Cisco PIX Device Managerバージョン3.0(2)リリースノート

ダウンロード

(*)この資料は、英語原文を日本語訳しております。詳しくは次のURLにあります内容をご参照ください。

http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/prod_release_note09186a0080266fe0.html

2004年7月

この資料の内容

この資料の内容は、次のとおりです。

・ PDMバージョン3.0(1)で導入された機能

・警告

はじめに

Cisco PIX Device Manager（PDM）はブラウザベースのJavaアプリケーションで、Cisco PIX OS(オペレーティングシステム)バージョン6.3ソフトウェアを設定およびモニタするために使用します。PIX OSバージョン6.3ソフトウェアが実行されているPIXセキュリティアプライアンスでは、PDMバージョン3.0ソフトウェアがフラッシュメモリにロードされています。PDMバージョン3.0(2)を実行しているかどうかを確認してから作業を開始してください。

注 PIX OSバージョン6.2の場合は、PDMバージョン2.1を使用してください。PIX OSバージョン6.0および6.1の場合は、PDMバージョン1.1を使用してください。

PDMソフトウェアの概要

PDMバージョン3.0(2)は、PIX 6.3のすべてのバージョンで動作し、PIX 6.3(4)の新機能をサポートしています。

PDMバージョン3.0は単一のイメージで、PIX OSバージョン6.3のみをサポートしており、PIXセキュリティアプライアンスを安全に管理できるように設計されています。PDMは署名付きのJavaアプレットとして実装されているため、ブラウザで選択するだけでPCまたはワークステーションにPDMがダウンロードされます。

PDMではGUI（グラフィカルユーザインターフェイス）を利用できるため、CLI（コマンドラインインターフェイス）の知識がなくてもPIXセキュリティアプライアンスを管理できます。また、PDMにはPIXセキュリティアプライアンスのCLIとの互換性があり、PDMアプリケーション内で標準のCLIコマンドを使用するためのツールが備わっています。PDMを使用すると、PIXセキュリティアプライアンスに関するさまざまなデータをグラフ化する以外に、ファイアウォール機能およびシステムのアクティビティによって発生したトラフィックのグラフを印刷またはエクスポートすることもできます。

PDMの使用をサポートするために、アプリケーションから目次、索引、および用語集も参照できるオンラインヘルプも利用できるようになっています。

システム要件

PDMは、バージョン6.3を実行しているすべてのCisco PIX 501、PIX 506/506E、PIX 515/515E、PIX 520、PIX 525、およびPIX 535プラットフォームで使用できます。PDMバージョン3.0は、PIX OSバージョン6.3のみをサポートしています。ここでは、PDMバージョン3.0ソフトウェアのシステム要件を示します。

PDM要件

PDMのシステム要件は、次のとおりです。

・PDMバージョン3.0は、PIX OSバージョン6.3を実行しているすべてのPIX 501、PIX 506/506E、PIX 515/515E、PIX 520、PIX 525、およびPIX 535プラットフォームで使用できます。PDMのインストールの詳細については、次のWebサイトで『Cisco PIX Device Managerインストレーションガイド』を参照してください。 http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/pix/dmig/

・PDMは、PIX CLI、Cisco Secure Policy Manager（CSPM）、Management Center for PIX Firewall（PIXMC）のどれを使用して作成されていても、すべての構成で機能します。ただし、CSPMまたはPIXMCを使用してあとから構成を変更すると、PDM構成が上書きされます。

注意

CSPMまたはPIXMCを使用している場合、PDMはモニタリング用としてのみ使用してください。PDMを使用して変更を加えても、次にCSPMまたはPIXMCがPIXセキュリティアプライアンスと同期したときに構成が元に戻ります。

ここでは、次の項目について説明します。

・ PIXセキュリティアプライアンスのPDMとのインターオペラビリティ

・フラッシュメモリ要件

・コンフィギュレーションファイルの最大サイズ

・ソフトウェア要件

・新しいソフトウェアリリースへのアップグレード

PIXセキュリティアプライアンスのPDMとのインターオペラビリティ

表1に、PDMバージョン3.0を使用するために必要となるPIXセキュリティアプライアンスのシステム要件を示します。

表1 PDMバージョン3.0を使用するPIXセキュリティアプライアンスのシステム要件

タイプ	説明
ハードウェア
プラットフォーム	PIX 501、506/506(E)、515/515(E)、520、525、または535
RAM	16 MB
フラッシュメモリ	表2を参照
ソフトウェア
PIX OS	バージョン6.3
暗号化	DES、3DES、またはAESに対応

PIXセキュリティアプライアンスに搭載されているPIX OSバージョン6.3には、DESアクティベーションキーが事前に組み込まれています。ご使用のPIXセキュリティアプライアンスがDES、3DES、またはAESに対応していない場合、シスコに登録済みのお客様は、 http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl?pid=221&fid=324のフォームを利用してDES、3DES、またはAESアクティベーションキーを入手してください。登録が済んでいないお客様は、 http://tools.cisco.com/RPF/register/register.do?locale=ja_JPにアクセスして、登録を行ってください。

フラッシュメモリ要件

表2に、PDMバージョン3.0プラットフォームでPIX OSバージョン6.3を使用する場合のフラッシュメモリ要件を示します。

表2 PDMバージョン3.0のフラッシュメモリ要件

PIXセキュリティアプライアンスモデル	必要なフラッシュメモリ
PIX 501	8 MB
PIX 506/506E	8 MB
PIX 515/515E	16 MB
PIX 520	16 MB（新しいPIX 520には16 MBのメモリが搭載されていますが、古い装置のメモリは2 MBのため、メモリのアップグレードが必要になる場合があります。）
PIX 525	16 MB
PIX 535	16 MB

コンフィギュレーションファイルの最大サイズ

最適なパフォーマンスを得るために、PDMを使用する場合はPIXのコンフィギュレーションファイルが100 KB（約1500行）を超えないようにすることを推奨します。

PIXセキュリティアプライアンスのコンフィギュレーションファイルが100 KBを超えていると、次のような状況でワークステーション上のPDMのパフォーマンスが低下する可能性があります。

・write termやshow confなどのコマンドの実行時

・フェールオーバー（設定の同期時）

・システムのリロード時

コンフィギュレーションファイルのサイズを確認するには、PIX OSのCLIプロンプトでshow flashfsコマンドを入力します。出力結果から[file 1]で始まる行を探します。同じ行で[length]というラベルの付いた数値が、コンフィギュレーションファイルのバイト数です。

次に例を示します。

pixfirewall# show flashfs

flash file system:version:3  magic:0x12345679

  file 0:origin:0 length:1925176

  file 1:origin:2883584 length:2944

  file 2:origin:3014656 length:32

  file 3:origin:0 length:0

  file 4:origin:3145728 length:131072

  file 5:origin:8257536 length:308

PDMとは別に、PIXセキュリティアプライアンスにはプラットフォームごとにコンフィギュレーションファイルのサイズ制限があります。プラットフォーム別のコンフィギュレーションファイルの最大推奨サイズについては、表3を参照してください。

表3 プラットフォーム別のコンフィギュレーションファイルの最大推奨サイズ

PIXセキュリティアプライアンスモデル	コンフィギュレーションファイルの最大サイズ
PIX 501	256 KB
PIX 506/506E、515/515E、520	1 MB
PIX 525、PIX 535¹	2 MB

¹ これは、PIX OSバージョン5.3(2)以上での最大サイズです。PIX OSバージョン5.3(1)以前のコンフィギュレーションファイルの最大推奨サイズは1 MBです。

ソフトウェア要件

PIX OSバージョン6.3のソフトウェア要件は、次のとおりです。

・PIX OSイメージは、フロッピーディスクに入らないサイズになりました。フロッピーディスクドライブを装備したPIXセキュリティアプライアンスを使用している場合は、cisco.com（http://www.cisco.com/pcgi-bin/tablebuild.pl/pix）からBoothelperファイルをダウンロードして、PIX OSイメージを取得してください。

・以前のバージョンのPIX OSからアップグレードする前に、設定を保存して、アクティベーションキーおよびシリアル番号を書き留めてください。新しいインストール要件については、「新しいソフトウェアリリースへのアップグレード」を参照してください。

・バージョン4以前からアップグレードした場合、Auto Update、IPSec、SSH、PDM、またはVPNを使用するためには、新しい56ビットDESアクティベーションキーが必要です。このアクティベーションキーは、 http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl?pid=221&fid=324のフォームに記入すれば入手できます。

・PIXセキュリティアプライアンスのソフトウェアバージョンを確認するには、show versionコマンドを使用します。

新しいソフトウェアリリースへのアップグレード

シスコの登録ユーザの場合は、『Cisco Secure PIXファイアウォールのソフトウェアのアップグレード』を参照してください。URLは次のとおりです。http://www.cisco.com/japanese/warp/public/3/jp/service/tac/110/upgrade-j.html

PC/ワークステーションの要件

PDMの要件は、プラットフォームによって異なります。

注 PDMは、Macintosh、Windows 3.1、Windows 95、Windows 98、Windows ME、およびWindows NT OSではサポートされていません。

PDMを使用してPIXセキュリティアプライアンスにアクセスする場合は、次の点に注意してください。

・ディスク領域の最小要件 ― PDMをブラウザにロードするには、4 MB以上のテンポラリディスク領域が必要です。

・Java Virtual Machine（JVM）― JVMのバージョンを確認するには、PDMを起動します。PDMメインメニューで、Help>About Cisco PIX Device Managerをクリックします。About PDM情報ウィンドウが表示され、ブラウザの仕様が表形式で表示されます。Internet Explorer用JVMの最新バージョンはMicrosoftからダウンロードできます。また、Sun Microsystems（www.java.sun.com）から最新のJava Plug-inをダウンロードできます。

・HTTP 1.1 ― プロキシ接続と非プロキシ接続の両方でHTTP 1.1を使用するように、Internet Options>Advanced>HTTP 1.1 settingsで設定します。

サポート対象プラットフォーム

ここでは、次の項目について説明します。

・ Microsoft Windows

・ Sun Solaris

・ Red Hat Linux

Microsoft Windows

表4および表5に、PDM3.0を使用するWindowsプラットフォームの要件を示します。

表4 PDM3.0を使用するWindowsプラットフォームのハードウェア要件とネットワーク接続要件

タイプ	要件
ハードウェア
プロセッサ	450 MHz以上で動作するPentium IIIまたは同等のプロセッサ
RAM	256 MB
ディスプレイの解像度と色数	1024×768ピクセルおよび256色
ネットワーク接続
接続速度	56 Kbps、ただし384 Kbps（DSLまたはケーブル）を推奨

表5 PDM 3.0のサポート対象および推奨Windowsプラットフォーム

OS	ブラウザ	JVM
サポート対象のWindowsプラットフォーム
Microsoft Windows 2000（Service Pack 4）または Microsoft Windows XP	Internet Explorer 6.0	ネイティブ¹ JVM（VM 3809）または Java Plug-in 1.4.2
	Netscape 7.1	Java Plug-in 1.4.2

¹ ネイティブとは、ブラウザに付属の組み込みJVMを意味します。

注 PDMバージョン3.0(2)は、Windows 3.1、Windows 95、Windows 98、Windows ME、およびWindows NTではサポートされていません。

注 PDMバージョン3.0(2)は、Microsoft Windowsの英語版と日本語版の両方でサポートされています。

Sun Solaris

表6および表7に、PDM3.0を使用するSun Solarisプラットフォームの要件を示します。

表6 PDM3.0を使用するSun Solarisプラットフォームのハードウェア要件とネットワーク接続要件

タイプ	要件
ハードウェア
プロセッサ	SPARC
RAM	256 MB以上
ディスプレイの解像度と色数	1024×768ピクセルおよび256色以上
ネットワーク接続
接続速度	56 Kbps、ただし384 Kbps（DSLまたはケーブル）を推奨

表7 PDM 3.0のサポート対象および推奨Sun Solarisプラットフォーム

OS	ブラウザ	JVM
サポート対象のSun Solarisプラットフォーム¹
Sun Solaris 2.8または2.9	Mozilla 1.4	Java Plug-in 1.4.2

¹ OpenWindowsを実行しているSun Solarisではサポートされません。

Red Hat Linux

表8および表9に、PDM3.0を使用するRed Hat Linuxプラットフォームの要件を示します。

表8 PDM3.0を使用するLinuxプラットフォームのハードウェア要件とネットワーク接続要件

タイプ	要件
ハードウェア
プロセッサ	450 MHz以上で動作するPentium IIIまたは同等のプロセッサ
RAM	256 MB以上
ディスプレイの解像度と色数	1024×768ピクセルおよび256色以上
ネットワーク接続
接続速度	56 Kbps、ただし384 Kbps（DSLまたはケーブル）を推奨

表9 PDM 3.0のサポート対象および推奨Red Hat Linuxプラットフォーム

ブラウザ

JVM

サポート対象のRed Hat Linuxプラットフォーム

GNOMEまたはKDEを実行するRed Hat Linux 9.0

Red Hat Enterprise Linux WSバージョン3

Mozilla 1.4

Java Plug-in 1.4.2

PDMバージョン3.0(2)の新機能

PDMバージョン3.0(2)では、次の新機能を使用できます。これらの機能の多くは、PIX OSバージョン6.3(4)における変更をサポートするために導入されました。

AAAフォールバック

デフォルトでは、AAA（認証、許可、アカウンティング）サーバで障害が発生すると、認証または許可（あるいはその両方）を実行できなくなります。AAAフォールバックを選択すると、AAAサーバに障害が発生した場合、Cisco PIXセキュリティアプライアンスにある「ローカル」データベースを使用して、認証または許可（あるいはその両方）を実行します。Cisco PIXセキュリティアプライアンスのローカルデータベースは、次の場合にも使用できます。

1. ファイアウォールの認証または許可（あるいはその両方）

2. IKE extended authentication（Xauth）

この機能は、PIX OSバージョン6.3(4)で導入されました。

PIX 506/506EのVLANサポート

PDMは、PIX 506/506E上でVLAN（仮想LAN）をサポートしています。インターフェイスは4つに制限されているため、これらのプラットフォームの2つのインターフェイスには、最大2つの論理インターフェイスを設定できます。

HTTPS、FTP、Java、およびActiveX以外のフィルタリング

PDM 3.0では、「ActiveXをフィルタリングしない」、「Javaアプレットをフィルタリングしない」、「HTTPSをフィルタリングしない」、「FTPをフィルタリングしない」という4つのフィルタ処理が追加されました。これらのフィルタにより、フィルタリングしないホストまたはネットワークを指定できます。たとえば、フィルタリングが不要なホストまたはネットワークが「ActiveXをフィルタリングする」というルールに含まれている場合、「ActiveXをフィルタリングしない」というルールを作成して、例外を作成できます。

SIP IPアドレスプライバシ

IP Phoneコールまたはインスタントメッセージングセッションに参加している2つのSIPエンドポイントが、同じ内部ファイアウォールインターフェイスを使用して、外部ファイアウォールインターフェイス上のSIPプロキシサーバに接続している場合、SIP IPアドレスプライバシを有効にすることで、すべてのSIPシグナリングメッセージがSIPプロキシサーバを通過できるようになります。

この機能は、SIP over TCPフィックスアップまたはSIP over UDPフィックスアップが有効化されている場合に有効になります。デフォルトでは、この機能は無効です。

SIP IPアドレスプライバシが有効な場合、PIXセキュリティアプライアンスは、着信SIPトラフィックのTCPまたはUDPペイロードに組み込まれた内部および外部ホストIPアドレスの変換を行いません。これらのIPアドレスに対する変換ルールは無視されます。

ISAKMP（IKE）イベントトレース

ISAKMPイベントトレースには、トラブルシューティング用のシンプルなイベントトレースバッファが含まれています。これは、PIX 501 Easy VPN Remoteを使用している場合など、Syslogサーバが使用できない場合のトラブルシューティングに役立ちます。さまざまなイベントを記録するように設定できます。デフォルトでは、イベントトレースは無効です。

ローカルプールのネットマスクサポート

この機能を使用すると、IPローカルプールのネットマスクをオプションで設定できます。この情報は、ネットマスクにモード設定要求を送信するときに、VPNクライアントに送信されます。この機能を使用しない場合、Windows VPN 4.xクライアントなどのVPNクライアントは、何も指定されていないので、クラスフルネットマスクを使用します。

SNMPフィックスアップ

この機能を使用すると、PIXセキュリティアプライアンスを通過するSNMP（簡易ネットワーク管理プロトコル）トラフィックを検証できます。デフォルトでは、SNMP検証は無効です。

また、SNMPプロトコルバージョンに基づいてトラフィックをフィルタリングすることもできます。サポートされるSNMPバージョンは、バージョン1、2、2c、および3です。

Extended DNS（EDNS0）フィックスアップ

Extended DNS（EDNS0）機能により、DNSフィックスアップ、および512バイトを超えるUDP DNS応答パケットがサポートされます。512バイトを超えるサイズのサポートについては、RFC 2671に定義されています。この機能が追加されるまで、512バイトを超えるUDP DNS応答パケットはPIXセキュリティアプライアンスで削除されていました。

TFTPフィックスアップ

Trivial File Transfer Protocol（TFTP;簡易ファイル転送プロトコル）は、ホスト間でファイルを転送するために使用される非常にシンプルなプロトコルです。このフィックスアップはデフォルトで有効で、ポート69が使用されます。TFTPがどのポートを使用するようになっていても設定可能です。この機能は、PIX 6.3(2)で導入されました。

VAC情報の参照

PDMホームページで、VPN Accelerator Card（VAC）またはVAC+の有無を確認できます。

PDMバージョン3.0(1)で導入された機能

PDMバージョン3.0(1)では、次の機能が導入されました。

VLANベースの仮想インターフェイス

PIXセキュリティアプライアンスに802.1Q VLANのサポートが追加されたことで、PIXセキュリティアプライアンスの管理とプロビジョニングが柔軟に行えるようになりました。この機能により、物理インターフェイスからのIPインターフェイスのデカップリングが可能になり（この結果、搭載されているインターフェイスカードの数に関係なく論理IPインターフェイスを設定できるようになりました）、IEEE 802.1Qタグを適切に処理できるようになりました。

OSPFダイナミックルーティング

Open Shortest Path First（OSPF）の導入により、ルートの伝播と、ルートコンバージェンス時間の大幅な短縮が可能になりました。PIXセキュリティアプライアンスにより、エリア内ルート、エリア間ルート、および外部ルートがサポートされます。OSPFプロセスへのスタティックルートと接続済みルートの配布、およびOSPFプロセス間での再配布もサポートされます。

ESPトンネルのPAT

PAT IPプロトコル50により、1つのIPSecユーザ発信アクセスをサポートできるようになりました。

NATトラバーサル

この機能は、NATとIPSec間の既知の非互換性のほとんどに対応します。この非互換性は、IPSecを展開する上での主な障害になっていました。設計は、IETF NAT最終ドラフト版に基づいており、シスコのNAT製品だけでなくシスコ以外のNATプラットフォームとのインターオペラビリティが最大限に確保されます。

DHCPリレー

PIXセキュリティアプライアンスは、どのインターフェイス上であってもIPホストのダイナミック設定を支援し、DHCPリレーエージェントとして機能します。PIXセキュリティアプライアンスは、任意のインターフェイス上のホストから要求を受け取り、別のインターフェイス上の（ユーザが設定した）DHCPサーバに転送します。

ACL内のコメント

この機能を利用してアクセスリストにコメントを追加することにより、ACL（アクセス制御リスト）がわかりやすくなり、簡単にスキャンできるようになります。

ACL別のSyslog

この機能により、特定のACLエントリにロギングオプションを設定できます。このようなオプションが設定されている場合、ACLエントリの許可または拒否条件が一致したフローごとに統計情報が記録されます。

AES

この機能は、PIXセキュリティアプライアンス上のAESをサポートします。近い将来IETFによって、IPSecとIKEの両方に必要なプライバシ変換としてAESが義務付けられると予測されています。AESは、128ビット、192ビット、および256ビットの暗号化をサポートしています。

Diffie-Hellmanグループ5

この機能により、グループ5識別子を付与された1536ビットのMODPグループがサポートされます。

ACL内のアドレスを使用したインターフェイスの指定

インターフェイスの外部にあるPIXセキュリティアプライアンスでDHCPクライアントを実行している場合、外部のDHCPアドレスがISPによって変更されるたびにアクセスリストを調整する必要がなくなります。

新しいフィックスアップ

CTIQBE、MGCP、PAT for PPTP、PAT for ESPトンネル、ICMPエラー、PAT for Skinnyが追加されました。

X.500によるCA登録

事前に共有されているキーにはAggressive Mode、RSA-IGベースのキー交換にはMain Mode（MM）が使用されます。これは、3002の動作に準拠しており、可能な場合は常にMMが実行されます。

HTTPS認証プロキシ

この新機能は、トランザクションにHTTPSを使用することで、HTTPクライアントとPIXセキュリティアプライアンス間の情報交換を安全に行います。

ピア認証DNの検証

IKEネゴシエーション時に認証Distinguished Name（DN）値を確認することにより、有効でも予期されていないピアを除去できます。

VPNインターオペラビリティ

PDMでは、他のヘッドエンドVPNデバイスとのインターオペラビリティのために、キーIDまたは文字列を指定できます。

Syslogメッセージのレベル変更

この機能を使用して、ロギングオプションを特定のACLエントリに設定することにより、デフォルトのロギングレベルを変更できます。このようなオプションが設定されている場合、ACLエントリの許可または拒否条件が一致したフローごとに統計情報が記録されます。

AAAプロキシ制限

許可される同時プロキシ接続の数を制限できます。

Websenseを使用したHTTPS/FTP

この機能により、既存のWebsenseベースのURLフィルタリングがHTTPSおよびFTPに拡張されます。

SIP over TCP

PIXセキュリティアプライアンスがSIP over TCPトラフィックを待ち受けるポートを設定できます。

SIP UDPフィックスアップを無効にする機能

この機能により、SIP UDPポートでPIXセキュリティアプライアンスによって削除される有効な非SIPパケットがサポートされます。

任意のインターフェイス上のDHCPサーバ

すべてのインターフェイスをDHCPサーバとして設定できます。

管理機能へのアクセス

IPSec VPNトンネルを介して固定IPアドレスを持つ内部インターフェイスにアクセスし、PDMなどを使用して、PIXセキュリティアプライアンスを管理できます。

コンソールタイムアウト

新しいConsoleパネルを使用すると、アイドル時にコンソール接続がタイムアウトするまでの時間を設定できます。

バナー

新しいBannerパネルを使用すると、日付メッセージ、ログイン、およびセッションの各バナーを設定できます。

印刷機能の改善

印刷機能が改善され、アクセスリストがより簡単に印刷および表示できます。

RME Syslogの互換性

この新機能により、メッセージをCisco EMBLEM形式でSyslogサーバに記録できます。このため、Syslogホストに送信されたPIXセキュリティアプライアンスのメッセージをResource Manager Essentials（RME）Syslogアナライザを使用して解析できます。

PDMホームページ

新しいPDMホームページを利用すると、インターフェイスのステータス、実行しているバージョン、ライセンス情報、パフォーマンスなど、PIXセキュリティアプライアンスに関する重要な情報が一目でわかります。

CLI送信時のバッチモード

PDMでは、一連のCLIコマンドをPIXセキュリティアプライアンスに送信して実行できます。これにより、変更を行ったために接続が失われても、すべてのCLIの送信および設定が実行されます。

重要事項

ここでは、PDMソフトウェアバージョン3.0に関する重要事項について説明します。

インターフェイスのセキュリティレベル

同じセキュリティレベルで設定されたインターフェイス間のトラフィックは許可されていないため、PDMはこの設定をサポートしていません。

CLIコマンドのサポート

PDMバージョン3.0では、PIX OSのCLIコマンド構文がサポートされるようになりました。サポート対象のCLIコマンドの詳細については、PDMオンラインヘルプを参照してください。

完全にサポートされているCLIコマンド

PDMは、PIXセキュリティアプライアンスの設定をアップロードまたは作成するときにこれらのコマンドを解析したうえで、PDMユーザインターフェイスのすべてのタブへのアクセスを認可します。

PDMがコマンド文の特定の組み合わせを解析できなかった場合、表に示した例外が発生します。PDMが解析できなかったコマンドは設定に残り、PDMではその値を変更できません。値は、解析できないコマンドのリストに表示されます。

表10に、PDMが完全にサポートしているCLIコマンドを示します。PDMは、PIXセキュリティアプライアンスを設定する際、これらのコマンドを解析して正常に動作するようにします。

表10 PDMが解析して設定で完全にサポートしているCLIコマンド

PIXコマンド
aaaコマンド、includeオプション
aaaコマンド、match acl_nameオプション
aaa-server
access-listおよびaccess-group
access-list compiled
apply
ca
clock
auth-prompt
conduit
crypto map
crypto dynamic-map
crypto ipsec
dhcpd
dhcpre
domain-name
enable password
failover
failover lan and
show failover lan detail
filter
fixup protocol
fragment
global
hostname
http
icmp
igmp
interface
ip address
ip audit
ip local pool
ip verify reverse-path
isakmp identity [address \| hostname]
logging
mroute
multicast
name
nameif
nat
nat [(if_name)] 0 access-list acl_name
ntp
object-group （network、service）
outbound
passwd
pdm
pdm group
pdm history
pdm location
pdm logging
privilege
remote-management
rip
route
service resetinbound
snmp-deny
snmp-server
ssh
static（着信PATに使用）
sysopt
telnet
tftp-server
timeout
url-block
url-cache
url-server
username
vpdn
vpnclient
vpngroup

完全にサポートされていないCLIコマンド

表11に、変更できないコマンドを示します。PDMはPIXセキュリティアプライアンスを設定する際、これらのコマンドを解析して透過的に処理します。

表11 PDMで変更不可能な完全にサポートされていないCLIコマンド

PIX OSのCLIコマンド
arp
floodguard
established
object-group icmp-type
object-group network （ネストされた混合オブジェクトタイプ）
object-group protocol
sysopt ipsec pl-compatible
sysopt nodnsalias inbound
sysopt nodnsalias outbound
sysopt route dnat
sysopt security fraggaurd
sysopt uauth allow-http-cache
virtual

PDMが無視するCLIコマンド

これらCLIコマンドは、PDMの解析できないコマンドのリストに表示されます。ただし、PDMはこれらのコマンドを変更したり設定から削除するわけではないため、これらのコマンドが存在していても、PDMのユーザインターフェイスタブへのアクセスが制限されることはありません。

それ以外の場合、解析できないコマンドのリストに表示されているコマンドを除いて、次のコマンドはPDMで無視されます。

・どのインターフェイスにもaaaコマンドにも適用されないアクセスリスト ― access-groupコマンド文またはaaa match aclコマンド文を伴わないaccess-listコマンド文

次に例を示します。

access-list eng permit ip any server1 255.255.255.255

access-list eng permit ip any server2 255.255.255.255

access-list eng permit ip any server3 255.255.255.255

access-list eng deny ip any any

・関連するapplyコマンド文のないoutboundコマンド文

・すべてのisakmp client configurationコマンド

注すべてのOSPFサブコマンドはサポートされていません。

サポートされていないCLIコマンドおよびコマンドの組み合わせ

次のCLIコマンドまたはコマンドの組み合わせは、モニタリング目的でのみ使用でき、設定には使用できません。

表12に、設定でPDMがサポートしていないコマンドを示します。設定にこれらのコマンドが存在する場合、Monitoringタブでのみ使用できます。

表12 PDM Monitoringタブへのアクセスに限定されたCLIコマンド

コマンド
alias
outbound id except
access-list acl1 deny igmp any any access-group acl1

また、次のコマンドの組み合わせも、Monitoringタブへのアクセスしか許されません。

・includeまたはexcludeオプションを指定した他のaaaコマンドとともに設定に表示される、matchオプションを指定したaaaコマンド。たとえば、次のコマンドはPDMでは解析されません。

access-list 101 permit tcp any any

aaa authentication include http inside 1.1.1.1 255.255.255.255 0.0.0.0 0.0.0.0 portal

aaa accounting match 101 inside portal

これを修正するには、aaaコマンドを排他的にmatch aclスタイルまたはinclude/excludeスタイルに変更します。

・access-listおよびaccess-groupコマンド文と、conduitまたはoutboundコマンド文（あるいはその両方）の組み合わせ。たとえば、次のコマンド（必ずしも連続して表示されるとは限りません）は、設定内のどこに表示されていてもPDMでは解析されません。

access-list 101 permit ip 172.21.3.0 255.255.0.0 172.22.2.0 255.255.0.0

access-group 101 in interface outside

conduit permit icmp any any

注 ACLの組み合わせによっては、サポートされないものもあります。

・複数のインターフェイスに同じACLを使用した場合。たとえば、 access-list eng permit ip any server1 255.255.255.255コマンドはアクセスを制限します。

access-group eng in interface perim

access-group eng in interface outside

・access-groupとaaaコマンド文の両方など、複数の目的で1つのACL名を使用した場合。たとえば、次のコマンドはPDMでは解析されません。

access-list acl_out permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224

access-group acl_out in interface outside

aaa authentication match acl_out outside AuthIn

この例では、access-listコマンド文は、access-groupコマンドによって外部のインターフェイスに適用されます。したがって、同じACL名をaaaコマンド文で使用することはできません。この例を修正するには、access-groupコマンド文を指定せずにaccess-listコマンド文を作成して、aaaコマンド文に適用します。

次に例を示します。

access-list acl_out2 permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224

aaa authentication match acl_out2 outside AuthIn

・1つのACLを複数の目的（認証、許可、アカウンティングなど）に使用した場合。たとえば、次のコマンド文はPDMでは解析されません。

access-list acl_out2 permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224

aaa authentication match acl_out2 outside AuthIn

aaa authorization match acl_out2 outside AuthIn

この例では、access-listコマンド文は、aaa authenticationコマンドによって外部のインターフェイスに適用されます。認証と許可の両方にACL名acl_out2を使用した場合、PDMでは解析されません。これを修正するには、最初の文と同じ access-listコマンド文をもう1つ作成して、aaa authorizationコマンドに適用します。

次に例を示します。

access-list acl_out2 permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224

access-list acl_out3 permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224

aaa authentication match acl_out2 outside AuthIn

aaa authorization match acl_out3 outside AuthIn

・複数のインターフェイスにoutboundコマンド文グループを適用した場合。たとえば、次のコマンド文はPDMでは解析されません。

outbound 13 deny 0.0.0.0 0.0.0.0 0 0

outbound 13 permit 0.0.0.0 0.0.0.0 389 tcp

outbound 13 permit 0.0.0.0 0.0.0.0 30303 tcp

outbound 13 permit 0.0.0.0 0.0.0.0 53 udp

apply (inside) 13 outgoing_src

apply (perim) 13 outgoing_src

・exceptオプション含むoutboundコマンド文。exceptオプションの代わりにpermitまたはdeny文を使用すると、exceptオプションを指定する必要がなくなります。exceptオプションをpermitまたはdenyで置き換えると、PDMは正常に機能します。

・ユーザに権限がない場合。ユーザには、次の基本コマンドを実行する権限がありません。

write

show pdm

show version

show curpriv

・ACLおよびIGMPアクセスグループ。アクセスリストは、interfaceコマンドおよびigmp access groupコマンドには適用できません。次のコマンドは使用できません。

access-list acl1 deny igmp any any

access-group acl1 in interface outside

multicast interface outside

igmp access-group acl1

・ポリシーNAT設定によりPDMが強制的にモニタモードになる場合。ポリシーNATの設定方法および関連するCLIコマンドの詳細については、『Cisco PIX Firewall and VPN Configuration Guide』Version 6.3を参照してください。URLは次のとおりです。
/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1160287

設定に次のコマンドのいずれかが含まれる場合、PDMは強制的にモニタモードになります。

static (inside,outside) 209.165.202.129 access-list NET1

static (inside,outside) 209.165.202.130 access-list NET2

nat (inside) 1 access-list NET1

nat (inside) 2 access-list NET2

複数のPDMセッション

PDMを使用すると、PCまたはワークステーションごとに1つのブラウザセッションを、同じPIXセキュリティアプライアンスに対して開くことができます。1台のPIXセキュリティアプライアンスで、最大5つのPDMセッションを同時にサポートできます。ただし、特定のPIXセキュリティアプライアンスに対して、各PCまたはワークステーションのブラウザごとに1つのセッションのみがサポートされます。複数のPDMセッションの詳細については、PDMオンラインヘルプを参照してください。

警告

ここでは、PDMソフトウェアバージョン3.0に関する警告について説明します。

Cisco Bug Toolkitで警告を検索しやすいように、ここに記載されている警告のタイトルは、Bug Toolkitデータベースから直接抽出されたものです。これらの警告のタイトルは、タイトルフィールドの長さが制限されているため、完全な文ではありません。警告のタイトルでは、詳細な説明を表示するために、一部の表現や句読点が削除されている場合があります。これらのタイトルで変更された点は、次のとおりです。

・コマンドは太字で示しています。

・製品名と略語を標準的な表記にしました。

・スペルの間違いと誤植を修正しました。

注警告の追加情報を参照するには、Cisco.comにあるBug Navigator IIを使用してください。Bug Navigator IIには、次のWebサイトからアクセスできます。

http://www.cisco.com/support/bugtools

未解決の警告 ― バージョン3.0(2)

表13の警告は、このバージョンではまだ解決されていません。

表13 未解決の警告

ID番号	ソフトウェアバージョン
	3.0(2)
	修正	警告のタイトル
CSCdx44905	未修正	対応するアクセスリストでIPローカルプールの範囲外のサブネットを使用しています。
CSCea91176	未修正	Java例外とPDMフェールオーバー設定が長時間続いており、応答がありません。
CSCeb02306	未修正	PPPoE：AdvパネルのSpecify ip addフィールドにIP追加/マスクが表示されていません。
CSCeb02365	未修正	apply outsideが指定され、pdm locおよびnatが指定されていない場合、PDMはACL IPを解析しません。
CSCeb03161	未修正	Mozilla：フィルタルール/追加 ― 処理を選択できません。
CSCee26060	未修正	PDM：アクセスルール ― ホスト/ネットワーク別の検索が機能していません。
CSCeb02306	未修正	PPPoE：AdvパネルのSpecify ip addフィールドにIP追加/マスクが表示されていません。
CSCeb02365	未修正	apply outsideが指定され、pdm locおよびnatが指定されていない場合、PDMはACL IPを解析しません。
CSCeb03161	未修正	Mozilla：フィルタルール/追加 ― 処理を選択できません。
CSCee26060	未修正	PDM：アクセスルール ― ホスト/ネットワーク別の検索が機能していません。
CSCef14485	未修正	pdmversion.htmlにアクセスしたあと、PDMがハングし、応答がありません。
CSCef15485	未修正	SolarisおよびRed Hat LinuxでChoicelistが空白になっています。
CSCef16686	未修正	DNSが解決されていないSparc Solaris 9 Mozillaを搭載したPDMがクラッシュしました。
CSCef18340	未修正	Java例外により、RH Linux 9/Moz 1.4のURLでスタートアップウィザードを開けません。
CSCef18357	未修正	PDMはLANベースのフェールオーバーを完全に設定できませんでした。
CSCef18532	未修正	enable_15ユーザはPDMを経由してログインできませんが、成功する場合もあります。
CSCef20659	未修正	PDMキャッシュをクリアして、Mozillaを閉じてからPDMが起動するまで15分かかります。

解決済みの警告 ― バージョン3.0(2)

表14の警告は、このバージョンでは解決されています。

表14 解決済みの警告

ID番号	ソフトウェアバージョン
	3.0(2)
	修正	警告のタイトル
CSCeb01180	修正済	PDMの遅延は、JDK140を搭載したNetscape 7.02のMGCPエラーメッセージの場合があります。
CSCeb02351	修正済	ConsoleパネルでResetをクリックすると、Applyボタンが常に無効になります。
CSCeb03726	修正済	Java例外にNULLポインタがあり、インターフェイスプロパティの応答がありません。
CSCeb39829	修正済	PDMがACLの注釈/説明を誤って追加または削除しました。
CSCeb70135	修正済	PDMは先頭が数字のドメイン名をサポートする必要があります。
CSCec35241	修正済	Sysopt接続の説明が正しくありません。
CSCec35328	修正済	PDMはポート2748（CTIQBE）のアクセスリストを表示しません。
CSCec37961	修正済	オブジェクトグループを使用するとPDMがハングし、インターフェイスが無効になります。
CSCec56549	修正済	ポップアップブロッキングが検出されないため、ユーザはPDMウィンドウを待機しています。
CSCec76786	修正済	ドイツ語のウムラウトを使用してACLの注釈を編集すると、ACL行が削除されることがあります。
CSCed05953	修正済	PDMがトンネルポリシーを誤って編集しました。
CSCed33614	修正済	長い名前の設定のロード中にPDMがハングしました。
CSCed50561	修正済	PDMがUDP/80のリテラルwwwを解釈できません。
CSCed60776	修正済	PDMにInterfaceダイアログのヘルプファイルの間違ったセクションが表示されます。
CSCed60826	修正済	インターフェイスにoutsideが指定されていない場合、DHCPクライアントまたはPPPoEクライアントを設定できません。
CSCed90516	修正済	AAAフォールバックCLIのサポートが追加されました。
CSCee32857	修正済	HTTPS、FTP、Java、およびActiveXのフィルタ例外がありません。
CSCee39532	修正済	PIX 506モデルのVLANサポートが有効になりました。
CSCee55166	修正済	AAAサーバグループで、デッドタイムの変更時にCLIが生成されませんでした。
CSCee69148	修正済	UNIXでテキストの一部が表示されていません。小さいフォントを使用してください。
CSCee73579	修正済	オブジェクトのIPアドレスの変更時にPDMがハングします。
CSCee89533	修正済	Netscape 7.1を使用してPDMを終了すると、Netscapeがハングします。
CSCef12218	修正済	UNIXでフォントサイズを小さくすると、テキストボックスでテキストの一部が表示されません。
CSCea87168	修正済	Mozilla：System Propカテゴリの一部をクリックすると、Unappliedウィンドウが表示されます。
CSCea93281	修正済	マスクビットを0より大きくする必要があるというエラーが表示されますが、PDMでは使用可能です。
CSCeb05369	修正済	上部を編集および変更しても、PDMで変更が検出されません。
CSCef14135	修正済	RHLinux9/Mozilla1.4.2/JDK1.4.2でHomepageパネルの名前が表示されていません。
CSCef14372	修正済	Fixup snmpパネルでポート範囲が初めて追加されませんでした。
CSCef15434	修正済	CLIにRHEL WSV3のCLIを入力する場所がありません。
CSCef15449	修正済	スタートアップウィザードを使用してシャットダウンインターフェイスを起動できませんでした。
CSCef15589	修正済	ロギングカテゴリのナビゲート中にUnapplied changesボックスが表示されました。
CSCef17908	修正済	CLIツールを使用して複数のコマンドをPIXを送信すると、予期しない動作が発生します。

マニュアルの入手方法

シスコの製品マニュアル、テクニカルサポート、およびその他のリソースは、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

WWW上の次のURLから、シスコ製品の最新資料を入手することができます。

http://www.cisco.com/support/bugtools

日本語マニュアルは、下記のURLから入手できます。

http://www.cisco.com/jp/service/manual_j/

シスコのWebサイトには、次のURLからアクセスしてください。

http://www.cisco.com
http://www.cisco.com/jp

Documentation CD-ROM

シスコ製品のマニュアルおよびその他の資料は、製品に付属のCisco Documentation CD-ROMパッケージでご利用いただけます。Documentation CD-ROMは定期的に更新されるので、印刷資料よりも新しい情報が得られます。このCD-ROMパッケージは、単独、年間、または3カ月契約で入手することができます。

Cisco.com登録ユーザの場合、Cisco OrderingツールからDocumentation CD-ROM（Customer Order Number DOC-CONDOCCD=）を単独で発注できます。次のURLにアクセスしてください。

http://www.cisco.com/en/US/partner/ordering/ordering_place_order_ordering_tool_launch.html

また、どなたでも、オンラインのSubscription Storeから年間または3カ月ごとの購読契約で発注できます。次のURLにアクセスしてください。

http://www.cisco.com/go/marketplace

マニュアルの発注方法

英語版マニュアルの発注方法については、次のURLにアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

日本語マニュアルは、シスコシステムズマニュアルセンターから入手できます。

http://www.cisco.com/jp/service/manual_j/manual_center/

不明な点があれば、製品を購入された代理店にお問い合わせください。

テクニカルサポート

Technical Assistance Center（TAC）では、シスコシステムズとサービス契約を結んでいるお客様、パートナー、リセラー、販売店を対象として、評価の高い24時間体制のテクニカルサポートサービスをオンラインおよび電話で提供しています。Cisco.comでは、技術支援のオンライン窓口として、TAC Webサイトを提供しています。

TAC Webサイト

TAC Webサイト（http://www.cisco.com/tac）は、マニュアルやツールをオンラインで提供し、シスコの製品およびテクノロジーに関する技術的問題のトラブルシューティングおよび解決を支援します。TAC Webサイトは1年中いつでも利用することができます。

TAC Webサイト上のツールにアクセスする際は、いずれもCisco.comのログインIDおよびパスワードが必要です。サービス契約が有効で、ログインIDまたはパスワードを取得していない場合は、次のURLで登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do

Japan TAC Webサイト

Japan TAC Webサイトでは、利用頻度の高いTAC Webサイト（http://www.cisco.com/tac）のドキュメントを日本語で提供しています。Japan TAC Webサイトには、次のURLからアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Webサイトのドキュメントにアクセスできます。

Japan TAC Webサイトにアクセスするには、Cisco.comのログインIDとパスワードが必要です。ログインIDとパスワードを取得していない場合は、次のURLにアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register/

TACレベル情報の参照

オンラインTAC Case Openツール（http://www.cisco.com/tac/caseopen）では、P3およびP4の問題（ネットワークの障害が軽微である場合、あるいは製品情報が必要な場合）について最も迅速にテクニカルサポートを受けられます。状況をご説明いただくと、TAC Case Openツールはすみやかな問題解決に役立つリソースを自動的に推奨します。これらの推奨リソースを使用しても問題が解決しない場合は、TACの技術者が対応します。

問題がP1またはP2（運用中のネットワークがダウンした場合、あるいは重大な障害が発生した場合）であるか、インターネットにアクセスできない場合は、電話でTACにご連絡ください。P1およびP2の問題にはTACの技術者がただちに対応し、業務を円滑に運営できるよう支援します。

電話でテクニカルサポートを受ける際は、次の番号のいずれかをご使用ください。

アジア太平洋：+61 2 8446 7411（オーストラリア：1 800 805 227)
EMEA：+32 2 704 55 55
米国：1 800 553-2447

TACの連絡先一覧については、次のURLにアクセスしてください。

http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml

TACプライオリティの定義

すべての問題を標準形式で報告するために、問題のプライオリティを定義しました。

プライオリティ1（P1） ― ネットワークがダウンし、業務に致命的な損害が発生する場合。24時間体制であらゆる手段を使用して問題の解決にあたります。

プライオリティ2（P2） ― ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマンス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたります。

プライオリティ3（P3） ― ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能している場合。通常の業務時間内にサービスの復旧を行います。

プライオリティ4（P4） ― シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要な場合。業務への影響がほとんどまたはまったくない場合。

その他の資料および情報の入手方法

シスコの製品、テクノロジー、およびネットワークソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手することができます。

・『Cisco Product Catalog』には、シスコシステムズが提供するネットワーキング製品のほか、発注方法やカスタマーサポートサービスについての情報が記載されています。『Cisco Product Catalog』には、次のURLからアクセスしてください。

http://www.cisco.com/en/US/products/products_catalog_links_launch.html

・Cisco Pressでは、ネットワーク関連の出版物を幅広く発行しています。初心者から上級者まで、さまざまな読者向けの出版物があります。『Internetworking Terms and Acronyms Dictionary』、『Internetworking Technology Handbook』、『Internetworking Troubleshooting Guide』、『Internetworking Design Guide』などです。Cisco Pressの最新の出版情報などについては、次のURLからアクセスしてください。

http://www.ciscopress.com

なお、Cisco Pressの日本語版は、ソフトバンクパブリッシングより販売されています。

http://www.cisco.com/jp/go/ciscopress/

・『Packet』は、シスコシステムズが発行する季刊誌で、業界の専門家向けにネットワーク分野の最新動向、テクノロジーの進展、およびシスコの製品やソリューションに関する情報を提供し、ネットワークへの投資を最大限に活用するのに役立ちます。ネットワークの配置やトラブルシューティングのヒント、設定例、お客様の事例研究、チュートリアル、教育や認定に関する情報、および多数の詳細なオンラインリソースを紹介しています。『Packet』には、次のURLからアクセスしてください。

http://www.cisco.com/jp/news/packet/

・『iQ Magazine』は、シスコシステムズが発行する隔月刊誌で、経営幹部向けにネットワーク業界の最新情報を提供します。『iQ Magazine』には、次のURLからアクセスしてください。

http://www.cisco.com/jp/go/iq/

・『Internet Protocol Journal』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『Internet Protocol Journal』には、次のURLからアクセスしてください。

http://www.cisco.com/en/US/about/ac123/ac147/about_cisco_the_internet_protocol_journal.html

*英語のみでの提供となります。

・トレーニング ― シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニングの最新情報については、次のURLからアクセスしてください。

http://www.cisco.com/jp/event/tra_ccc/ccc/

Hierarchical Navigation

Cisco Adaptive Security Device Manager