reset | drop } [ log ]

 
構文の説明

action

メッセージがこのコマンド インスペクションに合格しなかったときに実行されるアクションです。

allow

メッセージを許可します。

drop

接続を閉じます。

bytes

バイト数です。範囲は 1 ~ 65535 です。

log

(任意)syslog を生成します。

reset

クライアントおよびサーバに TCP リセット メッセージを送信します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

max-uri-length コマンドをイネーブルにすると、適応型セキュリティ アプライアンスは、設定された制限内の URI を持つメッセージのみを許可します。それ以外の場合は、指定されたアクションを実行します。適応型セキュリティ アプライアンスに TCP 接続をリセットさせて、Syslog エントリを作成させるには、 action キーワードを使用します。

設定した値以下の長さの URI は許可されます。それ以外の場合は、指定されたアクションが実行されます。

次の例では、HTTP 要求を 100 バイト以下の URI を持つものに制限します。URI が大きすぎる場合、適応型セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# max-uri-length 100 action reset log
hostname(config-http-map)#
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

inspect http

アプリケーション インスペクション用に特定の HTTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

mcc

IMSI プレフィクス フィルタリングのモバイル国コードとモバイル ネットワーク コードを指定するには、GTP マップ コンフィギュレーション モードで mcc コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

mcc country_code mnc network_code

no mcc country_code mnc network_code

 
構文の説明

country_code

モバイル国コードを指定する 0 以外の 3 桁の値です。1 桁または 2 桁のエントリは先頭に 0 が追加され 3 桁の値になります。

network_code

ネットワーク コードを指定する 2 桁または 3 桁の値です。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは有効な MCC/MNC の組み合わせをチェックしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IMSI プレフィクス フィルタリングのために使用されます。受信パケットの IMSI 内の MCC および MNC は、このコマンドで設定された MCC/MNC と比較され、一致しない場合はドロップされます。

IMSI プレフィクス フィルタリングをイネーブルにするには、このコマンドを使用する必要があります。複数のインスタンスを設定して、許可された MCC と MNC の組み合わせを指定できます。デフォルトでは、適応型セキュリティ アプライアンスは、MNC と MCC の組み合わせの有効性をチェックしないため、設定した組み合わせの有効性を確認する必要があります。MCC コードと MNC コードの詳細については、ITU E.212 の推奨事項である『 Identification Plan for Land Mobile Stations 』を参照してください。

次の例では、111 の MCC と 222 の MNC で IMSI プレフィクス フィルタリングのトラフィックを指定します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# mcc 111 mnc 222
hostname(config-gtpmap)#
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

media-termination

Phone Proxy 機能へのメディア接続のために使用するメディア ターミネーション インスタンスを指定するには、グローバル コンフィギュレーション モードで media-termination コマンドを使用します。

Phone Proxy コンフィギュレーションからメディア ターミネーション アドレスを削除するには、このコマンドの no 形式を使用します。

media-termination instance_name

no media-termination instance_name

 
構文の説明

instance_name

メディア ターミネーション アドレスを使用するインターフェイスの名前を指定します。1 つのインターフェイスにつき設定できるメディア ターミネーション アドレスは 1 つのみです。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

8.2(1)

このコマンドは、NAT をメディア ターミネーション アドレスとともに使用できるように更新されました。コマンド構文から rtp-min-port キーワードと rtp-max-ports キーワードが削除され、別々のコマンドとして組み込まれました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、次の基準を満たすメディア ターミネーションの IP アドレスを持っている必要があります。

メディア ターミネーション インスタンスの場合、すべてのインターフェイスにグローバル メディア ターミネーション アドレスを設定できます。また、さまざまなインターフェイスにメディア ターミネーション アドレスを設定できます。ただし、各インターフェイスに設定したグローバル メディア ターミネーション アドレスとメディア ターミネーション アドレスは同時に使用できません。

複数のインターフェイスにメディア ターミネーション アドレスを設定する場合、適応型セキュリティ アプライアンスが IP 電話との通信時に使用する各インターフェイスにアドレスを設定する必要があります。

これらの IP アドレスは、そのインターフェイスのアドレス範囲内の使用されていない IP アドレスで、パブリックにルーティング可能です。

メディア ターミネーション インスタンスの作成時、およびメディア ターミネーション アドレスの設定時に従うべき前提条件の完全なリストについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

次に、media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。

hostname(config-phone-proxy)# media-termination mta_instance1
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

media-type

メディア タイプを銅線またはファイバ ギガビット イーサネットに設定するには、インターフェイス コンフィギュレーション モードで media-type コマンドを使用します。ファイバ SFP コネクタは、ASA 5500 シリーズ適応型セキュリティ アプライアンスの 4GE SSM で使用できます。メディア タイプ設定をデフォルトに戻すには、このコマンドの no 形式を使用します。

media-type { rj45 | sfp }

no media-type [ rj45 | sfp ]

 
構文の説明

rj45

(デフォルト)メディア タイプを RJ-45 銅線コネクタに設定します。

sfp

メディア タイプをファイバ SFP コネクタに設定します。

 
デフォルト

デフォルトは rj45 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

sfp 設定は固定速度(1000 Mbps)を使用するため、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされていません。

次の例では、メディア タイプを SFP に設定します。

hostname(config)# interface gigabitethernet1/1
hostname(config-if)# media-type sfp
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show running-config interface

インターフェイス コンフィギュレーションを表示します。

speed

インターフェイスの速度を設定します。

member

コンテキストをリソース クラスに割り当てるには、コンテキスト コンフィギュレーション モードで member コマンドを使用します。クラスからコンテキストを削除するには、このコマンドの no 形式を使用します。

member class_name

no member class_name

 
構文の説明

class_name

class コマンドを使用して作成したクラス名を指定します。

 
デフォルト

デフォルトでは、コンテキストはデフォルト クラスに割り当てられます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストが適応型セキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。適応型セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

次の例では、test というコンテキストを gold というクラスに割り当てます。

hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 

 
関連コマンド

コマンド
説明

class

リソース クラスを作成します。

context

セキュリティ コンテキストを設定します。

limit-resource

リソースに対して制限を設定します。

show resource allocation

リソースを各クラスにどのように割り当てたかを表示します。

show resource types

制限を設定できるリソース タイプを表示します。

member-interface

冗長インターフェイスに物理インターフェイスを割り当てるには、インターフェイス コンフィギュレーション モードで member-interface コマンドを使用します。このコマンドは、冗長インターフェイス タイプに対してのみ使用できます。冗長インターフェイスには、2 つのメンバー インターフェイスを割り当てることができます。メンバー インターフェイスを削除するには、このコマンドの no 形式を使用します。ただし、冗長インターフェイスからは両方のメンバー インターフェイスを削除できません。冗長インターフェイスには、少なくとも 1 つのメンバー インターフェイスが必要です。

member-interface physical_interface

no member-interface physical_interface

 
構文の説明

physical_interface

インターフェイス ID( gigabit ethernet 0/1 など)を指定します。有効値については、 interface コマンドを参照してください。両方のメンバー インターフェイスが同じ物理タイプである必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

両方のメンバー インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず no nameif コマンドを使用して名前を削除する必要があります。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが物理パラメータ( speed コマンド、 duplex コマンド、 description コマンド、 shutdown コマンドなど)です。また、 default help などの実行時コマンドを入力することもできます。

アクティブなインターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

アクティブなインターフェイスを変更するには、 redundant-interface コマンドを入力します。

冗長インターフェイスは、最初に追加する物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが妨げられないように同じ MAC アドレスが維持されます。

次の例では、2 つの冗長インターフェイスを作成します。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 0/0
hostname(config-if)# member-interface gigabitethernet 0/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 0/2
hostname(config-if)# member-interface gigabitethernet 0/3
 

 
関連コマンド

コマンド
説明

clear interface

show interface コマンドのカウンタをクリアします。

debug redundant-interface

冗長インターフェイスのイベントまたはエラーに関するデバッグ メッセージを表示します。

interface redundant

冗長インターフェイスを作成します。

redundant-interface

アクティブなメンバー インターフェイスを変更します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

memberof

このユーザがメンバーになっているグループ名のリストを指定するには、ユーザ名アトリビュート コンフィギュレーション モードで memberof コマンドを使用します。このアトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

memberof group_1 [ ,group_2, ... group_n ]

[ no ] memberof group_1 [ ,group_2, ... group_n ]

 
構文の説明

group_1 through group_n

このユーザが所属するグループを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このユーザが所属するグループ名をカンマ区切りリストで入力します。

次の例(グローバル コンフィギュレーション モードで入力)では、newuser というユーザ名を作成し、newuser が DevTest グループと management グループのメンバーであることを指定します。

hostname(config)# username newuser nopassword
hostname(config)# username newuser attributes
hostname(config-username)# memberof DevTest,management
hostname(config-username)#
 

 
関連コマンド

コマンド
説明

clear configure username

ユーザ名のデータベース全体または特定のユーザ名のみをクリアします。

show running-config username

特定のユーザまたはすべてのユーザの、現在実行中のユーザ名コンフィギュレーションを表示します。

username

ユーザ名のデータベースを作成して管理します。

memory delayed-free-poisoner enable

delayed free-memory poisoner ツールをイネーブルにするには、特権 EXEC モードで memory delayed-free-poisoner enable コマンドを使用します。delayed free-memory poisoner ツールをディセーブルにするには、このコマンドの no 形式を使用します。delayed free-memory poisoner ツールを使用すると、アプリケーションに解放された後のメモリの変化をモニタリングできます。

memory delayed-free-poisoner enable

no memory delayed-free-poisoner enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、 memory delayed-free-poisoner enable コマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

delayed free-memory poisoner ツールをイネーブルにすると、メモリ使用状況およびシステム パフォーマンスに重大な影響を及ぼします。このコマンドは、Cisco TAC の指導の下でのみ使用する必要があります。システムの使用頻度が高いときは、実稼動環境でこのコマンドを使用しないでください。

このツールをイネーブルにすると、適応型セキュリティ アプライアンスで実行中のアプリケーションからメモリを解放する要求が FIFO キューに書き込まれます。各要求がこのキューに書き込まれると、低レベルのメモリ管理に不要なメモリの各関連バイトは、値 0xcc が書き込まれて「無効化」されます。

メモリ開放要求は、空メモリ プール内のメモリよりも多くのメモリがアプリケーションで必要になるまでキューに保持されます。メモリが必要になると、最初のメモリ開放要求がキューから引き出され、無効化されたメモリが検証されます。

メモリが変更されなかった場合、このメモリは低レベル メモリ プールに戻され、このツールは、最初の要求を行ったアプリケーションからメモリ要求を再発行します。このプロセスは、要求元のアプリケーションにとって十分なメモリが開放されるまで続行されます。

無効化されたメモリが変更済みの場合、システムは、強制クラッシュし、クラッシュの原因を判断するための診断出力を生成します。

delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。検証は、 memory delayed-free-poisoner validate コマンドを使用して手動で開始することもできます。

このコマンドの no 形式を使用すると、キュー内の要求が参照しているすべてのメモリは空きメモリ プールに戻されます。このとき、メモリの検証および統計カウンタは消去されません。

次の例では、delayed free-memory poisoner ツールをイネーブルにします。

hostname# memory delayed-free-poisoner enable
 

次に、delayed free-memory poisoner ツールが不正なメモリ再使用を検出した場合の出力例を示します。

delayed-free-poisoner validate failed because a
data signature is invalid at delayfree.c:328.
 
heap region: 0x025b1cac-0x025b1d63 (184 bytes)
memory address: 0x025b1cb4
byte offset: 8
allocated by: 0x0060b812
freed by: 0x0060ae15
 
Dumping 80 bytes of memory from 0x025b1c88 to 0x025b1cd7
025b1c80: ef cd 1c a1 e1 00 00 00 | ........
025b1c90: 23 01 1c a1 b8 00 00 00 15 ae 60 00 68 ba 5e 02 | #.........`.h.^.
025b1ca0: 88 1f 5b 02 12 b8 60 00 00 00 00 00 6c 26 5b 02 | ..[...`.....l&[.
025b1cb0: 8e a5 ea 10 ff ff ff ff cc cc cc cc cc cc cc cc | ................
025b1cc0: cc cc cc cc cc cc cc cc cc cc cc cc cc cc cc cc | ................
025b1cd0: cc cc cc cc cc cc cc cc | ........
 
An internal error occurred. Specifically, a programming assertion was
violated. Copy the error message exactly as it appears, and get the
output of the show version command and the contents of the configuration
file. Then call your technical support representative.
 
assertion "0" failed: file "delayfree.c", line 191
 

表 19-2 で、出力の重要部分について説明します。

 

表 19-2 不正なメモリ使用の出力についての説明

フィールド
説明

heap region

要求元のアプリケーションが使用できるアドレス領域とメモリ領域のサイズです。これは要求されたサイズと同じではありません。要求されたサイズは、メモリ要求が行われた時点でシステムがメモリを区分する方法によって小さくなる場合があります。

memory address

メモリ中の異常が検出された場所です。

byte offset

バイト オフセットは、ヒープ領域の先頭からの相対位置で、このアドレスで始まるデータ構造を保持するために結果が使用される場合には、変更されたフィールドを検索するために使用できます。値が 0 またはヒープ領域バイト カウントよりも大きい場合、問題は低レベル ヒープ パッケージの予期しない値であることを示している可能性があります。

allocated by/freed by

この特定のメモリ領域を対象にした最後の malloc/calloc/realloc および free コールが行われた命令アドレスです。

Dumping...

検出された異常がヒープ メモリ領域の先頭からどれだけ近いかに応じた、1 つまたは 2 つのメモリ領域のダンプです。システム ヒープ ヘッダーの次の 8 バイトは、さまざまなシステム ヘッダー値のハッシュおよびキュー リンケージを保持するためにこのツールが使用するメモリです。システム ヒープ トレーラが発生するまで、領域内の他のすべてのバイトは、0xcc に設定されている必要があります。

 
関連コマンド

コマンド
説明

clear memory delayed-free-poisoner

delayed free-memory poisoner ツールのキューおよび統計情報をクリアします。

memory delayed-free-poisoner validate

delayed free-memory poisoner ツールのキュー内要素の検証を強制実行します。

show memory delayed-free-poisoner

delayed free-memory poisoner ツールのキューの使用状況に関する要約を表示します。

memory delayed-free-poisoner validate

memory delayed-free-poisoner キュー内のすべての要素の検証を強制実行するには、特権 EXEC モードで memory delayed-free-poisoner validate コマンドを使用します。

memory delayed-free-poisoner validate

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

memory delayed-free-poisoner validate コマンドを使用する前に、 memory delayed-free-poisoner enable コマンドを使用して、delayed free-memory poisoner ツールをイネーブルにしておく必要があります。

memory delayed-free-poisoner validate コマンドを使用すると、 memory delayed-free-poisoner キューの各要素が検証されます。要素に予期しない値が含まれている場合、システムは、強制クラッシュし、クラッシュの原因を判断するための診断出力を生成します。予期しない値が含まれていない場合、要素はキューに残り、ツールによって通常どおりに処理されます。 memory delayed-free-poisoner validate コマンドを実行しても、キュー内のメモリはシステム メモリ プールに戻されません。


) delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。


次の例では、 memory delayed-free-poisoner キュー内のすべての要素を検証します。

hostname# memory delayed-free-poisoner validate
 

 
関連コマンド

コマンド
説明

clear memory delayed-free-poisoner

delayed free-memory poisoner ツールのキューおよび統計情報をクリアします。

memory delayed-free-poisoner enable

delayed free-memory poisoner ツールをイネーブルにします。

show memory delayed-free-poisoner

delayed free-memory poisoner ツールのキューの使用状況に関する要約を表示します。

memory caller-address

メモリの問題を分離できるようにコール トレースまたは発信者 PC のためのプログラム メモリの特定の範囲を設定するには、特権 EXEC モードで memory caller-address コマンドを使用します。発信者 PC は、メモリ割り当てプリミティブを呼び出したプログラムのアドレスです。アドレスの範囲を削除するには、このコマンドの no 形式を使用します。

memory caller-address startPC endPC

no memory caller-address

 
構文の説明

endPC

メモリ ブロックの終了アドレス範囲を指定します。

startPC

メモリ ブロックの開始アドレス範囲を指定します。

 
デフォルト

実際の発信者 PC は、メモリ トレース用に記録されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

メモリの問題を特定のメモリ ブロックに分離するには、 memory caller-address コマンドを使用します。

場合によっては、メモリ割り当てプリミティブの実際の発信者 PC が、プログラムの多くの場所で使用されている既知のライブラリ機能になります。プログラムの個々の場所を分離するには、ライブラリ機能の開始プログラム アドレスおよび終了プログラム アドレスを設定し、ライブラリ機能の発信者のプログラム アドレスを記録します。


) 発信者アドレスのトレースをイネーブルにすると、適応型セキュリティ アプライアンスのパフォーマンスが一時的に低下する場合があります。


  • 次の例では、 memory caller-address コマンドを使用して設定したアドレスの範囲、および show memory-caller address コマンドの表示結果を示します。
hostname# memory caller-address 0x00109d5c 0x00109e08
hostname# memory caller-address 0x009b0ef0 0x009b0f14
hostname# memory caller-address 0x00cf211c 0x00cf4464
 
hostname# show memory-caller address
Move down stack frame for the addresses:
pc = 0x00109d5c-0x00109e08
pc = 0x009b0ef0-0x009b0f14
pc = 0x00cf211c-0x00cf4464

 
関連コマンド

コマンド
説明

memory profile enable

メモリ使用状況(メモリ プロファイリング)のモニタリングをイネーブルにします。

memory profile text

プロファイルするメモリのテキスト範囲を設定します。

show memory

物理メモリの最大量とオペレーティング システムで現在使用可能な空きメモリ量について要約を表示します。

show memory binsize

特定のバイナリ サイズに割り当てられているチャンクの要約情報を表示します。

show memory profile

適応型セキュリティ アプライアンスのメモリ使用状況(プロファイリング)に関する情報を表示します。

show memory-caller address

適応型セキュリティ アプライアンスで設定されているアドレスの範囲を表示します。

memory profile enable

メモリ使用状況(メモリ プロファイリング)のモニタリングをイネーブルにするには、特権 EXEC モードで memory profile enable コマンドを使用します。メモリ プロファイリングをディセーブルにするには、このコマンドの no 形式を使用します。

memory profile enable peak peak_value

no memory profile enable peak peak_value

 
構文の説明

peak_value

メモリ使用状況のスナップショットがピーク使用状況のバッファに保存される、メモリ使用状況のしきい値を指定します。このバッファの内容を後で分析して、ピーク時のシステム メモリの必要量を判別できます。

 
デフォルト

デフォルトでは、メモリ プロファイリングはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

メモリ プロファイリングをイネーブルにする前に、まず memory profile text コマンドを使用して、メモリ テキストの範囲をプロファイルに設定する必要があります。

メモリの一部は、 clear memory profile コマンドを入力するまで、プロファイリング システムによって保持されます。 show memory status コマンドの出力を参照してください。


) メモリ プロファイリングをイネーブルにすると、適応型セキュリティ アプライアンスのパフォーマンスが一時的に低下する場合があります。


次の例では、メモリ プロファイリングをイネーブルにします。

hostname# memory profile enable

 
関連コマンド

コマンド
説明

memory profile text

プロファイルするメモリのテキスト範囲を設定します。

show memory profile

適応型セキュリティ アプライアンスのメモリ使用状況(プロファイリング)に関する情報を表示します。

memory profile text

プロファイルするメモリのプログラム テキスト範囲を設定するには、特権 EXEC モードで memory profile text コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

memory profile text { startPC endPC | all resolution }

no memory profile text { startPC endPC | all resolution }

 
構文の説明

all

メモリ ブロックのテキスト範囲全体を指定します。

endPC

メモリ ブロックの終了テキスト範囲を指定します。

resolution

送信元テキスト領域に対するトレースの精度を指定します。

startPC

メモリ ブロックの開始テキスト範囲を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

テキスト範囲が小さい場合、通常「4」の精度で命令へのコールをトレースします。テキスト範囲が大きい場合、通常最初のパスでは粗い精度で十分ですが、次のパスでは一連のより小さい領域に対してテキスト範囲を狭めることができます。

memory profile text コマンドを使用してテキスト範囲を入力したら、 memory profile enable コマンドを入力してメモリ プロファイリングを開始する必要があります。デフォルトでは、メモリ プロファイリングはディセーブルになっています。


) メモリ プロファイリングをイネーブルにすると、適応型セキュリティ アプライアンスのパフォーマンスが一時的に低下する場合があります。


次の例では、プロファイルするメモリのテキスト範囲を精度 4 で設定する方法を示します。

hostname# memory profile text 0x004018b4 0x004169d0 4
 

次の例では、テキスト範囲のコンフィギュレーションおよびメモリ プロファイリングのステータス(OFF)を表示します。

hostname# show memory profile
InUse profiling: OFF
Peak profiling: OFF
Profile:
0x004018b4-0x004169d0(00000004)

) メモリ プロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。デフォルトでは、メモリ プロファイリングはディセーブルになっています。


 
関連コマンド

コマンド
説明

clear memory profile

メモリ プロファイリング機能によって保持されているバッファをクリアします。

memory profile enable

メモリ使用状況(メモリ プロファイリング)のモニタリングをイネーブルにします。

show memory profile

適応型セキュリティ アプライアンスのメモリ使用状況(プロファイリング)に関する情報を表示します。

show memory-caller address

適応型セキュリティ アプライアンスで設定されているアドレスの範囲を表示します。

memory-size

WebVPN のさまざまなコンポーネントがアクセスできる適応型セキュリティ アプライアンス上のメモリ量を設定するには、webvpn モードで memory-size コマンドを使用します。KB 単位のメモリ設定量または合計メモリのパーセンテージのいずれでもメモリ量を設定できます。設定したメモリ サイズを削除するには、このコマンドの no 形式を使用します。


) 新しいメモリ サイズ設定を有効にするには、リブートが必要です。


memory-size { percent | kb } size

no memory-size [{ percent | kb } size ]

 
構文の説明

kb

メモリ量を KB 単位で指定します。

percent

メモリ量を適応型セキュリティ アプライアンス上の合計メモリのパーセンテージとして指定します。

size

メモリ量を KB 単位または合計メモリのパーセンテージとして指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

設定したメモリ量はすぐに割り当てられます。このコマンドを設定する前に、show memory コマンドを使用して使用可能なメモリ量をチェックします。コンフィギュレーション用に合計メモリのパーセンテージを使用している場合、設定値を使用可能なパーセンテージ以下にします。コンフィギュレーション用に KB 値を使用している場合、設定値を使用可能メモリ量(KB 単位)以下にします。

次の例では、WebVPN メモリ サイズを 30 % に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# memory-size percent 30
hostname(config-webvpn)#
hostname(config-webvpn)# reload
 
コマンド
説明

show memory webvpn

WebVPN メモリ使用状況の統計情報を表示します。

memory tracking enable

ヒープ メモリ要求の追跡をイネーブルにするには、特権 EXEC モードで memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。

memory tracking enable

no memory tracking enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(8)

このコマンドが追加されました。

 
使用上のガイドライン

ヒープ メモリ要求を追跡するには、 memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。

次の例では、ヒープ メモリ要求の追跡をイネーブルにします。

hostname# memory tracking enable

 
関連コマンド

コマンド
説明

clear memory tracking

現在収集されているすべての情報をクリアします。

show memory tracking

現在割り当てられているメモリを表示します。

show memory tracking address

このツールによって追跡された現在割り当てられているメモリそれぞれのサイズ、場所、および最上位発信者機能をリストします。

show memory tracking dump

このコマンドは、所定のメモリ アドレスのサイズ、場所、不完全なコールスタック、およびメモリ ダンプを表示します。

show memory tracking detail

ツールの内部動作を洞察するために使用されるさまざまな内部の詳細を表示します。

 

message-length

設定した最大長および最小長を満たしていない GTP パケットをフィルタリングするには、GTP マップ コンフィギュレーション モードで message-length コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。このコマンドを削除するには、 no 形式を使用します。

message-length min min_bytes max max_bytes

no message-length min min_bytes max max_bytes

 
構文の説明

max

UDP ペイロードで許可される最大バイト数を指定します。

max_bytes

UDP ペイロードの最大バイト数です。指定できる範囲は 1 ~ 65536 です。

min

UDP ペイロードで許可される最小バイト数を指定します。

min_bytes

UDP ペイロードの最小バイト数です。指定できる範囲は 1 ~ 65536 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

不可

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドで指定される長さは、GTP ヘッダーと残りのメッセージ部分(UDP パケットのペイロード)を合わせたものです。

次の例では、20 ~ 300 バイトの長さのメッセージを許可します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# permit message-length min 20 max 300
hostname(config-gtpmap)#
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

mfib forwarding

インターフェイス上で MFIB 転送を再度イネーブルにするには、インターフェイス コンフィギュレーション モードで mfib forwarding コマンドを使用します。インターフェイス上で MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。

mfib forwarding

no mfib forwarding

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

multicast-routing コマンドを使用すると、デフォルトではすべてのインターフェイスの MFIB 転送がイネーブルになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルチキャスト ルーティングをイネーブルにすると、デフォルトではすべてのインターフェイスで MFIB 転送がイネーブルになります。特定のインターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。このコマンドの no 形式のみが実行コンフィギュレーションに表示されます。

インターフェイス上で MFIB 転送をディセーブルにすると、他の方法で特別に設定しない限り、そのインターフェイスはマルチキャスト パケットを受け入れません。MFIB 転送をディセーブルにすると IGMP パケットも妨げられます。

次の例では、特定のインターフェイスでの MFIB 転送をディセーブルにします。

hostname(config)# interface GigabitEthernet 0/0
hostname(config-if)# no mfib forwarding
 

 
関連コマンド

コマンド
説明

multicast-routing

マルチキャスト ルーティングをイネーブルにします。

pim

インターフェイスに対して PIM をイネーブルにします。

min-object-size

WebVPN セッションに対して適応型セキュリティ アプライアンスがキャッシュできるオブジェクトの最小サイズを設定するには、キャッシュ モードで min-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。最小オブジェクト サイズを設定しない場合は、値としてゼロ(0)を入力します。

min-object-size integer range

 
構文の説明

integer range

0 ~ 10000 KB です。

 
デフォルト

デフォルトのサイズは 0 KB です。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

キャッシュ モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

最小オブジェクト サイズは、最大オブジェクト サイズより小さくする必要があります。キャッシュ圧縮がイネーブルになっている場合、適応型セキュリティ アプライアンスは、オブジェクトを圧縮してからサイズを計算します。

次の例では、最大オブジェクト サイズを 40 KB に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# min-object-size 40
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードを開始します。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシュをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシュに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

mkdir

新しいディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。

mkdir [/noconfirm] [disk0: | disk1: | flash:] path

 
構文の説明

noconfirm

(任意)確認プロンプトを表示しないようにします。

disk0:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

(任意)外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 とエイリアス関係にあります。

path

作成するディレクトリの名前とパスです。

 
デフォルト

パスを指定しない場合、ディレクトリは現在の作業ディレクトリに作成されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

同じ名前のディレクトリがすでに存在する場合、新しいディレクトリは作成されません。

次の例では、「backup」という新しいディレクトリを作成する方法を示します。

hostname# mkdir backup

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリから、指定したディレクトリに変更します。

dir

ディレクトリの内容を表示します。

rmdir

指定したディレクトリを削除します。

pwd

現在の作業ディレクトリを表示します。

mode

セキュリティ コンテキスト モードをシングルまたはマルチに設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。1 つの適応型セキュリティ アプライアンスをセキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスのように動作します。複数のコンテキストは、複数のスタンドアロン アプライアンスを持つことと同じです。シングル モードでは、適応型セキュリティ アプライアンスは、1 つのコンフィギュレーションを持ち、1 つのデバイスとして動作します。マルチ モードでは、それぞれが独自のコンフィギュレーションを持つ複数のコンテキストを作成できます。作成できるコンテキスト数はライセンスによって異なります。

mode { single | multiple } [ noconfirm ]

 
構文の説明

multiple

マルチ コンテキスト モードを設定します。

noconfirm

(任意)確認用のプロンプトを表示せずにモードを設定します。このオプションは自動スクリプトで役立ちます。

single

コンテキスト モードをシングルに設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、適応型セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほぼすべてのオプションを指定するコンテキストそれぞれのためのコンフィギュレーションが含まれます(コンテキストのコンフィギュレーションの場所の指定については config-url コマンドを参照してください)。システム管理者は、システム コンフィギュレーションにコンテキストを設定してコンテキストの追加および管理を行います。これは、シングル モードでのコンフィギュレーションと同様にスタートアップ コンフィギュレーションです。システム コンフィギュレーションは、適応型セキュリティ アプライアンスの基本設定を指定します。システム コンフィギュレーションには、システム自体のネットワーク インターフェイス設定またはネットワーク設定は含まれません。システムは、ネットワーク リソースにアクセスする必要がある場合(サーバからコンテキストをダウンロードする場合など)、管理コンテキストとして指定されているコンテキストの 1 つを使用します。

mode コマンドを使用してコンテキスト モードを変更する場合、リブートを求めるプロンプトが表示されます。

コンテキスト モード(シングルまたはマルチ)は、リブート時も保持されますが、コンフィギュレーション ファイルには保存されません。別のデバイスにコンフィギュレーションをコピーする必要がある場合、 mode コマンドを使用して、新しいデバイスのモードが一致するように設定します。

シングル モードからマルチ モードに変換すると、適応型セキュリティ アプライアンスは、実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと管理コンテキストを構成する admin.cfg(内部フラッシュ メモリのルート ディレクトリ内)です。元の実行コンフィギュレーションは、old_running.cfg として(内部フラッシュ メモリのルート ディレクトリ内に)保存されます。元のスタートアップ コンフィギュレーションは保存されません。適応型セキュリティ アプライアンスは、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。

マルチ モードからシングル モードに変換する場合、最初にスタートアップ コンフィギュレーション全体(可能な場合)を適応型セキュリティ アプライアンスにコピーする必要があります。マルチ モードから継承されるシステム コンフィギュレーションは、シングル モードのデバイスでは十分に機能するコンフィギュレーションではありません。

マルチ コンテキスト モードでは、すべての機能がサポートされているわけではありません。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

次の例では、モードをマルチに設定します。

hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Convert the system configuration? [confirm] y
Flash Firewall mode: multiple
 
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
*** change mode
 
Rebooting....
 
Booting system, please wait...
 

次の例では、モードをシングルに設定します。

hostname(config)# mode single
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Flash Firewall mode: single
 
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
*** change mode
 
 
 
Rebooting....
 
Booting system, please wait...
 

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにコンテキストを設定し、コンテキスト コンフィギュレーション モードを開始します。

show mode

現在のコンテキスト モード(シングルまたはマルチ)を表示します。

monitor-interface

特定のインターフェイスでヘルス モニタリングをイネーブルにするにはグローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイス モニタリングをディセーブルにするには、このコマンドの no 形式を使用します。

monitor-interface if_name

no monitor-interface if_name

 
構文の説明

if_name

モニタリング対象のインターフェイスの名前を指定します。

 
デフォルト

物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでモニタリングできるインターフェイスの数は 250 です。hello メッセージは、各インターフェイスのポーリング間隔の間に適応型セキュリティ アプライアンスのフェールオーバー ペア間で交換されます。フェールオーバー インターフェイスのポーリング期間は 3 ~ 15 秒です。たとえば、ポーリング期間が 5 秒に設定されている場合、hello メッセージが 5 回続けて(25 秒)そのインターフェイスで聴取されないと、インターフェイスでテストが開始されます。

モニタリング対象のフェールオーバー インターフェイスのステータスは、次のいずれかです。

Unknown:初期ステータスです。このステータスは、ステータスを判別できないことも意味します。

Normal:インターフェイスはトラフィックを受信しています。

Testing:5 ポーリング期間の間、hello メッセージがインターフェイスで聴取されていません。

Link Down:インターフェイスまたは VLAN が管理上ダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスでトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聴取されています。

Active/Active フェールオーバーでは、このコマンドはコンテキスト内でのみ有効です。

次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにします。

hostname(config)# monitor-interface inside
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure monitor-interface

すべてのインターフェイスに対してデフォルトのインターフェイス ヘルス モニタリングを復元します。

failover interface-policy

フェールオーバーが発生する基準となる、モニタリング対象のインターフェイスの障害数または障害のパーセンテージを指定します。

failover polltime

インターフェイスの hello メッセージ間の間隔を指定します(Active/Standby フェールオーバー)。

polltime interface

インターフェイスの hello メッセージ間の間隔を指定します(Active/Active フェールオーバー)。

show running-config monitor-interface

実行コンフィギュレーション内の monitor-interface コマンドを表示します。

more

ファイルの内容を表示するには、特権 EXEC モードで more コマンドを使用します。

more { /ascii | /binary| /ebcdic | disk0: | disk1: | flash: | ftp: | http: | https: | system: | tftp: }filename

 
構文の説明

/ascii

(任意)バイナリ モードでバイナリ ファイルと ASCII ファイルを表示します。

/binary

(任意)バイナリ モードで任意のファイルを表示します。

/ebcdic

(任意)EBCDIC のバイナリ ファイルを表示します。

disk0 :

(任意)内部フラッシュ メモリのファイルを表示します。

disk1:

(任意)外部フラッシュ メモリ カードのファイルを表示します。

filename

表示するファイルの名前を指定します。

flash:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 のエイリアスです。

ftp:

(任意)FTP サーバのファイルを表示します。

http:

(任意)Web サイトのファイルを表示します。

https:

(任意)セキュア Web サイトのファイルを表示します。

system:

(任意)ファイル システムを表示します。

tftp:

(任意)TFTP サーバのファイルを表示します。

 
デフォルト

ASCII モード

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスの入力を求めるプロンプトを表示します。


more コマンドを使用して保存したコンフィギュレーション ファイルを表示すると、このコンフィギュレーション ファイルのトンネル グループ パスワードがクリア テキストに表示されます。


次の例では、「test.cfg」という名前のローカル ファイルの内容を表示する方法を示します。

hostname# more test.cfg
: Saved
: Written by enable_15 at 10:04:01 Apr 14 2005
 
XXX Version X.X(X)
nameif vlan300 outside security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname test
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list deny-flow-max 4096
access-list alert-interval 300
access-list 100 extended permit icmp any any
access-list 100 extended permit ip any any
pager lines 24
icmp permit any outside
mtu outside 1500
ip address outside 172.29.145.35 255.255.0.0
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
!
interface outside
!
route outside 0.0.0.0 0.0.0.0 172.29.145.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
snmp-server host outside 128.107.128.179
snmp-server location my_context, USA
snmp-server contact admin@my_context.com
snmp-server community public
no snmp-server enable traps
floodguard enable
fragment size 200 outside
no sysopt route dnat
telnet timeout 5
ssh timeout 5
terminal width 511
gdb enable
mgcp command-queue 0
Cryptochecksum:00000000000000000000000000000000
: end

 
関連コマンド

コマンド
説明

cd

指定したディレクトリに変更します。

pwd

現在の作業ディレクトリを表示します。

mount(CIFS)

セキュリティ アプライアンスから Common Internet File System(CIFS; 共通インターネット ファイル システム)にアクセスできるようにするには、グローバル コンフィギュレーション モードで mount コマンドを使用します。このコマンドを使用すると、mount cifs コンフィギュレーション モードに入ることができます。CIFS ネットワーク ファイル システムのマウントを解除するには、このコマンドの no 形式を使用します。

mount name type cifs server server-name share share status enable | status disable [domain domain-name ] username username password password

[ no ] mount name type cifs server server-name share share status enable | status disable [domain domain-name ] username username password password

 
構文の説明

domain domain-name

(任意)CIFS ファイル システムのみの場合、この引数は Windows NT のドメイン名を指定します。指定できるのは、最大 63 文字です。

name

ローカル CA に割り当てる既存のファイル システムの名前を指定します。

no

すでにマウントされている CIFS ファイル システムを削除し、これにアクセスできないようにします。

password password

ファイル システムのマウントのための認可されたパスワードを指定します。

server server-name

CIFS ファイル システム サーバの定義済みの名前(またはドット付き 10 進表記の IP アドレス)を指定します。

share sharename

サーバ内のファイル データにアクセスするために、特定のサーバ共有(フォルダ)を名前で明示的に指定します。

status enable/ disable

ファイル システムの状態をマウント済みまたはマウント解除済み(使用可能または使用不能)として識別します。

type

マウントするファイル システムの CIFS タイプを指定します。別の type キーワードについては、 mount (FTP) コマンドを参照してください。

type cifs

マウントされるファイル システムが CIFS(CIFS 共有ディレクトリのボリューム マウント機能を提供するファイル システム)であることを指定します。

user username

ファイル システムのマウントのための認可されたユーザ名です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

mount cifs コンフィギュレーション

--

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

mount コマンドは、Installable File System(IFS)を使用して、CIFS ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

mount コマンドは、セキュリティ アプライアンス上の CIFS ファイル システムを UNIX ファイル ツリーに付加します。逆に、 no mount コマンドはこれを切り離します。

mount コマンドで指定した mount-name は、他の CLI コマンドによって使用され、セキュリティ アプライアンスにすでにマウントされているファイル システムを参照します。たとえば、ローカル認証局のファイル ストレージを設定する database コマンドでは、フラッシュ以外のストレージにデータベース ファイルを保存するには、既存のマウント済みファイル システムのマウント名が必要です。

CIFS リモート ファイル アクセス プロトコルは、ローカル ディスクとネットワーク ファイル サーバ上でアプリケーションがデータを共有する方法に対応しています。TCP/IP 上で稼動し、インターネットのグローバル DNS を使用する CIFS は、Microsoft のオープンなクロス プラットフォームの Server Message Block(SMB; サーバ メッセージ ブロック)プロトコル(Windows オペレーティング システムのネイティブ ファイル共有プロトコル)の拡張バージョンです。

mount コマンドの使用後は、必ずルート シェルを終了してください。mount-cifs-config モードで exit キーワードを使用すると、ユーザはグローバル コンフィギュレーション モードに戻ります。

再接続するには、接続をストレージに再マッピングします。


) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照)。Network File System(NFS; ネットワーク ファイル システム)ボリュームのマウントは、このリリースではサポートされていません。


次の例では、 cifs://amer;chief:big-boy@myfiler02/my_share cifs_share: というラベルでマウントします。

hostname(config)# mount cifs_share type CIFS

hostname (config-mount-cifs)# server myfiler02a

 
関連コマンド

コマンド
説明

debug cifs

CIFS デバッグ メッセージをログに記録します。

debug ntdomain

Web VPN NT ドメイン デバッグ メッセージをログに記録します。

debug webvpn cifs

WebVPN CIFS デバッグ メッセージをログに記録します。

dir all-filesystems

適応型セキュリティ アプライアンスにマウントされたすべてのファイル システムのファイルを表示します。

mount(FTP)

セキュリティ アプライアンスから File Transfer Protocol(FTP; ファイル転送プロトコル)ファイル システムにアクセスできるようにするには、グローバル コンフィギュレーション モードで mount name type ftp コマンドを使用して、マウント FTP コンフィギュレーション モードを開始します。FTP ネットワーク ファイル システムのマウントを解除するには、 no mount name type ftp コマンドを使用します。

[ no ] mount name type FTP server server-name path pathname status enable | status disable mode active | mode passive username username password password

 
構文の説明

exit

マウント FTP コンフィギュレーション モードを終了してグローバル コンフィギュレーション モードに戻ります。

ftp

マウントされるファイル システムが FTP(Linux カーネル モジュール)であることを指定し、FTP 共有ディレクトリのマウントを可能にする FTP ボリューム マウンティング機能を使用して Virtual File System(VFS; 仮想ファイル システム)を拡張します。

mode

FTP 転送モードをアクティブまたはパッシブとして指定します。

no

すでにマウントされている FTP ファイル システムを削除し、これにアクセスできないようにします。

password password

ファイル システムのマウントのための認可されたパスワードを指定します。

path pathname

指定した FTP ファイル システム サーバにディレクトリのパス名を指定します。パス名にスペースを含めることはできません。

server server-name

FTPFS ファイル システム サーバの定義済みの名前(またはドット付き 10 進表記の IP アドレス)を指定します。

status enable/ disable

ファイル システムの状態をマウント済みまたはマウント解除済み(使用可能または使用不能)として識別します。

username username

ファイル システムのマウントのための認可されたユーザ名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-mount-ftp

--

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

mount name type ftp コマンドは、Installable File System(IFS)を使用して、指定されたネットワーク ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

FTP ファイル システムが実際にマウントされていることを確認するには、 dir all-filesystems 命令を使用します。

mount コマンドで指定した mount-name は、他の CLI コマンドがセキュリティ アプライアンスにすでにマウントされているファイル システムを参照するときに使用されます。たとえば、ローカル認証局のファイル ストレージを設定する database コマンドでは、フラッシュ以外のストレージにデータベース ファイルを保存するには、マウント済みファイル システムのマウント名が必要です。


) FTP タイプのマウントを作成するときに mount コマンドを使用する場合、FTP サーバに UNIX ディレクトリ リスティング スタイルが必要です。Microsoft FTP サーバには、デフォルトの MS-DOS ディレクトリ リスティング スタイルがあります。



) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照)。Network File System(NFS; ネットワーク ファイル システム)ボリュームのマウントは、このリリースではサポートされていません。


この例では、 ftp://amor;chief:big-kid@myfiler02 my ftp: というラベルでマウントします。

hostname(config)# mount myftp type ftp server myfiler02a path status enable username chief password big-kid

 
関連コマンド

コマンド
説明

debug webvpn

WebVPN デバッグ メッセージをログに記録します。

ftp mode passive

セキュリティ アプライアンス上の FTP クライアントと FTP サーバ間の対話を制御します。

mroute

スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。

mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]

no mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]

 
構文の説明

dense output_if_name

(任意)デンス モード出力用のインターフェイス名です。

dense output_if_name のキーワードと引数のペアは、SMR スタブ マルチキャスト ルーティング(IGMP フォワーディング)でのみサポートされます。

distance

(任意)ルートのアドミニストレーティブ ディスタンス。より短い距離のルートが優先されます。デフォルトは 0 です。

in_if_name

mroute の着信インターフェイス名を指定します。

rpf_addr

mroute の着信インターフェイスを指定します。RPF アドレスが PIM ネイバーの場合、PIM join、graft、prune メッセージが PIM ネイバーに送信されます。 rpf-addr 引数は、直接接続されたシステムまたはネットワーク/サブネット番号のホスト IP アドレスにすることができます。これがルートの場合、ユニキャスト ルーティング テーブルから再帰ルックアップが行われ、直接接続されたシステムを検索します。

smask

マルチキャスト送信元ネットワーク アドレス マスクを指定します。

src

マルチキャスト送信元の IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドを使用すると、マルチキャスト送信元がある場所をスタティックに設定できます。適応型セキュリティ アプライアンスは、特定の送信元にユニキャスト パケットを送信するときと同じインターフェイスでマルチキャスト パケットを受信すると予想します。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合などでは、マルチキャスト パケットがユニキャスト パケットとは異なるパスを通ることがあります。

スタティック マルチキャスト ルートは、アドバタイズまたは再配布されません。

show mroute コマンドを使用すると、マルチキャスト ルート テーブルの内容が表示されます。 show running-config mroute コマンドを使用すると、実行コンフィギュレーションの mroute コマンドが表示されます。

次の例では、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する方法を示します。

hostname(config)# mroute 172.16.0.0 255.255.0.0 inside
 

 
関連コマンド

コマンド
説明

clear configure mroute

コンフィギュレーションから mroute コマンドを削除します。

show mroute

IPv4 マルチキャスト ルーティング テーブルを表示します。

show running-config mroute

コンフィギュレーションの mroute コマンドを表示します。

mschapv2-capable

RADIUS サーバに対する MS-CHAPv2 認証要求をイネーブルにするには、AAA サーバ ホスト コンフィギュレーション モードで mschapv2-capable コマンドを使用します。MS-CHAPv2 をディセーブルにするには、このコマンドの no 形式を使用します。

mschapv2-capable

no mschapv2-capable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、MS-CHAPv2 はイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスと VPN 接続のための RADIUS サーバの間で使用するプロトコルとして MS-CHAPv2 をイネーブルにするには、トンネル グループ一般アトリビュートでパスワード管理をイネーブルにする必要があります。パスワード管理をイネーブルにすると、適応型セキュリティ アプライアンスから RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、 password-management コマンドの説明を参照してください。

二重認証を使用していてトンネル グループでパスワード管理をイネーブルにしている場合、プライマリ認証要求とセカンダリ認証要求には MS-CHAPv2 要求アトリビュートが含まれます。RADIUS サーバが MS-CHAPv2 をサポートしていない場合、 no mschapv2-capable コマンドを使用して、MS-CHAPv2 でない認証要求を送信するようにそのサーバを設定できます。

次の例では、RADIUS サーバ authsrv1.cisco.com に対して MS-CHAPv2 をディセーブルにします。

hostname(config)# aaa-server rsaradius protocol radius
hostname(config-aaa-server-group)# aaa-server rsaradius (management) host authsrv1.cisco.com
hostname(config-aaa-server-host)# key secretpassword
hostname(config-aaa-server-host)# authentication-port 21812
hostname(config-aaa-server-host)# accounting-port 21813
hostname(config-aaa-server-host)# no mschapv2-capable

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ グループの AAA サーバを指定します。

password-management

password-management コマンドを設定すると、適応型セキュリティ アプライアンスは、リモート ユーザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れたことを通知します。それから適応型セキュリティ アプライアンスは、ユーザがパスワードを変更できるようにします。

secondary-authentication-server-group

セカンダリ AAA サーバ グループを指定します。これを SDI サーバ グループにはできません。

msie-proxy except-list

クライアント PC でローカル バイパス用の Microsoft Internet Explorer のブラウザ プロキシ例外リスト設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

msie-proxy except-list {value server [ :port ] | none}

no msie-proxy except-list

 
構文の説明

none

IP アドレス/ホスト名またはポートが存在しないことを示し、例外リストを継承しないようにします。

value server:port

IP アドレスまたは MSIE サーバの名前、およびこのクライアント PC に適用されるポートを指定します。ポート番号はオプションです。

 
デフォルト

デフォルトでは、msie-proxy except-list はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

次の例では、FirstGroup という名前のグループ ポリシーに対して Microsoft Internet Explorer のプロキシ例外リスト(IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用)を設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy except-list value 192.168.20.1:880
hostname(config-group-policy)#

 
関連コマンド

コマンド
説明

show running-configuration group-policy

設定されているグループ ポリシー アトリビュートの値を表示します。

clear configure group-policy

設定されているすべてのグループ ポリシー アトリビュートを削除します。

msie-proxy local-bypass

クライアント PC に対して Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

msie-proxy local-bypass {enable | disable}

no msie-proxy local-bypass {enable | disable}

 
構文の説明

disable

クライアント PC に対する Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定をディセーブルにします。

enable

クライアント PC に対する Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定をイネーブルにします。

 
デフォルト

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、FirstGroup という名前のグループ ポリシーに対して Microsoft Internet Explorer のプロキシ ローカル バイパスをイネーブルにする方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy local-bypass enable
hostname(config-group-policy)#

 
関連コマンド

コマンド
説明

show running-configuration group-policy

設定されているグループ ポリシー アトリビュートの値を表示します。

clear configure group-policy

設定されているすべてのグループ ポリシー アトリビュートを削除します。

msie-proxy lockdown

この機能をイネーブルにすると AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブが非表示になります。この機能をディセーブルにしても接続タブの表示はそのままです。

AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブを非表示にする、またはそのままにするには、グループ ポリシー コンフィギュレーション モードで、 msie-proxy lockdown コマンドを使用します。

msie-proxy lockdown [enable | disable]

 
構文の説明

disable

Microsoft Internet Explorer の接続タブをそのままにします。

enable

AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブを非表示にします。

 
デフォルト

デフォルトのグループ ポリシーでのこのコマンドのデフォルト値はイネーブルです。グループ ポリシーそれぞれがデフォルトのグループ ポリシーからデフォルト値を継承します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.2(3)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ユーザ レジストリを AnyConnect VPN セッションの間、一時的に変更します。このレジストリ変更によって、Internet Explorer と Microsoft Windows の [Control Panel] > [Internet Options] のアプリケーションで接続タブが非表示になります。AnyConnect が VPN セッションを閉じると、レジストリはセッション前の状態に戻ります。

この機能をイネーブルにして、ユーザがプロキシ サービスを指定して LAN 設定を変更することを防止できます。これらの設定へのユーザ アクセスを防止すると、AnyConnect セッション中のエンドポイント セキュリティが向上します。

次の例では、AnyConnect セッションの間、接続タブを非表示にします。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy lockdown enable
 

次の例では、接続タブをそのままにします。

hostname(config-group-policy)# msie-proxy lockdown disable
 

 
関連コマンド

コマンド
説明

msie-proxy except-list

クライアント PC の Microsoft Internet Explorer のプロキシ サーバの例外リストを指定します。

msie-proxy local-bypass

クライアント PC の Microsoft Internet Explorer で設定したローカル ブラウザ プロキシ設定をバイパスします。

msie-proxy method

クライアント PC のブラウザ プロキシ アクションを指定します。

msie-proxy pac-url

プロキシ サーバを定義するプロキシ自動コンフィギュレーション ファイルの取得元の URL を指定します。

msie-proxy server

クライアント PC の Microsoft Internet Explorer のプロキシ サーバを設定します。

show running-config group-policy

実行コンフィギュレーションのグループ ポリシー設定を表示します。

msie-proxy method

クライアント PC に対してブラウザ プロキシ アクション(「方式」)を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy method コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]

no msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]


) この構文に適用される必要条件については、「使用上のガイドライン」の項を参照してください。


 
構文の説明

auto-detect

クライアント PC に対して Internet Explorer または Firefox の自動プロキシ サーバ検出の使用をイネーブルにします。

no-modify

このクライアント PC に対するブラウザの HTTP ブラウザ プロキシ サーバ設定をそのままにします。

no-proxy

クライアント PC に対するブラウザの HTTP プロキシ設定をディセーブルにします。

use-pac-url

URL が msie-proxy pac-url コマンドで指定されたプロキシ自動コンフィギュレーション ファイルから HTTP プロキシ サーバ設定を取得するように Internet Explorer に命令します。このオプションは Internet Explorer に対してのみ有効です。

use-server

msie-proxy server コマンドで設定された値を使用するようにブラウザの HTTP プロキシ サーバ設定を設定します。

 
デフォルト

デフォルトの方式は use-server です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

use-pac-url オプションが追加されました。

 
使用上のガイドライン

プロキシ サーバ IP アドレスまたはホスト名およびポート番号が含まれている行には、100 文字まで入力できます。

Safari ブラウザは自動検出をサポートしていません。Firefox ブラウザと Safari ブラウザでは、同時に使用できるコマンド オプションはいずれか 1 つのみです。Microsoft Internet Explorer は、このコマンド オプションの次の組み合わせをサポートしています。

[no] msie-proxy method no-proxy

[no] msie-proxy method no-modify

[no] msie-proxy method [auto-detect] [use-server] [use-pac-url]

テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルは、Web サーバ上にあります。 use-pac-url を指定すると、Internet Explorer は .pac ファイルを使用してプロキシ設定を判別します。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。

次の例では、FirstGroup という名前のグループ ポリシーに対して Microsoft Internet Explorer プロキシ設定として自動検出を設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy method auto-detect
hostname(config-group-policy)#
 

次の例では、FirstGroup という名前のグループ ポリシーに対して Microsoft Internet Explorer プロキシ設定を設定し、クライアント PC のサーバとしてサーバ QAserver、ポート 1001 を使用します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# msie-proxy server QAserver:port 1001
hostname(config-group-policy)# msie-proxy method use-server
hostname(config-group-policy)#
 

 
関連コマンド

コマンド
説明

msie-proxy pac-url

プロキシ自動コンフィギュレーション ファイルの取得元の URL を指定します。

msie-proxy server

クライアント PC に対して、Microsoft Internet Explorer のブラウザ プロキシ サーバおよびポートを設定します。

show running-configuration group-policy

設定されているグループ ポリシー アトリビュートの値を表示します。

clear configure group-policy

設定されているすべてのグループ ポリシー アトリビュートを削除します。

msie-proxy pac-url

ブラウザにプロキシ情報の検索場所を指示するには、グループ ポリシー コンフィギュレーション モードで msie-proxy pac-url コマンドを入力します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

msie-proxy pac-url { none | value url }

no msie-proxy pac-url

 
構文の説明

none

URL 値がないことを指定します。