この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Catalyst 6500シリーズ スイッチおよびCisco 7600シリーズ ルータ上でのFirewall Services Module(FWSM;ファイアウォール サービス モジュール)の設定に使用できるすべてのコマンドをアルファベット順に紹介します。
aaa-server コマンドで指定されたサーバ上のTACACS+またはRADIUSのユーザ アカウンティングを対象または除外対象にするには、 aaa accounting コマンドを使用します。アカウンティング サービスをディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa accounting { include | exclude } service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag
(任意) source_ip アドレスにアクセスする宛先ホストのIPアドレス。 0 を指定すると、すべてのホストにアクセスが付与されます。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
interface_name は、VLAN番号と同じである必要があります。
このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。
アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。
ユーザ アカウンティング サービスは、ユーザがアクセスするネットワーク サービスを記録します。この記録は、指定したAAAサーバにも記録されます。アカウンティング情報は、サーバ グループ内のアクティブなサーバにだけ送信されます。
service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any キーワードを使用します。UDPサービスの場合、protocol/portを使用します。このポートは、TCPまたはUDPの宛先ポートに対応します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは適用されないので、使用しないでください。ポートについては、 付録B「ポートとプロトコルの値」 を参照してください。
aaa accounting コマンドは、 aaa authentication コマンドと併せて、さらにオプションで aaa authorization コマンドと併せて使用します。記録するトラフィックに対して認証を有効にしておく必要があります。
任意のホストからの接続を記録するには、ローカルIPアドレスおよびネットマスクに 0.0.0.0 0.0.0.0 または 0 0 を入力します。宛先ホストのIPアドレスおよびネットマスクについても同じ表記法を使用し、0.0.0.0 0.0.0.0を入力して宛先ホストを指定します。
ヒント help aaaコマンドを使用すると、aaa authentication、 aaa authorization、 aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。
アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。
次に、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定する例を示します。
aaa accounting match
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。アクセス リストで指定されたトラフィックに対するアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa accounting match access_list_name interface_name server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access_list_name は、 access-list extended コマンドで定義します。
ACLでは、permitでアカウントが有効になり、denyでアカウントが無効になります。
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。
次に、特定のアクセス リストでアカウンティングをイネーブルにする例を示します。
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSMを通過するトラフィックのユーザ認証を認証の対象または除外対象にするには、 aaa authentication コマンドを使用します。ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag
選択されているサービス キーワードに基づいて認証の対象にするか、対象から除外するトラフィックのタイプを指定します。指定できるサービスについては、 付録B「ポートとプロトコルの値」 を参照してください。 |
|
(任意) source_ip アドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。 |
|
aaa-server コマンドで指定されるAAAサーバ グループ タグ |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
IPアドレスごとに、受信接続に対して1つの aaa authentication コマンドを使用でき、送信接続に対して1つの aaa authentication コマンドを使用できます。特定のIPアドレスで開始される接続は一方向のみです。
aaa authentication コマンドを使用すると、次の機能をイネーブルまたはディセーブルにできます。
• aaa-server コマンドでIPアドレスが特定されるホストは、FTP、Telnet、またはHTTPを通じて接続を開始し、ユーザ名とパスワードの入力を求められます。ユーザ名とパスワードが、指定されたTACACS+またはRADIUS認証サーバで確認された場合、FWSMで認証ホストと宛先アドレス間の以降のトラフィックを許可します。
表示されるプロンプトは、認証を受けてFWSMにアクセスできる3つのサービスでそれぞれ異なります。
• Telnetユーザには、FWSMが生成するプロンプトが表示されます。FWSMは、ユーザに対して4回までのログイン試行を許可し、それでもユーザ名とパスワードが違う場合、FWSMは接続をドロップします。このプロンプトは、auth-promptコマンドで変更できます。
• FTPユーザは、FTPプログラムからプロンプトを受け取ります。ユーザの入力したパスワードが誤っている場合は、ただちに接続が中断されます。
認証データベース上のユーザ名およびパスワードが、FTPを使用してアクセスする宛先リモート ホスト上のユーザ名およびパスワードと異なっている場合は、ユーザ名とパスワードを次の形式で入力します。
FWSM装置をデイジーチェーン接続している場合、Telnet認証は装置が1台のときと同様に機能します。FTPおよびHTTPの場合は、ユーザ名またはパスワードごとにアットマーク(@)を追加して、各デイジーチェーン システムのユーザ名とパスワードを入力する必要があります。ユーザは、デイジーチェーン接続されている装置の台数、およびパスワードの長さに応じて、63文字までのパスワード制限を超えて入力できます。
FTPのGUI(グラフィカル ユーザ インターフェイス)の一部には、チャレンジ値を表示しないものがあります。
• HTTPユーザには、ブラウザが生成するポップアップ ウィンドウが表示されます。ユーザの入力したパスワードが誤っている場合、ユーザは再入力を求められます。Webサーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するにはvirtualコマンドを使用します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
アクセス認証サービスの引数 authen_service には、次の値を指定できます。
• service / port ― port を指定した場合、指定した宛先ポートを持つトラフィックのみが認証の対象または除外対象となります。 tcp/0 のオプション キーワードを使用すると、すべてのTCPトラフィック(FTP、HTTP、およびTelnetなど)に対する認証がイネーブルになります。
(注) FTP、Telnet、およびHTTPは、tcp/21、tcp/23、およびtcp/80と同じです。
(注) インタラクティブなユーザ認証が行われるのは、Telnet、FTP、またはHTTPトラフィックだけです。
ip を指定すると、 include または exclude のどちらを指定したかに応じて、すべてのIPトラフィックが認証の対象または除外対象になります。すべてのIPトラフィックを認証の対象にすると、次の処理が実行されます。
• ユーザを(発信元IPに基づいて)認証する前は、FTP要求、Telnet要求、またはHTTP要求を受信すると認証処理が発生し、ほかのIP要求はすべて拒否されます。
• FTP認証、Telnet認証、HTTP認証、または仮想Telnet認証( virtual コマンドを参照)でユーザを認証すると、 uauth がタイムアウトするまで、どのトラフィックに対しても認証処理が発生しなくなります。
アクセス元の場所とユーザを特定するには、 interface_name 、 source_ip 、および destination_ip を使用します。 source_ip のアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、
destination_ip のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。
HTTP認証で要求できるユーザ名の最大長は30文字です。パスワードの最大長は15文字です。
aaa authentication は、セキュリティ ポリシーの強制を目的としたコマンドではありません。ユーザがシステムにアクセスできるかどうかは、認証サーバが決定します。FWSMは、FTP、HTTP(Webアクセス)、およびTelnetと連携して、ネットワークへのログインまたはログインしてネットワークの外へ出る資格があるかどうかを確認します。
aaa authentication コマンドは、HTTP認証をサポートしています。
「基本テキスト認証」または「NTチャレンジ」をイネーブルにしたMicrosoft IISを実行しているサイトに対してHTTP認証を使用すると、ユーザはMicrosoft IISサーバからアクセスを拒否されます。これは、ブラウザによって、「Authorization: Basic=Uuhjksdkfhk==」という文字列がHTTP GETコマンドに付加されるためです。この文字列には、FWSMの認証証明書が含まれています。
Windows NTのMicrosoft IISサーバは、この証明書に応答して、Windows NTユーザがサーバ上のアクセス制限付きページにアクセスしようとしていると仮定します。FWSMのユーザ名およびパスワードが、Microsoft IISサーバ上の有効なWindows NTユーザ名およびパスワードとまったく同じものである場合を除いて、このHTTP GETコマンドは拒否されます。
この問題を解決するために、FWSMにはvirtual http コマンドが用意されています。このコマンドは、ブラウザの初期接続をほかのIPアドレスにリダイレクトしてユーザを認証したあとで、ユーザが要求した元のURLにブラウザをリダイレクトします。
認証が終了したあとは、FWSMのuauthタイムアウトが非常に小さな値に設定されている場合でも、ユーザ側で再認証が必要になることはありません。これは、ブラウザが「Authorization: Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザがNetscape NavigatorまたはInternet Explorerのインスタンスをすべて終了して、再起動したときだけです。キャッシュをフラッシュしても文字列は消去されません。
ユーザがインターネットを繰り返しブラウズするとき、ブラウザは「Authorization:
Basic=Uuhjksdkfhk==」文字列を毎回再送信して、ユーザを透過的に再認証します。
CU-SeeMe、Intelインターネット電話、MeetingPoint、MS NetMeetingなどのマルチメディア アプリケーションは、バックグラウンドでHTTPサービスを起動します。
(注) これらのアプリケーションの動作を妨げないようにするには、チャレンジされる全ポートを含めた包括的な送信aaaコマンド文(anyオプションを使用するものなど)を入力しないようにします。HTTPのチャレンジに使用するポートとアドレスは必要な分だけ設定し、ユーザ認証タイムアウトを設定するときは、大きめの値にします。マルチメディア プログラムの動作が妨げられると、内部からの送信セッションが確立した後に、PC上でエラーが発生したり、PCがクラッシュしたりする可能性があります。
TACACS+サーバとRADIUSサーバは、256台まで使用できます(最大16までのサーバ グループ内にサーバを16台まで設定可能)。サーバ数の設定には、aaa-serverコマンドを使用します。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが1台ずつアクセスされます。
FWSMで使用できる認証タイプは、ネットワークごとに1つだけです。たとえば、あるネットワークが認証にTACACS+を使用してFWSM経由で接続している場合、FWSM経由で接続している別のネットワークではRADIUSを使用して認証できます。しかし、1つのネットワークでTACACS+サーバとRADIUSサーバの両方を使用して認証することはできません。
TACACS+サーバでは、aaa-serverコマンド用の鍵を指定していない場合は暗号化が使用できません。
FWSMが表示するタイムアウト メッセージは、RADIUSとTACACS+のどちらの場合でも同じです。次のいずれかが発生した場合に、メッセージ「aaa server host machine not responding」を表示します。
次に、interface_name引数の使用方法を示します。ファイアウォールには、内部ネットワーク192.168.1.0、外側ネットワーク209.165.201.0(サブネット マスク255.255.255.224)、および境界ネットワーク162.65.20.28(サブネット マスク 255.255.255.224)が接続されています。
次の例では、内部ネットワークから外側ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外側ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、IPアドレス10.0.0.1~10.0.0.254が送信接続を開始できることを指定したあと、ユーザ認証をイネーブルにして、これらのアドレスがファイアウォールの外部に送信するときにユーザ証明書の入力を要求します。この例の最初の aaa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。2番めの aaa authentication コマンドでは、ホスト10.0.0.42が認証を受けなくても送信接続を開始できるようにしています。デフォルトの認証グループは tacacs+ です。
次の例では、ネットワーク アドレス209.165.201.0(サブネット マスク255.255.255.224)を指定して、209.165.201.1~209.165.201.30の範囲にあるすべてのIPアドレスへの受信アクセスを許可します。 access-list コマンドですべてのサービスを許可し、a aa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。認証サーバは、内部インターフェイス上のIPアドレス10.16.1.20にあります。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSM CLIへのアクセスに対する認証をイネーブルにするには、 aaa authentication console コマンドを使用します。認証確認をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication { enable | telnet | ssh | http } console { server_tag [ LOCAL ] | LOCAL }
(注) ユーザ認証のパスワードを指定する場合、ciscoパスワードは使用できません。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。
LOCAL キーワードは、ローカルだけで有効な認証方式を指定します。RADIUSまたはTACACS+サーバのみに指定される場合、 LOCAL キーワードは任意です。
ユーザ名とパスワードを要求するモジュール(SSH、Telnet、イネーブル)にアクセスする場合、パスワード要求が表示されるのは3回だけです。
• enableおよび ssh キーワードを使用すると、アクセス試行が3回失敗したときにアクセス拒否メッセージが表示され、ログイン処理が停止します。
–enableキーワードを使用すると、イネーブル モードにアクセスする前にユーザ名とパスワードを要求します。
–sshキーワードを使用すると、SSHコンソール接続の最初のコマンドライン プロンプトを表示する前にユーザ名とパスワードを要求します。sshキーワードの場合は、最大3回の認証試行が可能です。
• telnetキーワードの場合は、ユーザが正常にログインできるまで繰り返しプロンプトが表示されます。telnetキーワードの場合は、Telnetコンソール接続の最初のコマンドライン プロンプトを表示する前に、ユーザ名とパスワードを指定するようにユーザに要求します。
FWSMのCLIには、任意の内部インターフェイスおよびIPSec設定済みの外部インターフェイスからTelnetアクセスできます。Telnetアクセス前にtelnetコマンドを使用する必要があります。
また、FWSMコンソールへのSSHアクセスについても、IPSecを設定していない任意のインターフェイスから実行できます。SSHアクセスの前にsshコマンドを使用する必要があります。
aaa authentication ssh console server_tagコマンドを定義していない場合は、ユーザ名pix とFWSMのTelnetパスワード(passwdコマンドで設定)を使用してCLIにアクセスできます。aaaコマンドを定義した場合でも、SSH認証要求がタイムアウトしたとき(AAAサーバがダウンしているか、使用不能になっていると考えられる)は、ユーザ名PIX とイネーブル パスワード(enable passwordコマンドで設定)を使用してFWSMにアクセスできます。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
server_tag が、 aaa-server コマンドで定義された既存の有効なTACACS+またはRADIUSサーバ グループを参照している場合、このコマンドではオプションの LOCAL キーワードだけが有効になります。最初の server_tag だけに LOCAL を設定することもできます。
次の例では、FWSMコンソールの認証サービスをイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
特定のアクセス リスト上で認証をイネーブルにするには、 aaa authentication matchコマンドを使用します。特定のアクセス リスト上の認証をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication match access_list_name interface_name server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access_list_name は、 access-list deny-flow-max コマンドで定義します。
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
次の例では、特定のアクセス リストで認証をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
サービスを指定されたホストに対する許可の対象または除外対象にするには、 aaa authorization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization { include | exclude} service interface_name source_ip source_mask destination_ip destination_mask tacacs_server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
以前の except オプション キーワードが exclude キーワードに置き換えられ、特定のホスト(複数可)宛てのポートを指定して除外できるようになっています。
宛先IPアドレスに0を使用すると、すべてのホストが指定されます。
宛先およびローカル マスクには、必ず特定のマスク値を指定します。IPアドレスが0の場合、 0 を使用し、ホストには 255.255.255.255 を使用します。必ず特定のマスク値を指定します。
アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。source_ipのアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、 destination_ip のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。
すべてのホストを指定して、認証を受けるホストを認証サーバ側で決定するには、ローカルIPアドレスを 0 に設定します。
service に指定できる値は、 any 、 ftp 、 http 、 telnet 、またはprotocol/portです。指定しないサービスは、暗黙的に許可されます。 aaa authentication コマンド内で指定したサービスは、許可を必要とするサービスには影響しません。
protocol/portを使用する場合は、次の値を指定できます。
• protocol ― プロトコル(TCPの場合は 6 、UDPの場合は 17 、ICMPの場合は 1 など)
• port ― TCPまたはUDPの宛先ポートまたは宛先ポート範囲。portには、ICMPタイプも入力できます。8がICMP echoまたはpingを表します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。ポート範囲を指定できるのは、TCPプロトコルとUDPプロトコルだけです。ICMPの場合は指定できません。TCP、UDP、およびICMP以外のプロトコルの場合、portは適用されません。また、使用しないでください。次に、ポート指定の例を示します。
この例では、すべてのクライアントを対象として、内部インターフェイスに対するDNS lookupの許可をイネーブルにしています。さらに、53~1024のポート範囲にあるほかのすべてのサービスへのアクセスを許可しています。
特定の許可ルールでは、それに対応する認証は必要ありません。認証が必要なのは、FTP、HTTP、またはTelnetの場合だけです。これらのサービスでは、ユーザはインタラクティブな許可証明書の入力が可能です。
コマンド許可とともに使用する場合を除いて、 aaa authorization コマンドでは事前に aaa
authentication コマンドでの設定が必要です。ただし、 aaa authentication コマンドは aaa authorization コマンドを使用する必要はありません。
現時点では、 aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。明示的なRADIUS許可を設定することはできませんが、RADIUSサーバでダイナミックACLを設定して、許可を可能にすることはできます(FWSMで設定されていなくてもよい)。
ヒント help aaaコマンドを使用すると、aaa authentication、 aaa authorization、 aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。
IPアドレスごとに、1つの aaa authorization コマンドが許可されます。 aaa authorization で複数のサービスを許可するには、サービス タイプに any キーワードを使用します。
最初の許可試行が失敗し、2度めの試行でタイムアウトが発生した場合は、許可されなかったクライアントをservice resetinboundコマンドを使用してリセットし、そのクライアントが接続を再転送を行わないようにします。次の例は、Telnetの許可タイムアウト メッセージを示しています。
Unable to connect to remote host: Connection timed out
ユーザ許可サービスは、ユーザがどのネットワーク サービスにアクセスできるかを制御します。認証が完了した後、アクセスの制限されているサービスにユーザがアクセスを試行すると、FWSMは指定されたAAAサーバを使用してユーザのアクセス権を確認します。
(注) RADIUS許可は、access-list deny-flow-maxコマンドとともに使用して、さらにRADIUSサーバをacl=access_list_nameベンダー固有識別子を使用して設定する場合にサポートされます。詳細については、access-list deny-flow-maxコマンドおよびaaa-server radius-authportコマンドのページを参照してください。
AAAコンソール ログイン要求がタイムアウトした場合は、ユーザ名fwsmとイネーブル パスワードを入力することでFWSMにアクセスできます。
サービスに関する service オプションを指定する場合、有効値は、 telnet 、 ftp 、 http 、 https 、 tcp または 0 、 tcp または port 、 udp または port 、 icmp または port または protocol [/ port ]です。インタラクティブなユーザ認証が行われるのは、Telnet、FTP、HTTP、またはHTTPSトラフィックだけです。
コンソール アクセス、Telnetアクセス、SSHアクセス、およびイネーブル モード アクセスの認証を行う場合は、 telnet 、 ssh 、または enable を指定します。
次の例では、デフォルトのFWSMプロトコル コンフィギュレーションを指定します。
fwsm/context(config)# aaa-server LOCAL protocol local
次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。最初のコマンドでは、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。
次の例では、外部インターフェイスからのDNSルックアップの許可をイネーブルにしています。
次の例では、内部ホストから内部インターフェイスに到着する、ICMPエコー応答パケットの許可をイネーブルにします。
このように設定すると、ユーザはTelnet、HTTP、またはFTPを使用して認証を受けない限り、外部ホストにpingできなくなります。
次の例では、内部ホストから内部インターフェイスに到着するICMPエコー(ping)についてだけ許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
ローカル サーバまたはTACACSサーバに対する許可をイネーブルにするには、 aaa authorization command コマンドを使用します。ローカル サーバまたはTACACSサーバに対する許可をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization command { LOCAL_server_tag | tacacs_server_tag }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
グループ タグ値に LOCAL_server_tag 引数を入力して、ローカルのコマンド許可特権レベルなど、ローカルのFWSMデータベースAAAサービスを使用できます。
次の例では、ローカル サーバまたはTACACSサーバの許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
特定のaccess-listコマンド名に対するローカル ユーザ認証サービスまたはTACACS+ユーザ認証サービスをイネーブルにするには、aaa authorization match コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization match access_list_name interface_name server_tag
AAAサーバ グループ タグを aaa-server コマンドで定義するように指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。
access_list_name は、 access-list deny-flow-max コマンドで定義します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
次の例では、指定したアクセス リストの許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
ユーザ1人あたりに許可する同時プロキシ接続の数を指定するには、 aaa proxy-limit コマンドを使用します。
aaa proxy-limit { proxy_limit | disable }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa proxy-limit コマンドを使用すると、ユーザ1人あたりに許可する同時プロキシ接続の数を設定することにより、uauthセッションの制限値を手作業で設定できます。
uauthセッションは認証または許可を実行するカットスルー セッションです(接続は代行される)。
発信元アドレスがプロキシ サーバである場合は、そのIPアドレスを認証の対象から除外するか、許容可能な未処理AAA要求の数を増やすことを検討してください。
次の例は、許容可能な未処理認証要求の最大数を設定および表示する方法を示しています。
aaa authentication
aaa authorization
aaa-server
show aaa proxy-limit
AAAサーバ グループを定義するには、 aaa-server コマンドを使用します。AAAサーバ グループを削除するには、このコマンドの no 形式を使用します。
[no ] aaa-server server_tag max-attempts number
[no ] aaa-server server_tag deadtime minutes
aaa-server server_tag [ interface_name ] host server_ip [ key ] [ timeout seconds ]
aaa-server server_tag protocol auth_protocol tacacs+ | radius
(任意)127文字までの英数字で構成されているキーワードで、TACACS+サーバ上の鍵と同じ値にします。アルファベットの大文字と小文字は区別されます。 |
|
• FWSMはポート1645でRADIUS認証を待機し、ポート1646でRADIUSアカウンティングを待機します。デフォルトポートはRFC 2058で定義されており、認証が1812でアカウンティングが1813です。FWSMのRADIUSポートは、下位互換性を維持するために変更されていません。
• aaa-serverのデフォルト プロトコルは次のとおりです。
–aaa-server TACACS+ protocol tacacs+
–aaa-server RADIUS protocol radius
–aaa-server LOCAL protocol local
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa-server コマンドを使用すると、AAAサーバ グループを指定できます。FWSMでは、TACACS+サーバやRADIUSサーバのグループを複数定義して、それぞれにタイプの異なるトラフィックを指定できます。たとえば、受信トラフィック用のTACACS+サーバと送信トラフィック用のTACACS+サーバを分けることができます。また、送信HTTPトラフィックをすべてTACACS+サーバで認証して、受信トラフィックにはすべてRADIUSを使用することもできます。認証を統合して、FWSMにアクセスするVPNクライアントが認証されるようにするには、 aaa-server コマンドと crypto map コマンドを使用します。
特定のタイプのAAAサービスは、ほかのサーバに宛先変更できます。サービスは、複数のサーバにフェールオーバーされるように設定することもできます。
aaa authenticationコマンド文およびaaa accountingコマンド文をAAAサーバに関連付けるには、aaaコマンドの中でserver_tagを使用します。サーバ グループは14個まで使用できます。ただし、 LOCAL キーワードはFWSMによって事前定義されているため、 aaa-server コマンドで LOCAL キーワードは使用できません。
ほかのaaaコマンドは、 aaa-server コマンドの server_tag パラメータで定義されたサーバ タグ グループを参照します。このパラメータは、TACACS+サービスおよびRADIUSサービスの起動時に有効になるグローバル設定値です。
(注) カットスルー プロキシを設定する場合は、natコマンドまたはstaticコマンドでnorandomseqオプション キーワードを使用しているときでも、TCPセッション(Telnet、FTP、またはHTTP)のシーケンス番号がランダム化されます。この現象は、AAAサーバがTCPセッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
AAAサーバ グループは、各認証サーバにそれぞれ別タイプのトラフィックを送信するための、タグ名によって定義されます。リストに含まれている最初の認証サーバで障害が発生すると、AAAサブシステムはタグ グループ内の次のサーバにフェールオーバーします。タグ グループは14個まで定義でき、各グループはAAAサーバを14台まで保持できるので、合計196台までのAAAサーバを保持できます。
max-attempts number のキーワードおよび引数を使用すると、サーバの無応答を宣言してグループ内の次のサーバに移るまでのAAAサーバに対するAAA要求回数を設定できます。フォールバック設定でコマンドを認証または許可する場合、 max-attempts number のキーワードおよび引数を使用して、フォールバックのタイムアウト値を設定する必要があります。たとえば、個々のAAAサーバを無応答として宣言する場合、 max-attempts number の設定を 1 または 2 まで減らす必要があります。
deadtime minutes のキーワードおよび引数は、 authenticationコマンド および authorization コマンドでLOCAL方式を設定していない場合でも設定できます。 deadtime minutes のキーワードおよび引数が作用するのは、AAAの認証および許可の方式を設定している場合だけです。
deadtime minutes のキーワードおよび引数は、特定の認証または許可方式を無応答としてマークし、省略する分数を指定します。AAAサーバ グループが無応答としてマークされると、FWSMはただちに指定された次の方式(ローカルのFWSMユーザ データベース)に対する認証または許可を実行します。
(注) グループ全体が無応答として宣言されるのは、グループ内のすべてのサーバが無応答としてマークされた場合です。
deadtime(デッドタイム)を0に設定すると、AAAサーバ グループは無応答とはみなされず、方式リスト内の次の方式を使用する前に、このAAAサーバ グループに対してすべての認証および許可要求を試行します。
deadtime コマンドの no 形式を使用すると、デフォルト値の10分に戻ります。
デッドタイムは、AAAサーバ グループ内の直前のサーバがダウン(無応答)としてマークされた時から計算されます。max-attemptsの値が上限に達してAAAが応答を受信できない場合、サーバはダウンとしてマークされます。デッドタイムの期限を過ぎると、AAAサーバ グループがアクティブになり、AAAサーバ グループ内のAAAサーバに対してすべての要求が提示されます。
一部のAAAサーバは最大32文字までのパスワードに対応していますが、FWSMで使用できるパスワードは16文字までです。
key(鍵)を指定する場合、127文字を超えて入力された文字は無視されます。この鍵は、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。鍵は、クライアント システムとサーバ システムの両方で同じにする必要があります。鍵にスペースは使用できませんが、その他の特殊文字は使用できます。
タイムアウトのデフォルト値は10秒です。最大値は30秒です。タイムアウト値を10秒にすると、FWSMは10秒間再送信を実行します確認応答を受信できない場合、FWSMは3回まで再試行します。合計で40秒間データを再送信したら、次のAAAサーバを選択します。
アカウンティングが有効になっている場合、アカウンティング情報はアクティブなサーバにだけ送信されます。
FWSMの以前のバージョンからアップグレードする場合、コンフィギュレーション内にaaaコマンド文があるときは、デフォルトのサーバ グループを使用することで、コンフィギュレーション内のaaaコマンド文との下位互換性を維持できます。
aaa authenticationコマンドとaaa accountingコマンドの末尾に付加していた従来のサーバ タイプ オプション キーワードは、aaa-server server_tag グループ名に置き換えられました。
次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。
前の例では、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。
次の例では、RADIUS認証用にAuthOutサーバ グループとAuthInサーバ グループを作成し、内部インターフェイス上のサーバ10.0.1.40、10.0.1.41、および10.1.1.2が認証を提供することを指定しています。AuthInグループのサーバは受信接続を認証し、AuthOutグループのサーバは送信接続を認証します。
次の例は、Xauth暗号マップの確立に使用できるコマンドを示しています。
aaa authentication
aaa authorization
aaa-server
show aaa proxy-limit
FWSMがアカウンティング機能で使用するRADIUSサーバのポート番号を設定するには、aaa-server radius-acctport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] aaa-server radius-acctport [ acct_ port ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。
デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。
次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。
• 1645(認証)、1646(アカウンティング) ― FWSMのデフォルト
• 1812(認証)、1813(アカウンティング) ― 代替設定
これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。
次の例は、FWSMがアカウンティング機能に使用するRADIUSサーバのポート番号の設定方法を示しています。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSMが認証機能で使用するRADIUSサーバのポート番号を設定するには、 aaa-server radius-authport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] aaa-server radius-authport [ auth_ port ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。
デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。
次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。
• 1645(認証)、1646(アカウンティング) ― FWSMのデフォルト
• 1812(認証)、1813(アカウンティング) ― 代替設定
これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。
次の例は、FWSMが認証機能に使用するRADIUSサーバのポート番号の設定方法を示しています。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
アクセス リストをインターフェイスにバインドするには、 access-group コマンドを使用します。インターフェイスからアクセス リストのバインドを解除するには、このコマンドの no 形式を使用します。
[no] access-group access-list { in | out } interface interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードは、指定したインターフェイスのトラフィックにアクセス リストを適用します。 out キーワードは、送信トラフィックにアクセス リストを適用します。
no access-group コマンドは、アクセス リストをインターフェイス interface_name からアンバインドします。
show access-group コマンドは、インターフェイスにバインドされている現在のアクセス リストを表示します。
clear access-group コマンドは、インターフェイスからACLをすべて削除します。
次に、 access-group コマンドの使用例を示します。
この static コマンド文では、Webサーバ10.1.1.3にグローバル アドレス209.165.201.3を付与しています。 access-list コマンドでは、すべてのホストに対して、ポート80を使用してグローバル アドレスにアクセスすることを許可しています。 access-group コマンドでは、外部インターフェイスに受信するトラフィックに access-list コマンド文を適用することを指定しています。
access-list alert-interval
access-list deny-flow-max
access-list extended
access-list remark
clear access-group
clear access-list
object-group
show access-group
show access-list
拒否フローの最大メッセージの間隔を指定するには、 access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] access-list alert-interval secs
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-list alert-interval コマンドは、Syslogメッセージ106101を生成する時間間隔を設定します。このメッセージは、FWSMが拒否フローの最大数に達したことを警告するものです。拒否フローの最大数に達したとき、前回の106101メッセージが生成されてから secs 秒以上経過していた場合は、さらに106101メッセージが生成されます。
拒否フロー最大メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。
access-list deny-flow-max
access-list extended
clear access-list
show access-list
手動コミット モードでアクセス リストをコンパイルして適用するには、 access-list commit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンテキストがアクセスリスト モードの場合、 commit コマンドが実行されるまで、新しく追加された規則はCLS分類に追加されません。 commit コマンドが実行されると、それらの規則がフラグ付けされて追加されます。
コミット モードではユーザによるコンパイルが可能で、適用前にコンパイルが必要なネットワーク プロセッサにACLコンフィギュレーションとして保管されるすべてのコマンドに作用します。
access-list commit コマンドは、次のコマンドに適用されます。
• aaa authentication ( include および exclude バージョンのみ)
• aaa authorization ( include および exclude バージョンのみ)
• aaa accounting ( include および exclude バージョンのみ)
• fixup protocol (commitコマンドのみが作用する)
• http
• icmp
• nat 0 access-list
• ssh
• telnet
手動コミット モードで、前出のコマンドのいずれかを変更する場合、モードを manual-commit に変更し、変更が有効になる前に変更をコミットします。
手動コミット モードでは、インターフェイスに対して追加済みでも、コミットされていない前出のコマンドのコンフィギュレーションをバインドするコマンドを入力しないでください。たとえば、 access-list 'foo' コマンドが手動コミット モードで追加済みで、その変更がコミットされていない場合、 foo をインターフェイスにバインドする access-group コマンドを入力しないでください。最初に access-list commit コマンドで「 foo 」をコミットしてから、 access-group コマンドを入力します。
手動コミット モードでは、ACEを削除すると削除フラグが付けられ、実行コンフィギュレーションからも削除されます。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted deletion」というコメントの付いた元のコンフィギュレーションが表示されます。ACEを追加すると追加済みフラグは付きますが、コミット済みのフラグは付きません。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted addition」というコメントの付いた元のコンフィギュレーションが表示されます。 access-list commit コマンドが実行されると、これらのコメントは削除され、コンフィギュレーションがアクティブになります。
access-group
access-list extended
access-list mode
clear access-list
object-group
show access-list
作成できる同時拒否フローの最大数を指定するには、access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] access-list deny-flow-max n
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションにEtherTypeアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[ no ] access-list id ethertype { deny | permit } ether-value [ unicast | multicast | broadcast ]
• 個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、EtherTypeのアクセス リストを追加する例を示します。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list extended コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id [ extended ] { deny | permit protocol | object-group protocol_obj_grp_id host source_ip | source_mask | object-group network_obj_grp_id [ operator port [ port] | object-group service_obj_grp_id ] destination_ip destination_mask | object-group network_obj_grp_id [ operator port [ port ] | object-group service_obj_grp_id ]} [ log [ disable] | [ level ] | [ default ] | [ interval secs ]]
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、指定された拒否パケットについてのみSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
operator は、発信元IPアドレス( sip )または宛先IPアドレス( dip )のポートを比較します。使用できるオペランドは、 lt (小なり)、 gt (大なり) eq (同値)、 neq (非同値)、および range (範囲)です。すべてのポートを含めるには(デフォルト)、演算子を使用せずに access-list コマンドを使用します。
特定のポートに対するアクセスだけを許可または拒否するには、eqとポートを使用します。たとえば、FTPに対してだけアクセスを許可または拒否するには、eq ftpを使用します。
指定したポートより番号が小さいすべてのポートに対して、アクセスを許可または拒否するには、ltとポートを使用します。たとえば、well-knownポート(1~1024)に対してアクセスを許可または拒否するには、lt 2025を使用します。
指定したポートより番号が大きいすべてのポートに対して、アクセスを許可または拒否するには、gtおよびポートを使用します。たとえば、43~65535のポートへのアクセスを許可または拒否するには、gt 42を使用します。
指定したポート以外のすべてのポートに対して、アクセスを許可または拒否するには、neqおよびポートを使用します。たとえば、1~9および11~65535のポートへのアクセスを許可または拒否するには、neq 10を使用します。
指定範囲のポートに対してだけアクセスを許可または拒否するには、rangeおよびポート範囲を使用します。たとえば、10~1024のポートに対してだけアクセスを許可または拒否するには、range 10 1024を指定します。その他のポートは対象外になります。ポート範囲を使用すると、IPSecトンネル数が著しく増加します。たとえば、非常にダイナミックなプロトコル用に5000~65535のポート範囲を指定すると、最大60535のトンネルが作成される可能性があります。
サービスを指定するには、そのサービスを処理する port を指定します。たとえば、 smtp の場合はポート25、 www の場合はポート80を指定します。ポートは、ポートのリテラル名または0~65535のポート番号のどちらかで指定できます。有効なポート番号は、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート範囲として有効なポートのリテラル名のリストについては、付録Bの「ポート値の指定」を参照してください。また、番号を指定することもできます。
log disable | default | level オプション キーワードの場合、次の内容に注意してください。
• log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。
• デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。
• 生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。
• log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。
• log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。
(注) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。
interval secs のキーワードおよび引数は、非アクティブのフローを削除するためのタイムアウト値として使用されます。 interval secs オプション キーワードを指定しない場合、新しいACEに対するデフォルト間隔は300秒になります。ACEがすでに存在する場合には、そのACEに関連付けられている間隔値は変更されません。
icmp_type 引数はIPSec以外で使用し、ICMPメッセージ タイプへのアクセスを許可または拒否します(ICMPタイプのリテラルを参照)。すべてのICMPタイプを指定するには、このオプション キーワードを省略します。
ICMPメッセージ タイプは、IPSecを使用する場合は指定できません。 access-list コマンドを crypto map コマンドとともに使用する場合は、 icmp_type は無視されます。
access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
• マスクを255.255.255.255にする場合は、短縮形の host address を使用します。
ネットワーク マスクを指定する場合の注意点は、次のとおりです。
• アドレスがホスト アドレスである場合は、マスクを指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。
• アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。
• ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。
access-list コマンドはsunrpcサービスをサポートしています。
show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。
show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。
clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。
no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。
(注) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。
次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。
前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。
1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。
2. アクセス チェックに outside-acl というACLが適用されます。
3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。
4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。
5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。
6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。
7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。
8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。
ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。
log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、logオプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。
access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。
ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。
no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。
FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。
ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。
ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。
この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。
所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。
(注) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。
aaa authorizationコマンドには、radiusオプション キーワードはありません。
アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドのシンタックスはCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-1 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。
IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。
アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。
アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。
IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。
• IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。
• IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。
• 受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。
• IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定する(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。
暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。
あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。
any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。
所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。
FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。
次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。
次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。
次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。
次の例では、アクセス リストのコメントを削除する方法を示しています。
次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。
ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
コンフィギュレーションにICMPホストのアクセス リストを追加して、FWSMを通過するIPトラフィックのポリシーを設定するには、 access-list icmp hostコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id { deny | permit } host { source_ip | { source_ip source_mask }} [ log [ disable | [ level ] | default ] | [ interval secs ]]
送信元アドレスにネットワーク マスクを使用する場合、 source_addr に適用するネットマスク ビット(マスク)です。 |
|
(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。「使用上の注意事項」を参照してください。 |
|
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
log disable | default | level オプション キーワードの場合、次の内容に注意してください。
• log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます。(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。
• デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。
• 生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。
• log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。
• log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。
(注) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。
access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
• マスクを255.255.255.255にする場合は、短縮形の host address を使用します。
ネットワーク マスクを指定する場合の注意点は、次のとおりです。
• アドレスがホスト アドレスである場合は、マスクは指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。
• アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。
• ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。
access-list コマンドはsunrpc サービスをサポートしています。
show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。
show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。
clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。
no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。
(注) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。
次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。
前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。
1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。
2. アクセス チェックに outside-acl というACLが適用されます。
3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。
4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。
5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。
6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。
7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。
8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。
ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。
log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、ログ オプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。
access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。
ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。
no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。
FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。
ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。
ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。
この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。
所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。
(注) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。
aaa authorizationコマンドには、radiusオプション キーワードはありません。
アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecアプリケーションでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを判断してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをより細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-2 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。
IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。
アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。
アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。
IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。
• IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。
• IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。
• 受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。
• IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定します(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。
暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。
あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。
any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。
所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。その後、トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。
FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。
次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。
次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。
次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。
次の例では、アクセス リストのコメントを削除する方法を示しています。
次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。
ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
FWSMのコンパイル モード(manual-commitおよびauto-commit)を切り換えるには、 access-list mode コマンドを使用します。
access-list mode { auto-commit | manual-commit }
access-list commit コマンド入力後に手動でACLコンパイルを有効にするように指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ACLのコミットを使用すると、ACLのコンパイル動作を同期コンパイルに変更できます。コンパイル モードは、実行コンフィギュレーションまたは保存されているコンフィギュレーションの一部には保存されません。
ACL規則を新しくダウンロードする場合、どちらのコンパイル方式も同じ動作をします。新しい規則が完全にダウンロードされ、ネットワーク プロセッサにコミットされるまで、新しいACL規則は有効にならず、従来のACL規則が適用され続けます。新しい規則をダウンロードしても、トラフィックには影響しません。
次の例では、manual-commitモードを使用してトラフィックを中断することなく既存のアクセス リストを変更します。
次の例では、古いアクセス リストを削除して、別の名前の新しいアクセス リストを追加します。
前の例では、古いインターフェイス上でトラフィックがわずかに中断されます。中断される時間は、最後の2行のコマンド ラインでコミットを実行し、 access-group コマンドを適用するのに必要な時間です。
次の例では、トラフィックを中断することなく、前の例に示すアクセス リストを設定する方法を示します。
前の例では、古いインターフェイス上でトラフィックは中断されません。この一連のコマンドの唯一の欠点は、FWSM上で設定されるACEの総数が一時的に古いACL(old-acl)と新しいACL(new-acl)を合計した数になることです。
access-list commit
access-list extended
clear access-list
show access-list
show access-list mode
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list object-groupコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id { deny | permit } object-group { network_obj_grp_id destination_ip destination_mask } [ log [ disable | [ level ] | default ] | [ interval secs ]]
[no] access-list id { deny | permit } { object-group { network_obj_grp_id [ icmp_type [ icmp_type_obj_grp_id ]]} [ log [ disable | [ level ] | default ] | [ interval secs ]]
宛先アドレスがネットワーク マスクの場合、 destination_ip に適用するネットマスク ビット(マスク)です。 |
|
(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。詳細については、 log コマンドの項を参照してください。 |
|
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-3 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次に、アクセス リストのオブジェクト グループを設定する例を示します。
次に、アクセス リストのオブジェクト グループの内容を表示する例を示します。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
access-list extended コマンドの前後に追加するコメント テキストを指定するには、 access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。
[no] access-list id remark text
access-list extended コマンド文の前後に添えるコメント テキスト |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コメント テキストは、スペースと句読点を含めて最長100文字までです。
コメントだけが記載されたACLでは、 access-group コマンドは使用できません。
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[ no ] access-list id standard { deny | permit } { any | ip_mask }
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• 32ビットの4分割ドット付き10進数形式を使用してください。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
次の例では、ファイアウォールを通過するIPトラフィックを拒否する方法を示します。
次の例では、条件が一致した場合に、ファイアウォールを通過するIPトラフィックを許可する方法を示します。
FWSMのアクティべーション キーを変更し、FWSM上で運用されているアクティべーション キーを、FWSMのフラッシュ メモリに保存されているアクティべーション キーと比較してチェックするには、 activation-key コマンドを使用します。
activation-key activation-key-four-tuple
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
activation-key-four-tuple は、4つの要素で構成される16進文字列で、各要素の間にスペースを1つ入れます。
0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
次に、FWSMでアクティベーション キーを変更する例を示します。
管理者コンテキストを設定するには、 admin-context コマンドを使用します。
admin-context admin-context-name
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
システムには適切な管理者コンテキストが1つ必要です。また、管理者コンテキストはディスク上に配置する必要があります。管理者コンテキストを作成するまで、他のコンテキストは作成できません。 admin-context コマンドを使用すると、管理者コンテキストをその他のコンテキストに変更できます。ただし、変更前に管理者コンテキストが既に存在しており、ディスク上に配置されている必要があります。
1つのアドレスを別のアドレスに変換するには、 alias コマンドを使用します。設定済みの alias コマンドをディセーブルにするには、このコマンドの no 形式を使用します。
[no] alias { interface_name } dnat_ip destination_ip [ netmask ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
netmask を指定する場合、ホスト マスクには 255.255.255.255 を使用します。
alias コマンドは、インターネットやほかのイントラネットのアドレスと同じIPアドレスがネットワーク上にある場合に、競合を防止するために使用します。また、宛先アドレスに対してアドレス変換を実行する場合にも使用できます。たとえば、ホストがパケット209.165.201.1に送信する場合は、 alias コマンドを使用することで、トラフィックをほかのアドレス(209.165.201.30など)にリダイレクトできます。
(注) DNS fixupを正しく機能させるためには、proxy-arpをディセーブルにします。DNS fixupに対してaliasコマンドを使用する場合は、aliasコマンドを実行した後にsysopt noproxyarp internal_interfaceコマンドを使用して、proxy-arpをディセーブルにします。
alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。
DNSゾーン ファイルの中に、 alias コマンドに含まれている「dnat」アドレスのA(アドレス)レコードが存在している必要があります。
aliasコマンドには2つの使用方法があります。以下にその概略を示します。
• FWSMがdnat_IP_address宛てのパケットを取得した場合に、 alias コマンドを使用して、そのパケットをdestination_ip_addressに送信するように設定できます。
• FWSMがdestination_network_address宛てにDNSパケットを送信し、そのパケットがFWSMに戻ってきた場合は、 alias コマンドを使用して、DNSパケットで宛先ネットワーク アドレスをdnat_network_addressに変更するように設定できます。
alias コマンドは、ネットワーク上のDNSサーバと自動的に対話して、エイリアスが設定されたIPアドレスへのドメイン名によるアクセスを透過的に処理します。
destination_ip と dnat_ip アドレスにネットワーク アドレスを使用すると、ネット エイリアスを指定できます。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1~209.165.201.30の各IPアドレスのエイリアスが作成されます。
staticコマンドおよびaccess-listコマンドでalias dnat_ipアドレスにアクセスするには、access-listコマンドの中で、許可されるトラフィック発信元アドレスとしてdnat_ipアドレスを指定します。次に例を示します。
内部アドレス192.168.201.1を宛先アドレス209.165.201.1にマッピングして、エイリアスを指定しています。
内部ネットワーク クライアント209.165.201.2がexample.comに接続すると、内部クライアントのクエリに対する外部DNSサーバからのDNS応答は、FWSMによって192.168.201.29へと変更されます。FWSMで209.165.200.225~209.165.200.254をグローバル プールIPアドレスとして使用している場合、パケットはFWSMにSRC=209.165.201.2およびDST=192.168.201.29として送信されます。FWSMは、アドレスを外部のSRC=209.165.200.254およびDST=209.165.201.29に変換します。
次の例では、内部ネットワークにIPアドレス209.165.201.29が含まれています。このアドレスはインターネット上にあり、example.comに属しています。内部のクライアントがexample.comにアクセスしても、パケットはFWSMに到達しません。これは、クライアントが209.165.201.29がローカルの内部ネットワーク上にあると判断するためです。
この動作を修正するには、 alias コマンドを次のように使用します。
次の例では、Webサーバが内部の10.1.1.11にあり、このサーバ用に作成したstaticコマンド文では209.165.201.11を指定しています。発信元ホストは、外部のアドレス209.165.201.7にあります。外部のDNSサーバには、次に示すとおり、www.example.comのレコードが登録されています。
ドメイン名www.example.com.の末尾のピリオドは必要です。
FWSMは、内部クライアント用のネームサーバ応答を10.1.1.11に変更して、Webサーバに直接接続できるようにします。
次の例では、UNIXの nslookup コマンドを使用して、ホストのDNSエントリをテストしています。
コンテキストにVLANインターフェイスを割り当てるには、コンテキスト サブモードを開始してから、 allocate-interface コマンドを使用します。コンテキストからVLANインターフェイスを削除するには、このコマンドの no 形式を使用します。
[no] allocate-interface vlan number [-vlan number ] [ mapped_name [- mapped_name ]]
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
config-url(コンテキスト サブモード) コマンドを入力する前に、 allocate-interface コマンドを使用します。FWSMでは、コンテキストのコンフィギュレーションを読み込む前にVLANインターフェイスをコンテキストに割り当てる必要があります。コンテキストのコンフィギュレーションには、インターフェイスに関するコマンド( nameif 、 nat 、 global など)が含まれる場合があります。最初に config-url(コンテキスト サブモード) コマンドを入力すると、FWSMはコンテキストのコンフィギュレーションをただちに読み込みます。コンテキストにインターフェイスに関連するコマンドが含まれている場合、これらのコマンドは機能しません。
マップ名(mapped_name)を指定しない場合、コンテキスト内ではVLAN番号が使用されます。
セキュリティ保護のため、コンテキストの管理者にコンテキストが使用するVLANを知らせたくない場合があります。たとえば、 nameif コマンドでは、VLAN番号を使用する代わりに、コンテキストのマップ名(mapped_name)を使用する必要があります。
allocate-interface コマンドの no 形式を使用すると、コンテキスト内のすべてのインターフェイス コンフィギュレーションが削除されます。
VLAN IDの範囲を指定する場合には、コンテキストの別名の一致する範囲を指定できます。次の注意事項に従ってください。
• mapped_name では、次のように英字部分に続けて数字部分を記述する必要があります。
• 範囲の両端を示す mapped_name の英字部分は、一致している必要があります。
• mapped_name の数字部分には、 vlanx-vlany エントリと同じ数の数字を指定する必要があります。次の例では、両方の範囲に100のインターフェイスが含まれています。
• vlan キーワードと数字の間には、スペースを入れないでください。
vlan100-vlan199 int1-int15 または vlan100-vlan199 happy1-sad5 と入力すると、コマンドは有効になりません。
コンテキスト サブコンフィギュレーション モードのコマンドには、ほかに config-url(コンテキスト サブモード) コマンドがあります。
次に、コンテキストにVLANインターフェイスを割り当てる例を示します。
admin-context
changeto
class
clear context
config-url(コンテキスト サブモード)
show context
標準のOSPFエリアを設定するには、 area コマンドを使用します。 area コマンドは router ospf コマンドのサブコマンドです。設定済みのエリアを削除するには、このコマンドの no 形式を使用します。
[ no ] area area_id { authentication [ message-digest ]} | { default-cost cost } | { filter-list prefix { prefix_list_name in | out }} | { range ip_address netmask [ advertise | not-advertise ]}
[ no ] area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ]
area area_id stub [ no-summary ]
[ no ] area area_id { virtual-link router_id } [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ authentication-key password ] [ message-digest-key id md5 password ]
• エリアの認証タイプは 0 で、これは認証がないことを表します。
• FWSMを介したOSPFルーティングはRFC 1583と互換性があります。
• area area_id range ip_address netmask [ advertise | not-advertise ]コマンドのデフォルトは、 advertise です。
• dead-interval は、 ospf hello-interval コマンドで設定した間隔の4倍になります。
• hello-interval seconds は10秒です。
• retransmit-interval seconds は5秒です。
• transmit-delay seconds は1秒です。
• area area_id nssa [[ no-redistribution ] [ default-information-originate ][ no-summary ]] コマンドには、エリアは定義されていません。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
OSPFプロトコルは、Routing Information Protocol(RIP)の代わりに使用されます。OSPFとRIPの両方を同時に使用するようにFWSMを設定しないでください。
router ospf コマンドは、FWSM上で稼働しているOSPFルーティング プロセスに対するグローバル コンフィギュレーション コマンドです。これは、OSPFコンフィギュレーション コマンドすべてのメイン コマンドです。
router ospf コマンドを入力すると、サブモードになっていることを示すコマンド プロンプト(config-router)#が表示されます。
area_idを設定する場合、次の注意事項を参照してください。
• area_id は、すべてのコンテキストで10進数またはIPアドレスのいずれかで指定できます。
• IDは、OSPFアドレス範囲に関連付けられるエリアです。エリアにIPサブネットを関連付ける場合には、 area_id としてサブネット アドレスを指定できます。
• 認証のコンテキストで使用する場合、 area_id は認証をイネーブルにするエリアの識別名です。
• コストのコンテキストで使用する場合、 area_id はスタブまたはNSSAの識別名です。
• プレフィックス リストのコンテキストで使用する場合、 area_id はフィルタリングを設定するエリアの識別名です。
• スタブ エリアまたはNSSAのコンテキストで使用する場合、 area_id はスタブ エリアまたはNSSAの識別名です。
• エリア範囲のコンテキストで使用する場合、 area_id はルートを集約する境界にあるエリアの識別名です。
area area_id サブ コマンドは、通常のOSPFエリアを作成します。 no area area_id コマンドは、OSPFエリアが通常エリア、スタブ エリア、またはnot-so-stubby area(NSSA)のいずれであっても削除します。
エリアのデフォルト認証タイプは 0 で、これは認証がないことを表します。OSPFエリアで認証をイネーブルにするには、area area_id authentication message-digestサブコマンドを使用します。エリアから認証設定を削除するには、 no area area_id authentication message-digestサブコマンドを使用します。
スタブ エリアまたはnot-so-stubby area(NSSA)に送信されたデフォルト サマリ ルートのコストを指定するには、area area_id default-cost cost サブコマンドを使用します。割り当てられたデフォルト ルート コストを削除するには、 no area area_id default-cost サブコマンドを使用します。 cost のデフォルト値は1です。
ABRのOSPFエリア間のタイプ3 LSAでアドバタイズされたプレフィックスをフィルタリングするには、 area area_id filter-list prefix prefix_list_name [ in | out ]サブコマンドを使用します。フィルタを変更または取り消すには、 no area area_id filter-list prefix prefix_list_name [ in | out ] サブコマンドを使用します。
ほかのルーティング プロトコル(または別のOSPFプロセス)を起点とするルート、および再配布によってOSPFに投入されたルートは、外部ルートと呼ばれます。外部メトリックにはタイプ1およびタイプ2という2つの形式があります。これらのルートは、IPルーティング テーブル内では
O E2
(タイプ2の場合)または O E1
(タイプ1の場合)として表され、FWSMが内部ルーティング テーブルを作成し終わった後に検査されます。検査の後、ルートは変更されずに自律システム(AS)全体にフラッディングされます(自律システムはネットワークの集まりで、共通のルーティング方針を共有する共通管理のもとに、エリアで細分される)。
OSPFタイプ1メトリックは、内部OSPFメトリックを外部ルート メトリックに追加するルートになり、OSPFリンク状態メトリックと同じ用語でも表されます。内部OSPFメトリックは外部の宛先に到達するためにかかる総コストで、これには到達するのに要した内部OSPFネットワーク コストがすべて含まれます。これらのコストは、外部ルートに到達する必要があるデバイスによって計算されます。コストがこのように計算方法されるため、OSPFタイプ1メトリックが優先されます。
OSPFタイプ2メトリックは内部OSPFメトリックを外部ルートのコストに追加しません。これは、OSPFで使用するデフォルト タイプです。OSPFタイプ2メトリックの使用では、自律システム(AS)間でのルーティングを前提としているため、コストはどの内部メトリックよりも大きいものと考えられます。これを使用することにより、内部OSPFメトリックを追加する必要はなくなります。
default-information-originate オプション キーワードが有効なのはNSSA ABR上またはNSSA
Autonomous System Boundary Router(ASBR;自律システム境界ルータ)上だけです。
NSSAエリアを設定するには、 area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ] サブコマンドを使用します。NSSAの設定全体を削除するには、 no area area_id nssa サブコマンドを使用します。NSSA設定オプション キーワードを1つ削除するには、 no サブコマンドでそのオプション キーワードを指定します。たとえば、 no-redistribution オプション キーワードを削除するには、 no area area_id nssa no-redistribution コマンドを使用します。デフォルトでは、NSSAは定義されません。
エリアの境界でルートを統合および集約するには、area area_id range address netmask [ advertise | not-advertise ] サブコマンドを使用します。この機能をディセーブルにするには、 no area area_id range ip_address netmask サブコマンドを使用します。 no area area_id range ip_address netmask not-advertise サブコマンドは、 not-advertise オプション キーワードだけを削除します。
エリアをスタブ エリアとして定義するには、area area_id stub [ no-summary ] サブコマンドを使用します。スタブ エリア機能を削除するには、 no area area_id stub [ no-summary ] サブコマンドを使用します。area area_id stub no-summaryが設定されている場合は、 no area area_id stub no-summary サブコマンドを使用して no summary オプション キーワードを削除する必要があります。デフォルトでは、スタブ エリアは定義されません。
仮想リンクはスタブ エリアを越えて設定できません。また、ASBRを含むことはできません。
OSPF仮想リンクを定義するには、area area_id virtual-link router-id サブコマンドにオプションのパラメータを指定して使用します。仮想リンクを削除するには、 no area area_id virtual-link router_id サブコマンドを使用します。
ARPエントリを追加してARP保存タイマーを設定するには、 arp コマンドを使用します。ARPをディセーブルにするか、またはコンフィギュレーションからARPキャッシュ タイムアウトを削除するには、このコマンドの no 形式を使用します。
[ no ] arp interface_name ip_addr mac_addr [ alias ]
(任意)指定されたアドレスについて、スタティック プロキシARPマッピング(プロキシIPアドレスと物理アドレスとのバインド)を設定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ARPはIPアドレスをMACアドレス(00e0.1e4e.3d8bなど)にマッピングするもので、RFC 826で定義されています。プロキシARPは、ARPプロトコルの派生形で、FWSMなどの中間デバイスが、エンド ノードに代わって要求元ホストにARP応答を送信するときに、このプロトコルを利用します。ARPマッピングは、FWSMがトラフィックを処理するときに自動的に実行されますが、ARPキャッシュのタイムアウト値、スタティックARPテーブル エントリ、およびプロキシARPを手作業で設定することもできます。ARPキャッシュ タイムアウトの最大値は、3567587秒です。
(注) ARPは、(特定のIPアドレスを持つノードに対し、物理アドレスを返信するように求めるARP要求を通じて)IPアドレスをノードのMAC(物理)アドレスに解決する低レベルのTCP/IPプロトコルです。このため、ARPキャッシュにエントリが存在するとことは、FWSMがネットワークに接続されていることを示します。
arp timeout コマンドは、ARPテーブルを新しいホスト情報に自動的に更新して再構築するまでの、ARPテーブルの持続期間を指定します。この機能は、ARP保存タイマーとも呼ばれます。 no arp timeout コマンドは、ARP保存タイマーをリセットしてデフォルト値にします。
arp interface_name ip mac コマンドは、FWSMのARPキャッシュにスタティック(永続)エントリを追加します。たとえば、 arp interface_name ip mac コマンドを使用して、ネットワーク上のホストについてIPアドレスとMACアドレスとのスタティック マッピングを設定できます。スタティックARPマッピングを削除するには、 no arp interface_name ip mac コマンドを使用します。
arp エントリおよび arp alias エントリは、ARP保存タイマーがタイムアウトしても消去されません。また、コンフィギュレーションを保存するために write コマンドを使用すると、コンフィギュレーションに自動的に保存されます。
arp interface_name ip mac alias コマンドは、指定されたIPアドレスとMACアドレスについてプロキシARPを設定します。プロキシARPをイネーブルにすると、指定されたIPアドレスで、そのホストから別のホストへのプロキシが設定されます。FWSMは2つのホストの中間にあるため、FWSMは受信パケットを代理ホストに送信します。FWSMはプロキシ応答でFWSMのMACアドレスを返します。スタティックARPマッピングを削除するには、 no arp interface_name ip mac alias コマンドを使用します。
Address Resolution Protocol(ARP;アドレス解決プロトコル)応答を挿入し、ARPエントリに対する検証を行うには、 arp-inspection コマンドを使用します。ARP検査を解除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
HTTP、FTP、およびTelnetアクセスに対してAAAチャレンジ テキストを変更するには、 auth-prompt コマンドを使用します。チャレンジ テキストをディセーブルにするには、このコマンドの no 形式を使用します。
[no] auth-prompt [ prompt | accept | reject ] prompt text
• Microsoft Internet Explorerでは、認証プロンプトで37文字まで表示されます。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAチャレンジ テキストは、ユーザのログイン時に表示されます。このコマンドを使用しない場合、ユーザ名とパスワード プロンプトの上に次の内容が表示されます。
• FTPユーザの場合:「FTP authentication」
• HTTPユーザの場合:「HTTP authentication」
• Telnetアクセスでは、チャレンジ テキストは表示されません。
ユーザ認証がTelnetから発生する場合は、acceptオプション キーワードとrejectオプション キーワードを使用すると、認証試行が認証サーバで受け入れられたか拒否されたかに応じて、それぞれ異なる認証プロンプトを表示できます。
特殊文字は使用できませんが、スペースと句読点は使用できます。文字列を終了するには、疑問符を入力するか、Enterキーを押します(疑問符が文字列に表示される)。
次の例は、認証プロンプトを設定する方法、およびユーザに表示されるプロンプトを示しています。
コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。
(注) promptキーワードは、指定しても省略してもどちらでも構いません。
次の例は、promptキーワードを使用して、認証プロンプトを設定しています。
次の例は、promptキーワードを使用せずに、認証プロンプトを設定しています。
aaa authentication
auth-prompt
clear auth-prompt
show auth-prompt
セッション バナー、ログイン バナー、およびMoTD(Message-of-The-Day)バナーを設定するには、 banner コマンドを使用します。指定したバナー オプション キーワードのすべての行を削除するには、このコマンドの no 形式を使用します。
[no] banner { exec | login | motd text }
ユーザがTelnetを使用してFWSMにアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示するようにシステムを設定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
bannerコマンドは、オプション キーワードで指定したバナーを表示するように設定します。 text 文字列は、最初の空白文字(スペース)の後に続く、行末(CR[復帰]またはLF[改行])までのすべての文字で構成されます。テキスト内にあるスペースはそのまま表示されます。ただし、CLIではタブは入力できません。
先にバナーを消去しない限り、後続の text エントリは既存バナーの末尾に追加されます。
(注) $(domain)および$(hostname)のトークンを使用すると、それぞれFWSMのドメイン名とホスト名に置き換えられます。コンテキストの設定で$(system)トークンを使用すると、コンテキストはシステム コンフィギュレーションで設定されたバナーを使用します。
バナーを複数行にするには、追加する1行ごとにbannerコマンドを新しく入力します。入力した行は、既存バナーの末尾に付加されていきます。テキストが空の場合は、バナーにCR(復帰)が追加されます。RAMおよびフラッシュ メモリの容量による限界を除いて、バナーの長さに制限はありません。
TelnetまたはSSHでFWSMにアクセスする場合、バナー メッセージの処理に必要なシステム メモリが十分にないときや、TCP書き込みエラーが発生したときは、セッションが閉じます。
バナーを置き換えるには、no bannerコマンドを使用してから、新しい行を追加します。
no banner { exec | login | motd } コマンドは、オプション キーワードで指定したバナーに含まれている行をすべて削除します。
no bannerコマンドでは、テキスト文字列の一部だけを削除できません。このため、no bannerコマンドの末尾に入力した text はすべて無視されます。
次の例は、 motd 、 exec 、および login の各バナーを設定する方法を示しています。
clear banner
enable
login
password/passwd
show banner
ssh
telnet
FWSMで、認証局(CA)の公開鍵を含むCA自己署名証明書を入手することによってCAを認証するには、 ca authenticate コマンドを使用します。
ca authenticate ca_nickname [ fingerprint ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
FWSMは、VeriSign、Entrust、Baltimore Technologies、およびMicrosoftのCAサーバをサポートしています。
証明書のライフタイムとCertificate Revocation List(CRL;証明書失効リスト)は、Coordinated Universal Time(UTC;協定世界時)に基づいてチェックされます。FWSMのクロックはスイッチと同期しています。このクロックの設定によって、証明書のライフタイムと失効が決まります。
FWSMが認証するのは、エンティティ証明書(デバイス証明書)です。FWSMでは、信頼できる同じポイントまたはルート(CAサーバ)からエンティティ証明書が発行されることを前提としています。結果として、信頼できるポイントまたはルートは同じルート証明書(発行者証明書)を持っている必要があります。FWSMは、エンティティがエンティティ証明書だけを交換することを前提としており、エンティティ証明書とルート証明書の両方を含む証明書チェーンは処理できません。
ピアの証明書を認証するには、CAの公開鍵が含まれているCA証明書をFWSMが取得する必要があります。CA証明書は自己署名証明書であるため、CAの管理者に連絡して手作業で鍵を認証する必要があります。CA証明書の公開鍵を認証するには、 ca authenticate コマンドの中で鍵のフィンガープリントを指定します。指定したフィンガープリントと受信したフィンガープリントが異なる場合、FWSMは受信したCA証明書を廃棄して、エラー メッセージを生成します。鍵をコマンド内に入力せずに、2つのフィンガープリントを比較することもできます。
ca configure コマンドの中でRAモードを使用している場合は、 ca authenticate コマンドを発行すると、RAの署名証明書と暗号化証明書、およびCA証明書がCAから返されます。
ca authenticate コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、受信したCA(およびRA)証明書に埋め込まれている公開鍵については、RSA公開鍵 レコード(「RSA公開鍵 チェーン」と呼ばれる)の一部としてコンフィギュレーションに保存されます。公開鍵をフラッシュ メモリに長期間保存するには、 ca save all コマンドを使用します。CAの証明書を表示するには、 show ca certificate コマンドを使用します。
(注) このコマンドを発行した後でCAがタイムアウト期間内に応答しない場合は、このコマンドが停滞しないように端末制御が返されます。端末制御が返された場合は、コマンドを再入力する必要があります。
次の例では、CA証明書に対する要求がCAに送信されています。このコマンドには、フィンガープリントは指定されていません。CAはCA証明書を送信し、FWSMはCA証明書のフィンガープリントをチェックすることにより、CA証明書を確認するよう要求します。両方のフィンガープリントが一致すると、証明書は有効とみなされます。
次に、エラー メッセージの例を示します。このコマンドでは、フィンガープリントが指定されています。2つのフィンガープリントが一致しないため、証明書は有効になりません。
FWSMとCA間の通信パラメータを指定するには、 ca configure コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no ] ca configure ca_nickname { ca | ra } retry_period retry_count [ crloptional ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
次の例では、 myca をCAの名前にし、RAではなくCAへのアクセスを指定しています。また、応答がない場合、FWSMは5分間待機してから次の証明書要求を送信し、合計15回再送信したらその要求を撤回することを指定しています。CRLがアクセス不能になっている場合、 crloptional オプションは、FWSMがほかのピアの証明書を受け入れることを指定します。
FWSMがアップデートされたCRLをCAからいつでも取得できるようにするには、 ca crl request コマンドを使用します。FWSMからCRLを削除するには、このコマンドの no 形式を使用します。
[no ] ca crl request ca_nickname
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
CRLは、失効したすべてのネットワーク デバイス証明書の一覧です。FWSMは失効した証明書を受け入れないため、失効した証明書を持つピアは、IPSecトラフィックをFWSMと交換できません。
FWSMがピアから初めて証明書を受信すると、CAからCRLがダウンロードされます。FWSMはCRLをチェックして、ピアの証明書が失効していないことを確認します。証明書がCRLに記載されている場合、その証明書は受け入れられず、ピアは認証されません。
CRLは、CRLの有効期限が切れるまでは後続の証明書に対しても再利用できます。CRLの有効期限が切れたときは、FWSMが新しいCRLをダウンロードし、有効期限の切れたCRLを新しいCRLに置き換えて、CRLを自動的にアップデートします。
有効期限の切れていないCRLがFWSM内にあるものの、その内容が最新のものでない可能性がある場合は、 ca crl request コマンドを使用して、最新のCRLをダウンロードして、古いCRLを置き換えます。
ca crl request コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。
show ca crl コマンドを使用すると、RAM内にCRLがあるかどうか、およびCRLのダウンロード元とダウンロード日時を知ることができます。
次の例では、FWSMがアップデートされたCRLをmycaという名前のCAから取得するように指定しています。
CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求するには、 ca enroll コマンドを使用します。現在の登録要求を取り消すには、このコマンドの no 形式を使用します。
[no ] ca enroll ca_nickname challenge_password [ serial ] [ ipaddress ]
ユーザが証明書を失効させるように要求したときに、CA管理者が何らかの形で認証を実行するために必要なパスワードを指定します。パスワードは最長80文字まで指定できます。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます(すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定)。CAには、固有の名前(CAのドメイン名など)が必要です。
ca enroll コマンドを使用すると、CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求できます。これは、CAへの「登録」とも呼ばれます。
FWSMでは、RSA鍵ペアごとにCAからの署名証明書が必要になります。以前に汎用鍵を生成した場合は、 ca enroll コマンドを実行すると、1組の汎用RSA鍵ペアに対応する1通の証明書を取得できます。以前に特定用途向け鍵を生成した場合は、特定用途向けの各RSA鍵ペアに対応する、2通の証明書を取得できます。
鍵の証明書をすでに取得していた場合は、このコマンドの処理を完了できません。既存の証明書をまず削除するように求められます。
ca enroll コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。登録プロセスが正常に完了したことを確認し、FWSM装置の証明書を表示するには、 show ca certificate コマンドを使用します。
FWSMの証明書を失効させる必要が生じた場合は、チャレンジ パスワードが必要になります。CAの管理者に証明書を失効させるように求める場合は、悪意のある失効要求や誤った失効要求から保護する手段として、このチャレンジ パスワードを提示する必要があります。
(注) このパスワードはどこにも保存されないため、管理者が記憶しておく必要があります。
管理者がパスワードを忘れた場合でも、CAの管理者はFWSMの証明書を失効させることができます。ただし、FWSM管理者の身元を手作業で認証する必要が生じます。
FWSMのシリアル番号は省略可能です。 serial オプション キーワードを指定すると、取得した証明書の中にシリアル番号が記載されます。このシリアル番号はIPSecおよびInternet Key Exchange(IKE)では使用されませんが、証明書を認証するときや、あとで証明書を特定のデバイスと関連付けるときにCAで使用できます。証明書の中にシリアル番号を含める必要があるかどうかについては、CAの管理者に問い合わせてください。判断できない場合は、 serial オプション キーワードを指定してください。
FWSMのIPアドレスは省略可能です。 ipaddress オプション キーワードを指定すると、取得した証明書の中にIPアドレスが記載されます。IPアドレスは、証明書よりも強固に個々のエンティティとバインドされているため、 ipaddress オプション キーワードは通常は指定しません。また、FWSMを移動した場合に、新しい証明書を発行する必要が生じます。
(注) 証明書ベースの認証でISAKMPを設定する場合は、ISAKMPのIDタイプが証明書タイプと一致している必要があります。ca enrollコマンドでは、ホスト名に基づいたIDを使用して証明書を取得します。isakmp identityコマンドでは、ホスト名ではなくアドレスに基づいて証明書を取得します。このIDタイプの不一致を解消するには、isakmp identity addressコマンドを使用します。isakmp identity addressコマンドについては、isakmpコマンドの項を参照してください。
次の例では、FWSMが登録要求をmyca.example.comというCAに送信します。
FWSM用のRSA鍵ペアを生成するには、 ca generate rsa コマンドを使用します。
ca generate rsa { key | specialkey } key_modulus_size
RSA鍵の生成に使用する係数のサイズをビット単位で定義します。有効値は、 512 、 768 、 1024 、および 2048 ビットです。 |
(注) このコマンドを発行する前に、Firewall Services Moduleのホスト名とドメイン名が設定されていることを確認してください(hostnameとdomain-nameコマンドを使用)。ホスト名とドメイン名が設定されていない場合は、FWSMはデフォルトのドメインであるciscopix.comを使用します。
|
|
---|---|
RSA鍵はペアで生成されます。1つはRSA公開鍵、もう1つはRSA秘密鍵です。
このコマンドを発行した時点でFWSM用のRSA鍵がすでに存在する場合は、警告が表示され、既存の鍵を新しい鍵で置き換えるように求められます。
(注) 指定する鍵係数のサイズが大きくなるにしたがって、RSA鍵の生成時間も長くなります。デフォルト値の768を使用することを推奨します。
PDMはSecure Socket Layer(SSL)通信プロトコルを使用してファイアウォールと通信します。
SSLは ca generate rsa コマンドで生成された秘密鍵を使用します。証明書の場合、SSLは認証局(CA)から取得した鍵を使用します。その鍵が存在しない場合、SSLはRSA鍵ペアの生成時に作成されたFWSM自己署名証明書を使用します。
ca generate rsa コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、このコマンドで生成した鍵はフラッシュ メモリ内の永続的なデータ ファイルに保存されます。保存する場合は ca save-all コマンドを使用し、保存内容を表示する場合は show ca my rsa key コマンドを使用します。
次の例では、1組の汎用RSA鍵ペアを生成します。鍵係数として選択したサイズは、 1024 です。
FWSMで使用するCAを宣言するには、 ca identity コマンドを使用します。 ca identity コマンドをコンフィギュレーションから削除し、指定されたCAから発行された証明書とCRLをすべて削除するには、このコマンドの no 形式を使用します。
[no ] ca identity ca_nickname [ ca_ipaddress | hostname [ : ca_script_location ] [ ldap_ip address | hostname ]]
• : ca_script_location ― CAサーバ上でのスクリプトの位置は/cgi-bin/pkiclient.exeです。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
CAがLDAPをサポートしている場合は、クエリ機能でもLDAPを使用する場合があります。
CA管理者がこの位置にCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定する必要があります。
FWSMは、HTTPプロトコルのサブセットを使用してCAにアクセスするため、CA要求を処理する特定のcgi-binスクリプトを識別できる必要があります。CAサーバ上でのスクリプトのデフォルトの位置と名前は、/cgi-bin/pkiclient.exeです。設定した位置にCA管理者がCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定します。
デフォルトでは、証明書またはCRLのクエリはシスコのPKIプロトコルを利用して実行されます。CAがLDAPをサポートしている場合、クエリ機能はLDAPを使用する場合があります。 ca identity コマンド文の中で、LDAPサーバのIPアドレスを指定する必要があります。
次の例では、CA myca.example.comをFWSMでサポートされるCAとして宣言しています。CAのIPアドレスとして、205.139.94.231を指定しています。
リロード時に、FWSMのRSA鍵ペア、CA、RA、FWSMの証明書、およびCAのCRLをフラッシュ メモリ内の永続的なデータ ファイルに保存するには、 ca save-all コマンドを使用します。FWSMのフラッシュ メモリから保存されたデータを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca save コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。
要求した証明書の現在のステータス、および受信した証明書の関連情報を表示するには、 show ca certificate コマンドを使用します。証明書には機密データが含まれていないため、この show コマンドはどのユーザでも使用できます。
サブジェクトDistinguished Name(DN;認定者名)を使用して、デバイス証明書を作成するには、 ca subject-name コマンドを使用します。サブジェクトDNを削除するには、このコマンドの no 形式を使用します。
[no ] ca subject-name ca_nickname X.500_string
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
X.500_string は、RFC 1779形式で指定します。
ca subject-name ca_nickname X.500_string コマンドは、X.500ディレクトリ名をサポートするための証明書登録拡張です。
ca subject-name ca_nickname X.500_string コマンドを設定すると、FWSMは、RFC 1779形式で X.500_string に指定されているサブジェクトDNを使用して、デバイス証明書を登録します。 表 2-4 に、サポートされているDN属性を示します。
|
|
---|---|
RFC 1779の詳細については、次のURLを参照してください。
http://www.ietf.org/rfc/rfc1779.txt
FWSMソフトウェア バージョン2.2(1)では、VPNクライアント上でX.509(証明書サポート)をサポートしています。Cisco IOSソフトウェア、VPN 3000コンセントレータ、およびFWSMは、「ou」属性に基づいて正しいVPNグループ(モード設定グループ)を検索します(「ou」属性は、Easy VPNクライアントがRSAシグニチャをネゴシエートするときの、デバイス証明書のサブジェクトDNの一部)。
(注) Cisco VPN 3000ヘッドエンドとFWSM間でX.500_stringを使用して通信している場合は、VPN 3000ヘッドエンドの設定にバックアップ サーバのDNS名を使用しないでください。バックアップ サーバはIPアドレスで指定してください。
次の例では、サブジェクトDNを使用してデバイス証明書を作成します。この例では、my_departmentがVPNグループです。
X.500_string に基づいて証明書のDistinguished Name(DN;認定者名)を検証し、サブジェクト名フィルタとして機能するには、 ca verifycertdn コマンドを使用します。サブジェクト名フィルタをディセーブルにするには、このコマンドの no 形式を使用します。
[no ] ca verifycertdn X.500_string
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca verifycertdnコマンドを入力して、ピア証明書のサブジェクト名が X.500_string と一致する場合、そのサブジェクト名はフィルタリングされて除外され、ISAKMPネゴシエーションが失敗します。
FWSMによって以前に生成されたRSA鍵をすべて削除するには、 ca zeroize rsa コマンドを使用します。
ca zeroize rsa [ keypair_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca zeroize rsa コマンドは、FWSMによって以前に生成されたRSA鍵をすべて削除します。このコマンドを発行する場合は、ほかに次の2つの作業を実施する必要があります。
1. no ca identity コマンドを使用して、FWSMの証明書をコンフィギュレーションから手作業で削除します。この操作によって、CAから発行された証明書がすべて削除されます。
2. CAの管理者に連絡して、CAにあるFWSMの証明書を失効させるように要請します。最初にFWSMの証明書を取得したときに crypto ca enroll コマンドを使用して作成した、チャレンジ パスワードを提示します。
RSA鍵ペアを保存するには、 ca save-all コマンドを使用します。特定のRSA鍵ペアを削除するには、 ca zeroize rsa コマンド文の中で keypair_name オプションを使用して、削除するRSA鍵の名前を指定します。
(注) Secure Shell(SSH;セキュア シェル)を使用するために、RSA鍵ペアを複数保持していることがあります。詳細については、sshコマンドの項を参照してください。
パケット キャプチャ機能をイネーブルにして、パケットのスニッフィングやネットワーク障害を検出するには、 capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。
capture capture_name [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ]
no capture capture-name [access-list access_list_name ] [circular-buffer] [ interface interface_name ]
(任意)特定のアクセス リストを識別するために、IPフィールドまたはより高位のフィールドに基づいて、パケットを選択します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
接続障害のトラブルシューティングや不審な動作を監視する際に、パケットのキャプチャは有効です。FWSMでは、汎用プロセッサを通過するトラフィック(管理トラフィックおよびインスペクション エンジンを含む)のパケット情報を記録できます。FWSMはネットワーク プロセッサを通過するトラフィック(大半の通過トラフィックなど)をキャプチャできません。パケット キャプチャ機能を使用する場合は、テクニカル サポートに問い合わせることを推奨します。
キャプチャから除外するイーサネット タイプを選択する場合の例外は802.1Q(VLANタイプ)です。802.1Qタグは自動的にスキップされ、条件に一致しているかどうかの判定には内部イーサネット タイプが使用されます。デフォルトでは、すべてのイーサネット タイプが選択されます。
パケット キャプチャをイネーブルにするには、 interface オプション引数を使用してキャプチャをインターフェイスに関連付けます。複数のinterface文を使用すると、キャプチャが複数のインターフェイスに関連付けられます。
バッファの内容がTFTPサーバにASCII形式でコピーされる場合は、ヘッダーだけを表示できます。パケットの詳細や16進ダンプは表示できません。詳細や16進ダンプを表示するには、バッファをPCAP形式で伝送し、TCPDUMPまたはEtherealを使用して読み取ります。
ethernet-type および access-list オプション キーワードを使用すると、バッファに保存するパケットを選択できます。イーサネット フィルタとアクセス リスト フィルタの両方を通過したパケットだけがキャプチャ バッファに保存されます。
capture capture_name circular-buffer コマンドを使用すると、キャプチャ バッファが一杯になったときに、キャプチャ バッファを先頭部分から上書きできます。
キャプチャが消去されないようにする場合は、 no capture コマンドに access-list または interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセス リストが削除され、キャプチャは残されます。 interface オプションを指定した場合は、指定したインターフェイスからキャプチャが分離され、キャプチャは残されます。
(注) captureコマンドはコンフィギュレーションには保存されません。また、captureコマンドはフェールオーバー中にスタンバイ装置に複製されることもありません。
キャプチャ情報をリモートのTFTPサーバにコピーするには、 copy capture : capture_name
tftp://server/ path [pcap] コマンドを使用します。
パケット キャプチャ情報をWebブラウザで表示するには、
https:// fwsm-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。
pcap オプション キーワードを指定すると、libpcap形式のファイルがWebブラウザにダウンロードされるので、Webブラウザを使用してファイルを保存できます(libcapファイルは、TCPDUMPまたはEtherealで表示可能)。
パケット キャプチャをイネーブルにするには、次のように入力します。
「mycapture」という名前のキャプチャの内容をWebブラウザで表示するには、次のアドレスを入力します。
https://171.69.38.95/capture/mycapture/pcap
Internet ExplorerやNetscape NavigatorなどのWebブラウザで使用されるlibcapファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。
次の例では、外部ホスト171.71.69.234から内部HTTPサーバへのトラフィックがキャプチャされます。
カレント ディレクトリを指定したディレクトリに変更するには、 cd コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
copy disk
copy flash
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
コマンドが適用される実行スペースを変更するには、 changeto コマンドを使用します。
changeto {system | context name}
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンテキスト名は、コマンドライン プロンプトに挿入されます。プロンプトが変更されるのは、コンテキスト内で作業する場合だけです。シングル コンテキスト モードからマルチ コンテキスト モードに変更しても、プロンプトは変更されません。
次に、「test1」というコンテキストに変更する例を示します。
次に、「test1」というコンテキストからシステム コンテキストに変更する例を示します。
コンテキストの割り当てが可能なクラスを作成し、クラス サブモードを開始するには、 class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
各クラス メンバーのリソース制限はクラス パラメータによって決まります。クラス名は20文字までに制限されています。デフォルト クラスは削除できません。デフォルト クラスの制限を変更する場合は、 name に default を指定します。クラスを削除するには、このコマンドの no 形式を使用します。 class コマンドを入力すると、FWSMはクラス サブコンフィギュレーション モードを開始します。サブモードでは、 limit-resource コマンドを使用できます。
デフォルトでは、すべてのセキュリティ コンテキストでほとんどのFWSMリソースを利用できます。ただし、1つまたは複数のコンテキストがリソースを多く使用しすぎていて、他のコンテキストの接続が拒否される場合、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。
リソースの一覧については、 limit-resource コマンドの項を参照してください。また、 show resource types コマンドの項も参照してください。
(注) FWSMはコンテキストごとの帯域幅制限は行いません。FWSMを搭載したスイッチまたはルータは、VLAN単位で帯域幅を制限できます。詳細については、Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータのマニュアルを参照してください。
特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。
コンテキストが別のクラスに所属している場合、そのクラスの設定がデフォルト クラスの設定よりも優先されます。ただし、別のクラスで設定が定義されていない場合には、メンバー コンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続に関して2%の制限を持ち、他に制限のないクラスを作成した場合、その他の制限はすべてデフォルトから継承されます。逆に、すべてのリソースに対して2%の制限を持つクラスを作成すると、そのクラスはデフォルトの設定を使用しません。
デフォルトでは、デフォルト クラスはすべてのコンテキストの大半のリソースに対して無制限のアクセスを提供しています。コンテキストごとに制限されるリソースは、次のとおりです。
リソース クラスの設定を使用するには、コンテキストをクラスに割り当てます。特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。コンテキストを割り当てることができるリソース クラスは1つだけです。ただし、メンバー クラスで定義されていない制限については、デフォルト クラスから継承されます。コンテキストは、デフォルト クラスに別のクラスを加えたクラスのメンバーであると言えます。
コンテキストをクラスに割り当てるには、 member(コンテキスト サブモード) コマンドを使用します。
次に、デフォルト クラス パラメータを変更する例を示します。
config-url(コンテキスト サブモード)
limit-resource
show class
show context
show resource allocation
show resource types
コンフィギュレーションからコンフィギュレーション ファイルおよびコマンドを削除するか、またはコマンド値をリセットするには、 clear コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コマンドの no 形式を使用すると、コンフィギュレーションを変更できます。
clear コマンドは、さまざまなセキュリティ レベルのモードで使用できます。セキュリティ レベルが低いモードで使用できる clear コマンドは、よりセキュリティ レベルの高いモードでも使用できます。ただし、セキュリティ レベルの高いモードの clear コマンドは、セキュリティ レベルの低いモードでは使用できません。
TACACS+、RADIUS、またはローカル ユーザのAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)をイネーブル化、ディセーブル化、または表示するには、 clear aaa コマンドを使用します。
clear aaa authentication | authorization | accounting
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa-server
clear aaa accounting
clear aaa authentication
clear aaa authorization
ローカル、TACACS+、またはRADIUSのユーザ アカウントをクリアするには、 clear aaa accounting コマンドを使用します。
clear aaa accounting { include | exclude } service interface_name source_ip source_mask [destination_ip destination_mask] server_tag
アカウンティングサービス。指定できる値は、any、ftp、http、telnet、またはprotocol/portです。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any を使用します。UDPサービスに対してアカウンティングを可能にするには、protocol/port引数を使用します。protocol/port形式では、たとえばTCPプロトコルは6と表示され、UDPプロトコルは17と表示されます。ポートは、TCPまたはUDPの宛先ポートです。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは使用されません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。
ローカル、TACACS+、またはRADIUSのユーザ認証をクリアするには、 clear aaa authentication コマンドを使用します。
clear aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask] server_tag
選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ローカルまたはTACACS+のユーザ認証をクリアするには、 clear aaa authorization コマンドを使用します。
clear aaa authorization { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask ] server_tag
選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。
定義済みのサーバ グループを削除するには、 clear aaa-server コマンドを使用します。
(任意)AAAサーバ グループ タグ。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべてのインターフェイスからアクセス グループを削除するには、 clear access-group コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
アクセス リストを削除するか、またはアクセス リスト カウンタをクリアするには、 clear access-list コマンドを使用します。
clear access-list [i d ] [ counters ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
id を指定せずに clear access-list コマンドを使用すると、すべての access-list コマンド( access-list deny-flow-max など)がクリアされます。 また、 access-group コマンドなどの、ACLに関連するコマンドも削除されます。
次に、特定のアクセス リスト カウンタをクリアする例を示します。
次に、すべてのアクセス リスト カウンタをクリアする例を示します。
FWSM のアクティベーション キーをクリアして、 FWSM をデフォルトのフィーチャ セットに戻すには、 clear activation-key コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
マルチ セキュリティ コンテキスト モードでは、デフォルトのフィーチャ セットを使用すると2つのコンテキストが許可されます。
コンフィギュレーションからすべての alias コマンドを削除するには、 clear alias コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから alias コマンドを削除する例を示します。
ARPキャッシュ テーブル内のエントリ( arp interface_name ip mac コマンドで直接設定したものを除く)をすべてクリアするには、 clear arp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ARPキャッシュ テーブルのエントリをクリアする例を示します。
ARP検査の設定をクリアするには、 clear arp-inspection コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
HTTP、FTP、およびTelnetアクセスに対するAAAチャレンジ テキストをクリアするには、 clear auth-prompt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、許可プロンプトのAAAチャレンジ テキストをクリアする例を示します。
すべてのバナーを削除するには、clear bannerコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
CAのコンフィギュレーションを削除するには、clear caコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、CAのコンフィギュレーションをクリアする例を示します。
キャプチャ バッファをクリアするには、 clear capture capture_name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべてのパケット キャプチャを誤って削除することを防ぐため、 clear capture ( cl cap や clear cap など)の短縮形はサポートされていません。
次に、キャプチャ バッファ「orlando」のキャプチャ バッファをクリアする例を示します。
すべてのクラスを削除して、デフォルト クラスをデフォルト設定に戻すには、 clear class コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
実行コンフィギュレーションの要素をクリアするには、 clear configure コマンドを使用します。
clear configure { primary | secondary | all }
(任意)特定のコマンドをデフォルト値に設定し、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、コマンドをデフォルト設定に戻します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear configure all コマンドは、コンフィギュレーションをデフォルト値にリセットします。このコマンドは、テンプレート コンフィギュレーションを作成する場合や、すべての値を消去する場合に使用します。
コンテキスト モードで clear config all コマンドを使用すると、コンテキストの実行コンフィギュレーション全体が削除されますが、コンテキストのコンフィギュレーションURLやコンテキストは削除されません。また、システム コンフィギュレーションで指定されたパラメータも削除されません。
(注) システム モードでclear configureコマンドを使用すると、システム コンフィギュレーションおよびコンテキストのすべてのコンフィギュレーションが削除されます。
clear configure primaryコマンドは、interface、ip、mtu、nameif、およびroute コマンドをデフォルト値にリセットし、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、デフォルト設定に戻します。
clear configure secondaryコマンドは、コンフィギュレーションから、aaa-server、alias、 access-list 、apply、global、outbound、static、telnet、およびurl-serverコマンドを削除します。ただし、tftp-serverコマンドは削除されません。
フラッシュ メモリのスタートアップ コンフィギュレーションをクリアするには、write eraseコマンドを使用します。
次に、RAMのコンフィギュレーションをクリアする例を示します。
システムから接続を削除するには、 clear conn コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
現在キャプチャされているコンソール出力を削除するには、 clear console-output コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除するには、 clear context コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear context コマンドは、すべてのコンテキストとそのコンフィギュレーション、およびすべてのコンテキストのコンテキスト サブコマンド(メンバーおよびconfig-url)を削除します。 clear context コマンドでは、RMクラスの定義は削除されません。
次の例では、すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除します。
プロトコル スタック カウンタをクリアするには、 clear counters コマンドを使用します。
clear counters [context context-name | top N | all | summary] [protocol protocol_name [: counter_name ]| detail]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、プロトコル スタック カウンタをクリアする例を示します。
FWSMのフラッシュ メモリからクラッシュ情報ファイルを削除するには、 clear crashdump コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから crypto dynamic-map コマンドを削除するには、 clear crypto
dynamic-map コマンドを使用します。
clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから crypto dynamic-map コマンドを削除する例を示します。
暗号インターフェイス カウンタをクリアするには、 clear crypto interface counters コマンドを使用します。
clear crypto interface counters
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear crypto interface counters コマンドは、パケット、ペイロード バイト、キュー長、および移動平均のカウンタのみをクリアします。キューにある実際のパケットには影響を与えません。
次に、暗号インターフェイス カウンタをクリアする例を示します。
IPSecのセキュリティ アソシエーションを削除するには、 clear crypto ipsec sa コマンドを使用します。
clear [ crypto ] ipsec sa [ counters | entry { destination-address protocol spi } | map map-name | peer ]
(任意)指定されたアドレス、プロトコル、およびSPIを使用して、IPSecのセキュリティ アソシエーションを削除します。 |
|
(任意)セキュリティ アソシエーションを識別するためのSecurity Parameter Index(SPI)を指定します。有効値は、256~4294967295(16進数のFFFF FFFF)です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Internet Key Exchange(IKE)を使用してセキュリティ アソシエーションが確立されている場合、セキュリティ アソシエーションが削除されるため、以降のIPSecトラフィックでは新しいセキュリティ アソシエーションが必要です。IKEを使用している場合、IPSecセキュリティ アソシエーションは必要なときにだけ確立されます。
セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除されます。
引数を指定せずに clear [ crypto ] ipsec sa コマンドを使用すると、IPSecセキュリティ アソシエーションがすべて削除されます。
セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除され、もう一度確立されます(IKEを使用していない場合は、コンフィギュレーションが完了するとすぐにIPSecセキュリティ アソシエーションが作成される)。
先行する何らかのコマンドによって特定のセキュリティ アソシエーションが削除される場合は、同じIKEネゴシエーション中に確立された「兄弟の」セキュリティ アソシエーションもすべて削除されます。
counters オプション キーワードを使用すると、セキュリティ アソシエーションごとに保持されているトラフィック カウンタだけが消去されます。セキュリティ アソシエーション自体は消去されません。
セキュリティ アソシエーションに影響を及ぼす設定変更を行う場合、その変更は既存のセキュリティ アソシエーションには適用されませんが、後続のセキュリティ アソシエーションのネゴシエーションには適用されます。すべてのセキュリティ アソシエーションで最新のコンフィギュレーション設定値が使用されるようにするには、 clear [crypto] ipsec sa コマンドを使用してすべてのセキュリティ アソシエーションを再起動します。手作業で確立したセキュリティ アソシエーションに影響を及ぼす変更を行う場合、その変更内容を適用するには、 clear [crypto] ipsec sa コマンドを使用する必要があります。
(注) IPSecコンフィギュレーションを大幅に変更する場合(たとえば、アクセス リストやピアに変更を加える場合)は、clear [crypto] ipsec saコマンドでは新しいコンフィギュレーションが有効になりません。このような場合は、crypto map interfaceコマンドを使用して、暗号マップをインターフェイスに再バインドします。
FWSMがアクティブなIPSecトラフィックを処理している間は、セキュリティ アソシエーション データベースのうち、変更の影響を受ける部分だけを消去して、アクティブなIPSecトラフィックの処理が一時的に失敗することを避けてください。
clear [ crypto ] ipsec sa コマンドは、IPSecセキュリティ アソシエーションだけを消去します。IKEセキュリティ アソシエーションを消去するには、 clear [ crypto ] isakmp sa コマンドを使用します。
次の例では、FWSMのIPSecセキュリティ アソシエーションをすべて消去し、必要に応じて再初期化します。
次の例では、AHプロトコルを使用してアドレス10.0.0.1用に確立されたSPI 256のセキュリティ アソシエーションとともに確立された、受信IPSecセキュリティ アソシエーションと送信IPSecセキュリティ アソシエーションを消去し、必要に応じて再初期化します。
crypto ipsec security-association lifetime
crypto map interface
show crypto map
コンフィギュレーションからIKE SAの isakamp policy コマンドを削除するには、 clear crypto isakamp sa コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから isakamp policy コマンドを削除する例を示します。
DHCPサーバ コマンド、バインディング、および統計情報をすべてクリアするには、 clear dhcp コマンドを使用します。
clear dhcpd [ binding | statistics ]
(任意)統計情報(アドレス プール、バインディング数、不正メッセージ、送信メッセージ、受信メッセージなど)をクリアします。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear dhcpd コマンドは、すべての dhcpd コマンド、バインディング、および統計情報をクリアします。 clear dhcp statistics コマンドは、 show dhcp statistics のカウンタをクリアします。
DHCPリレー コンフィギュレーション コマンドをクリアするには、 clear dhcprelay コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
clear dhcprelay コマンドは、すべてのDHCPリレー コンフィギュレーションをクリアします。 clear dhcprelay statistics コマンドは、 show dhcprelay statistics のカウンタをクリアします。
次に、 DHCP リレー コンフィギュレーションをクリアする例を示します。
ディスパッチ レイヤの統計情報をクリアするには、 clear dispatch stats コマンドを使用します。
clear dispatch stats [funcid | all]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ディスパッチ レイヤ統計情報をすべて削除する例を示します。
ダイナミック暗号マップ エントリを削除するには、 clear dynamic-map コマンドを使用します。
clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ダイナミック マップ エントリを削除する例を示します。
確立されたコマンドをすべて削除するには、 clear established コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
established コマンドで確立された接続を削除するには、 clear xlate コマンドを使用します。
すべてのフェールオーバー コンフィギュレーションを削除するには、 clear failover コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フェールオーバー コンフィギュレーションを削除する例を示します。
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
show failover
write standby
コンフィギュレーションから filter コマンドを削除するには、 clear filter コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、すべての filter コマンドを削除する例を示します。
ファイアウォール モードをデフォルト設定に戻すには、 clear firewall コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ファイアウォール モードをルーテッド ファイアウォール モードに設定する例を示します。
フィックスアップ コンフィギュレーションをリセットするには、 clear fixup コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フィックスアップ コンフィギュレーションをリセットする例を示します。
FWSM内のフラッシュ メモリのファイル システムをクリアするには、 clear flashfs コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSM内のフラッシュ メモリのファイル システムをクリアする例を示します。
フラッド保護をディセーブルにするには、 clear floodguard コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フラグメント データベースをデフォルトにリセットするには、 clear fragment コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear fragmentコマンドを使用すると、フラグメント データベースがリセットされます。特に、再組み立てを待っているフラグメントはすべて廃棄されます。さらに、サイズは200にリセットされ、チェイン制限は24にリセットされ、タイムアウトは5秒にリセットされます。
現在、再組み立てを待っているフラグメントはすべて廃棄され、size、chain、およびtimeoutオプション キーワードがそれぞれのデフォルト値にリセットされます。
sysopt security fragguard および fragguard コマンドは、 fragment コマンドに置き換えられています。
次に、フラグメント データベースをデフォルトにリセットする例を示します。
FTPモードをデフォルト設定に戻すには、 clear ftpコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FTPモードをパッシブ モードに設定する例を示します。
ガーベッジ コレクション処理の統計情報を削除するには、 clear gc コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ガーベッジ コレクション処理の統計情報を削除する例を示します。
コンフィギュレーションから global コマンドを削除するには、 clear global コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから global コマンドを削除する例を示します。
すべてのHTTPホストを削除して、サーバをディセーブルにするには、 clear http コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、すべてのHTTPホストを削除して、サーバをディセーブルにする例を示します。
インターフェイスで終端するICMPトラフィックに対するアクセスを削除するには、 clear icmp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ICMPトラフィックに対するアクセスを削除する例を示します。
インターフェイスの統計情報をクリアするには、 clear interface stats コマンドを使用します。
clear interface [ interface ] stats
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear interfaceコマンドは、すべてのインターフェイス統計情報をクリアします。このコマンドは、すべてのシステム インターフェイスをシャットダウンする訳ではありません。 clear interface コマンドは、すべてのインターフェイスに対するユニキャストRPFのパケット廃棄数もクリアします。
次に、内部インターフェイスの統計情報をクリアする例を示します。
すべてのIPアドレスをクリアするには、 clear ip address コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ip address コマンドを変更した場合は、その後、 clear xlate コマンドを使用します。
次に、インターフェイスのすべてのIPアドレスをクリアして、FWSMモジュールを通過するトラフィックをすべて停止する例を示します。
clear ip verify reverse-path
ip address
ip prefix-list
ip verify reverse-path
show ip address
show ip verify
IP OSPFに関する情報をクリアするには、 clear ospf コマンドを使用します。
clear ip ospf [ pid ] { process | counters | neighbor [ neighbor-intf ] [ neighbr-id ]}
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
このコマンドを使用しても、コンフィギュレーションは削除されません。OSPFコンフィギュレーションを削除するには、 router ospfコマンド または routing interface コマンドの no 形式を使用します。
コンフィギュレーションから ip verify reverse-path コマンドを削除するには、 clear ip verify reverse-path コマンドを使用します。
clear ip verify reverse-path [ interface int_name ] [ statistics ]
コンフィギュレーションから ip verify reverse-path コマンド設定を削除します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
clear ip verify コマンドを使用すると、コンフィギュレーションから ip verify コマンドを削除できます。ユニキャストReverse Path Forwarding(RPF)は、インターフェイスに到着する受信パケットをスクリーニングする一方向の入力機能です。送信パケットはスクリーニングされません。
次に、コンフィギュレーションから ip verify reverse-path コマンドを削除する例を示します。
clear ip address
ip address
ip prefix-list
ip verify reverse-path
show ip address
show ip verify
ローカル ホストについて表示される情報をクリアするには、 clear local-host コマンドを使用します。
(注) ローカル ホストのネットワーク ステートをクリアすると、ローカル ホストに関連付けられている接続やxlateはすべて停止します。
clear local-host [ ip_address ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
表示を1つのホストに制限する場合は、 ip_address オプションを使用します。
FWSMでは、クリアされたホストはライセンス制限から除外されます。ライセンス制限にカウントされているホストの数は、 show local-host コマンドを使用して表示できます。
次に、clear local-hostコマンドでローカル ホストに関する情報をクリアする例を示します。
拒否メッセージを元のメッセージにリセットするには、 clear logging rate-limit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ブリッジ テーブルからインターフェイス名のエントリを削除するには、 clear mac-address-table コマンドを使用します。
clear mac-address-table interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、ブリッジ テーブルからインターフェイス名のエントリを削除する例を示します。
mac-address-table aging-time
mac-address-table static
show mac-address-table
MAC学習を停止するには、 clear mac-learn コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
Media Gateway Command Protocol(MGCP)コンフィギュレーションを削除して、コマンドのキュー制限をデフォルトの200にリセットするには、 clear mgcp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、MGCPコンフィギュレーションを削除して、コマンド キューをリセットする例を示します。
フェールオーバーのインターフェイス モニタ設定を削除するには、 clear monitor-interface コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
メンテナンス パーティション パスワードを削除して、デフォルト パスワードにリセットするには、 clear mp-passwd コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、メンテナンス パーティション パスワードを削除する例を示します。
NATのコンフィギュレーションを削除するには、 clear nat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
(注) トランスペアレント ファイアウォール モードの場合、有効なNAT IDは0だけです。
FWSMコンフィギュレーションから名前のリストを削除するには、 clear name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
name コマンドの使用をディセーブルにするには、 clear names コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションからobject groupコマンドを削除するには、 clear object-group コマンドを使用します。
clear object-group [{ protocol | service | icmp-type | network }] [ obj_grp_id ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから object-group コマンドを削除する例を示します。
area コマンドをデフォルト設定に戻すには、 clear pager コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、 area コマンドをデフォルト設定に戻す例を示します。
パスワードを「cisco」にリセットするには、clear passwordコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、パスワードを「cisco」にリセットする例を示します。
FWSM Device Managerのロケーションをすべて削除し、ロギングをディセーブルにして、PDMバッファをクリアするには、 clear pdm コマンドを使用します。
clear pdm [location | group | logging]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear pdm、 pdm group 、pdm history、pdm location、およびpdm logging コマンドがコンフィギュレーションに表示される場合がありますが、これらのコマンドは、PDMからFWSMへの内部コマンドとして機能する設計になっていて、PDMにだけアクセスできます。
次に、FWSM Device Managerのすべてのロケーションを削除し、ロギングをディセーブルにして、PDMバッファをクリアする例を示します。
コンフィギュレーションを削除して、コマンドの権限レベルを表示するには、 clear privilege コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションを削除して、コマンドの権限レベルを表示する例を示します。
最大カウンタを現在のカウンタの値に設定し、拒否カウンタをクリアするには、 clear resource usage コマンドを使用します。
clear resource usage [ context context_name | top n | all | summary | system ] [ resource {[ rate ] resource_name | all } | detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear resource usage コマンドは、このコマンドで指定されたリソースに対して機能します。リソース タイプが指定されていない場合、このコマンドはすべてのリソースに対してデフォルトを使用します。リソース タイプの詳細を指定すると、すべてのリソース タイプがクリアされます。
次に、使用されていたシステム リソースのリストを削除する例を示します。
show resource allocation
show resource types
show resource usage
Routing Information Protocol(RIP)の設定を削除するには、 clear rip コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
connect キーワードを含まないコンフィギュレーションから route コマンドを削除するには、 clear
route コマンドを使用します。
clear route [ interface_name ip_address [ netmask gateway_ip ]]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デフォルト ルートを指定するには、 0.0.0.0 を使用します。0.0.0.0のIPアドレスを 0 に、0.0.0.0の netmask を 0 に省略できます。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を削除するには、 clear route-map コマンドを使用します。
clear route-map map_tag [ permit | deny ] [ seq_num ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
permit キーワードが指定されていて、一致条件に適合しない場合、同じ map_tag を持つ次のルート マップがテストされます。ルートが、同じ名前のすべてのルート マップの一致条件に適合しない場合、そのルートは再配布されません。
インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除するには、 clear routing コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除する例を示します。
FWSMからRemote Processor Call(RPC)をクリアするには、 clear rpc-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
rpc-server コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。
(注) FWSMの最上位のIPアドレスがプライベート アドレスになっている場合、このアドレスはHelloパケットおよびDatabase Definition(DBD)で送信されます。こうした動作を防ぐためには、router-id ip_addressをグローバル アドレスに設定します。
同じセキュリティのインターフェイス通信をディセーブルにするには、 clear same-security-traffic コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから service コマンドを削除するには、 clear service コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
現在イネーブルであるすべての遮断をディセーブルにして、遮断統計情報をクリアするには、 clear shun コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
SNMP(簡易ネットワーク管理プロトコル)サーバをディセーブルにするには、 clear snmp-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから ssh コマンドをすべて削除するには、 clear ssh コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから ssh コマンドをすべて削除する例を示します。
コンフィギュレーションから static コマンドをすべて削除するには、 clear static コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから static コマンドをすべて削除する例を示します。
コンフィギュレーションから sysopt コマンドをすべて削除するには、 clear sysopt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから sysopt コマンドをすべて削除する例を示します。
コンフィギュレーションから tacacs-server コマンドをすべて削除するには、 clear tacacs-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから tacacs-server コマンドをすべて削除する例を示します。
コンフィギュレーションからTelnet接続およびアイドル タイムアウトを削除するには、 clear telnet コマンドを使用します。
clear telnet [ ip_address [ netmask ] [ interface_name ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
アクセスをIPアドレス1つに制限するには、255.255.255.255のように各オクテットに255を使用します。 netmask を指定しない場合、 source_ip のクラスに関係なく、デフォルトの255.255.255.255になります。内部ネットワークのサブネットワーク マスクを使用しないでください。netmaskは、 ip_address のIPアドレスに対するビット マスクです。
IPSecが動作している場合は、セキュアでないインターフェイス名(通常、外部インターフェイス)を指定できます。telnetコマンドでインターフェイス名を指定するには、少なくとも、crypto mapコマンドを設定する必要があります。
インターフェイス名が指定されていない場合、アドレスは内部インターフェイス上のアドレスとみなされます。FWSMは、自動的にこのIPアドレスをip addressコマンドによって指定されているIPアドレスと照合して確認し、指定したアドレスが内部インターフェイスにあることを確認します。インターフェイス名が指定されている場合、FWSMは、指定したインターフェイスと照合してホストをチェックします。
Telnetを使用してFWSMへのアクセスが許可されるホストまたはネットワークは最大16までで、同時にコンソールにアクセスできるホストまたはネットワークは5つです。 no telnet コマンドまたは clear telnet コマンドを使用すると、それまでに設定したIPアドレスからTelnetアクセスが削除されます。telnet timeoutコマンドを使用すると、コンソールのTelnetセッションの最大アイドル時間を設定して、その時間が経過すると、FWSMがログオフするようにできます。clear telnetコマンドは、telnet timeoutコマンドで設定した継続時間に影響を与えません。no telnetコマンドは、telnet timeoutコマンドと併せて使用できません。
次に、FWSMのコンフィギュレーションからTelnet接続とアイドル タイムアウトを削除する例を示します。
コンソール端末回線パラメータの設定を削除するには、 clear terminal コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSMのコンフィギュレーションからコンソール端末回線パラメータの設定を削除する例を示します。
コンフィギュレーションからTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバのアドレスとディレクトリを削除するには、 clear tftp-server コマンドを使用します。
clear tftp-server [[ interface_name ] ip_address path ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
指定しない場合は、内部インターフェイスとみなされます。外部インターフェイスを指定した場合、外部インターフェイスはセキュアでないことを示す警告メッセージが表示されます。パスの内容は、解釈もチェックもされずに、サーバに直接渡されます。パスの形式は、サーバ上のオペレーティング システムのタイプによって異なります。コンフィギュレーション ファイルは、TFTPサーバに存在する必要があります。多くのTFTPサーバでは、コンフィギュレーション ファイルに書き込むためには、ファイルを誰でも書き込める状態にし、コンフィギュレーション ファイルから読み取るためには、ファイルを誰でも読み取れる状態にしておく必要があります。
次に、コンフィギュレーションからTFTPサーバのアドレスとディレクトリを削除する例を示します。
コンフィギュレーションから最大アイドル時間を削除するには、 clear timeout コマンドを使用します。