Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.2(2)
cache コマンド~ clear compression コマンド
cache コマンド~ clear compression コマンド
発行日;2012/05/09 | 英語版ドキュメント(2011/05/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 26MB) | フィードバック

目次

cache コマンド~ clear compression コマンド

cache

cache-fs limit

cache-time

call-agent

call-duration-limit

call-home

call-home send

call-home send alert-group

call-home test

call-party-numbers

capture

cd

cdp-url

certificate

certificate-group-map

chain

changeto

character-encoding

checkheaps

check-retransmission

checksum-verification

cipc security-mode authenticated

class(グローバル)

class(ポリシー マップ)

class-map

class-map type inspect

class-map type management

class-map type regex

clear aaa local user fail-attempts

clear aaa local user lockout

clear aaa-server statistics

clear access-list

clear arp

clear asp drop

clear asp table

clear blocks

clear-button

clear capture

clear compression

cache コマンド~ clear compression コマンド

cache

キャッシュ モードを開始し、キャッシング アトリビュートの値を設定するには、webvpn コンフィギュレーション モードで cache コマンドを入力します。コンフィギュレーションからキャッシュ関連のコマンドをすべて削除し、これらをデフォルト値にリセットするには、このコマンドの no 形式を入力します。

cache

no cache

 
デフォルト

各キャッシュ アトリビュートのデフォルト設定でイネーブルになっています。

 
コマンド モード

次の表に、このコマンドを入力するモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

キャッシングにより、頻繁に再利用されるオブジェクトがシステム キャッシュに保存されます。キャッシュに保存しておくことにより、リライトやコンテンツの圧縮を繰り返し実行する必要が少なくなります。また、WebVPN とリモート サーバの間、および WebVPN とエンドユーザのブラウザとの間の両方でトラフィックが削減されます。このため、多くのアプリケーションがさらに効率よく実行されます。

次に、キャッシュ モードを開始する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache-static-content

書き換えの対象でないコンテンツをキャッシュします。

disable

キャッシングをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再検証ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

cache-fs limit

適応型セキュリティ アプライアンスがリモート PC にダウンロードするイメージを保存するために使用するキャッシュ ファイル システムのサイズを制限するには、webvpn コンフィギュレーション モードで cache-fs limit コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-fs limit {size}

no cache-fs limit {size}

 
構文の説明

size

キャッシュ ファイル システムのサイズ制限(1 ~ 32 MB)。

 
デフォルト

デフォルト値は 20 MB です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(3)

このコマンドは廃止されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、Cisco AnyConnect VPN Client および Cisco Secure Desktop(CSD)のイメージおよびファイルを含むパッケージ ファイルを、リモート PC へのダウンロード用にキャッシュ メモリ内で展開します。適応型セキュリティ アプライアンスで正常にパッケージ ファイルを展開するには、このイメージとファイルを保存するのに十分なキャッシュ メモリが必要です。

パッケージを展開するのに十分なキャッシュ メモリがないことが適応型セキュリティ アプライアンスによって検出されると、コンソールにエラー メッセージが表示されます。次に、 svc image コマンドで AnyConnect VPN Client のイメージ パッケージをインストールしようとした後にレポートされるエラー メッセージの例を示します。

hostname(config-webvpn)# svc image disk0:/vpn-win32-Release-2.0-k9.pkg
ERROR: File write error (check disk space)
ERROR: Unable to load SVC image - extraction failed
 

イメージ パッケージをインストールしようとしてこのエラー メッセージがレポートされた場合は、グローバル コンフィギュレーション モードで dir cache:/ コマンドを使用して、キャッシュ メモリの残量およびこれまでにインストールしたパッケージのサイズを検査できます。検査結果に応じて、キャッシュ サイズの制限を調整できます。

次に、CSD イメージ(sdesktop 内)および CVC イメージ(stc 内)が約 5.44 MB のキャッシュ メモリを使用している例を示します。

hostname(config-webvpn)# dir cache:/
 
Directory of cache:/
 
0 drw- 0 17:06:55 Nov 13 2006 sdesktop
0 drw- 0 16:46:54 Nov 13 2006 stc
 
5435392 bytes total (4849664 bytes free)
 

次に、キャッシュ サイズを 6 MB に制限する例を示します。

hostname(config-webvpn)# cache-fs limit 6

 
関連コマンド

コマンド
説明

dir cache:/

キャッシュ メモリの内容(予約されているキャッシュ メモリの総量やキャッシュ メモリの残量など)を表示します。

show run webvpn

現在の WebVPN コンフィギュレーション(キャッシュ メモリを消費する可能性があるインストール済みの SSL VPN クライアントや CSD イメージなど)を表示します。

show webvpn csd

CSD バージョンおよびインストール ステータスを表示します。

show webvpn svc

インストール済みの SSL VPN パッケージ ファイルの名前およびバージョンを表示します。

cache-time

CRL を失効と見なす前にキャッシュ内に残す時間を分単位で指定するには、crl 設定コンフィギュレーション モードで cache-time コマンドを使用します。このモードには、クリプト CA トラストポイント コンフィギュレーション モードからアクセスできます。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-time refresh-time

no cache-time

 
構文の説明

refresh-time

CRL をキャッシュ内に残す時間を分単位で指定します。指定できる範囲は 1 ~ 1440 分です。CRL に NextUpdate フィールドがない場合、CRL はキャッシュされません。

 
デフォルト

デフォルトの設定は 60 分です。

 
コマンド モード

次の表に、このコマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl 設定コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central でキャッシュ時間のリフレッシュ値を 10 分に指定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# cache-time 10
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enforcenextupdate

証明書で NextUpdate CRL フィールドを処理する方法を指定します。

call-agent

コール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。このモードには、 mgcp-map コマンドを使用してアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

call-agent ip_address group_id

no call-agent ip_address group_id

 
構文の説明

ip_address

ゲートウェイの IP アドレス。

group_id

コール エージェント グループの ID(0 ~ 2147483647)。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上のゲートウェイを管理できるコール エージェントのグループを指定するには、 call-agent コマンドを使用します。コール エージェントのグループの情報は、このグループ内のコール エージェント(ゲートウェイがコマンドを送信する先のコール エージェント以外)の接続を開くために使用され、すべてのコール エージェントが応答を送信できるようになります。同じ group_id を持つコール エージェントは、同じグループに属します。1 つのコール エージェントが複数のグループに属する場合もあります。 group_id オプションは、0 ~ 4294967295 の数字です。 ip_address オプションは、コール エージェントの IP アドレスを指定します。

次に、コール エージェント 10.10.11.5 および 10.10.11.6 でゲートウェイ 10.10.10.115 を制御し、コール エージェント 10.10.11.7 および 10.10.11.8 で 2 つのゲートウェイ 10.10.10.116 および 10.10.10.117 を制御するように設定する例を示します。

hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報を表示できるようにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP のコンフィギュレーションおよびセッション情報を表示します。

call-duration-limit

H.323 コールのコール継続時間を設定するには、パラメータ コンフィギュレーション モードで call-duration-limit コマンドを使用します。このモードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-duration-limit hh:mm:ss

no call-duration-limit hh:mm:ss

 
構文の説明

hh:mm:ss

継続時間を時、分、および秒で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、H.323 コールのコール継続時間を設定する例を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-duration-limit 0:1:0
 

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

call-home

Call Home コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで call-home コマンドを使用します。

call-home

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

call-home コマンドを入力すると、プロンプトが hostname(cfg-call-home)# に変わり、次の Call Home コンフィギュレーション コマンドにアクセスできるようになります。

[no] alert-group {group name | all}:Smart Call Home グループをイネーブルまたはディセーブルにします。デフォルトでは、すべてのアラート グループに対してイネーブルになっています。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
group name:syslog、診断、環境、インベントリ、コンフィギュレーション、スナップショット、脅威、テレメトリ、テスト。

[no] contact-e-mail-addr e-mail-address:カスタマーの連絡先電子メール アドレスを指定します。このフィールドは必須です。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
e-mail-address:最大 127 文字のカスタマーの電子メール アドレス。

[no] contact-name contact name:カスタマーの名前を指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
e-mail-address:最大 127 文字のカスタマーの名前。

copy profile src-profile-name dest-profile-name:既存のプロファイル(src-profile-name)の内容を新しいプロファイル(dest-profile-name)にコピーします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
src-profile-name:最大 23 文字の既存のプロファイル名。
dest-profile-name:最大 23 文字の新しいプロファイル名。

rename profile src-profile-name dest-profile-name:既存のプロファイルの名前を変更します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
src-profile-name:最大 23 文字の既存のプロファイル名。
dest-profile-name:最大 23 文字の新しいプロファイル名。

no configuration all:Smart Call-home コンフィギュレーションをクリアします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。

[no] customer-id customer-id-string:カスタマー ID を指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
customer-id-string:最大 64 文字のカスタマー ID。このフィールドは、XML 形式のメッセージでは必須です。

[no] event-queue-size queue_size:イベント キュー サイズを指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
queue-size:イベント数(5 ~ 10)。デフォルトは 10 です。

[no] mail-server ip-address | name priority 1-100 all:SMTP メール サーバを指定します。カスタマーは、最大 5 つのメール サーバを指定できます。Smart Call Home メッセージに電子メール転送を使用する場合は、少なくとも 1 つのメール サーバを指定する必要があります。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
ip-address:メール サーバの IPv4 アドレスまたは IPv6 アドレス。
name:メール サーバのホスト名。
1-100:メール サーバのプライオリティ。値が小さいほど、プライオリティが高くなります。

[no] phone-number phone-number-string:カスタマーの電話番号を指定します。このフィールドは省略可能です。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
phone-number-string:電話番号。

[no] rate-limit msg-count:Smart Call Home が 1 分間に送信できるメッセージの数を指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
msg-count:1 分間に送信できるメッセージ数。デフォルト値は 10 です。

[no] sender { from e-mail-address | reply-to e-mail-address }:電子メール メッセージの発信元または応答先の電子メール アドレスを指定します。このフィールドは省略可能です。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
e-mail-address:発信元または応答先の電子メール アドレス。

[no] site-id site-id-string:カスタマー サイト ID を指定します。このフィールドは省略可能です。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
site-id-string:カスタマーの場所を識別するサイト ID。

[no] street-address street-address:カスタマーの住所を指定します。このフィールドは省略可能です。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
street-address:最大 255 文字の自由形式のストリング。

[no] alert-group-config environment:環境グループ コンフィギュレーション モードを開始します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。

[no] threshold {cpu | memory} low-high:環境リソースしきい値を指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
low、high:0 ~ 100。デフォルトは 85 ~ 90 です。

[no] alert-group-config snapshot:スナップショット グループ コンフィギュレーション モードを開始します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
system、user:システム コンテキストまたはユーザ コンテキスト(マルチ モードでのみ使用可)で CLI を実行します。

[no] add-command "cli command" [{system | user}]:スナップショット グループにキャプチャする CLI コマンドを指定します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
cli command:実行する CLI コマンド。
system、user:システム コンテキストまたはユーザ コンテキスト(マルチ モードでのみ使用可)で CLI を実行します。システムもユーザも指定しないと、CLI はシステム コンテキストとユーザ コンテキストの両方で実行されます。デフォルトは、ユーザ コンテキストです。

[no] profile profile-name | no profile all:プロファイルの作成、削除、および編集を行います。プロファイル コンフィギュレーション モードを開始し、プロンプトを hostname(cfg-call-home-profile)# に変更します。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
profile-name:最大 20 文字のプロファイル名。

[no] active:プロファイルをイネーブルまたはディセーブルにします。デフォルトはイネーブルです。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。

no destination address {e-maile-mail | http} all | [no] destination {address {e-mail | http} e-mail-address | http-url [msg-format short-text | long-text | xml] | message-size-limit max-size | preferred-msg-format short-text | long-text | xml | transport-method e-mail | http}:Smart Call Home メッセージ レシーバの宛先、メッセージ サイズ、メッセージ形式、および転送方法を設定します。デフォルトのメッセージ形式は XML で、デフォルトでイネーブルになっている転送方法は電子メールです。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
e-mail-address:Smart Call Home レシーバの電子メール アドレス(最大 100 文字)。
http-url:HTTP/HTTPS URL。
max-size:最大メッセージ サイズ(バイト単位)。0 は、制限がないことを意味します。デフォルトは、5 MB です。

[no] subscribe-to-alert-group alert-group-name [severity{catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging}]:指定した重大度レベルのグループのイベントにサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
alert-group-name:syslog、診断、環境、または脅威。

[no] subscribe-to-alert-group syslog [{severity{catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging} | message start [-end]}]:重大度レベルまたはメッセージ ID のある syslog にサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
start-[end]:1 つの syslog メッセージ ID またはある範囲の syslog メッセージ ID。

[no] subscribe-to-alert-group inventory [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]:インベントリ イベントにサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
day_of_month:日付(1 ~ 31)。
day_of_week:曜日(Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday)。
hh, mm:24 時間制での時刻(時および分)。

[no] subscribe-to-alert-group configuration [export full | minimum] [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]:コンフィギュレーション イベントにサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
full:実行コンフィギュレーション、スタートアップ コンフィギュレーション、機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名をエクスポートするコンフィギュレーション。
minimum:機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名だけをエクスポートするコンフィギュレーション。
day_of_month:日付(1 ~ 31)。
day_of_week:曜日(Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday)。
hh, mm:24 時間制での時刻(時および分)。

[no] subscribe-to-alert-group telemetry periodic {hourly | daily | monthly day_of_month | weekly day_of_week [hh:mm]:定期的なテレメトリ イベントにサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
day_of_month:日付(1 ~ 31)。
day_of_week:曜日(Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday)。
hh, mm:24 時間制での時刻(時および分)。

[no] subscribe-to-alert-group <snapshot> periodic { interval minutes | hourly [mm>] | daily | monthly day_of_month |weekly day_of_week [hh:mm]}:定期的なスナップショット イベントにサブスクライブします。
サポートされているモード:シングル モードおよびマルチ モードのシステム コンテキスト(ルーテッドまたはトランスペアレント)。
minutes:間隔(分単位)。
day_of_month:日付(1 ~ 31)。
day_of_week:曜日(Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday)。
hh, mm:24 時間制での時刻(時および分)。


) Call-home HTTPS メッセージは、ここで説明する vrf コマンドに関係なく、ip http client source-interface コマンドを使用して、VRF 上の指定した送信元インターフェイスを介してのみ送信できます。


次に、連絡先情報を設定する例を示します。

hostname(config)# call-home
hostname(cfg-call-home)# contact-e-mail-addr username@example.com
hostname(cfg-call-home)# customer-id Customer1234
hostname(cfg-call-home)# phone-number +1-800-555-0199
hostname(cfg-call-home)# site-id Site1
hostname(cfg-call-home)# street-address “1234 Any Street, Any city, Any state, 12345”
 

次に、Call Home メッセージのレート制限しきい値を設定する例を示します。

hostname(config)# call-home
hostname(cfg-call-home)# rate-limit 50
 

次に、Call Home メッセージのレート制限しきい値をデフォルト設定にする例を示します。

hostname(config)# call-home
hostname(cfg-call-home)# default rate-limit
 

次に、既存のプロファイルと同じコンフィギュレーション設定の新しい宛先プロファイルを作成する例を示します。

hostname(config)# call-home
hostname(cfg-call-home)# copy profile profile1 profile1a
 

次に、一般的な電子メール パラメータ(プライマリ電子メール サーバ、セカンダリ電子メール サーバなど)を設定する例を示します。

hostname(config)# call-home
hostname(cfg-call-home)# mail-server smtp.example.com priority 1
hostname(cfg-call-home)# mail-server 192.168.0.1 priority 2
hostname(cfg-call-home)# sender from username@example.com
hostname(cfg-call-home)# sender reply-to username@example.com

 
関連コマンド

コマンド
説明

alert-group

アラート グループをイネーブルにします。

profile

Call Home プロファイル コンフィギュレーション モードを開始します。

show call-home

Call Home コンフィギュレーションの情報を表示します。

call-home send

CLI コマンドを実行し、コマンド出力を電子メールで送信するには、特権 EXEC モードで call-home send コマンドを使用します。

call-home send cli command [email email ] [service-number service number ]

 
構文の説明

cli command

実行する CLI コマンドを指定します。コマンド出力は電子メールで送信されます。

email email

CLI コマンド出力の送信先の電子メール アドレスを指定します。電子メール アドレスを指定しない場合は、Cisco TAC(attach@cisco.com)にコマンド出力が送信されます。

service-number

コマンド出力が関係するアクティブな TAC ケース番号を指定します。この番号は、電子メール アドレス(または TAC 電子メール アドレス)が指定されていない場合にのみ必要で、電子メールの件名行に表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、指定した CLI コマンドがシステム上で実行されます。指定する CLI コマンドは、引用符("")で囲む必要があります。また、任意の run コマンドまたは show コマンド(すべてのモジュール用のコマンドを含む)を指定できます。

その後、コマンド出力は、電子メールで指定の電子メール アドレスに送信されます。電子メール アドレスを指定しない場合は、Cisco TAC(attach@cisco.com)にコマンド出力が送信されます。電子メールは、件名行にサービス番号を付けて(指定した場合)ロング テキスト形式で送信されます。

次に、CLI コマンドを送信し、コマンド出力を電子メールで送信する例を示します。

hostname# call-home send "show diagnostic result module all" email support@example.com

 
関連コマンド

call-home

Call Home コンフィギュレーション モードを開始します。

call-home test

定義した Call Home テスト メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーションの情報を表示します。

call-home send alert-group

特定のアラート グループ メッセージを送信するには、特権 EXEC モードで call-home send alert-group コマンドを使用します。

call-home send alert-group { configuration | telemetry | inventory | group snapshot} [ profile profile-name ]

 
構文の説明

configuration

コンフィギュレーション アラート グループ メッセージを宛先プロファイルに送信します。

group snapshot

スナップショット グループを送信します。

inventory

インベントリ call-home メッセージを送信します。

profile profile-name

(任意) 宛先 プロファイルの名前を指定します。

telemetry

特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

profile profile-name を指定しない場合は、サブスクライブ対象のすべての宛先プロファイルにメッセージが送信されます。

手動で送信できるのは、コンフィギュレーション、診断、およびインベントリ アラート グループだけです。宛先プロファイルは、アラート グループにサブスクライブされる必要はありません。

次に、コンフィギュレーション アラート グループ メッセージを宛先プロファイルに送信する例を示します。

hostname# call-home send alert-group configuration
 

次に、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信する例を示します。

hostname# call-home send alert-group diagnostic module 3 5/2
 

次に、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージをすべての宛先プロファイルに送信する例を示します。

hostname# call-home send alert-group diagnostic module 3 5/2 profile Ciscotac1
 

次に、インベントリ call-home メッセージを送信する例を示します。

hostname# call-home send alert-group inventory

 
関連コマンド

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home test

定義した Call Home テスト メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーションの情報を表示します。

call-home test

プロファイルのコンフィギュレーションを使用して Call Home テスト メッセージを手動で送信するには、特権 EXEC モードで call-home test コマンドを使用します。

call-home test [ " test-message " ] profile profile-nam e

 
構文の説明

profile profile-name

宛先 プロファイルの名前を指定します。

" test-message "

(任意)テスト メッセージ テキスト。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、テスト メッセージが指定の宛先プロファイルに送信されます。テスト メッセージ テキストを入力する場合、テキストにスペースが含まれている場合は、このテキストを引用符("")で囲む必要があります。メッセージを入力しない場合、デフォルト メッセージが送信されます。

次に、Call Home テスト メッセージを手動で送信する例を示します。

hostname# call-home test “test of the day” profile Ciscotac1

 
関連コマンド

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home send alert-group

特定のアラート グループ メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーションの情報を表示します。

call-party-numbers

H.323 コールの設定時に発信側の番号の送信を適用にするには、パラメータ コンフィギュレーション モードで call-party-numbers コマンドを使用します。このモードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-party-numbers

no call-party-numbers

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、H.323 コールのコール設定時に発信側の番号を適用する例を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-party-numbers

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

capture

パケット スニッフィングおよびネットワーク障害の切り分けのために、パケット キャプチャ機能をイネーブルにするには、特権 EXEC モードで capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ type { asp-drop all [ drop-code ] | tls-proxy | raw-data | isakmp | decrypted | webvpn user webvpn-user [ url url] }] [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ] [ trace trace_count ] [ real-time ] [ dump ] [ detail ] [ trace ] [ match prot { host source- ip | source -ip mask | any }{ host destination- ip | destination -ip mask | any } [ operator port ]

no capture capture-name [ type { asp-drop [ drop-code ] | tls-proxy | raw-data | isakmp | decrypted | webvpn user webvpn-user ] [access-list access_list_name ] [circular-buffer] [interface interface_name ] [ real-time ] [ dump ] [ detail ] [ trace ] [ match prot ] { host source- ip | source -ip mask | any }{ host destination- ip | destination -ip mask | any } [ operator port ]

 
構文の説明

access-list access_list_name

(任意)アクセス リストと一致するトラフィックをキャプチャします。マルチ コンテキスト モードでは、1 つのコンテキスト内でのみこのコマンドを使用できます。

any

単一の IP アドレスおよびマスクではなく、任意の IP アドレスを指定します。

all

適応型セキュリティ アプライアンスがドロップするパケットをすべてキャプチャします。

asp-drop [ drop-code ]

(任意)高速セキュリティ パスでドロップされるパケットをキャプチャします。 drop-code は、高速セキュリティ パスでドロップされるトラフィックのタイプを指定します。ドロップ コードのリストについては、 show asp drop frame コマンドを参照してください。 drop-code 引数を入力しないと、ドロップされるパケットすべてがキャプチャされます。

このキーワードは、 packet-length circular-buffer 、および buffer とともに入力できますが、 interface または ethernet-type とともには入力できません。

buffer buf_size

(任意)パケットの保存に使用するバッファのサイズをバイト単位で定義します。このバイト数のバッファがいっぱいになると、パケット キャプチャは停止します。

capture_name

パケット キャプチャの名前を指定します。複数のタイプのトラフィックをキャプチャするには、複数の capture ステートメントで同じ名前を使用します。 show capture コマンドを使用してキャプチャのコンフィギュレーションを表示すると、すべてのオプションが 1 行にまとめられます。

circular-buffer

(任意)バッファがいっぱいになったとき、バッファを先頭から上書きします。

detail

(任意)各パケットの追加のプロトコル情報を表示します。

dump

(任意)データ リンク トランスポート経由で転送されたパケットの 16 進ダンプを表示します。

decrypted

(任意)復号化 TCP データは、L2-L4 ヘッダーでカプセル化され、キャプチャ エンジンによってキャプチャされます。

ethernet-type type

(任意)キャプチャするイーサネット タイプを選択します。デフォルトは IP パケットです。802.1Q タイプと VLAN タイプでは例外が発生します。802.1Q タグは自動的にスキップされ、照合には内部イーサネット タイプが使用されます。

host ip

パケット送信先ホストの単一の IP アドレスを指定します。

interface interface_name

パケット キャプチャを使用するインターフェイスの名前を設定します。キャプチャするすべてのパケットのインターフェイスを設定する必要があります。複数の capture コマンドで同じ名前を使用して、複数のインターフェイスを設定できます。ASA 5500 シリーズ適応型セキュリティ アプライアンスのデータプレーン上のパケットをキャプチャするには、 interface キーワードとともにインターフェイスの名前として asa_dataplane を使用できます。

isakmp

(任意)ISAKMP トラフィックをキャプチャします。これは、マルチ コンテキスト モードでは使用できません。ISAKMP サブシステムは、上位レイヤ プロトコルにアクセスできません。このキャプチャは、PCAP パーサーを満たすために物理レイヤ、IP レイヤ、および UDP レイヤを組み合わせた疑似キャプチャです。このピア アドレスは、SA 交換から取得され、IP レイヤに保存されます。

mask

IP アドレスのサブネット マスク。ネットワーク マスクを指定する方法は、Cisco IOS ソフトウェアの access-list コマンドと異なります。このセキュリティ アプライアンスは、ネットワーク マスク(たとえば、クラス C マスクの場合は 255.255.255.0)を使用します。Cisco IOS のマスクでは、ワイルドカード ビット(0.0.0.255 など)を使用します。

match prot

5 タプルが一致するパケットを指定し、キャプチャされるこれらのパケットのフィルタリングを許可します。1 行に最大 3 回このキーワードを使用できます。

operator

(任意)発信元または宛先のポート番号を照合します。使用できる演算子は次のとおりです。

lt:未満

gt:より大きい

eq:等しい

packet-length bytes

(任意)キャプチャ バッファに保存する各パケットの最大バイト数を設定します。

port

(任意)プロトコルを tcp または udp に設定する場合、TCP ポートまたは UDP ポートの番号(整数)か名前を指定します。

raw-data

(任意)着信パケットおよび発信パケットを 1 つ以上のインターフェイスでキャプチャします。この設定は、デフォルトです。

real-time

キャプチャしたパケットをリアルタイムで継続的に表示します。リアルタイムのパケット キャプチャを終了するには、 Ctrl+C を押します。このオプションは、 raw-data キャプチャおよび asp-drop キャプチャにだけ適用されます。

tls-proxy

(任意)復号化された着信データおよび発信データを 1 つ以上のインターフェイス上の TLS プロキシからキャプチャします。


) type tls-proxy オプションを使用すると、偽の TCP ハンドシェイク パケットがキャプチャに挿入されます。


trace trace_count

(任意)パケット トレース情報、およびキャプチャするパケット数をキャプチャします。これは、アクセス リストとともに使用され、トレース パケットをデータ パスに挿入して、パケットが想定どおりに処理されているかどうかを判別します。

type

(任意)キャプチャされるデータのタイプを指定します。

url url

(任意)データのキャプチャのために照合する URL プレフィクスを指定します。サーバへの HTTP トラフィックをキャプチャするには、URL の形式として http:// server / path を使用します。サーバへの HTTPS トラフィックをキャプチャするには、https:// server / path を使用します。

user webvpn-user

(任意)WebVPN キャプチャのユーザ名を指定します。

webvpn

(任意)特定の WebVPN 接続の WebVPN データをキャプチャします。

 
デフォルト

デフォルトの設定は次のとおりです。

デフォルトの type raw-data です。

デフォルトの buffer size 512 KB です。

デフォルトのイーサネット タイプは IP です。

デフォルトの packet-length 1518 バイトです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

6.2(1)

このコマンドが追加されました。

7.0(1)

キーワード type asp-drop type isakmp type raw-data 、および type webvpn を含むように変更されました。

7.0(8)

適応型セキュリティ アプライアンスがドロップするパケットをすべてキャプチャするように、all オプションが追加されました。

7.2(1)

オプション trace trace_count match prot real-time host ip any mask 、および operator を含むように変更されました。

8.0(2)

キャプチャした内容にパスを更新するように変更されました。

8.0(4)

キーワード type decrypted を含むように変更されました。

 
使用上のガイドライン

パケット キャプチャは、接続の問題のトラブルシューティングまたは不審なアクティビティのモニタリングを行うときに役立ちます。複数のキャプチャを作成できます。パケット キャプチャを表示するには、 show capture name コマンドを使用します。キャプチャをファイルに保存するには、 copy capture コマンドを使用します。パケット キャプチャ情報を Web ブラウザで表示するには、 https:// 適応型セキュリティ アプライアンス-ip-address / admin /capture/ capture_name [ / pcap ] コマンドを使用します。オプションの pcap キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされ、Web ブラウザを使用してこのファイルを保存できます(libcap ファイルは、TCPDUMP または Ethereal で表示できます)。

バッファの内容を TFTP サーバに ASCII 形式でコピーする場合、パケットの詳細および 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細および 16 進ダンプを表示するには、バッファを PCAP 形式で転送し、TCPDUMP または Ethereal で読み取る必要があります。


) WebVPN キャプチャをイネーブルにすると、適応型セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後、必ずキャプチャをディセーブルにしてください。


オプションのキーワードを指定せずに no capture を入力すると、キャプチャが削除されます。オプションの access-list キーワードを指定すると、このアクセス リストがキャプチャから削除され、キャプチャは保持されます。 interface キーワードを指定すると、指定したインターフェイスからキャプチャが分離され、キャプチャは保持されます。キャプチャ自体をクリアしない場合は、 no capture コマンドをオプションの access-list キーワードまたは interface キーワードのいずれかを指定して入力します。

リアルタイム表示の進行中には、キャプチャに関するあらゆる操作を実行できません。低速のコンソール接続で real-time キーワードを使用すると、パフォーマンスが考慮されて、多数のパケットが非表示になる場合があります。バッファの固定の制限は、1000 パケットです。バッファがいっぱいになると、カウンタはキャプチャしたパケットで維持されます。別のセッションを開く場合、 no capture real-time コマンドを入力して、リアルタイム表示をディセーブルにできます。


capture コマンドは、コンフィギュレーションには保存されません。また、フェールオーバー時にスタンバイ ユニットにコピーされません。


パケットをキャプチャするには、次のコマンドを入力します。

hostname# capture captest interface inside
hostname# capture captest interface outside
 

Web ブラウザ上で、発行された capture コマンドの内容(「captest」という名前)は、次の場所に表示できます。

https://171.69.38.95/admin/capture/captest
 

libpcap ファイル(Web ブラウザが使用)をローカル マシンにダウンロードするには、次のコマンドを入力します。

https://171.69.38.95/capture/http/pcap
 

次に、外部ホスト 171.71.69.234 から内部 HTTP サーバにトラフィックがキャプチャされる例を示します。

hostname# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
hostname# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
hostname# capture http access-list http packet-length 74 interface inside
 

次に、ARP パケットをキャプチャする例を示します。

hostname# capture arp ethernet-type arp interface outside
 

次に、5 つのトレース パケットをデータ ストリームに挿入する例を示します。ここで、 access-list 101 は、TCP プロトコル FTP と一致するトラフィックを定義します。

hostname# capture ftptrace interface outside access-list 101 trace 5
 

トレースされたパケットおよびパケット処理に関する情報をわかりやすく表示するには、 show capture ftptrace コマンドを使用します。

次に、キャプチャしたパケットをリアルタイムで表示する例を示します。

hostname# capture test interface outside real-time
Warning: Using this option with a slow console connection may result in an excess amount of non-displayed packets due to performance limitations.
Use ctrl-c to terminate real-time capture.
 
10 packets displayed
12 packets not displayed due to performance limitations
 

 
関連コマンド

コマンド
説明

clear capture

キャプチャ バッファをクリアします。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

オプションが何も指定されていない場合は、キャプチャのコンフィギュレーションを表示します。

cd

現在の作業ディレクトリから指定したディレクトリに変更するには、特権 EXEC モードで cd コマンドを使用します。

cd [disk0: | disk1: | flash:] [ path ]

 
構文の説明

disk0 :

内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

取り外し可能な外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。

path

(任意)移動先ディレクトリの絶対パス。

 
デフォルト

ディレクトリを指定しないと、ルート ディレクトリに移動します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、「config」ディレクトリに移動する例を示します。

hostname# cd flash:/config/

 
関連コマンド

コマンド
説明

pwd

現在の作業ディレクトリを表示します。

cdp-url

ローカル CA によって発行された証明書に含める CDP を指定するには、CA サーバ コンフィギュレーション モードで cdp-url コマンドを使用します。デフォルトの CDP に戻すには、このコマンドの no 形式を使用します。

[no] cdp-url url

 
構文の説明

url

ローカル CA によって発行された証明書の失効ステータスを検証側が取得する URL を指定します。URL は、英数字 500 文字未満である必要があります。

 
デフォルト

デフォルトの CDP URL は、ローカル CA が含まれる適応型セキュリティ アプライアンスの CDP URL です。デフォルトの URL の形式は、http://hostname.domain/+CSCOCA+/asa_ca.crl です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CDP は、発行された証明書に含めることができる拡張であり、証明書の失効ステータスを検証側が取得できる場所を指定できます。一度に設定できる CDP は 1 つだけです。


) CDP URL が指定された場合、管理者はその場所から現在の CRL にアクセスできるように管理する必要があります。


次に、ローカル CA サーバが発行した証明書に対して、10.10.10.12 の CDP を設定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# cdp-url http://10.10.10.12/ca/crl
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

ローカル CA の設定および管理が可能な CA サーバ コンフィギュレーション モードの CLI コマンド セットへのアクセスを提供します。

crypto ca server crl issue

CRL を強制的に発行します。

crypto ca server revoke

証明書データベースおよび CRL で、ローカル CA サーバによって発行された証明書を失効とマークします。

crypto ca server unrevoke

ローカル CA サーバによって発行され、以前に失効した証明書の失効を取り消します。

lifetime crl

証明書失効リストのライフタイムを指定します。

certificate

指定した証明書を追加するには、クリプト CA 証明書チェーン コンフィギュレーション モードで certificate コマンドを使用します。このコマンドを発行する場合、適応型セキュリティ アプライアンスは、コマンドに含まれているデータを 16 進形式の証明書として解釈します。 quit ストリングは、証明書の末尾を示します。証明書を削除するには、このコマンドの no 形式を使用します。

certificate [ ca | ra-encrypt | ra-sign | ra-general ] certificate-serial-number

no certificate certificate-serial-number

 
構文の説明

 
構文の説明構文の説明

certificate-serial-number

証明書のシリアル番号を quit で終わる 16 進形式で指定します。

ca

証明書が CA 発行の証明書であることを示します。

ra-encrypt

証明書が SCEP で使用される RA キー暗号化証明書であることを示します。

ra-general

証明書が SCEP メッセージングのデジタル署名およびキー暗号化に使用される RA 証明書であることを示します。

ra-sign

証明書が SCEP メッセージングで使用される RA デジタル署名証明書であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クリプト CA 証明書チェーン コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

CA は、メッセージ暗号化のためのセキュリティ クレデンシャルおよび公開キーの発行および管理を行うネットワーク内の組織です。公開キー インフラストラクチャの一部である CA では、RA と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。

次に、シリアル番号 29573D5FF010FE25B45 の CA 証明書を追加する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
30820345 308202EF A0030201 02021029 572A3FF2 96EF854F D0D6732F E25B4530
0D06092A 864886F7 0D010105 05003081 8F311630 1406092A 864886F7 0D010901
16076140 622E636F 6D310B30 09060355 04061302 55533116 30140603 55040813
0D6D6173 73616368 75736574 74733111 300F0603 55040713 08667261 6E6B6C69
6E310E30 0C060355 040A1305 63697363 6F310F30 0D060355 040B1306 726F6F74
6F75311C 301A0603 55040313 136D732D 726F6F74 2D736861 2D30362D 32303031
301E170D 30313036 32363134 31313430 5A170D32 32303630 34313430 3133305A
30818F31 16301406 092A8648 86F70D01 09011607 6140622E 636F6D31 0B300906
03550406 13025553 31163014 06035504 08130D6D 61737361 63687573 65747473
3111300F 06035504 07130866 72616E6B 6C696E31 0E300C06 0355040A 13056369
73636F31 0F300D06 0355040B 1306726F 6F746F75 311C301A 06035504 0313136D
732D726F 6F742D73 68612D30 362D3230 3031305C 300D0609 2A864886 F70D0101
01050003 4B003048 024100AA 3EB9859B 8670A6FB 5E7D2223 5C11BCFE 48E6D3A8
181643ED CF7E75EE E77D83DF 26E51876 97D8281E 9F58E4B0 353FDA41 29FC791B
1E14219C 847D19F4 A51B7B02 03010001 A3820123 3082011F 300B0603 551D0F04
04030201 C6300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E0D412 3ACC96C2 FBF651F3 3F66C0CE A62AB63B 323081CD 0603551D 1F0481C5
3081C230 3EA03CA0 3A86386C 6461703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 3EA03CA0 3A863868 7474703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 40A03EA0 3C863A66 696C653A 2F2F5C5C 77326B61 6476616E 63656473
72765C43 65727445 6E726F6C 6C5C6D73 2D726F6F 742D7368 612D3036 2D323030
312E6372 6C301006 092B0601 04018237 15010403 02010130 0D06092A 864886F7
0D010105 05000341 0056221E 03F377B9 E6900BF7 BCB3568E ADBA146F 3B8A71F3
DF9EB96C BB1873B2 B6268B7C 0229D8D0 FFB40433 C8B3CB41 0E4D212B 2AEECD77
BEA3C1FE 5EE2AB6D 91
quit

 
関連コマンド

コマンド
説明

clear configure crypto map

すべてのクリプト マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

クリプト マップ コンフィギュレーションを表示します。

crypto ca certificate chain

証明書クリプト CA 証明書チェーン モードを開始します。

crypto ca trustpoint

CA トラストポイント モードを開始します。

show running-config crypto map

すべてのクリプト マップのすべてのコンフィギュレーションを表示します。

certificate-group-map

証明書マップのルール エントリをトンネル グループに関連付けるには、webvpn コンフィギュレーション モードで certificate-group-map コマンドを使用します。現在のトンネル グループ マップの関連付けをクリアするには、このコマンドの no 形式を使用します。

certificate-group-map certificate_map_name index tunnel_group_name

no certificate-group-map

 
構文の説明

certificate_map_name

証明書マップの名前。

index

証明書マップのマップ エントリの数値識別子。index の値の範囲は、1 ~ 65535 です。

tunnel_group_name

マップ エントリが証明書と一致する場合に選択されるトンネル グループの名前。 tunnel-group name はすでに存在している必要があります。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

certificate-group-map コマンドが有効な状態で、WebVPN クライアントから受信した証明書がマップ エントリに対応する場合、結果として得られるトンネル グループは、接続に関連付けられ、ユーザが選択したトンネル グループを上書きします。

certificate-group-map コマンドの複数のインスタンスを使用すると、複数のマッピングが可能です。

次に、tgl という名前のトンネル グループにルール 6 を関連付ける例を示します。

hostname(config)# webvpn

hostname(config-webvpn)# certificate-group-map map1 6 tg1
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

証明書の発行者名とサブジェクト Distinguished Name(DN; 認定者名)に基づいて、ルールを設定するために CA 証明書マップ コンフィギュレーション モードを開始します。

tunnel-group-map

証明書ベースの IKE セッションをトンネル グループにマッピングするためのポリシーとルールを設定します。

chain

証明書チェーンの送信をイネーブルにするには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで chain コマンドを使用します。このアクションには、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。

chain

no chain

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次に、トンネル グループ ipsec アトリビュート コンフィギュレーション モードを開始し、IPSec LAN-to-LAN トンネル グループのチェーンを IP アドレス 209.165.200.225 で送信することをイネーブルにする例を示します。このアクションには、ルート証明書およびすべての下位 CA 証明書が含まれます。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

現在のトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

changeto

セキュリティ コンテキストとシステムの間で切り替えを行うには、特権 EXEC モードで changeto コマンドを使用します。

changeto { system | context name }

 
構文の説明

context name

指定した名前のコンテキストに切り替えます。

system

システム実行スペースに切り替えます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインしている場合、コンテキスト間で切り替えを行うことができ、各コンテキスト内でコンフィギュレーションおよびタスクのモニタリングを実行できます。コンフィギュレーション モードでの編集または copy コマンドあるいは write コマンドで使用される「実行」コンフィギュレーションは、ログインしている実行スペースによって異なります。システム実行スペースにログインしている場合、実行コンフィギュレーションは、システム コンフィギュレーションのみで構成されます。コンテキスト実行スペースにログインしている場合、実行コンフィギュレーションは、このコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション(システムおよびすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。

次に、特権 EXEC モードでコンテキストとシステムの間で切り替えを行う例を示します。

hostname/admin# changeto system
hostname# changeto context customerA
hostname/customerA#
 

次に、インターフェイス コンフィギュレーション モードでシステムと管理コンテキストの間で切り替えを行う例を示します。実行スペース間で切り替えを行うときにコンフィギュレーション サブモードにログインしている場合、新しい実行スペースのグローバル コンフィギュレーション モードに変更されます。

hostname(config-if)# changeto context admin
hostname/admin(config)#

 
関連コマンド

コマンド
説明

admin-context

コンテキストを管理コンテキストに設定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

character-encoding

WebVPN ポータル ページでグローバルな文字エンコーディングを指定するには、webvpn コンフィギュレーション モードで character-encoding コマンドを使用します。character-encoding アトリビュートの値を削除するには、このコマンドの no 形式を使用します。

character-encoding charset

no character-encoding [ charset ]

 
構文の説明

charset

最大 40 文字から成るストリングで、 http://www.iana.org/assignments/character-sets で特定されている有効な文字セットのいずれかに相当するもの。上記のページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

このストリングは、大文字と小文字が区別されません。コマンド インタープリタは、適応型セキュリティ アプライアンス コンフィギュレーションで、大文字を小文字に変換します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

文字エンコーディング (「文字コーディング」または「文字セット」とも呼ばれます)は、raw データ(0 と 1 からなるデータなど)と文字をペアにすることで、データを表します。使用する文字エンコーディング方式は、言語によって異なります。一部の言語は同じ方式を使用していますが、異なる方式を使用している言語もあります。通常、ブラウザで使用されるデフォルトのエンコーディング方式は地域によって決まりますが、ユーザはこの方式を変更できます。ブラウザは、ページで指定されているエンコーディングを検出し、これに応じて文書を処理することもできます。character-encoding アトリビュートを使用すると、ユーザは、文字エンコーディング方式の値を WebVPN ポータル ページに指定し、ブラウザを使用している地域やブラウザに対して行われたあらゆる変更に関係なく、ブラウザでこのページを適切に処理できます。

character-encoding アトリビュートは、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、ユーザは、character-encoding アトリビュートの値と異なる文字エンコーディングを使用する Common Internet File System サーバの file-encoding アトリビュートを上書きできます。異なる文字エンコーディングが必要な CIFS サーバには異なるファイル エンコーディング値を使用します。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding アトリビュートの値を符号化します。符号化が行われなかった場合は、character-encoding アトリビュートの値を継承します。リモート ユーザのブラウザは、この値を文字エンコーディング セットのエントリにマッピングして、使用する適切な文字セットを決定します。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されておらず、character-encoding アトリビュートも設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザでサポートされていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自身のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding アトリビュートによって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。


) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを除外するものではありません。Shift_JIS 文字エンコーディングを使用している場合、次の例に示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用して、これらの値の 1 つの設定を補完して、フォント ファミリを置き換える必要があります。あるいは、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力して、このフォント ファミリを削除する必要があります。


このアトリビュートに値が含まれていない場合、WebVPN ポータル ページの文字セットは、リモート ブラウザに設定されているエンコーディング タイプによって決まります。

次に、日本語 Shift_JIS 文字をサポートする character-encoding アトリビュートを設定し、フォント ファミリを削除し、デフォルトの背景色を保持する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# character-encoding shift_jis
F1-asa1(config-webvpn)# customization DfltCustomization
F1-asa1(config-webvpn-custom)# page style background-color:white
F1-asa1(config-webvpn-custom)#

 
関連コマンド

コマンド
説明

file-encoding

CIFS サーバおよび関連する文字エンコーディングを指定し、このアトリビュートの値を上書きします。

show running-config [ all ] webvpn

WebVPN の実行コンフィギュレーションを表示します。デフォルトのコンフィギュレーションを含めるには、 all キーワードを使用します。

debug webvpn cifs

CIFS についてのデバッグ メッセージを表示します。

checkheaps

checkheaps 検証の間隔を設定するには、グローバル コンフィギュレーション モードで checkheaps コマンドを使用します。この値をデフォルトに設定するには、このコマンドの no 形式を使用します。checkheaps は、ヒープ メモリ バッファ(ダイナミック メモリは、システムのヒープ メモリ領域から割り当てられます)の健全性、およびコード領域の整合性を検証する定期的なプロセスです。

checkheaps { check-interval | validate-checksum } seconds

no checkheaps { check-interval | validate-checksum } [ seconds ]

 
構文の説明

check-interval

バッファ検証の間隔を設定します。バッファ検証プロセスでは、ヒープ(割り当てられ、解放されたメモリ バッファ)の健全性がチェックされます。このプロセスの各呼び出しの間、適応型セキュリティ アプライアンスはヒープ全体をチェックし、各メモリ バッファを検証します。不一致がある場合、適応型セキュリティ アプライアンスは、「バッファ割り当てエラー」または「バッファ解放エラー」を発行します。エラーがある場合、適応型セキュリティ アプライアンスは可能であればトレースバック情報をダンプし、リロードします。

validate-checksum

コード スペースのチェックサム検証間隔を設定します。最初に適応型セキュリティ アプライアンスを起動するときに、適応型セキュリティ アプライアンスはコード全体のハッシュを計算します。その後、適応型セキュリティ アプライアンスは、定期チェックの間に新しいハッシュを生成し、元のハッシュと比較します。不一致がある場合、適応型セキュリティ アプライアンスは「テキスト チェックサム checkheaps エラー」を発行します。エラーがある場合、適応型セキュリティ アプライアンスは可能であればトレースバック情報をダンプし、リロードします。

seconds

1 ~ 2147483 の間隔を秒単位で設定します。

 
デフォルト

デフォルトの間隔はそれぞれ 60 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、バッファ割り当て間隔を 200 秒、コード スペースのチェックサムの間隔を 500 秒に設定する例を示します。

hostname(config)# checkheaps check-interval 200
hostname(config)# checkheaps validate-checksum 500
 

 
関連コマンド

コマンド
説明

show checkheaps

checkheaps 統計情報を表示します。

check-retransmission

TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

check-retransmission

no check-retransmission

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドを Modular Policy Framework インフラストラクチャとともに使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドを使用して TCP インスペクションをカスタマイズします。その新しい TCP マップを、 policy-map コマンドを使用して適用します。TCP インスペクションを、 service-policy コマンドを使用してアクティブにします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードを開始します。矛盾する再送信をエンド システムが解釈する際に生じる TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

適応型セキュリティ アプライアンスは、再送信のデータが元のデータと同じかどうかを確認しようとします。データが一致しない場合、接続が適応型セキュリティ アプライアンスによってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは順序どおりにのみ許可されます。詳細については、 queue-limit コマンドを参照してください。

次に、すべての TCP フローで TCP チェック再送信機能をイネーブルにする例を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# check-retransmission
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map class 、および description コマンドの構文ヘルプを表示します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続の値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

checksum-verification

TCP チェックサムの検証をイネーブルまたはディセーブルにするには、tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

checksum-verification

no checksum-verification

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

チェックサムの検証は、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドを Modular Policy Framework インフラストラクチャとともに使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドを使用して TCP インスペクションをカスタマイズします。その新しい TCP マップを、 policy-map コマンドを使用して適用します。TCP インスペクションを、 service-policy コマンドを使用してアクティブにします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの検証をイネーブルにします。このチェックに失敗すると、パケットはドロップされます。

次に、10.0.0.0 ~ 20.0.0.0 の TCP 接続で TCP チェックサムの検証をイネーブルにする例を示します。

hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# checksum-verification
 
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP1
 
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
 
hostname(config)# service-policy pmap global

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map class 、および description コマンドの構文ヘルプを表示します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続の値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

cipc security-mode authenticated

Cisco IP Communicator(CIPC)Softphone を音声 VLAN シナリオまたはデータ VLAN シナリオに導入する場合に、強制的に CIPC Softphone を認証済みモードで動作させるには、電話プロキシ コンフィギュレーション モードで cipc security-mode authenticated コマンドを使用します。

CIPC Softphone が暗号化をサポートしている場合に、このコマンドをオフにするには、このコマンドの no 形式を使用します。

cipc security-mode authenticated

no cipc security-mode authenticated

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドは、no 形式によってディセーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

電話プロキシ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

データ VLAN に影響を及ぼそうとするセキュリティ上の脅威から音声ストリームを守るために、複数の VLAN を使用して音声とデータのトラフィックを分離することがセキュリティ上のベスト プラクティスです。ただし、Cisco IP Communicator(CIPC)Softphone アプリケーションは、それぞれの IP Phone に接続する必要があります。IP Phone は、音声 VLAN に常駐しています。この要件により、音声 VLAN とデータ VLAN を分離することが問題になります。これは、SIP プロトコルおよび SCCP プロトコルが広範囲のポートで RTP ポートおよび RTCP ポートをダイナミックにネゴシエートするためです。このダイナミック ネゴシエーションでは、特定の範囲のポートを 2 つの VLAN の間で開く必要があります。


) 認証済みモードをサポートしていない旧バージョンの CIPC は、電話プロキシではサポートされていません。


データ VLAN と音声 VLAN の間でのアクセスを広範囲のポートで行わずに、データ VLAN 上の CIPC Softphone を音声 VLAN 上の該当する IP Phone と接続するには、 cipc security-mode authenticated コマンドを使用して電話プロキシを設定します。

このコマンドを使用すると、電話プロキシが CIPC コンフィギュレーション ファイルを参照し、CIPC Softphone が強制的に(暗号化済みモードではなく)認証済みモードになります。これは、現在のバージョンの CIPC が暗号化済みモードをサポートしていないためです。

このコマンドがイネーブルの場合、電話プロキシは、電話コンフィギュレーション ファイルを解析し、電話が CIPC Softphone かどうかを判別し、セキュリティ モードを認証済みに変更します。またデフォルトでは、電話プロキシがすべての電話を強制的に暗号化済みモードにしている間だけ、CIPC Softphone は認証済みモードをサポートします。

次に、 cipc security-mode authenticated コマンドを使用して、音声 VLAN シナリオまたはデータ VLAN シナリオに Cisco IP Communicator(CIPC)Softphone を導入するときに CIPC Softphone を強制的に認証済みモードで動作させる例を示します。

hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)#cipc security-mode authenticated
 

 
関連コマンド

コマンド
説明

phone-proxy

電話プロキシ インスタンスを設定します。

class(グローバル)

セキュリティ コンテキストの割り当て先のリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

class name

no class name

 
構文の説明

name

名前を最大 20 文字のストリングとして指定します。デフォルト クラスに関する制限を設定するには、 default という名前を入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストが適応型セキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つまたは複数のコンテキストがリソースを大量に消費しているために、他のコンテキストで接続が拒否されていることがわかった場合などは、リソース管理を設定することによって、リソースの使用をコンテキストごとに制限できます。

適応型セキュリティ アプライアンスでは、コンテキストをリソース クラスに割り当てることでリソースを管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。

クラスを作成すると、適応型セキュリティ アプライアンスは、クラスに割り当てられる各コンテキストに対してリソースの一部を確保しなくなります。その代わりに、適応型セキュリティ アプライアンスは、コンテキストの上限を設定します。リソースをオーバーサブスクライブした場合や、一部のリソースを無制限に許可した場合は、いくつかのコンテキストがそれらのリソースを使い果たして、他のコンテキストへのサービスに影響を及ぼす可能性があります。クラス用のリソースを設定するには、 limit-resource コマンドを参照してください。

すべてのコンテキストは、別のクラスに割り当てられていない場合、デフォルト クラスに属します。コンテキストをデフォルト クラスに割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属している場合、そのクラスの設定によってデフォルト クラスの設定は必ず上書きされます。ただし、デフォルト以外のクラスで定義されていない設定がある場合、このメンバー コンテキストはこれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2% の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。逆に、すべてのリソースに対する制限を設定してクラスを作成した場合、そのクラスはデフォルト クラスの設定を使用しません。

デフォルトでは、デフォルト クラスは、すべてのコンテキストにリソースへのアクセスを無制限に提供します。ただし、次の制限が適用されます(この制限は、デフォルトではコンテキストあたりの最大許容値が設定されます)。

Telnet セッション:5 セッション。

SSH セッション:5 セッション。

MAC アドレス:65,535 エントリ。

次に、conns に関するデフォルト クラスの制限値を、無制限から 10% に設定し直す例を示します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のリソースは、すべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

 
関連コマンド

コマンド
説明

clear configure class

クラス コンフィギュレーションをクリアします。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスのリソース制限を設定します。

member

リソース クラスにコンテキストを割り当てます。

show class

クラスに割り当てられているコンテキストを表示します。

class(ポリシー マップ)

クラス マップ トラフィックにアクションを割り当てることができるポリシー マップにクラス マップを割り当てるには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。ポリシー マップからクラス マップを削除するには、このコマンドの no 形式を使用します。

class classmap_name

no class classmap_name

 
構文の説明

classmap_name

クラス マップの名前を指定します。レイヤ 3/4 ポリシー マップ( policy-map コマンド)の場合、レイヤ 3/4 クラス マップ名( class-map コマンドまたは class-map type management コマンド)を指定する必要があります。インスペクション ポリシー マップ( policy-map type inspect コマンド)の場合、インスペクション クラス マップ名( class-map type inspect コマンド)を指定する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

class コマンドを使用するには、Modular Policy Framework を使用します。レイヤ 3/4 ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map :アクションを実行するトラフィックを指定します。

2. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. サポートされている機能のコマンド :特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP および UDP 接続の制限とタイムアウト、TCP の正規化など、さまざまな機能に関する多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. service-policy :ポリシー マップをインターフェイスに割り当てるか、またはグローバルに割り当てます。

インスペクション ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map type inspect :アクションを実行するトラフィックを指定します。

2. policy-map type inspect :各クラス マップに関連付けられているアクションを指定します。

a. class :アクションを実行するインスペクション クラス マップを指定します。

b. アプリケーション タイプのコマンド :各アプリケーション タイプで使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。インスペクション ポリシー マップのクラス コンフィギュレーション モードでサポートされているアクションには、次のものが含まれます。

パケットのドロップ

接続のドロップ

接続のリセット

ロギング

メッセージのレートの制限

コンテンツのマスキング

c. parameters :インスペクション エンジンに影響を及ぼすパラメータを設定します。CLI は、パラメータ コンフィギュレーション モードを開始します。使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. class-map :アクションを実行するトラフィックを指定します。

4. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するレイヤ 3/4 クラス マップを指定します。

b. inspect application inspect_policy_map :アプリケーション インスペクションをイネーブルにし、特別なアクションを実行するインスペクション ポリシー マップを呼び出します。

5. service-policy :ポリシー マップをインターフェイスに割り当てるか、またはグローバルに割り当てます。

このコンフィギュレーションには、すべてのトラフィックと一致する、 class-default と呼ばれるクラス マップが必ず含まれています。各レイヤ 3/4 ポリシー マップの末尾には、アクションが定義されていない class-default クラス マップがコンフィギュレーションに含まれています。すべてのトラフィックと照合するが、別のクラス マップを作成しない場合、このクラス マップをオプションで使用できます。実際、一部の機能は、 class-default クラス マップ用にのみ設定できます( shape コマンドなど)。

class-default クラス マップを含めて、最大 63 個の class コマンドおよび match コマンドをポリシー マップに設定できます。

次に、 class コマンドを含む、接続ポリシーの policy-map コマンドの例を示します。Web サーバ 10.1.1.1 に対する接続許可数を制限します。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次に、ポリシー マップでの複数一致の動作例を示します。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次に、トラフィックが利用可能な最初のクラス マップと一致し、同じ機能ドメインのアクションを指定している後続のクラス マップとは一致しない例を示します。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続が開始されると、その接続は class telnet_traffic と一致します。同様に、FTP 接続が開始された場合は、 class ftp_traffic と一致します。Telnet および FTP 以外の TCP 接続については、いずれも class tcp_traffic と一致します。Telnet または FTP 接続は class tcp_traffic と一致できますが、すでに他のクラスと一致しているため、適応型セキュリティ アプライアンスはこの一致を行いません。

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

class-map type management

管理トラフィック用のレイヤ 3/4 クラス マップを作成します。

clear configure policy-map

service-policy コマンドで使用中のポリシー マップを除く、すべてのポリシー マップ コンフィギュレーションを削除します。

match

トラフィック照合パラメータを定義します。

policy-map

ポリシー(それぞれが 1 つ以上のアクションを持つ 1 つ以上のトラフィック クラスの関連付け)を設定します。

class-map

モジュラ ポリシー フレームワークを使用するとき、グローバル コンフィギュレーション モードで class-map コマンド( type キーワードは指定しない)を使用して、アクションを適用するレイヤ 3 またはレイヤ 4 のトラフィックを指定します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map class_map_name

no class-map class_map_name

 
構文の説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前、および「_internal」または「_default」で始まるすべての名前は予約されています。すべてのタイプのクラス マップで同じネーム スペースを使用するため、他のタイプのクラス マップですでに使用されている名前を再使用することはできません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 通過トラフィック専用です。適応型セキュリティ アプライアンス宛ての管理トラフィックについては、 class-map type management コマンドを参照してください。

レイヤ 3/4 クラス マップは、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを指定します。レイヤ 3/4 ポリシー マップそれぞれに、複数のレイヤ 3/4 クラス マップを作成できます。

デフォルトのクラス マップ

このコンフィギュレーションには、適応型セキュリティ アプライアンスがデフォルトのグローバル ポリシーで使用する、デフォルトのレイヤ 3/4 クラス マップが含まれています。これは、 inspection_default と呼ばれ、デフォルト インスペクション トラフィックと一致します。

class-map inspection_default
match default-inspection-traffic
 

デフォルトのコンフィギュレーションに存在する別のクラス マップは、class-default と呼ばれ、これはすべてのトラフィックと一致します。

class-map class-default
match any
 

このクラス マップは、すべてのレイヤ 3/4 ポリシー マップの末尾にあり、基本的に他のすべてのトラフィックに対してアクションを実行しないように適応型セキュリティ アプライアンスに指示します。独自の match any クラス マップを作成するのではなく、必要に応じて class-default クラス マップを使用できます。実際、一部の機能は class-default でのみ使用できます(QoS トラフィック シェーピングなど)。

最大クラス マップ

シングル モード、またはマルチ モードのコンテキストごとの、すべてのタイプのクラス マップの最大数は 255 です。クラス マップには次のタイプがあります。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプ インスペクション コンフィギュレーション モードの match コマンド

この制限には、すべてのタイプのデフォルトのクラス マップも含まれます。

コンフィギュレーションの概要

Modular Policy Framework の設定手順は、次の 4 つの作業で構成されます。

1. class-map または class-map type management コマンドを使用して、アクションを適用するレイヤ 3 およびレイヤ 4 トラフィックを識別します。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、クラス マップに含まれているトラフィックを指定する、 match コマンド( match tunnel-group コマンドおよび match default-inspection-traffic コマンドを除く)が 1 つだけ含まれています。

次に、4 つのレイヤ 3/4 クラス マップを作成する例を示します。

hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
 
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
 
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
 
hostname(config-cmap)# class-map all_http
hostname(config-cmap)# description "This class-map matches all HTTP traffic"
hostname(config-cmap)# match port tcp eq http
 
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
 

 
関連コマンド

コマンド
説明

class-map type management

適応型セキュリティ アプライアンスへのトラフィック用のクラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションのための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type inspect

モジュラ ポリシー フレームワーク の使用時に、グローバル コンフィギュレーション モードで class-map type inspect コマンドを使用して、インスペクション アプリケーション固有の基準を照合します。インスペクション クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type inspect application [ match-all | match-any] class_map_name

no class-map [ type inspect application [ match-all | match-any ]] class_map_name

 
構文の説明

application

照合するアプリケーション トラフィックのタイプを指定します。指定可能なタイプは、次のとおりです。

dns

ftp

h323

http

im

sip

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前、および「_internal」または「_default」で始まるすべての名前は予約されています。すべてのタイプのクラス マップで同じネーム スペースを使用するため、他のタイプのクラス マップですでに使用されている名前を再使用することはできません。

match-all

(任意)トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。オプションを指定しない場合、 match-all がデフォルトです。

match-any

(任意)トラフィックがクラス マップと一致するには、1 つ以上の基準と一致する必要があることを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

match-any キーワードが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、数多くのアプリケーション インスペクションのための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにする場合、オプションで、 インスペクション ポリシー マップ に定義されたアクションをイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

インスペクション ポリシー マップでは、インスペクション クラス マップを作成して、対象とするトラフィックを指定できます。このクラス マップには、1 つ以上の match コマンドが含まれます(あるいは、単一の基準とアクションをペアにする場合は、インスペクション ポリシー マップで match コマンドを直接使用できます)。アプリケーション固有の基準を照合できます。たとえば、DNS トラフィックの場合、DNS クエリーでドメイン名を照合できます。

クラス マップは、(match-all クラス マップ内で)複数のトラフィック照合をグループ化するか、または(match-any クラス マップ内で)照合のリストのいずれかを照合できます。クラス マップを作成することと、インスペクション ポリシーでトラフィック照合を直接定義することとの相違は、クラス マップでは、複数の match コマンドをグループ化でき、クラス マップを再使用できることです。このクラス マップで指定するトラフィックの場合、インスペクション ポリシー マップでアクション(接続のドロップ、リセット、ログへの記録など)を指定できます。

シングル モード、またはマルチ モードのコンテキストごとの、すべてのタイプのクラス マップの最大数は 255 です。クラス マップには次のタイプがあります。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプ インスペクション コンフィギュレーション モードの match コマンド

この制限には、すべてのタイプのデフォルトのクラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、すべての基準と一致する必要がある HTTP クラス マップを作成する例を示します。

hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
 

次に、基準のいずれかと一致すればよい HTTP クラス マップを作成する例を示します。

hostname(config-cmap)# class-map type inspect http match-any monitor-http
hostname(config-cmap)# match request method get
hostname(config-cmap)# match request method put
hostname(config-cmap)# match request method post

 
関連コマンド

コマンド
説明

class-map

通過トラフィック用のレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションのための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type management

モジュラ ポリシー フレームワーク を使用するとき、グローバル コンフィギュレーション モードで class-map type management コマンドを使用して、アクションを適用する適応型セキュリティ アプライアンス宛ての、レイヤ 3 またはレイヤ 4 の管理トラフィックを指定します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type management class_map_name

no class-map type management class_map_name

 
構文の説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前、および「_internal」または「_default」で始まるすべての名前は予約されています。すべてのタイプのクラス マップで同じネーム スペースを使用するため、他のタイプのクラス マップですでに使用されている名前を再使用することはできません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

適応型セキュリティ アプライアンスに向かう管理トラフィックの場合、レイヤ 3/4 管理クラス マップに set connection コマンドが使用できるようになりました。 conn-max および embryonic-conn-max キーワードのみ使用できます。

 
使用上のガイドライン

このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド( type キーワードは指定しない)を参照してください。

適応型セキュリティ アプライアンス宛ての管理トラフィックでは、この種のトラフィック固有のアクションを実行する必要がある場合があります。ポリシー マップで管理クラス マップ用に使用可能なアクションのタイプは、管理トラフィック専用です。たとえば、このタイプのクラス マップでは、RADIUS アカウンティング トラフィックをインスペクトして、接続制限を設定できます。

レイヤ 3/4 クラス マップは、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを指定します。シングル モード、またはマルチ モードのコンテキストごとの、すべてのタイプのクラス マップの最大数は 255 です。

レイヤ 3/4 ポリシー マップそれぞれに、複数のレイヤ 3/4 クラス マップ(管理トラフィックまたは通過トラフィック)を作成できます。

Modular Policy Framework の設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドおよび class-map type management コマンドを使用して、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを識別します。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map type management コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。アクセス リストまたは TCP ポートあるいは UDP ポートを照合できる管理クラス マップを指定できます。レイヤ 3/4 クラス マップには、クラス マップに含まれるトラフィックを指定する match コマンドが 1 つだけが含まれています。

シングル モード、またはマルチ モードのコンテキストごとの、すべてのタイプのクラス マップの最大数は 255 です。クラス マップには次のタイプがあります。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプ インスペクション コンフィギュレーション モードの match コマンド

この制限には、すべてのタイプのデフォルトのクラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、レイヤ 3/4 管理クラス マップを作成する例を示します。

hostname(config)# class-map type management radius_acct
hostname(config-cmap)# match port tcp eq 10000
 

 
関連コマンド

コマンド
説明

class-map

通過トラフィック用のレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションのための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type regex

モジュラ ポリシー フレームワークを使用するとき、グローバル コンフィギュレーション モードで class-map type regex コマンドを使用して、テキストの照合に使用する正規表現をグループ化します。正規表現クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type regex match-any class_map_name

no class-map [ type regex match-any ] class_map_name

 
構文の説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前、および「_internal」または「_default」で始まるすべての名前は予約されています。すべてのタイプのクラス マップで同じネーム スペースを使用するため、他のタイプのクラス マップですでに使用されている名前を再使用することはできません。

match-any

トラフィックが正規表現のいずれかとだけ一致する場合でも、このトラフィックがクラス マップと一致しているとすることを指定します。 match-any が唯一のオプションです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、数多くのアプリケーション インスペクションのための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにする場合、オプションで、 インスペクション ポリシー マップ に定義されたアクションをイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

インスペクション ポリシー マップで 1 つ以上の match コマンドを含むインスペクション クラス マップを作成することによって、対象とするトラフィックを識別したり、インスペクション ポリシー マップで直接 match コマンドを使用したりできます。一部の match コマンドでは、正規表現を使用してパケット内のテキストを識別することができます。たとえば、HTTP パケット内の URL ストリングを照合できます。正規表現クラス マップで正規表現をグループ化できます。

正規表現クラス マップを作成する前に、 regex コマンドを使用して、正規表現を作成します。次に、 match regex コマンドを使用して、クラス マップ コンフィギュレーション モードで名前を付けられた正規表現を指定します。

シングル モード、またはマルチ モードのコンテキストごとの、すべてのタイプのクラス マップの最大数は 255 です。クラス マップには次のタイプがあります。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプ インスペクション コンフィギュレーション モードの match コマンド

この制限には、すべてのタイプのデフォルトのクラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、2 つの正規表現を作成し、これを正規表現クラス マップに追加する例を示します。トラフィックに「example.com」または「example2.com」というストリングが含まれている場合、このトラフィックはクラス マップと一致しています。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックを照合するインスペクション クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションのための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

regex

正規表現を作成します。

clear aaa local user fail-attempts

ユーザのロック アウト ステータスを変更しないで、ユーザ認証失敗試行回数を 0 にリセットするには、特権 EXEC モードで clear aaa local user fail-attempts コマンドを使用します。

clear aaa local user authentication fail-attempts { username name | all }

 
構文の説明

all

すべてのユーザの失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタを 0 にリセットする特定のユーザ名を指定します。

username

次のパラメータが、失敗試行カウンタを 0 にリセットするユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ユーザが認証試行を何回か失敗した後に、ユーザ認証を失敗にするには、このコマンドを使用します。

設定された認証試行の失敗数に達すると、ユーザは、システムからロック アウトされ、システム管理者がこのユーザ名のロックを解除するか、またはシステムをリブートするまで、正常にログインできません。ユーザが正常に認証されるか、または適応型セキュリティ アプライアンスをリブートすると、失敗試行数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。また、コンフィギュレーションが変更されると、システムがカウンタを 0 にリセットします。

ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。特権レベル 15 のシステム管理者は、ロック アウトされません。

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts username anyuser
hostname(config)#
 

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts all
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

許可されるユーザ認証失敗試行回数の制限を設定します。

clear aaa local user lockout

ユーザのロックアウト ステータスを変更しないで、ユーザ認証失敗試行回数をリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa local user lockout

指定したユーザのロックアウト ステータスをクリアし、失敗試行カウンタを 0 に設定するには、特権 EXEC モードで clear aaa local user lockout コマンドを使用します。

clear aaa local user lockout { username name | all}

 
構文の説明

all

すべてのユーザの失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタを 0 にリセットする特定のユーザ名を指定します。

username

次のパラメータが、失敗試行カウンタを 0 にリセットするユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

username オプションを使用して単一のユーザを指定することも、 all オプションを使用してすべてのユーザを指定することもできます。

このコマンドは、ロック アウトされているユーザのステータスにのみ影響します。

管理者をデバイスからロック アウトすることはできません。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

次に、 clear aaa local user lockout コマンドを使用して、ユーザ名 anyuser のロックアウト状態をクリアし、失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user lockout username anyuser
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

許可されるユーザ認証失敗試行回数の制限を設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更しないで、ユーザ認証失敗試行回数をリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa-server statistics

AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。

clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
構文の説明

LOCAL

(任意)LOCAL ユーザ データベースの統計情報をクリアします。

groupname

(任意)グループ内のサーバの統計情報をクリアします。

host hostname

(任意)グループ内の特定のサーバの統計情報をクリアします。

protocol protocol

(任意)次に指定するプロトコルのサーバの統計情報をクリアします。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

すべてのグループのすべての AAA サーバの統計情報を削除します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、CLI ガイドラインに準拠するように変更されました。プロトコルの値において、以前の nt-domain から nt に、以前の rsa-ace から sdi に置き換えられました。

次に、グループ内の特定のサーバの AAA 統計情報をリセットするコマンドを示します。

hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
 

次に、サーバ グループ全体の AAA 統計情報をリセットするコマンドを示します。

hostname(config)# clear aaa-server statistics svrgrp1
 

次に、すべてのサーバ グループの AAA 統計情報をリセットするコマンドを示します。

hostname(config)# clear aaa-server statistics
 

次に、特定のプロトコル(この場合は TACACS+)の AAA 統計情報をリセットするコマンドを示します。

hostname(config)# clear aaa-server statistics protocol tacacs+

 
関連コマンド

コマンド
説明

aaa-server protocol

AAA サーバ接続データのグループ化の指定および管理を行います。

clear configure aaa-server

デフォルト以外のすべての AAA サーバ グループを削除するか、または指定したグループをクリアします。

show aaa-server

AAA サーバ統計情報を表示します。

show running-config aaa-server

現在の AAA サーバ コンフィギュレーションの値を表示します。

clear access-list

アクセスリスト カウンタをクリアするには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。

clear access-list [ id ] counters

 
構文の説明

counters

アクセス リスト カウンタをクリアします。

id

(任意)アクセス リストの名前または番号。

 
デフォルト

すべてのアクセス リスト カウンタがクリアされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

clear access-list コマンドを入力すると、 id を指定していない場合、すべてのアクセス リスト カウンタがクリアされます

次に、特定のアクセス リスト カウンタをクリアする例を示します。

hostname# clear access-list inbound counters
 

 
関連コマンド

コマンド
説明

access-list extended

コンフィギュレーションにアクセス リストを追加して、ファイアウォール経由の IP トラフィックのポリシーを設定します。

access-list standard

OSPF 再配布のルート マップで使用できる、OSPF ルートの宛先 IP アドレスを指定するアクセス リストを追加します。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

セキュリティ アプライアンスで実行中のアクセス リスト コンフィギュレーションを表示します。

clear arp

ダイナミック ARP エントリまたは ARP 統計情報をクリアするには、特権 EXEC モードで clear arp コマンドを使用します。

clear arp [ statistics ]

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、すべての ARP 統計情報をクリアする例を示します。

hostname# clear arp statistics
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

clear asp drop

高速セキュリティ パスのドロップ統計情報をクリアするには、特権 EXEC モードで clear asp drop コマンドを使用します。

clear asp drop [ flow type | frame type ]

 
構文の説明

flow

(任意)ドロップされたフロー統計情報をクリアします。

frame

(任意)ドロップされたパケット統計情報をクリアします。

type

(任意)特定のプロセスのためにドロップされたフロー統計情報またはパケット統計情報をクリアします。タイプのリストについては、「 使用上のガイドライン 」を参照してください。

 
デフォルト

デフォルトでは、このコマンドを使用すると、すべてのドロップ統計情報がクリアされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

プロセス タイプには、次のものが含まれます。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次に、すべてのドロップ統計情報をクリアする例を示します。

hostname# clear asp drop
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットの高速セキュリティ パス カウンタを表示します。

clear asp table

asp arp テーブルまたは asp classify テーブルのいずれか、あるいはこの両方でヒット カウンタをクリアするには、特権 EXEC モードで clear asp table コマンドを使用します。

clear asp table [ arp | classify ]

 
構文の説明

arp

asp arp テーブルのみでヒット カウンタをクリアします。

classify

asp classify テーブルのみでヒット カウンタをクリアします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(4)

このコマンドが追加されました。

 
使用上のガイドライン

clear asp table コマンドでヒットを指定するオプションは arp と classify の 2 つだけです。

次に、すべてのドロップ統計情報をクリアする例を示します。

hostname# clear asp table
 
Warning: hits counters in asp arp and classify tables are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname#clear asp table arp
Warning: hits counters in asp arp table are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname#clear asp table classify
Warning: hits counters in classify tables are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname(config)# clear asp table
Warning: hits counters in asp tables are cleared, which might impact the hits statistics of other modules and output of other "show" commands! hostname# sh asp table arp
 
Context: single_vf, Interface: inside 10.1.1.11 Active 00e0.8146.5212 hits 0
 
Context: single_vf, Interface: identity :: Active 0000.0000.0000 hits 0 0.0.0.0 Active 0000.0000.0000 hits 0

 
関連コマンド

コマンド
説明

show asp table arp

高速セキュリティ パスの内容を表示します。この情報は、問題のトラブルシューティングに役立つ場合があります。

clear blocks

最低水準点や履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。

clear blocks

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

最低水準点カウンタを各プール内で現在使用可能なブロックにリセットします。また、このコマンドは、前回のバッファ割り当ての失敗時に保存された履歴情報をクリアします。

次に、ブロックをクリアする例を示します。

hostname# clear blocks
 

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てるメモリを増やします。

show blocks

システム バッファの使用状況を表示します。

clear-button

WebVPN ユーザがセキュリティ アプライアンスに接続したときに表示される WebVPN ページ ログイン フィールドの [Clear] ボタンをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで clear-button コマンドを使用します。このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

clear-button { text | style } value

no clear-button [{ text | style }] value

 
構文の説明

style

スタイルを変更することを指定します。

text

テキストを変更することを指定します。

value

実際の表示テキスト(最大 256 文字)、または Cascading Style Sheet(CSS; カスケーディング スタイル シート)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのテキストは「Clear」です。

デフォルトのスタイルは、
border:1px solid black;background-color:white;font-weight:bold;font-size:80% です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは、有効な Cascading Style Sheet(CSS; カスケーディング スタイル シート)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。


次に、[Clear] ボタンのデフォルトの背景色を黒から青に変更する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# clear-button style background-color:blue

 
関連コマンド

コマンド
説明

login-button

WebVPN ページの Login フィールドのログイン ボタンをカスタマイズします。

login-title

WebVPN ページの Login フィールドのタイトルをカスタマイズします。

group-prompt

WebVPN ページの Login フィールドのグループ プロンプトをカスタマイズします。

password-prompt

WebVPN ページの Login フィールドのパスワード プロンプトをカスタマイズします。

username-prompt

WebVPN ページの Login フィールドのユーザ名プロンプトをカスタマイズします。

clear capture

キャプチャ バッファをクリアするには、特権 EXEC コンフィギュレーション モードで clear capture capture_name コマンドを使用します。

clear capture capture_name

 
構文の説明

capture_name

パケット キャプチャの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

誤ってすべてのパケット キャプチャを破棄することを防止するために、 clear capture の短縮形(たとえば、 cl cap clear cap )は、サポートされていません。

次に、キャプチャ バッファ「example」のキャプチャ バッファをクリアする例を示します。

hostname(config)# clear capture example
 

 
関連コマンド

コマンド
説明

capture

パケット スニッフィングおよびネットワーク障害の切り分けのために、パケット キャプチャ機能をイネーブルにします。

show capture

オプションが何も指定されていない場合は、キャプチャのコンフィギュレーションを表示します。

clear compression

すべての SVC および WebVPN の接続の圧縮統計情報をクリアするには、特権 EXEC モードで clear compression コマンドを使用します。

clear compression { all | svc | http-comp }

 
構文の説明

all

すべての圧縮統計情報をクリアします。

http-comp

HTTP-COMP 統計情報をクリアします。

svc

SVC 圧縮統計情報をクリアします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次に、ユーザの圧縮コンフィギュレーションをクリアする例を示します。

hostname# clear configure compression

 
関連コマンド

コマンド
説明

compression

すべての SVC および WebVPN 接続で、圧縮をイネーブルにします。

svc compression

特定のグループまたはユーザに対して、SVC 接続経由でのデータの圧縮をイネーブルにします。