Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
tcp-map コマンド~ type echo コマンド
tcp-map コマンド~ type echo コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

tcp-map コマンド~ type echo コマンド

tcp-map

tcp-options

telnet

terminal

terminal pager

terminal width

test aaa-server

test dynamic-access-policy attributes

test dynamic-access-policy execute

test regex

test sso-server

text-color

tftp-server

tftp-server address

threat-detection basic-threat

threat-detection rate

threat-detection scanning-threat

threat-detection statistics

threshold

ticket

timeout

timeout(AAA サーバ ホスト)

timeout(DNS サーバ グループ コンフィギュレー ション モード)

timeout(GTP マップ)

timeout(RADIUS アカウンティング)

timeout(SLA モニタ)

timeout pinhole

time-range

timeout secure-phones

timers lsa-group-pacing

timers spf

title

tls-proxy

tos

traceroute

track rtr

traffic-non-sip

transfer-encoding

trust-point

trustpoint(SSO サーバ)

tsig enforced

ttl-evasion-protection

tunnel-group

tunnel-group general-attributes

tunnel-group ipsec-attributes

tunnel-group ppp-attributes

tunnel-group webvpn-attributes

tunnel-group-map

tunnel-group-map default-group

tunnel-group-map enable

tunnel-limit

tx-ring-limit

type echo

tcp-map コマンド~ type echo コマンド

tcp-map

一連の TCP 正規化アクションを定義するには、グローバル コンフィギュレーション モードで tcp-map コマンドを使用します。TCP 正規化機能により、異常なパケットを識別する基準を指定できます。これにより、異常なパケットが検出されると適応型セキュリティ アプライアンスによってドロップされます。TCP マップを削除するには、このコマンドの no 形式を使用します。

tcp-map map_name

no tcp-map map_name

 
構文の説明

map_name

TCP マップ名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

この機能では、モジュラ ポリシー フレームワークを使用します。最初に tcp-map コマンドを使用して、実行する TCP 正規化アクションを定義します。 tcp-map コマンドを実行すると、TCP マップ コンフィギュレーション モードが開始されます。このモードでは、TCP 正規化アクションを定義する 1 つ以上のコマンドを入力できます。次に、 class-map コマンドを使用して、TCP マップを適用するトラフィックを定義します。 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection advanced-options コマンドを入力して TCP マップを参照します。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次のコマンドを TCP マップ コンフィギュレーション モードで使用できます。

 

check-retransmission

再転送データのチェックをイネーブルおよびディセーブルにします。

checksum-verification

チェックサムの確認をイネーブルおよびディセーブルにします。

exceed-mss

ピアにより設定された MSS を超過したパケットを許可またはドロップします。

queue-limit

TCP 接続のキューに入れることができる順序付けされていないパケットの最大数を設定します。このコマンドは、ASA 5500 シリーズ適応型セキュリティ アプライアンスでのみ使用できます。PIX 500 シリーズの適応型セキュリティ アプライアンスでは、キューに入れられるパケットは 3 つまでで、この数は変更できません。

reserved-bits

適応型セキュリティ アプライアンスに予約済みフラグ ポリシーを設定します。

syn-data

データを持つ SYN パケットを許可またはドロップします。

tcp-options

selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。

ttl-evasion-protection

適応型セキュリティ アプライアンスにより提供された TTL 回避保護をイネーブルまたはディセーブルにします。

urgent-flag

適応型セキュリティ アプライアンスを通して URG ポインタを許可または消去します。

window-variation

予想外にウィンドウ サイズが変更された接続をドロップします。

たとえば、既知の FTP データ ポートと Telnet ポート間の TCP ポートの範囲に送信されるトラフィックすべての緊急フラグおよび緊急オフセット パケットを許可するには、次のコマンドを入力します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# urgent-flag allow
 
hostname(config-tcp-map)# class-map urg-class
hostname(config-cmap)# match port tcp range ftp-data telnet
 
hostname(config-cmap)# policy-map pmap
hostname(config-pmap)# class urg-class
hostname(config-pmap-c)# set connection advanced-options tmap
 
hostname(config-pmap-c)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class(ポリシー マップ)

トラフィック分類に使用するクラス マップを指定します。

clear configure tcp-map

TCP マップのコンフィギュレーションをクリアします。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config tcp-map

TCP マップ コンフィギュレーションに関する情報を表示します。

tcp-options

selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。

tcp-options

適応型セキュリティ アプライアンスを通して TCP オプションを許可または消去するには、TCP マップ コンフィギュレーション モードで tcp-options コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

tcp-options { selective-ack | timestamp | window-scale } { allow | clear }

no tcp-options { selective-ack | timestamp | window-scale } { allow | clear }

tcp-options range lower upper { allow | clear | drop }

no tcp-options range lower upper { allow | clear | drop }

 
構文の説明

allow

TCP ノーマライザを通して TCP オプションを許可します。

clear

TCP ノーマライザを通して TCP オプションを消去し、パケットを許可します。

drop

パケットをドロップします。

lower

下位バインド範囲(6 ~ 7)および(9 ~ 255)です。

selective-ack

選択的な確認応答メカニズム(SACK)オプションを設定します。デフォルトでは、SACK オプションを許可します。

timestamp

timestamp オプションを設定します。timestamp オプションを消去すると、PAWS および RTT がディセーブルとなります。デフォルトでは、timestamp オプションを許可します。

upper

上位バインド範囲(6 ~ 7)および(9 ~ 255)です。

window-scale

window scale mechanism オプションを設定します。デフォルトでは、window scale mechanism オプションを許可します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP マップ コンフィギュレーション モードで tcp-options コマンドを使用して、selective-acknowledgement オプション、window-scale オプション、および timestamp TCP オプションをクリアします。また、明確に定義されていないオプションを持つパケットも消去またはドロップできます。

次の例では、TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲にあるすべてのパケットをドロップする方法を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# tcp-options range 6 7 drop
hostname(config-tcp-map)# tcp-options range 9 255 drop
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

telnet

コンソールへの Telnet アクセスを追加して、アイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで telnet コマンドを使用します。あらかじめ設定された IP アドレスから Telnet アクセスを削除するには、このコマンドの no 形式を使用します。

telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number }}

no telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number } }

 
構文の説明

hostname

適応型セキュリティ アプライアンスの Telnet コンソールにアクセスできるホストの名前を指定します。

interface_name

Telnet へのネットワーク インターフェイスの名前を指定します。

IP_address

適応型セキュリティ アプライアンスへのログインを認可されているホストまたはネットワークの IP アドレスを指定します。

IPv6_address

適応型セキュリティ アプライアンスへのログインを認可されている IPv6 アドレスおよびプレフィクスを指定します。

mask

IP アドレスに関連付けられているネットマスクを指定します。

timeout number

Telnet セッションが適応型セキュリティ アプライアンスによって停止されるまでにアイドル状態を維持する時間(分)。有効な値は 1 ~ 1440 分です。

 
デフォルト

デフォルトでは、Telnet セッションのアイドル状態が 5 分間続くと、適応型セキュリティ アプライアンスによって停止されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

変数 IPv6_address が追加されました。また、 no telnet timeout コマンドも追加されました。

 
使用上のガイドライン

telnet コマンドでは、Telnet で適応型セキュリティ アプライアンスコンソールにアクセスできるホストを指定できます。適応型セキュリティ アプライアンスへの Telnet 接続は、すべてのインターフェイスでイネーブルにできます。ただし、適応型セキュリティ アプライアンスでは、外部インターフェイスへの Telnet トラフィックがすべて、必ず IPSec で保護されます。外部インターフェイスへの Telnet セッションをイネーブルにするには、まず外部インターフェイス上で、IPSec が適応型セキュリティ アプライアンスの生成する IP トラフィックを含むように設定し、外部インターフェイスで Telnet をイネーブルにします。

no telnet コマンドを使用すると、以前に設定した IP アドレスから Telnet アクセスが削除されます。telnet timeout コマンドを使用すると、コンソールの Telnet セッションの最大アイドル時間を設定して、その時間が経過すると、適応型セキュリティ アプライアンスがログオフするようにできます。no telnet コマンドは telnet timeout コマンドとは、ともに使用できません。

IP アドレスを入力した場合、ネットマスクも入力する必要があります。デフォルトのネットマスクはありません。内部ネットワークのサブネットワーク マスクを使用しないでください。netmask は、IP アドレスの単なるビット マスクです。アクセスを IP アドレス 1 つに制限するには、255.255.255.255 のように各オクテットに 255 を使用します。

IPSec が動作中の場合に、セキュアでないインターフェイス名(通常、外部インターフェイス)を指定できます。telnet コマンドでインターフェイス名を指定するには、少なくとも crypto map コマンドを設定する必要があります。

passwd コマンドを使用して、コンソールへの Telnet アクセスで使用するパスワードを設定します。デフォルトは cisco です。who コマンドを使用して、現在適応型セキュリティ アプライアンスコンソールにアクセスしている IP アドレスを表示します。kill コマンドを使用して、アクティブな Telnet コンソール セッションを終了します。

aaa コマンドを console キーワードとともに使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。


) aaa コマンドを設定して、適応型セキュリティ アプライアンス Telnet コンソール アクセスに認証を要求した場合に、コンソール ログイン要求がタイムアウトしたときは、適応型セキュリティ アプライアンスのユーザ名と enable password コマンドで設定したパスワードを入力して、シリアル コンソールから適応型セキュリティ アプライアンスにアクセスできます。


次の例では、ホスト 192.168.1.3 および 192.168.1.4 が Telnet を通して適応型セキュリティ アプライアンスコンソールへのアクセス許可を得る方法を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストがアクセスを許可されます。

hostname(config)# telnet 192.168.1.3 255.255.255.255 inside
hostname(config)# telnet 192.168.1.4 255.255.255.255 inside
hostname(config)# telnet 192.168.2.0 255.255.255.0 inside
hostname(config)# show running-config telnet
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
 

次の例では、セッションの最大アイドル継続時間を変更する方法を示します。

hostname(config)# telnet timeout 10
hostname(config)# show running-config telnet timeout
telnet timeout 10 minutes
 

次の例では、Telnet コンソール ログイン セッションを示します(パスワードは入力時には表示されません)。

hostname# passwd: cisco
 
Welcome to the XXX
...
Type help or ‘?’ for a list of available commands.
hostname>
 
  • no telnet コマンドを使用して個々のエントリを削除することも、すべての telnet コマンド ステートメントを clear configure telnet コマンドで削除することもできます。
hostname(config)# no telnet 192.168.1.3 255.255.255.255 inside
hostname(config)# show running-config telnet
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
 
hostname(config)# clear configure telnet
 

 
関連コマンド

コマンド
説明

clear configure telnet

telnet コンフィギュレーションから Telnet 接続を削除します。

kill

Telnet セッションを終了します。

show running-config telnet

適応型セキュリティ アプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します。

who

適応型セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示します。

terminal

現在の Telnet セッションで syslog メッセージの表示を許可するには、特権 EXEC モードで terminal monitor コマンドを使用します。syslog メッセージの表示をディセーブルにするには、このコマンドの no 形式を使用します。

terminal { monitor | no monitor }

 
構文の説明

monitor

現在の Telnet セッションで syslog メッセージの表示をイネーブルにします。

no monitor

現在の Telnet セッションで syslog メッセージの表示をディセーブルにします。

 
デフォルト

Syslog メッセージは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例は、現在のセッションで syslog メッセージの表示をイネーブルおよびディセーブルにする方法を示します。

hostname# terminal monitor
hostname# terminal no monitor

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定をクリアします。

pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

terminal pager

Telnet セッションで「---more---」プロンプトが表示されるまでの 1 ページあたりの行数を設定するには、特権 EXEC モードで terminal pager コマンドを使用します。

terminal pager [lines] lines

 
構文の説明

[ lines ] lines

「---more---」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。デフォルトは 24 行です。0 は、ページの制限がないことを示します。指定できる範囲は 0 ~ 2147483647 行です。 lines キーワードはオプションで、付けても付けなくてもコマンドは同じです。

 
デフォルト

デフォルトは 24 行です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、現在の Telnet セッションに対してだけ pager line 設定を変更します。新しいデフォルトの pager 設定をコンフィギュレーションに保存するには、 pager コマンドを使用します。

管理コンテキストに Telnet 接続する場合、ある特定のコンテキスト内の pager コマンドに異なる設定があっても、他のコンテキストに移ったときには、pager line 設定はユーザのセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。

次に、表示される行数を 20 に変更する例を示します。

hostname# terminal pager 20
 

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定をクリアします。

pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal

syslog メッセージが Telnet セッションで表示されるようにします。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

terminal width

コンソール セッション中に情報を表示する幅を設定するには、グローバル コンフィギュレーション モードで terminal width コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

terminal width columns

no terminal width columns

 
構文の説明

columns

端末の幅をカラム単位で指定します。デフォルトは 80 です。指定できる範囲は 40 ~ 511 です。

 
デフォルト

デフォルトの表示幅は 80 カラムです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例では、端末の表示幅を 100 カラムにする方法を示します。

hostname# terminal width 100

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定をクリアします。

show running-config terminal

現在の端末設定を表示します。

terminal

特権 EXEC モードで端末回線のパラメータを設定します。

test aaa-server

適応型セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには、特権 EXEC モードで test aaa-server コマンドを使用します。AAA サーバへの到達に失敗する場合、適応型セキュリティ アプライアンスのコンフィギュレーションが誤っているか、他の理由(ネットワーク コンフィギュレーションの制限、またはサーバのダウンタイムなど)で到達不能になっている可能性があります。

test aaa-server { authentication server_tag [ host ip_address ] [ username username ] [ password password ] | authorization server_tag [ host ip_address ] [ username username ]}

 
構文の説明

authentication

AAA サーバに認証機能があるかどうかをテストします。

authorization

AAA サーバに従来の VPN 認可機能があるかどうかをテストします。

host ip_address

サーバの IP アドレスを指定します。コマンドで IP アドレスが指定されていない場合、入力を求めるプロンプトが表示されます。

password password

ユーザ パスワードを指定します。コマンドでパスワードが指定されていない場合、入力を求めるプロンプトが表示されます。

server_tag

aaa-server コマンドで設定した AAA サーバ タグを指定します。

username username

AAA サーバ コンフィギュレーションのテストに使用されるアカウントのユーザ名を指定します。AAA サーバ上にそのユーザ名が存在することを確認します。存在しない場合、テストは失敗します。コマンドでユーザ名が指定されていない場合、入力を求めるプロンプトが表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

test aaa-server コマンドを使用して、適応型セキュリティ アプライアンスが特定の AAA サーバでユーザを認証できるかどうか、また従来の VPN 認可の場合は、ユーザを認可できるかどうかを確認できます。このコマンドでは、認証または認可を試みる実際のユーザがいなくても AAA サーバをテストできます。また、AAA が機能しなかった場合、AAA サーバ パラメータの設定の誤り、AAA サーバへの接続の問題、または適応型セキュリティ アプライアンスでのその他のコンフィギュレーション エラーに起因するものかどうかを識別できます。

次の例では、ホスト「192.168.3.4」に「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。AAA サーバ パラメータの設定に続く test aaa-server コマンドは、認証テストがサーバに到達できず失敗したことを示しています。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)# test aaa-server authentication svrgrp1
Server IP Address or name: 192.168.3.4
Username: bogus
Password: mypassword
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
ERROR: Authentication Rejected: Unspecified
 

次に、 test aaa-server コマンドが成功した場合の出力例を示します。

hostname# test aaa-server authentication svrgrp1 host 192.168.3.4 username bogus password mypassword
INFO: Attempting Authentication test to IP address <10.77.152.85> (timeout: 12 seconds)
INFO: Authentication Successful
 

 
関連コマンド

コマンド
説明

aaa authentication console

管理トラフィックの認証を設定します。

aaa authentication match

通過トラフィックの認証を設定します。

aaa-server

AAA サーバ グループを作成します。

aaa-server host

AAA サーバをサーバ グループに追加します。

test dynamic-access-policy attributes

dap アトリビュート モードを開始するには、特権 EXEC モードから test dynamic-access-policy attributes コマンドを入力します。これで、ユーザとエンドポイントのアトリビュート値ペアを指定できます。

dynamic-access-policy attributes

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

通常、適応型セキュリティ アプライアンスは AAA サーバからユーザ認可アトリビュートを取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント アトリビュートを取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。適応型セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。

この機能を利用して DAP レコードの作成を実験できます。

次に、 attributes コマンドの使用例を示します。

hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

attributes

アトリビュート モードに入ります。このモードでは、ユーザ アトリビュート値のペアを指定できます。

display

現在のアトリビュート リストを表示します。

test dynamic-access-policy execute

test regex

正規表現をテストするには、特権 EXEC モードで test regex コマンドを使用します。

test regex input_text regular_expression

 
構文の説明

input_text

正規表現と照合するテキストを指定します。

regular_expression

最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては regex コマンドを参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

test regex コマンドは、正規表現が一致すべきものと一致するかどうかをテストします。

入力したテキストと正規表現が一致すると、次のメッセージが表示されます。

INFO: Regular expression match succeeded.
 

入力したテキストと正規表現が一致しない場合は、次のメッセージが表示されます。

INFO: Regular expression match failed.
 

次の例は、入力したテキストと正規表現が一致するかどうかをテストします。

hostname# test regex farscape scape
INFO: Regular expression match succeeded.
 
hostname# test regex farscape scaper
 
INFO: Regular expression match failed.

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

class-map type regex

正規表現クラス マップを作成します。

regex

正規表現を作成します。

test sso-server

テスト認証要求で SSO サーバをテストするには、特権 EXEC モードで test sso-server コマンドを使用します。

test sso-server server-name username user-name

 
構文の説明

server-name

テストされる SSO サーバの名前を指定します。

user-name

テストされる SSO サーバ上のユーザ名を指定します。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-webvpn

--

--

--

config-webvpn-sso-saml

--

--

--

config-webvpn-sso-siteminder

--

--

--

グローバル コンフィギュレーション モード

--

--

--

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 test sso-server コマンドは、SSO サーバが認識されるかどうか、および認証要求に応答するかどうかをテストします。

server-name 引数により指定された SSO サーバが検出されない場合は、次のエラーが表示されます。

ERROR: sso-server server-name does not exist

SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合、認証は拒否されます。

認証では、適応型セキュリティ アプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します。適応型セキュリティ アプライアンスは現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。このコマンドは SSO サーバの両タイプに適用されます。

特権 EXEC モードで入力された次の例では、my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用してテストに成功しています。

hostname# test sso-server my-sso-server username Anyuser
INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser
INFO: STATUS: Success
hostname#
 

次の例は同じサーバのテストを示していますが、Anotheruser というユーザ名は認識されず、認証は失敗しています。

hostname# test sso-server my-sso-server username Anotheruser
INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser
INFO: STATUS: Failed
hostname#

 
関連コマンド

コマンド
説明

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

text-color

ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトル バーのテキストに色を設定するには、webvpn モードで text-color コマンドを使用します。テキストの色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。

text-color [ black | white | auto ]

no text-color

 
構文の説明

auto

secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番めの色が黒の場合、この値は白となります。

black

タイトル バーのテキストのデフォルト色は白です。

white

色を黒に変更できます。

 
デフォルト

タイトル バーのテキストのデフォルト色は白です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、タイトル バーのテキストの色を黒に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# text-color black

 
関連コマンド

コマンド
説明

secondary-text-color

WebVPN ログイン ページ、ホーム ページ、およびファイル アクセス ページの 2 番めのテキストの色を設定します。

tftp-server

configure net コマンド、または write net コマンドで使用するデフォルトの TFTP サーバおよびパスとファイル名を指定するには、グローバル コンフィギュレーション モードで tftp-server コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

tftp-server interface_name server filename

no tftp-server [ interface_name server filename ]

 
構文の説明

filename

パスとファイル名を指定します。

interface_name

ゲートウェイ インターフェイス名を指定します。最も安全なセキュリティ インターフェイス以外のインターフェイスを指定した場合、このインターフェイスがセキュアでないことを示す警告メッセージが表示されます。

server

TFTP サーバの IP アドレスまたは名前を設定します。IPv4 アドレスまたは IPv6 アドレスを入力できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

現在ではゲートウェイ インターフェイスが必要です。

 
使用上のガイドライン

tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が容易になります。 configure net コマンドや write net コマンドを入力するとき、 tftp-server コマンドで指定した TFTP サーバを継承するか、独自の値を指定できます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。

適応型セキュリティ アプライアンス がサポートする tftp-server コマンドは 1 つだけです。

次の例では、TFTP サーバを指定し、コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します。

hostname(config)# tftp-server inside 10.1.1.42 /temp/config/test_config
hostname(config)# configure net

 
関連コマンド

コマンド
説明

configure net

指定した TFTP サーバおよびパスから、コンフィギュレーションをロードします。

show running-config tftp-server

デフォルトの TFTP サーバ アドレスとコンフィギュレーション ファイルのディレクトリを表示します。

tftp-server address

クラスタにある TFTP サーバを指定するには、Phone-Proxy コンフィギュレーション モードで tftp-server address コマンドを使用します。TFTP サーバを Phone Proxy コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

tftp-server address ip_address [ port ] interface interface

no tftp-server address ip_address [ port ] interface interface

 
構文の説明

ip_address

TFTP サーバのアドレスを指定します。

interface interface

TFTP サーバを格納するインターフェイスを指定します。TFTP サーバの実際のアドレスである必要があります。

port

(任意)TFTP サーバが TFTP リクエストを受信するポートです。デフォルトの TFTP ポート 69 を使用しない場合は、このポートを設定する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

Phone Proxy には、設定済みの CUCM TFTP サーバが少なくとも 1 台は必要です。TFTP サーバは Phone Proxy に 5 台まで設定できます。

TFTP サーバは、信頼できるネットワークのファイアウォールの背後にあると見なされます。そのため、Phone Proxy は IP 電話と TFTP サーバ間のリクエストを代行受信します。TFTP サーバは、CUCM と同じインターフェイス上に存在する必要があります。

内部 IP アドレスを使用して TFTP サーバを作成し、TFTP サーバが存在するインターフェイスを指定します。

IP 電話で、TFTP サーバの IP アドレスを次のように設定する必要があります。

NAT が TFTP サーバ用に設定されている場合は、TFTP サーバのグローバル IP アドレスを使用します。

NAT が TFTP サーバ用に設定されていない場合は、TFTP サーバの内部 IP アドレスを使用します。

サービス ポリシーがグローバルに適用されている場合は、すべての入力インターフェイス上の TFTP サーバに到達する TFTP トラフィックの送信先を指定する分類ルールが作成されます。ただし、TFTP サーバが存在するインターフェイスは除きます。サービス ポリシーが特定のインターフェイスに適用されている場合は、そのインターフェイス上の TFTP サーバに到達する TFTP トラフィックをすべて Phone-Proxy モジュールに送信する分類ルールが作成されます。

NAT を TFTP サーバ用に設定する場合、分類ルールのインストール時に TFTP サーバのグローバル アドレスを使用するためには、その NAT の設定をサービス ポリシーを適用する前に行う必要があります。

次の例は、2 台の TFTP サーバを Phone Proxy 用に設定する tftp-server address コマンドの使用方法を示します。

hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside
hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside
hostname(config-phone-proxy)# media-termination address 192.168.1.4 interface inside
hostname(config-phone-proxy)# media-termination address 192.168.1.25 interface outside
hostname(config-phone-proxy)# tls-proxy asa_tlsp
hostname(config-phone-proxy)# ctl-file asactl
hostname(config-phone-proxy)# cluster-mode nonsecure
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

threat-detection basic-threat

基本脅威検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection basic-threat コマンドを使用します。基本脅威検出をディセーブルにするには、このコマンドの no 形式を使用します。

threat-detection basic-threat

no threat-detection basic-threat

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

基本脅威検出はデフォルトでイネーブルになっています。次のデフォルト レート制限が使用されます。

 

表 31-1 基本脅威検出のデフォルト設定

パケット ドロップの理由
トリガー設定
平均レート
バースト レート

DoS 攻撃を検出

パケット形式が不良

接続制限値を超過

疑わしい ICMP パケットを検出

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直前の 60 秒間で 320 ドロップ/秒。

スキャン攻撃を検出

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 4 ドロップ/秒。

直前の 60 秒間で 8 ドロップ/秒。

TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出(複合)

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直前の 60 秒間で 160 ドロップ/秒。

アクセス リストによる拒否

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直前の 60 秒間で 640 ドロップ/秒。

基本ファイアウォール検査に不合格

パケットがアプリケーション インスペクションに不合格

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直前の 60 秒間で 1280 ドロップ/秒。

インターフェイス過負荷

直前の 600 秒間で 2000 ドロップ/秒。

直前の 10 秒間で 8000 ドロップ/秒。

直前の 3600 秒間で 1600 ドロップ/秒。

直前の 60 秒間で 6400 ドロップ/秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

 
使用上のガイドライン

基本脅威検出をイネーブルにすると、適応型セキュリティ アプライアンスは次の理由により、ドロップ パケットとセキュリティ イベントのレートをモニタします。

アクセス リストによる拒否

不良パケット形式(invalid-ip-header や invalid-tcp-hdr-length など)

接続制限超過(システム全体のリソース制限およびコンフィギュレーションで設定される制限の両方)

DoS 攻撃を検出(無効な SPI、ステートフル ファイアウォール チェックの失敗など)

基本ファイアウォール検査に不合格(このオプションは、ここで列挙するファイアウォールに関連したパケット ドロップすべてを含む複合レートです。インターフェイスの過負荷、アプリケーション インスペクションで不合格になったパケット、および検出されたスキャン攻撃など、ファイアウォールに関連しないドロップは含まれません)

疑わしい ICMP パケットを検出

パケットがアプリケーション インスペクションに不合格

インターフェイス過負荷

スキャン攻撃を検出(このオプションでは、たとえば最初の TCP パケットが SYN パケットでない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします。完全スキャン脅威検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レートの情報を取得し、その情報に基づき、たとえばホストを攻撃者に分類して自動的に遮断するなどの方法で対処します)。

TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出

適応型セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。

基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。

デフォルト」の項の 表 31-1 に、デフォルト設定の一覧を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。イベントのタイプごとのデフォルト設定は、 threat-detection rate コマンドを使用して上書きできます。

イベント レートが超過すると、適応型セキュリティ アプライアンスはシステム メッセージを送信します。適応型セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。バースト イベント レートは、平均レート間隔の 30 分の 1 または 10 秒のうち、いずれか大きい方の値です。受信するイベントごとに、適応型セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、適応型セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。

次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。

hostname(config)# threat-detection basic-threat
hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
 

 
関連コマンド

コマンド
説明

clear threat-detection rate

基本脅威検出の統計情報をクリアします。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出の統計情報を表示します。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

threat-detection rate

threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は、グローバル コンフィギュレーション モードで threat-detection rate コマンド を使用して、各イベント タイプのデフォルト レート制限を変更できます。 threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合、 scanning-threat キーワードを指定してこのコマンドを使用し、ホストを攻撃者またはターゲットと見なす時期を設定することもできます。設定しない場合、基本脅威検出およびスキャン脅威検出の両方でデフォルトの scanning-threat 値が使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate

no threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate

 
構文の説明

acl-drop

アクセス リストの拒否が原因でドロップされるパケットのレート制限を設定します。

average-rate av_rate

0 ~ 2147483647 の範囲で平均レート制限(ドロップ/秒)を設定します。

bad-packet-drop

不良パケット形式(invalid-ip-header または invalid-tcp-hdr-length など)による拒否が原因でドロップされるパケットのレート制限を設定します。

burst-rate burst_rate

0 ~ 2147483647 の範囲でバースト レート制限(ドロップ/秒)を設定します。バースト レートは、 N 秒ごとの平均レートとして計算されます。 N はバースト レート間隔です。バースト レート間隔は、 rate-interval rate_interval 値の 30 分の 1 または 10 秒のうち、いずれか大きい方の値です。

conn-limit-drop

接続制限(システム全体のリソース制限とコンフィギュレーションで設定された制限の両方)の超過が原因で、ドロップされるパケットのレート制限を設定します。

dos-drop

DoS 攻撃(無効な SPI、ステートフル ファイアウォール チェックの失敗など)の検出が原因で、ドロップされるパケットのレート制限を設定します。

fw-drop

基本ファイアウォール チェックの失敗が原因で、ドロップされるパケットのレート制限を設定します。このオプションは、このコマンドのファイアウォールに関連したパケット ドロップをすべて含む複合レートです。 interface-drop inspect-drop scanning-threat など、ファイアウォールに関連しないドロップ レートは含まれません。

icmp-drop

疑わしい ICMP パケットの検出が原因で、ドロップされるパケットのレート制限を設定します。

inspect-drop

アプリケーション インスペクションでの不合格が原因でドロップされるパケットのレート制限を設定します。

interface-drop

インターフェイスの過負荷が原因で、ドロップされるパケットのレート制限を設定します。

rate-interval rate_interval

600 秒~ 2592000 秒(30 日)の範囲で平均レート間隔を設定します。レート間隔は、ドロップ数の平均値を求めるときの期間を決定するために使用されます。また、バーストしきい値レート間隔も決定します。

scanning-threat

スキャン攻撃の検出が原因で、ドロップされるパケットのレート制限を設定します。このオプションでは、たとえば最初の TCP パケットが SYN パケットでない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします。完全スキャン脅威検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レートの情報を取得し、その情報をもとにして、たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します。

syn-attack

TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションが原因で、ドロップされるパケットのレート制限を設定します。

 
デフォルト

threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は、次のデフォルト レート制限が使用されます。

 

表 31-2 基本脅威検出のデフォルト設定

パケット ドロップの理由
トリガー設定
平均レート
バースト レート

dos-drop

bad-packet-drop

conn-limit-drop

icmp-drop

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直前の 60 秒間で 400 ドロップ/秒。

scanning-threat

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直前の 60 秒間で 10 ドロップ/秒。

syn-attack

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直前の 60 秒間で 200 ドロップ/秒。

acl-drop

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直前の 60 秒間で 800 ドロップ/秒。

fw-drop

inspect-drop

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直前の 60 秒間で 1600 ドロップ/秒。

interface-drop

直前の 600 秒間で 2000 ドロップ/秒。

直前の 10 秒間で 8000 ドロップ/秒。

直前の 3600 秒間で 2000 ドロップ/秒。

直前の 60 秒間で 8000 ドロップ/秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

 
使用上のガイドライン

イベントタイプごとに異なるレート間隔を最大 3 つまで設定することができます。

基本脅威検出をイネーブルにすると、適応型セキュリティ アプライアンスは「構文の説明」の表に説明があるイベント タイプにより、ドロップ パケットとセキュリティ イベントのレートをモニタします。

適応型セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。

基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。

デフォルト」の項の 表 31-2 に、デフォルト設定の一覧を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。

イベント レートが超過すると、適応型セキュリティ アプライアンスはシステム メッセージを送信します。適応型セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。受信するイベントごとに、適応型セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、適応型セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。

次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。

hostname(config)# threat-detection basic-threat
hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
 

 
関連コマンド

コマンド
説明

clear threat-detection rate

基本脅威検出の統計情報をクリアします。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出の統計情報を表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

threat-detection scanning-threat

スキャン脅威検出をイネーブルにする場合は、グローバル コンフィギュレーション モードで threat-detection scanning-threat コマンドを使用します。スキャン脅威検出をディセーブルにする場合は、このコマンドの no 形式を使用します。

threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]

no threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]

 
構文の説明

duration seconds

攻撃元ホストに対する遮断の継続時間を 10 ~ 2592000 秒の範囲で設定します。デフォルトは 3600 秒(1 時間)です。

except

排除対象から IP アドレスを除外します。このコマンドを複数回入力して、排除対象から除外する複数の IP アドレスまたはネットワーク オブジェクト グループを指定します。

ip-address ip_address mask

排除対象から除外する IP アドレスを指定します。

object-group network_object_group_id

排除対象から除外するネットワーク オブジェクト グループを指定します。オブジェクト グループを作成するには、 object-group network コマンドを参照してください。

shun

適応型セキュリティ アプライアンスがホストを攻撃者であると識別すると、syslog メッセージ 733101 を送信し、さらにホスト接続を自動的に終了します。

 
デフォルト

デフォルトの遮断の継続時間は 3600 秒(1 時間)です。

スキャン攻撃イベントでは、次のデフォルト レート制限が適用されます。

 

表 31-3 スキャン脅威検出のデフォルト レート制限

平均レート
バースト レート

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直前の 60 秒間で 10 ドロップ/秒。

 

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(4)

duration キーワードが追加されました。

 
使用上のガイドライン

一般的なスキャン攻撃は(サブネット内の多くのホストを経由してスキャンするか、ホストまたはサブネットの多くのポートを経由してスイープすることにより)サブネット内のすべての IP アドレスのアクセス可能性をテストするホストで構成されています。スキャン脅威検出機能では、ホストがいつスキャンを実行するか判定します。トラフィック シグニチャに基づく IPS スキャン検出とは異なり適応型セキュリティ アプライアンスのスキャン脅威検出機能では、スキャン作業用に分析可能なホストの統計情報を含む広範なデータベースを保持しています。

ホストのデータベースは、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、非ランダム IPID などの危険な TCP 動作など、疑わしいアクティビティを追跡します。


注意 スキャン脅威検出機能は、ホストおよびサブネットベースのデータ構造と情報を作成し収集する間、適応型セキュリティ アプライアンスのパフォーマンスとメモリに大きな影響を与える可能性があります。

適応型セキュリティ アプライアンスを設定して攻撃者に関するシステム ログ メッセージを送信するか、またはホストを自動的に排除することができます。デフォルトでは、ホストが攻撃者として識別されると、システム ログ メッセージ 730101 が生成されます。

適応型セキュリティ アプライアンスは、スキャン脅威のイベント レートが超過したら、攻撃者およびターゲットを識別します。適応型セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。スキャン攻撃の一部と考えられるイベントが検出されるたびに、適応型セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。ホストから送信されたトラフィックでいずれかのレートが超過していると、そのホストは攻撃者と見なされます。ホストが受信したトラフィックでいずれかのレートが超過していると、そのホストはターゲットと見なされます。スキャン脅威イベントのレート制限は、 threat-detection rate scanning-threat コマンドを使用して変更できます。

攻撃者またはターゲットに分類されたホストを表示するには、 show threat-detection scanning-threat コマンドを使用します。

排除されたホストを表示するには、 show threat-detection shun コマンドを使用します。排除対象からホストを除外するには、 clear threat-detection shun コマンドを使用します。

次の例では、スキャン脅威検出をイネーブルにし、攻撃者として分類されたホストを自動的に排除します(10.1.1.0 ネットワークのホストを除く)。スキャン脅威検出のデフォルト レート制限も変更されています。

hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
hostname(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
hostname(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20
 

 
関連コマンド

コマンド
説明

clear threat-detection shun

排除対象からホストを除外します。

show threat-detection scanning-threat

攻撃者またはターゲットとして分類されたホストを表示します。

show threat-detection shun

現在排除されているホストを表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection statistics

高度なスキャン脅威検出の統計情報をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection statistics コマンドを使用します。高度なスキャン脅威検出の統計情報をディセーブルにするには、このコマンドの no 形式を使用します。


注意 統計情報をイネーブルにすると、イネーブルにする統計情報のタイプに応じて、適応型セキュリティ アプライアンスのパフォーマンスが影響を受けます。threat-detection statistics host コマンドはパフォーマンスに著しく影響を与えるため、トラフィックの負荷が高くなることがある場合は、このタイプの統計情報を一時的にイネーブルすることを検討します。一方、threat-detection statistics port コマンドによる影響はそれほど大きくありません。

threat-detection statistics [ access-list | [ host | port | protocol [ number-of-rate { 1 | 2 | 3 }] | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]

no threat-detection statistics [ access-list | host | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]

 
構文の説明

access-list

(任意)アクセス リスト拒否の統計情報をイネーブルにします。アクセス リスト統計情報は、 show threat-detection top access-list コマンドを使用するときだけ表示されます。

average-rate attacks_per_sec

(任意)TCP 代行受信の場合、syslog メッセージ生成の平均レートしきい値を 25 ~ 2147483647 の範囲で設定します。デフォルトは 1 秒あたり 200 です。平均レートを超えると、syslog メッセージ 733105 が生成されます。

burst-rate attacks_per_sec

(任意)TCP 代行受信の場合、syslog メッセージ生成のしきい値を 25 ~ 2147483647 の範囲で設定します。デフォルトは 1 秒あたり 400 です。このバースト レートを超えると、syslog メッセージ 733104 が生成されます。

host

(任意)ホスト統計情報をイネーブルにします。ホスト統計情報は、ホストがアクティブで、スキャン脅威ホスト データベース内にある限り累積します。ホストは、非アクティブな時間が 10 分を過ぎるとデータベースから削除されます(統計情報は消去されます)。

number-of-rate { 1 | 2 | 3 }

(任意)ホスト、ポート、プロトコルの統計情報に対して維持されるレート間隔の数を設定します。デフォルトのレート間隔の数は 1 で、これによりメモリ使用量を少なく保ちます。レート間隔をさらに表示するには、値を 2 または 3 に設定します。たとえば、値を 3 に設定すると、直前の 1 時間、8 時間および 24 時間のデータが表示されます。このキーワードを 1 (デフォルト値)に設定すると、最短のレート間隔の統計情報だけが維持されます。値を 2 に設定すると、2 つの最短の間隔が保持されます。

port

(任意)ポート統計情報をイネーブルにします。

protocol

(任意)プロトコル統計情報をイネーブルにします。

rate-interval minutes

(任意)TCP 代行受信の場合、履歴モニタリング ウィンドウのサイズを 1 ~ 1440 分の範囲で設定します。デフォルトは 30 分です。この間に、適応型セキュリティ アプライアンスが攻撃をサンプリングする回数は 30 回です。

tcp-intercept

(任意)TCP 代行受信によって代行受信された攻撃に関する統計情報をイネーブルにします。TCP 代行受信をイネーブルにするには、 set connection embryonic-conn-max command コマンド、あるいは nat あるいは static コマンドを参照してください。

 
デフォルト

アクセス リスト統計情報は、デフォルトでイネーブルになっています。このコマンドでオプションを何も指定しないと、すべてのオプションがイネーブルになります。

デフォルトの tcp-intercept rate-interval は 30 分です。デフォルトの burst-rate は、1 秒あたり 400 です。デフォルトの average-rate は、1 秒あたり 200 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

1

--

1.マルチ コンテキスト モードでは、TCP 代行受信の統計情報のみサポートされます。

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(4)/8.1(2)

tcp-intercept キーワードが追加されました。

8.1(2)

number-of-rates キーワードがホスト統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.3(1)

number-of-rates キーワードがポートとプロトコルの統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。

 
使用上のガイドライン

このコマンドでオプションを何も指定しないと、すべての統計情報がイネーブルになります。特定の統計情報のみイネーブルにするには、統計の種類ごとにこのコマンドを入力します。また、オプションなしでこのコマンドを入力しないでください。 threat-detection statistics を(オプションなしで)入力し、次に統計情報固有のオプションを指定してコマンドを入力することで特定の統計情報をカスタマイズできます( threat-detection statistics host number-of-rate 2 など)。 threat-detection statistics を(オプションなしで)入力し、次に特定の統計情報用のコマンドを統計情報固有のオプションなしで入力した場合は、すでにイネーブルになっているため、そのコマンドは効果がないものとなります。

このコマンドの no 形式を入力した場合、 threat-detection statistics コマンドはすべて削除されます。その中には、デフォルトでイネーブルとなっている threat-detection statistics access-list コマンドも含まれます。

show threat-detection statistics コマンドを使用して、統計情報を表示します。

スキャン脅威検出は、 threat-detection scanning-threat コマンドを使用して、イネーブルにする必要はありません。検出と統計情報は別々に設定できます。

次の例では、ホストを除くすべてのタイプで、スキャン脅威検出とスキャン脅威統計情報をイネーブルにします。

hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
hostname(config)# threat-detection statistics access-list
hostname(config)# threat-detection statistics port
hostname(config)# threat-detection statistics protocol
hostname(config)# threat-detection statistics tcp-intercept
 

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection memory

高度な脅威検出の統計情報のメモリ使用を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

threshold

SLA モニタリング動作のしきい値超過イベントの基準となるしきい値を設定するには、SLA モニタ コンフィギュレーション モードで threshold コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

threshold milliseconds

no threshold

 
構文の説明

milliseconds

宣言する上限値をミリ秒で指定します。有効な値は、0 ~ 2147483647 です。タイムアウト値に設定された値より大きな値を指定できません。

 
デフォルト

デフォルトのしきい値は 5000 ミリ秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

しきい値は、しきい値超過イベントを示すためだけに使われます。このイベントは、到達可能性には影響しませんが、 timeout コマンドの設定が正しいかどうかを評価するために使用できます。

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

sla monitor

SLA モニタリング動作を定義します。

timeout

SLA 動作が応答を待機する期間を定義します。

ticket

Cisco Intercompany Media Engine プロキシ用にチケット エポックとパスワードを設定するには、UC-IME コンフィギュレーション モードで ticket コマンドを使用します。プロキシからコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ticket epoch n password password

no ticket epoch n password password

 
構文の説明

n

パスワードの完全性チェックの時間間隔を設定します。1 ~ 255 の整数を入力します。

password

Cisco Intercompany Media Engine チケットのパスワードを設定します。US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で、入力します。入力可能な文字は、0x21 ~ 0x73 までで、空白文字は含まれません。

一度に設定できるパスワードは 1 つだけです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

UC-IME コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco Intercompany Media Engine 用にチケット エポックとパスワードを設定します。

エポックには、パスワードを変更するたびに更新される整数が含まれます。プロキシが初めて設定される場合で、最初のパスワードが入力されると、エポックの整数に 1 が入力されます。パスワードを変更するたびに、エポックを増加させ新しいパスワードであることを示します。パスワード更新時ごとに、エポック値を増加する必要があります。

一般的には、エポックは連続的に増加させますが、適応型セキュリティ アプライアンスでは、エポック更新時に任意の値を選ぶことができます。

エポック値を変更する場合は、現在のパスワードが無効となり、新しいパスワードを入力する必要があります。

パスワードは 20 文字以上にすることを推奨します。一度に設定できるパスワードは 1 つだけです。

チケット パスワードはフラッシュに格納されます。 show running-config uc-ime コマンドの出力は、パスワードの文字列の代わりに ***** と表示されます。


) 適応型セキュリティ アプライアンスで設定したエポックとパスワードは、Cisco Intercompany Media Engine サーバで設定したエポックとパスワードと一致する必要があります。情報は、Cisco Intercompany Media Engine サーバ マニュアルを参照してください。


次の例は、Cisco Intercompany Media Engine プロキシでチケットとエポックを設定する方法を示します。

hostname(config)# uc-ime local_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30
 

 
関連コマンド

コマンド
説明

show running-config uc-ime

Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します。

uc-ime

Cisco Intercompany Media Engine プロキシ インスタンスを適応型セキュリティ アプライアンスに作成します。

timeout

各種機能にアイドル状態のグローバル最大継続時間を設定するには、グローバル コンフィギュレーション モードで timeout コマンドを使用します。すべてのタイムアウトをデフォルトに設定するには、このコマンドの no 形式を使用します。単一の機能をデフォルト設定にリセットするには、デフォルト値で timeout コマンドを再入力します。

timeout { xlate | conn | udp | icmp | rpc | h225 | h323 | mgcp | mgcp-pat | sip | sip-disconnect | sip-invite | sip_media | sip-provisional-media | tcp-proxy-reassembly } hh : mm : ss

timeout uauth hh : mm : ss [ absolute | inactivity ]

no timeout

 
構文の説明

absolute

(任意)uauth タイムアウトになった場合、再認証を求めます。デフォルトでは、 absolute キーワードがイネーブルになっています。無活動状態が一定時間継続した後にタイムアウトになるように uauth タイマーを設定するには、このキーワードの代わりに inactivity キーワードを入力します。

conn

(任意)接続が終了するまでのアイドル時間を指定します。有効な値は 0:05:0 ~ 1193:0:0 です。デフォルトは 1 時間(1:0:0)です。接続がタイムアウトしないようにするには、0 を使用します。

hh : mm : ss

タイムアウト値を時、分、秒で指定します。接続がタイムアウトにならないようにするには、0 を使用します(可能な場合)。

h225

(任意)H.225 シグナリング接続が終了するまでのアイドル時間を指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 1 時間(1:0:0)です。タイムアウト値を 0:0:01 に設定すると、タイマーがディセーブルになり、すべてのコールが消去された後、TCP 接続がすぐに終了します。

h323

(任意)H.245(TCP)および H.323(UDP)メディア接続が終了するまでのアイドル時間を指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため、H.245(TCP)接続は H.323(RTP および RTCP)メディア接続とアイドル タイムアウトを共有します。

half-closed

(任意)TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します。有効な値は 0:5:0 ~ 1193:0:0 です。デフォルトは 10 分(0:10:0)です。接続がタイムアウトしないようにするには、0 を使用します。

icmp

(任意)ICMP のアイドル時間を指定します。有効な値は 0:0:02 ~ 1193:0:0 です。デフォルトは 2 秒(0:0:02)です。

inactivity

(任意)無活動タイムアウトになった場合は、uauth 再認証を求めます。

mgcp

(任意)MGCP メディア接続が削除されるまでのアイドル時間を設定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。

mgcp-pat

(任意)MGCP PAT 変換が削除されるまでの絶対間隔を設定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。

rpc

(任意)RPC スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:05:0)です。

sip

(任意)SIP 制御接続が閉じられるまでのアイドル時間を指定します。有効な値は 0:5:0 ~ 1193:0:0 です。デフォルトは 30 分(0:30:0)です。接続がタイムアウトしないようにするには、0 を使用します。

sip-disconnect

(任意)CANCEL または BYE メッセージに対して、200 OK が受信されない場合、SIP セッションが削除されるまでのアイドル時間を指定します。有効な値は 0:0:1 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。

sip-invite

(任意)PROVISIONAL 応答およびメディア xlates のピンホールが閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 3 分(0:3:0)です。

sip_media

(任意)SIP メディア接続が閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。接続がタイムアウトしないようにするには、0 を使用します。

SIP メディア タイマーが、UDP 非アクティビティ タイムアウトの代わりに、SIP UDP メディア パケットを扱う SIP RTP/RTCP で使用されます。

sip-provisional-media

(任意)SIP 暫定メディア接続のタイムアウト値を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。

sunrpc

(任意)SUNRPC スロットが閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 10 分(0:10:0)です。接続がタイムアウトしないようにするには、0 を使用します。

tcp-proxy-reassembly

(任意)バッファに格納された再構成待ちのパケットがドロップするまでのアイドル タイムアウトを指定します。有効な値は 0:0:10 ~ 1193:0:0 です。デフォルトは 1 分(0:1:0)です。

uauth

(任意)認証および認可キャッシュがタイムアウトするまでの継続時間を指定します。ユーザは、次回の接続時に再認証を必要とします。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。デフォルトのタイマーは absolute です。 inactivity キーワードを入力すると、無活動の期間後にタイムアウトが発生するように設定できます。 uauth 継続時間は、 xlate 継続時間より短く設定する必要があります。キャッシュをディセーブルにするには、0 に設定します。接続に受動 FTP を使用している場合、または Web 認証に virtual http コマンドを使用している場合は、 0 を使用しないでください。

udp

(任意)UDP スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。接続がタイムアウトしないようにするには、0 を使用します。

xlate

(任意)変換スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 3 時間(3:0:0)です。

 
デフォルト

デフォルトは次のとおりです。

conn hh : mm : ss は 1 時間( 1:0:0 )です。

h225 hh : mm : ss は 1 時間( 1:0:0 )です。

h323 hh : mm : ss は 5 分( 0:5:0 )です。

half-closed hh : mm : ss は 10 分( 0:10:0 )です。

icmp hh:mm:ss は 2 秒( 0:0:2 )です。

mgcp hh:mm:ss は 5 分( 0:5:0 )です

mgcp-pat hh:mm:ss は 5 分( 0:5:0 )です

rpc hh : mm : ss は 5 分( 0:5:0 )です。

sip hh:mm: は 30 分( 0:30:0 )です。

sip-disconnect hh:mm:ss は 2 分( 0:2:0 )です。

sip-invite hh:mm:ss は 3 分( 0:3:0 )です。

sip_media hh:mm:ss は 2 分( 0:2:0 )です。

sip-provisional-media hh:mm:ss は 2 分( 0:2:0 )です。

sunrpc hh:mm:ss は 10 分( 0:10:0 )です。

tcp-proxy-reassembly hh:mm:ss は 1 分( 0:1:0 )です。

uauth hh:mm:ss は 5 分( 00:5:00 absolute です。

udp hh : mm : ss は 2 分( 00:02:00 )です。

xlate hh : mm : ss は 3 時間( 03:00:00 )です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

 
コマンド履歴

リリース
変更内容

7.2(1)

mgcp-pat、 sip-disconnect、および sip-invite キーワードが追加されました。

7.2(4)/8.0(4)

sip-provisional-media キーワードが追加されました。

7.2(5)/8.0(5)/8.1(2)/8.2(1)

tcp-proxy-reassembly キーワードが追加されました。

 
使用上のガイドライン

timeout コマンドを使用すると、グローバル タイムアウトを設定できます。一部の機能では、 set connection timeout コマンドを実行すると、このコマンドで指定されたトラフィックを優先します。

timeout コマンドの後ろにキーワードと値を複数入力できます。

接続タイマー( conn )は、変換タイマー( xlate )に優先します。つまり、変換タイマーは、すべての接続がタイムアウトした後に初めて動作します。

次の例では、アイドル状態の最大継続時間を設定する方法を示します。

hostname(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity
hostname(config)# show running-config timeout
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
 

 
関連コマンド

コマンド
説明

clear configure timeout

タイムアウト コンフィギュレーションを消去し、デフォルトにリセットします。

set connection timeout

モジュラ ポリシー フレームワークを使用して、接続タイムアウトを設定します。

show running-config timeout

指定されたプロトコルのタイムアウト値を表示します。

timeout(AAA サーバ ホスト)

AAA サーバとの接続の確立を中止するまでの、ホスト固有の最大応答時間を秒単位で設定するには、aaa-server ホスト モードで timeout コマンドを使用します。タイムアウト値を削除して、タイムアウト時間をデフォルト値の 10 秒にリセットするには、このコマンドの no 形式を使用します。

timeout seconds

no timeout

 
構文の説明

seconds

要求に対するタイムアウト間隔(1 ~ 60 秒)を指定します。この時間を超えると、適応型セキュリティ アプライアンスはプライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、適応型セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。

 
デフォルト

デフォルトのタイムアウト値は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、すべての AAA サーバ プロトコル タイプに有効です。

適応型セキュリティ アプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。 retry-interval コマンドを使用して、適応型セキュリティ アプライアンスが接続を試行する間隔を指定します。

タイムアウトは、適応型セキュリティ アプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です。リトライ間隔は、タイムアウト期間中に通信が再試行される頻度を決定します。したがって、リトライ間隔がタイムアウト値以上の場合、再試行されません。再試行する場合は、リトライ間隔をタイムアウト値よりも小さくする必要があります。

次の例では、ホスト 1.2.3.4 上の「svrgrp1」という名前の RADIUS AAA サーバに、タイムアウト値 30 秒、リトライ間隔 10 秒を設定します。したがって、適応型セキュリティ アプライアンスは、30 秒後に中止するまで通信を 3 度試行します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 30
hostname(config-aaa-server-host)# retry-interval 10
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa

現在の AAA コンフィギュレーション値を表示します。

timeout(DNS サーバ グループ コンフィギュレー ション モード)

次の DNS サーバを試すまで待機する時間を指定するには、DNS サーバ グループ コンフィギュレーション モードで timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。

timeout seconds

no timeout [ seconds ]

 
構文の説明

seconds

タイムアウトを秒単位で指定します(1 ~ 30 秒)。デフォルトは 2 秒です。適応型セキュリティ アプライアンス が一覧のサーバを試すたびに、このタイムアウトは倍増します。再試行の回数を設定するには、DNS サーバ グループ コンフィギュレーション モードで retries コマンドを使用します。

 
デフォルト

デフォルトのタイムアウトは 2 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次の例では、DNS サーバ グループの「dnsgroup1」に対してタイムアウトを 1 秒に設定しています。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# dns timeout 1
 

 
関連コマンド

コマンド
説明

clear configure dns

ユーザが作成したすべての DNS サーバ グループを削除して、デフォルトのサーバ グループのアトリビュートをデフォルト値にリセットします。

domain-name

デフォルトのドメイン名を設定します。

retries

適応型セキュリティ アプライアンスが応答を受信しないときに、DNS サーバのリストを再試行する回数を指定します。

show running-config dns server-group

現在の実行中の DNS サーバ グループ コンフィギュレーションを表示します。

timeout(GTP マップ)

GTP セッションの非アクティビティ タイマーを変更するには、GTP マップ コンフィギュレーション モードで timeout コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。

timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss

no timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss

 
構文の説明

hh : mm : ss

これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。

gsn

GSN が削除されるまでの非アクティビティの継続時間を指定します。

pdp-context

PDP コンテキストの受信を開始するまでの、許可される最大時間を指定します。

request

GTP メッセージの受信を開始するまでの、許可される最大時間を指定します。

signaling

GTP シグナリングが削除されるまでの非アクティビティの継続時間を指定します。

t3-response

GTP 接続が削除されるまでに応答を待つ最長時間を指定します。

tunnel

GTP トンネルが終了するまでの非アクティビティの継続時間を指定します。

 
デフォルト

デフォルトは、 gsn pdp-context 、および signaling に対して 30 分です。

request のデフォルトは 1 分です。

tunnel のデフォルトは 1 時間です(Delete PDP Context Request を受信していない場合)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

Packet Data Protocol(PDP)コンテキストは、IMSI と NSAPI の組み合わせである Tunnel Identifier(TID; トンネル識別子)によって識別されます。各 MS は最大 15 の NSAPI を持つことができ、さまざまな QoS レベルのアプリケーション要件に基づいて、それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます。

GTP トンネルは、異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され、1 つのトンネル ID によって識別されます。GTP トンネルは、外部パケット データ ネットワークとモバイル ステーション ユーザの間でパケットを転送するために必要です。

次の例では、要求キューに対して 2 分のタイムアウト値を設定します。

hostname(config)# gtp-map gtp-policy
hostname(config-gtpmap)# timeout request 00:02:00
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

timeout(RADIUS アカウンティング)

RADIUS アカウンティングのユーザの非アクティビティ タイマーを変更するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで timeout コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。

timeout users hh : mm : ss

no timeout users hh : mm : ss

 
構文の説明

hh : mm : ss

これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。デフォルトは、1 時間です。

users

ユーザのタイムアウト値を指定します。

 
デフォルト

ユーザのデフォルトのタイムアウト値は 1 時間です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、ユーザのタイムアウト値を 10 分に設定します。

hostname(config)# policy-map type inspect radius-accounting ra
hostname(config-pmap)# parameters
hostname(config-pmap-p)# timeout user 00:10:00
 

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングのインスペクションを設定します。

parameters

インスペクション ポリシー マップのパラメータを設定します。

timeout(SLA モニタ)

SLA 動作で要求パケットへの応答を待つ時間を設定するには、SLA モニタ プロトコル コンフィギュレーション モードで timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timeout milliseconds

no timeout

 
構文の説明

milliseconds

0 ~ 604800000。

 
デフォルト

デフォルトのタイムアウト値の設定は 5000 ミリ秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

SLA 動作で要求パケットを送信する頻度を設定するには frequency コマンドを使用し、この要求への応答を受信するために待機時間を設定するには timeout コマンドを使用します。 timeout コマンドで指定する値は、 frequency コマンドで指定する値より大きくすることはできません。

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

frequency

SLA 動作を繰り返す頻度を指定します。

sla monitor

SLA モニタリング動作を定義します。

timeout pinhole

DCERPC ピンホールのタイムアウト値を設定し、グローバルなシステム ピンホール タイムアウト値である 2 分を上書きするには、パラメータ コンフィギュレーション モードで timeout pinhole コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

timeout pinhole hh:mm:ss

no timeout pinhole

 
構文の説明

hh:mm:ss

ピンホール接続のタイムアウト値。0:0:1 ~ 1193:0:0 の値を指定できます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、DCERPC インスペクション ポリシー マップのピンホール接続にピンホール タイムアウト値を設定する方法を示します。

hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# timeout pinhole 0:10:00
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

time-range

時間範囲コンフィギュレーション モードに入り、トラフィック ルール、またはアクションに関連付ける時間範囲を定義するには、グローバル コンフィギュレーション モードで time-range コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

time-range name

no time-range name

 
構文の説明

name

時間範囲の名前。名前は 64 文字以下にする必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

時間範囲を作成しても、デバイスへのアクセスは制限されません。 time-range コマンドは、時間範囲のみ定義します。時間範囲を定義したら、トラフィック ルールかアクションに関連付けます。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。

時間範囲は、適応型セキュリティ アプライアンスのシステム クロックによって決まりますが、この機能は NTP 同期での動作が最善となります。

次の例では、「New_York_Minute」という時間範囲を作成し、時間範囲コンフィギュレーション モードを開始します。

hostname(config)# time-range New_York_Minute
hostname(config-time-range)#
 

時間範囲を作成し、時間範囲コンフィギュレーション モードに入ったら、 absolute コマンドと periodic コマンドを使用して時間範囲のパラメータを定義できます。 time-range コマンドの absolute キーワードおよび periodic キーワードの設定をデフォルトに戻すには、時間範囲コンフィギュレーション モードで default コマンドを使用します。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended コマンドとともに使用して、時間範囲を ACL にバインドします。次の例では、「Sales」という ACL を「New_York_Minute」という時間範囲にバインドします。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute
hostname(config)#
 

ACL の詳細については、 access-list extended コマンドを参照してください。

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効になる絶対時間を定義します。

access-list extended

適応型セキュリティ アプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します。

default

time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。

periodic

時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定します。

timeout secure-phones

セキュア フォン エントリが Phone Proxy データベースから削除されるまでのアイドル タイムアウトを設定するには、Phone-Proxy コンフィギュレーション モードで timeout secure-phones コマンドを使用します。タイムアウト値をデフォルトの 5 分に戻すには、このコマンドの no 形式を使用します。

timeout secure-phones hh:mm:ss

no timeout secure-phones hh:mm:ss

 
構文の説明

hh:mm:ss

オブジェクトが削除されるまでのアイドル タイムアウトを設定します。デフォルトは 5 分です。

 
デフォルト

セキュア フォン タイムアウトのデフォルト値は、5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

セキュア フォンは、起動時に CTL ファイルを必ず要求するため、Phone Proxy がデータベースを作成して、その電話は安全であるとマークします。セキュア フォン データベースのエントリは、( timeout secure-phones コマンドで)指定されたタイムアウトの時間が経過すると削除されます。エントリのタイムスタンプは、Phone Proxy が SIP 電話用に登録更新を受信し KeepAlives が SCCP 電話用に登録更新を受信するたびに更新されます。

timeout secure-phones コマンドのデフォルト値は 5 分です。SCCP KeepAlives と SIP Registration 更新の最大タイムアウト値より大きい値を指定します。たとえば、SCCP Keepalive が 1 分間隔で設定され、SIP Register 更新が 3 分に設定されている場合、このタイムアウト値を 3 分より大きくなるよう設定します。

次に、セキュア フォン データベースにあるエントリを 3 分後にタイムアウトするよう Phone Proxy を設定する timeout secure-phones コマンドの使用例を示します。

hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside
hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside
hostname(config-phone-proxy)# media-termination address 192.168.1.4
hostname(config-phone-proxy)# tls-proxy asa_tlsp
hostname(config-phone-proxy)# ctl-file asactl
hostname(config-phone-proxy)# timeout secure-phones 00:03:00
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

timers lsa-group-pacing

OSPF Link-State Advertisement(LSA; リンクステート アドバタイズメント)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされるときの間隔を指定するには、ルータ コンフィギュレーション モードで timers lsa-group-pacing コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timers lsa-group-pacing seconds

no timers lsa-group-pacing [ seconds ]

 
構文の説明

seconds

OSPF Link-State Advertisement(LSA; リンクステート アドバタイズメント)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされる間隔。有効値は、10 ~ 1800 秒です。

 
デフォルト

デフォルトの間隔は 240 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

OSPF Link-State Advertisement(LSA; リンクステート アドバタイズメント)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされるときの間隔を変更するには、 timers lsa-group-pacing seconds コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing コマンドを使用します。

次の例では、LSA のグループ処理間隔を 500 秒に設定します。

hostname(config-router)# timers lsa-group-pacing 500
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

timers spf

Shortest Path First(SPF)計算の遅延時間とホールド タイムを指定します。

timers spf

Shortest Path First(SPF)計算の遅延時間とホールド タイムを指定するには、ルータ コンフィギュレーション モードで timers spf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timers spf delay holdtime

no timers spf [ delay holdtime ]

 
構文の説明

delay

OSPF によるトポロジ変更の受信と Shortest Path First(SPF)計算の開始との間の遅延時間(1 ~ 65535 秒)を秒単位で指定します。

holdtime

2 つの連続した SPF 計算の間のホールド タイム(秒単位)で、有効な値は 1 ~ 65535 秒です。

 
デフォルト

デフォルトは次のとおりです。

delay は 5 秒です。

holdtime は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間、および 2 つの連続した SPF 計算間のホールド タイムを設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。

次の例では、SPF 計算の遅延時間に 10 秒、SPF 計算のホールド タイムに 20 秒を設定します。

hostname(config-router)# timers spf 10 20
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

timers lsa-group-pacing

OSPF Link-State Advertisement(LSA; リンクステート アドバタイズメント)が収集されてリフレッシュ、チェックサム、またはエージングされる間隔を指定します。

title

WebVPN ユーザがセキュリティ アプライアンスに接続するときに WebVPN のページに表示されるタイトルをカスタマイズするには、webvpn カスタマイゼーション モードから title コマンドを使用します。

title { text | style } value

[ no ] title { text | style } value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
構文の説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのタイトル テキストは「WebVPN Service」です。

デフォルトのタイトル スタイルは、次のとおりです。

background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

タイトルを入れない場合は、 value の引数なしで title text コマンドを使用します。

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次の例では、タイトルを「Cisco WebVPN Service」というテキストでカスタマイズします。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# title text Cisco WebVPN Service
 

 
関連コマンド

コマンド
説明

logo

WebVPN ページのロゴをカスタマイズします。

page style

Cascading Style Sheet(CSS)パラメータを使用して、WebVPN ページをカスタマイズします。

tls-proxy

TLS コンフィギュレーション モードで TLS プロキシ インスタンスを設定するか、または最大セッションを設定するには、グローバル コンフィギュレーション モード tls-proxy コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]

no tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]

 
構文の説明

max_sessions max_sessions

プラットフォームでサポートする TLS プロキシ セッションの最大数を指定します。

noconfirm

確認を要求することなしに tls-proxy コマンドを実行します。

proxy_name

TLS プロキシ インスタンスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

tls-proxy コマンドを使用して TLS プロキシ コンフィギュレーション モードに入り、TLS プロキシ インスタンスを作成するか、またはプラットフォームでサポートされる最大セッションを設定します。

次の例では、TLS プロキシ インスタンスを作成する方法を示します。

hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point ccm_proxy
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common
 

 
関連コマンド

コマンド
説明

client

暗号スイートを定義し、ローカル ダイナミック証明書の発行者またはキーペアを設定します。

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

show tls-proxy

TLS プロキシを表示します。

tos

SLA 動作の要求パケットの IP ヘッダーでタイプ オブ サービス バイトを定義するには、SLA モニタ プロトコル コンフィギュレーション モードで tos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

tos number

no tos

 
構文の説明

number

IP ヘッダーで使用するサービス タイプの値。有効な値は、0 ~ 255 です。

 
デフォルト

タイプ オブ サービスの値はデフォルトで 0 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このフィールドには、遅延、優先度、信頼性などの情報が含まれます。ネットワークにある他のルータのポリシー ルーティングや、専用アクセス レートなどの機能で使用されます。

次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。また、エコー要求パケットのペイロード サイズを 48 バイト、SLA 動作中に送信するエコー要求の数を 5、タイプ オブ サービス バイトを 80 に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# num-packets 5
hostname(config-sla-monitor-echo)# request-data-size 48
hostname(config-sla-monitor-echo)# tos 80
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

num-packets

SLA 動作中に送信する要求パケットの数を指定します。

request-data-size

要求パケットのペイロードのサイズを指定します。

sla monitor

SLA モニタリング動作を定義します。

type echo

SLA 動作をエコー応答時間プローブ動作として設定します。

traceroute

パケットが宛先に到達するまでにたどるルートを調査するには、 traceroute コマンドを使用します。

traceroute destination_ip | hostname [ source source_ip | source-interface ] [ numeric ] [ timeout timeout_value ] [ probe probe_num ] [ ttl min_ttl max_ttl ] [ port port_value ] [ use-icmp ]

 
構文の説明

destination_ip

traceroute の宛先 IP アドレスを指定します。

hostname

ルートをトレースする先のホストのホスト名。ホスト名を指定する場合は、 name コマンドを使用して定義するか、DNS サーバを設定して traceroute がホスト名を IP アドレスに名前解決できるようにします。www.example.com などの DNS ドメイン名がサポートされています。

source

トレース パケットの送信元となる IP アドレスまたはインターフェイスを指定します。

source_ip

パケット トレースの送信元の IP アドレスを指定します。この IP アドレスは、送信元インターフェイスの中の 1 つの IP アドレスでなければなりません。トランスペアレント モードでは、セキュリティ アプライアンスの管理 IP アドレスを指定する必要があります。

source_interface

パケット トレースの送信元インターフェイスを指定します。指定した場合は、送信元のインターフェイスの IP アドレスが使用されます。

numeric

このコマンドの出力に、中間ゲートウェイの IP アドレスだけが表示されるようにします。このキーワードを指定しないと、トレース中に到達したゲートウェイのホスト名が検索されます。

timeout

使用するタイムアウト値を指定します。

timeout_value

接続がタイムアウトになるまでに、応答を待つ時間を秒単位で指定します。デフォルトは 3 秒です。

probe
probe_num

TTL の各レベルで送信するプローブの数。デフォルトの回数は 3 です。

ttl

プローブで使用する Time To Live(TTL; 存続可能時間)値の範囲を指定するキーワード。

min_ttl

最初のプローブの TTL の値。デフォルトは 1 ですが、高い値に設定して、既知のホップが表示されないようにすることもできます。

max-ttl

使用できる TTL の最大値。デフォルトは 30 です。トレースルート パケットが宛先に到達するか、TTL がこの値になるとコマンドは終了します。

port
port_value

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)プローブ メッセージで使用する宛先ポート。デフォルトは 33434 です。

use-icmp

UDP プローブ パケットではなく、ICMP プローブ パケットを使用することを指定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

traceroute コマンドは、送信された各プローブの結果を出力します。出力の各行が 1 つの TTL 値に対応します(昇順)。次に、 traceroute コマンドによって出力される出力記号を示します。

出力記号
説明

*

タイムアウトの期間内にプローブへの応答を受信しませんでした。

nn msec

各ノードで、指定した数のプローブのラウンドトリップ時間(ミリ秒単位)。

!N.

ICMP ネットワークに到達できません。

!H

ICMP ホストに到達できません。

!P

ICMP プロトコルが見つかりません。

!A

ICMP が設定によって禁止されています。

?

ICMP の原因不明のエラーが発生しました。

次の例では、traceroute コマンドで宛先 IP アドレスを指定した場合の出力を示します。

hostname# traceroute 209.165.200.225
 
Tracing the route to 209.165.200.225
 
1 10.83.194.1 0 msec 10 msec 0 msec
2 10.83.193.65 0 msec 0 msec 0 msec
3 10.88.193.101 0 msec 10 msec 0 msec
4 10.88.193.97 0 msec 0 msec 10 msec
5 10.88.239.9 0 msec 10 msec 0 msec
6 10.88.238.65 10 msec 10 msec 0 msec
7 172.16.7.221 70 msec 70 msec 80 msec
8 209.165.200.225 70 msec 70 msec 70 msec
 

 
関連コマンド

コマンド
説明

capture

トレース パケットを含めて、パケット情報をキャプチャします。

show capture

オプションが指定されていない場合は、キャプチャ コンフィギュレーションを表示します。

packet-tracer

パケット トレース機能をイネーブルにします。

track rtr

SLA 動作の到達可能性を調べるには、グローバル コンフィギュレーション モードで track rtr コマンドを使用します。SLA トラッキングを削除するには、このコマンドの no 形式を使用します。

track track-id rtr sla-id reachabilitity

no track track-id rtr sla-id reachabilitity

 
構文の説明

reachability

オブジェクトの到達可能性を追跡することを指定します。

sla-id

トラッキング エントリで使用する SLA の ID。

track-id

トラッキング エントリのオブジェクト ID を作成します。有効な値は、1 ~ 500 です。

 
デフォルト

SLA トラッキングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

track rtr コマンドで、トラッキング エントリのオブジェクト ID を作成し、そのエントリで使用する SLA を指定します。

SLA 動作ごとに、動作戻りコード値が保持されます。この値は、トラッキング プロセスで解釈されます。戻りコードには、OK、Over Threshold、およびその他の複数の戻りコードがあります。 表 31-4 に、戻りコードが意味するオブジェクトの到達可能性の状態を示します。

 

表 31-4 SLA トラッキングの戻りコード

トラッキング
戻りコード
トラッキング状態

到達可能性

OK または Over Threshold

アップ

その他のコード

ダウン

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

route

スタティック ルートを設定します。

sla monitor

SLA モニタリング動作を定義します。

traffic-non-sip

既知の SIP シグナリング ポートを使用して SIP 以外のトラフィックを許可するには、パラメータ コンフィギュレーション モードで traffic-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

traffic-non-sip

no traffic-non-sip

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、SIP インスペクション ポリシー マップで、既知の SIP シグナリング ポートを使用した SIP 以外のトラフィックを許可する方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# traffic-non-sip

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

transfer-encoding

転送符号化タイプを指定することで HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで transfer-encoding コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]

no transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]

 
構文の説明

action

指定した転送符号化タイプを使用している接続が検出された場合に実行されるアクションを指定します。

allow

メッセージを許可します。

chunked

メッセージ本文が一連のチャンクとして転送される転送符号化タイプを識別します。

compress

UNIX ファイル圧縮を使用してメッセージ本文が転送される転送符号化タイプを識別します。

default

サポートされている要求メソッドがトラフィックに含まれていて、そのメソッドが設定済みリストに記載されていない場合に、適応型セキュリティ アプライアンスが実行するデフォルト アクションを指定します。

deflate

zlib 形式(RFC 1950)およびデフレート圧縮(RFC 1951)を使用して、メッセージ本文が転送される転送符号化タイプを識別します。

drop

接続を閉じます。

gzip

GNU zip(RFC 1952)を使用してメッセージ本文が転送される転送符号化タイプを識別します。

identity

転送符号化が行われていないメッセージ本文の接続を識別します。

log

(任意)syslog を生成します。

reset

TCP リセット メッセージをクライアントおよびサーバに送信します。

type

HTTP アプリケーション インスペクションを通して制御される転送符号化タイプを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。コマンドがイネーブルで、サポートされる転送符号化タイプが指定されていない場合、デフォルトのアクションは接続をロギングなしで許可します。デフォルト アクションを変更するには、 default キーワードを使用して別のデフォルト アクションを指定します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

transfer-encoding コマンドをイネーブルにする場合、適応型セキュリティ アプライアンスは、サポートおよび設定された各転送符号化タイプの HTTP 接続に、指定したアクションを適用します。

適応型セキュリティ アプライアンスは、設定したリストの転送符号化タイプに一致 しない すべてのトラフィックに、 デフォルト アクションを適用します。事前設定済みの デフォルト アクションでは、接続をロギングなしで 許可 します。

たとえば、事前設定済みのデフォルト アクションが与えられ、 drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合、適応型セキュリティ アプライアンスは設定済みの符号化タイプを含む接続をドロップして、各接続のログを記録し、サポートされるその他の符号化タイプに対してすべての接続を許可します。

より厳しいポリシーを設定する場合は、デフォルト アクションを drop (または reset )および log に変更します(イベント ログに記録する場合)。次に、 allow アクションを使用して、許容される符号化タイプをそれぞれ設定します。

適用する各設定に対して、 transfer-encoding コマンドを一度入力します。 transfer-encoding コマンドの 1 つのインスタンスはデフォルト アクションの変更に使用し、もう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用します。

このコマンドの no 形式を使用して、設定済みのアプリケーション タイプのリストからアプリケーション カテゴリを削除する場合は、コマンド ラインに入力したアプリケーション カテゴリのキーワードより後の文字がすべて無視されます。

次の例では、事前設定済みのデフォルトを使用して、緩やかなポリシーを指定しています。サポートされているすべてのアプリケーション タイプを、個別に拒否されていない限り許可します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# transfer-encoding gzip drop log
hostname(config-http-map)#
 

この場合、GNU zip を使用した接続だけがドロップされ、イベントのログが記録されます。

次の例では、特に許可されていない任意の符号化タイプに対し、接続をリセットしてイベントをログに記録するようにデフォルト アクションを変更した厳しいポリシーを指定します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# port-misuse default action reset log
hostname(config-http-map)# port-misuse identity allow
hostname(config-http-map)#
 

この場合、転送符号化を使用していない接続だけが許可されます。サポートされるその他の符号化タイプの HTTP トラフィックを受信した場合、適応型セキュリティ アプライアンスは接続をリセットして、syslog エントリを作成します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

inspect http

アプリケーション インスペクション用に特定の HTTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

trust-point

IKE ピアに送信される証明書を識別するトラストポイントの名前を指定するには、トンネル グループ IPSec-attributes モードで trust-point コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。

trust-point trust-point-name

no trust-point trust-point-name

 
構文の説明

trust-point-name

使用するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次の例は config-ipsec コンフィギュレーション モードで入力され、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループの IKE ピアに送られる証明書を識別するためのトラストポイントを設定します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# trust-point mytrustpoint
 

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

trustpoint(SSO サーバ)

SAML POST タイプの SSO サーバに送信する証明書を識別するトラストポイントの名前を指定するには、config-webvpn-sso-saml モードで trustpoint コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。

trustpoint trustpoint-name

no trustpoint trustpoint-name

 
構文の説明

trustpoint-name

使用するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Config webvpn sso saml

--

--

--

 
コマンド履歴

リリース
変更内容

7.3

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

トラストポイントは認証局 ID を表し、特に認証パスで最初の公開キーを提供するために使用される公開キー証明書など、検証テストを行わなくても有効と見なされて信頼することができる CA-issued 証明書に基づいています。

次の例では、SAML POST タイプ SSO サーバに送信する証明書を識別するために、config-webvpn-sso-saml モードでトラストポイントに名前を付けています。

hostname(config-webvpn)# sso server
hostname(config-webvpn-sso-saml)# trustpoint mytrustpoint
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント情報を管理します。

show webvpn sso server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso server

SSO サーバのタイプを作成および指定し、名前を付けます。

tsig enforced

TSIG リソース レコードを必須とするには、パラメータ コンフィギュレーション モードで tsig enforced コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

tsig enforced action {drop [log] | log}

no tsig enforced [action {drop [log] | log}]

 
構文の説明

drop

TSIG が存在しない場合に、パケットをドロップします。

log

システム メッセージ ログを生成します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、DNS トランザクションにおいて、TSIG のモニタリングをイネーブルにし、TSIG が必ず存在するように強制します。

次の例では、DNS インスペクション ポリシー マップで TSIG の強制をイネーブルにする方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# tsig enforced action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

ttl-evasion-protection

Time-To-Live(TTL; 存続可能時間)回避保護をディセーブルにするには、TCP マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

ttl-evasion-protection

no ttl-evasion-protection

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

適応型セキュリティ アプライアンスが提供する TTL 回避保護は、デフォルトでイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとした攻撃を防止します。

たとえば、攻撃者は非常に短い TTL でポリシーを通過するパケットを送信するとします。TTL が 0 になると、適応型セキュリティ アプライアンスとエンドポイントの間のルータはパケットをドロップします。攻撃者は、この時点で長い TTL を持つ悪意のあるパケットを送信します。適応型セキュリティ アプライアンスはこのパケットを再送信と見なし、通過させます。ただし、エンドポイントのホストでは、このパケットが攻撃者より受信した最初のパケットとなります。このような場合、攻撃を防ぐセキュリティがなく攻撃者は成功します。この機能をイネーブルにすると、このような攻撃を防ぐことができます。

次の例では、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローで TTL 回避保護をディセーブルにする方法を示します。

hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# ttl-evasion-protection disable
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP1
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

tunnel-group

IPSec および WebVPN トンネル用に接続固有のレコードのデータベースを作成し、管理するには、グローバル コンフィギュレーション モードで tunnel-group コマンドを使用します。トンネル グループを削除するには、このコマンドの no 形式を使用します。

tunnel-group name type type

no tunnel-group name

 
構文の説明

name

トンネル グループの名前を指定します。これには、任意の文字列を選択できます。名前が IP アドレスの場合は、通常、ピアの IP アドレスとなります。

type

トンネル グループのタイプを次のように指定します。

remote-access:ユーザは、IPSec リモート アクセス、または WebVPN(ポータルまたはトンネル クライアント)を使用して接続できます。

ipsec-l2l:IPsec LAN-to-LAN を指定し、2 つのサイトまたは LAN を、インターネットのようなパブリック ネットワーク全体で安全に接続できます。

適応型セキュリティ アプライアンスは、これらのタイプをリモート アクセス タイプに変換します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

注を参照してください。

--

--


) tunnel-group コマンドは、トランスペアレント ファイアウォール モードで使用可能で、LAN-to-LAN トンネル グループのコンフィギュレーションを許可できますが、リモートアクセス グループまたは WebVPN グループは許可できません。また、LAN-to-LAN で使用できるすべての tunnel-group コマンドは、トランスペアレント ファイアウォール モードでも使用できます。


 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

webvpn タイプが追加されました。

8.0(2)

リモート アクセス タイプが追加され、ipsec-ra タイプと webvpn タイプが廃止されました。

8.3(1)

name 引数は、IPv6 アドレスに対応するために、変更されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスには、次のデフォルト トンネル グループがあります。

DefaultRAGroup:デフォルトの IPSec リモート アクセス トンネル グループ

DefaultL2LGroup:デフォルトの IPSec LAN-to-LAN トンネル グループ

DefaultWEBVPNGroup:デフォルトの WebVPN トンネル グループ

これらのグループの変更はできますが、削除はできません。適応型セキュリティ アプライアンスは、トンネル ネゴシエーション中に特定のトンネル グループが識別されない場合、前述のグループを使用して、リモート アクセスおよび LAN-to-LAN トンネル グループに対してデフォルトのトンネル パラメータを設定します。

tunnel-group コマンドを入力した後、特定のトンネル グループに特定のアトリビュートを設定するには、次のコマンドから適切なものを入力します。それぞれのコマンドは、トンネル グループ アトリビュートを設定するためのコンフィギュレーション モードに入ります。

tunnel-group general-attributes

tunnel-group ipsec-attributes

tunnel-group webvpn-attributes

tunnel-group ppp-attributes

LAN-to-LAN 接続に対して、適応型セキュリティ アプライアンスは、トンネル グループを、暗号マップで設定されたピア アドレスを同名のトンネル グループと一致させることで、接続のためのトンネル グループの選択しようとします。そのため、IPv6 ピアに対し、その IPv6 のアドレスと同様にトンネル グループ名を設定する必要があります。トンネル グループ名は、短い表記または長い表記で設定できます。CLI を使うと、その名前を最短の表記にできます。たとえば、トンネル グループ コマンドを次のように入力した場合、

hostname(config)# tunnel-group 2001:0db8:0000:0000:0000:0000:1428:57ab type ipsec-l2l
 

トンネル グループはコンフィギュレーションで次のように表示されます。

tunnel-group 2001:0db8::1428:57ab type ipsec-l2l

次の例は、グローバル コンフィギュレーション モードで入力されています。最初のコマンドは、リモート アクセス トンネル グループを設定します。グループ名は group1 です。

hostname(config)# tunnel-group group1 type remote-access
hostname(config)#
 

次の例では、「group1」という名前の webvpn トンネル グループを設定する tunnel-group コマンドを示します。このコマンドはグローバル コンフィギュレーション モードで入力します。

hostname(config)# tunnel-group group1 type webvpn
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

一般トンネル グループ アトリビュートを設定する config-general モードに入ります。

tunnel-group ipsec-attributes

IPSec トンネル グループ アトリビュートを設定する config-ipsec モードに入ります。

tunnel-group ppp-attributes

L2TP 接続の PPP を設定する config-ppp モードに入ります。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードを開始します。

tunnel-group general-attributes

一般アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group general-attributes コマンドを使用します。このモードは、サポートされるすべてのトンネリング プロトコルに共通の値を設定するために使用されます。

一般アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name general-attributes

no tunnel-group name general- attributes

 
構文の説明

general- attributes

このトンネル グループのアトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

さまざまなアトリビュートが他のトンネル グループ タイプから一般トンネル グループ アトリビュート リストに移され、トンネル グループ一般アトリビュート モードのプロンプトが変更されました。

次の例は、グローバル コンフィギュレーション モードで入力され、LAN-to-LAN ピアの IP アドレスを使用してリモート アクセス接続用のリモート アクセス トンネル グループを作成してから、一般アトリビュート コンフィギュレーション モードに入ってトンネル グループ一般アトリビュートを設定します。トンネル グループの名前は、209.165.200.225 です。

hostname(config)# tunnel-group 209.165.200.225 type remote-access
hostname(config)# tunnel-group 209.165.200.225 general-attributes
hostname(config-tunnel-general)#
 

次の例はグローバル コンフィギュレーション モードで入力され、IPSec リモート アクセス接続用の「remotegrp」という名前のトンネル グループを作成してから、一般コンフィギュレーション モードに入って「remotegrp」という名前のトンネル グループ用の一般アトリビュートを設定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-tunnel-general)
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

tunnel-group ipsec-attributes

ipsec-attribute コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group ipsec-attributes コマンドを使用します。このモードは、IPSec トンネリング プロトコルに限定される値を設定するために使用されます。

IPSec アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name ipsec-attributes

no tunnel-group name ipsec- attributes

 
構文の説明

ipsec- attributes

このトンネル グループのアトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

さまざまな IPSec トンネル グループ アトリビュートが一般トンネル グループ アトリビュート リストに移され、トンネル グループ ipsec-attributes モードのプロンプトが変更されました。

次の例はグローバル コンフィギュレーションで入力され、remotegrp という名前の IPSec リモートアクセス トンネル グループ用のトンネル グループを作成してから、IPSec グループ アトリビュートを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-tunnel-ipsec)

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

tunnel-group ppp-attributes

ppp-attributes コンフィギュレーション モードに入り、L2TP over IPSec 接続で使用する PPP を設定するには、グローバル コンフィギュレーション モードで tunnel-group ppp-attributes コマンドを使用します。

PPP アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name ppp-attributes

no tunnel-group name ppp- attributes

 
構文の説明

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

  1. PPP 設定は、Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)で使用されます。これは、リモート クライアントがダイヤルアップ接続サービスのパブリック IP ネットワークを使用して、企業のプライベート ネットワーク サーバと安全に通信できるようにする VPN トンネリング プロトコルです。L2TP は、クライアント/サーバ モデルに基づいており、PPP over UDP(ポート 1701)を使用してデータをトンネリングします。トンネル グループのすべての PPP コマンドは、PPPoE トンネル グループ タイプで使用できます。

次の例では、 telecommuters というトンネル グループを作成し、ppp-attributes コンフィギュレーション モードに入ります。

hostname(config)# tunnel-group telecommuters type pppoe
hostname(config)# tunnel-group telecommuters ppp-attributes
hostname(tunnel-group-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

tunnel-group webvpn-attributes

webvpn-attribute コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group webvpn-attributes コマンドを使用します。このモードでは、WebVPN トンネリングでの共通の設定を行います。

WebVPN アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name webvpn-attributes

no tunnel-group name webvpn- attributes

 
構文の説明

webvpn- attributes

このトンネル グループの WebVPN アトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次の例は、グローバル コンフィギュレーション モードに入り、LAN-to-LAN ピアの IP アドレスを使用して、WebVPN 接続用のトンネル グループを作成してから、webvpn コンフィギュレーション モードに入り WebVPN アトリビュートを設定します。トンネル グループの名前は、209.165.200.225 です。

hostname(config)# tunnel-group 209.165.200.225 type webvpn
hostname(config)# tunnel-group 209.165.200.225 webvpn-attributes
hostname(config-tunnel-webvpn)#
 

次の例は、グローバル コンフィギュレーション モードに入り、WebVPN 接続用の「remotegrp」という名前のトンネル グループを作成してから、webvpn コンフィギュレーション モードに入って「remotegrp」という名前のトンネル グループ用の WebVPN アトリビュートを設定します。

hostname(config)# tunnel-group remotegrp type webvpn
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)#
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

tunnel-group-map

適応型セキュリティ アプライアンスが IPSec 接続要求をクライアント証明書認証とともに受信すると、設定したポリシーに従って接続プロファイルをその接続に割り当てます。

そのポリシーは、設定したルールの使用、証明書の OU フィールドの使用、IKE ID(ホスト名、IP アドレス、キー ID など)の使用、クライアントの IP アドレス、あるいは接続プロファイルを割り当てるデフォルトの接続プロファイルになります。SSL 接続に対し、適応型セキュリティ アプライアンスは、接続プロファイルを割り当てるように設定したルールを使用するだけです。

既存のマップ名を接続プロファイルに関連付けて設定したルールに基づき、 tunnel-group-map コマンドにより、接続プロファイルが接続に割り当てられます。

接続プロファイルとマップ名の関連を解消するには、このコマンドの no 形式を使用します。このコマンドの no 形式ではマップ名は削除されません。マップ名と接続プロファイルとの関連が解消されるだけです。

コマンドの構文は次のとおりです。

tunnel-group-map [mapname] [rule-index] [connection-profile]

no tunnel-group-map [mapname] [rule-index]


) • このコマンドで証明書マップ名を作成できます。
crypto ca certificate map [mapname] [rule-index]

「トンネル グループ」は、現在「接続プロファイル」と呼ばれている用語の旧称です。tunnel-group-map コマンドは、接続プロファイル マップを作成するものと考えてください。


 

 
構文の説明

 
構文の説明構文の説明

mapname

必須。既存の証明書マップの名前を指定します。

rule-index

必須。マップ名に関連付けられた rule-index を指定します。rule-index パラメータは、 crypto ca certificate map コマンドを使用して定義されます。有効な値は 1 ~ 65535 です。

connection-profile

証明書マップ リストに対して接続プロファイル名を指定します。

 
デフォルト

tunnel-group-map が未定義で、ASA が IPsec 接続リストをクライアント証明書認証とともに受信した場合、ASA は証明書認証要求をこれらのポリシーの 1 つと次の順序で照合することで、接続プロファイルを割り当てます。

証明書の ou フィールド :サブジェクト Distinguish Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドの値に基づき、接続プロファイルを決定します。

IKE ID :フェーズ 1 IKE ID の内容 に基づき、接続プロファイルを決定します。

peer-ip :確立されたクライアント IP アドレス に基づき、接続プロファイルを決定します。

デフォルト接続プロファイル:ASA が上記 3 つのポリシーに一致しない場合は、デフォルトの接続プロファイルを割り当てます。デフォルトのプロファイルは DefaultRAGroup です。そうでない場合は、デフォルトの接続プロファイルは、tunnel-group-map default-group コマンドを使用して設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

設定したマップ名は、接続プロファイルと関連付ける前に、存在している必要があります。 crypto ca certificate map コマンドを使用して、マップ名を作成します。詳細については、 crypto ca certificate map コマンドの資料を参照してください。

マップ名を接続プロファイルに関連付けたら、前述のデフォルトのポリシーではなく設定したルールを使用するには、tunnel-group-map をイネーブルにする必要があります。これを行うには、グローバル コンフィギュレーション モードで tunnel-group-map enable rules コマンドを実行する必要があります。

次の例では、rule index が 10 のマップ名 SalesGroup を SalesConnectionProfile 接続プロファイルに関連付けています。

hostname(config)# tunnel-group-map SalesGroup 10 SalesConnectionProfile
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map [map name]

CA 証明書マップ モードに入り、そのモードを使用して証明書マップ名を作成できます。

tunnel-group-map enable

確立されたルールに基づく証明書ベースの IKE セッションをイネーブルにします。

tunnel-group-map default-group

既存のトンネル グループ名をデフォルトのトンネル グループとして指定します。

tunnel-group-map default-group

tunnel-group-map default-group コマンドは、他の設定済みの方法でトンネル グループ名を判別できなかった場合に、使用するデフォルトのトンネル グループ名を指定します。

tunnel-group-map を削除するには、このコマンドの no 形式を使用します。

tunnel-group-map [ rule-index ] default-group tunnel-group-name

no tunnel-group-map

 
構文の説明

default-group tunnel-group-name

他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。 tunnel-group name はすでに存在している必要があります。

rule index

オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。有効な値は 1 ~ 65535 です。

 
デフォルト

tunnel-group-map default-group のデフォルト値は、DefaultRAGroup です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tunnel-group-map コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするときのポリシーおよびルールを設定します。 crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けるには、グローバル コンフィギュレーション モードで tunnel-group-map コマンドを使用します。各呼び出しが一意であり、マップ インデックスを 2 回以上参照しない限り、このコマンドを複数回実行できます。

crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。

証明書からトンネル グループ名を取得する処理は、トンネル グループに関連付けられていない証明書マップのエントリを無視します(どのマップ ルールもこのコマンドでは識別されません)。

次の例はグローバル コンフィギュレーション モードで入力され、他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。使用するトンネル グループの名前は group1 です。

hostname(config)# tunnel-group-map default-group group1
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

暗号 CA 証明書マップ モードを開始します。

subject-name(暗号 CA 証明書マップ)

ルール エントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。

tunnel-group-map enable

証明書ベースの IKE セッションをトンネル グループにマップするポリシーとルールを設定します。

tunnel-group-map enable

tunnel-group-map enable コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするポリシーとルールを設定します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

tunnel-group-map [ rule-index ] enable policy

no tunnel-group-map enable [ rule-index ]

 
構文の説明

policy

証明書からトンネル グループ名を取得するポリシーを指定します。 Policy は、次のいずれかになります。

ike-id :トンネル グループがルールの検索に基づいて決定されない、または ou から取得されない場合、 証明書ベースの IKE セッションはフェーズ 1 IKE ID のコンテンツに基づいたトンネル グループにマップされることを示します。

ou :トンネル グループがルールの検索に基づいて決定されない場合、サブジェクト Distinguish Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)の値を使用することを示します。

peer-ip :トンネル グループがルールの検索に基づいて決定されないか、ou または ike-id メソッドから取得されない場合、確立されたピア IP アドレスを使用することを示します。

rules :証明書ベースの IKE セッションは、このコマンドで設定された証明書マップ結合に基づいてトンネル グループにマップされることを示します。

rule index

オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。有効な値は 1 ~ 65535 です。

 
デフォルト

tunnel-group-map コマンドのデフォルト値は、 enable ou で、 default-group は、DefaultRAGroup に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。

次の例では、フェーズ 1 IKE ID のコンテンツに基づいて、トンネル グループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable ike-id
hostname(config)#
 

次の例では、確立されたピアの IP アドレスに基づいて、トンネル グループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable peer-ip
hostname(config)#
 

次の例では、サブジェクト Distinguish Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)に基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable ou
hostname(config)#
 

次の例では、確立したルールに基づいて、証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable rules
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

CA 証明書マップ モードを開始します。

subject-name(暗号 CA 証明書マップ)

ルール エントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。

tunnel-group-map default-group

既存のトンネル グループ名をデフォルトのトンネル グループとして指定します。

tunnel-limit

適応型セキュリティ アプライアンスでアクティブになることを許可されている GTP トンネルの最大数を指定するには、GTP マップ コンフィギュレーション モードで tunnel limit コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。トンネル制限をデフォルトに戻すには、 no を使用します。

tunnel-limit max_tunnels

no tunnel-limit max_tunnels

 
構文の説明

max_tunnels

これは、トンネルの許容最大数です。グローバルなトンネル制限全体の範囲は、1 ~ 4294967295 です。

 
デフォルト

トンネル制限のデフォルトは 500 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドで指定されたトンネル数に到達すると、新しい要求はドロップされます。

次の例では、GTP トラフィックに最大 10,000 トンネルを指定します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# tunnel-limit 10000
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

debug gtp

GTP インスペクションの詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

tx-ring-limit

プライオリティ キューの深さを指定するには、プライオリティ キュー モードで tx-ring-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

tx-ring-limit number-of-packets

no tx-ring-limit number-of-packets

 
構文の説明

number-of-packets

イーサネット送信ドライバが許容できる低遅延パケットまたは標準の優先順位のパケットの最大数を指定します。この値を超えると、イーサネット送信ドライバは輻輳が解消するまで、インターフェイス上のキューにパケットを戻しバッファに格納させます。 tx-ring-limit の値の範囲は、PIX プラットフォームでは 3 から 128 パケットで、ASA プラットフォームでは 3 から 256 パケットです。

 
デフォルト

デフォルトの tx-ring-limit は、128 パケットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

プライオリティ キュー

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、遅延の影響を受けやすい、プライオリティの高いトラフィック(音声およびビデオなど)用の Low-Latency Queuing(LLQ; 低遅延キューイング)と、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)の 2 つのトラフィック クラスを使用できます。適応型セキュリティ アプライアンスは、プライオリティ トラフィックを認識し、適切な Quality of Service(QoS; サービス品質)ポリシーを実施します。プライオリティ キューのサイズと深さを設定して、トラフィック フローを微調整できます。

プライオリティ キューイングを有効にするには、 priority-queue コマンドを使用して、インターフェイスのプライオリティ キューをあらかじめ作成しておく必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。

priority-queue コマンドで、プライオリティ キュー モードを開始します。これはプロンプトに表示されます。プライオリティ キュー モードでは、送信キューに任意のタイミングで入れることができるパケットの最大数( tx-ring-limit コマンド)、パケットがドロップされるまで、バッファできる両方のタイプ(プライオリティまたはベストエフォート)のパケット数を設定できます( queue-limit コマンド)。


) インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります


指定する tx-ring-limit および queue-limit は、プライオリティの高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両方のタイプのパケットの数です。このパケット数を超えると、ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し、輻輳が解消するまでそのキューでパケットをバッファしておきます。通常、これらの 2 つのパラメータを調整することで、低遅延トラフィックのフローを最適化できます。

キューのサイズは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが「 テール ドロップ 」です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。


queue-limit コマンドと tx-ring-limit コマンドに対する値の範囲の上限は、実行時に動的に決定されます。この上限を表示するには、コマンド ラインで help または ? と入力します。主な決定要素は、キューをサポートするために必要なメモリと、デバイス上で使用可能なメモリです。queue-limit の値の範囲は、0 ~ 2048 パケットです。tx-ring-limit の値の範囲は、PIX プラットフォームでは 3 から 128 パケットで、ASA プラットフォームでは 3 から 256 パケットです。


ASA モデル 5505(のみ)では、1 つのインターフェイスにプライオリティ キューを設定すると、他のすべてのインターフェイスで同じコンフィギュレーションが上書きされます。つまり、最後に適用されたコンフィギュレーションだけが、すべてのインターフェイスに存在することになります。さらに、プライオリティ キュー コンフィギュレーションは、1 つのインターフェイスから削除すると、すべてのインターフェイスからも削除されます。

この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなインターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで最大の値と、すべての tx-ring-limit のうちで最小の値を使用します(CSCsi13132)。

次の例では、test というインターフェイスにプライオリティ キューを、キュー制限を 2048 パケットに、送信キュー制限を 256 パケットに設定しています。

hostname(config)# priority-queue test
hostname(priority-queue)# queue-limit 2048
hostname(priority-queue)# tx-ring-limit 256
 

 
関連コマンド

コマンド
説明

clear configure priority-queue

指定したインターフェイスの現在のプライオリティ キュー コンフィギュレーションを削除します。

priority-queue

インターフェイスにプライオリティ キューイングを設定します。

queue-limit

プライオリティ キューに入れることができるパケットの最大数を指定します。この数を超えると、以後のデータはドロップされます。

show priority-queue statistics

指定されたインターフェイスのプライオリティ キュー統計情報を表示します。

show running-config priority-queue

現在のプライオリティ キュー コンフィギュレーションを表示します。 all キーワードを指定した場合、このコマンドは現在のすべての priority-queue queue-limit 、および tx-ring-limit コマンド設定値を表示します。

type echo

SLA 動作をエコー応答時間プローブ動作として設定するには、SLA モニタ コンフィギュレーション モードで type echo コマンドを使用します。このタイプの SLA 動作をコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

type echo protocol ipIcmpEcho target interface if-name

no type echo protocol ipIcmpEcho target interface if-name

 
構文の説明

interface if-name

nameif コマンドで指定したように、エコー要求パケットを送信するインターフェイスの名前を指定します。インターフェイスの送信元アドレスが、エコー要求パケットで送信元アドレスとして使用されます。

protocol

プロトコルを指定するキーワード。 ipIcmpEcho という値しか指定できません。この値は、エコー動作で IP/ICMP エコー要求を使用することを指定します。

target

モニタされるオブジェクトの IP アドレスまたはホスト名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ICMP パケットのペイロードのデフォルト サイズは 28 バイトです。ICMP パケットの合計サイズは 64 バイトになります。ペイロードのサイズを変更するには、 request-data-size コマンドを使用します。

次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。ID が 1 のトラッキング エントリを作成し、SLA の到達可能性を追跡します。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

num-packets

SLA 動作中に送信する要求パケットの数を指定します。

request-data-size

SLA 動作の要求パケットのペイロードのサイズを指定します。

sla monitor

SLA モニタリング動作を定義します。