Cisco Security Manager 4.0 ユーザ ガイド
FlexConfig の管理
FlexConfig の管理
発行日;2012/02/02 | 英語版ドキュメント(2010/06/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

FlexConfig の管理

FlexConfig ポリシーとポリシー オブジェクトについて

FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用

スクリプト言語命令の使用

スクリプト言語の例 1:ループ

スクリプト言語の例 2:2 次元配列でのループ

例 3:If/Else ステートメントを使用したループ

FlexConfig オブジェクトの変数について

FlexConfig ポリシー オブジェクトの変数の例

FlexConfig システム変数

定義済みの FlexConfig ポリシー オブジェクト

FlexConfig ポリシーとポリシー オブジェクトの設定

FlexConfig の作成シナリオ

FlexConfig ポリシー オブジェクトの作成

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス

[Create Text Object] ダイアログボックス

[Add Text Object]/[Edit Text Object] ダイアログボックス

[FlexConfig Undefined Variables] ダイアログボックス

[Property Selector] ダイアログボックス

FlexConfig ポリシーの編集

[FlexConfig Policy] ページ

[Values Assignment] ダイアログボックス

[FlexConfig Preview] ダイアログボックス

FlexConfig の管理

FlexConfig ポリシーを使用すると、Security Manager ではサポートされていないデバイス コマンドを設定できます。FlexConfig を使用することで、Security Manager によるデバイス設定の制御を拡張したり、製品をアップグレードする前に新しいデバイス機能を利用したりできます。

FlexConfig ポリシーは、FlexConfig オブジェクトで構成されます。これらのオブジェクトは、基本的には、スクリプト言語コマンド、デバイス コマンド、および変数を格納できるサブルーチンです。オブジェクトは、Security Manager 設定をデバイスに適用する前に処理されるように設定するか、または設定後に処理されるように設定できます。Security Manager では、オブジェクトが指定した順に処理されるため、別のオブジェクトの処理に依存するオブジェクトを作成できます。FlexConfig ポリシー オブジェクトの内容は、単一の簡単なコマンド文字列から、スクリプトや変数が組み込まれた複雑な CLI コマンド構造にいたるまでさまざまです。

FlexConfig ポリシー オブジェクトを理解して使用するには、ポリシーとオブジェクトについて理解することが重要です。Security Manager によるポリシーの定義および使用方法の詳細については、「ポリシーの管理」を参照してください。Security Manager によるオブジェクトの定義および使用方法の詳細については、「ポリシー オブジェクトの管理」を参照してください。

ここでは、FlexConfig ポリシーとポリシー オブジェクトおよびそれらの使用方法について説明します。

「FlexConfig ポリシーとポリシー オブジェクトについて」

「FlexConfig ポリシーとポリシー オブジェクトの設定」

「[FlexConfig Policy] ページ」

FlexConfig ポリシーとポリシー オブジェクトについて

FlexConfig ポリシー オブジェクトは、FlexConfig ポリシーで使用されます。これらのオブジェクトを使用すると、Security Manager ではサポートされないデバイス機能を設定したり、デバイス設定を微調整したりできます。これらのポリシー オブジェクトにはデバイス コンフィギュレーション コマンドと変数が含まれます。また、処理を制御するスクリプト言語命令が含まれることもあります。FlexConfig オブジェクトは、基本的には Security Manager によって生成されたデバイス設定に内容を追加するプログラミング ルーチンです。

FlexConfig ポリシー オブジェクトは、最初から作成するか、または Security Manager に付属のオブジェクトを複製して作成できます。

FlexConfig ポリシーは、FlexConfig ポリシー オブジェクトの単なる順序リストです。オブジェクトは指定した順序で処理されます。

FlexConfig ポリシー オブジェクト、さらに FlexConfig ポリシーの概要については、次の項を参照してください。ポリシー オブジェクト全般の詳細については、「ポリシー オブジェクトの管理」を参照してください。

「FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用」

「スクリプト言語命令の使用」

「FlexConfig オブジェクトの変数について」

「定義済みの FlexConfig ポリシー オブジェクト」

FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用

FlexConfig Editor に入力するコンフィギュレーション コマンドは、PIX ファイアウォールや Cisco IOS ルータなどのデバイスの設定に使用される実際の CLI コマンドです。Security Manager でサポートされていない CLI コマンドを含めることができます。コマンドを理解し、デバイス タイプに適した構文を使用してコマンドを実装する必要があります。詳細については、特定のオペレーティング システムのコマンド リファレンスを参照してください。

FlexConfig ポリシー オブジェクトを作成するとき、通常の Security Manager ポリシーから生成された設定の先頭と末尾のどちらに、コマンドや命令を追加するかを指定します。

プリペンドされるオブジェクト:設定の最初に処理される FlexConfig オブジェクト。Security Manager ポリシーでオブジェクトに含まれているのと同じコマンドが設定されている場合、プリペンドされるコマンドは設定ファイルの展開時に置き換えられます。

アペンドされるオブジェクト:設定の最後(設定ファイル内の他のすべてのコマンドから write mem コマンドまでの間)に処理される FlexConfig オブジェクト。

アペンドされるコマンドがデバイスにすでに設定されている場合、それらのコマンドをもう一度追加しようとすると、エラーが生成されます。このことを解決するための回避策が 2 つあります。

アペンドされるコマンドとして、問題のある設定を削除するコマンドを入力します。たとえば、コマンドが xyz の場合は、次の 2 行を入力します。

no xyz
xyz
 

デバイスが「警告」を行うために実行するアクションを制御する設定を変更します。この設定は、[Tools] > [Security Administration] > [Deployment] で行います。

この設定変更は、アペンドされるコマンドとして指定されたコマンドだけでなく、展開されるすべてのコマンドについて、デバイスの動作に反映されます。


) デバイスに展開する場合は、最初の展開後、ほとんどのアペンドされるコマンドを削除する必要があります。このことは、バインドされていないオブジェクト グループがコマンドの生成中に [Ending Command] セクションで置き換えられ、設定がデバイスに展開されるたびに再送信されるオブジェクト グループに特に当てはまります。ファイアウォール デバイスによってオブジェクト グループがすでに存在することが示されるため、エラーが表示されます。ファイルまたは AUS に展開する場合は、アペンドされるコマンドを削除しません。


スクリプト言語命令の使用

FlexConfig ポリシー オブジェクトでスクリプト言語命令を使用して、オブジェクト内のコマンドの処理方法を制御できます。スクリプト言語命令は、Velocity テンプレート エンジンでサポートされているコマンドのサブセットです。Velocity テンプレート エンジンは、ループ、if/else ステートメント、および変数をサポートする Java ベースのスクリプト言語です。

Security Manager では、 include コマンドと parse コマンドを除くすべての Velocity テンプレート エンジンのコマンドがサポートされています。サポートされている他のコマンドの詳細については、Velocity テンプレート エンジンのマニュアルを参照してください。

次の各項では、最も一般的に使用される機能の例を示します。

「スクリプト言語の例 1:ループ」

「スクリプト言語の例 2:2 次元配列でのループ」

「例 3:If/Else ステートメントを使用したループ」

スクリプト言語の例 1:ループ

Plain Old Telephone Service(POTS; 一般電話サービス)ダイヤル ピアを使用すると、電話番号を音声ポートに関連付けることによって、テレフォニー デバイスで着信コールを受信できます。次の例では、POTS ダイヤル ピアのセットの発信者番号をイネーブルにします。

オブジェクト本体

#foreach ($peer_id in ["2", "3", "4"])
dial-peer voice $peer_id pots
caller-id
#end
 

CLI 出力

dial-peer voice 2 pots
caller-id
 
dial-peer voice 3 pots
caller-id
 
dial-peer voice 4 pots
caller-id
 

スクリプト言語の例 2:2 次元配列でのループ

この例では、着信コールをルータで受信できるように電話番号のセットが音声ポートに関連付けられています。

オブジェクト本体

#foreach ($phone in [ [ "2000", "15105552000", "1/0/0" ], [ "2100",
"15105552100", "1/0/1" ], [ "2200", "15105552200", "1/0/2" ] ] )
dial-peer voice $phone.get(0) pots
destination-pattern $phone.get(1)
port $phone.get(2)
#end
 

CLI 出力

dial-peer voice 2000 pots
destination-pattern 15105552000
port 1/0/0
 
dial-peer voice 2100 pots
destination-pattern 15105552100
port 1/0/1
 
dial-peer voice 2200 pots
destination-pattern 15105552200
port 1/0/2
 

例 3:If/Else ステートメントを使用したループ

この例では、着信コールをルータで受信できるように電話番号のセットが音声ポートに関連付けられています。さらに、電話番号の別のセットを IP アドレスに関連付けて、ルータからの Voice over IP 発信コールをイネーブルにしています。

オブジェクト本体

#foreach ( $phone in [ [ "2000", "15105552000", "1/0/0", "" ],
[ "2100", "15105552100", "1/0/1", "" ],
[ "2200", "15105552200", "", "ipv4:150.50.55.55"]
[ "2300", "15105552300", "", "ipv4:150.50.55.55"] ] )
dial-peer voice $phone.get(0) pots
destination-pattern $phone.get(1)
#if ( $phone.get(2) == "" )
session target $phone.get(3)
#else
port $phone.get(2)
#end
 
#end
 

CLI 出力

dial-peer voice 2000 pots
destination-pattern 15105552000
port 1/0/0
 
dial-peer voice 2100 pots
destination-pattern 15105552100
port 1/0/1
 
dial-peer voice 2200 pots
destination-pattern 15105552000
session target ipv4:150.50.55.55
 
dial-peer voice 2300 pots
destination-pattern 15105552300
session target ipv4:150.50.55.55
 

FlexConfig オブジェクトの変数について

FlexConfig ポリシー オブジェクトの変数は、$ 文字で始まります。たとえば、次の行では、$inside が変数です。

interface $inside
 

FlexConfig ポリシー オブジェクトで使用できる変数には 3 つのタイプがあります。

ポリシー オブジェクト変数:特定のプロパティを参照する静的変数。たとえば、テキスト オブジェクトは、ポリシー オブジェクト変数のタイプの 1 つです。これらの変数は名前と値のペアであり、値には単一の文字列、文字列のリスト、または文字列のテーブルを指定できます。これらの変数には、任意のポリシー オブジェクトによる参照または操作の対象となる、任意のタイプのテキスト データを入力できます。

ポリシー オブジェクト変数を FlexConfig ポリシー オブジェクトに追加するには、次の 3 通りの方法があります。まず、カーソルを目的の位置に移動し、次の作業を実行します。

右クリックし、[Create Text Object] を選択します。このコマンドによってダイアログボックスが開きます。このダイアログボックスでは、簡単な単一値のテキスト オブジェクトを作成して値を割り当てることができます。[OK] をクリックすると、変数がオブジェクトに追加され、[Policy Object Manager] ウィンドウの定義済みテキスト オブジェクトのリストに追加されます。この変数は、他のオブジェクトで使用したり、定義を編集したりできます。簡単なテキスト変数の作成例については、「FlexConfig ポリシー オブジェクトの変数の例」を参照してください。

右クリックし、[Insert Policy Object] サブメニューからポリシー オブジェクト タイプを選択します。セレクタ ダイアログボックスが開き、挿入する変数が格納される特定のポリシー オブジェクトを選択できます。ポリシー オブジェクトを選択すると、[Property Selector] ダイアログボックスが表示されます。このダイアログボックスで、使用するオブジェクトの特定のプロパティを選択したり、プロパティに関連付けられている変数の名前を任意で変更したりします。

この方法を使用すると、使用する値がプロパティに含まれていることがわかっている場合に、既存のポリシー オブジェクトからそのプロパティを追加できます。たとえば、RADIUS プロトコルを指定する変数を RADIUS という名前の AAA Server Group ポリシー オブジェクトから挿入する場合は、右クリックして [Insert Policy Object] > [AAA Server Group] を選択し、[AAA Server Group Selector] ダイアログボックスで [RADIUS] を選択して [OK] をクリックします。次に、[AAA Server Group Property Selector] ダイアログボックスの [Object Property] フィールドで [Protocol] を選択し、[OK] をクリックします。$protocol 変数がカーソル位置に挿入され、選択したオブジェクトに定義されているプロパティの値が変数リストに追加されます。

変数名を入力します。変数を入力しても、[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで [OK] をクリックするまでは、変数に値を割り当てることができません。変数が未定義であることが通知され、値を定義するように促されます。[FlexConfig Undefined Variable] ダイアログボックスで、目的の値を含むポリシー オブジェクトのオブジェクト タイプを選択できます。これにより、特定のポリシー オブジェクトと変数を選択するように要求されます。この操作は、実質的には前述のポリシー オブジェクト変数を挿入する処理と同じです。いずれの方法を使用するかは任意であり、最終的な結果は同じになります。

システム変数:展開中、設定が生成されるときに値を参照する動的変数。値は、ターゲット デバイスまたはターゲット デバイスに設定されているポリシーから取得されます。FlexConfig ポリシー オブジェクトでオプションにする(つまり、変数をデバイスに展開するために変数に値を割り当てる必要がない)ようにシステム変数を宣言できます。

システム変数を FlexConfig ポリシー オブジェクトに挿入するには、カーソルを目的の位置に移動し、右クリックして [Insert System Variable] サブメニューから変数を選択します。使用可能なシステム変数の説明については、「FlexConfig システム変数」を参照してください。

ローカル変数:ループおよび割り当てによる派生物( for each および set ステートメント)内でローカルな変数。ローカル変数では、Velocity テンプレート エンジンから直接値を取得します。ローカル変数の値を指定する必要はありません。

ローカル変数を挿入するには、変数を入力するだけです。[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで [OK] をクリックすると、未定義の変数を定義するかどうか確認されます。[No] をクリックできます。[Yes] をクリックして他の変数を定義する場合は、ローカル変数のオブジェクト タイプを [Undefined] のままにできます。

FlexConfig ポリシー オブジェクトの変数の例

CLI コマンドや変数を使用すると、FlexConfig ポリシー オブジェクトを作成して Cisco ルータ上の内部インターフェイスやクリプト マップに名前を付けることができます。

interface $inside
crypto map $mapname
 

次の例は、これらのコマンドを追加し、$inside の値を serial0 、$mapname の値を my_crypto として設定する FlexConfig ポリシー オブジェクトの作成方法を示しています。

FlexConfig ポリシー オブジェクトをデバイスに追加し、設定が生成されると、次の出力が作成されます。

interface serial0
crypto map my_crypto
 

ステップ 1 [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 コンテンツ テーブルから [FlexConfigs] を選択します。右ペインのテーブルには、既存の FlexConfig オブジェクトが一覧表示されます。

ステップ 3 テーブル内で右クリックし、[New Object] を選択します。[Add FlexConfig] ダイアログボックスが表示されます(「[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス」を参照)。

ステップ 4 名前を入力し、任意でオブジェクトの説明を入力します。


ヒント グループ名を入力することもできます。グループを使用すると、多くの FlexConfig オブジェクトを作成する場合にオブジェクトを見つけやすくなります。グループ名を入力するか、またはドロップダウン リストから既存のグループを選択します。


ステップ 5 コマンドがデバイス設定の末尾に追加されるように、タイプの [Appended] を選択したままにします。

ステップ 6 オブジェクトの内容を作成します。

a. FlexConfig 編集ボックス(大きな白いボックス)内をクリックし、 interface と入力したあと、スペースを入力します。

b. 右クリックし、[Create Text Object] を選択します。

c. [Create Text Object] ダイアログボックスで、名前として inside 、値として serial0 を入力します。[OK] をクリックして変数を追加します。

d. Enter を押して次の行に移動し、 crypto map とそのあとにスペースを入力します。

e. 右クリックし、[Create Text Object] を選択します。

f. [Create Text Object] ダイアログボックスで、名前として mapname 、値として my_crypto を入力します。[OK] をクリックして変数を追加します。

ステップ 7 編集ボックスの上にある [Validate FlexConfig] アイコン ボタンをクリックして、オブジェクトの整合性と展開の可能性を確認します。エラーが特定された場合は、修正します。

ステップ 8 [OK] をクリックしてポリシー オブジェクトを保存します。これで、オブジェクトをデバイスのローカルまたは共有 FlexConfig ポリシーに追加できます。


 

FlexConfig システム変数

システム変数は、展開中、設定が生成されるときに値を参照します。Security Manager には、定義済みのシステム変数のセットが用意されており、これを使用して FlexConfig ポリシー オブジェクトを定義できます。値は、ターゲット デバイスに作成したポリシーから取得されます。これらの変数の値は、特に指定のないかぎり必須です。これらの変数の詳細については、次の表を参照してください。

デバイス システム変数:表 7-1。デバイスを検出または設定してこれらの変数の値を取得する方法の詳細については、「デバイス インベントリの管理」を参照してください。

ファイアウォール システム変数:表 7-2。ファイアウォール ポリシーの詳細については、「ファイアウォール デバイスの管理」および「ファイアウォール サービスの概要」を参照してください。

ルータ プラットフォーム システム変数:表 7-3。ルータ ポリシーの詳細については、「ルータの管理」を参照してください。

VPN システム変数:表 7-4。VPN ポリシーの詳細については、「サイト間 VPN の管理」を参照してください。

リモート アクセス システム変数:表 7-5。リモート アクセス ポリシーの詳細については、「リモート アクセス VPN の管理」を参照してください。

 

表 7-1 デバイス システム変数(すべてのデバイス タイプに適用)

名前
次元
説明

SYS_DEVICE_IDENTITY

0

[Tools] > [Device Properties] > [General] タブで定義された、Configuration Engine または Auto Update Server(AUS)によって管理されているデバイスの一意のデバイス アイデンティティ。これらのサーバによって管理されているデバイスのデバイス アイデンティティが必要です。

SYS_DOMAIN_NAME

0

[Tools] > [Device Properties] > [General] タブで定義された DNS ドメイン名。これは、[Platform] > [Device Admin] > [Hostname] ポリシーで定義された値と必ずしも同じではありません。

SYS_FW_OS_MODE

0

[Tools] > [Device Properties] > [General] タブで定義された FWSM または ASA デバイスのオペレーティング システム モード。値は、ROUTER(ルーテッド モード)、TRANSPARENT、または NOT_APPLICABLE です。

SYS_FW_OS_MULTI

0

FWSM または ASA がシングルコンテキスト モードまたはマルチコンテキスト モードのどちら([Tools] > [Device Properties] > [General] タブで定義)で実行されているか。値は、SINGLE、MULTI、または NOT_APPLICABLE です。

SYS_HOSTNAME

0

[Tools] > [Device Properties] > [General] タブで定義されたデバイス ホスト名。これは、[Platform] > [Device Admin] > [Hostname] ポリシーで定義された値と必ずしも同じではありません。

SYS_IMAGE_NAME

0

[Tools] > [Device Properties] > [General] タブで定義されたデバイス イメージ名。

SYS_INTERFACE_IP_LIST

1

インターフェイス ポリシーで設定されたインターフェイスの IP アドレスとマスク。

IP アドレスとマスクは、x.x.x.x/nn という形式になります(たとえば、10.20.1.2/24)。デバイスに定義されているインターフェイスがない場合、リストは返されません。

SYS_INTERFACE_NAME_LIST および SYS_INTERFACE_IP_LIST 内の各要素は、インターフェイスの同じインデックスを共有します。たとえば、SYS_INTERFACE_NAME_LIST 内の要素 3 が Ethernet1 である場合、SYS_INTERFACE_IP_LIST 内の要素 3 は Ethernet1 の IP アドレスです。Ethernet1 に IP アドレスがない場合、SYS_INTERFACE_IP_LIST 内の要素 3 は空になります。

この変数はオプションです。

SYS_INTERFACE_NAME_LIST

1

インターフェイス ポリシーで設定されたデバイス上のインターフェイスの名前。デバイスに定義されているインターフェイスがない場合、リストは返されません。詳細については、前述の SYS_INTERFACE_IP_LIST の説明を参照してください。

この変数はオプションです。

SYS_MANAGEMENT_IP

0

[Tools] > [Device Properties] > [General] タブで定義されたデバイスの管理 IP アドレス。

SYS_MDF_TYPE

0

デバイス モデルを示す Cisco MetaData Framework(MDF)デバイス タイプ。この値は、[Tools] > [Device Properties] > [General] タブに表示され、デバイスを Security Manager に追加するときに決定されます。

SYS_OS_RUNNING_VERSION

0

[Tools] > [Device Properties] > [General] タブに表示される、デバイスで実行されているオペレーティング システムのソフトウェア バージョン。たとえば、IOS プラットフォームでは 12.1, 12.2S などになります。この値は、デバイスからポリシーを検出するときに決定されます。

SYS_OS_TARGET_VERSION

0

[Tools] > [Device Properties] > [General] タブで定義された、デバイス設定の生成時に使用されるオペレーティング システム バージョン。

SYS_OS_TYPE

0

[Tools] > [Device Properties] > [General] タブで定義されたデバイスのオペレーティング システム。値は、IOS、PIX、ASA、FWSM、または IPS です。この値は、デバイスを Security Manager に追加するときに設定します。

SYS_SYS_OID

0

デバイスのシステム オブジェクト ID(SysObjId)。デバイスを Security Manager に追加するときに決定されます。

 

表 7-2 ファイアウォール システム変数

名前
次元
説明

SYS_FPM_INPUT_SP

1

「入力」方向の SYS_FPM_INTERFACE リスト内のエントリに対応するインターフェイスに適用される FPM ポリシー マップ名。

このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。

SYS_FPM_INTERFACE

1

インターフェイス名。

このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。

SYS_FPM_OUTPUT_SP

1

「出力」方向の SYS_FPM_INTERFACE リスト内のエントリに対応するインターフェイスに適用される FPM ポリシー マップ名。

このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。

SYS_FW_ACL_IN_NAME

1

インバウンド方向のトラフィック フィルタリング用にインターフェイスに適用される ACL の名前。各要素は、Cisco IOS ルータ、PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。

ファイアウォール アクセス規則を設定して、この変数の値を生成します。

SYS_FW_ACL_OUT_NAME

1

アウトバウンド方向のトラフィック フィルタリング用にインターフェイスに適用される ACL の名前。この配列の各要素は、Cisco IOS ルータ、PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。

Access Rules ポリシーを設定して、この変数の値を生成します。

SYS_FW_BRIDGE_INTERFACE_NAMES

1

ブリッジ インターフェイスの名前。

この変数は、IOS トランスペアレント ファイアウォールにだけ適用されます。

[Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。

SYS_FW_ETHERTYPERULE_ ACL_NAMES

1

着信または発信トラフィック フィルタリングのためにインターフェイスに適用される EtherType アクセス リストの名前。この配列の各要素は、SYS_FW_ETHERTYPERULE_INTERFACE_NAMES および SYS_FW_ETHERTYPERULE_DIRECTION_NAMES 変数の要素と 1 対 1 で対応します。

[Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。

SYS_FW_ETHERTYPERULE_ DIRECTION_NAMES

1

EtherType アクセス リストが適用される方向。値は「in」または「out」です。各要素は、SYS_FW_ETHERTYPERULE_ACL_NAMES および SYS_FW_ETHERTYPERULE_INTERFACE_NAMES 変数の要素と 1 対 1 で対応します。

[Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。

SYS_FW_ETHERTYPERULE_ INTERFACE_NAMES

1

EtherType アクセス リストが適用されるインターフェイス名。各要素は、SYS_FW_ETHERTYPERULE_ACL_NAMES および SYS_FW_ETHERTYPERULE_DIRECTION_NAMES 変数と 1 対 1 で対応します。

[Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。

SYS_FW_INSPECT_IN_NAME

1

インバウンド方向の Cisco IOS ルータ インターフェイスに適用されるインスペクション規則の名前。この配列の各要素は、Cisco IOS ルータの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。

[Inspection Rules] ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_FW_INSPECT_OUT_NAME

1

アウトバウンド方向の Cisco IOS ルータ インターフェイスに適用されるインスペクション規則の名前。この配列の各要素は、Cisco IOS ルータの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。

インスペクション規則ポリシーをこの変数の値として設定します。

この変数はオプションです。

SYS_FW_INTERFACE_HARDWARE_ ID_ LIST

1

デバイスのハードウェア ID。

デバイスで Interface ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_FW_INTERFACE_NETWORK_LIST

1

デバイスのインターフェイス ネットワーク。

デバイスで Interface ポリシーを設定して、この変数の値を生成します。

SYS_FW_INTERFACE_SECURITY_ LEVEL_LIST

1

デバイスのインターフェイス セキュリティ レベル。

デバイスで Interface ポリシーを設定して、この変数の値を生成します。

SYS_FW_INTERFACE_STATE_LIST

1

デバイスのインターフェイス状態。

デバイスで Interface ポリシーを設定して、この変数の値を生成します。

SYS_FW_INTERFACE_VLAN_ID_LIST

0

デバイスの VLAN ID。

デバイスで Interface ポリシーを設定して、この変数の値を生成します。

SYS_FW_MPCRULE_TRAFFICFLOW_ TUNNELGROUPNAME

1

トラフィック フロー オブジェクトで指定されたトンネル グループの名前。

トラフィック フロー オブジェクトは PIX/ASA デバイスに対する class-map コマンドを設定し、トラフィック フロー オブジェクト内のトンネル グループの名前がこの変数に読み込まれます。この変数は、PIX/ASA デバイス上のトンネル グループを作成するために ASA_define_traffic_flow_tunnel_group FlexConfig オブジェクトによって使用されます。

この変数はオプションです。

SYS_FW_MULTICAST_PIM_ACCEPT_ REG_ROUTEMAP

0

pim accept-register route-map コマンドで使用されるルートマップ名。

ルートマップの名前を入力し([Platform] > [Multicast] > [PIM] > [Request Filter])、FlexConfig でその機能を設定して、この変数の値を生成します。

この変数はオプションです。

SYS_FW_NAT0_ACL_NAMES

1

nat interface_name 0 access-list acl_name コマンドで使用される ACL の名前。

この変数はオプションです。

SYS_FW_OSPF_PROCESS_ID_LIST

1

PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスにグローバルに設定される OSPF ルーティング プロセスの ID。

[Platform] > [Routing] > [OSPF] ポリシーを設定して、この変数の値を生成します。

SYS_FW_OSPF_REDISTRIBUTION_ ROUTE_MAP_LIST

1

PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスに設定された OSPF redistribute コマンドに適用されるルート マップの名前。

[Platform] > [Routing] > [OSPF] ポリシーを設定して、この変数の値を生成します。

SYS_FW_POLICY_NAT_ACL_NAMES

1

policy nat コマンド(0 以外のプール ID が指定された nat コマンド)で使用される ACL の名前。

NAT([NAT] > [Translation Rules] > [Policy NAT])を設定して、この変数の値を生成します。この変数は、PIX 6.3(3) 以上、PIX/ASA 7.x 以上、および FWSM デバイスにだけ適用されます。この変数は、Cisco IOS ルータには適用されません。

この変数はオプションです。

SYS_FW_POLICY_STATIC_ ACL_NAMES

1

アクセス リストを含む policy static コマンドで使用される ACL の名前。

NAT 0([NAT] > [Translation Rules] > [Policy NAT])を設定して、この変数の値を生成します。変数には、 nat-0 policy nat 、および policy static コマンドで使用されるアクセス リスト名が含まれます。

この変数は、PIX 6.3(3) 以上、PIX/ASA 7.x 以上、および FWSM デバイスにだけ適用されます。この変数は、Cisco IOS ルータには適用されません。

この変数はオプションです。

 

表 7-3 ルータ プラットフォーム システム変数

名前
次元
説明

SYS_ROUTER_BGP_AS_NUMBERS_LIST

1

デバイス上の Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)および Exterior Gateway Protocol(EGP)の Autonomous System(AS; 自律システム)番号。

[Router Platform] > [Routing] > [BGP] ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_ROUTER_EIGRP_AS_ NUMBERS_LIST

1

デバイス上の別の Enhanced Internet Gateway Routing Protocol(EIGRP)および Interior Gateway Protocol(IGP)の Autonomous System(AS; 自律システム)番号。

[Router Platform] > [Routing] > [EIGRP] ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_ROUTER_OSPF_PROCESS_ IDS_LIST

1

デバイス上の Open Shortest Path First(OSPF)Interior Gateway Protocol(IGP)プロセス番号。

[Router Platform] > [Routing] > [OSPF Process] ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_ROUTER_QOS_CLASS_MAP_LIST

1

デバイス上の QoS クラス マップの名前。

サービス品質ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

SYS_ROUTER_QOS_POLICY_MAP_LIST

1

デバイス上の QoS ポリシー マップの名前。

サービス品質ポリシーを設定して、この変数の値を生成します。

この変数はオプションです。

 

表 7-4 VPN システム変数

名前
次元
説明
トポロジ

デバイスが参加している VPN に関連する変数。VPN を設定して、これらの変数の値を生成します。

SYS_VPN_TOPOLOGY

1

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トポロジ タイプ。値は、HUB_AND_SPOKE、POINT_TO_POINT、または FULL_MESH です。

SYS_VPN_TOPOLOGY_NAME

1

デバイスが参加している VPN トポロジの名前。

SYS_VPN_TOPOLOGY_ROLE

1

VPN 内のデバイスのロールに関する詳細。値は、PEER、HUB、または SPOKE です。

デバイス

デバイスが参加している VPN 内のデバイスに関連する変数。VPN を設定して、これらの変数の値を生成します。

SYS_VPN_HOST_NAME

1

デバイスのホスト名。

SYS_VPN_LOCAL_PREFIXES

2

保護ネットワークのインターフェイスおよびネットワーク IP アドレス。

SYS_VPN_PRIVATE_INTERFACES

2

プライベート インターフェイスの名前。

SYS_VPN_PRIVATE_TUNNEL_ENDPT_IP

1

インターフェイス トンネル IP アドレス。

SYS_VPN_PUBLIC_INTERFACES

2

パブリック インターフェイスの名前。

SYS_VPN_TUNNEL_ENDPT_INTERFACE_IP

1

VPN エンドポイントの IP アドレス。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。

SYS_VPN_TUNNEL_ENDPT_ INTERFACE_NAME

1

VPN エンドポイントの名前。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。

SYS_VPN_VPNSM_PUBLIC_IFC

2

Catalyst 6000 シリーズ スイッチのエクスポート ポート名。

リモート ピア

デバイスが参加しているリモート ピアに関連する変数。VPN を設定して、これらの変数の値を生成します。

SYS_VPN_REM_PEER_BAK_ LOGICAL_PRIVATE_IP

3

フェールオーバー ハブのリモート ピアのインターフェイス トンネル IP アドレス。この値は、Next Hop Resolution Protocol(NHRP)の DMVPN で使用されます。

SYS_VPN_REM_PEER_BAK_PREFIX

3

フェールオーバー ハブのリモート ピアの保護ネットワーク(インターフェイスおよびネットワーク IP アドレス)。

SYS_VPN_REM_PEER_BAK_PUBLIC_IP

3

フェールオーバー ハブのリモート ピアのパブリック インターフェイス名。

SYS_VPN_REM_PEER_BAK_TUNNEL_SRC

3

リモート ピアの VPN エンドポイントの IP アドレス。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。

SYS_VPN_REM_PEER_DEVICE_NAME

2

リモート ピアのデバイス ホスト名。

SYS_VPN_REM_PEER_LOGICAL_ PRIVATE_IP

2

リモート ピアのインターフェイス トンネル IP アドレス。この値は、Next Hop Resolution Protocol(NHRP)の DMVPN で使用されます。

SYS_VPN_REM_PEER_PREFIX

3

リモート ピアの保護ネットワーク(インターフェイスおよびネットワーク IP アドレス)。

SYS_VPN_REM_PEER_PRIVATE_IP

2

リモート ピアのプライベート インターフェイス名。

SYS_VPN_REM_PEER_PUBLIC_IP

2

リモート ピアのパブリック インターフェイス名。

SYS_VPN_REM_PEER_TUNNEL_SRC

2

トンネル ソース(リモート ピアのインターフェイス トンネルに含まれている場合)。

IPSec プロポーザル

IPSec Proposal ポリシーに関連する変数。詳細については、「IPsec プロポーザルの設定」および「VPN トポロジにおけるハイ アベイラビリティの設定」を参照してください。

IPSec Proposal ポリシーを設定して、この変数の値を生成します。

SYS_VPN_CRYPTO_MAP_TYPE

1

クリプト マップ タイプ。値は、STATIC または DYNAMIC です。

SYS_VPN_DYNAMIC_CRYPTO_NAME

1

ダイナミック クリプト マップ名。

SYS_VPN_DYNAMIC_CRYPTO_NUM

1

ダイナミック クリプト マップ番号。

SYS_VPN_STATIC_CRYPTO_NAME

1

スタティック クリプト マップ名。

SYS_VPN_STATIC_CRYPTO_NAME_BAK

1

フェールオーバー ハブのスタティック クリプト マップ名。

SYS_VPN_STATIC_CRYPTO_NUM

2

スタティック クリプト マップ番号。

SYS_VPN_STATIC_CRYPTO_NUM_BAK

2

フェールオーバー ハブのスタティック クリプト マップ番号。

事前共有キー

事前共有キーおよび IKE プロポーザル ポリシーに関連する変数。詳細については、「Preshared Key ポリシーの設定」を参照してください。

SYS_VPN_IKE_AUTHENTICATION_MODE

1

IKE ポリシーの認証方式。値は、pre-share、rsa-sig、rsa-encr、または dsa-sig です。

IKE Proposal ポリシーを設定して、この変数の値を生成します。

SYS_VPN_IKE_PRIORITY

1

IKE ポリシーのプライオリティ番号。

IKE Proposal ポリシーを設定して、この変数の値を生成します。

SYS_VPN_NEGOTIATION_MODE

1

ネゴシエーション方式。値は、MAIN_ADDRESS、MAIN_HOST、または AGGRESSIVE です。

Preshared Key ポリシーを設定して、この変数の値を生成します。

GRE モード

GRE Modes ポリシーに関連する変数。詳細については、「GRE または GRE ダイナミック IP のポリシーの設定」を参照してください。

SYS_VPN_BAK_TUNNEL_IFC

2

フェールオーバー ハブのリモート ピアのインターフェイス トンネル番号(たとえば、tunnel0)。

VPN を設定して、この変数の値を生成します。

SYS_VPN_SIGP_PROCESS_NUMBER

1

Interior Gateway Protocol(IGP)のプロセス番号。

GRE Modes ポリシーを設定して、この変数の値を生成します。

SYS_VPN_SIGP_ROUTING_PROTOCOL

1

使用される保護された Interior Gateway Protocol(IGP)のタイプ。値は、STATIC、OSPF、EIGRP、RIPV2、BGP、または ODR です。

GRE Modes ポリシーを設定して、この変数の値を生成します。

SYS_VPN_SPOKE_TO_SPOKE_ CONN

1

スポークツースポーク接続用に DMVPN を設定するかどうか。値は true または false です。

GRE Modes ポリシーを設定して、この変数の値を生成します。

SYS_VPN_TUNNEL_IFC

2

リモート ピアのインターフェイス トンネル番号(たとえば、tunnel0)。

VPN を設定して、この変数の値を生成します。

VRF

Virtual Routing and Forwarding(VRF)に関連する変数。詳細については、「VRF 対応 IPsec の設定」を参照してください。

VPN VRF を設定して、これらの変数の値を生成します。

SYS_VPN_VRF_AREA_ID

1

OSPF プロセス番号が選択された場合の領域 ID 番号。

SYS_VPN_VRF_MPLS_INTERFACE_IP

1

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)インターフェイスの IP アドレス。

SYS_VPN_VRF_MPLS_INTERFACE_NAME

1

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)インターフェイスの名前。

SYS_VPN_VRF_NAME

1

VRF 名。

SYS_VPN_VRF_PROCESS_NUMBER

1

Interior Gateway Protocol(IGP)プロセス番号。

SYS_VPN_VRF_RD

1

RD 値。

SYS_VPN_VRF_ROUTING_PROTOCOL

1

Interior Gateway Protocol(IGP)値。IGP は、Provider Edge(PE; プロバイダー エッジ)/Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)ネットワークへの IPSec Aggregator のルーティングに使用されます。

値は、STATIC、OSPF、EIGRP、RIPV2、または BGP です。

SYS_VPN_VRF_SOLUTION

1

Virtual Routing and Forwarding(VRF)ソリューション。値は、1BOX または 2BOX です。

CA

認証局ポリシーに関連する変数。詳細については、「公開キー インフラストラクチャ ポリシーの設定」を参照してください。

SYS_VPN_CA_NAME

2

Certificate Authority(CA; 認証局)名。

PKI ポリシーを設定して、この変数の値を生成します。

EZVPN

EZVPN に関連する変数。詳細については、「Easy VPN について」を参照してください。

SYS_VPN_EZVPN_GROUP_NAME

2

ユーザ グループ名。

User Group ポリシーを設定して、この変数の値を生成します。

ダイヤル バックアップ

ダイヤル バックアップ設定に関連する変数。詳細については、「ダイヤル バックアップの設定」を参照してください。

SYS_VPN_RTR_WATCH

1

RTR/監視番号。

ダイヤル バックアップを設定して、この変数の値を生成します。

GETVPN

Group Encrypted Transport(GET)VPN に関連する変数。詳細については、「Group Encrypted Transport(GET)VPN について」を参照してください。

SYS_GDOI_GROUP_NAME

1

Group Domain Of Interpretation(GDOI)グループの名前。

Group Encryption ポリシーを設定して、この変数の値を生成します([Tools] > [Site-to-Site VPN Manager] > [Group Encryption Policy] > [Group Settings])。

SYS_GM_GET_ENABLED_INTF_NAME

1

Provider Edge(PE; プロバイダー エッジ)への VPN 対応の外部インターフェイス。このインターフェイスで発信または終了するトラフィックは、暗号化または復号化が適宜評価されます。

グループ メンバーを設定して、この変数の値を生成します([Tools] > [Site-to-Site VPN Manager] > [Group Members])。

SYS_IPSEC_PROFILE_NAME

1

2 つのグループ メンバー間の IPsec 暗号化に使用されるパラメータを定義する、プロファイルの名前。

Group Encryption ポリシーを設定して、この変数の値を生成します([Tools] > [Site-to-Site VPN Manager] > [Group Encryption Policy] > [Security Associations])。

SYS_KS_REG_INTERFACE

0

Group Domain Of Interpretation(GDOI)登録を処理するために割り当てられるキー サーバのインターフェイス。登録インターフェイスが指定されていない場合、GDOI 登録は任意のインターフェイスで行われる可能性があります。

キー サーバを設定して、この変数の値を生成します([Tools] > [Site-to-Site VPN Manager] > [Key Servers])。

 

表 7-5 リモート アクセス システム変数

名前
次元
説明

SYS_ASA_RA_TUNNEL_GROUP_NAME

2

ASA デバイスのトンネル グループ名。

SYS_ASA_RA_USER_GROUP_NAME

2

ASA ユーザ グループの名前。

SYS_EZVPN_RA_DYNAMIC_CRYPTO_ MAP_NAME

1

EZVPN のダイナミック クリプト マップ名。

SYS_EZVPN_RA_DYNAMIC_CRYPTO_ MAP_SEQ_NUM

1

EZVPN のダイナミック クリプト マップ番号。

SYS_EZVPN_RA_PUBLIC_INTERFACE_PIX

2

PIX ファイアウォールおよび ASA デバイス専用の EZVPN の外部インターフェイス名。

SYS_EZVPN_RA_STATIC_CRYPTO_ MAP_NAME

1

EZVPN のスタティック クリプト マップ名。

SYS_EZVPN_RA_STATIC_CRYPTO_ MAP_SEQ_NUM

1

EZVPN のスタティック クリプト マップ番号。

SYS_IOS_RA_CA_NAME

1

Cisco IOS デバイスの Certificate Authority(CA; 認証局)名。

SYS_IOS_RA_PUBLIC_INTERFACE

1

Cisco IOS デバイスの外部インターフェイス名。

SYS_IOS_RA_USER_GROUP

1

Cisco IOS デバイスのユーザ グループ名。

SYS_IOS_RA_VRF_NAME

1

Cisco IOS デバイスの Virtual Routing and Forwarding(VRF)名。

定義済みの FlexConfig ポリシー オブジェクト

Security Manager には、使用可能な定義済みの FlexConfig ポリシー オブジェクトが用意されています。これらのポリシー オブジェクトには、コマンドとスクリプトが事前に定義されています。

定義済みの FlexConfig ポリシー オブジェクトは読み取り専用オブジェクトです。これらの定義済みの FlexConfig ポリシー オブジェクトを編集するには、目的のオブジェクトを複製し、コピーに変更を加えて新しい名前で保存します。このようにすると、元の定義済みの FlexConfig は変更されません。これらの定義済みのポリシー オブジェクトのリストおよび各オブジェクトの詳細については、次の表を参照してください。

定義済みの ASA FlexConfig ポリシー オブジェクト:表 7-8

定義済みの Catalyst FlexConfig ポリシー オブジェクト:表 7-7

定義済みの Cisco IOS FlexConfig ポリシー オブジェクト:表 7-8

定義済みの PIX Firewall FlexConfig ポリシー オブジェクト:表 7-9

定義済みのルータ FlexConfig ポリシー オブジェクト:表 7-10

 

表 7-6 定義済みの ASA FlexConfig ポリシー オブジェクト

名前
説明

ASA_add_ACEs

Access Control Entry(ACE; アクセス コントロール エントリ)をデバイス上のすべてのアクセス コントロール リストに追加します。

ASA_add_EtherType_ACL_remark

EtherType アクセス リスト名のリストをループし、ACE または備考をリストに追加します。EtherType アクセス リストは、Security Manager におけるファイアウォールのトランスペアレント規則と同じです。この FlexConfig で CLI によって設定された備考は、トランスペアレント規則の [description] フィールドに表示されます。

ASA_command_alias

copy running-config および copy startup_config コマンドの「save」という名前のコマンド エイリアスを作成します。

ASA_csd_image

ASA Cisco Secure Desktop イメージを提供します。CSM サーバ上の /CSCOpx/tftpboot/ device-hostname から CSD イメージをデバイスにコピーし、CSD イメージ パスを設定します。[Device Properties] にデバイスのホスト名を必ず入力してください。イメージ名がデフォルトと異なる場合は、[Device Properties] > [Policy Object Overrides] > [Text Objects] > [AsaCsdImageName] で上書きできます。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。

ASA_define_traffic_flow_ tunnel _group

SYS_FW_MPCRULE_TRAFFICFLOW_TUNNELGROUPNAME システム変数内のサイト間 VPN トンネル グループを定義します。この変数には、トラフィック フロー オブジェクトに定義されているトンネル グループ名が読み込まれます。

ASA_established

セキュリティ アプライアンスを介したアウトバウンド接続のリターン アクセスを許可します。このコマンドは、あるネットワークからのアウトバウンド接続であり、かつ、セキュリティ アプライアンスによって保護されている元の接続と、外部ホスト上の同じ 2 つのデバイス間におけるインバウンドのリターン接続に対して機能します。

established コマンドを使用して、接続の検索に使用する宛先ポートを指定します。これにより、コマンドをより詳細に制御でき、宛先ポートが既知で送信元ポートが不明なプロトコルがサポートされます。 permitto および permitfrom キーワードでは、リターン インバウンド接続を定義します。

ASA_FTP_mode_passive

FTP モードをパッシブに設定します。

ASA_generate_route_map

[Platform] > [Multicast] > [PIM] > [Request Filter] で設定された、 pim accept-register route-map コマンドで使用されるルート マップを生成します。Security Manager は、 pim コマンドで使用されるルートマップ名をエクスポートして、必要に応じて設定できるようにします。

ASA_IP_audit

ip-audit コマンドを使用して次の処理を実行します。

攻撃シグニチャと一致するパケットに対するデフォルト アクション(alarm、drop、reset)を設定します。

情報シグニチャと一致するパケットに対するデフォルト アクション(alarm、drop、reset)を設定します。

パケットが定義済みの攻撃シグニチャまたは情報シグニチャと一致する場合に実行するアクション(alarm、drop、reset)を特定する名前付き監査ポリシーを作成します。

監査ポリシーのシグニチャをディセーブルにします。

監査ポリシーをインターフェイスに割り当てます。

ASA_MGCP

Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)インスペクションのパラメータを定義するための特定のマップを示します。

ASA_no_router_Id

各 OSPF プロセスのルータ ID を削除します。

ASA_no_shut_Intf

デバイス上のすべてのインターフェイスをループし、イネーブルにします。

ASA_privilege

configuration show 、および clear コマンドの権限レベルを設定します。

ASA_route_map

各 OSPF プロセスの再配布ルート マップ名を定義します。

ASA_RSA_KeyPair_ generation

証明書の RSA キー ペアをリセットし、生成します。

ASA_svc_image

ASA SSL VPN クライアント イメージを提供します。CSM サーバ上の /CSCOpx/tftpboot/ device-hostname から SVC イメージをデバイスにコピーし、SVC イメージ パスを設定します。[Device Properties] にデバイスのホスト名を必ず入力してください。イメージ名がデフォルトと異なる場合は、[Device Properties] > [Policy Object Overrides] > [Text Objects] > [AsaSvcImageName] で上書きできます。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。

ASA_sysopt

sysopt コマンドを使用して、次の例を示します。

TCP 最大セグメント サイズが設定した値を超えないこと、または最小サイズが指定したサイズ未満であることを確認します。

最終的な通常の TCP クローズダウン シーケンスのあと、各 TCP 接続が 15 秒以上短縮 TIME_WAIT 状態で維持されるよう強制します。

DNS A レコード アドレスを変更する DNS 検査をディセーブルにします。

RADIUS アカウンティング応答内の認証キーを無視します。

Web ブラウザがセキュリティ アプライアンス上の仮想 HTTP サーバを使用して再認証するときに、キャッシュからユーザ名とパスワードを入力できるようにします。

ASA_virtual

仮想 HTTP および Telnet サーバを設定します。

 

表 7-7 定義済みの Catalyst 6500/7600 FlexConfig ポリシー オブジェクト

名前
説明

Cat6K_ECLB_algorithm

モジュールの EtherChannel ロード バランス アルゴリズムを設定します。

Cat6K_ECLB_port_mode

IPS センサーが接続されている Catalyst トランク ポートに EtherChannel を適用します。ポートがトランク モードで設定されていることを確認します。

Cat6K_ECLB_portchannel

ポート チャネルをトランク モードに設定し、トランクが許可された VLAN を追加します。

Cat6K_firewall_multiple_vlan_interfaces

複数の SVI をプロビジョニングする必要がある場合は、複数の VLAN インターフェイス モードを設定します。

 

表 7-8 定義済みの Cisco IOS FlexConfig ポリシー オブジェクト

名前
説明

IOS_add_bridge_interface_desc

ブリッジ インターフェイスのリストをループし、「this is a bridge interface」という説明を追加します。

IOS_CA_server

認証局サーバを設定します。

IOS_compress_config

大きな Cisco IOS 設定を圧縮します。

IOS_config_root_wireless_station

851 や 871 などの Cisco IOS ルータに、ワイヤレス LAN のルート無線ステーションを作成し、設定します。

IOS_console_AAA_bypass

次のシナリオの例を示します。

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)アクセス コントロール モデルをイネーブルにします。

ログイン時に AAA を設定します。

ログインに対する AAA 認証をイネーブルにします。

IOS_Copy_Image

SVC イメージを CSM サーバからデバイスにコピーし、SVC イメージ パスを設定します。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。

IOS_enable_SSL

SSL をイネーブルにします。

IOS_FPM

トラフィック クラス定義ファイルをルータにコピーし、ポリシー マップを適用します。

IOS_IPS_PUBLIC_KEY

IOS IPS デバイスの公開キーを定義します。公開キーは、Security Manager がシグニチャ更新を実行するために必要です。

IOS_IPS_SIGNATURE_CATEGORY

ios_ips 基本カテゴリ内のシグニチャを除くすべてのシグニチャを再試行します。

IOS_PKI_with_AAA

サブジェクト名全体を使用して PKI AAA 認可を設定します。

IOS_set_clock

クロックを Security Manager サーバの現在の時刻に設定します。

IOS_VOIP_advance

POTS ポート番号をループし、電話番号とポート番号または IP アドレス番号に関連付けます。

IOS_VOIP_simple

POTS ポート番号を電話番号とポート番号に関連付けます。

IOS_VPN_config_gre_tunnel

VPN 変数を使用して、デバイスが参加している各 VPN の GRE トンネルを設定します。

IOS_VPN_set_interface_desc

VPN 変数を使用して、デバイスが参加している各 VPN のパブリック インターフェイスの説明を更新します。

IOS_VPN_shutdown_inside_interface

VPN 変数を使用して、デバイスが参加している各 VPN のすべての内部インターフェイスをシャットダウンします。

IOS_VRF_on_vFW

仮想ファイアウォール インターフェイスの Virtual Routing and Forwarding(VRF)を設定します。

 

表 7-9 定義済みの PIX Firewall FlexConfig ポリシー オブジェクト

名前
説明

PIX6.3_nat0_acl_compiled

NAT 0 アクセス コントロール リストのコンパイルされたアクセス リストを生成します。

PIX6.3_policy_nat_acl_compiled

Policy NAT ACL のコンパイルされたアクセス リストを生成します。

PIX6.3_policy_static_acl_compiled

Policy Static ACL のコンパイルされたアクセス リストを生成します。

PIX_VPDN

Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)を設定します。

 

表 7-10 定義済みのルータ FlexConfig ポリシー オブジェクト

名前
説明

ROUTER_add_inspect_rules

インスペクション規則をループし、追加します。

ROUTER_BGP_no_auto_summary

no auto-summary サブコマンドを使用して、各 BGP プロセスの自動ルート要約をディセーブルにします。

この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_BGP_AS_NUMBERS_LIST システム変数内の Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)番号のリストを使用します。

ROUTER_BGP_untrusted_info

distance bgp 255 255 255 サブコマンドを使用して、各 Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の BGP ルーティング情報を信頼できないものとします。

この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_BGP_AS_NUMBERS_LIST システム変数内の BGP 番号のリストを使用します。

ROUTER_EIGRP_min_cost_routes

複数のルートで同じ宛先ネットワークへのコスト ルートが異なる場合、最小コスト ルートを使用するようにトラフィックを設定します。このことを行うには、等コスト パスを持つ異なるインターフェイスに対してマルチインターフェイス ロード分割を使用します。

この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_EIGRP_AS_NUMBERS_LIST システム変数内のルータの Enhanced Interior Gateway Routing Protocol(EIGRP)番号のリストを使用します。

Router_EIGRP_no_auto_summary

no auto-summary サブコマンドを使用して、各ルータの Enhanced Interior Gateway Routing Protocol(EIGRP)プロセスの自動ルート要約をディセーブルにします。この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_EIGRP_AS_NUMBERS_LIST システム変数内の EIGRP 番号のリストを使用します。

ROUTER_interface_prevent_dos _attacks

すべてのデバイス インターフェイスに対する Denial-of-Service(DoS; サービス拒絶)攻撃を阻止します。

この FlexConfig ポリシー オブジェクトは、SYS_INTERFACE_NAME_LIST システム変数内のインターフェイス名のリストを使用します。

ROUTER_OSPF_no_router_Id

各 OSPF プロセスのルータ OSPF ID を削除します。

この FlexConfig ポリシーは、SYS_ROUTER_OSPF_PROCESS_IDS_LIST システム変数内の OSPF ID のリストを使用します。

ROUTER_QoS_Class_Map _description

QoS クラス マップの説明を設定します。

この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_QOS_CLASS_MAP_LIST システム変数内のルータ QOS クラス名のリストを使用します。

ROUTER_QoS_Policy_Map _description

QoS ポリシーの説明を設定します。

この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_QOS_POLICY_MAP_LIST システム変数内のルータ QOS ポリシー名のリストを使用します。

FlexConfig ポリシーとポリシー オブジェクトの設定

FlexConfig ポリシー オブジェクトの作成および管理方法は、他のポリシー オブジェクトを作成する方法と同じです。ここでは、FlexConfig ポリシーとポリシー オブジェクトの作成方法について説明します。FlexConfig ポリシー オブジェクトに対して実行できるその他のタスク(削除など)については、「ポリシー オブジェクトの操作:基本手順」を参照してください。

「FlexConfig の作成シナリオ」

「FlexConfig ポリシー オブジェクトの作成」

「FlexConfig ポリシーの編集」

FlexConfig の作成シナリオ

このシナリオでは、Security Manager に付属している定義済みの FlexConfig ポリシー オブジェクトのいずれかを使用して、ASA デバイスの Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)を設定する手順を示します。MGCP は、メディア ゲートウェイ(電話回線のオーディオをデータ パケットに変換するデバイス)を制御するためにコール エージェント アプリケーションによって使用されます。Security Manager では MGCP の設定はサポートされませんが、FlexConfig ポリシー オブジェクトを使用して設定を行うことができます。これは、FlexConfig を使用すると Security Manager ではサポートされない機能をネットワークに合わせてカスタマイズできることを示しています。

このシナリオでは、次の作業を実行します。

1. 既存のポリシー オブジェクトを複製して、ポリシー オブジェクトを作成します。

2. ポリシー オブジェクトをデバイスに割り当てます。

3. 設定をプレビューして、設定が正しいことを確認します。

4. ポリシー オブジェクトを別のデバイスと共有します。

5. 設定をデバイスに展開します。

定義済みの FlexConfig ポリシー オブジェクトのコピーを作成して変更したり、独自のオブジェクトを作成したりして、このシナリオを他の機能を実装するための例として使用できます。

始める前に

このシナリオ用に 2 つの ASA デバイスを Security Manager に追加します。


ステップ 1 次の手順を実行して、FlexConfig ポリシー オブジェクトを複製します。

a. [Tools] > [Policy Object Manager] を選択して、[Policy Object Manager] を開きます(「[Policy Object Manager] ウィンドウ」を参照)。

b. コンテンツ テーブルから [FlexConfigs] を選択します。右ペインのテーブルには、既存の FlexConfig オブジェクトが一覧表示されます。

c. ASA_MGCP FlexConfig を右クリックし、[Create Duplicate] を選択します。[Add FlexConfig] ダイアログボックスが表示されます(「[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス」を参照)。

d. 新しい FlexConfig オブジェクトの名前(この例では MyASA_MGCP)を入力します。

e. 新しいグループ名とオブジェクトの説明を入力します。


ヒント グループ名と説明は任意です。作成するオブジェクトの説明とグループを設定することを推奨します。


f. [OK] をクリックします。新しい FlexConfig オブジェクトがリストに表示されます。

ステップ 2 $callAgentList テキスト オブジェクトを複製し、編集します。

元の ASA_MGCP FlexConfig オブジェクトは、テキスト オブジェクトである変数 $callAgentList を使用します。このテキストオブジェクトは読み取り専用であり、編集できません。このテキスト オブジェクトを複製すると、複製オブジェクトを編集してネットワーク設定に適用できます。

a. コンテンツ テーブルから [Text Objects] を選択します。

b. [callAgentList] を右クリックし、[Create Duplicate] を選択します。[Add Text Object] ダイアログボックスが表示されます。

c. テキスト オブジェクトの名前を編集します。この例では、名前を mycallAgentList に変更します。

d. カラム A の最初の値をダブルクリックし、ネットワークのコール エージェントの IP アドレスを入力します。この例では、値を 10.10.10.10 に変更します。

e. カラム B の最初の値をダブルクリックし、ネットワークのコール エージェントのポート番号を入力します。この例では、値を 105 に変更します。

f. 別のコール エージェントの IP アドレスとポート番号の値を変更します。この例では、IP アドレスを 20.20.20.20 に変更し、ポート番号を 106 に変更します。または、ネットワーク内にコール エージェントが 1 つだけある場合、[Number of Rows] フィールドの数を減らすことによって、テーブルの 2 行目を削除できます。同様に、コール エージェントが 3 つ 以上ある場合は、このフィールドの数を増やすことによって、行を追加できます。

このことは、[Number of Columns] フィールドの増減によってカラム数を増減するのと似ています。

g. [OK] をクリックします。新しいテキスト オブジェクトがテキスト オブジェクトのリストに表示されます。

ステップ 3 次の手順を実行して、新しい変数を使用するように新しい FlexConfig ポリシー オブジェクトを編集します。

a. コンテンツ テーブルから [FlexConfigs] を選択します。

b. MyASA_MGCP をダブルクリックします。[Edit FlexConfig] ダイアログボックスが表示されます。

c. $mycallAgentList を読み取るように $callAgentList を編集します。

d. [OK] をクリックします。

「The following variables are undefined: mycallAgentList Define them now?」という警告が表示されます。

e. 警告の [Yes] をクリックします。

[FlexConfig Undefined Variables] ダイアログボックスが表示され、[Variable Name] カラムに mycallAgentList が表示されます。

f. [Object Type] リストから [Text Objects] を選択します。[Text Objects] ウィンドウが表示されます。

g. [Available Text Objects] リストから [mycallAgentList] を選択し、[OK] をクリックします。

h. [FlexConfig Undefined Variables] ウィンドウで [OK] をクリックします。

[Edit FlexConfig] ダイアログボックスの [Variables] リストに mycallAgentList 変数が表示されます。

i. [Edit FlexConfig] ダイアログボックスで、[OK] をクリックします。

j. [Policy Object Manager] ウィンドウを閉じます。

ステップ 4 次の手順を実行して、新しい FlexConfig ポリシー オブジェクトをデバイスに割り当てます。

a. デバイス ビューで、MGCP を設定するデバイスを選択します。

b. ポリシー セレクタから [FlexConfigs] を選択します。[FlexConfigs Policy] ページが表示されます。

c. [Add] ボタンをクリックします。[FlexConfigs Selector] ダイアログボックスが表示されます。

d. 新しい MyASA_MGCP FlexConfig ポリシー オブジェクトを選択し、[>>] をクリックしてポリシー オブジェクトを [Selected FlexConfigs] カラムに追加します。

Ctrl キー(複数のオブジェクトを選択する場合)または Shift キー(複数の連続するオブジェクトを選択する場合)を押しながら選択すると、一度に複数のポリシー オブジェクトを選択できます。

e. [OK] をクリックします。

MyASA_MGCP ポリシー オブジェクトは設定にアペンドされるように設定されているため、このオブジェクトは [Appended FlexConfigs] テーブルに追加されます。設定の先頭に追加する FlexConfig ポリシー オブジェクトをプリペンドされるポリシー オブジェクトとして設定します。

f. [Save] をクリックします。

ステップ 5 次の手順を実行して、コマンドが生成されてデバイスに送信される前にコマンドをプレビューします。

a. [FlexConfigs Policy] ページで、MyASA_MGCP ポリシー オブジェクトを選択します。

b. [Preview] をクリックします。

この FlexConfig ポリシー オブジェクトで生成されたコマンドおよび選択したデバイスに割り当てられている値が表示されます。変更された値を確認します。

class-map sj_mgcp_class
match access-list mgcp_list
exit
 
mgcp-map inbound_mgcp
call-agent 10.10.10.10 105
call-agent 20.20.20.20 106
 
gateway 10.10.10.115 101
gateway 10.10.10.116 102
 
command-queue 150
exit
 
policy-map inbound_policy
class sj_mgcp_class
inspect mgcp inbound_mgcp
exit
exit
 
service-policy inbound_policy interface outside
 

ステップ 6 MGCP を必要とする他の ASA デバイスがある場合は、次の手順を実行して、このポリシーをそれらのデバイスと共有できます。

a. ポリシー セレクタで [FlexConfigs] を右クリックし、[Share Policy] を選択します。

[Share Policy] ダイアログボックスが表示されます。

b. ポリシーの名前を入力し、[OK] をクリックします。この例では、MyShared_ASA_MGCP と入力します。

FlexConfigs ポリシーの上にあるバナーに、デバイスが共有ポリシーを使用していることと、ポリシーの名前が示されます。

c. FlexConfig バナーで、[Assigned To] フィールドのリンクをクリックします。この例では、リンクには 1 Device というラベルが付いています。これは、この共有ポリシーが 1 つのデバイス(表示しているデバイス)に割り当てられていることを示します。

リンクをクリックすると、[Shared Policy Assignments] ダイアログボックスが表示されます。このダイアログボックスを使用して、[Available Devices] リスト内のこのポリシーを使用する他のデバイスを選択し、[>>] をクリックして、ポリシーが割り当てられているデバイスのリストに追加できます。

d. [OK] をクリックします。[Shared Policy Assignments] ダイアログボックスが閉じ、選択した追加デバイスが共有ポリシーを使用するように設定されます。バナーのリンクが変わり、現在このポリシーを使用しているデバイスの数が示されます(この例では 2 Devices )。


ヒント ポリシー ビューからポリシーを共有することもできます。[View] > [Policy View] を選択し、ポリシー タイプ セレクタで [FlexConfigs] を選択して MyShared_ASA_MGCP ポリシーを選択します。次に、[Assignments] タブをクリックし、ポリシーを割り当てるデバイスを選択して [>>] をクリックしてから [Save] をクリックします。


ステップ 7 変更を送信し、設定をデバイスに展開します。設定の展開の詳細については、「展開および Configuration Archive の使用」を参照してください。


 

FlexConfig ポリシー オブジェクトの作成

FlexConfig ポリシー オブジェクトを作成して、Security Manager でサポートされない機能をデバイスに設定できます。FlexConfig オブジェクトの詳細については、「FlexConfig ポリシーとポリシー オブジェクトについて」を参照してください。


ヒント このオブジェクト タイプを使用するポリシーまたはオブジェクトを定義するときに FlexConfig ポリシー オブジェクトを作成することもできます。詳細については、「ポリシーのオブジェクトの選択」を参照してください。


始める前に

コマンドがデバイスの VPN またはファイアウォール設定とまったく競合していないことを確認します。

次の点を考慮してください。

Security Manager は、コマンドを操作または検証しません。コマンドをデバイスに展開するだけです。

インターフェイスのコマンド セットが複数ある場合は、最後のコマンド セットだけが展開されます。したがって、開始コマンドと終了コマンドを使用してインターフェイスを設定しないことを推奨します。

ルートマップを含む FlexConfig オブジェクト(たとえば、OSPF またはマルチキャスト ルート マップ)を編集する場合は、ルートマップの前に対応する Access Control List(ACL; アクセス コントロール リスト)を定義する必要があります。これはデバイスの要件です。ルートマップの前に ACL を定義しない場合は、展開エラーが発生します。

関連項目

「FlexConfig の作成シナリオ」

「ポリシー オブジェクトの操作:基本手順」

「ポリシー オブジェクトの作成」

「ポリシーの管理」


ステップ 1 [Tools] > [Policy Object Manager] の順に選択して、[Policy Object Manager] ウィンドウを開きます(「[Policy Object Manager] ウィンドウ」を参照)。

ステップ 2 ポリシー オブジェクト タイプ セレクタから [FlexConfigs] を選択します。

ステップ 3 作業領域内で右クリックし、[New Object] を選択します。

[Add FlexConfig Object] ダイアログボックスが表示されます(「[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス」を参照)。

ステップ 4 オブジェクトの名前を入力し、任意で説明を入力します。その他の任意の情報フィールドは次のとおりです。

[Group]:既存のグループ名を選択するか、または新しいグループ名を入力します。この名前は、使用するオブジェクトの識別に役立ちます。

[Negate For]:この FlexConfig オブジェクトが別のオブジェクトを無効にする設計になっている場合は、このオブジェクトによって取り消すコマンドを含む FlexConfig オブジェクトの名前を入力します。

ステップ 5 [Type] フィールドで、オブジェクト内のコマンドを Security Manager ポリシーから生成された設定にプリペンド(設定の先頭に配置)するか、またはアペンド(設定の末尾に配置)するかを選択します。

ステップ 6 オブジェクト本体領域に、目的の設定ファイル出力を生成するためのコマンドと命令を入力します。次のタイプのデータを入力できます。

処理を制御するためのスクリプト作成コマンド。詳細については、「スクリプト言語命令の使用」を参照してください。

FlexConfig ポリシー オブジェクトの展開先のデバイスで実行されているオペレーティング システムでサポートされる CLI コマンド。詳細については、「FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用」を参照してください。

変数。右クリック メニューを使用して変数を挿入できます。これにより、単純な単一値テキスト変数の作成([Create Text Object])、既存のポリシー オブジェクトからの変数の選択([Insert Policy Object])、またはシステム変数の選択([Insert System Variable])を行うことができます。詳細については、「FlexConfig オブジェクトの変数について」を参照してください。


ヒント 変数を削除する場合は、オブジェクト本体で変数を選択し、[Cut] ボタンをクリックするか、または Back Space キーか Del キーを押します。[OK] をクリックして変更を保存すると、変数が変数のリストから削除されます。


ステップ 7 オブジェクト本体の上にある [Validate FlexConfig] アイコン ボタンをクリックして、オブジェクトの整合性と展開の可能性を確認します。

ステップ 8 [OK] をクリックしてオブジェクトを保存します。


 

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックス

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスを使用して、FlexConfig ポリシー オブジェクトを作成または編集します。FlexConfig オブジェクトは、Security Manager ポリシーから生成された設定の前後にコンフィギュレーション コマンドを追加できる小さなプログラムであり、製品の機能を拡張してデバイスを設定できます。これらのポリシー オブジェクトは、FlexConfig デバイスまたは共有ポリシーで使用します。

FlexConfig ポリシー オブジェクトを作成する前に、「FlexConfig ポリシーとポリシー オブジェクトについて」の各項をお読みください。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次に、オブジェクト タイプ セレクタから [FlexConfigs] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

関連項目

「FlexConfig ポリシー オブジェクトの作成」

「FlexConfig ポリシーの編集」

「FlexConfig の管理」

フィールド リファレンス

 

表 7-11 FlexConfig Editor ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)オブジェクトの説明。

[Group]

このオブジェクトが属している FlexConfig オブジェクトのグループの名前(ある場合)。名前を入力するか、またはリストから既存の名前を選択できます。このフィールドは情報提供だけを目的としており、Policy Object Manager の [FlexConfig Objects] ページで FlexConfig オブジェクトを検索するのに役立ちます。

[Type]

オブジェクト内のコマンドを設定にプリペンド(設定の先頭に配置)するか、またはアペンド(設定の末尾に配置)するか。

[Negate For]

この FlexConfig オブジェクトで取り消すコマンドを含む FlexConfig オブジェクトの名前。このフィールドは情報提供だけを目的としており、オブジェクトの処理には影響しません。

たとえば、FlexConfig A にコマンド banner login があり、FlexConfig B にコマンド no banner login がある場合、FlexConfig B は FlexConfig A の設定を無効にします。

[FlexConfig Object Body]

[Object Body] 編集ボックス

目的の設定ファイル出力を生成するためのコマンドと命令。次のタイプのデータを入力できます。

処理を制御するためのスクリプト作成コマンド。詳細については、「スクリプト言語命令の使用」を参照してください。

FlexConfig ポリシー オブジェクトの展開先のデバイスで実行されているオペレーティング システムでサポートされる CLI コマンド。詳細については、「FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用」を参照してください。

変数。右クリック メニューを使用して変数を挿入できます。これにより、単純な単一値テキスト変数の作成([Create Text Object])、既存のポリシー オブジェクトからの変数の選択([Insert Policy Object])、またはシステム変数の選択([Insert System Variable])を行うことができます。詳細については、「FlexConfig オブジェクトの変数について」を参照してください。

[Undo] ボタン

直前のアクションを取り消します。

[Redo] ボタン

直前に取り消したアクションを実行します。

[Cut] ボタン

強調表示されているテキストを削除し、クリップボードにコピーします。

[Copy] ボタン

強調表示されているテキストをクリップボードにコピーします。

[Paste] ボタン

直前に切り取ったテキストまたはコピーしたテキストを貼り付けます。

[Find] ボタン

オブジェクト本体の指定したテキスト文字列を検索します。

[Validate FlexConfig] ボタン

FlexConfig オブジェクトの整合性および展開の可能性を確認します。

[FlexConfig Object Variables]

このテーブルには、FlexConfig オブジェクトで使用されている変数が一覧表示されます。

[Name]

変数の名前。セルをクリックして名前を編集します。これにより、FlexConfig オブジェクト本体内の名前も変更されます。

[Default Value]

値が指定されていない場合に使用する値。セルをクリックして、ユーザ定義の変数の値を編集します。システム定義の変数は編集できません。

(注) オプションの変数を除き、デフォルト値が指定されていない場合は、変数の値を指定する必要があります。

[Object Property]

オブジェクトのプロパティ。オブジェクトのプロパティ名の形式は次のとおりです。

type.name .data. property

値は次のとおりです。

[Type]:オブジェクトのタイプ。たとえば、Text、Network、AAA Server など。

[Name]:オブジェクトの名前。

[Data]:オブジェクトのプロパティがデータであることを示します。

[Property]:データのプロパティ。

[Dimension]

変数のデータの構造。値は次のとおりです。

0:スカラ(単一の文字列)

1:1 次元配列(文字列のリスト)

2:2 次元配列(文字列のテーブル)

[Optional]

変数に値が必要かどうか。

[Description]

オブジェクトの内容の説明。セルをクリックして説明を編集します。

[Create Text Object] ダイアログボックス

[Create Text Object] ダイアログボックスをショートカットとして使用して、FlexConfig ポリシー オブジェクトで使用する次元 0 のテキスト オブジェクト(単一値の変数)を作成します。変数の名前およびその変数に割り当てる値を入力します。[OK] をクリックすると、変数がカーソル位置の FlexConfig オブジェクトに追加され、オブジェクトの変数のリストに追加されます。

ナビゲーション パス

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで、オブジェクト本体のフィールドを右クリックし、[Create Text Object] を選択します。


ヒント 複数値のテキスト オブジェクトを作成する場合は、右クリックして [Insert Policy Object] > [Text Objects] を選択し、使用可能なオブジェクトのリストの下にある [Add] ボタンをクリックします。詳細については、「[Add Text Object]/[Edit Text Object] ダイアログボックス」を参照してください。


[Add Text Object]/[Edit Text Object] ダイアログボックス

[Add Text Object]/[Edit Text Object] ダイアログボックスを使用して、テキスト オブジェクトを作成、編集、複製、および表示します。テキスト オブジェクトを受け入れる別のポリシー オブジェクトで、テキスト オブジェクトを参照または操作する必要がある場合は、テキスト オブジェクトを作成します。

テキスト オブジェクトは、ポリシー オブジェクト変数のタイプの 1 つです。これらの変数は名前と値のペアであり、値には単一の文字列、文字列のリスト、または文字列のテーブルを指定できます。FlexConfig ポリシーによる参照または操作の対象となる任意のタイプのテキスト データを入力できます。FlexConfig の詳細については、「FlexConfig の管理」を参照してください。

まず次元を選択して変数を作成します。たとえば、簡単な単一値の変数の場合は 0 次元、変数のリストの場合は 1 次元、変数のテーブルの場合は 2 次元を選択します。次元(、および該当する場合は、行数とカラム数)を選択して目的のグリッドを作成したあと、まずセルをクリックして各セルにデータを入力します。

ナビゲーション パス

[Tools] > [Policy Object Manager] を選択し、次にオブジェクト タイプ セレクタから [Text Objects] を選択します。作業領域内で右クリックして [New Object] を選択するか、または行を右クリックして [Edit Object] を選択します。

フィールド リファレンス

 

表 7-12 [Text Object] ダイアログボックス

要素
説明

[Name]

最大 128 文字のオブジェクト名。オブジェクト名では、大文字と小文字が区別されません。詳細については、「ポリシー オブジェクトの作成」を参照してください。

[Description]

(任意)最大 1024 文字のオブジェクトの説明。

[Dimension]

変数のデータの構造。

0:スカラ(単一の文字列)

1:1 次元配列(文字列のリスト)

2:2 次元配列(文字列のテーブル)

[Number of Rows]

1 次元または 2 次元の場合は、変数内のデータ行の数。

[Number of Columns]

2 次元の場合は、変数内のデータ カラムの数。

[text field]

テキスト オブジェクトの内容。セルをクリックしてデータを入力します。

[Category]

オブジェクトに割り当てられたカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Allow Value Override per Device]

[Overrides]

[Edit] ボタン

デバイス レベルでのオブジェクト定義の変更を許可するかどうか。詳細については、「ポリシー オブジェクトの上書きの許可」および「個々のデバイスのポリシー オブジェクト オーバーライドについて」を参照してください。

デバイスのオーバーライドを許可した場合は、[Edit] ボタンをクリックして、オーバーライドを作成、編集、および表示できます。[Overrides] フィールドは、このオブジェクトに対するオーバーライドを持つデバイスの数を示します。

[FlexConfig Undefined Variables] ダイアログボックス

[FlexConfig Undefined Variables] ダイアログボックスを使用して、FlexConfig オブジェクトで使用される、まだ定義されていない変数を定義します。ポリシー オブジェクト タイプのリストから選択するか、または使用する新しいポリシー オブジェクトを追加できます。

テーブル内の各行は、単一の未定義の変数を表します。


ヒント 処理の制御のためにスクリプト言語で使用されるローカル変数を定義する必要はありません。変数の詳細については、「FlexConfig オブジェクトの変数について」を参照してください。


ナビゲーション パス

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで変数名を入力してその変数の値を定義していない場合は、[OK] をクリックすると、Security Manager に警告が表示され、変数を定義するかどうか尋ねられます。[Yes] をクリックすると、このダイアログボックスが開きます。

フィールド リファレンス

 

表 7-13 [FlexConfig Undefined Variables] ダイアログボックス

要素
説明

[Variable Name]

FlexConfig オブジェクトで使用されている未定義の変数の名前。

[Object Type]

変数に割り当てる値が含まれているポリシー オブジェクトのタイプ。ローカル変数の場合は、[Undefined] オブジェクト タイプを使用します。

定義する変数について、選択した変数に割り当てる特定のポリシー オブジェクトとそのオブジェクト内の値を選択する必要があります。

まず、このリストからポリシー オブジェクトのタイプを選択します。特定のポリシー オブジェクトを選択するように要求されます。[OK] をクリックすると、目的の値を含むそのオブジェクト内の特定のプロパティを選択するように要求されます(「[Property Selector] ダイアログボックス」を参照)。[Property Selector] ダイアログボックスで値を選択し、[OK] をクリックすると、値が変数に割り当てられます。

[Object Property]

オブジェクトのプロパティ。詳細な説明については、[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスを参照してください。

[Optional]

変数に値が必要かどうか。

[Property Selector] ダイアログボックス

[Property Selector] ダイアログボックスを使用して、FlexConfig ポリシー オブジェクト内の変数に割り当てる、選択したポリシー オブジェクト内の特定のプロパティを選択します。ダイアログボックスのタイトルは、選択したポリシー オブジェクトのタイプを示します(たとえば、[AAA Server Groups Property Selector])。

変数の詳細については、「FlexConfig オブジェクトの変数について」を参照してください。

ナビゲーション パス

[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで右クリックし、[Insert Policy Object] メニューから特定のポリシー オブジェクト グループ タイプを選択し、要求されたら特定のポリシー オブジェクトを選択して [OK] をクリックします。

[FlexConfig Undefined Variables] ダイアログボックスで [Object Type] フィールドからポリシー オブジェクト タイプを選択し、要求されたら特定のポリシー オブジェクトを選択して [OK] をクリックします。

フィールド リファレンス

 

表 7-14 [Property Selector] ダイアログボックス

要素
説明

[Object Property]

変数に割り当てる値が含まれているオブジェクトのプロパティ。プロパティの詳細については、それらのオブジェクトの設定に関連する項目を参照してください。

[Name]

変数の名前。このフィールドは、未定義の変数を定義している場合には使用できません。

[Description]

(任意)変数の説明。このフィールドは、未定義の変数を定義している場合には使用できません。

FlexConfig ポリシーの編集

デバイス ビューまたはポリシー ビュー(共有ポリシーの場合)でポリシー セレクタから [FlexConfigs] を選択して、FlexConfig ポリシーをデバイスに割り当てることができます。Security Manager によって生成された設定を展開する場合と同様に、これらのポリシーを含む設定を展開できます。FlexConfig ポリシー オブジェクトを設定して共有 FlexConfig ポリシーを作成する手順のシナリオについては、「FlexConfig の作成シナリオ」を参照してください。

FlexConfig ポリシーを編集するときに、次のアクションを実行できます。

FlexConfig オブジェクトの追加 :FlexConfig オブジェクトをポリシーに追加するには、[Add] アイコン ボタンをクリックし、目的のオブジェクトを選択します。オブジェクト セレクタ ダイアログボックスから新しいオブジェクトを作成することもできます。オブジェクトは、その定義方法に応じて、プリペンド リストまたはアペンド リストに追加されます。

FlexConfig オブジェクトの削除 :ポリシーにオブジェクトを含める必要がなくなった場合は、そのオブジェクトを選択し、[Remove] アイコン ボタンをクリックします。このアクションによって、オブジェクトはポリシーから削除されますが、Security Manager からは削除されません。オブジェクトの削除の詳細については、「オブジェクトの削除」を参照してください。

オブジェクトの順序の変更 :オブジェクトは、指定した順序で処理されます。オブジェクトが別のオブジェクトの処理に依存している場合は、オブジェクトの順序を正しく指定することが重要です。順序を変更するオブジェクトを選択し、オブジェクトが目的の位置に配置されるまで上矢印ボタンまたは下矢印ボタンをクリックします。

ルートマップを含む FlexConfig オブジェクト(たとえば、OSPF またはマルチキャスト ルートマップ)の順序を変更する場合は、ルートマップの前に対応する Access Control List(ACL; アクセス コントロール リスト)が定義されていることを確認します。これはデバイスの要件です。ルートマップの前に ACL を定義しない場合は、展開エラーが発生します。

ポリシー オブジェクトで使用されている変数に割り当てられた値の変更 :オブジェクトのデバイスレベルのオーバーライドを作成して、特定のデバイスについて変数に別の値を設定する場合は、オブジェクトを選択し、[Values] をクリックします。[Values Assignment] ダイアログボックスで、[Values] セルをクリックして値を変更します。詳細については、「[Values Assignment] ダイアログボックス」を参照してください。

ポリシー オブジェクトに対して生成される CLI のプレビュー :デバイス ビューで、オブジェクトを選択し、[Preview] をクリックして、ポリシー オブジェクトに対して生成される CLI を表示できます。このことは、生成される CLI コマンドがデバイスに実装する予定のコマンドであることを確認する場合に、特に役立ちます。


) 展開中、Security Manager サーバで FlexConfig ポリシー オブジェクトがコンパイルされるときに、正しいシステム変数値と設定がコマンドの生成に使用されます。ただし、プレビュー機能では展開時の通常の方法ではこれらの値にアクセスできないため、一部の CLI コマンドが表示されない場合があります。さらに、プレビュー機能によってクライアントに CLI コマンドが生成されるため、FlexConfig ポリシー オブジェクトで使用される一部のマクロがサーバ設定ではなくクライアント設定に反映されます。


関連項目

「FlexConfig ポリシーとポリシー オブジェクトについて」

「FlexConfig ポリシー オブジェクトの作成」

「ポリシーの管理」

「展開の管理」

[FlexConfig Policy] ページ

[FlexConfig Policy] ページを使用して、FlexConfig ポリシーを作成します。FlexConfig ポリシーには、FlexConfig ポリシー オブジェクトの順序リストが含まれます。これらのオブジェクトは、Security Manager の機能を拡張してデバイスを設定できるサブルーチンです。FlexConfig ポリシー オブジェクトの詳細については、「FlexConfig ポリシーとポリシー オブジェクトについて」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [FlexConfigs] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [FlexConfigs] を選択し、既存のポリシーを選択するか、または [Create a Policy] ボタンをクリックして新しいポリシーを作成します。

関連項目

「FlexConfig ポリシー オブジェクトの作成」

「FlexConfig の管理」

フィールド リファレンス

 

表 7-15 [FlexConfigs Policy] ページ

要素
説明

[Prepended FlexConfigs]

設定の先頭に追加される FlexConfig ポリシー オブジェクト。オブジェクトは示されている順序で処理されます。

[Appended FlexConfigs]

設定の末尾に追加される FlexConfig ポリシー オブジェクト。オブジェクトは示されている順序で処理されます。

[Values] ボタン

このボタンをクリックすると、「[Values Assignment] ダイアログボックス」を使用して、選択した FlexConfig ポリシー オブジェクトで使用されている変数に割り当てられた値を表示、変更、または検証できます。

[Preview] ボタン

(デバイス ビューだけ)

このボタンをクリックすると、選択した FlexConfig ポリシー オブジェクトに対して生成される CLI コマンドを表示できます。

ポリシー ビューでは、まず [Values] をクリックし、[Values Assignment] ダイアログボックスでデバイスを選択して [Preview] をクリックすると、CLI をプレビューできます。

上下の矢印ボタン

選択したオブジェクトをリスト内で上下に移動するには、これらのボタンをクリックします。オブジェクトは表示された順序で処理されるため、処理が別のオブジェクトの処理に依存するオブジェクトは、そのオブジェクトが依存するオブジェクトのあとに配置することが重要です。

[Add] ボタン

このボタンをクリックすると、FlexConfig ポリシー オブジェクトがポリシーに追加されます。オブジェクト自体に、プリペンド リストに追加されるか、またはアペンド リストに追加されるかが定義されています。新しい FlexConfig オブジェクトを作成するか、または既存のオブジェクトを選択できます。

[Edit] ボタン

このボタンをクリックすると、選択した FlexConfig ポリシー オブジェクトを編集できます。変更は、編集したオブジェクトを使用するすべてのデバイスに反映されます。つまり、変更はデバイスのローカル ポリシー オブジェクトのオーバーライドではありません。

(注) Security Manager に付属している定義済みの FlexConfig ポリシー オブジェクトまたは編集権限がないオブジェクトを選択した場合は、オブジェクト定義の表示だけが許可されます。

[Remove] ボタン

このボタンをクリックすると、選択したオブジェクトがポリシーから削除されます。Security Manager からは削除されず、FlexConfig ポリシーから削除されるだけです。

[Values Assignment] ダイアログボックス

[Values Assignment] ダイアログボックスを使用して、FlexConfig ポリシー オブジェクトで使用されている変数を表示したり、オブジェクトを検証したり、オブジェクトから生成される CLI をプレビューしたりします。詳細については、「FlexConfig オブジェクトの変数について」を参照してください。

ナビゲーション パス

「[FlexConfig Policy] ページ」でオブジェクトを選択し、[Values] をクリックします。

フィールド リファレンス

 

表 7-16 [Values Assignment] ダイアログボックス

要素
説明

[Assigned Devices]

(ポリシー ビューだけ)

共有 FlexConfig ポリシーが割り当てられているデバイス。変数値を表示するデバイスを選択します。

[Name]

変数の名前。

[Value]

変数に使用する値。値を変更するには、セルをダブルクリックします。この値を変更すると、Security Manager によって、ポリシー オブジェクトのデバイスレベルのオーバーライドが作成されます。値を上書きできないようにポリシー オブジェクトが設定されている場合は、値を編集できません。

変数のデフォルト値が設定されていない場合は、オプションの変数の場合を除き値を指定する必要があります。

[Default Value]

ポリシー オブジェクトの変数に割り当てられている値。このセルをクリックすると、変数の値を定義するポリシー オブジェクトの定義が表示されます。

[Override]

変数の値を上書きできるかどうか。値を編集できるのは、このカラムにチェックマークが付いている変数だけです。

[Object Property]

オブジェクトのプロパティ。詳細な説明については、[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスを参照してください。

[Dimension]

変数のデータの構造。

0:スカラ(単一の文字列)

1:1 次元配列(文字列のリスト)

2:2 次元配列(文字列のテーブル)

[Optional]

変数値を空にできるかどうか。

[Description]

変数の説明。

[Validate] ボタン

このボタンをクリックすると、Velocity テンプレート言語の構文を検証し、すべての必須変数に値が指定されていること、変数が SYS_ で始まらないこと、および参照先のポリシー オブジェクトが存在することを確認できます。

[Preview] ボタン

このボタンをクリックすると、選択した FlexConfig ポリシー オブジェクトに対して生成される CLI コマンドが表示されます。

[FlexConfig Preview] ダイアログボックス

[FlexConfig Preview] ダイアログボックスを使用して、FlexConfig ポリシーに定義されている選択オブジェクトの変数に基づいて生成される CLI コマンドを表示します。

ナビゲーション パス

FlexConfig ポリシーのプレビュー ダイアログボックスを開くには、次のいずれかを実行します。

[Values Assignment] ダイアログボックスで、[Preview] をクリックします。ポリシー ビューで、まずデバイスを選択する必要があります。

(デバイス ビュー)デバイスを選択し、[FlexConfig] をクリックします(「[FlexConfig Policy] ページ」を参照)。FlexConfig ポリシー内のオブジェクトを選択し、[Preview] をクリックします。