Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
queue-limit コマンド~ rtp-min-port_rtp-max-port コマンド
queue-limit コマンド~ rtp-min-port_rtp-max-port コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

queue-limit コマンド~ rtp-min-port_rtp-max-port コマンド

queue-limit(プライオリティ キュー)

queue-limit(TCP マップ)

quit

radius-common-pw

radius-reject-message

radius-with-expiry(削除されました)

ras-rcf-pinholes

rate-limit

reactivation-mode

record-entry

redirect-fqdn

redistribute(EIGRP)

redistribute(OSPF)

redistribute(RIP)

redundant-interface

regex

reload

remote-access threshold session-threshold-exceeded

rename

rename(クラス マップ)

renewal-reminder

replication http

request-command deny

request-data-size

request-queue

request-timeout

reserve-port-protect

reserved-bits

reset

retries

retry-interval

reval-period

revert webvpn all

revert webvpn customization

revert webvpn plug-in protocol

revert webvpn translation-table

revert webvpn url-list

revert webvpn webcontent

revocation-check

rewrite

re-xauth

rip send version

rip receive version

rip authentication mode

rip authentication key

rip receive version

rip send version

rmdir

route

route-map

router-alert

router-id

router eigrp

router ospf

router rip

rtp-conformance

rtp-min-port rtp-max-port

queue-limit コマンド~ rtp-min-port_rtp-max-port コマンド

queue-limit(プライオリティ キュー)

プライオリティ キューの深さを指定するには、プライオリティ キュー モードで queue-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

queue-limit number-of-packets

no queue-limit number-of-packets

 
構文の説明

number-of-packets

インターフェイスがパケットのドロップを開始するまで、キューに入れることができる(つまり、バッファできる)低遅延または標準の優先順位のパケットの最大数を指定します。値の範囲の上限は、実行時に動的に決定されます。この上限を表示するには、コマンド ラインで help または ? と入力します。主な決定要素は、キューをサポートするために必要なメモリと、デバイス上で使用可能なメモリです。キューは、使用可能なメモリの容量を超えることはできません。理論上の最大パケット数は 2147483647 です。

 
デフォルト

デフォルトでは、キュー制限は 1024 パケットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

プライオリティ キュー

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、遅延の影響を受けやすい、プライオリティの高いトラフィック(音声およびビデオなど)用の Low-Latency Queuing(LLQ; 低遅延キューイング)と、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)の 2 つのトラフィック クラスを使用できます。適応型セキュリティ アプライアンスは、プライオリティ トラフィックを認識し、適切な Quality of Service(QoS; サービス品質)ポリシーを実施します。プライオリティ キューのサイズと深さを設定して、トラフィック フローを微調整できます。


) インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります


1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。

priority-queue コマンドで、プライオリティ キュー モードを開始します。これはプロンプトに表示されます。プライオリティ キュー モードでは、送信キューに任意のタイミングで入れることができるパケットの最大数( tx-ring-limit コマンド)、パケットがドロップされるまで、バッファできる両方のタイプ(プライオリティまたはベストエフォート)のパケット数を設定できます( queue-limit コマンド)。

指定する tx-ring-limit および queue-limit は、プライオリティの高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両方のタイプのパケットの数です。このパケット数を超えると、ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し、輻輳が解消するまでそのキューでパケットをバッファしておきます。通常、これらの 2 つのパラメータを調整することで、低遅延トラフィックのフローを最適化できます。

キューのサイズは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが「 テール ドロップ 」です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。

次に、test というインターフェイスのプライオリティ キューを設定して、キュー制限を 234 パケット、送信キュー制限を 3 パケットに指定する例を示します。

hostname(config)# priority-queue test
hostname(priority-queue)# queue-limit 234
hostname(priority-queue)# tx-ring-limit 3
 

 
関連コマンド

コマンド
説明

clear configure priority-queue

指定したインターフェイスの現在のプライオリティ キュー コンフィギュレーションを削除します。

priority-queue

インターフェイスにプライオリティ キューイングを設定します。

show priority-queue statistics

指定されたインターフェイスのプライオリティ キュー統計情報を表示します。

show running-config [all] priority-queue

現在のプライオリティ キュー コンフィギュレーションを表示します。 all キーワードを指定すると、このコマンドにより現在のすべてのプライオリティ キュー、queue-limit、および tx-ring-limit のコンフィギュレーション値が表示されます。

tx-ring-limit

イーサネット送信ドライバのキューに任意のタイミングで入れることができるパケットの最大数を設定します。

queue-limit(TCP マップ)

TCP 接続用にバッファして順序付けできる、順序が不正なパケットの最大数を設定するには、TCP マップ コンフィギュレーション モードで queue-limit コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

queue-limit pkt_num [ timeout seconds ]

no queue-limit

 
構文の説明

pkt_num

TCP 接続用にバッファして順序付けできる、順序付けされていないパケットの最大数を指定します。範囲は 1 ~ 250 です。デフォルトは 0 です。これは、この設定がディセーブルで、トラフィックのタイプに応じてデフォルトのシステム キュー制限が使用されることを意味します。詳細については、「使用上のガイドライン」を参照してください。

timeout seconds

(任意)順序が不正なパケットをバッファ内に保持できる最大時間を設定します。範囲は 1 ~ 20 秒です。デフォルトは 4 秒です。タイムアウト期間内に、パケットが順序付けされ、受け渡しされなかった場合は、そのパケットはドロップされます。 pkt_num 引数が 0 に設定されている場合は、いずれのトラフィックのタイムアウトも変更できません。 timeout キーワードを有効にするには、制限を 1 以上に設定する必要があります。

 
デフォルト

デフォルトの設定は 0 です。これは、このコマンドがディセーブルであることを意味します。

デフォルトのタイムアウトは 4 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(4)/8.0(4)

timeout キーワードが追加されました。

 
使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map :TCP 正規化アクションを指定します。

a. queue-limit :TCP マップ コンフィギュレーション モードでは、 queue-limit コマンドおよびその他の多数のコマンドを入力できます。

2. class-map :TCP 正規化を実行するトラフィックを指定します。

3. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced-options :作成した TCP マップを指定します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

TCP 正規化をイネーブルにしない場合、または queue-limit コマンドがデフォルトの 0 に設定されている(つまり、ディセーブルになっている)場合は、トラフィックのタイプに応じてデフォルトのシステム キュー制限が使用されます。

アプリケーション インスペクション( inspect コマンド)、IPS( ips コマンド)、および TCP チェック再送信(TCP マップの check-retransmission コマンド)で使用される接続のキュー制限は、3 パケットです。適応型セキュリティ アプライアンスがウィンドウ サイズの異なる TCP パケットを受信した場合、キュー制限は、アドバタイズされた設定に一致するように動的に変更されます。

その他の TCP 接続の場合、順序が不正なパケットは、そのままの状態でパススルーされます。

queue-limit コマンドを 1 以上に設定した場合は、すべての TCP トラフィックで許容される順序が不正なパケットのパケット数は、この設定と一致します。アプリケーション インスペクション トラフィック、IPS トラフィック、および TCP チェック再送信トラフィックの場合、アドバタイズされた設定はすべて無視されます。その他の TCP トラフィックの場合は、順序が不正なパケットは、そのままの状態でパススルーされるのではなく、バッファされて順序付けされるようになります。

次に、すべての Telnet 接続に対して、キュー制限を 8 パケット、バッファ タイムアウトを 6 秒に設定する例を示します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# queue-limit 8 timeout 6
hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq telnet
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

サービス ポリシーに対してトラフィックを指定します。

policy-map

サービス ポリシー内でトラフィックに適用するアクションを指定します。

set connection advanced-options

TCP 正規化をイネーブルにします。

service-policy

サービス ポリシーをインターフェイスに適用します。

show running-config tcp-map

TCP マップ コンフィギュレーションを表示します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

quit

現在のコンフィギュレーション モードを終了する、または特権 EXEC モードまたはユーザ EXEC モードからログアウトするには、 quit コマンドを使用します。

quit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

キー シーケンス Ctrl+Z を使用しても、グローバル コンフィギュレーションおよびそれより上位のモードを終了できます。このキー シーケンスは、特権 EXEC モードまたはユーザ EXEC モードでは機能しません。

特権 EXEC モードまたはユーザ EXEC モードで quit コマンドを入力すると、適応型セキュリティ アプライアンスからログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。

次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、セッションからログアウトする例を示します。

hostname(config)# quit
hostname# quit
 
Logoff
 

次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、その後、 disable コマンドを使用して特権 EXEC モードを終了する例を示します。

hostname(config)# quit
hostname# disable
hostname>
 

 
関連コマンド

コマンド
説明

exit

コンフィギュレーション モードを終了するか、または特権 EXEC モードまたはユーザ EXEC モードからログアウトします。

radius-common-pw

この適応型セキュリティ アプライアンスを経由してこの RADIUS 認可サーバにアクセスするすべてのユーザが使用する共通のパスワードを指定するには、AAA サーバ ホスト モードで radius-common-pw コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

radius-common-pw string

no radius-common-pw

 
構文の説明

string

この RADIUS サーバとの認可トランザクションすべてに共通のパスワードとして使用される最大 127 文字の英数字のキーワード。大文字と小文字は区別されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このリリースで追加されました。

 
使用上のガイドライン

このコマンドは、RADIUS 認可サーバに対してのみ有効です。

RADIUS 認可サーバは、接続する各ユーザのパスワードとユーザ名を要求します。適応型セキュリティ アプライアンスは、ユーザ名を自動的に入力します。ここでユーザは、パスワードを入力します。RADIUS サーバ管理者は、このパスワードを、この適応型セキュリティ アプライアンスを経由してサーバへの接続を認可されている各ユーザと関連付けるように、RADIUS サーバを設定する必要があります。この情報は、RADIUS サーバ管理者に必ず提供してください。

共通のユーザ パスワードを指定しない場合、各ユーザのパスワードは、ユーザ各自のユーザ名となります。たとえば、ユーザ名が「jsmith」のユーザは、「jsmith」と入力します。ユーザ名を共通のユーザ パスワードとして使用している場合は、セキュリティ対策として、この RADIUS サーバをご使用のネットワークの他の場所で認可用に使用しないでください。

 


) このフィールドは、基本的にスペースを埋めるためのものです。RADIUS サーバは、このフィールドを予期および要求しますが、使用することはありません。ユーザは、このフィールドを知っている必要はありません。


次に、ホスト「1.2.3.4」上に「svrgrp1」という RADIUS AAA サーバ グループを設定し、タイムアウト間隔を 9 秒、再試行間隔を 7 秒に設定して、RADIUS 共通パスワードを「allauthpw」に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# radius-common-pw allauthpw
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

radius-reject-message

認証が拒否されたときの、ログイン画面上での RADIUS 拒否メッセージの表示をイネーブルにするには、トンネル グループ webvpn アトリビュート コンフィギュレーション モードで radius-eject-message コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

radius-reject-message

no radius-reject-message

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

リモート ユーザに対して、認証の失敗に関する RADIUS メッセージを表示する場合は、このコマンドをイネーブルにします。

次に、engineering という名前の接続プロファイルに対して、RADIUS 拒否メッセージの表示をイネーブルにする例を示します。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# radius-reject-message

radius-with-expiry(削除されました)

認証中に MS-CHAPv2 を使用してユーザとパスワード アップデートをネゴシエートするように適応型セキュリティ アプライアンスを設定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで radius-with-expiry コマンドを使用します。RADIUS 認証が設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

radius-with-expiry

no radius-with-expiry

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定は、ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは非推奨のコマンドになりました。 password-management コマンドに置き換えられました。 radius-with-expiry コマンドの no 形式はサポートされなくなりました。

8.0(2)

このコマンドは非推奨のコマンドになりました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモートアクセス トンネル グループ タイプだけに適用できます。

次に、config-ipsec コンフィギュレーション モードを開始し、remotegrp というリモートアクセス トンネル グループの radius-with-expiry を設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-tunnel-ipsec)# radius-with-expiry
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

password-management

パスワードの管理をイネーブルにします。トンネル グループ一般アトリビュート コンフィギュレーション モードでは、 radius-with-expiry コマンドはこのコマンドに置き換えられます。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

ras-rcf-pinholes

ネットワーク内にゲートキーパーが存在する場合に、H.323 エンドポイント間のコール設定をイネーブルにするには、パラメータ コンフィギュレーション モードで ras-rcf-pinholes コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

ras-rcf-pinholes enable

no ras-rcf-pinholes enable

 
構文の説明

enable

H.323 エンドポイント間のコール設定をイネーブルにします。

 
デフォルト

このオプションはデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(5)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスには、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいて、コールのピンホールを開くオプションが含まれています。これらの RRQ/RCF メッセージは、ゲートキーパーとの間で送受信されるため、発信側エンドポイントの IP アドレスはわかりません。そのため、適応型セキュリティ アプライアンスは送信元 IP アドレス/ポート 0/0 を使用してピンホールを開きます。

次に、ポリシー マップにアクションを設定して、これらのコールのピンホールを開く例を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# ras-rcf-pinholes enable
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

rate-limit

モジュラ ポリシー フレームワークを使用する場合に、 match コマンドまたはクラス マップに一致するパケット メッセージのレートを制限するには、一致またはクラス コンフィギュレーション モードで rate-limit コマンドを使用します。このレート制限アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用可能です。ただし、すべてのアプリケーションでこのアクションが使用できるわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

rate-limit messages_per_second

no rate-limit messages_per_second

 
構文の説明

messages_per_second

1 秒あたりのメッセージを制限します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match または class コマンドを入力してアプリケーション トラフィックを識別した後で( class コマンドは、さらに match コマンドを含んでいる既存の class-map type inspect コマンドを参照する)、 rate-limit コマンドを入力してメッセージのレートを制限できます。

レイヤ 3/4 のポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。ここで dns_policy_map はインスペクション ポリシー マップの名前です。

次に、invite 要求メッセージを 1 秒あたり 100 件までに制限する例を示します。

hostname(config-cmap)# policy-map type inspect sip sip-map1
hostname(config-pmap-c)# match request-method invite
hostname(config-pmap-c)# rate-limit 100
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

reactivation-mode

グループ内の障害のあるサーバを再度アクティブにする方法を指定するには、AAA サーバ プロトコル モードで reactivation-mode コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

reactivation-mode { depletion [ deadtime minutes ] | timed }

no reactivation-mode [ depletion [ deadtime minutes ] | timed ]

 
構文の説明

deadtime minutes

(任意)グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度イネーブルにするまでの時間の長さを、0 ~ 1440 分の範囲で指定します。デフォルトは 10 分です。

depletion

グループ内のすべてのサーバが非アクティブになった場合のみ、障害のあるサーバを再度アクティブにします。

timed

30 秒のダウン タイムが経過した後に、障害のあるサーバを再度アクティブにします。

 
デフォルト

デフォルトの再アクティブ化モードは depletion で、デフォルトの deadtime 値は 10 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ プロトコル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

各サーバ グループには、グループ内のサーバの再アクティブ化ポリシーを指定するアトリビュートがあります。

depletion モードでは、あるサーバが非アクティブ化されると、グループ内の他のすべてのサーバが非アクティブになるまで、そのサーバは非アクティブのままとなります。その他のすべてのサーバが非アクティブになったときに、グループ内のすべてのサーバは再度アクティブ化されます。この方法で、障害のあるサーバによる接続遅延の発生を最小限に抑えられます。 depletion モードを使用している場合は、 deadtime パラメータも指定できます。 deadtime パラメータは、グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度イネーブルにするまでの時間の長さを、分単位で指定します。このパラメータは、サーバ グループがローカル フォールバック機能と組み合わせて使用されている場合のみ、意味を持ちます。

timed モードでは、障害のあるサーバは、30 秒のダウン タイムが経過した後に再度アクティブになります。これは、カスタマーがサーバ リスト内の最初のサーバをプライマリ サーバとして使用していて、可能な場合は常にそのサーバがオンラインであることが望ましい場合に役立ちます。このポリシーは、UDP サーバの場合は機能しません。UDP サーバへの接続は、たとえそのサーバが存在しない場合でも失敗しないため、UDP サーバは無条件にオンラインに戻ります。そのため、サーバ リストに到達不能なサーバが複数含まれている場合は、接続時間が遅くなったり、接続が失敗したりする可能性があります。

同時アカウンティングがイネーブルになっているアカウンティング サーバ グループには、強制的に timed モードが適用されます。これは、所定のリスト内のすべてのサーバが同等であることを意味します。

次に、「srvgrp1」という aTACACS+ AAA サーバを depletion 再アクティブ化モードを使用するように設定し、deadtime を 15 分に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-sersver-group)# reactivation-mode depletion deadtime 15
hostname(config-aaa-server)# exit
hostname(config)#
 

次に、「srvgrp1」という aTACACS+ AAA サーバを timed 再アクティブ化モードを使用するように設定する例を示します。

hostname(config)# aaa-server svrgrp2 protocol tacacs+
hostname(config-aaa-server)# reactivation-mode timed
hostname(config-aaa-server)#
 

 
関連コマンド

accounting-mode

アカウンティング メッセージを 1 つのサーバに送信するか、グループ内のすべてのサーバに送信するかを示します。

aaa-server protocol

AAA サーバ グループ コンフィギュレーション モードを開始して、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。

max-failed-attempts

サーバ グループ内の所定のサーバが非アクティブ化されるまでに、そのサーバで許容される接続試行の失敗数を指定します。

clear configure aaa-server

AAA サーバ コンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

record-entry

CTL ファイルの作成に使用するトラストポイントを指定するには、CTL ファイル コンフィギュレーション モードで record-entry コマンドを使用します。CTL からレコード エントリを削除するには、このコマンドの no 形式を使用します。

record-entry [ capf | cucm | cucm-tftp | tftp ] trustpoint trustpoint address ip_address [ domain-name domain_name ]

no record-entry [ capf | cucm | cucm-tftp | tftp ] trustpoint trust_point address ip_address [ domain-name domain_name ]

 
構文の説明

capf

このトラストポイントのロールを CAPF に指定します。設定できる CAPF トラストポイントは 1 つだけです。

cucm

このトラストポイントのロールを CCM に指定します。複数の CCM トラストポイントを設定できます。

cucm-tftp

このトラストポイントのロールを CCM+TFTP に指定します。複数の CCM+TFTP トラストポイントを設定できます。

domain-name domain_name

(任意)トラストポイントの DNS フィールドを作成するために使用されるトラストポイントのドメイン名を指定します。この値はサブジェクト DN の Common Name フィールドに追加され、DNS 名が作成されます。トラストポイントに FQDN が設定されていない場合は、ドメイン名を設定する必要があります。

address ip_address

トラストポイントの IP アドレスを指定します。

tftp

このトラストポイントのロールを TFTP に指定します。複数の TFTP トラストポイントを設定できます。

trustpoint trust_point

インストールされるトラストポイントの名前を設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL ファイル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

指定できるドメイン名は 1 つだけです。CTL ファイルが存在しない場合は、この証明書を手動で CUCM から適応型セキュリティ アプライアンスにエクスポートします。

このコマンドは、Phone Proxy に CTL ファイルを設定しなかった場合のみ、使用します。CTL ファイルを設定済みの場合は、このコマンドは使用しないでください。

ip_address 引数に指定する IP アドレスは、トラストポイントの CTL レコードに使用される IP アドレスになるため、グローバル アドレスまたは IP 電話から見たアドレスである必要があります。

追加のレコードエントリ コンフィギュレーションを、CTL ファイルで必要とされる各エンティティに追加します。

次に、 record-entry コマンドを使用して CTL ファイルの作成に使用されるトラストポイントを指定する例を示します。

hostname(config-ctl-file)# record-entry cucm-tftp trustpoint cucm1 address 192.168.1.2
 

 
関連コマンド

コマンド
説明

ctl-file(グローバル)

Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。

ctl-file(Phone-Proxy)

Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。

phone-proxy

Phone Proxy インスタンスを設定します。

redirect-fqdn

VPN ロード バランシング モードで、完全修飾ドメイン名を使用してリダイレクションをイネーブルまたはディセーブルにするには、グローバル コンフィギュレーション モードで redirect-fqdn enable コマンドを使用します。

redirect-fqdn {enable | disable}

no redirect-fqdn {enable | disable}


) VPN ロード バランシングを使用するには、Plus ライセンスを備えた ASA モデル 5510、または ASA モデル 5520 以降が必要です。また、VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。


 
構文の説明

disable

完全修飾ドメイン名によるリダイレクションをディセーブルにします。

enable

完全修飾ドメイン名によるリダイレクションをイネーブルにします。

 
デフォルト

この動作は、デフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、ASA はロード バランシング リダイレクション内の IP アドレスのみをクライアントに送信します。使用中の証明書が DNS 名に基づいている場合は、セカンダリ デバイスにリダイレクトされると証明書は無効になります。

この適応型セキュリティ アプライアンスは、VPN クライアント接続をクラスタ デバイス(クラスタ内の別の適応型セキュリティ アプライアンス)にリダイレクトする場合、VPN クラスタ マスターとして、逆 DNS ルックアップを使用して、外部 IP アドレスではなくそのクラスタ デバイスの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を送信できます。

クラスタ内のロード バランシング デバイス上にあるすべての outside および inside ネットワーク インターフェイスは、同一の IP ネットワーク上に存在する必要があります。

IP アドレスではなく FQDN を使用して WebVPN ロード バランシングを実施するには、次の設定手順を実行する必要があります。


ステップ 1 redirect-fqdn enable コマンドで、ロード バランシングでの FQDN の使用をイネーブルにします。

ステップ 2 DNS サーバに ASA outside インターフェイスのエントリが存在しない場合は、各 ASA outside インターフェイスのエントリを追加します。各 ASA 外部 IP アドレスには、ルックアップ用に DNS エントリが関連付けられている必要があります。これらの DNS エントリは、逆ルックアップがイネーブルになっている必要があります。

ステップ 3 コマンド「dns domain-lookup inside」で、ASA 上での DNS ルックアップをイネーブルにします(またはいずれかのインターフェイスが DNS サーバへのルートを持っていること)。

ステップ 4 ASA 上で DNS サーバ IP アドレスを定義します。たとえば、 dns name-server 10.2.3.4 (DNS サーバの IP アドレス)と定義します。


 

次に、リダイレクションをディセーブルにする redirect-fqdn コマンドの例を示します。

hostname(config)# vpn load-balancing
hostname(config-load-balancing)# redirect-fqdn disable
hostname(config-load-balancing)#
 

次に、VPN ロード バランシング コマンド シーケンスの例を示します。このコマンド シーケンスには、完全修飾ドメイン名のリダイレクションをイネーブルにして、クラスタのパブリック インターフェイスを「test」、プライベート インターフェイスを「foo」に指定する interface コマンドが含まれています。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# nat 192.168.10.10
hostname(config-load-balancing)# priority 9
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster key 123456789
hostname(config-load-balancing)# cluster encryption
hostname(config-load-balancing)# cluster port 9023
hostname(config-load-balancing)# redirect-fqdn enable
hostname(config-load-balancing)# participate
 

 
関連コマンド

コマンド
説明

clear configure vpn load-balancing

ロード バランシングの実行時コンフィギュレーションを削除し、ロード バランシングをディセーブルにします。

show running-config vpn load-balancing

現在の VPN ロード バランシング仮想クラスタのコンフィギュレーションを表示します。

show vpn load-balancing

VPN ロード バランシング実行時の統計情報を表示します。

vpn load-balancing

VPN ロード バランシング モードを開始します。

redistribute(EIGRP)

あるルーティング ドメインから EIGRP ルーティング プロセスにルートを再配布するには、ルータ コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。

redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric bandwidth delay reliability load mtu ] [ route-map map_name ]

no redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric bandwidth delay reliability load mtu ] [ route-map map_name ]

 
構文の説明

bandwidth

EIGRP 帯域幅メトリック(キロビット/秒)。有効な値は、1 ~ 4294967295 です。

connected

インターフェイスに接続されているネットワークを EIGRP ルーティング プロセスに再配布することを指定します。

delay

EIGRP 遅延メトリック(10 マイクロ秒単位)。有効な値は、0 ~ 4294967295 です。

external type

指定した自律システムの外部にある OSPF メトリック ルートを指定します。有効な値は、 1 または 2 です。

internal type

指定した自律システムの内部にある OSPF メトリック ルートを指定します。

load

EIGRP が有効な帯域幅(ローディング)メトリック。有効な値は 1 ~ 255 で、255 は 100 % ロードされることを示します。

match

(任意)OSPF から EIGRP へのルート再配布の条件を指定します。

metric

(任意)EIGRP ルーティング プロセスに再配布されるルートの EIGRP メトリックの値を指定します。

mtu

パスの MTU。有効な値は 1 ~ 65535 です。

nssa-external type

NSSA の外部にあるルートの OSPF メトリック タイプを指定します。有効な値は、 1 または 2 です。

ospf pid

OSPF ルーティング プロセスを EIGRP ルーティング プロセスに再配布するために使用されます。 pid は OSPF ルーティング プロセス用に内部で使用される ID パラメータを指定します。有効な値は 1 ~ 65535 です。

reliability

EIGRP 信頼性メトリック。有効な値は 0 ~ 255 で、255 は信頼性が 100 % であることを示します。

rip

RIP ルーティング プロセスから EIGRP ルーティング プロセスへの、ネットワークの再配布を指定します。

route-map map_name

(任意)送信元ルーティング プロトコルから EIGRP ルーティング プロセスにインポートされたルートをフィルタリングするために使用するルート マップの名前。指定しない場合は、すべてのルートが再配布されます。

static

スタティック ルートを EIGRP ルーティング プロセスに再配布するために使用されます。

 
デフォルト

コマンドのデフォルトは次のとおりです。

match : Internal , external 1 , external 2

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ご使用の EIGRP コンフィギュレーションに default-metric コマンドがない場合は、redistribute コマンドに metric を指定する必要があります。

次に、スタティック ルートおよび接続ルートを EIGRP ルーティング プロセスに再配布する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# redistribute static
hostname(config-router)# redistribute connected
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

redistribute(OSPF)

あるルーティング ドメインから OSPF ルーティング プロセスにルートを再配布するには、ルータ コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。

redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected | eigrp as-number } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]

no redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]

 
構文の説明

connected

インターフェイスに接続されているネットワークを OSPF ルーティング プロセスに再配布することを指定します。

eigrp as-number

EIGRP ルートを OSPF ルーティング プロセスに再配布するために使用されます。 as-number は、EIGRP ルーティング プロセスの自律システム番号を指定します。有効な値は 1 ~ 65535 です。

external type

指定した自律システムの外部にある OSPF メトリック ルートを指定します。有効な値は、 1 または 2 です。

internal type

指定した自律システムの内部にある OSPF メトリック ルートを指定します。

match

(任意)あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を指定します。

metric metric_value

(任意)OSPF のデフォルト メトリック値を、0 ~ 16777214 の範囲で指定します。

metric-type metric_type

(任意)OSPF ルーティング ドメインにアドバタイズされる、デフォルト ルートに関連付けられた外部リンク タイプ。 1 (タイプ 1 外部ルート)または 2 (タイプ 2 外部ルート)の 2 つの値のいずれかを使用できます。

nssa-external type

NSSA の外部にあるルートの OSPF メトリック タイプを指定します。有効な値は、 1 または 2 です。

ospf pid

OSPF ルーティング プロセスを現在の OSPF ルーティング プロセスに再配布するために使用されます。 pid は OSPF ルーティング プロセス用に内部で使用される ID パラメータを指定します。有効な値は 1 ~ 65535 です。

rip

RIP ルーティング プロセスから現在の OSPF ルーティング プロセスへの、ネットワークの再配布を指定します。

route-map map_name

(任意)送信元ルーティング プロトコルから現在の OSPF ルーティング プロセスにインポートされたルートをフィルタリングするために使用するルート マップの名前。指定しない場合は、すべてのルートが再配布されます。

static

スタティック ルートを OSPF プロセスに再配布するために使用されます。

subnets

(任意)ルートを OSPF に再配布する場合に、指定したプロトコルの再配布を調べます。使用しない場合は、クラスフル ルートだけが再配布されます。

tag tag_value

(任意)各外部ルートに付けられた 32 ビットの 10 進値。この値は、OSPF 自体では使用されません。ASBR 間の情報通信に使用される場合があります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効な値の範囲は、0 ~ 4294967295 です。

 
デフォルト

コマンドのデフォルトは次のとおりです。

metric metric-value : 0

metric-type type-value : 2

match : Internal , external 1 , external 2

tag tag-value : 0

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドが、 rip キーワードを含めるように修正されました。

8.0(2)

このコマンドが、 eigrp キーワードを含めるように修正されました。

次に、スタティック ルートを現在の OSPF プロセスに再配布する例を示します。

hostname(config)# router ospf 1
hostname(config-router)# redistribute static
 

 
関連コマンド

コマンド
説明

redistribute(RIP)

RIP ルーティング プロセスにルートを再配布します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

redistribute(RIP)

別のルーティング ドメインから RIP ルーティング プロセスにルートを再配布するには、ルータ コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。

redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | connected | eigrp as-number } [ metric { metric_value | transparent }] [ route-map map_name ]

no redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | connected | eigrp as-number } [ metric { metric_value | transparent }] [ route-map map_name ]

 
構文の説明

connected

インターフェイスに接続されているネットワークを RIP ルーティング プロセスに再配布することを指定します。

eigrp as-number

EIGRP ルートを RIP ルーティング プロセスに再配布するために使用されます。 as-number は、EIGRP ルーティング プロセスの自律システム番号を指定します。有効な値は 1 ~ 65535 です。

external type

指定した自律システムの外部にある OSPF メトリック ルートを指定します。有効な値は、 1 または 2 です。

internal type

指定した自律システムの内部にある OSPF メトリック ルートを指定します。

match

(任意)OSPF から RIP へのルート再配布の条件を指定します。

metric { metric_value | transparent }

(任意)再配布されるルートの RIP メトリック値を指定します。 metric_value の有効な値は、0 ~ 16 です。メトリックを transparent に指定すると、現在のルート メトリックが使用されます。

nssa-external type

Not-So-Stubby Area(NSSA)の外部にあるルートの OSPF メトリック タイプを指定します。有効な値は、 1 または 2 です。

ospf pid

OSPF ルーティング プロセスを RIP ルーティング プロセスに再配布するために使用されます。 pid は OSPF ルーティング プロセス用に内部で使用される ID パラメータを指定します。有効な値は 1 ~ 65535 です。

route-map map_name

(任意)送信元ルーティング プロトコルから RIP ルーティング プロセスにインポートされたルートをフィルタリングするために使用するルート マップの名前。指定しない場合は、すべてのルートが再配布されます。

static

スタティック ルートを OSPF プロセスに再配布するために使用されます。

 
デフォルト

コマンドのデフォルトは次のとおりです。

metric metric-value : 0

match : Internal , external 1 , external 2

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

このコマンドが、 eigrp キーワードを含めるように修正されました。

次に、スタティック ルートを現在の RIP プロセスに再配布する例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# redistribute static metric 2
 

 
関連コマンド

コマンド
説明

redistribute(EIGRP)

他のルーティング ドメインからのルートを EIGRP に再配布します。

redistribute(OSPF)

他のルーティング ドメインからのルートを OSPF に再配布します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

redundant-interface

冗長インターフェイスのいずれのメンバー インターフェイスをアクティブにするかを設定するには、特権 EXEC モードで redundant-interface コマンドを使用します。

redundant-interface redundant number active-member physical_interface

 
構文の説明

active-member physical_interface

アクティブなメンバーを設定します。有効値については、 interface コマンドを参照してください。両方のメンバー インターフェイスが同じ物理タイプである必要があります。

redundant number

冗長インターフェイスの ID( redundant1 など)を指定します。

 
デフォルト

デフォルトでは、コンフィギュレーションの最初にリストされたメンバー インターフェイスが使用可能であれば、これがアクティブなインターフェイスになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

いずれのインターフェイスがアクティブであるかを表示するには、次のコマンドを入力します。

hostname# show interface redundantnumber detail | grep Member
 

次の例を参考にしてください。

hostname# show interface redundant1 detail | grep Member
Members GigabitEthernet0/3(Active), GigabitEthernet0/2
 

次に、冗長インターフェイスを作成する例を示します。デフォルトでは、コンフィギュレーションの最初のインターフェイスである gigabitethernet 0/0 が使用されます。redundant-interface コマンドにより、gigabitethernet 0/1 がアクティブなインターフェイスに設定されます。

hostname(config-if)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 0/0
hostname(config-if)# member-interface gigabitethernet 0/1
 
hostname(config-if)# redundant-interface redundant1 active-member gigabitethernet0/1
 

 
関連コマンド

コマンド
説明

clear interface

show interface コマンドのカウンタをクリアします。

debug redundant-interface

冗長インターフェイスのイベントまたはエラーに関するデバッグ メッセージを表示します。

interface redundant

冗長インターフェイスを作成します。

member-interface

メンバー インターフェイスを冗長インターフェイス ペアに割り当てます。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

regex

テキストを照合するための正規表現を作成するには、グローバル コンフィギュレーション モードで regex コマンドを使用します。正規表現を削除するには、このコマンドの no 形式を使用します。

regex name regular_expression

no regex name [ regular_expression ]

 
構文の説明

name

正規表現の名前を最大 40 文字で指定します。

regular_expression

最大 100 文字の正規表現を指定します。正規表現に使用できるメタ文字のリストについては、「使用上のガイドライン」を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

regex コマンドは、テキストの照合が必要なさまざまな機能に使用できます。たとえば、モジュラ ポリシー フレームワークで インスペクション ポリシー マップ policy map type inspect コマンドを参照)を使用して、アプリケーション インスペクションの特殊なアクションを設定できます。インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。正規表現クラス マップ内で正規表現をグループ化できます( class-map type regex コマンドを参照)。

正規表現では、テキスト ストリングを完全一致の文字列として照合するか、または メタ文字 を使用してテキスト ストリングの複数の変化形を照合できます。特定のアプリケーション トラフィックの内容を照合するために正規表現を使用できます。たとえば、HTTP パケット内の本文を照合できます。


) 最適化のために、適応型セキュリティ アプライアンスは非難読化された URL 上で検索を実行します。非難読化により、複数のフォワードスラッシュ(/)は 1 つのスラッシュにまとめられます。通常ダブル スラッシュが使用される文字列(「http://」など)の場合は、必ず「http:/」で検索します。


表 22-1 に、特別な意味を持つメタ文字のリストを示します。

 

表 22-1 regex メタ文字

文字
説明
注意事項

.

ドット

任意の 1 文字に一致します。たとえば、 d.g は dog、dag、dtg、およびこれらの文字を含むすべての単語(doggonnit など)と一致します。

( exp )

サブ表現

サブ表現によって文字を前後の文字と区別します。これにより、サブ表現に他のメタ文字を使用できるようになります。たとえば、 d(o|a)g は dog と dag に一致しますが、 do|ag は do と ag に一致します。また、サブ表現は繰り返し限定作用素と一緒に使用して、繰り返しを意味する文字を区別することもできます。たとえば、 ab(xy){3}z は abxyxyxyz に一致します。

|

選択

この記号によって区切られた表現のいずれか一方と一致します。たとえば、 dog|cat は dog または cat と一致します。

?

疑問符

直前の文字が含まれない場合と 1 つ含まれる場合があることを示す限定作用素です。たとえば、 lo?se は、lse または lose と一致します。

と入力してから、疑問符を入力する必要があります。そうしないと、ヘルプ機能が起動されます。

*

アスタリスク

直前の文字が含まれない場合と、1 つ含まれる場合、任意の数だけ含まれる場合があることを示す限定作用素です。たとえば、 lo*se は lse、lose、loose などと一致します。

+

プラス

直前の文字が 1 つ以上含まれることを示す限定作用素です。たとえば、 lo+se は lose と loose に一致しますが、lse とは一致しません。

{ x } または { x ,}

最小繰り返し限定作用素

x 回以上繰り返された表現に一致します。たとえば、 ab(xy){2,}z は abxyxyz、abxyxyxyz などと一致します。

[ abc ]

文字クラス

カッコ内の任意の文字と一致します。たとえば、 [abc] は a、b、または c と一致します。

[^ abc ]

否定文字クラス

カッコ内に含まれていない 1 つの文字と一致します。たとえば、 [^abc] は a、b、c 以外の 1 文字と一致します。 [^A-Z] は大文字でない 1 文字と一致します。

[ a - c ]

文字範囲クラス

範囲内の任意の文字と一致します。 [a-z] は任意の小文字と一致します。文字と範囲を組み合わせることができます。 [abcq-z] は a、b、c、q、r、s、t、u、v、w、x、y、z と一致します。 [a-cq-z] も同様です。

ダッシュ(-)記号は、カッコ内の最後または最初の文字である場合( [abc-] または [-abc] など)のみ、表記どおりダッシュとして判断されます。

""

引用符

文字列内の末尾と先頭に空いたスペースを保持します。たとえば、 " test" と指定すると、照合時に先頭のスペースが保持されます。

^

キャレット

行頭を指定します。

\

エスケープ文字

メタ文字とともに使用した場合、表記どおりの文字と一致します。たとえば、 \[ は左角カッコと一致します。

char

文字

文字がメタ文字でない場合、表記どおりの文字と一致します。

\r

復帰

復帰 0x0d と一致します。

\n

改行

改行 0x0a と一致します。

\t

タブ

タブ 0x09 と一致します。

\f

改ページ

改ページ 0x0c と一致します。

\x NN

エスケープされた 16 進数

16 進数(正確に 2 桁)を使用する ASCII 文字と一致します。

\ NNN

エスケープされた 8 進数

ASCII 文字を 8 進数(正確に 3 桁)として照合します。たとえば、040 はスペースを表します。

正規表現をテストして、一致するはずの文字と実際に一致するかどうかを確認するには、 test regex コマンドを入力します。

正規表現がパフォーマンスに与える影響は、2 つの主な要因によって決まります。

正規表現一致を検索する必要のあるテキストの長さ。

検索するテキストの長さが短い場合、正規表現エンジンが適応型セキュリティ アプライアンスのパフォーマンスに与える影響はわずかです。

正規表現一致を検索する必要のある正規表現関連テーブルの数。

検索テキストの長さがパフォーマンスに与える影響

正規表現の検索を設定する場合、検索するテキストのすべてのバイトは。通常、正規表現データベースと照合され、一致する表現が検出されます。検索するテキストが長いほど、検索時間も長くなります。次に、この現象を説明したパフォーマンス テスト ケースを示します。

ある HTTP トランザクションには、300 バイト長の GET 要求と 3250 バイト長の応答が 1 つずつ含まれます。

URI 検索の正規表現は 445 件、要求本文検索の正規表現は 34 件です。

応答本文検索の正規表現は 55 件です。

URI および HTTP GET 要求の本文のみを検索するようにポリシーを設定すると、スループットは次のようになります。

対応する正規表現データベースが検索されない場合は 420 mbps です。

対応する正規表現データベースが検索された場合は 413 mbps です(これは正規表現を利用する負担が比較的小さいことを示します)。

しかし、HTTP 応答本文全体も検索するようにポリシーを設定した場合は、長い応答本文(3250 バイト)を検索することになるため、スループットは 145 mbps に低下します。

次に、正規表現検索のテキストが長くなる要因のリストを示します。

正規表現検索が複数のさまざまなプロトコル フィールドで設定されているため。たとえば、HTTP インスペクションでは、URI のみに対して正規表現一致を設定した場合、URI フィールドだけが正規表現一致検索の対象となり、検索テキストの長さは URI の長さに制限されます。しかし、ヘッダー、本文などのその他のプロトコル フィールドに対しても正規表現一致を設定した場合、ヘッダーと本文の長さが含まれるように、検索テキストの長さは長くなります。

検索対象のフィールドが長いため。たとえば、URI に対して正規表現検索を設定した場合、GET 要求内の長い URI に対する検索テキストは長くなります。また、現在、HTTP 本文の検索テキストの長さは、デフォルトで 200 バイトまでに制限されています。しかし、本文を検索するようポリシーが設定され、本文検索テキストの長さが 5000 バイトに変更された場合、本文検索が長くなるためパフォーマンスに重大な影響が生じます。

関連する正規表現テーブルの数がパフォーマンスに与える影響

現在、URI のすべての正規表現などの、同じプロトコル フィールドに設定されているすべての正規表現は、1 つ以上の正規表現関連テーブルから構成されるデータベースに組み込まれます。テーブルの数は、必要なメモリの総容量と、テーブル構築時のメモリの可用性によって決まります。正規表現データベースは、次のいずれかの条件に基づいて、複数のテーブルに分割されます。

必要なメモリの総容量が 32 MB を超える場合(テーブルの最大サイズが 32 MB に制限されているため)。

最大の隣接メモリのサイズが、完全な正規表現データベースの構築に足りない場合、サイズの小さいテーブルが複数構築され、すべての正規表現を収容します。メモリのフラグメンテーションの程度は、相互に影響し合う多くの要因に応じて異なるため、フラグメンテーションのレベルを予想することはほぼ不可能であることに注意してください。

複数の関連テーブルがある場合、各テーブルは必ず正規表現一致の検索対象となるため、検索時間は対象テーブルの数に比例して長くなります。

特定のタイプの正規表現では、テーブルのサイズは非常に大きくなる傾向があります。ワイルドカードや繰り返しの要因を可能な限り避けて、正規表現を設計することが賢明です。次のメタ文字の説明については、 表 22-1 を参照してください。

ワイルドカード タイプの仕様の正規表現:

ドット(.)

あるクラスの任意の文字と一致するさまざまな文字クラス:

[^a-z]

[a-z]

[abc]]

繰り返しタイプの仕様の正規表現:

*

+

{n,}

ワイルドカードと繰り返しタイプを組み合わせた正規表現は、テーブルのサイズを劇的に増加させる可能性があります。たとえば、次のようなものです。

123.*xyz

123.+xyz

[^a-z]+

[^a-z]*

.*123.*(これは "123" との一致と同じであるため、実行されません)

次に、ワイルドカードと繰り返しの有無に応じて正規表現のメモリ消費量がどのように異なるかの例を示します。

次の 4 つの正規表現のデータベース サイズは、958,464 バイトです。

regex r1 "q3rfict9(af.*12)*ercvdf"
regex r2 "qtaefce.*qeraf.*adasdfev"
regex r3 "asdfdfdfds.*wererewr0e.*aaaxxxx.*xxx"
regex r4 "asdfdfdfds.*wererewr0e.*afdsvcvr.*aefdd"
 

次の 4 つの正規表現のデータベース サイズは、わずか 10240 バイトです。

regex s1 "abcde"
regex s2 "12345"
regex s3 "123xyz"
regex s4 "xyz123"
 

正規表現の数が多いと正規表現データベースに必要とされるメモリ総容量が増えます。このため、メモリがフラグメント化された場合は、テーブルの数が多くなる可能性が高くなります。次に、正規表現の数の違いに応じたメモリ消費量の例を示します。

サンプル URI 100 個:3,079,168 バイト。

サンプル URI 200 個:7,156,224 バイト。

サンプル URI 500 個:11,198,971 バイト。


) コンテキストごとの正規表現の最大数は 2048 です。

debug menu regex 40 10 コマンドを使用して、各 regex データベースに関連テーブルがいくつあるかを表示できます。


次に、インスペクション ポリシー マップで使用する 2 つの正規表現を作成する例を示します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックと照合するインスペクション クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

class-map type regex

正規表現クラス マップを作成します。

test regex

正規表現をテストします。

reload

コンフィギュレーションをリブートおよびリロードするには、特権 EXEC モードで reload コマンドを使用します。

reload [ at hh : mm [ month day | day month ]] [ cancel ] [ in [ hh : ] mm ] [ max-hold-time [ hh : ] mm ] [ noconfirm ] [ quick ] [ reason text ] [ save-config ]

 
構文の説明

at hh : mm

(任意)ソフトウェアのリロードが(24 時間制で)指定された時間に有効になるようにスケジューリングします。月日を指定しなかった場合、リロードは当日の指定時刻に実行されます(指定時刻が現在時刻よりも遅い場合)。または翌日の指定時刻に実行されます(指定時刻が現在時刻よりも早い場合)。00:00 に指定すると、リロードが真夜中にスケジューリングされます。リロードは、24 時間以内に実行する必要があります。

cancel

(任意)スケジューリングしたリロードをキャンセルします。

day

(任意)日付を指定します。範囲は 1 ~ 31 です。

in [ hh : ] mm ]

(任意)指定した時間(分数、または時間および分数)が経過したときに、ソフトウェアがリロードされるようにスケジュールを設定します。リロードは、24 時間以内に実行される必要があります。

max-hold-time [ hh : ] mm

(任意)シャットダウンまたはリブートの前に、適応型セキュリティ アプライアンスが他のサブシステムに通知するまで待機する最大ホールド タイムを指定します。この時間が経過すると、クイック(強制)シャットダウンまたはリブートが実行されます。

month

(任意)月名を指定します。月名を表す一意の文字列を作成できる、十分な文字数を入力します。たとえば、「Ju」は June または July を表す可能性があるため一意ではありませんが、「Jul」と入力すれば、正確にこれらの 3 文字で始まる月は他にないため、一意になります。

noconfirm

(任意)ユーザ確認なしで適応型セキュリティ アプライアンスのリロードを許可します。

quick

(任意)すべてのサブシステムに通知したり、すべてのサブシステムを正常にシャットダウンしたりすることなく、クイック リロードを強制します。

reason text

(任意)リロードの理由を 1 ~ 255 文字で指定します。理由テキストは、すべてのオープンな IPSec VPN クライアント、端末、コンソール、Telnet、SSH、および ASDM の接続またはセッションに送信されます。


) isakmp などの一部のアプリケーションで IPSec VPN クライアントに理由テキストを送信するには、追加コンフィギュレーションが必要です。詳細は、ソフトウェア コンフィギュレーション マニュアルの適切な項を参照してください。


save-config

(任意)シャットダウン前に、実行コンフィギュレーションをメモリに保存します。 save-config キーワードを入力しない場合、リロードすると保存していないコンフィギュレーションの変更はすべて失われます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンド変更され、次の新しい引数およびキーワードが追加されました。 day hh mm month quick save-config 、および text

 
使用上のガイドライン

このコマンドを使用すると、適応型セキュリティ アプライアンスをリブートして、フラッシュ メモリからコンフィギュレーションをリロードできます。

デフォルトでは、 reload コマンドは対話形式です。適応型セキュリティ アプライアンスは、コンフィギュレーションが変更されたかどうかを最初にチェックしますが、保存はしません。変更されている場合、適応型セキュリティ アプライアンスは、コンフィギュレーションを保存するプロンプトを表示します。マルチ コンテキスト モードでは、適応型セキュリティ アプライアンスは、保存されていないコンフィギュレーションがあるコンテキストごとにプロンプトを表示します。 save-config パラメータを指定すると、プロンプトが表示されることなくコンフィギュレーションが保存されます。この場合、適応型セキュリティ アプライアンスは、システムをリロードしてよいか確認するプロンプトを表示します。 y と応答するか、Enter キーを押した場合のみ、リロードが開始されます。確認後、適応型セキュリティ アプライアンスは、リロード プロセスを開始またはスケジューリングします。どちらが実行されるかは、遅延パラメータ( in または at )の指定によって異なります。

デフォルトでは、リロード プロセスは「グレースフル」(「ナイス」とも呼ばれる)モードで動作します。登録されているすべてのサブシステムには、リブートの直前に通知されるため、サブシステムはリブート前に正常にシャットダウンできます。このようなシャットダウンが実行されるまで待機することを避けるには、 max-hold-time パラメータを指定して最大待機時間を指定します。または、 quick パラメータを使用して、影響を受けるサブシステムに通知したり、グレースフル シャットダウンを待機したりせずに、リロード プロセスを強制的に開始することもできます。

noconfirm パラメータを指定することで、 reload コマンドの動作を強制的に非対話形式にできます。この場合、 save-config パラメータを指定していない限り、適応型セキュリティ アプライアンスは、保存されていないコンフィギュレーションをチェックしません。適応型セキュリティ アプライアンスは、システムをリブートする前にユーザに確認を求めるプロンプトを表示しません。遅延パラメータを指定していない場合は、リロード プロセスはすぐに開始またはスケジューリングされます。ただし、 max-hold-time パラメータまたは quick パラメータを指定して、動作またはリロード プロセスを制御することはできます。

スケジューリングされたリロードをキャンセルするには、 reload cancel を使用します。すでに進行中のリロードは、キャンセルできません。


フラッシュ パーティションに書き込まれていないコンフィギュレーションの変更は、リロードすると失われます。リブートする前に、write memory コマンドを入力して、現在のコンフィギュレーションをフラッシュ パーティションに保存します。


次に、コンフィギュレーションをリブートおよびリロードする例を示します。

hostname# reload
Proceed with ? [confirm] y
 
Rebooting...
 
XXX Bios VX.X
...

 
関連コマンド

コマンド
説明

show reload

適応型セキュリティ アプライアンスのリロード ステータスを表示します。

remote-access threshold session-threshold-exceeded

しきい値を設定するには、グローバル コンフィギュレーション モードで remote-access threshold コマンドを使用します。しきい値を削除するには、このコマンドの no バージョンを使用します。このコマンドは、アクティブなリモート アクセス セッションの数を指定します。この数に達した時点で、適応型セキュリティ アプライアンスはトラップを送信します。

remote-access threshold session-threshold-exceeded { threshold-value }

no remote-access threshold session-threshold-exceeded

 
構文の説明

threshold-value

適応型セキュリティ アプライアンスがサポートしているセッション制限値以下の整数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0 (1)

このコマンドが追加されました。

次に、しきい値 1500 を設定する例を示します。

hostname# remote-access threshold session-threshold-exceeded 1500
 

 
関連コマンド

コマンド
説明

snmp-server enable trap remote-access

しきい値のトラッピングをイネーブルにします。

rename

ファイルまたはディレクトリの名前を、ソース ファイル名から宛先ファイル名に変更するには、特権 EXEC モードで rename コマンドを使用します。

rename [ /noconfirm ] [ disk0: | disk1: | flash: ] source-path [disk0: | disk1: | flash: ] destination-path

 
構文の説明

/ noconfirm

(任意)確認プロンプトを表示しないようにします。

destination-path

宛先ファイルのパスを指定します。

disk0 :

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1 :

(任意)外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。

source-path

ソース ファイルのパスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

rename flash: flash: コマンドは、ソース ファイル名と宛先ファイル名を入力するためのプロンプトを表示します。

複数のファイル システム間でファイル名またはディレクトリ名を変更することはできません。

次の例を参考にしてください。

hostname# rename flash: disk1:
Source filename []? new-config
Destination filename []? old-config
%Cannot rename between filesystems

次に、「test」というファイルの名前を「test1」に変更する例を示します。

hostname# rename flash: flash:
Source filename [running-config]? test
Destination filename [n]? test1

 
関連コマンド

コマンド
説明

mkdir

新しいディレクトリを作成します。

rmdir

ディレクトリを削除します。

show file

ファイル システムに関する情報を表示します。

rename(クラス マップ)

クラス マップの名前を変更するには、クラス マップ コンフィギュレーション モードで rename コマンドを入力します。

rename new_name

 
構文の説明

new_name

クラス マップの新しい名前を最大 40 文字で指定します。「class-default」という名前は予約されています。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、クラス マップ名を test から test2 に変更する例を示します。

hostname(config)# class-map test
hostname(config-cmap)# rename test2
 

 
関連コマンド

コマンド
説明

class-map

クラス マップを作成します。

renewal-reminder

ローカル Certificate Authority(CA; 認証局)証明書の有効期限が切れる何日前に、再登録を求める最初のリマインダを証明書の所有者に送信するかを指定するには、CA サーバ コンフィギュレーション モードで renewal-reminder コマンドを使用します。この時間をデフォルトの 14 日間にリセットするには、このコマンドの no 形式を使用します。

renewal-reminder time

no renewal-reminder

 
構文の説明

time

発行済み証明書の有効期限が切れる何日前に、証明書の所有者に再登録を求める最初のリマインダを送信するかを指定します。有効な値の範囲は、1 ~ 90 日です。

 
デフォルト

デフォルトでは、CA サーバは有効期限の通知と再登録を求めるリマインダを証明書の有効期限が切れる 14 日前に送信します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

リマインダには、全部で 3 種類あります。1 回めは証明書の有効期限より renewal-reminder time で指定した日数前に、2 回めは(有効期限 + otp の有効期限)- renewal-reminder time/2 に、3 回めは(有効期限 + otp の有効期限)- renewal-reminder/4 にそれぞれ送信されます。

電子メール アドレスがユーザ データベースに指定されている場合は、3 種類のリマインダごとに、電子メールが証明書の所有者に自動的に送信されます。電子メール アドレスが指定されてない場合は、更新の管理者に警告するための syslog メッセージが生成されます。

次に、証明書の有効期限が切れる 7 日前に、適応型セキュリティ アプライアンスが有効期限の通知をユーザに送信するように指定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# renewal-reminder 7
hostname(config-ca-server)#
 

次に、有効期限の通知日を、デフォルト(証明書の有効期限が切れる 14 日前)にリセットする例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# no renewal-reminder
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

lifetime

CA 証明書、すべての発行済みの証明書、および CRL のライフタイムを指定します。

show crypto ca server

ローカル CA サーバ コンフィギュレーションの詳細を表示します。

replication http

フェールオーバー グループの HTTP 接続の複製をイネーブルにするには、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。

replication http

no replication http

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、適応型セキュリティ アプライアンスは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 replication http コマンドは、ステートフル フェールオーバー環境で HTTP セッションのステートフル複製をイネーブルにしますが、システム パフォーマンスには悪影響を及ぼす可能性があります。

このコマンドを使用できるのは、Active/Active フェールオーバーに対してのみです。このコマンドは、Active/Active フェールオーバー コンフィギュレーションのフェールオーバー グループを除く、Active/Standby フェールオーバーに対して failover replication http コマンドと同じ機能を提供します。

次に、フェールオーバー グループに対して適用可能なコンフィギュレーションの例を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# replication http
hostname(config-fover-group)# exit
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover replication http

HTTP 接続を複製するように、ステートフル フェールオーバーを設定します。

request-command deny

FTP 要求内で特定のコマンドを不許可にするには、FTP マップ コンフィギュレーション モードで request-command deny コマンドを使用します。このモードには、 ftp-map コマンドを使用してアクセスできます。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

request-command deny { appe | cdup | dele | get | help | mkd | put | rmd | rnfr | rnto | site | stou }

no request-command deny { appe | cdup | help | retr | rnfr | rnto | site | stor | stou }

 
構文の説明

appe

ファイルに追加するコマンドを不許可にします。

cdup

現在の作業ディレクトリの親ディレクトリを変更するコマンドを不許可にします。

dele

サーバ上のファイルを削除するコマンドを不許可にします。

get

サーバからファイルを取得するクライアント コマンドを不許可にします。

help

ヘルプ情報を提供するコマンドを不許可にします。

mkd

サーバ上にディレクトリを作成するコマンドを不許可にします。

put

サーバにファイルを送信するクライアント コマンドを不許可にします。

rmd

サーバ上のディレクトリを削除するコマンドを不許可にします。

rnfr

元のファイル名からの名前変更を指定するコマンドを不許可にします。

rnto

新しいファイル名への名前変更を指定するコマンドを不許可にします。

site

サーバ システム固有のコマンドを不許可にします。通常は、リモート管理で使用されます。

stou

一意のファイル名を使用してファイルを保存するコマンドを不許可にします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

FTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、厳密な FTP インスペクションを使用するときに、適応型セキュリティ アプライアンスを通過する FTP 要求内で許可されるコマンドを制御するために使用します。

次に、 stor コマンド、 stou コマンド、または appe コマンドが含まれている FTP 要求をドロップするように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# ftp-map inbound_ftp
hostname(config-ftp-map)# request-command deny put stou appe
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

ftp-map

FTP マップを定義し、FTP マップ コンフィギュレーション モードをイネーブルにします。

inspect ftp

アプリケーション インスペクションに使用する特定の FTP マップを適用します。

mask-syst-reply

FTP サーバ応答をクライアントに対して非表示にします。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

request-data-size

SLA 動作要求パケットのペイロードのサイズを設定するには、SLA モニタ プロトコル コンフィギュレーション モードで request-data-size コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

request-data-size bytes

no request-data-size

 
構文の説明

bytes

要求パケット ペイロードのサイズ(バイト単位)。有効な値は、0 ~ 16384 です。最小値は、使用するプロトコルにより異なります。エコー タイプの場合、最小値は 28 バイトです。この値は、プロトコルまたは PMTU で許可されている最大値より大きい値に設定しないでください。

+ 8 になります。

 
デフォルト

デフォルトの bytes は 28 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

到達可能性のために、デフォルトのデータ サイズを増やして、送信元と宛先間での PMTU の変化を検出する必要がある場合があります。PMTU の低下はセッションのパフォーマンスに影響を及ぼす傾向があります。PMTU の低下が検出された場合、2 番めのパスが使用されていることを示す場合があります。

次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。この例では、エコー要求パケットのペイロード サイズを 48 バイト、SLA 動作中に送信されるエコー要求の数を 5 に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# num-packets 5
hostname(config-sla-monitor-echo)# request-data-size 48
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

num-packets

SLA 動作中に送信する要求パケットの数を指定します。

sla monitor

SLA モニタリング動作を定義します。

type echo

SLA 動作をエコー応答時間プローブ動作として設定します。

request-queue

応答の待機中にキューイングされる GTP 要求の最大数を指定するには、GTP マップ コンフィギュレーション モードで request-queue コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。この数をデフォルトの 200 に戻すには、このコマンドの no 形式を使用します。

request-queue max_requests

no request-queue max_requests

 
構文の説明

max_requests

応答の待機中にキューイングされる GTP 要求の最大数。値の範囲は 1 ~ 4294967295 です。

 
デフォルト

max_requests のデフォルトは 200 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

gtp request-queue コマンドは、応答の待機中にキューイングされる GTP 要求の最大数を指定します。制限に達しているときに新規要求が到着した場合は、最も長時間キューイングされている要求が削除されます。Error Indication、Version Not Supported、および SGSN Context Acknowledge の各メッセージは要求と見なされないため、応答の待機中に要求キューに入れられることはありません。

次に、要求キューの最大サイズを 300 バイトに指定する例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# request-queue-size 300
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

request-timeout

失敗した SSO 認証の試行がタイムアウトになるまでの秒数を設定するには、webvpn コンフィギュレーション モードで request-timeout コマンドを使用します。

デフォルト値に戻すには、このコマンドの no 形式を使用します。

request-timeout seconds

no request-timeout

 
構文の説明

 
構文の説明構文の説明

seconds

失敗した SSO 認証試行がタイムアウトになるまでの秒数。指定できる範囲は 1 ~ 30 秒です。分数はサポートされていません。

 
デフォルト

このコマンドのデフォルト値は 5 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1.1

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。現在、適応型セキュリティ アプライアンスは、SiteMinder および SAML POST タイプの SSO サーバをサポートしています。

このコマンドは SSO サーバの両タイプに適用されます。

SSO 認証をサポートするように適応型セキュリティ アプライアンスを設定したら、オプションで次の 2 つのタイムアウト パラメータを調整できます。

失敗した SSO 認証試行がタイムアウトになるまでの秒数( request-timeout コマンドを使用します)。

SSO 認証の試行に失敗したときに適応型セキュリティ アプライアンスが再試行する回数です。( max-retry-attempts コマンドを参照)。

次に、webvpn-sso-siteminder モードで入力された、SiteMinder タイプ SSO サーバ「example」の認証タイムアウトを 10 秒に設定する例を示します。

hostname(config-webvpn)# sso-server example type siteminder
hostname(config-webvpn-sso-siteminder)# request-timeout 10

 
関連コマンド

コマンド
説明

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

test sso-server

テスト認証要求で SSO サーバをテストします。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

reserve-port-protect

メディア ネゴシエーション中の予約ポートの使用を制限するには、パラメータ コンフィギュレーション モードで reserve-port-protect コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

reserve-port-protect

no reserve-port-protect

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、RTSP インスペクション ポリシー マップ内で予約ポートを保護する例を示します。

hostname(config)# policy-map type inspect rtsp rtsp_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# reserve-port-protect
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

reserved-bits

TCP ヘッダーの予約済みビットをクリアする、または予約済みビットが設定されたパケットをドロップするには、TCP マップ コンフィギュレーション モードで reserved-bits コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

reserved-bits { allow | clear | drop }

no reserved-bits { allow | clear | drop }

 
構文の説明

allow

TCP ヘッダー内に予約済みビットを持つパケットを許可します。

clear

TCP ヘッダー内の予約済みビットをクリアしてから、そのパケットを許可します。

drop

TCP ヘッダー内に予約済みビットを持つパケットをドロップします。

 
デフォルト

デフォルトでは、予約済みビットが許可されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。予約済みビットを持つパケットがエンド ホストで処理される方法についてのあいまいさを排除するには、TCP マップ コンフィギュレーション モードで reserved-bits コマンドを使用します。あいまいさがあると、適応型セキュリティ アプライアンスの非同期につながる場合があります。TCP ヘッダー内の予約済みビットをクリアすること、さらに予約済みビットが設定されたパケットをドロップすることも選択できます。

次に、予約済みビットが設定されたすべての TCP フローのパケットをクリアする例を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# reserved-bits clear
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

reset

モジュラ ポリシー フレームワークを使用する場合、一致またはクラス コンフィギュレーション モードで reset コマンドを使用して、 match コマンドまたはクラス マップと一致するトラフィックに対して、パケットをドロップし、接続を終了して、TCP リセットを送信します。このリセット アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用できます。ただし、すべてのアプリケーションがこのアクションを許可するわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

reset [ log ]

no reset [ log ]

 
構文の説明

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match または class コマンドを入力してアプリケーション トラフィックを識別した後で( class コマンドは、さらに match コマンドを含んでいる既存の class-map type inspect コマンドを参照する)、 reset コマンドを入力して match コマンドまたは class コマンドに一致するトラフィックのパケットをドロップし、接続を終了できます。

接続をリセットすると、それ以降のインスペクション ポリシー マップのアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合は、それ以降のどの match または class コマンドも照合されません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの別のアクションが発生する可能性があります。同じ match または class コマンドに対して、 reset log アクションを両方設定できます。その場合、パケットは、指定の一致によってリセットされる前にログに記録されます。

レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。

次に、接続をリセットして、http-traffic クラス マップと一致するとログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# reset log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

retries

適応型セキュリティ アプライアンスが応答を受信しないときに、DNS サーバのリストに再試行する回数を指定するには、グローバル コンフィギュレーション モードで dns retries コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

retries number

no retries [ number ]

 
構文の説明

number

再試行の回数を 0 ~ 10 の範囲で指定します。デフォルトは 2 です。

 
デフォルト

再試行のデフォルト回数は 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

name-server コマンドを使用して DNS サーバを追加します。

dns name-server コマンドはこのコマンドに置き換えられます。

次に、再試行の回数を 0 に設定する例を示します。適応型セキュリティ アプライアンスは各サーバに対して 1 回だけ試行します。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# dns retries 0
 

 
関連コマンド

コマンド
説明

clear configure dns

DNS コマンドをすべて削除します。

dns server-group

DNS サーバグループ モードを開始します。

show running-config dns server-group

既存の DNS サーバ グループ コンフィギュレーションのうちの 1 つまたはすべてを表示します。

retry-interval

以前の aaa-server host コマンドで指定した特定の AAA サーバに対する再試行の間隔時間を設定するには、AAA サーバ ホスト モードで retry-interval コマンドを使用します。再試行間隔をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

retry-interval seconds

no retry-interval

 
構文の説明

seconds

要求の再試行間隔を指定します(1 ~ 10 秒)。これは、適応型セキュリティ アプライアンスが接続要求を再試行するまでに待機する時間です。

 
デフォルト

デフォルトの再試行間隔は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは CLI ガイドラインに沿うように変更されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスが次に接続試行を実行するまでに待機する秒数を指定またはリセットするには、 retry-interval コマンドを使用します。適応型セキュリティ アプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。

次に、コンテキスト内の retry-interval コマンドの例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 7
hostname(config-aaa-server-host)# retry-interval 9
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

timeout

適応型セキュリティ アプライアンスが AAA サーバへの接続を試行する時間の長さを指定します。

reval-period

NAC フレームワーク セッションで正常に完了した各ポスチャ確認間の間隔を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで reval-period コマンドを使用します。NAC フレームワーク ポリシーからこのコマンドを削除するには、このコマンドの no 形式を使用します。

reval-period seconds

no reval-period [ seconds ]

 
構文の説明

seconds

正常に完了した各ポスチャ確認の間隔の秒数。指定できる範囲は 300 ~ 86400 です。

 
デフォルト

デフォルト値は 36000 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

nac ポリシー nac フレームワーク コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、ポスチャ確認が正常に完了するたびに、再検証のタイマーを開始します。このタイマーが切れると、無条件のポスチャ確認がトリガーされます。再検証中、適応型セキュリティ アプライアンスはポスチャ確認を維持します。デフォルトのグループ ポリシーは、アクセス コントロール サーバがポスチャ確認中または再検証中に無効な場合に有効になります。

次に、再検証タイマーを 86400 秒に変更する例を示します。

hostname(config-nac-policy-nac-framework)# reval-period 86400
hostname(config-nac-policy-nac-framework)
 

次に、NAC ポリシーから再検証タイマーを削除する例を示します。

hostname(config-nac-policy-nac-framework)# no reval-period
hostname(config-nac-policy-nac-framework)
 

 
関連コマンド

コマンド
説明

eou timeout

NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。

sq-period

NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。

nac-policy

Cisco NAC ポリシーを作成してアクセスし、そのタイプを指定します。

debug nac

NAC フレームワーク イベントのロギングをイネーブルにします。

eou revalidate

1 つ以上の NAC フレームワーク セッションのポスチャ再確認をただちに強制します。

revert webvpn all

適応型セキュリティ アプライアンスのフラッシュ メモリから、すべての Web 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除するには、特権 EXEC モードで revert webvpn all コマンドを入力します。

revert webvpn all

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスのフラッシュ メモリから、すべての Web 関連情報(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)をディセーブルにして削除するには、 revert webvpn all コマンドを使用します。すべての Web 関連データを削除すると、デフォルトの設定に戻ります(該当する場合)。

次のコマンドは、適応型セキュリティ アプライアンスからすべての Web 関連のコンフィギュレーション データを削除します。

hostname# revert webvpn all
hostname

 
関連コマンド

コマンド
説明

show import webvpn( 任意

現在適応型セキュリティ アプライアンスのフラッシュ メモリに存在するさまざまなインポート済み WebVPN データおよびプラグインを表示します。

revert webvpn customization

適応型セキュリティ アプライアンスのキャッシュ メモリからカスタマイゼーション オブジェクトを削除するには、特権 EXEC モードで revert webvpn customization コマンドを入力します。

revert webvpn customization name

 
構文の説明

name

削除するカスタマイゼーション オブジェクトの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

指定したカスタマイゼーションに対するクライアントレス SSL VPN サポートを削除し、適応型セキュリティ アプライアンスのキャッシュ メモリからも削除するには、 revert webvpn customization コマンドを使用します。カスタマイゼーション オブジェクトを削除すると、デフォルトの設定に戻ります(該当する場合)。カスタマイゼーション オブジェクトには、特定の、名前が付けられたポータル ページのコンフィギュレーション パラメータが含まれています。

バージョン 8.0 ソフトウェアでは、カスタマイゼーションを設定するための機能が拡張されていますが、新しいプロセスは以前のバージョンとは非互換です。8.0 ソフトウェアへのアップグレード時に、セキュリティ アプライアンスは、古い設定を使用して新しいカスタマイゼーション オブジェクトを生成することにより、現在のコンフィギュレーションを保持します。このプロセスが実行されるのは 1 回のみです。古い値は新しい値の部分的なサブセットに過ぎないため、このプロセスは、古い形式から新しい形式への単純な変換ではありません。


) バージョン 7.2 のポータル カスタマイゼーションと URL リストが Beta 8.0 のコンフィギュレーションで機能するのは、バージョン 8.0 にアップグレードする前のバージョン 7.2(x) のコンフィギュレーション ファイルの適切なインターフェイスで、クライアントレス SSL VPN(WebVPN)がイネーブルな場合だけです。


次のコマンドは、GroupB という名前のカスタマイゼーション オブジェクトを削除します。

hostname# revert webvpn customization groupb
hostname

 
関連コマンド

コマンド
説明

customization

トンネル グループ、グループ、またはユーザに使用するカスタマイゼーション オブジェクトを指定します。

export customization

カスタマイゼーション オブジェクトをエクスポートします。

import customization

カスタマイゼーション オブジェクトをインストールします。

revert webvpn all

すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。

show webvpn customization

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在する現在のカスタマイゼーション オブジェクトを表示します。

revert webvpn plug-in protocol

適応型セキュリティ アプライアンスのフラッシュ デバイスにからプラグインを削除するには、特権 EXEC モードで revert webvpn plug-in protocol コマンドを入力します。

revert plug-in protocol protocol

 
構文の説明

protocol

次のいずれかの文字列を入力します。

rdp

Remote Desktop Protocol プラグインにより、リモート ユーザは Microsoft Terminal Services が実行するコンピュータに接続できます。

ssh

セキュア シェル プラグインにより、リモート ユーザがリモート コンピュータへのセキュア チャネルを確立したり、リモート ユーザが Telnet を使用してリモート コンピュータに接続したりできます。

vnc

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

指定した Java ベースのクライアント アプリケーションに対するクライアントレス SSL VPN サポートをディセーブルにして削除し、さらに適応型セキュリティ アプライアンスのフラッシュ ドライブからも削除するには、 revert webvpn plug-in protocol コマンドを使用します。

次のコマンドは、RDP に対するサポートを削除します。

hostname# revert webvpn plug-in protocol rdp
hostname

 
関連コマンド

コマンド
説明

import webvpn plug-in protocol

指定したプラグインを URL から適応型セキュリティ アプライアンスのフラッシュ デバイスにコピーします。このコマンドを発行すると、クライアントレス SSL VPN は、今後のセッションで自動的に Java ベースのクライアント アプリケーションの使用をサポートします。

show import webvpn plug-in

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在するプラグインのリストを示します。

revert webvpn translation-table

適応型セキュリティ アプライアンスのフラッシュ メモリから変換テーブルを削除するには、特権 EXEC モードで revert webvpn translation-table コマンドを入力します。

revert webvpn translation-table translationdomain language

 
構文の説明

translationdomain

使用できる変換ドメインは次のとおりです。

AnyConnect

PortForwarder

バナー

CSD

カスタマイゼーション

URL リスト

(RDP、SSH、および VNC プラグインからのメッセージの変換)。

language

削除する文字エンコーディング メソッドを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

インポート済みの変換テーブルをディセーブルにして削除し、さらに適応型セキュリティ アプライアンスのフラッシュ メモリからも削除するには、 revert webvpn translation-table コマンドを使用します。変換テーブルを削除すると、デフォルトの設定に戻ります(該当する場合)。

次のコマンドは、Dutch という AnyConnect 変換テーブルを削除します。

hostname# revert webvpn translation-table anyconnect dutch
hostname

 
関連コマンド

コマンド
説明

revert webvpn all

すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。

show webvpn translation-table

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在する現在の変換テーブルを表示します。

revert webvpn url-list

適応型セキュリティ アプライアンスから URL リストを削除するには、特権 EXEC モードで revert webvpn url-list コマンドを入力します。

revert webvpn url-list template name

 
構文の説明

template name

URL リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスのフラッシュ デバイスで現在の URL リストをディセーブルにして削除するには、 revert webvpn url-list コマンドを使用します。URL リストを削除すると、デフォルトの設定に戻ります(該当する場合)。

revert webvpn url-list コマンドとともに使用する template 引数は、以前に設定された URL リストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

次のコマンドは、servers2 という URL リストを削除します。

hostname# revert webvpn url-list servers2
hostname

 
関連コマンド

コマンド
説明

revert webvpn all

すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。

show running-configuration url-list

現在設定されている URL リスト コマンドのセットを表示します。

url-list(WebVPN モード)

WebVPN サーバおよび URL のリストを特定のユーザまたはグループ ポリシーに適用します。

revert webvpn webcontent

適応型セキュリティ アプライアンスのフラッシュ メモリ内の場所から、指定した Web オブジェクトを削除するには、特権 EXEC モードで revert webvpn webcontent コマンドを入力します。

revert webvpn webcontent filename

 
構文の説明

filename

削除する Web コンテンツを含むフラッシュ メモリ ファイルの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

Web コンテンツが含まれるファイルをディセーブルにして削除し、さらに適応型セキュリティ アプライアンスのフラッシュ メモリからも削除するには、 revert webvpn content コマンドを使用します。すべての Web コンテンツを削除すると、デフォルトの設定に戻ります(該当する場合)。

次のコマンドは、適応型セキュリティ アプライアンスのフラッシュ メモリから ABCLogo という Web コンテンツ ファイルを削除します。

hostname# revert webvpn webcontent abclogo
hostname

 
関連コマンド

コマンド
説明

revert webvpn all

すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。

show webvpn webcontent

適応型セキュリティ アプライアンスのフラッシュ メモリに現在存在する Web コンテンツを表示します。

revocation-check

失効チェックの方法を 1 つ以上設定するには、暗号 CA トラストポイント モードで revocation-check コマンドを使用します。適応型セキュリティ アプライアンスは、ユーザが設定した順番でその方法を試行します。2 番め、3 番めの方法は、ステータスが失効として検出された場合とは反対に、直前の方法がエラーを返した(サーバ ダウンなど)場合のみ実行されます。

失効チェックの方法は、トラストポイントを検証するクライアント証明書に設定できます。また、トラストポイントを検証する応答側証明書に失効チェックなし( revocation-check none )を設定することもできます。 match certificate コマンドのマニュアルには、手順に沿って示したコンフィギュレーション例が含まれています。

デフォルトの失効チェック方法( none )に戻すには、このコマンドの no バージョンを使用します。

revocation-check {[ crl ] [ none ] [ ocsp ]}

no revocation-check

 
構文の説明

crl

失効チェック方法として適応型セキュリティ アプライアンスが CRL を使用することを指定します。

none

すべての方法でエラーが返されても、適応型セキュリティ アプライアンスは証明書のステータスを有効であると解釈することを指定します。

ocsp

失効チェック方法として適応型セキュリティ アプライアンスが OCSP を使用することを指定します。

 
デフォルト

デフォルト値は none です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント モード

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。以前のコマンドは次のように置換されています。

crl optional revocation-check crl none に置き換えられました。

crl required revocation-check crl に置き換えられました。

crl nocheck revocation-check none に置き換えられました。

 
使用上のガイドライン

OCSP 応答の署名者は通常、OCSP サーバ(応答側)の証明書です。この応答を受信すると、デバイスは応答側証明書を確認します。

通常、CA は OCSP 応答側証明書のライフタイムを比較的短期間に設定して、セキュリティが侵害される危険性を最小限に抑えます。CA は、応答側証明書内に失効状況を確認する必要がないことを示す ocsp-no-check 拡張機能を含めます。ただし、この拡張機能が存在しない場合、デバイスは、ユーザがこの revocation-check コマンドを使用してトラストポイントに設定した失効方法を使用して、証明書の失効状況を確認しようとします。失効状況チェックを無視する none オプションを設定していない限り、OCSP 失効チェックは失敗するため、OCSP 応答側証明書は、ocsp-no-check 拡張機能が含まれていない場合は検証可能である必要があります。

次に、newtrust というトラストポイントに対して、OCSP と CRL の失効方法をこの順番で設定する例を示します。

hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# revocation-check ocsp crl
hostname(config-ca-trustpoint)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

暗号 CA トラストポイント モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。

match certificate

OCSP 上書きルールを設定します。

ocsp disable-nonce

OCSP 要求のナンス拡張をディセーブルにします。

ocsp url

トラストポイントに関連付けられているすべての証明書をチェックするために使用する OCSP サーバを指定します。

 

rewrite

特定のアプリケーションまたは WebVPN 接続を経由するのトラフィックのタイプのコンテンツの書き換えをディセーブルにするには、webvpn モードで rewrite コマンドを使用します。書き換えルールを削除するには、このコマンドの no 形式を、ルールを一意に識別するルール番号とともに使用します。書き換えルールをすべて削除するには、ルール番号なしでこのコマンドの no 形式を使用します。

デフォルトでは、適応型セキュリティ アプライアンスはすべての WebVPN トラフィックを書き換えまたは変換します。

rewrite order integer {enable | disable} resource-mask string [ name resource name ]

no rewrite order integer {enable | disable} resource-mask string [ name resource name ]

 
構文の説明

disable

指定したトラフィックのコンテンツ書き換えをディセーブルにするルールとして、この書き換えルールを定義します。コンテンツ書き換えをディセーブルにすると、トラフィックはセキュリティ アプライアンスを通過しません。

enable

指定したトラフィックのコンテンツ書き換えをイネーブルにするルールとして、この書き換えルールを定義します。

integer

設定したすべてのルールの順序を設定します。指定できる範囲は 1 ~ 65534 です。

name

(任意)ルールを適用するアプリケーションまたはリソースの名前を指定します。

order

適応型セキュリティ アプライアンスがルールを適用する順序を定義します。

resource-mask

ルールのアプリケーションまたはリソースを識別します。

resource name

(任意)ルールを適用するアプリケーションまたはリソースを指定します。最大 128 バイトです。

string

照合対象として正規表現を含むことができるアプリケーションまたはリソースの名前を指定します。次のワイルドカードを使用できます。

照合対象として正規表現を含むことができるパターンを指定します。次のワイルドカードを使用できます。

*:すべてに一致します。このワイルドカードはこれだけでは使用できません。英数字の文字列とともに使用する必要があります。

?:任意の 1 文字に一致します。

[!seq]:シーケンスにない任意の文字に一致します。

[seq]:シーケンス内の任意の文字に一致します。

最大 300 バイトです。

 
デフォルト

デフォルトでは、すべて書き換えます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、WebVPN 接続上でアプリケーションが正しくレンダリングされるように、アプリケーションのコンテンツ書き換えを実行します。外部の公的 Web サイトなど、このプロセスが不要なアプリケーションもあります。このようなアプリケーションに対しては、コンテンツの書き換えオフを選択することもできます。

disable オプションで rewrite コマンドを使用してコンテンツ書き換えを選択的にオフにすることで、ユーザが適応型セキュリティ アプライアンスを経由せずに直接特定のサイトを閲覧できるようにすることができます。これは、IPSec VPN 接続のスプリットトンネリングと類似しています。

このコマンドは複数回使用できます。適応型セキュリティ アプライアンスは書き換えルールを番号順に検索し、一致した最初のルールを適用するため、エントリを設定する順序は重要です。

次に、cisco.com ドメインの URL のコンテンツ書き換えをオフにするルールを、1 番めのルールとして設定する例を示します。

hostname(config-webpn)# rewrite order 2 disable resource-mask *cisco.com/*
 

 
関連コマンド

コマンド
説明

apcf

特定のアプリケーションに使用する非標準のルールを指定します。

proxy-bypass

特定のアプリケーションに対してコンテンツの最低限の書き換えを設定します。

re-xauth

IPSec ユーザの再認証を IKE キー再生成の際に必須とするには、グループ ポリシー コンフィギュレーション モードで re-xauth enable コマンドを使用します。IKE キー再生成の際のユーザ再認証をディセーブルにするには、 re-xauth disable コマンドを使用します。

実行コンフィギュレーションから re-xauth アトリビュートを削除するには、このコマンドの no 形式を使用します。これによって、IKE キー再生成の際の再認証の値を別のグループ ポリシーから継承できるようになります。

re-xauth { enable [ extended ] | disable}

no re-xauth

 
構文の説明

disable

IKE キー再生成の際の再認証をディセーブルにします。

enable

IKE キー再生成の際の再認証をイネーブルにします。

extended

認証資格情報の再入力に許可される時間を、設定した SA の最大ライフタイムまで延長します。

 
デフォルト

IKE キー再生成の際の再認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

8.0.4

extended キーワードが追加されました。

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IKE キー再生成の際の再認証は、IPSec 接続のみに適用されます。

IKE キー再生成での再認証をイネーブルにすると、適応型セキュリティ アプライアンスは、最初のフェーズ 1 IKE ネゴシエーション中にユーザ名とパスワードの入力をユーザに求めるプロンプトを表示します。また、IKE キー再生成が実行されるたびに、ユーザ認証を求めるプロンプトを表示します。再認証により、セキュリティが向上します。

ユーザが資格情報を入力する時間は 30 秒あります。SA の期限が切れる、トンネルが終了されるまでの約 2 分間で、最大 3 回入力を試行できます。設定した SA の最大ライフタイムまでに、ユーザが認証資格情報を再入力すれば良いように許可するには、 extended キーワードを使用します。

設定されているキー再生成間隔を確認するには、モニタリング モードで show crypto ipsec sa コマンドを発行して、セキュリティ アソシエーションのライフタイム(秒単位)およびライフタイムのデータ(KB 単位)を表示します。


) 接続の相手側にユーザが存在しない場合、再認証は失敗します。


次に、FirstGroup という名前のグループ ポリシーでキー再生成の際の再認証をイネーブルにする例を示します。

hostname(config) #group-policy FirstGroup attributes
hostname(config-group-policy)# re-xauth enable

rip send version

インターフェイスで RIP アップデートを送信するために使用される RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip send version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

rip send version { [ 1 ] [ 2 ] }

no rip send version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

適応型セキュリティ アプライアンスは RIP バージョン 1 パケットを送信します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル RIP 送信バージョン設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを送受信するように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# rip send version 1 2
hostname(config-if)# rip receive version 1 2
 

 
関連コマンド

コマンド
説明

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rip receive version

インターフェイスで受け入れる RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip receive version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

version { [ 1 ] [ 2 ] }

no version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

適応型セキュリティ アプライアンスは RIP バージョン 1 とバージョン 2 のパケットを受け入れます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip receive version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを受信するように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# rip send version 1 2
hostname(config-if)# rip receive version 1 2
 

 
関連コマンド

コマンド
説明

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rip authentication mode

RIP バージョン 2 パケットで使用される認証タイプを指定するには、インターフェイス コンフィギュレーション モードで rip authentication mode コマンドを使用します。デフォルトの認証方法に戻すには、このコマンドの no 形式を使用します。

rip authentication mode { text | md5 }

no rip authentication mode

 
構文の説明

md5

RIP メッセージ認証に MD5 を使用します。

text

RIP メッセージ認証にクリア テキストを使用します(非推奨)。

 
デフォルト

デフォルトでは、クリア テキスト認証が使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 上で設定された RIP 認証の例を示します。

hostname(config)# interface Gigabit0/3
hostname(config-if)# rip authentication mode md5
hostname(config-if)# rip authentication key thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

rip authentication key

RIP バージョン 2 認証をイネーブルにして、認証キーを指定します。

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

show running-config interface

指定したインターフェイスのコンフィギュレーション コマンドを表示します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rip authentication key

RIP バージョン 2 パケットの認証をイネーブルにして、認証キーを指定するには、インターフェイス コンフィギュレーション モードで rip authentication key コマンドを使用します。RIP バージョン 2 認証をディセーブルにするには、このコマンドの no 形式を使用します。

rip authentication key [0 | 8] string key_id id

no rip authentication key

 
構文の説明

0

暗号化されていないパスワードが後に続くことを指定します。

8

暗号化されたパスワードが後に続くことを指定します。

string

暗号化されていない(クリアテキストの)ユーザ パスワード。

key

認証キー ストリングに使用される共有キー。このキーには、最大 16 文字を含めることができます。

id

キー ID 値。有効な値の範囲は 1 ~ 255 です。

 
デフォルト

RIP 認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。ネイバー認証をイネーブルにする場合、 key 引数と key_id 引数は、RIP バージョン 2 アップデートを提供するネイバー デバイスが使用する引数と同じあることを確認する必要があります。key は、最大 16 文字のテキスト ストリングです。

インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 上で設定された RIP 認証の例を示します。

hostname(config)# interface Gigabit0/3
hostname(config-if)# rip authentication mode md5
hostname(config-if)# rip authentication key 8 yWIvi0qJAnGK5MRWQzrhIohkGP1wKb 5

 
関連コマンド

コマンド
説明

rip authentication mode

RIP バージョン 2 パケットで使用される認証タイプを指定します。

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

show running-config interface

指定したインターフェイスのコンフィギュレーション コマンドを表示します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rip receive version

インターフェイスで受け入れる RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip receive version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

version { [ 1 ] [ 2 ] }

no version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

適応型セキュリティ アプライアンスは RIP バージョン 1 とバージョン 2 のパケットを受け入れます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip receive version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを受信するように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# rip send version 1 2
hostname(config-if)# rip receive version 1 2
 

 
関連コマンド

コマンド
説明

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rip send version

インターフェイスで RIP アップデートを送信するために使用される RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip send version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

rip send version { [ 1 ] [ 2 ] }

no rip send version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

適応型セキュリティ アプライアンスは RIP バージョン 1 パケットを送信します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル RIP 送信バージョン設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを送受信するように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# rip send version 1 2
hostname(config-if)# rip receive version 1 2
 

 
関連コマンド

コマンド
説明

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

version

適応型セキュリティ アプライアンスでグローバルに使用される RIP のバージョンを指定します。

rmdir

既存のディレクトリを削除するには、特権 EXEC モードで rmdir コマンドを使用します。

rmdir [/noconfirm] [disk0: | disk1: | flash: ] path

 
構文の説明

/noconfirm

(任意)確認プロンプトを表示しないようにします。

disk0 :

(任意)取り外しできない内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1 :

(任意)取り外し可能な外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash :

(任意)取り外しできない内部フラッシュを指定し、続けてコロンを入力します。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 とエイリアス関係にあります。

path

(任意)削除するディレクトリの絶対パスまたは相対パス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ディレクトリが空でない場合、 rmdir コマンドは失敗します。

次に、「test」という名前の既存のディレクトリを削除する例を示します。

hostname# rmdir test
 

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

mkdir

新しいディレクトリを作成します。

pwd

現在の作業ディレクトリを表示します。

show file

ファイル システムに関する情報を表示します。

route

指定したインターフェイスのスタティック ルートまたはデフォルト ルートを入力するには、グローバル コンフィギュレーション モードで route コマンドを使用します。指定したインターフェイスからルートを削除するには、このコマンドの no 形式を使用します。

route interface_name ip_address netmask gateway_ip [[ metric ] [ track number ] | tunneled ]

no route interface_name ip_address netmask gateway_ip [[ metric ] [ track number ] | tunneled ]

 
構文の説明

gateway_ip

ゲートウェイ ルータの IP アドレス(このルートのネクストホップ アドレス)を指定します。

引数は、トランスペアレント モードでのオプションです。

interface_name

内部または外部のネットワーク インターフェイスの名前。このインターフェイスを経由してトラフィックがルーティングされます。

ip_address

内部または外部のネットワーク IP アドレス。

metric

(任意)このルートのアドミニストレーティブ ディスタンス。有効な値の範囲は 1 ~ 255 です。デフォルト値は 1 です。

netmask

ip_address に適用するネットワーク マスクを指定します。

track number

(任意)トラッキング エントリとこのルートを関連付けます。有効な値は、1 ~ 500 です。

オプションは、単一のルーテッド モードのみで有効です。

tunneled

ルートを、VPN トラフィックのデフォルト トンネル ゲートウェイとして指定します。

 
デフォルト

metric のデフォルトは 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

track number 値が追加されました。

 
使用上のガイドライン

インターフェイスのデフォルト ルートまたはスタティック ルートを入力するには、 route コマンドを使用します。デフォルト ルートを入力するには、 ip_address netmask 0.0.0.0 に設定するか、短縮形の 0 を使用します。 route コマンドを使用して入力したすべてのルートは、保存時にコンフィギュレーションに格納されます。

標準のデフォルト ルートに加えて、トンネル トラフィック用に別のデフォルト ルートを定義できます。 tunneled オプションを使用してデフォルト ルートを作成すると、適応型セキュリティ アプライアンスに着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。

tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。

トンネル ルートの出力インターフェイスで、ユニキャスト RPF( ip verify reverse-path )をイネーブルにしないでください。トンネル ルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。

トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションでエラーが発生します。

VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、トンネル ルートでは使用しないでください。これらのインスペクション エンジンは、トンネル ルートを無視します。

tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。

スタティック ルートを作成して、任意のインターフェイスでルータの外部に接続されているネットワークにアクセスします。たとえば、適応型セキュリティ アプライアンスはこのスタティック route コマンドを使用して、192.168.42.0 ネットワーク宛てのすべてのパケットを、192.168.1.5 ルータ経由で送信します。

hostname(config)# route dmz 192.168.42.0 255.255.255.0 192.168.1.5 1
 

各インターフェイスの IP アドレスを入力すると、適応型セキュリティ アプライアンスは、ルート テーブルに CONNECT ルートを作成します。このエントリは、 clear route コマンドまたは clear configure route コマンドを使用しても削除されません。

route コマンドが適応型セキュリティ アプライアンス上のインターフェイスのいずれか 1 つの IP アドレスをゲートウェイ IP アドレスとして使用する場合、適応型セキュリティ アプライアンスはゲートウェイ IP アドレスに対して ARP を実行するのではなく、パケット内の宛先 IP アドレスに対して ARP を実行します。

次に、outside インターフェイスに対して 1 つのデフォルト route コマンドを指定する例を示します。

hostname(config)# route outside 0 0 209.165.201.1 1
 

次に、次のスタティック route コマンドを追加して、ネットワークにアクセスできるようにする例を示します。

hostname(config)# route dmz1 10.1.2.0 255.0.0.0 10.1.1.4 1
hostname(config)# route dmz1 10.1.3.0 255.0.0.0 10.1.1.4 1
 

次に、SLA 動作を使用して、デフォルト ルートを outside インターフェイスの 10.1.1.1 ゲートウェイにインストールする例を示します。SLA 動作は、対象のゲートウェイの可用性をモニタします。SLA 動作が失敗すると、dmz インターフェイスのバックアップ ルートが使用されます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1
hostname(config)# route dmz 0.0.0.0 0.0.0.0 10.2.1.1 254
 

 
関連コマンド

コマンド
説明

clear configure route

スタティックに設定された route コマンドを削除します。

clear route

RIP などのダイナミック ルーティング プロトコルを通じて学習されたルートを削除します。

show route

ルート情報を表示します。

show running-config route

設定されているルートを表示します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義するには、グローバル コンフィギュレーション モードで route-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

route-map map_tag [ permit | deny ] [ seq_num ]

no route-map map_tag [ permit | deny ] [ seq_num ]

 
構文の説明

deny

(任意)ルート マップが一致基準に適合した場合は、ルートを再配布しないことを指定します。

map_tag

ルート マップ タグのテキスト。テキストの長さは、最大 57 文字です。

permit

(任意)このルート マップが一致基準に適合した場合は、設定アクションで制御されているとおりにルートを再配布することを指定します。

seq_num

(任意)ルート マップのシーケンス番号。有効な値は、0 ~ 65535 です。同じ名前ですでに設定されているルート マップのリストにおける、新しいルート マップの位置を示します。

 
デフォルト

デフォルトは次のとおりです。

permit

seq_num を指定しない場合、 seq_num 10 が最初のルート マップに割り当てられます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

route-map コマンドを使用することで、ルートを再配布できます。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドは、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、現在の route-map コマンドで再配布を許可する条件である、一致基準を指定します。 set コマンドは、 match コマンドで指定される基準が満たされた場合に実行される再配布アクションである、設定アクションを指定します。 no route-map コマンドはルート マップを削除します。

match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートが再配布されるようにするためには、すべての match コマンドが適合する必要があります。 match コマンドの no 形式で、指定した一致基準が削除されます。

ルーティング プロセス間のルート再配布方法を詳細に制御するには、ルート マップを使用します。宛先ルーティング プロトコルは、 router ospf グローバル コンフィギュレーション コマンドで指定します。送信元ルーティング プロトコルは、 redistribute ルータ コンフィギュレーション コマンドで指定します。

ルート マップを通じてルートを渡すとき、ルート マップはいくつかの部分に分かれることがあります。 route-map コマンドに関連する match 句の 1 つ以上に一致しないルートは、無視されます。そのルートは、アウトバウンド ルート マップにアドバタイズされたり、インバウンド ルート マップに受け入れられたりすることはありません。一部のデータのみを修正するには、明示的な一致を指定して別のルート マップ セクションを設定する必要があります。

seq_number 引数は以下のようになります。

1. 提供されたタグでエントリを定義しない場合、 seq_number 引数が 10 に設定されたエントリが作成されます。

2. 提供されたタグで 1 つだけエントリを定義した場合、そのエントリは、その後に続く route-map コマンドのデフォルト エントリとなります。このエントリの seq_number 引数は変更されません。

3. 提供されたタグで複数のエントリを定義した場合、 seq_number 引数が必要であることを示すエラー メッセージが出力されます。

no route-map map-tag コマンドを( seq-num 引数なしで)指定した場合、ルート マップ全体(同じ map-tag テキストを持つすべての route-map エントリ)が削除されます。

一致基準が満たされなかった場合、 permit キーワードを指定していれば、同じ map_tag を持つ次のルート マップがテストされます。あるルートが、同じ名前を共有するルート マップ セットの一致基準のいずれをも満たさない場合、そのセットによる再配布は行われません。

次に、OSPF ルーティングでルート マップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# show running-config route-map
route-map maptag1 permit 8
set metric 5
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を削除します。

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

router ospf

OSPF ルーティング プロセスを開始および設定します。

set metric

ルート マップの宛先ルーティング プロトコルのメトリック値を指定します。

show running-config route-map

ルート マップ コンフィギュレーションに関する情報を表示します。

router-alert

IP オプション インスペクションが指定されたパケットで、ルータ アラート IP オプションが実行された場合のアクションを定義するには、パラメータ コンフィギュレーション モードで router-alert コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

router-alert action {allow | clear}

no router-alert action {allow | clear}

 
構文の説明

allow

ルータ アラート IP オプションが含まれるパケットを許可するように適応型セキュリティ アプライアンスに指示します。

clear

パケットからルータ アラート IP オプションをクリアしてから、パケットを通過させるように適応型セキュリティ アプライアンスに指示します。

 
デフォルト

デフォルトでは、IP オプション インスペクションはルータ アラート IP オプションが含まれるパケットをドロップします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップ内で設定できます。

適応型セキュリティ アプライアンスの通過が許可される特定の IP オプションが含まれる IP パケットを制御するように、IP オプション インスペクションを設定できます。このインスペクションを設定することで、パケットを通過させたり、指定した IP オプションをクリアしてからパケットを通過させたりするように、適応型セキュリティ アプライアンスに指示できます。

ルータ アラート(RTRALT)または IP オプション 20 は、中継ルータに対して、そのルータが宛先でないパケットでも、パケットのコンテンツを検査するように通知します。このインスペクションは、ルータからのパケット デリバリ パスに比較的複雑なプロセスを必要とする、RSVP およびこれに類似するプロトコルを実装する場合に役立ちます。

次に、ポリシー マップにおけるプロトコル違反に対するアクションを設定する例を示します。

hostname(config)# policy-map type inspect ip-options ip-options_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# eool action allow
hostname(config-pmap-p)# nop action allow
hostname(config-pmap-p)# router-alert action allow
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

router-id

固定ルータ ID を使用するには、ルータ コンフィギュレーション モードで router-id コマンドを使用します。OSPF をリセットして以前のルータ ID 動作を使用するには、このコマンドの no 形式を使用します。

router-id addr

no router-id [ addr ]

 
構文の説明

addr

IP アドレス形式のルータ ID。

 
デフォルト

指定しない場合、適応型セキュリティ アプライアンス上で最上位の IP アドレスがルータ ID として使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.0(2)

このコマンドの処理順序が変更されました。このコマンドは、現在は、OSPF コンフィギュレーションで network コマンドの前に処理されます。

 
使用上のガイドライン

デフォルトでは、適応型セキュリティ アプライアンスは、OSPF コンフィギュレーションの network コマンドでカバーされた、インターフェイスの最上位の IP アドレスを使用します。最上位の IP アドレスがプライベート アドレスの場合、そのアドレスは hello パケットおよびデータベース定義で送信されます。特定のルータ ID を使用するには、 router-id コマンドを使用してルータ ID のグローバル アドレスを指定します。

ルータ ID は、OSPF ルーティング ドメイン内で一意である必要があります。同じ OSPF ドメイン内で 2 つのルータが同じルータ ID を使用している場合、ルーティングが正しく動作しないことがあります。

OSPF コンフィギュレーションで network コマンドを入力する前に、 router-id コマンドを入力する必要があります。こうすることで、適応型セキュリティ アプライアンスによって生成されるデフォルトのルータ ID との競合を回避できます。競合が発生すると、次のメッセージを受信します。

ERROR: router-id addr in use by ospf process pid
 

競合している ID を入力するには、競合を引き起こしている IP アドレスが含まれる network コマンドを削除し、 router-id コマンドを入力してから、 network コマンドを再入力します。

次に、ルータ ID を 192.168.1.1 に設定する例を示します。

hostname(config-router)# router-id 192.168.1.1
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

router eigrp

EIGRP ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router eigrp コマンドを使用します。EIGRP ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

router eigrp as-number

no router eigrp as-number

 
構文の説明

as-number

他の EIGRP ルータへのルートを識別する自律システム番号。ルーティング情報にタグを付ける場合にも使用されます。有効な値は 1 ~ 65535 です。

 
デフォルト

EIGRP ルーティングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

router eigrp コマンドは、EIGRP ルーティング プロセスを作成するか、既存の EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。適応型セキュリティ アプライアンスでは、EIGRP ルーティング プロセスを 1 つだけ作成できます。

次のルータ コンフィギュレーション モード コマンドを使用して、EIGRP ルーティング プロセスを設定します。

auto-summary :自動ルート集約をイネーブルまたはディセーブルにします。

default-information :デフォルトのルート情報の受信および送信をイネーブルまたはディセーブルにします。

default-metric :EIGRP ルーティング プロセスに再配布されるルートのデフォルトのメトリックを定義します。

distance eigrp :内部および外部の EIGRP ルートのアドミニストレーティブ ディスタンスを設定します。

distribute-list :ルーティング アップデートで受信および送信されるネットワークをフィルタリングします。

eigrp log-neighbor-changes :ネイバーのステート変更のロギングをイネーブルまたはディセーブルにします。

eigrp log-neighbor-warnings :ネイバーの警告メッセージのロギングをイネーブルまたはディセーブルにします。

eigrp router-id :固定ルータ ID を作成します。

eigrp stub :適応型セキュリティ アプライアンスにスタブ EIGRP ルーティングを設定します。

neighbor :EIGRP ネイバーを静的に定義します。

network :EIGRP ルーティング プロセスに参加するネットワークを設定します。

passive-interface :受動インターフェイスとして機能するようにインターフェイスを設定します。

redistribute :他のルーティング プロセスから EIGRP にルートを再配布します。

次のインターフェイス コンフィギュレーション モード コマンドを使用して、インターフェイス固有の EIGRP パラメータを設定します。

authentication key eigrp :EIGRP メッセージ認証に使用する認証キーを定義します。

authentication mode eigrp :EIGRP メッセージ認証に使用する認証アルゴリズムを定義します。

delay :インターフェイスの遅延メトリックを設定します。

hello-interval eigrp :EIGRP hello パケットがインターフェイスから送信される間隔を変更します。

hold-time eigrp :適応型セキュリティ アプライアンスによってアドバタイズされるホールド タイムを変更します。

split-horizon eigrp :インターフェイス上の EIGRP スプリットホライズンをイネーブルまたはディセーブルにします。

summary-address eigrp :サマリー アドレスを手動で定義します。

次に、自律システム番号 100 で、EIGRP ルーティング プロセスのコンフィギュレーション モードを開始する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)#

 
関連コマンド

コマンド
説明

clear configure eigrp

実行コンフィギュレーションから EIGRP ルータ コンフィギュレーション モード コマンドをクリアします。

show running-config router eigrp

実行コンフィギュレーションの EIGRP ルータ コンフィギュレーション モード コマンドを表示します。

router ospf

OSPF ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router ospf コマンドを使用します。OSPF ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

router ospf pid

no router ospf pid

 
構文の説明

pid

OSPF ルーティング プロセス用に内部で使用される ID パラメータで、有効な値は 1 ~ 65535 です。 pid は、他のルータ上の OSPF プロセスの ID と一致する必要はありません。

 
デフォルト

OSPF ルーティングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

router ospf コマンドは、適応型セキュリティ アプライアンス上で実行している OSPF ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 router ospf コマンドを入力すると、コマンド プロンプトは (config-router)# と表示されます。これは、現在のモードがルータ コンフィギュレーション モードであることを示しています。

no router ospf コマンドを使用する場合、必要な情報を提供するものでない限り、オプションの引数を指定する必要はありません。 no router ospf コマンドは、 pid で指定された OSPF ルーティング プロセスを終了します。 pid は、適応型セキュリティ アプライアンス上でローカルに割り当てます。OSPF ルーティング プロセスごとに固有の値を割り当てる必要があります。

次の OSPF 固有のコマンドとともに router ospf コマンドを使用して、OSPF ルーティング プロセスを設定します。

area :通常の OSPF エリアを設定します。

compatible rfc1583 :RFC 1583 に準拠した集約ルート コストの計算に使用される方式に戻します。

default-information originate :OSPF ルーティング ドメインへのデフォルトの外部ルートを生成します。

distance :ルート タイプに基づいて、OSPF ルートのアドミニストレーティブ ディスタンスを定義します。

ignore :ルータがタイプ 6 Multicast OSPF(MOSPF)パケットの Link-State Advertisement(LSA; リンクステート アドバタイズメント)を受信した際に、syslog メッセージを送信しないようにします。

log-adj-changes :OSPF ネイバーが起動または停止したときに、ルータが syslog メッセージを送信するように設定します。

neighbor :ネイバー ルータを指定します。VPN トンネル経由での隣接関係の確立を可能にするために使用されます。

network :OSPF を実行するインターフェイス、およびそれらのインターフェイスのエリア ID を定義します。

redistribute :指定されたパラメータに従って、あるルーティング ドメインから別のルーティング ドメインへのルートの再配布を設定します。

router-id :固定ルータ ID を作成します。

summary-address :OSPF の集約アドレスを作成します。

timers lsa-group-pacing :OSPF LSA グループのペーシング タイマー(リフレッシュまたは最大限に時間が経過している LSA グループ間の間隔)。

timers spf :SPF 計算の変更を受信する間の遅延。

次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。

hostname(config)# router ospf 5
hostname(config-router)#

 
関連コマンド

コマンド
説明

clear configure router

OSPF ルータ コマンドを実行コンフィギュレーションから消去します。

show running-config router ospf

実行コンフィギュレーションの OSPF ルータ コマンドをすべて表示します。

router rip

RIP ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router rip コマンドを使用します。RIP ルーティング プロセスをディセーブルにするには、このコマンドの no 形式を使用します。

router rip

no router rip

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

RIP ルーティングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

router rip コマンドは、適応型セキュリティ アプライアンス上で RIP ルーティング プロセスを設定するグローバル コンフィギュレーション コマンドです。適応型セキュリティ アプライアンスでは、RIP プロセスを 1 つだけ作成できます。 no router rip コマンドは RIP ルーティング プロセスを終了し、そのプロセス用のすべてのルータ コンフィギュレーションを削除します

router rip コマンドを入力すると、コマンド プロンプトは hostname(config-router)# に変わります。これは、現在のモードがルータ コンフィギュレーション モードであることを示しています。

次のルータ コンフィギュレーション コマンドとともに router rip コマンドを使用して、RIP ルーティング プロセスを設定します。

auto-summary :ルートの自動集約をイネーブルまたはディセーブルにします。

default-information originate :デフォルト ルートを配布します。

distribute-list in :着信ルーティング アップデートのネットワークをフィルタリングします。

distribute-list out :発信ルーティング アップデートのネットワークをフィルタリングします。

network :ルーティング プロセスに(から)インターフェイスを追加または削除します。

passive-interface :特定のインターフェイスを受動モードに設定します。

redistribute :他のルーティング プロセスから RIP ルーティング プロセスにルートを再配布します。

version :適応型セキュリティ アプライアンスで使用される RIP プロトコル バージョンを設定します。

さらに、次のコマンドをインターフェイス コンフィギュレーション モードで使用して、RIP プロパティをインターフェイスごとに設定できます。

rip authentication key :認証キーを設定します。

rip authentication mode :RIP バージョン 2 で使用される認証タイプを設定します。

rip send version :インターフェイスからアップデートを送信するために使用される RIP のバージョンを設定します。グローバル ルータ コンフィギュレーション モードでバージョンが設定されている場合は、このコマンドによって上書きされます。

rip receive version :インターフェイスが受け入れる RIP のバージョンを設定します。グローバル ルータ コンフィギュレーション モードでバージョンが設定されている場合は、このコマンドによって上書きされます。

RIP は、トランスペアレント モードではサポートされません。デフォルトで、適応型セキュリティ アプライアンスはすべての RIP ブロードキャストおよびマルチキャスト パケットを拒否します。これらの RIP メッセージがトランスペアレント モードで動作する適応型セキュリティ アプライアンスを通過することを許可するには、このトラフィックを許可するようにアクセス リストのエントリを定義する必要があります。たとえば、RIP バージョン 2 トラフィックがセキュリティ アプライアンスを通過できるように許可するには、 access-list myriplist extended permit ip any host 224.0.0.9 などのアクセス リスト エントリを作成します。RIP バージョン 1 ブロードキャストを許可するには、 access-list myriplist extended permit udp any any eq rip などのアクセス リスト エントリを作成します。アクセス リスト エントリを適切なインターフェイスに適用するには、 access-group コマンドを使用します。

RIP と OSPF ルーティングの両方を、適応型セキュリティ アプライアンスで同時にイネーブルにできます。

次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# version 2

 
関連コマンド

コマンド
説明

clear configure router rip

RIP ルータ コマンドを実行コンフィギュレーションから消去します。

show running-config router rip

実行コンフィギュレーションの RIP ルータ コマンドをすべて表示します。

rtp-conformance

H.323 および SIP のプロトコル適合のために、ピンホールをフローする RTP パケットをチェックするには、パラメータ コンフィギュレーション モードで rtp-conformance コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

rtp-conformance [enforce-payloadtype]

no rtp-conformance [enforce-payloadtype]

 
構文の説明

enforce-payloadtype

シグナリング交換に基づいてペイロード タイプをオーディオまたはビデオに強制します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、H.323 コールのプロトコル適合のために、ピンホールをフローする RTP パケットをチェックする例を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# rtp-conformance
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

debug rtp

H.323 および SIP インスペクションに関連付けられた RTP パケットのデバッグ情報およびエラー メッセージを表示します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

rtp-min-port rtp-max-port

Phone Proxy 機能の rtp-min-port 制限および rtp-max-port 制限を設定するには、Phone-Proxy コンフィギュレーション モードで rtp-min-port port1 rtp-max-port port2 コマンドを使用します。

Phone Proxy コンフィギュレーションから rtp-min-port 制限および rtp-max-port 制限を削除するには、このコマンドの no 形式を使用します。

rtp-min-port port1 rtp-maxport port2

no rtp-min-port port1 rtp-maxport port2

 
構文の説明

port1

メディア ターミネーション ポイントの RTP ポート範囲の最小値を指定します。 port1 の値は、1024 ~ 16384 の範囲で指定します。

port2

メディア ターミネーション ポイントの RTP ポート範囲の最大値を指定します。 port2 の値は、32767 ~ 65535 の範囲で指定します。

 
デフォルト

デフォルトでは、 rtp-min-port キーワードの port1 値は 16384 で、 rtp-max-port キーワードの port2 値は 32767 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

Phone Proxy がサポートするコール数をスケーリングする必要がある場合に、メディア ターミネーション ポイントの RTP ポート範囲を設定します。

次に、 media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。

hostname(config-phone-proxy)# rtp-min-port 2001 rtp-maxport 32770
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。