この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Catalyst 6500シリーズ スイッチおよびCisco 7600シリーズ ルータ上でのFirewall Services Module(FWSM;ファイアウォール サービス モジュール)の設定に使用できるすべてのコマンドをアルファベット順に紹介します。
aaa-server コマンドで指定されたサーバ上のTACACS+またはRADIUSのユーザ アカウンティングを対象または除外対象にするには、 aaa accounting コマンドを使用します。アカウンティング サービスをディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa accounting { include | exclude } service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag
(任意) source_ip アドレスにアクセスする宛先ホストのIPアドレス。 0 を指定すると、すべてのホストにアクセスが付与されます。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
interface_name は、VLAN番号と同じである必要があります。
このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。
アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。
ユーザ アカウンティング サービスは、ユーザがアクセスするネットワーク サービスを記録します。この記録は、指定したAAAサーバにも記録されます。アカウンティング情報は、サーバ グループ内のアクティブなサーバにだけ送信されます。
service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any キーワードを使用します。UDPサービスの場合、protocol/portを使用します。このポートは、TCPまたはUDPの宛先ポートに対応します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは適用されないので、使用しないでください。ポートについては、 付録B「ポートとプロトコルの値」 を参照してください。
aaa accounting コマンドは、 aaa authentication コマンドと併せて、さらにオプションで aaa authorization コマンドと併せて使用します。記録するトラフィックに対して認証を有効にしておく必要があります。
任意のホストからの接続を記録するには、ローカルIPアドレスおよびネットマスクに 0.0.0.0 0.0.0.0 または 0 0 を入力します。宛先ホストのIPアドレスおよびネットマスクについても同じ表記法を使用し、0.0.0.0 0.0.0.0を入力して宛先ホストを指定します。
ヒント help aaaコマンドを使用すると、aaa authentication、 aaa authorization、 aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。
アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。
次に、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定する例を示します。
aaa accounting match
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。アクセス リストで指定されたトラフィックに対するアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa accounting match access_list_name interface_name server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access_list_name は、 access-list extended コマンドで定義します。
ACLでは、permitでアカウントが有効になり、denyでアカウントが無効になります。
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。
次に、特定のアクセス リストでアカウンティングをイネーブルにする例を示します。
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSMを通過するトラフィックのユーザ認証を認証の対象または除外対象にするには、 aaa authentication コマンドを使用します。ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag
選択されているサービス キーワードに基づいて認証の対象にするか、対象から除外するトラフィックのタイプを指定します。指定できるサービスについては、 付録B「ポートとプロトコルの値」 を参照してください。 |
|
(任意) source_ip アドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。 |
|
aaa-server コマンドで指定されるAAAサーバ グループ タグ |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
IPアドレスごとに、受信接続に対して1つの aaa authentication コマンドを使用でき、送信接続に対して1つの aaa authentication コマンドを使用できます。特定のIPアドレスで開始される接続は一方向のみです。
aaa authentication コマンドを使用すると、次の機能をイネーブルまたはディセーブルにできます。
• aaa-server コマンドでIPアドレスが特定されるホストは、FTP、Telnet、またはHTTPを通じて接続を開始し、ユーザ名とパスワードの入力を求められます。ユーザ名とパスワードが、指定されたTACACS+またはRADIUS認証サーバで確認された場合、FWSMで認証ホストと宛先アドレス間の以降のトラフィックを許可します。
表示されるプロンプトは、認証を受けてFWSMにアクセスできる3つのサービスでそれぞれ異なります。
• Telnetユーザには、FWSMが生成するプロンプトが表示されます。FWSMは、ユーザに対して4回までのログイン試行を許可し、それでもユーザ名とパスワードが違う場合、FWSMは接続をドロップします。このプロンプトは、auth-promptコマンドで変更できます。
• FTPユーザは、FTPプログラムからプロンプトを受け取ります。ユーザの入力したパスワードが誤っている場合は、ただちに接続が中断されます。
認証データベース上のユーザ名およびパスワードが、FTPを使用してアクセスする宛先リモート ホスト上のユーザ名およびパスワードと異なっている場合は、ユーザ名とパスワードを次の形式で入力します。
FWSM装置をデイジーチェーン接続している場合、Telnet認証は装置が1台のときと同様に機能します。FTPおよびHTTPの場合は、ユーザ名またはパスワードごとにアットマーク(@)を追加して、各デイジーチェーン システムのユーザ名とパスワードを入力する必要があります。ユーザは、デイジーチェーン接続されている装置の台数、およびパスワードの長さに応じて、63文字までのパスワード制限を超えて入力できます。
FTPのGUI(グラフィカル ユーザ インターフェイス)の一部には、チャレンジ値を表示しないものがあります。
• HTTPユーザには、ブラウザが生成するポップアップ ウィンドウが表示されます。ユーザの入力したパスワードが誤っている場合、ユーザは再入力を求められます。Webサーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するにはvirtualコマンドを使用します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
アクセス認証サービスの引数 authen_service には、次の値を指定できます。
• service / port ― port を指定した場合、指定した宛先ポートを持つトラフィックのみが認証の対象または除外対象となります。 tcp/0 のオプション キーワードを使用すると、すべてのTCPトラフィック(FTP、HTTP、およびTelnetなど)に対する認証がイネーブルになります。
(注) FTP、Telnet、およびHTTPは、tcp/21、tcp/23、およびtcp/80と同じです。
(注) インタラクティブなユーザ認証が行われるのは、Telnet、FTP、またはHTTPトラフィックだけです。
ip を指定すると、 include または exclude のどちらを指定したかに応じて、すべてのIPトラフィックが認証の対象または除外対象になります。すべてのIPトラフィックを認証の対象にすると、次の処理が実行されます。
• ユーザを(発信元IPに基づいて)認証する前は、FTP要求、Telnet要求、またはHTTP要求を受信すると認証処理が発生し、ほかのIP要求はすべて拒否されます。
• FTP認証、Telnet認証、HTTP認証、または仮想Telnet認証( virtual コマンドを参照)でユーザを認証すると、 uauth がタイムアウトするまで、どのトラフィックに対しても認証処理が発生しなくなります。
アクセス元の場所とユーザを特定するには、 interface_name 、 source_ip 、および destination_ip を使用します。 source_ip のアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、
destination_ip のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。
HTTP認証で要求できるユーザ名の最大長は30文字です。パスワードの最大長は15文字です。
aaa authentication は、セキュリティ ポリシーの強制を目的としたコマンドではありません。ユーザがシステムにアクセスできるかどうかは、認証サーバが決定します。FWSMは、FTP、HTTP(Webアクセス)、およびTelnetと連携して、ネットワークへのログインまたはログインしてネットワークの外へ出る資格があるかどうかを確認します。
aaa authentication コマンドは、HTTP認証をサポートしています。
「基本テキスト認証」または「NTチャレンジ」をイネーブルにしたMicrosoft IISを実行しているサイトに対してHTTP認証を使用すると、ユーザはMicrosoft IISサーバからアクセスを拒否されます。これは、ブラウザによって、「Authorization: Basic=Uuhjksdkfhk==」という文字列がHTTP GETコマンドに付加されるためです。この文字列には、FWSMの認証証明書が含まれています。
Windows NTのMicrosoft IISサーバは、この証明書に応答して、Windows NTユーザがサーバ上のアクセス制限付きページにアクセスしようとしていると仮定します。FWSMのユーザ名およびパスワードが、Microsoft IISサーバ上の有効なWindows NTユーザ名およびパスワードとまったく同じものである場合を除いて、このHTTP GETコマンドは拒否されます。
この問題を解決するために、FWSMにはvirtual http コマンドが用意されています。このコマンドは、ブラウザの初期接続をほかのIPアドレスにリダイレクトしてユーザを認証したあとで、ユーザが要求した元のURLにブラウザをリダイレクトします。
認証が終了したあとは、FWSMのuauthタイムアウトが非常に小さな値に設定されている場合でも、ユーザ側で再認証が必要になることはありません。これは、ブラウザが「Authorization: Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザがNetscape NavigatorまたはInternet Explorerのインスタンスをすべて終了して、再起動したときだけです。キャッシュをフラッシュしても文字列は消去されません。
ユーザがインターネットを繰り返しブラウズするとき、ブラウザは「Authorization:
Basic=Uuhjksdkfhk==」文字列を毎回再送信して、ユーザを透過的に再認証します。
CU-SeeMe、Intelインターネット電話、MeetingPoint、MS NetMeetingなどのマルチメディア アプリケーションは、バックグラウンドでHTTPサービスを起動します。
(注) これらのアプリケーションの動作を妨げないようにするには、チャレンジされる全ポートを含めた包括的な送信aaaコマンド文(anyオプションを使用するものなど)を入力しないようにします。HTTPのチャレンジに使用するポートとアドレスは必要な分だけ設定し、ユーザ認証タイムアウトを設定するときは、大きめの値にします。マルチメディア プログラムの動作が妨げられると、内部からの送信セッションが確立した後に、PC上でエラーが発生したり、PCがクラッシュしたりする可能性があります。
TACACS+サーバとRADIUSサーバは、256台まで使用できます(最大16までのサーバ グループ内にサーバを16台まで設定可能)。サーバ数の設定には、aaa-serverコマンドを使用します。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが1台ずつアクセスされます。
FWSMで使用できる認証タイプは、ネットワークごとに1つだけです。たとえば、あるネットワークが認証にTACACS+を使用してFWSM経由で接続している場合、FWSM経由で接続している別のネットワークではRADIUSを使用して認証できます。しかし、1つのネットワークでTACACS+サーバとRADIUSサーバの両方を使用して認証することはできません。
TACACS+サーバでは、aaa-serverコマンド用の鍵を指定していない場合は暗号化が使用できません。
FWSMが表示するタイムアウト メッセージは、RADIUSとTACACS+のどちらの場合でも同じです。次のいずれかが発生した場合に、メッセージ「aaa server host machine not responding」を表示します。
次に、interface_name引数の使用方法を示します。ファイアウォールには、内部ネットワーク192.168.1.0、外側ネットワーク209.165.201.0(サブネット マスク255.255.255.224)、および境界ネットワーク162.65.20.28(サブネット マスク 255.255.255.224)が接続されています。
次の例では、内部ネットワークから外側ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外側ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、IPアドレス10.0.0.1~10.0.0.254が送信接続を開始できることを指定したあと、ユーザ認証をイネーブルにして、これらのアドレスがファイアウォールの外部に送信するときにユーザ証明書の入力を要求します。この例の最初の aaa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。2番めの aaa authentication コマンドでは、ホスト10.0.0.42が認証を受けなくても送信接続を開始できるようにしています。デフォルトの認証グループは tacacs+ です。
次の例では、ネットワーク アドレス209.165.201.0(サブネット マスク255.255.255.224)を指定して、209.165.201.1~209.165.201.30の範囲にあるすべてのIPアドレスへの受信アクセスを許可します。 access-list コマンドですべてのサービスを許可し、a aa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。認証サーバは、内部インターフェイス上のIPアドレス10.16.1.20にあります。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSM CLIへのアクセスに対する認証をイネーブルにするには、 aaa authentication console コマンドを使用します。認証確認をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication { enable | telnet | ssh | http } console { server_tag [ LOCAL ] | LOCAL }
(注) ユーザ認証のパスワードを指定する場合、ciscoパスワードは使用できません。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。
LOCAL キーワードは、ローカルだけで有効な認証方式を指定します。RADIUSまたはTACACS+サーバのみに指定される場合、 LOCAL キーワードは任意です。
ユーザ名とパスワードを要求するモジュール(SSH、Telnet、イネーブル)にアクセスする場合、パスワード要求が表示されるのは3回だけです。
• enableおよび ssh キーワードを使用すると、アクセス試行が3回失敗したときにアクセス拒否メッセージが表示され、ログイン処理が停止します。
–enableキーワードを使用すると、イネーブル モードにアクセスする前にユーザ名とパスワードを要求します。
–sshキーワードを使用すると、SSHコンソール接続の最初のコマンドライン プロンプトを表示する前にユーザ名とパスワードを要求します。sshキーワードの場合は、最大3回の認証試行が可能です。
• telnetキーワードの場合は、ユーザが正常にログインできるまで繰り返しプロンプトが表示されます。telnetキーワードの場合は、Telnetコンソール接続の最初のコマンドライン プロンプトを表示する前に、ユーザ名とパスワードを指定するようにユーザに要求します。
FWSMのCLIには、任意の内部インターフェイスおよびIPSec設定済みの外部インターフェイスからTelnetアクセスできます。Telnetアクセス前にtelnetコマンドを使用する必要があります。
また、FWSMコンソールへのSSHアクセスについても、IPSecを設定していない任意のインターフェイスから実行できます。SSHアクセスの前にsshコマンドを使用する必要があります。
aaa authentication ssh console server_tagコマンドを定義していない場合は、ユーザ名pix とFWSMのTelnetパスワード(passwdコマンドで設定)を使用してCLIにアクセスできます。aaaコマンドを定義した場合でも、SSH認証要求がタイムアウトしたとき(AAAサーバがダウンしているか、使用不能になっていると考えられる)は、ユーザ名PIX とイネーブル パスワード(enable passwordコマンドで設定)を使用してFWSMにアクセスできます。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
server_tag が、 aaa-server コマンドで定義された既存の有効なTACACS+またはRADIUSサーバ グループを参照している場合、このコマンドではオプションの LOCAL キーワードだけが有効になります。最初の server_tag だけに LOCAL を設定することもできます。
次の例では、FWSMコンソールの認証サービスをイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
特定のアクセス リスト上で認証をイネーブルにするには、 aaa authentication matchコマンドを使用します。特定のアクセス リスト上の認証をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authentication match access_list_name interface_name server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access_list_name は、 access-list deny-flow-max コマンドで定義します。
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
次の例では、特定のアクセス リストで認証をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
サービスを指定されたホストに対する許可の対象または除外対象にするには、 aaa authorization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization { include | exclude} service interface_name source_ip source_mask destination_ip destination_mask tacacs_server_tag
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
以前の except オプション キーワードが exclude キーワードに置き換えられ、特定のホスト(複数可)宛てのポートを指定して除外できるようになっています。
宛先IPアドレスに0を使用すると、すべてのホストが指定されます。
宛先およびローカル マスクには、必ず特定のマスク値を指定します。IPアドレスが0の場合、 0 を使用し、ホストには 255.255.255.255 を使用します。必ず特定のマスク値を指定します。
アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。source_ipのアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、 destination_ip のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。
すべてのホストを指定して、認証を受けるホストを認証サーバ側で決定するには、ローカルIPアドレスを 0 に設定します。
service に指定できる値は、 any 、 ftp 、 http 、 telnet 、またはprotocol/portです。指定しないサービスは、暗黙的に許可されます。 aaa authentication コマンド内で指定したサービスは、許可を必要とするサービスには影響しません。
protocol/portを使用する場合は、次の値を指定できます。
• protocol ― プロトコル(TCPの場合は 6 、UDPの場合は 17 、ICMPの場合は 1 など)
• port ― TCPまたはUDPの宛先ポートまたは宛先ポート範囲。portには、ICMPタイプも入力できます。8がICMP echoまたはpingを表します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。ポート範囲を指定できるのは、TCPプロトコルとUDPプロトコルだけです。ICMPの場合は指定できません。TCP、UDP、およびICMP以外のプロトコルの場合、portは適用されません。また、使用しないでください。次に、ポート指定の例を示します。
この例では、すべてのクライアントを対象として、内部インターフェイスに対するDNS lookupの許可をイネーブルにしています。さらに、53~1024のポート範囲にあるほかのすべてのサービスへのアクセスを許可しています。
特定の許可ルールでは、それに対応する認証は必要ありません。認証が必要なのは、FTP、HTTP、またはTelnetの場合だけです。これらのサービスでは、ユーザはインタラクティブな許可証明書の入力が可能です。
コマンド許可とともに使用する場合を除いて、 aaa authorization コマンドでは事前に aaa
authentication コマンドでの設定が必要です。ただし、 aaa authentication コマンドは aaa authorization コマンドを使用する必要はありません。
現時点では、 aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。明示的なRADIUS許可を設定することはできませんが、RADIUSサーバでダイナミックACLを設定して、許可を可能にすることはできます(FWSMで設定されていなくてもよい)。
ヒント help aaaコマンドを使用すると、aaa authentication、 aaa authorization、 aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。
IPアドレスごとに、1つの aaa authorization コマンドが許可されます。 aaa authorization で複数のサービスを許可するには、サービス タイプに any キーワードを使用します。
最初の許可試行が失敗し、2度めの試行でタイムアウトが発生した場合は、許可されなかったクライアントをservice resetinboundコマンドを使用してリセットし、そのクライアントが接続を再転送を行わないようにします。次の例は、Telnetの許可タイムアウト メッセージを示しています。
Unable to connect to remote host: Connection timed out
ユーザ許可サービスは、ユーザがどのネットワーク サービスにアクセスできるかを制御します。認証が完了した後、アクセスの制限されているサービスにユーザがアクセスを試行すると、FWSMは指定されたAAAサーバを使用してユーザのアクセス権を確認します。
(注) RADIUS許可は、access-list deny-flow-maxコマンドとともに使用して、さらにRADIUSサーバをacl=access_list_nameベンダー固有識別子を使用して設定する場合にサポートされます。詳細については、access-list deny-flow-maxコマンドおよびaaa-server radius-authportコマンドのページを参照してください。
AAAコンソール ログイン要求がタイムアウトした場合は、ユーザ名fwsmとイネーブル パスワードを入力することでFWSMにアクセスできます。
サービスに関する service オプションを指定する場合、有効値は、 telnet 、 ftp 、 http 、 https 、 tcp または 0 、 tcp または port 、 udp または port 、 icmp または port または protocol [/ port ]です。インタラクティブなユーザ認証が行われるのは、Telnet、FTP、HTTP、またはHTTPSトラフィックだけです。
コンソール アクセス、Telnetアクセス、SSHアクセス、およびイネーブル モード アクセスの認証を行う場合は、 telnet 、 ssh 、または enable を指定します。
次の例では、デフォルトのFWSMプロトコル コンフィギュレーションを指定します。
fwsm/context(config)# aaa-server LOCAL protocol local
次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。最初のコマンドでは、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。
次の例では、外部インターフェイスからのDNSルックアップの許可をイネーブルにしています。
次の例では、内部ホストから内部インターフェイスに到着する、ICMPエコー応答パケットの許可をイネーブルにします。
このように設定すると、ユーザはTelnet、HTTP、またはFTPを使用して認証を受けない限り、外部ホストにpingできなくなります。
次の例では、内部ホストから内部インターフェイスに到着するICMPエコー(ping)についてだけ許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
ローカル サーバまたはTACACSサーバに対する許可をイネーブルにするには、 aaa authorization command コマンドを使用します。ローカル サーバまたはTACACSサーバに対する許可をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization command { LOCAL_server_tag | tacacs_server_tag }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
グループ タグ値に LOCAL_server_tag 引数を入力して、ローカルのコマンド許可特権レベルなど、ローカルのFWSMデータベースAAAサービスを使用できます。
次の例では、ローカル サーバまたはTACACSサーバの許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
特定のaccess-listコマンド名に対するローカル ユーザ認証サービスまたはTACACS+ユーザ認証サービスをイネーブルにするには、aaa authorization match コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] aaa authorization match access_list_name interface_name server_tag
AAAサーバ グループ タグを aaa-server コマンドで定義するように指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。
access_list_name は、 access-list deny-flow-max コマンドで定義します。
FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。
次の例では、指定したアクセス リストの許可をイネーブルにします。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
ユーザ1人あたりに許可する同時プロキシ接続の数を指定するには、 aaa proxy-limit コマンドを使用します。
aaa proxy-limit { proxy_limit | disable }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa proxy-limit コマンドを使用すると、ユーザ1人あたりに許可する同時プロキシ接続の数を設定することにより、uauthセッションの制限値を手作業で設定できます。
uauthセッションは認証または許可を実行するカットスルー セッションです(接続は代行される)。
発信元アドレスがプロキシ サーバである場合は、そのIPアドレスを認証の対象から除外するか、許容可能な未処理AAA要求の数を増やすことを検討してください。
次の例は、許容可能な未処理認証要求の最大数を設定および表示する方法を示しています。
aaa authentication
aaa authorization
aaa-server
show aaa proxy-limit
AAAサーバ グループを定義するには、 aaa-server コマンドを使用します。AAAサーバ グループを削除するには、このコマンドの no 形式を使用します。
[no ] aaa-server server_tag max-attempts number
[no ] aaa-server server_tag deadtime minutes
aaa-server server_tag [ interface_name ] host server_ip [ key ] [ timeout seconds ]
aaa-server server_tag protocol auth_protocol tacacs+ | radius
(任意)127文字までの英数字で構成されているキーワードで、TACACS+サーバ上の鍵と同じ値にします。アルファベットの大文字と小文字は区別されます。 |
|
• FWSMはポート1645でRADIUS認証を待機し、ポート1646でRADIUSアカウンティングを待機します。デフォルトポートはRFC 2058で定義されており、認証が1812でアカウンティングが1813です。FWSMのRADIUSポートは、下位互換性を維持するために変更されていません。
• aaa-serverのデフォルト プロトコルは次のとおりです。
–aaa-server TACACS+ protocol tacacs+
–aaa-server RADIUS protocol radius
–aaa-server LOCAL protocol local
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa-server コマンドを使用すると、AAAサーバ グループを指定できます。FWSMでは、TACACS+サーバやRADIUSサーバのグループを複数定義して、それぞれにタイプの異なるトラフィックを指定できます。たとえば、受信トラフィック用のTACACS+サーバと送信トラフィック用のTACACS+サーバを分けることができます。また、送信HTTPトラフィックをすべてTACACS+サーバで認証して、受信トラフィックにはすべてRADIUSを使用することもできます。認証を統合して、FWSMにアクセスするVPNクライアントが認証されるようにするには、 aaa-server コマンドと crypto map コマンドを使用します。
特定のタイプのAAAサービスは、ほかのサーバに宛先変更できます。サービスは、複数のサーバにフェールオーバーされるように設定することもできます。
aaa authenticationコマンド文およびaaa accountingコマンド文をAAAサーバに関連付けるには、aaaコマンドの中でserver_tagを使用します。サーバ グループは14個まで使用できます。ただし、 LOCAL キーワードはFWSMによって事前定義されているため、 aaa-server コマンドで LOCAL キーワードは使用できません。
ほかのaaaコマンドは、 aaa-server コマンドの server_tag パラメータで定義されたサーバ タグ グループを参照します。このパラメータは、TACACS+サービスおよびRADIUSサービスの起動時に有効になるグローバル設定値です。
(注) カットスルー プロキシを設定する場合は、natコマンドまたはstaticコマンドでnorandomseqオプション キーワードを使用しているときでも、TCPセッション(Telnet、FTP、またはHTTP)のシーケンス番号がランダム化されます。この現象は、AAAサーバがTCPセッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
AAAサーバ グループは、各認証サーバにそれぞれ別タイプのトラフィックを送信するための、タグ名によって定義されます。リストに含まれている最初の認証サーバで障害が発生すると、AAAサブシステムはタグ グループ内の次のサーバにフェールオーバーします。タグ グループは14個まで定義でき、各グループはAAAサーバを14台まで保持できるので、合計196台までのAAAサーバを保持できます。
max-attempts number のキーワードおよび引数を使用すると、サーバの無応答を宣言してグループ内の次のサーバに移るまでのAAAサーバに対するAAA要求回数を設定できます。フォールバック設定でコマンドを認証または許可する場合、 max-attempts number のキーワードおよび引数を使用して、フォールバックのタイムアウト値を設定する必要があります。たとえば、個々のAAAサーバを無応答として宣言する場合、 max-attempts number の設定を 1 または 2 まで減らす必要があります。
deadtime minutes のキーワードおよび引数は、 authenticationコマンド および authorization コマンドでLOCAL方式を設定していない場合でも設定できます。 deadtime minutes のキーワードおよび引数が作用するのは、AAAの認証および許可の方式を設定している場合だけです。
deadtime minutes のキーワードおよび引数は、特定の認証または許可方式を無応答としてマークし、省略する分数を指定します。AAAサーバ グループが無応答としてマークされると、FWSMはただちに指定された次の方式(ローカルのFWSMユーザ データベース)に対する認証または許可を実行します。
(注) グループ全体が無応答として宣言されるのは、グループ内のすべてのサーバが無応答としてマークされた場合です。
deadtime(デッドタイム)を0に設定すると、AAAサーバ グループは無応答とはみなされず、方式リスト内の次の方式を使用する前に、このAAAサーバ グループに対してすべての認証および許可要求を試行します。
deadtime コマンドの no 形式を使用すると、デフォルト値の10分に戻ります。
デッドタイムは、AAAサーバ グループ内の直前のサーバがダウン(無応答)としてマークされた時から計算されます。max-attemptsの値が上限に達してAAAが応答を受信できない場合、サーバはダウンとしてマークされます。デッドタイムの期限を過ぎると、AAAサーバ グループがアクティブになり、AAAサーバ グループ内のAAAサーバに対してすべての要求が提示されます。
一部のAAAサーバは最大32文字までのパスワードに対応していますが、FWSMで使用できるパスワードは16文字までです。
key(鍵)を指定する場合、127文字を超えて入力された文字は無視されます。この鍵は、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。鍵は、クライアント システムとサーバ システムの両方で同じにする必要があります。鍵にスペースは使用できませんが、その他の特殊文字は使用できます。
タイムアウトのデフォルト値は10秒です。最大値は30秒です。タイムアウト値を10秒にすると、FWSMは10秒間再送信を実行します確認応答を受信できない場合、FWSMは3回まで再試行します。合計で40秒間データを再送信したら、次のAAAサーバを選択します。
アカウンティングが有効になっている場合、アカウンティング情報はアクティブなサーバにだけ送信されます。
FWSMの以前のバージョンからアップグレードする場合、コンフィギュレーション内にaaaコマンド文があるときは、デフォルトのサーバ グループを使用することで、コンフィギュレーション内のaaaコマンド文との下位互換性を維持できます。
aaa authenticationコマンドとaaa accountingコマンドの末尾に付加していた従来のサーバ タイプ オプション キーワードは、aaa-server server_tag グループ名に置き換えられました。
次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。
前の例では、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。
次の例では、RADIUS認証用にAuthOutサーバ グループとAuthInサーバ グループを作成し、内部インターフェイス上のサーバ10.0.1.40、10.0.1.41、および10.1.1.2が認証を提供することを指定しています。AuthInグループのサーバは受信接続を認証し、AuthOutグループのサーバは送信接続を認証します。
次の例は、Xauth暗号マップの確立に使用できるコマンドを示しています。
aaa authentication
aaa authorization
aaa-server
show aaa proxy-limit
FWSMがアカウンティング機能で使用するRADIUSサーバのポート番号を設定するには、aaa-server radius-acctport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] aaa-server radius-acctport [ acct_ port ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。
デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。
次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。
• 1645(認証)、1646(アカウンティング) ― FWSMのデフォルト
• 1812(認証)、1813(アカウンティング) ― 代替設定
これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。
次の例は、FWSMがアカウンティング機能に使用するRADIUSサーバのポート番号の設定方法を示しています。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
FWSMが認証機能で使用するRADIUSサーバのポート番号を設定するには、 aaa-server radius-authport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] aaa-server radius-authport [ auth_ port ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。
デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。
次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。
• 1645(認証)、1646(アカウンティング) ― FWSMのデフォルト
• 1812(認証)、1813(アカウンティング) ― 代替設定
これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。
次の例は、FWSMが認証機能に使用するRADIUSサーバのポート番号の設定方法を示しています。
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
アクセス リストをインターフェイスにバインドするには、 access-group コマンドを使用します。インターフェイスからアクセス リストのバインドを解除するには、このコマンドの no 形式を使用します。
[no] access-group access-list { in | out } interface interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードは、指定したインターフェイスのトラフィックにアクセス リストを適用します。 out キーワードは、送信トラフィックにアクセス リストを適用します。
no access-group コマンドは、アクセス リストをインターフェイス interface_name からアンバインドします。
show access-group コマンドは、インターフェイスにバインドされている現在のアクセス リストを表示します。
clear access-group コマンドは、インターフェイスからACLをすべて削除します。
次に、 access-group コマンドの使用例を示します。
この static コマンド文では、Webサーバ10.1.1.3にグローバル アドレス209.165.201.3を付与しています。 access-list コマンドでは、すべてのホストに対して、ポート80を使用してグローバル アドレスにアクセスすることを許可しています。 access-group コマンドでは、外部インターフェイスに受信するトラフィックに access-list コマンド文を適用することを指定しています。
access-list alert-interval
access-list deny-flow-max
access-list extended
access-list remark
clear access-group
clear access-list
object-group
show access-group
show access-list
拒否フローの最大メッセージの間隔を指定するには、 access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] access-list alert-interval secs
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-list alert-interval コマンドは、Syslogメッセージ106101を生成する時間間隔を設定します。このメッセージは、FWSMが拒否フローの最大数に達したことを警告するものです。拒否フローの最大数に達したとき、前回の106101メッセージが生成されてから secs 秒以上経過していた場合は、さらに106101メッセージが生成されます。
拒否フロー最大メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。
access-list deny-flow-max
access-list extended
clear access-list
show access-list
手動コミット モードでアクセス リストをコンパイルして適用するには、 access-list commit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンテキストがアクセスリスト モードの場合、 commit コマンドが実行されるまで、新しく追加された規則はCLS分類に追加されません。 commit コマンドが実行されると、それらの規則がフラグ付けされて追加されます。
コミット モードではユーザによるコンパイルが可能で、適用前にコンパイルが必要なネットワーク プロセッサにACLコンフィギュレーションとして保管されるすべてのコマンドに作用します。
access-list commit コマンドは、次のコマンドに適用されます。
• aaa authentication ( include および exclude バージョンのみ)
• aaa authorization ( include および exclude バージョンのみ)
• aaa accounting ( include および exclude バージョンのみ)
• fixup protocol (commitコマンドのみが作用する)
• http
• icmp
• nat 0 access-list
• ssh
• telnet
手動コミット モードで、前出のコマンドのいずれかを変更する場合、モードを manual-commit に変更し、変更が有効になる前に変更をコミットします。
手動コミット モードでは、インターフェイスに対して追加済みでも、コミットされていない前出のコマンドのコンフィギュレーションをバインドするコマンドを入力しないでください。たとえば、 access-list 'foo' コマンドが手動コミット モードで追加済みで、その変更がコミットされていない場合、 foo をインターフェイスにバインドする access-group コマンドを入力しないでください。最初に access-list commit コマンドで「 foo 」をコミットしてから、 access-group コマンドを入力します。
手動コミット モードでは、ACEを削除すると削除フラグが付けられ、実行コンフィギュレーションからも削除されます。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted deletion」というコメントの付いた元のコンフィギュレーションが表示されます。ACEを追加すると追加済みフラグは付きますが、コミット済みのフラグは付きません。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted addition」というコメントの付いた元のコンフィギュレーションが表示されます。 access-list commit コマンドが実行されると、これらのコメントは削除され、コンフィギュレーションがアクティブになります。
access-group
access-list extended
access-list mode
clear access-list
object-group
show access-list
作成できる同時拒否フローの最大数を指定するには、access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no] access-list deny-flow-max n
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションにEtherTypeアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[ no ] access-list id ethertype { deny | permit } ether-value [ unicast | multicast | broadcast ]
• 個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、EtherTypeのアクセス リストを追加する例を示します。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list extended コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id [ extended ] { deny | permit protocol | object-group protocol_obj_grp_id host source_ip | source_mask | object-group network_obj_grp_id [ operator port [ port] | object-group service_obj_grp_id ] destination_ip destination_mask | object-group network_obj_grp_id [ operator port [ port ] | object-group service_obj_grp_id ]} [ log [ disable] | [ level ] | [ default ] | [ interval secs ]]
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、指定された拒否パケットについてのみSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
operator は、発信元IPアドレス( sip )または宛先IPアドレス( dip )のポートを比較します。使用できるオペランドは、 lt (小なり)、 gt (大なり) eq (同値)、 neq (非同値)、および range (範囲)です。すべてのポートを含めるには(デフォルト)、演算子を使用せずに access-list コマンドを使用します。
特定のポートに対するアクセスだけを許可または拒否するには、eqとポートを使用します。たとえば、FTPに対してだけアクセスを許可または拒否するには、eq ftpを使用します。
指定したポートより番号が小さいすべてのポートに対して、アクセスを許可または拒否するには、ltとポートを使用します。たとえば、well-knownポート(1~1024)に対してアクセスを許可または拒否するには、lt 2025を使用します。
指定したポートより番号が大きいすべてのポートに対して、アクセスを許可または拒否するには、gtおよびポートを使用します。たとえば、43~65535のポートへのアクセスを許可または拒否するには、gt 42を使用します。
指定したポート以外のすべてのポートに対して、アクセスを許可または拒否するには、neqおよびポートを使用します。たとえば、1~9および11~65535のポートへのアクセスを許可または拒否するには、neq 10を使用します。
指定範囲のポートに対してだけアクセスを許可または拒否するには、rangeおよびポート範囲を使用します。たとえば、10~1024のポートに対してだけアクセスを許可または拒否するには、range 10 1024を指定します。その他のポートは対象外になります。ポート範囲を使用すると、IPSecトンネル数が著しく増加します。たとえば、非常にダイナミックなプロトコル用に5000~65535のポート範囲を指定すると、最大60535のトンネルが作成される可能性があります。
サービスを指定するには、そのサービスを処理する port を指定します。たとえば、 smtp の場合はポート25、 www の場合はポート80を指定します。ポートは、ポートのリテラル名または0~65535のポート番号のどちらかで指定できます。有効なポート番号は、次のURLで確認できます。
http://www.iana.org/assignments/port-numbers
ポート範囲として有効なポートのリテラル名のリストについては、付録Bの「ポート値の指定」を参照してください。また、番号を指定することもできます。
log disable | default | level オプション キーワードの場合、次の内容に注意してください。
• log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。
• デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。
• 生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。
• log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。
• log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。
(注) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。
interval secs のキーワードおよび引数は、非アクティブのフローを削除するためのタイムアウト値として使用されます。 interval secs オプション キーワードを指定しない場合、新しいACEに対するデフォルト間隔は300秒になります。ACEがすでに存在する場合には、そのACEに関連付けられている間隔値は変更されません。
icmp_type 引数はIPSec以外で使用し、ICMPメッセージ タイプへのアクセスを許可または拒否します(ICMPタイプのリテラルを参照)。すべてのICMPタイプを指定するには、このオプション キーワードを省略します。
ICMPメッセージ タイプは、IPSecを使用する場合は指定できません。 access-list コマンドを crypto map コマンドとともに使用する場合は、 icmp_type は無視されます。
access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
• マスクを255.255.255.255にする場合は、短縮形の host address を使用します。
ネットワーク マスクを指定する場合の注意点は、次のとおりです。
• アドレスがホスト アドレスである場合は、マスクを指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。
• アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。
• ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。
access-list コマンドはsunrpcサービスをサポートしています。
show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。
show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。
clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。
no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。
(注) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。
次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。
前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。
1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。
2. アクセス チェックに outside-acl というACLが適用されます。
3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。
4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。
5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。
6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。
7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。
8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。
ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。
log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、logオプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。
access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。
ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。
no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。
FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。
ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。
ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。
この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。
所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。
(注) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。
aaa authorizationコマンドには、radiusオプション キーワードはありません。
アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドのシンタックスはCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-1 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。
IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。
アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。
アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。
IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。
• IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。
• IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。
• 受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。
• IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定する(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。
暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。
あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。
any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。
所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。
FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。
次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。
次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。
次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。
次の例では、アクセス リストのコメントを削除する方法を示しています。
次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。
ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
コンフィギュレーションにICMPホストのアクセス リストを追加して、FWSMを通過するIPトラフィックのポリシーを設定するには、 access-list icmp hostコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id { deny | permit } host { source_ip | { source_ip source_mask }} [ log [ disable | [ level ] | default ] | [ interval secs ]]
送信元アドレスにネットワーク マスクを使用する場合、 source_addr に適用するネットマスク ビット(マスク)です。 |
|
(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。「使用上の注意事項」を参照してください。 |
|
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
log disable | default | level オプション キーワードの場合、次の内容に注意してください。
• log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます。(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。
• デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。
• 生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。
• log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。
• log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。
(注) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。
access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
• マスクを255.255.255.255にする場合は、短縮形の host address を使用します。
ネットワーク マスクを指定する場合の注意点は、次のとおりです。
• アドレスがホスト アドレスである場合は、マスクは指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。
• アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。
• ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。
access-list コマンドはsunrpc サービスをサポートしています。
show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。
show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。
clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。
no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。
(注) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。
次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。
前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。
1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。
2. アクセス チェックに outside-acl というACLが適用されます。
3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。
4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。
5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。
6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。
7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。
8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。
ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。
log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、ログ オプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。
access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。
ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。
no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。
FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。
ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。
ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。
この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。
所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。
(注) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。
aaa authorizationコマンドには、radiusオプション キーワードはありません。
アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecアプリケーションでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを判断してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをより細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-2 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。
IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。
アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。
アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。
IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。
• IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。
• IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。
• 受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。
• IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定します(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。
暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。
あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。
any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。
所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。その後、トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。
FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。
次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。
次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。
次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。
次の例では、アクセス リストのコメントを削除する方法を示しています。
次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。
ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
FWSMのコンパイル モード(manual-commitおよびauto-commit)を切り換えるには、 access-list mode コマンドを使用します。
access-list mode { auto-commit | manual-commit }
access-list commit コマンド入力後に手動でACLコンパイルを有効にするように指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ACLのコミットを使用すると、ACLのコンパイル動作を同期コンパイルに変更できます。コンパイル モードは、実行コンフィギュレーションまたは保存されているコンフィギュレーションの一部には保存されません。
ACL規則を新しくダウンロードする場合、どちらのコンパイル方式も同じ動作をします。新しい規則が完全にダウンロードされ、ネットワーク プロセッサにコミットされるまで、新しいACL規則は有効にならず、従来のACL規則が適用され続けます。新しい規則をダウンロードしても、トラフィックには影響しません。
次の例では、manual-commitモードを使用してトラフィックを中断することなく既存のアクセス リストを変更します。
次の例では、古いアクセス リストを削除して、別の名前の新しいアクセス リストを追加します。
前の例では、古いインターフェイス上でトラフィックがわずかに中断されます。中断される時間は、最後の2行のコマンド ラインでコミットを実行し、 access-group コマンドを適用するのに必要な時間です。
次の例では、トラフィックを中断することなく、前の例に示すアクセス リストを設定する方法を示します。
前の例では、古いインターフェイス上でトラフィックは中断されません。この一連のコマンドの唯一の欠点は、FWSM上で設定されるACEの総数が一時的に古いACL(old-acl)と新しいACL(new-acl)を合計した数になることです。
access-list commit
access-list extended
clear access-list
show access-list
show access-list mode
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list object-groupコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] access-list id { deny | permit } object-group { network_obj_grp_id destination_ip destination_mask } [ log [ disable | [ level ] | default ] | [ interval secs ]]
[no] access-list id { deny | permit } { object-group { network_obj_grp_id [ icmp_type [ icmp_type_obj_grp_id ]]} [ log [ disable | [ level ] | default ] | [ interval secs ]]
宛先アドレスがネットワーク マスクの場合、 destination_ip に適用するネットマスク ビット(マスク)です。 |
|
(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。詳細については、 log コマンドの項を参照してください。 |
|
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
• log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。
FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。
access-list コマンドでは、最初に一致したエントリが使用されます。
access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。
アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。
インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。
オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。
access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。
アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。
%
fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group
id
access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。
access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。
access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。
ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。
IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-3 に、使用できるICMPタイプ値を示します。
|
|
---|---|
次に、アクセス リストのオブジェクト グループを設定する例を示します。
次に、アクセス リストのオブジェクト グループの内容を表示する例を示します。
access-group
access-list commit
access-list extended
access-list mode
clear access-group
clear access-list
configure
object-group
area
show access-group
show access-list
access-list extended コマンドの前後に追加するコメント テキストを指定するには、 access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。
[no] access-list id remark text
access-list extended コマンド文の前後に添えるコメント テキスト |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コメント テキストは、スペースと句読点を含めて最長100文字までです。
コメントだけが記載されたACLでは、 access-group コマンドは使用できません。
コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
[ no ] access-list id standard { deny | permit } { any | ip_mask }
• 具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
• ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。
protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
アクセス リストをグループにまとめるには、 object-group コマンドを使用します。
発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。
• 32ビットの4分割ドット付き10進数形式を使用してください。
• アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。
次の例では、ファイアウォールを通過するIPトラフィックを拒否する方法を示します。
次の例では、条件が一致した場合に、ファイアウォールを通過するIPトラフィックを許可する方法を示します。
FWSMのアクティべーション キーを変更し、FWSM上で運用されているアクティべーション キーを、FWSMのフラッシュ メモリに保存されているアクティべーション キーと比較してチェックするには、 activation-key コマンドを使用します。
activation-key activation-key-four-tuple
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
activation-key-four-tuple は、4つの要素で構成される16進文字列で、各要素の間にスペースを1つ入れます。
0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
次に、FWSMでアクティベーション キーを変更する例を示します。
管理者コンテキストを設定するには、 admin-context コマンドを使用します。
admin-context admin-context-name
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
システムには適切な管理者コンテキストが1つ必要です。また、管理者コンテキストはディスク上に配置する必要があります。管理者コンテキストを作成するまで、他のコンテキストは作成できません。 admin-context コマンドを使用すると、管理者コンテキストをその他のコンテキストに変更できます。ただし、変更前に管理者コンテキストが既に存在しており、ディスク上に配置されている必要があります。
1つのアドレスを別のアドレスに変換するには、 alias コマンドを使用します。設定済みの alias コマンドをディセーブルにするには、このコマンドの no 形式を使用します。
[no] alias { interface_name } dnat_ip destination_ip [ netmask ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
netmask を指定する場合、ホスト マスクには 255.255.255.255 を使用します。
alias コマンドは、インターネットやほかのイントラネットのアドレスと同じIPアドレスがネットワーク上にある場合に、競合を防止するために使用します。また、宛先アドレスに対してアドレス変換を実行する場合にも使用できます。たとえば、ホストがパケット209.165.201.1に送信する場合は、 alias コマンドを使用することで、トラフィックをほかのアドレス(209.165.201.30など)にリダイレクトできます。
(注) DNS fixupを正しく機能させるためには、proxy-arpをディセーブルにします。DNS fixupに対してaliasコマンドを使用する場合は、aliasコマンドを実行した後にsysopt noproxyarp internal_interfaceコマンドを使用して、proxy-arpをディセーブルにします。
alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。
DNSゾーン ファイルの中に、 alias コマンドに含まれている「dnat」アドレスのA(アドレス)レコードが存在している必要があります。
aliasコマンドには2つの使用方法があります。以下にその概略を示します。
• FWSMがdnat_IP_address宛てのパケットを取得した場合に、 alias コマンドを使用して、そのパケットをdestination_ip_addressに送信するように設定できます。
• FWSMがdestination_network_address宛てにDNSパケットを送信し、そのパケットがFWSMに戻ってきた場合は、 alias コマンドを使用して、DNSパケットで宛先ネットワーク アドレスをdnat_network_addressに変更するように設定できます。
alias コマンドは、ネットワーク上のDNSサーバと自動的に対話して、エイリアスが設定されたIPアドレスへのドメイン名によるアクセスを透過的に処理します。
destination_ip と dnat_ip アドレスにネットワーク アドレスを使用すると、ネット エイリアスを指定できます。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1~209.165.201.30の各IPアドレスのエイリアスが作成されます。
staticコマンドおよびaccess-listコマンドでalias dnat_ipアドレスにアクセスするには、access-listコマンドの中で、許可されるトラフィック発信元アドレスとしてdnat_ipアドレスを指定します。次に例を示します。
内部アドレス192.168.201.1を宛先アドレス209.165.201.1にマッピングして、エイリアスを指定しています。
内部ネットワーク クライアント209.165.201.2がexample.comに接続すると、内部クライアントのクエリに対する外部DNSサーバからのDNS応答は、FWSMによって192.168.201.29へと変更されます。FWSMで209.165.200.225~209.165.200.254をグローバル プールIPアドレスとして使用している場合、パケットはFWSMにSRC=209.165.201.2およびDST=192.168.201.29として送信されます。FWSMは、アドレスを外部のSRC=209.165.200.254およびDST=209.165.201.29に変換します。
次の例では、内部ネットワークにIPアドレス209.165.201.29が含まれています。このアドレスはインターネット上にあり、example.comに属しています。内部のクライアントがexample.comにアクセスしても、パケットはFWSMに到達しません。これは、クライアントが209.165.201.29がローカルの内部ネットワーク上にあると判断するためです。
この動作を修正するには、 alias コマンドを次のように使用します。
次の例では、Webサーバが内部の10.1.1.11にあり、このサーバ用に作成したstaticコマンド文では209.165.201.11を指定しています。発信元ホストは、外部のアドレス209.165.201.7にあります。外部のDNSサーバには、次に示すとおり、www.example.comのレコードが登録されています。
ドメイン名www.example.com.の末尾のピリオドは必要です。
FWSMは、内部クライアント用のネームサーバ応答を10.1.1.11に変更して、Webサーバに直接接続できるようにします。
次の例では、UNIXの nslookup コマンドを使用して、ホストのDNSエントリをテストしています。
コンテキストにVLANインターフェイスを割り当てるには、コンテキスト サブモードを開始してから、 allocate-interface コマンドを使用します。コンテキストからVLANインターフェイスを削除するには、このコマンドの no 形式を使用します。
[no] allocate-interface vlan number [-vlan number ] [ mapped_name [- mapped_name ]]
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
config-url(コンテキスト サブモード) コマンドを入力する前に、 allocate-interface コマンドを使用します。FWSMでは、コンテキストのコンフィギュレーションを読み込む前にVLANインターフェイスをコンテキストに割り当てる必要があります。コンテキストのコンフィギュレーションには、インターフェイスに関するコマンド( nameif 、 nat 、 global など)が含まれる場合があります。最初に config-url(コンテキスト サブモード) コマンドを入力すると、FWSMはコンテキストのコンフィギュレーションをただちに読み込みます。コンテキストにインターフェイスに関連するコマンドが含まれている場合、これらのコマンドは機能しません。
マップ名(mapped_name)を指定しない場合、コンテキスト内ではVLAN番号が使用されます。
セキュリティ保護のため、コンテキストの管理者にコンテキストが使用するVLANを知らせたくない場合があります。たとえば、 nameif コマンドでは、VLAN番号を使用する代わりに、コンテキストのマップ名(mapped_name)を使用する必要があります。
allocate-interface コマンドの no 形式を使用すると、コンテキスト内のすべてのインターフェイス コンフィギュレーションが削除されます。
VLAN IDの範囲を指定する場合には、コンテキストの別名の一致する範囲を指定できます。次の注意事項に従ってください。
• mapped_name では、次のように英字部分に続けて数字部分を記述する必要があります。
• 範囲の両端を示す mapped_name の英字部分は、一致している必要があります。
• mapped_name の数字部分には、 vlanx-vlany エントリと同じ数の数字を指定する必要があります。次の例では、両方の範囲に100のインターフェイスが含まれています。
• vlan キーワードと数字の間には、スペースを入れないでください。
vlan100-vlan199 int1-int15 または vlan100-vlan199 happy1-sad5 と入力すると、コマンドは有効になりません。
コンテキスト サブコンフィギュレーション モードのコマンドには、ほかに config-url(コンテキスト サブモード) コマンドがあります。
次に、コンテキストにVLANインターフェイスを割り当てる例を示します。
admin-context
changeto
class
clear context
config-url(コンテキスト サブモード)
show context
標準のOSPFエリアを設定するには、 area コマンドを使用します。 area コマンドは router ospf コマンドのサブコマンドです。設定済みのエリアを削除するには、このコマンドの no 形式を使用します。
[ no ] area area_id { authentication [ message-digest ]} | { default-cost cost } | { filter-list prefix { prefix_list_name in | out }} | { range ip_address netmask [ advertise | not-advertise ]}
[ no ] area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ]
area area_id stub [ no-summary ]
[ no ] area area_id { virtual-link router_id } [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ authentication-key password ] [ message-digest-key id md5 password ]
• エリアの認証タイプは 0 で、これは認証がないことを表します。
• FWSMを介したOSPFルーティングはRFC 1583と互換性があります。
• area area_id range ip_address netmask [ advertise | not-advertise ]コマンドのデフォルトは、 advertise です。
• dead-interval は、 ospf hello-interval コマンドで設定した間隔の4倍になります。
• hello-interval seconds は10秒です。
• retransmit-interval seconds は5秒です。
• transmit-delay seconds は1秒です。
• area area_id nssa [[ no-redistribution ] [ default-information-originate ][ no-summary ]] コマンドには、エリアは定義されていません。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
OSPFプロトコルは、Routing Information Protocol(RIP)の代わりに使用されます。OSPFとRIPの両方を同時に使用するようにFWSMを設定しないでください。
router ospf コマンドは、FWSM上で稼働しているOSPFルーティング プロセスに対するグローバル コンフィギュレーション コマンドです。これは、OSPFコンフィギュレーション コマンドすべてのメイン コマンドです。
router ospf コマンドを入力すると、サブモードになっていることを示すコマンド プロンプト(config-router)#が表示されます。
area_idを設定する場合、次の注意事項を参照してください。
• area_id は、すべてのコンテキストで10進数またはIPアドレスのいずれかで指定できます。
• IDは、OSPFアドレス範囲に関連付けられるエリアです。エリアにIPサブネットを関連付ける場合には、 area_id としてサブネット アドレスを指定できます。
• 認証のコンテキストで使用する場合、 area_id は認証をイネーブルにするエリアの識別名です。
• コストのコンテキストで使用する場合、 area_id はスタブまたはNSSAの識別名です。
• プレフィックス リストのコンテキストで使用する場合、 area_id はフィルタリングを設定するエリアの識別名です。
• スタブ エリアまたはNSSAのコンテキストで使用する場合、 area_id はスタブ エリアまたはNSSAの識別名です。
• エリア範囲のコンテキストで使用する場合、 area_id はルートを集約する境界にあるエリアの識別名です。
area area_id サブ コマンドは、通常のOSPFエリアを作成します。 no area area_id コマンドは、OSPFエリアが通常エリア、スタブ エリア、またはnot-so-stubby area(NSSA)のいずれであっても削除します。
エリアのデフォルト認証タイプは 0 で、これは認証がないことを表します。OSPFエリアで認証をイネーブルにするには、area area_id authentication message-digestサブコマンドを使用します。エリアから認証設定を削除するには、 no area area_id authentication message-digestサブコマンドを使用します。
スタブ エリアまたはnot-so-stubby area(NSSA)に送信されたデフォルト サマリ ルートのコストを指定するには、area area_id default-cost cost サブコマンドを使用します。割り当てられたデフォルト ルート コストを削除するには、 no area area_id default-cost サブコマンドを使用します。 cost のデフォルト値は1です。
ABRのOSPFエリア間のタイプ3 LSAでアドバタイズされたプレフィックスをフィルタリングするには、 area area_id filter-list prefix prefix_list_name [ in | out ]サブコマンドを使用します。フィルタを変更または取り消すには、 no area area_id filter-list prefix prefix_list_name [ in | out ] サブコマンドを使用します。
ほかのルーティング プロトコル(または別のOSPFプロセス)を起点とするルート、および再配布によってOSPFに投入されたルートは、外部ルートと呼ばれます。外部メトリックにはタイプ1およびタイプ2という2つの形式があります。これらのルートは、IPルーティング テーブル内では
O E2
(タイプ2の場合)または O E1
(タイプ1の場合)として表され、FWSMが内部ルーティング テーブルを作成し終わった後に検査されます。検査の後、ルートは変更されずに自律システム(AS)全体にフラッディングされます(自律システムはネットワークの集まりで、共通のルーティング方針を共有する共通管理のもとに、エリアで細分される)。
OSPFタイプ1メトリックは、内部OSPFメトリックを外部ルート メトリックに追加するルートになり、OSPFリンク状態メトリックと同じ用語でも表されます。内部OSPFメトリックは外部の宛先に到達するためにかかる総コストで、これには到達するのに要した内部OSPFネットワーク コストがすべて含まれます。これらのコストは、外部ルートに到達する必要があるデバイスによって計算されます。コストがこのように計算方法されるため、OSPFタイプ1メトリックが優先されます。
OSPFタイプ2メトリックは内部OSPFメトリックを外部ルートのコストに追加しません。これは、OSPFで使用するデフォルト タイプです。OSPFタイプ2メトリックの使用では、自律システム(AS)間でのルーティングを前提としているため、コストはどの内部メトリックよりも大きいものと考えられます。これを使用することにより、内部OSPFメトリックを追加する必要はなくなります。
default-information-originate オプション キーワードが有効なのはNSSA ABR上またはNSSA
Autonomous System Boundary Router(ASBR;自律システム境界ルータ)上だけです。
NSSAエリアを設定するには、 area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ] サブコマンドを使用します。NSSAの設定全体を削除するには、 no area area_id nssa サブコマンドを使用します。NSSA設定オプション キーワードを1つ削除するには、 no サブコマンドでそのオプション キーワードを指定します。たとえば、 no-redistribution オプション キーワードを削除するには、 no area area_id nssa no-redistribution コマンドを使用します。デフォルトでは、NSSAは定義されません。
エリアの境界でルートを統合および集約するには、area area_id range address netmask [ advertise | not-advertise ] サブコマンドを使用します。この機能をディセーブルにするには、 no area area_id range ip_address netmask サブコマンドを使用します。 no area area_id range ip_address netmask not-advertise サブコマンドは、 not-advertise オプション キーワードだけを削除します。
エリアをスタブ エリアとして定義するには、area area_id stub [ no-summary ] サブコマンドを使用します。スタブ エリア機能を削除するには、 no area area_id stub [ no-summary ] サブコマンドを使用します。area area_id stub no-summaryが設定されている場合は、 no area area_id stub no-summary サブコマンドを使用して no summary オプション キーワードを削除する必要があります。デフォルトでは、スタブ エリアは定義されません。
仮想リンクはスタブ エリアを越えて設定できません。また、ASBRを含むことはできません。
OSPF仮想リンクを定義するには、area area_id virtual-link router-id サブコマンドにオプションのパラメータを指定して使用します。仮想リンクを削除するには、 no area area_id virtual-link router_id サブコマンドを使用します。
ARPエントリを追加してARP保存タイマーを設定するには、 arp コマンドを使用します。ARPをディセーブルにするか、またはコンフィギュレーションからARPキャッシュ タイムアウトを削除するには、このコマンドの no 形式を使用します。
[ no ] arp interface_name ip_addr mac_addr [ alias ]
(任意)指定されたアドレスについて、スタティック プロキシARPマッピング(プロキシIPアドレスと物理アドレスとのバインド)を設定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ARPはIPアドレスをMACアドレス(00e0.1e4e.3d8bなど)にマッピングするもので、RFC 826で定義されています。プロキシARPは、ARPプロトコルの派生形で、FWSMなどの中間デバイスが、エンド ノードに代わって要求元ホストにARP応答を送信するときに、このプロトコルを利用します。ARPマッピングは、FWSMがトラフィックを処理するときに自動的に実行されますが、ARPキャッシュのタイムアウト値、スタティックARPテーブル エントリ、およびプロキシARPを手作業で設定することもできます。ARPキャッシュ タイムアウトの最大値は、3567587秒です。
(注) ARPは、(特定のIPアドレスを持つノードに対し、物理アドレスを返信するように求めるARP要求を通じて)IPアドレスをノードのMAC(物理)アドレスに解決する低レベルのTCP/IPプロトコルです。このため、ARPキャッシュにエントリが存在するとことは、FWSMがネットワークに接続されていることを示します。
arp timeout コマンドは、ARPテーブルを新しいホスト情報に自動的に更新して再構築するまでの、ARPテーブルの持続期間を指定します。この機能は、ARP保存タイマーとも呼ばれます。 no arp timeout コマンドは、ARP保存タイマーをリセットしてデフォルト値にします。
arp interface_name ip mac コマンドは、FWSMのARPキャッシュにスタティック(永続)エントリを追加します。たとえば、 arp interface_name ip mac コマンドを使用して、ネットワーク上のホストについてIPアドレスとMACアドレスとのスタティック マッピングを設定できます。スタティックARPマッピングを削除するには、 no arp interface_name ip mac コマンドを使用します。
arp エントリおよび arp alias エントリは、ARP保存タイマーがタイムアウトしても消去されません。また、コンフィギュレーションを保存するために write コマンドを使用すると、コンフィギュレーションに自動的に保存されます。
arp interface_name ip mac alias コマンドは、指定されたIPアドレスとMACアドレスについてプロキシARPを設定します。プロキシARPをイネーブルにすると、指定されたIPアドレスで、そのホストから別のホストへのプロキシが設定されます。FWSMは2つのホストの中間にあるため、FWSMは受信パケットを代理ホストに送信します。FWSMはプロキシ応答でFWSMのMACアドレスを返します。スタティックARPマッピングを削除するには、 no arp interface_name ip mac alias コマンドを使用します。
Address Resolution Protocol(ARP;アドレス解決プロトコル)応答を挿入し、ARPエントリに対する検証を行うには、 arp-inspection コマンドを使用します。ARP検査を解除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
HTTP、FTP、およびTelnetアクセスに対してAAAチャレンジ テキストを変更するには、 auth-prompt コマンドを使用します。チャレンジ テキストをディセーブルにするには、このコマンドの no 形式を使用します。
[no] auth-prompt [ prompt | accept | reject ] prompt text
• Microsoft Internet Explorerでは、認証プロンプトで37文字まで表示されます。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
AAAチャレンジ テキストは、ユーザのログイン時に表示されます。このコマンドを使用しない場合、ユーザ名とパスワード プロンプトの上に次の内容が表示されます。
• FTPユーザの場合:「FTP authentication」
• HTTPユーザの場合:「HTTP authentication」
• Telnetアクセスでは、チャレンジ テキストは表示されません。
ユーザ認証がTelnetから発生する場合は、acceptオプション キーワードとrejectオプション キーワードを使用すると、認証試行が認証サーバで受け入れられたか拒否されたかに応じて、それぞれ異なる認証プロンプトを表示できます。
特殊文字は使用できませんが、スペースと句読点は使用できます。文字列を終了するには、疑問符を入力するか、Enterキーを押します(疑問符が文字列に表示される)。
次の例は、認証プロンプトを設定する方法、およびユーザに表示されるプロンプトを示しています。
コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。
(注) promptキーワードは、指定しても省略してもどちらでも構いません。
次の例は、promptキーワードを使用して、認証プロンプトを設定しています。
次の例は、promptキーワードを使用せずに、認証プロンプトを設定しています。
aaa authentication
auth-prompt
clear auth-prompt
show auth-prompt
セッション バナー、ログイン バナー、およびMoTD(Message-of-The-Day)バナーを設定するには、 banner コマンドを使用します。指定したバナー オプション キーワードのすべての行を削除するには、このコマンドの no 形式を使用します。
[no] banner { exec | login | motd text }
ユーザがTelnetを使用してFWSMにアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示するようにシステムを設定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
bannerコマンドは、オプション キーワードで指定したバナーを表示するように設定します。 text 文字列は、最初の空白文字(スペース)の後に続く、行末(CR[復帰]またはLF[改行])までのすべての文字で構成されます。テキスト内にあるスペースはそのまま表示されます。ただし、CLIではタブは入力できません。
先にバナーを消去しない限り、後続の text エントリは既存バナーの末尾に追加されます。
(注) $(domain)および$(hostname)のトークンを使用すると、それぞれFWSMのドメイン名とホスト名に置き換えられます。コンテキストの設定で$(system)トークンを使用すると、コンテキストはシステム コンフィギュレーションで設定されたバナーを使用します。
バナーを複数行にするには、追加する1行ごとにbannerコマンドを新しく入力します。入力した行は、既存バナーの末尾に付加されていきます。テキストが空の場合は、バナーにCR(復帰)が追加されます。RAMおよびフラッシュ メモリの容量による限界を除いて、バナーの長さに制限はありません。
TelnetまたはSSHでFWSMにアクセスする場合、バナー メッセージの処理に必要なシステム メモリが十分にないときや、TCP書き込みエラーが発生したときは、セッションが閉じます。
バナーを置き換えるには、no bannerコマンドを使用してから、新しい行を追加します。
no banner { exec | login | motd } コマンドは、オプション キーワードで指定したバナーに含まれている行をすべて削除します。
no bannerコマンドでは、テキスト文字列の一部だけを削除できません。このため、no bannerコマンドの末尾に入力した text はすべて無視されます。
次の例は、 motd 、 exec 、および login の各バナーを設定する方法を示しています。
clear banner
enable
login
password/passwd
show banner
ssh
telnet
FWSMで、認証局(CA)の公開鍵を含むCA自己署名証明書を入手することによってCAを認証するには、 ca authenticate コマンドを使用します。
ca authenticate ca_nickname [ fingerprint ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
FWSMは、VeriSign、Entrust、Baltimore Technologies、およびMicrosoftのCAサーバをサポートしています。
証明書のライフタイムとCertificate Revocation List(CRL;証明書失効リスト)は、Coordinated Universal Time(UTC;協定世界時)に基づいてチェックされます。FWSMのクロックはスイッチと同期しています。このクロックの設定によって、証明書のライフタイムと失効が決まります。
FWSMが認証するのは、エンティティ証明書(デバイス証明書)です。FWSMでは、信頼できる同じポイントまたはルート(CAサーバ)からエンティティ証明書が発行されることを前提としています。結果として、信頼できるポイントまたはルートは同じルート証明書(発行者証明書)を持っている必要があります。FWSMは、エンティティがエンティティ証明書だけを交換することを前提としており、エンティティ証明書とルート証明書の両方を含む証明書チェーンは処理できません。
ピアの証明書を認証するには、CAの公開鍵が含まれているCA証明書をFWSMが取得する必要があります。CA証明書は自己署名証明書であるため、CAの管理者に連絡して手作業で鍵を認証する必要があります。CA証明書の公開鍵を認証するには、 ca authenticate コマンドの中で鍵のフィンガープリントを指定します。指定したフィンガープリントと受信したフィンガープリントが異なる場合、FWSMは受信したCA証明書を廃棄して、エラー メッセージを生成します。鍵をコマンド内に入力せずに、2つのフィンガープリントを比較することもできます。
ca configure コマンドの中でRAモードを使用している場合は、 ca authenticate コマンドを発行すると、RAの署名証明書と暗号化証明書、およびCA証明書がCAから返されます。
ca authenticate コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、受信したCA(およびRA)証明書に埋め込まれている公開鍵については、RSA公開鍵 レコード(「RSA公開鍵 チェーン」と呼ばれる)の一部としてコンフィギュレーションに保存されます。公開鍵をフラッシュ メモリに長期間保存するには、 ca save all コマンドを使用します。CAの証明書を表示するには、 show ca certificate コマンドを使用します。
(注) このコマンドを発行した後でCAがタイムアウト期間内に応答しない場合は、このコマンドが停滞しないように端末制御が返されます。端末制御が返された場合は、コマンドを再入力する必要があります。
次の例では、CA証明書に対する要求がCAに送信されています。このコマンドには、フィンガープリントは指定されていません。CAはCA証明書を送信し、FWSMはCA証明書のフィンガープリントをチェックすることにより、CA証明書を確認するよう要求します。両方のフィンガープリントが一致すると、証明書は有効とみなされます。
次に、エラー メッセージの例を示します。このコマンドでは、フィンガープリントが指定されています。2つのフィンガープリントが一致しないため、証明書は有効になりません。
FWSMとCA間の通信パラメータを指定するには、 ca configure コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[no ] ca configure ca_nickname { ca | ra } retry_period retry_count [ crloptional ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
次の例では、 myca をCAの名前にし、RAではなくCAへのアクセスを指定しています。また、応答がない場合、FWSMは5分間待機してから次の証明書要求を送信し、合計15回再送信したらその要求を撤回することを指定しています。CRLがアクセス不能になっている場合、 crloptional オプションは、FWSMがほかのピアの証明書を受け入れることを指定します。
FWSMがアップデートされたCRLをCAからいつでも取得できるようにするには、 ca crl request コマンドを使用します。FWSMからCRLを削除するには、このコマンドの no 形式を使用します。
[no ] ca crl request ca_nickname
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。
CRLは、失効したすべてのネットワーク デバイス証明書の一覧です。FWSMは失効した証明書を受け入れないため、失効した証明書を持つピアは、IPSecトラフィックをFWSMと交換できません。
FWSMがピアから初めて証明書を受信すると、CAからCRLがダウンロードされます。FWSMはCRLをチェックして、ピアの証明書が失効していないことを確認します。証明書がCRLに記載されている場合、その証明書は受け入れられず、ピアは認証されません。
CRLは、CRLの有効期限が切れるまでは後続の証明書に対しても再利用できます。CRLの有効期限が切れたときは、FWSMが新しいCRLをダウンロードし、有効期限の切れたCRLを新しいCRLに置き換えて、CRLを自動的にアップデートします。
有効期限の切れていないCRLがFWSM内にあるものの、その内容が最新のものでない可能性がある場合は、 ca crl request コマンドを使用して、最新のCRLをダウンロードして、古いCRLを置き換えます。
ca crl request コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。
show ca crl コマンドを使用すると、RAM内にCRLがあるかどうか、およびCRLのダウンロード元とダウンロード日時を知ることができます。
次の例では、FWSMがアップデートされたCRLをmycaという名前のCAから取得するように指定しています。
CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求するには、 ca enroll コマンドを使用します。現在の登録要求を取り消すには、このコマンドの no 形式を使用します。
[no ] ca enroll ca_nickname challenge_password [ serial ] [ ipaddress ]
ユーザが証明書を失効させるように要求したときに、CA管理者が何らかの形で認証を実行するために必要なパスワードを指定します。パスワードは最長80文字まで指定できます。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca_nickname には、任意の文字列を入力できます(すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定)。CAには、固有の名前(CAのドメイン名など)が必要です。
ca enroll コマンドを使用すると、CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求できます。これは、CAへの「登録」とも呼ばれます。
FWSMでは、RSA鍵ペアごとにCAからの署名証明書が必要になります。以前に汎用鍵を生成した場合は、 ca enroll コマンドを実行すると、1組の汎用RSA鍵ペアに対応する1通の証明書を取得できます。以前に特定用途向け鍵を生成した場合は、特定用途向けの各RSA鍵ペアに対応する、2通の証明書を取得できます。
鍵の証明書をすでに取得していた場合は、このコマンドの処理を完了できません。既存の証明書をまず削除するように求められます。
ca enroll コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。登録プロセスが正常に完了したことを確認し、FWSM装置の証明書を表示するには、 show ca certificate コマンドを使用します。
FWSMの証明書を失効させる必要が生じた場合は、チャレンジ パスワードが必要になります。CAの管理者に証明書を失効させるように求める場合は、悪意のある失効要求や誤った失効要求から保護する手段として、このチャレンジ パスワードを提示する必要があります。
(注) このパスワードはどこにも保存されないため、管理者が記憶しておく必要があります。
管理者がパスワードを忘れた場合でも、CAの管理者はFWSMの証明書を失効させることができます。ただし、FWSM管理者の身元を手作業で認証する必要が生じます。
FWSMのシリアル番号は省略可能です。 serial オプション キーワードを指定すると、取得した証明書の中にシリアル番号が記載されます。このシリアル番号はIPSecおよびInternet Key Exchange(IKE)では使用されませんが、証明書を認証するときや、あとで証明書を特定のデバイスと関連付けるときにCAで使用できます。証明書の中にシリアル番号を含める必要があるかどうかについては、CAの管理者に問い合わせてください。判断できない場合は、 serial オプション キーワードを指定してください。
FWSMのIPアドレスは省略可能です。 ipaddress オプション キーワードを指定すると、取得した証明書の中にIPアドレスが記載されます。IPアドレスは、証明書よりも強固に個々のエンティティとバインドされているため、 ipaddress オプション キーワードは通常は指定しません。また、FWSMを移動した場合に、新しい証明書を発行する必要が生じます。
(注) 証明書ベースの認証でISAKMPを設定する場合は、ISAKMPのIDタイプが証明書タイプと一致している必要があります。ca enrollコマンドでは、ホスト名に基づいたIDを使用して証明書を取得します。isakmp identityコマンドでは、ホスト名ではなくアドレスに基づいて証明書を取得します。このIDタイプの不一致を解消するには、isakmp identity addressコマンドを使用します。isakmp identity addressコマンドについては、isakmpコマンドの項を参照してください。
次の例では、FWSMが登録要求をmyca.example.comというCAに送信します。
FWSM用のRSA鍵ペアを生成するには、 ca generate rsa コマンドを使用します。
ca generate rsa { key | specialkey } key_modulus_size
RSA鍵の生成に使用する係数のサイズをビット単位で定義します。有効値は、 512 、 768 、 1024 、および 2048 ビットです。 |
(注) このコマンドを発行する前に、Firewall Services Moduleのホスト名とドメイン名が設定されていることを確認してください(hostnameとdomain-nameコマンドを使用)。ホスト名とドメイン名が設定されていない場合は、FWSMはデフォルトのドメインであるciscopix.comを使用します。
|
|
---|---|
RSA鍵はペアで生成されます。1つはRSA公開鍵、もう1つはRSA秘密鍵です。
このコマンドを発行した時点でFWSM用のRSA鍵がすでに存在する場合は、警告が表示され、既存の鍵を新しい鍵で置き換えるように求められます。
(注) 指定する鍵係数のサイズが大きくなるにしたがって、RSA鍵の生成時間も長くなります。デフォルト値の768を使用することを推奨します。
PDMはSecure Socket Layer(SSL)通信プロトコルを使用してファイアウォールと通信します。
SSLは ca generate rsa コマンドで生成された秘密鍵を使用します。証明書の場合、SSLは認証局(CA)から取得した鍵を使用します。その鍵が存在しない場合、SSLはRSA鍵ペアの生成時に作成されたFWSM自己署名証明書を使用します。
ca generate rsa コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、このコマンドで生成した鍵はフラッシュ メモリ内の永続的なデータ ファイルに保存されます。保存する場合は ca save-all コマンドを使用し、保存内容を表示する場合は show ca my rsa key コマンドを使用します。
次の例では、1組の汎用RSA鍵ペアを生成します。鍵係数として選択したサイズは、 1024 です。
FWSMで使用するCAを宣言するには、 ca identity コマンドを使用します。 ca identity コマンドをコンフィギュレーションから削除し、指定されたCAから発行された証明書とCRLをすべて削除するには、このコマンドの no 形式を使用します。
[no ] ca identity ca_nickname [ ca_ipaddress | hostname [ : ca_script_location ] [ ldap_ip address | hostname ]]
• : ca_script_location ― CAサーバ上でのスクリプトの位置は/cgi-bin/pkiclient.exeです。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
CAがLDAPをサポートしている場合は、クエリ機能でもLDAPを使用する場合があります。
CA管理者がこの位置にCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定する必要があります。
FWSMは、HTTPプロトコルのサブセットを使用してCAにアクセスするため、CA要求を処理する特定のcgi-binスクリプトを識別できる必要があります。CAサーバ上でのスクリプトのデフォルトの位置と名前は、/cgi-bin/pkiclient.exeです。設定した位置にCA管理者がCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定します。
デフォルトでは、証明書またはCRLのクエリはシスコのPKIプロトコルを利用して実行されます。CAがLDAPをサポートしている場合、クエリ機能はLDAPを使用する場合があります。 ca identity コマンド文の中で、LDAPサーバのIPアドレスを指定する必要があります。
次の例では、CA myca.example.comをFWSMでサポートされるCAとして宣言しています。CAのIPアドレスとして、205.139.94.231を指定しています。
リロード時に、FWSMのRSA鍵ペア、CA、RA、FWSMの証明書、およびCAのCRLをフラッシュ メモリ内の永続的なデータ ファイルに保存するには、 ca save-all コマンドを使用します。FWSMのフラッシュ メモリから保存されたデータを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca save コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。
要求した証明書の現在のステータス、および受信した証明書の関連情報を表示するには、 show ca certificate コマンドを使用します。証明書には機密データが含まれていないため、この show コマンドはどのユーザでも使用できます。
サブジェクトDistinguished Name(DN;認定者名)を使用して、デバイス証明書を作成するには、 ca subject-name コマンドを使用します。サブジェクトDNを削除するには、このコマンドの no 形式を使用します。
[no ] ca subject-name ca_nickname X.500_string
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
X.500_string は、RFC 1779形式で指定します。
ca subject-name ca_nickname X.500_string コマンドは、X.500ディレクトリ名をサポートするための証明書登録拡張です。
ca subject-name ca_nickname X.500_string コマンドを設定すると、FWSMは、RFC 1779形式で X.500_string に指定されているサブジェクトDNを使用して、デバイス証明書を登録します。 表 2-4 に、サポートされているDN属性を示します。
|
|
---|---|
RFC 1779の詳細については、次のURLを参照してください。
http://www.ietf.org/rfc/rfc1779.txt
FWSMソフトウェア バージョン2.2(1)では、VPNクライアント上でX.509(証明書サポート)をサポートしています。Cisco IOSソフトウェア、VPN 3000コンセントレータ、およびFWSMは、「ou」属性に基づいて正しいVPNグループ(モード設定グループ)を検索します(「ou」属性は、Easy VPNクライアントがRSAシグニチャをネゴシエートするときの、デバイス証明書のサブジェクトDNの一部)。
(注) Cisco VPN 3000ヘッドエンドとFWSM間でX.500_stringを使用して通信している場合は、VPN 3000ヘッドエンドの設定にバックアップ サーバのDNS名を使用しないでください。バックアップ サーバはIPアドレスで指定してください。
次の例では、サブジェクトDNを使用してデバイス証明書を作成します。この例では、my_departmentがVPNグループです。
X.500_string に基づいて証明書のDistinguished Name(DN;認定者名)を検証し、サブジェクト名フィルタとして機能するには、 ca verifycertdn コマンドを使用します。サブジェクト名フィルタをディセーブルにするには、このコマンドの no 形式を使用します。
[no ] ca verifycertdn X.500_string
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca verifycertdnコマンドを入力して、ピア証明書のサブジェクト名が X.500_string と一致する場合、そのサブジェクト名はフィルタリングされて除外され、ISAKMPネゴシエーションが失敗します。
FWSMによって以前に生成されたRSA鍵をすべて削除するには、 ca zeroize rsa コマンドを使用します。
ca zeroize rsa [ keypair_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ca zeroize rsa コマンドは、FWSMによって以前に生成されたRSA鍵をすべて削除します。このコマンドを発行する場合は、ほかに次の2つの作業を実施する必要があります。
1. no ca identity コマンドを使用して、FWSMの証明書をコンフィギュレーションから手作業で削除します。この操作によって、CAから発行された証明書がすべて削除されます。
2. CAの管理者に連絡して、CAにあるFWSMの証明書を失効させるように要請します。最初にFWSMの証明書を取得したときに crypto ca enroll コマンドを使用して作成した、チャレンジ パスワードを提示します。
RSA鍵ペアを保存するには、 ca save-all コマンドを使用します。特定のRSA鍵ペアを削除するには、 ca zeroize rsa コマンド文の中で keypair_name オプションを使用して、削除するRSA鍵の名前を指定します。
(注) Secure Shell(SSH;セキュア シェル)を使用するために、RSA鍵ペアを複数保持していることがあります。詳細については、sshコマンドの項を参照してください。
パケット キャプチャ機能をイネーブルにして、パケットのスニッフィングやネットワーク障害を検出するには、 capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。
capture capture_name [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ]
no capture capture-name [access-list access_list_name ] [circular-buffer] [ interface interface_name ]
(任意)特定のアクセス リストを識別するために、IPフィールドまたはより高位のフィールドに基づいて、パケットを選択します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
接続障害のトラブルシューティングや不審な動作を監視する際に、パケットのキャプチャは有効です。FWSMでは、汎用プロセッサを通過するトラフィック(管理トラフィックおよびインスペクション エンジンを含む)のパケット情報を記録できます。FWSMはネットワーク プロセッサを通過するトラフィック(大半の通過トラフィックなど)をキャプチャできません。パケット キャプチャ機能を使用する場合は、テクニカル サポートに問い合わせることを推奨します。
キャプチャから除外するイーサネット タイプを選択する場合の例外は802.1Q(VLANタイプ)です。802.1Qタグは自動的にスキップされ、条件に一致しているかどうかの判定には内部イーサネット タイプが使用されます。デフォルトでは、すべてのイーサネット タイプが選択されます。
パケット キャプチャをイネーブルにするには、 interface オプション引数を使用してキャプチャをインターフェイスに関連付けます。複数のinterface文を使用すると、キャプチャが複数のインターフェイスに関連付けられます。
バッファの内容がTFTPサーバにASCII形式でコピーされる場合は、ヘッダーだけを表示できます。パケットの詳細や16進ダンプは表示できません。詳細や16進ダンプを表示するには、バッファをPCAP形式で伝送し、TCPDUMPまたはEtherealを使用して読み取ります。
ethernet-type および access-list オプション キーワードを使用すると、バッファに保存するパケットを選択できます。イーサネット フィルタとアクセス リスト フィルタの両方を通過したパケットだけがキャプチャ バッファに保存されます。
capture capture_name circular-buffer コマンドを使用すると、キャプチャ バッファが一杯になったときに、キャプチャ バッファを先頭部分から上書きできます。
キャプチャが消去されないようにする場合は、 no capture コマンドに access-list または interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセス リストが削除され、キャプチャは残されます。 interface オプションを指定した場合は、指定したインターフェイスからキャプチャが分離され、キャプチャは残されます。
(注) captureコマンドはコンフィギュレーションには保存されません。また、captureコマンドはフェールオーバー中にスタンバイ装置に複製されることもありません。
キャプチャ情報をリモートのTFTPサーバにコピーするには、 copy capture : capture_name
tftp://server/ path [pcap] コマンドを使用します。
パケット キャプチャ情報をWebブラウザで表示するには、
https:// fwsm-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。
pcap オプション キーワードを指定すると、libpcap形式のファイルがWebブラウザにダウンロードされるので、Webブラウザを使用してファイルを保存できます(libcapファイルは、TCPDUMPまたはEtherealで表示可能)。
パケット キャプチャをイネーブルにするには、次のように入力します。
「mycapture」という名前のキャプチャの内容をWebブラウザで表示するには、次のアドレスを入力します。
https://171.69.38.95/capture/mycapture/pcap
Internet ExplorerやNetscape NavigatorなどのWebブラウザで使用されるlibcapファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。
次の例では、外部ホスト171.71.69.234から内部HTTPサーバへのトラフィックがキャプチャされます。
カレント ディレクトリを指定したディレクトリに変更するには、 cd コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
copy disk
copy flash
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
コマンドが適用される実行スペースを変更するには、 changeto コマンドを使用します。
changeto {system | context name}
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンテキスト名は、コマンドライン プロンプトに挿入されます。プロンプトが変更されるのは、コンテキスト内で作業する場合だけです。シングル コンテキスト モードからマルチ コンテキスト モードに変更しても、プロンプトは変更されません。
次に、「test1」というコンテキストに変更する例を示します。
次に、「test1」というコンテキストからシステム コンテキストに変更する例を示します。
コンテキストの割り当てが可能なクラスを作成し、クラス サブモードを開始するには、 class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
各クラス メンバーのリソース制限はクラス パラメータによって決まります。クラス名は20文字までに制限されています。デフォルト クラスは削除できません。デフォルト クラスの制限を変更する場合は、 name に default を指定します。クラスを削除するには、このコマンドの no 形式を使用します。 class コマンドを入力すると、FWSMはクラス サブコンフィギュレーション モードを開始します。サブモードでは、 limit-resource コマンドを使用できます。
デフォルトでは、すべてのセキュリティ コンテキストでほとんどのFWSMリソースを利用できます。ただし、1つまたは複数のコンテキストがリソースを多く使用しすぎていて、他のコンテキストの接続が拒否される場合、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。
リソースの一覧については、 limit-resource コマンドの項を参照してください。また、 show resource types コマンドの項も参照してください。
(注) FWSMはコンテキストごとの帯域幅制限は行いません。FWSMを搭載したスイッチまたはルータは、VLAN単位で帯域幅を制限できます。詳細については、Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータのマニュアルを参照してください。
特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。
コンテキストが別のクラスに所属している場合、そのクラスの設定がデフォルト クラスの設定よりも優先されます。ただし、別のクラスで設定が定義されていない場合には、メンバー コンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続に関して2%の制限を持ち、他に制限のないクラスを作成した場合、その他の制限はすべてデフォルトから継承されます。逆に、すべてのリソースに対して2%の制限を持つクラスを作成すると、そのクラスはデフォルトの設定を使用しません。
デフォルトでは、デフォルト クラスはすべてのコンテキストの大半のリソースに対して無制限のアクセスを提供しています。コンテキストごとに制限されるリソースは、次のとおりです。
リソース クラスの設定を使用するには、コンテキストをクラスに割り当てます。特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。コンテキストを割り当てることができるリソース クラスは1つだけです。ただし、メンバー クラスで定義されていない制限については、デフォルト クラスから継承されます。コンテキストは、デフォルト クラスに別のクラスを加えたクラスのメンバーであると言えます。
コンテキストをクラスに割り当てるには、 member(コンテキスト サブモード) コマンドを使用します。
次に、デフォルト クラス パラメータを変更する例を示します。
config-url(コンテキスト サブモード)
limit-resource
show class
show context
show resource allocation
show resource types
コンフィギュレーションからコンフィギュレーション ファイルおよびコマンドを削除するか、またはコマンド値をリセットするには、 clear コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コマンドの no 形式を使用すると、コンフィギュレーションを変更できます。
clear コマンドは、さまざまなセキュリティ レベルのモードで使用できます。セキュリティ レベルが低いモードで使用できる clear コマンドは、よりセキュリティ レベルの高いモードでも使用できます。ただし、セキュリティ レベルの高いモードの clear コマンドは、セキュリティ レベルの低いモードでは使用できません。
TACACS+、RADIUS、またはローカル ユーザのAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)をイネーブル化、ディセーブル化、または表示するには、 clear aaa コマンドを使用します。
clear aaa authentication | authorization | accounting
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa-server
clear aaa accounting
clear aaa authentication
clear aaa authorization
ローカル、TACACS+、またはRADIUSのユーザ アカウントをクリアするには、 clear aaa accounting コマンドを使用します。
clear aaa accounting { include | exclude } service interface_name source_ip source_mask [destination_ip destination_mask] server_tag
アカウンティングサービス。指定できる値は、any、ftp、http、telnet、またはprotocol/portです。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any を使用します。UDPサービスに対してアカウンティングを可能にするには、protocol/port引数を使用します。protocol/port形式では、たとえばTCPプロトコルは6と表示され、UDPプロトコルは17と表示されます。ポートは、TCPまたはUDPの宛先ポートです。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは使用されません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。
ローカル、TACACS+、またはRADIUSのユーザ認証をクリアするには、 clear aaa authentication コマンドを使用します。
clear aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask] server_tag
選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ローカルまたはTACACS+のユーザ認証をクリアするには、 clear aaa authorization コマンドを使用します。
clear aaa authorization { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask ] server_tag
選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。
定義済みのサーバ グループを削除するには、 clear aaa-server コマンドを使用します。
(任意)AAAサーバ グループ タグ。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべてのインターフェイスからアクセス グループを削除するには、 clear access-group コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
アクセス リストを削除するか、またはアクセス リスト カウンタをクリアするには、 clear access-list コマンドを使用します。
clear access-list [i d ] [ counters ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
id を指定せずに clear access-list コマンドを使用すると、すべての access-list コマンド( access-list deny-flow-max など)がクリアされます。 また、 access-group コマンドなどの、ACLに関連するコマンドも削除されます。
次に、特定のアクセス リスト カウンタをクリアする例を示します。
次に、すべてのアクセス リスト カウンタをクリアする例を示します。
FWSM のアクティベーション キーをクリアして、 FWSM をデフォルトのフィーチャ セットに戻すには、 clear activation-key コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
マルチ セキュリティ コンテキスト モードでは、デフォルトのフィーチャ セットを使用すると2つのコンテキストが許可されます。
コンフィギュレーションからすべての alias コマンドを削除するには、 clear alias コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから alias コマンドを削除する例を示します。
ARPキャッシュ テーブル内のエントリ( arp interface_name ip mac コマンドで直接設定したものを除く)をすべてクリアするには、 clear arp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ARPキャッシュ テーブルのエントリをクリアする例を示します。
ARP検査の設定をクリアするには、 clear arp-inspection コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
HTTP、FTP、およびTelnetアクセスに対するAAAチャレンジ テキストをクリアするには、 clear auth-prompt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、許可プロンプトのAAAチャレンジ テキストをクリアする例を示します。
すべてのバナーを削除するには、clear bannerコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
CAのコンフィギュレーションを削除するには、clear caコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、CAのコンフィギュレーションをクリアする例を示します。
キャプチャ バッファをクリアするには、 clear capture capture_name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべてのパケット キャプチャを誤って削除することを防ぐため、 clear capture ( cl cap や clear cap など)の短縮形はサポートされていません。
次に、キャプチャ バッファ「orlando」のキャプチャ バッファをクリアする例を示します。
すべてのクラスを削除して、デフォルト クラスをデフォルト設定に戻すには、 clear class コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
実行コンフィギュレーションの要素をクリアするには、 clear configure コマンドを使用します。
clear configure { primary | secondary | all }
(任意)特定のコマンドをデフォルト値に設定し、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、コマンドをデフォルト設定に戻します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear configure all コマンドは、コンフィギュレーションをデフォルト値にリセットします。このコマンドは、テンプレート コンフィギュレーションを作成する場合や、すべての値を消去する場合に使用します。
コンテキスト モードで clear config all コマンドを使用すると、コンテキストの実行コンフィギュレーション全体が削除されますが、コンテキストのコンフィギュレーションURLやコンテキストは削除されません。また、システム コンフィギュレーションで指定されたパラメータも削除されません。
(注) システム モードでclear configureコマンドを使用すると、システム コンフィギュレーションおよびコンテキストのすべてのコンフィギュレーションが削除されます。
clear configure primaryコマンドは、interface、ip、mtu、nameif、およびroute コマンドをデフォルト値にリセットし、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、デフォルト設定に戻します。
clear configure secondaryコマンドは、コンフィギュレーションから、aaa-server、alias、 access-list 、apply、global、outbound、static、telnet、およびurl-serverコマンドを削除します。ただし、tftp-serverコマンドは削除されません。
フラッシュ メモリのスタートアップ コンフィギュレーションをクリアするには、write eraseコマンドを使用します。
次に、RAMのコンフィギュレーションをクリアする例を示します。
システムから接続を削除するには、 clear conn コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
現在キャプチャされているコンソール出力を削除するには、 clear console-output コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除するには、 clear context コマンドを使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear context コマンドは、すべてのコンテキストとそのコンフィギュレーション、およびすべてのコンテキストのコンテキスト サブコマンド(メンバーおよびconfig-url)を削除します。 clear context コマンドでは、RMクラスの定義は削除されません。
次の例では、すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除します。
プロトコル スタック カウンタをクリアするには、 clear counters コマンドを使用します。
clear counters [context context-name | top N | all | summary] [protocol protocol_name [: counter_name ]| detail]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、プロトコル スタック カウンタをクリアする例を示します。
FWSMのフラッシュ メモリからクラッシュ情報ファイルを削除するには、 clear crashdump コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから crypto dynamic-map コマンドを削除するには、 clear crypto
dynamic-map コマンドを使用します。
clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから crypto dynamic-map コマンドを削除する例を示します。
暗号インターフェイス カウンタをクリアするには、 clear crypto interface counters コマンドを使用します。
clear crypto interface counters
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear crypto interface counters コマンドは、パケット、ペイロード バイト、キュー長、および移動平均のカウンタのみをクリアします。キューにある実際のパケットには影響を与えません。
次に、暗号インターフェイス カウンタをクリアする例を示します。
IPSecのセキュリティ アソシエーションを削除するには、 clear crypto ipsec sa コマンドを使用します。
clear [ crypto ] ipsec sa [ counters | entry { destination-address protocol spi } | map map-name | peer ]
(任意)指定されたアドレス、プロトコル、およびSPIを使用して、IPSecのセキュリティ アソシエーションを削除します。 |
|
(任意)セキュリティ アソシエーションを識別するためのSecurity Parameter Index(SPI)を指定します。有効値は、256~4294967295(16進数のFFFF FFFF)です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Internet Key Exchange(IKE)を使用してセキュリティ アソシエーションが確立されている場合、セキュリティ アソシエーションが削除されるため、以降のIPSecトラフィックでは新しいセキュリティ アソシエーションが必要です。IKEを使用している場合、IPSecセキュリティ アソシエーションは必要なときにだけ確立されます。
セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除されます。
引数を指定せずに clear [ crypto ] ipsec sa コマンドを使用すると、IPSecセキュリティ アソシエーションがすべて削除されます。
セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除され、もう一度確立されます(IKEを使用していない場合は、コンフィギュレーションが完了するとすぐにIPSecセキュリティ アソシエーションが作成される)。
先行する何らかのコマンドによって特定のセキュリティ アソシエーションが削除される場合は、同じIKEネゴシエーション中に確立された「兄弟の」セキュリティ アソシエーションもすべて削除されます。
counters オプション キーワードを使用すると、セキュリティ アソシエーションごとに保持されているトラフィック カウンタだけが消去されます。セキュリティ アソシエーション自体は消去されません。
セキュリティ アソシエーションに影響を及ぼす設定変更を行う場合、その変更は既存のセキュリティ アソシエーションには適用されませんが、後続のセキュリティ アソシエーションのネゴシエーションには適用されます。すべてのセキュリティ アソシエーションで最新のコンフィギュレーション設定値が使用されるようにするには、 clear [crypto] ipsec sa コマンドを使用してすべてのセキュリティ アソシエーションを再起動します。手作業で確立したセキュリティ アソシエーションに影響を及ぼす変更を行う場合、その変更内容を適用するには、 clear [crypto] ipsec sa コマンドを使用する必要があります。
(注) IPSecコンフィギュレーションを大幅に変更する場合(たとえば、アクセス リストやピアに変更を加える場合)は、clear [crypto] ipsec saコマンドでは新しいコンフィギュレーションが有効になりません。このような場合は、crypto map interfaceコマンドを使用して、暗号マップをインターフェイスに再バインドします。
FWSMがアクティブなIPSecトラフィックを処理している間は、セキュリティ アソシエーション データベースのうち、変更の影響を受ける部分だけを消去して、アクティブなIPSecトラフィックの処理が一時的に失敗することを避けてください。
clear [ crypto ] ipsec sa コマンドは、IPSecセキュリティ アソシエーションだけを消去します。IKEセキュリティ アソシエーションを消去するには、 clear [ crypto ] isakmp sa コマンドを使用します。
次の例では、FWSMのIPSecセキュリティ アソシエーションをすべて消去し、必要に応じて再初期化します。
次の例では、AHプロトコルを使用してアドレス10.0.0.1用に確立されたSPI 256のセキュリティ アソシエーションとともに確立された、受信IPSecセキュリティ アソシエーションと送信IPSecセキュリティ アソシエーションを消去し、必要に応じて再初期化します。
crypto ipsec security-association lifetime
crypto map interface
show crypto map
コンフィギュレーションからIKE SAの isakamp policy コマンドを削除するには、 clear crypto isakamp sa コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから isakamp policy コマンドを削除する例を示します。
DHCPサーバ コマンド、バインディング、および統計情報をすべてクリアするには、 clear dhcp コマンドを使用します。
clear dhcpd [ binding | statistics ]
(任意)統計情報(アドレス プール、バインディング数、不正メッセージ、送信メッセージ、受信メッセージなど)をクリアします。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear dhcpd コマンドは、すべての dhcpd コマンド、バインディング、および統計情報をクリアします。 clear dhcp statistics コマンドは、 show dhcp statistics のカウンタをクリアします。
DHCPリレー コンフィギュレーション コマンドをクリアするには、 clear dhcprelay コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
clear dhcprelay コマンドは、すべてのDHCPリレー コンフィギュレーションをクリアします。 clear dhcprelay statistics コマンドは、 show dhcprelay statistics のカウンタをクリアします。
次に、 DHCP リレー コンフィギュレーションをクリアする例を示します。
ディスパッチ レイヤの統計情報をクリアするには、 clear dispatch stats コマンドを使用します。
clear dispatch stats [funcid | all]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ディスパッチ レイヤ統計情報をすべて削除する例を示します。
ダイナミック暗号マップ エントリを削除するには、 clear dynamic-map コマンドを使用します。
clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ダイナミック マップ エントリを削除する例を示します。
確立されたコマンドをすべて削除するには、 clear established コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
established コマンドで確立された接続を削除するには、 clear xlate コマンドを使用します。
すべてのフェールオーバー コンフィギュレーションを削除するには、 clear failover コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フェールオーバー コンフィギュレーションを削除する例を示します。
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
show failover
write standby
コンフィギュレーションから filter コマンドを削除するには、 clear filter コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、すべての filter コマンドを削除する例を示します。
ファイアウォール モードをデフォルト設定に戻すには、 clear firewall コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ファイアウォール モードをルーテッド ファイアウォール モードに設定する例を示します。
フィックスアップ コンフィギュレーションをリセットするには、 clear fixup コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フィックスアップ コンフィギュレーションをリセットする例を示します。
FWSM内のフラッシュ メモリのファイル システムをクリアするには、 clear flashfs コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSM内のフラッシュ メモリのファイル システムをクリアする例を示します。
フラッド保護をディセーブルにするには、 clear floodguard コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フラグメント データベースをデフォルトにリセットするには、 clear fragment コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear fragmentコマンドを使用すると、フラグメント データベースがリセットされます。特に、再組み立てを待っているフラグメントはすべて廃棄されます。さらに、サイズは200にリセットされ、チェイン制限は24にリセットされ、タイムアウトは5秒にリセットされます。
現在、再組み立てを待っているフラグメントはすべて廃棄され、size、chain、およびtimeoutオプション キーワードがそれぞれのデフォルト値にリセットされます。
sysopt security fragguard および fragguard コマンドは、 fragment コマンドに置き換えられています。
次に、フラグメント データベースをデフォルトにリセットする例を示します。
FTPモードをデフォルト設定に戻すには、 clear ftpコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FTPモードをパッシブ モードに設定する例を示します。
ガーベッジ コレクション処理の統計情報を削除するには、 clear gc コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ガーベッジ コレクション処理の統計情報を削除する例を示します。
コンフィギュレーションから global コマンドを削除するには、 clear global コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから global コマンドを削除する例を示します。
すべてのHTTPホストを削除して、サーバをディセーブルにするには、 clear http コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、すべてのHTTPホストを削除して、サーバをディセーブルにする例を示します。
インターフェイスで終端するICMPトラフィックに対するアクセスを削除するには、 clear icmp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ICMPトラフィックに対するアクセスを削除する例を示します。
インターフェイスの統計情報をクリアするには、 clear interface stats コマンドを使用します。
clear interface [ interface ] stats
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear interfaceコマンドは、すべてのインターフェイス統計情報をクリアします。このコマンドは、すべてのシステム インターフェイスをシャットダウンする訳ではありません。 clear interface コマンドは、すべてのインターフェイスに対するユニキャストRPFのパケット廃棄数もクリアします。
次に、内部インターフェイスの統計情報をクリアする例を示します。
すべてのIPアドレスをクリアするには、 clear ip address コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ip address コマンドを変更した場合は、その後、 clear xlate コマンドを使用します。
次に、インターフェイスのすべてのIPアドレスをクリアして、FWSMモジュールを通過するトラフィックをすべて停止する例を示します。
clear ip verify reverse-path
ip address
ip prefix-list
ip verify reverse-path
show ip address
show ip verify
IP OSPFに関する情報をクリアするには、 clear ospf コマンドを使用します。
clear ip ospf [ pid ] { process | counters | neighbor [ neighbor-intf ] [ neighbr-id ]}
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
このコマンドを使用しても、コンフィギュレーションは削除されません。OSPFコンフィギュレーションを削除するには、 router ospfコマンド または routing interface コマンドの no 形式を使用します。
コンフィギュレーションから ip verify reverse-path コマンドを削除するには、 clear ip verify reverse-path コマンドを使用します。
clear ip verify reverse-path [ interface int_name ] [ statistics ]
コンフィギュレーションから ip verify reverse-path コマンド設定を削除します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
clear ip verify コマンドを使用すると、コンフィギュレーションから ip verify コマンドを削除できます。ユニキャストReverse Path Forwarding(RPF)は、インターフェイスに到着する受信パケットをスクリーニングする一方向の入力機能です。送信パケットはスクリーニングされません。
次に、コンフィギュレーションから ip verify reverse-path コマンドを削除する例を示します。
clear ip address
ip address
ip prefix-list
ip verify reverse-path
show ip address
show ip verify
ローカル ホストについて表示される情報をクリアするには、 clear local-host コマンドを使用します。
(注) ローカル ホストのネットワーク ステートをクリアすると、ローカル ホストに関連付けられている接続やxlateはすべて停止します。
clear local-host [ ip_address ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
表示を1つのホストに制限する場合は、 ip_address オプションを使用します。
FWSMでは、クリアされたホストはライセンス制限から除外されます。ライセンス制限にカウントされているホストの数は、 show local-host コマンドを使用して表示できます。
次に、clear local-hostコマンドでローカル ホストに関する情報をクリアする例を示します。
拒否メッセージを元のメッセージにリセットするには、 clear logging rate-limit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ブリッジ テーブルからインターフェイス名のエントリを削除するには、 clear mac-address-table コマンドを使用します。
clear mac-address-table interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、ブリッジ テーブルからインターフェイス名のエントリを削除する例を示します。
mac-address-table aging-time
mac-address-table static
show mac-address-table
MAC学習を停止するには、 clear mac-learn コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
Media Gateway Command Protocol(MGCP)コンフィギュレーションを削除して、コマンドのキュー制限をデフォルトの200にリセットするには、 clear mgcp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、MGCPコンフィギュレーションを削除して、コマンド キューをリセットする例を示します。
フェールオーバーのインターフェイス モニタ設定を削除するには、 clear monitor-interface コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
メンテナンス パーティション パスワードを削除して、デフォルト パスワードにリセットするには、 clear mp-passwd コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、メンテナンス パーティション パスワードを削除する例を示します。
NATのコンフィギュレーションを削除するには、 clear nat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
(注) トランスペアレント ファイアウォール モードの場合、有効なNAT IDは0だけです。
FWSMコンフィギュレーションから名前のリストを削除するには、 clear name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
name コマンドの使用をディセーブルにするには、 clear names コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションからobject groupコマンドを削除するには、 clear object-group コマンドを使用します。
clear object-group [{ protocol | service | icmp-type | network }] [ obj_grp_id ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから object-group コマンドを削除する例を示します。
area コマンドをデフォルト設定に戻すには、 clear pager コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、 area コマンドをデフォルト設定に戻す例を示します。
パスワードを「cisco」にリセットするには、clear passwordコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、パスワードを「cisco」にリセットする例を示します。
FWSM Device Managerのロケーションをすべて削除し、ロギングをディセーブルにして、PDMバッファをクリアするには、 clear pdm コマンドを使用します。
clear pdm [location | group | logging]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear pdm、 pdm group 、pdm history、pdm location、およびpdm logging コマンドがコンフィギュレーションに表示される場合がありますが、これらのコマンドは、PDMからFWSMへの内部コマンドとして機能する設計になっていて、PDMにだけアクセスできます。
次に、FWSM Device Managerのすべてのロケーションを削除し、ロギングをディセーブルにして、PDMバッファをクリアする例を示します。
コンフィギュレーションを削除して、コマンドの権限レベルを表示するには、 clear privilege コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションを削除して、コマンドの権限レベルを表示する例を示します。
最大カウンタを現在のカウンタの値に設定し、拒否カウンタをクリアするには、 clear resource usage コマンドを使用します。
clear resource usage [ context context_name | top n | all | summary | system ] [ resource {[ rate ] resource_name | all } | detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear resource usage コマンドは、このコマンドで指定されたリソースに対して機能します。リソース タイプが指定されていない場合、このコマンドはすべてのリソースに対してデフォルトを使用します。リソース タイプの詳細を指定すると、すべてのリソース タイプがクリアされます。
次に、使用されていたシステム リソースのリストを削除する例を示します。
show resource allocation
show resource types
show resource usage
Routing Information Protocol(RIP)の設定を削除するには、 clear rip コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
connect キーワードを含まないコンフィギュレーションから route コマンドを削除するには、 clear
route コマンドを使用します。
clear route [ interface_name ip_address [ netmask gateway_ip ]]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デフォルト ルートを指定するには、 0.0.0.0 を使用します。0.0.0.0のIPアドレスを 0 に、0.0.0.0の netmask を 0 に省略できます。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を削除するには、 clear route-map コマンドを使用します。
clear route-map map_tag [ permit | deny ] [ seq_num ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
permit キーワードが指定されていて、一致条件に適合しない場合、同じ map_tag を持つ次のルート マップがテストされます。ルートが、同じ名前のすべてのルート マップの一致条件に適合しない場合、そのルートは再配布されません。
インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除するには、 clear routing コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除する例を示します。
FWSMからRemote Processor Call(RPC)をクリアするには、 clear rpc-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
rpc-server コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。
(注) FWSMの最上位のIPアドレスがプライベート アドレスになっている場合、このアドレスはHelloパケットおよびDatabase Definition(DBD)で送信されます。こうした動作を防ぐためには、router-id ip_addressをグローバル アドレスに設定します。
同じセキュリティのインターフェイス通信をディセーブルにするには、 clear same-security-traffic コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから service コマンドを削除するには、 clear service コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
現在イネーブルであるすべての遮断をディセーブルにして、遮断統計情報をクリアするには、 clear shun コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
SNMP(簡易ネットワーク管理プロトコル)サーバをディセーブルにするには、 clear snmp-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションから ssh コマンドをすべて削除するには、 clear ssh コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから ssh コマンドをすべて削除する例を示します。
コンフィギュレーションから static コマンドをすべて削除するには、 clear static コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから static コマンドをすべて削除する例を示します。
コンフィギュレーションから sysopt コマンドをすべて削除するには、 clear sysopt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから sysopt コマンドをすべて削除する例を示します。
コンフィギュレーションから tacacs-server コマンドをすべて削除するには、 clear tacacs-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから tacacs-server コマンドをすべて削除する例を示します。
コンフィギュレーションからTelnet接続およびアイドル タイムアウトを削除するには、 clear telnet コマンドを使用します。
clear telnet [ ip_address [ netmask ] [ interface_name ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
アクセスをIPアドレス1つに制限するには、255.255.255.255のように各オクテットに255を使用します。 netmask を指定しない場合、 source_ip のクラスに関係なく、デフォルトの255.255.255.255になります。内部ネットワークのサブネットワーク マスクを使用しないでください。netmaskは、 ip_address のIPアドレスに対するビット マスクです。
IPSecが動作している場合は、セキュアでないインターフェイス名(通常、外部インターフェイス)を指定できます。telnetコマンドでインターフェイス名を指定するには、少なくとも、crypto mapコマンドを設定する必要があります。
インターフェイス名が指定されていない場合、アドレスは内部インターフェイス上のアドレスとみなされます。FWSMは、自動的にこのIPアドレスをip addressコマンドによって指定されているIPアドレスと照合して確認し、指定したアドレスが内部インターフェイスにあることを確認します。インターフェイス名が指定されている場合、FWSMは、指定したインターフェイスと照合してホストをチェックします。
Telnetを使用してFWSMへのアクセスが許可されるホストまたはネットワークは最大16までで、同時にコンソールにアクセスできるホストまたはネットワークは5つです。 no telnet コマンドまたは clear telnet コマンドを使用すると、それまでに設定したIPアドレスからTelnetアクセスが削除されます。telnet timeoutコマンドを使用すると、コンソールのTelnetセッションの最大アイドル時間を設定して、その時間が経過すると、FWSMがログオフするようにできます。clear telnetコマンドは、telnet timeoutコマンドで設定した継続時間に影響を与えません。no telnetコマンドは、telnet timeoutコマンドと併せて使用できません。
次に、FWSMのコンフィギュレーションからTelnet接続とアイドル タイムアウトを削除する例を示します。
コンソール端末回線パラメータの設定を削除するには、 clear terminal コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSMのコンフィギュレーションからコンソール端末回線パラメータの設定を削除する例を示します。
コンフィギュレーションからTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバのアドレスとディレクトリを削除するには、 clear tftp-server コマンドを使用します。
clear tftp-server [[ interface_name ] ip_address path ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
指定しない場合は、内部インターフェイスとみなされます。外部インターフェイスを指定した場合、外部インターフェイスはセキュアでないことを示す警告メッセージが表示されます。パスの内容は、解釈もチェックもされずに、サーバに直接渡されます。パスの形式は、サーバ上のオペレーティング システムのタイプによって異なります。コンフィギュレーション ファイルは、TFTPサーバに存在する必要があります。多くのTFTPサーバでは、コンフィギュレーション ファイルに書き込むためには、ファイルを誰でも書き込める状態にし、コンフィギュレーション ファイルから読み取るためには、ファイルを誰でも読み取れる状態にしておく必要があります。
次に、コンフィギュレーションからTFTPサーバのアドレスとディレクトリを削除する例を示します。
コンフィギュレーションから最大アイドル時間を削除するには、 clear timeout コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから最大アイドル時間を削除する例を示します。
ユーザの許可キャッシュをすべて削除するには、 clear uauth コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear uauth コマンドは、1人のユーザまたはすべてのユーザのAAA許可および認証キャッシュを削除します。したがって、ユーザは、次回接続時に強制的に再認証されます。
このコマンドは、 timeout コマンドと併せて使用します。
各ユーザ ホストのIPアドレスには、許可キャッシュがアタッチされます。ユーザが適切なホストから、キャッシュされたサービスにアクセスしようとすると、FWSMはユーザを許可済みであると見なし、すぐに接続を代行処理します。あるWebサイトへのアクセスを一度許可されると、イメージを読み込むたびに許可サーバと通信することはありません(イメージが同じIPアドレスからであるとみなす)。これにより、許可サーバ上でパフォーマンスが大幅に向上し、負荷も大幅に軽減されます。
ユーザ ホストごとにアドレスとサービスのペアを最大16個までキャッシュできます。
show uauth コマンドの出力では、認証および許可の目的で許可サーバに提供されたユーザ名、およびユーザ名がバインドされているIPアドレスが表示されます。また、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかが表示されます。
(注) 通常、Xauthがイネーブルである場合、クライアントに割り当てられているIPアドレスのエントリがuauthテーブルに追加されます(clear uauthコマンドを参照)。ただし、ネットワーク拡張モードでEasy VPN Remote機能とともにXauthを使用する場合、ネットワーク間にIPSecトンネルが作成されるため、ファイアウォールの背後のユーザをIPアドレスに関連付けることができません。したがって、Xauthの完了時にuauthエントリが作成されません。AAA許可またはアカウンティング サービスが必要な場合は、AAA認証プロキシをイネーブルにして、ファイアウォールの背後のユーザを認証できます。AAA認証プロキシの詳細は、aaaコマンドを参照してください。
ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての許可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。
保留されているURLブロック バッファと長いURLサポート使用カウンタをクリアするには、 clear url-block コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、保留されているURLブロック バッファと長いURLサポート使用カウンタをクリアする例を示します。
URLキャッシュをディセーブルにするには、 clear url-cache コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションからURLフィルタ サーバを削除するには、 clear url-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションからURLフィルタ サーバを削除する例を示します。
ユーザ認証ローカル データベースからユーザ名を削除するには、 clear username コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ユーザ認証ローカル データベースからユーザ名を削除する例を示します。
コンフィギュレーションから認証仮想サーバを削除するには、 clear virtual コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーションから認証仮想サーバを削除する例を示します。
フラッシュ メモリに保存されているEasy VPN Remote設定とセキュリティ ポリシーをクリアするには、 clear vpngroup コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次の例では、フラッシュ メモリに保存されているEasy VPN Remote設定とセキュリティ ポリシーをクリアします。
現在の変換および接続スロット情報をクリアするには、 clear xlate コマンドを使用します。
clear xlate [ global | local ip1 [ - ip2 ] [ netmask mask ]] { gport | lport port1 [ - port2 ]]
[ interface if1 [ , if2 ]] [ state static [ ,portmap ] [ ,norandomseq ] [ ,identity ]] [ debug ] [ count ]
(任意)ネットワーク マスクを使用してIPアドレスを限定し、グローバルIPアドレスまたはローカルIPアドレス別にアクティブな変換を表示します。 |
|
(任意)アクティブな変換をローカルおよびグローバルのポート指定別に表示します。有効なポート リテラル名のリストは、 Appendix B, “ポートとプロトコルの値,” の「ポート値の指定」の項を参照してください。 |
|
(任意)アクティブな変換を状態別にクリアします。有効値は、スタティック変換(static)、dump(クリーンアップ)、PAT global(portmap)、norandomseq設定でのnatまたはstatic変換(norandomseq)、nat 0の使用、またはID機能(identity)です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear xlate コマンドは、変換スロットの内容をクリアします(「xlate」は変換スロットの意味)。コンフィギュレーション内で aaa-server 、 access-list 、alias、global、nat、route、またはstaticコマンドを追加、変更、または削除した後には、必ずclear xlateコマンドを使用します。
サマリー ルート コスト計算で使用する方式をRFC 1583に戻すには、compatible rfc1583サブコマンドを使用します。RFC 1583の互換性をディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Open Shortest Path First(OSPF)プロトコルは、Routing Information Protocol(RIP)の代わりに使用されます。OSPFとRIPの両方を同時に使用するようにFWSMを設定しないでください。
compatible rfc1583 コマンドは router ospf コマンドのサブコマンドです。 router ospf コマンドは、FWSM上で稼働しているOSPFルーティング プロセスのグローバル コンフィギュレーション コマンドです。compatible rfc1583 コマンド は、OSPFコンフィギュレーション コマンドすべてのメイン コマンドです。
show ip ospf コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。
compatible rfc1583サブコマンドは、 no compatible rfc1583サブコマンドによってディセーブルになった場合だけコンフィギュレーションに表示され、そのときの内容は「no compatible rfc1583」となります。
次の例では、サマリー ルート コスト計算で使用する方式をRFC 1583に戻します。
端末、フラッシュ メモリ、またはネットワークから設定を行うには、 configure コマンドを使用します。コンフィギュレーションを削除するには、 clear configure コマンドを使用します。
configure net [[ tftp_ip ] : [ filename ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
設定は、端末、フラッシュ メモリ、またはネットワークから行うことができます。新しいコンフィギュレーションは、アクティブなコンフィギュレーションにマージされます。
configuration コマンドを使用するには、イネーブル モードにする必要があります。 configure
terminal ( config t )コマンドは例外で、イネーブル モードからコンフィギュレーション モードを開始できます。設定モードはquitコマンドで終了できます。設定モードを終了したら、 write memory コマンドを使用して変更内容をフラッシュ メモリに保存するか、 write floppy を使用してコンフィギュレーションをディスクに保存します。
フラッシュ メモリ( configure memory を使用)およびTFTP転送(configure netを使用)から取得する各コマンドは、次の規則に従って読み込まれて評価されます。
• フラッシュ メモリまたはディスク内のコマンドに、現在のコンフィギュレーションの既存コマンドとまったく同じものがある場合、そのコマンドは無視されます。
• フラッシュ メモリまたはディスク内のコマンドが、既存コマンドの追加インスタンスである場合、現在のコンフィギュレーションにそれらのコマンドが両方とも反映されます。
• コマンドが既存コマンドを再定義している場合は、ディスクまたはフラッシュ メモリ内のコマンドによって、RAMにある現在のコンフィギュレーションのコマンドが上書きされます。たとえば、現在のコンフィギュレーションに hostname ram コマンドがあって、ディスクに hostname floppy コマンドがある場合、コンフィギュレーションのコマンドは hostname floppy になり、ディスクからこのコマンドが読み込まれると、新しいホスト名を反映するようにコマンドライン プロンプトが変更されます。
tftp-server コマンドで filename を指定する場合は、configureコマンド内で指定せずに、コロン( : )だけを使用します。
configure net コマンドに関する注意事項は、次のとおりです。
• configure net コマンドを使用すると、現在の実行コンフィギュレーションに、指定されたIPアドレスおよびファイル名で保存されているTFTPコンフィギュレーションをマージできます。IPアドレスとパス名の両方を tftp-server コマンドで指定する場合は、 server_ip : filename をコロン( : )で指定できます。たとえば、 configure net : と指定できます。
• コンフィギュレーションをファイルに保存するには、 write net コマンドを使用します。
• TFTPサーバにすでにFWSMコンフィギュレーションがある場合、サイズの小さいコンフィギュレーションを同じファイル名でTFTPサーバに保存すると、一部のTFTPサーバでは、元のコンフィギュレーションの一部が最初の「:end」マークの後に残されることがあります。 configure net コマンドは最初の「:end」マークに到達した時点で読み込みを停止するため、残された部分がFWSMに影響を及ぼすことはありません。Cisco TFTP Serverバージョン1.1(Windows NT版)を使用すると、この現象は発生しません。
(注) 多くのTFTPサーバでは、コンフィギュレーション ファイルを誰でもアクセスして読み取れる状態にしておく必要があります。
configure memory コマンドを使用すると、フラッシュ メモリ内のコンフィギュレーションをRAM内の現在のコンフィギュレーションにマージできます。
次の例は、TFTPで取得したコンフィギュレーションを使用してFWSMを設定する方法を示しています。
FWSMのコンフィギュレーション ファイルは、TFTPサーバ10.1.1.1のtftp/configフォルダに保存されています。
次の例は、フラッシュ メモリに保存されているコンフィギュレーションを使用してFWSMを設定する方法を示しています。
enable コマンドを使用してイネーブル モードに切り替え、 configure terminal コマンドを使用してコンフィギュレーション モードに切り替えます。 write terminal コマンドで現在のコンフィギュレーションを表示し、 write memory コマンドを使用してコンフィギュレーションをフラッシュ メモリに保存します。
>
enable
password:
configure terminal
: Saved
FWSM以外のプラットフォームで configure factory-default コマンドを入力すると、FWSMは「not supported」というエラー メッセージを表示します。FWSMでは次のメッセージが表示されます。
FWSMがコンテキスト ファイルをダウンロードするURLを設定するには、 config-url コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
config-url コマンドを使用する前に、 allocate-interface(コンテキスト サブモード) コマンドを入力します。FWSMでは、コンテキストのコンフィギュレーションを読み込む前にVLANインターフェイスをコンテキストに割り当てる必要があります。コンテキストのコンフィギュレーションには、インターフェイスに関するコマンド( nameif 、 nat 、 global など)が含まれる場合があります。最初に config-url コマンドを入力すると、FWSMはコンテキストのコンフィギュレーションをただちに読み込みます。コンテキストにインターフェイスに関連するコマンドが含まれている場合、これらのコマンドは機能しません。
コンテキストのURLを追加すると、FWSMはただちにコンテキストをロードして、実行します。URLの構文は、次のとおりです。
コンテキストは、TFTPまたはFTPサーバ、HTTPまたはHTTPSサーバ、あるいはローカル ディスク( ディスク という)からダウンロードできます。ディスクは、操作可能なファイル システム(および関連コマンド)を使用するフラッシュ メモリの64 MBパーティションです。このディスク パーティションは、コンテキストの保存にのみ使用されます。スタートアップ コンフィギュレーション(マルチプル セキュリティ コンテキスト モードではシステム コンフィギュレーション)およびソフトウェア イメージは、フラッシュ メモリ内にあります。フラッシュ メモリ(フラッシュという)は、FWSMのフラッシュ ファイル システムを使用します。
URLは、管理者コンテキストからアクセスできる必要があります。また、管理者コンテキスト ファイルはディスク上に保管されている必要があります。
ファイル名にファイルの拡張子を使用することは必須ではありませんが、「.cfg」を使用してください。
サーバが使用できないために、FWSMがコンテキストのコンフィギュレーション ファイルを取得できない場合、またはファイルが存在しない場合には、FWSMは空のコンテキストを作成します。空のコンテキストは、CLI(コマンドライン インターフェイス)を使用してすぐに設定できます。
コンテキストのURLを変更するには、新しいURLを使用して config-url コマンドを再入力します。ただし、新しいコンフィギュレーションは既存のコンフィギュレーションを上書きしません。FWSMは2つのコンフィギュレーションをマージします。マージすると、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じである場合、変更は行われません。実行コンフィギュレーションが空の場合(たとえば、サーバが使用できなかった場合やコンフィギュレーションがダウンロードされなかった場合)には、新しいコンフィギュレーションが使用されます。
次に、コンソールのタイムアウトを15分に設定する例を示します。
allocate-interface(コンテキスト サブモード)
config-url(コンテキスト サブモード)
member(コンテキスト サブモード)
コンテキストを作成して、コンテキスト サブモードを開始するには、 context コマンドを使用します。実行コンフィギュレーションからコンテキストを削除して、システム コンフィギュレーションからコンテキストのエントリを削除するには、 clear context コマンドを使用します。コンテキストを1つ削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
admin-context コマンドを使用して最初のコンテキストを作成するまで、どのコンテキスト コマンドも使用できません。 context コマンドを使用して、現在の管理者コンテキストを削除することはできません。詳細については、 admin-context コマンドの項を参照してください。管理者コンテキストの名前は16文字までに制限されています。この名前は、URLで指定されているファイル名と一致する必要はありません。
コンテキスト サブモードを開始すると、次のコマンドが使用できるようになります。
• allocate-interface ― コンテキストに割り当てるインターフェイスを指定します。
• member ― コンテキストのクラス メンバーシップを指定します。
admin-context
allocate-interface(コンテキスト サブモード)
changeto
class
clear context
config-url(コンテキスト サブモード)
description(サブモード)
member(コンテキスト サブモード)
show context
TFTPサーバにキャッシュ ファイルをコピーするには、 copy capture コマンドを使用します。
copy capture: capture_name tftp://server/ pathname [pcap]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMは、ルーティング テーブル情報を使用して tftp_pathname 引数で指定した場所に到達する方法を把握する必要があります。この情報は、コンフィギュレーションに応じて ip address コマンド、 route コマンド、またはRIPによって決定されます。 tftp_pathname には、サーバ上のファイルへのパスの最終コンポーネントのほか、任意のディレクトリ名を指定できます。
pathname には、サーバ上のファイルへのパスの最終コンポーネントのほか、任意のディレクトリ名を指定できます。パス名にスペースを入れることはできません。ディレクトリ名にスペースが含まれている場合は、 copy tftp flash コマンドでディレクトリを指定するのではなく、TFTPサーバにディレクトリを設定してください。
(注) この機能を使用して、バージョン2.2より前のイメージを取得することはできません。
次の例は、フルパスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトを示しています。
TFTPサーバが設定されている場合は、次のようにファイルの位置や名前を省略できます。
次の例は、事前に設定したTFTPサーバのデフォルト値を copy capture コマンドで使用する方法を示しています。
cd
clear flashfs
copy disk
copy flash
copy http(s)
copy running-config/copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
show http
copy capture
show startup-config
show tftp-server
TFTPサーバのディスク パーティションから、ディスク パーティションの別の場所、フラッシュ メモリ、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy disk コマンドを使用します。
copy [ /noconfirm ] disk: [ path ] tftp [ : [[//server][/ pathname ]]]
copy [ /noconfirm ] disk:[ path ] disk:[ path ]
copy [ /noconfirm ] disk:[ path ] [flash:[image | pdm]
copy [ /noconfirm ] disk:[ path ] [startup-config | running-config]
copy [ /noconfirm ] disk:[ path ] ftp: //[user[ : password]@] server [ pathname ] [ ;type= xx ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上のフラッシュにイメージをコピーした場合、再起動するまでこのイメージは使用できません。ダウンロードされたPDMイメージ ファイルは、再起動しなくてもFWSMですぐに使用できます。ファイルを起動パーティションにコピーする場合、再起動するか、または copy start run コマンドを使用する必要があります。 : (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。
次に、ディスクからTFTPサーバにファイルをコピーする例を示します。
次に、ディス上のある場所から別の場所にファイルをコピーする例を示します。コピー先のファイル名は、コピー元のファイル名でも、別のファイル名でも構いません。
次に、ディスクからフラッシュ メモリにイメージまたはFDMファイルをコピーする例を示します。
次に、ディスクからスタートアップ コンフィギュレーションまたは実行コンフィギュレーションにファイルをコピーする例を示します。
cd
clear flashfs
copy capture
copy flash
copy http(s)
copy running-config/copy startup-config
copy tftp
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
TFTPサーバのフラッシュ メモリから、ディスク パーティション、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy flash コマンドを使用します。
copy flash[: [image | pdm]] tftp [ : [[//server][/ pathname ]]]
copy [/noconfirm] flash:[image | pdm]] disk:[ path ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フラッシュ メモリからTFTPサーバにイメージまたはFDMファイルをコピーする例を示します。
次に、フラッシュ メモリからディスクにイメージまたはFDMファイルをコピーする例を示します。
cd
clear flashfs
copy capture
copy http(s)
copy running-config/copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
TFTPサーバのフラッシュ メモリから、ディスク パーティション、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy flash コマンドを使用します。
copy ftp:// [ user [ : password ]@] location / pathname [ ;type =< xx >] [ startup-config running-config ]
copy [/noconfirm] ftp:// [ user [ : password ]@] location / pathname [ ;type =< xx >] [ startup-config running-config ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ディスクからスタートアップ コンフィギュレーションまたは実行コンフィギュレーションにファイルをコピーする例を示します。
cd
clear flashfs
copy capture
copy http(s)
copy running-config/copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
HTTPSサーバからファイルをコピーするには、 copy http [ s ] コマンドを使用します。
copy http [ s ] :// [ user : password@ ] server [ : port ]/ pathname flash: [ image | pdm ]
copy [/noconfirm] http[s] : //[ user : password @] location [ :port ]/ pathname disk: [pathname]
copy http[s]://[user : password @] server [ : port ]/ pathname {startup-config | running-config}
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドのサポートが変更され、FWSM上のディスク、スタートアップ コンフィギュレーション、および実行コンフィギュレーションが追加されました。 |
次の例は、FWSMソフトウェア イメージをパブリックHTTPサーバからコピーして、FWSMのフラッシュ メモリに格納する方法を示しています。
次の例は、HTTPS(SSLを利用するHTTP)を使用してFDMソフトウェア イメージをコピーする方法を示しています。SSL認証用に、ユーザ名「alice」とパスワード「xyz」を指定しています。
次の例は、標準以外のポートを使用するHTTPSサーバからFWSMソフトウェア イメージをダウンロードする方法を示しています。デフォルトでは、ファイルは標準のポートを使用してフラッシュ メモリのソフトウェア イメージ領域にコピーされます。
(注) URLに「?」の文字を入力する場合、最初にCtrl-vを押します。
cd
clear flashfs
copy capture
copy disk
copy flash
copy ftp
copy running-config/copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
実行コンフィギュレーションまたはスタートアップ コンフィギュレーションをTFTPサーバまたはFTPサーバからディスク パーティションへコピーするには、 copy running-config または copy startup-config コマンドを使用します。
copy running-config startup-config
copy startup-config running-config
copy [ startup-config | running-config ] tftp [ : [[ // location ][ / pathname ]]]
copy [ /noconfirm ] [ startup-config | running-config] disk: [ path ]
copy [ startup-config | running-config] ftp: // [ user [ : password ] @ ] location / pathname [ ;type=<xx> ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、実行コンフィギュレーションをスタートアップ コンフィギュレーション ファイルにコピーする例を示します。
次に、実行コンフィギュレーション ファイルをTFTPサーバにコピーする例を示します。
次に、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションをディスクにコピーする例を示します。
次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーする例を示します。
次に、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションをTFTPサーバにコピーする例を示します。
cd
clear flashfs
copy capture
copy disk
copy flash
copy ftp
copy http(s)
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
フラッシュ メモリのソフトウェア イメージをTFTPで監視モードを使用せずにダウンロードするには、 copy tftp コマンドを使用します。
copy tftp: [ // location ][ / pathname ] flash: [ image ][ pdm ]
copy[ /noconfirm] tftp[ : [// location ][/ pathname ]] disk:[ path ]
copy tftp : [//server][/ pathname ] {startup-config | running-config}
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ディスク オプション、スタートアップ コンフィギュレーション オプション、および実行コンフィギュレーション オプションに対するサポートが追加されました。 |
copy tftp flash コマンドを使用すると、PDMソフトウェア イメージをTFTPでダウンロードできます。 : (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。
tftp キーワードまたは pathname オプション引数を指定せずにこのコマンドを使用した場合、サーバのアドレスおよびファイル名を求めるプロンプトが表示されます。
pathname には、サーバ上のファイルへのパスの最終コンポーネントと任意のディレクトリ名を指定できます。 pathname にスペースを入れることはできません。
イメージのダウンロード元となるシステム上のディレクトリを示すようにTFTPサーバを設定する場合、コマンドに指定する必要があるのは、システムのIPアドレスとイメージのファイル名だけです。
次に、TFTPサーバによるダウンロードが開始される前に、FWSMでファイル名とサーバを問い合わせるプロンプトを表示される例を示します。
次の例では、 name コマンドでIPアドレスをTFTPホスト名にマップして、 location 引数に対して tftp-host キーワードを使用します。
次に、TFTPサーバからディスクにファイルをコピーする例を示します。ファイルが使用可能なスペースに納まらない場合、エラー メッセージが出力されます。
cd
clear flashfs
copy capture
copy disk
copy flash
copy ftp
copy http(s)
copy running-config/copy startup-config
dir
format
mkdir
more
pwd
rename
rmdir
show disk
show file
show flashfs
copy capture
show startup-config
show tftp-server
FWSMを強制的にクラッシュするには、 crashdump コマンドを使用します。
crashdump force [ page-fault | watchdog ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
crashdump force page-fault コマンドは、ページ フォールトを利用してFWSMをクラッシュします。
crashdump force watchdog コマンドは、ウォッチドッグを利用してFWSMをクラッシュします。クラッシュ出力では、本物のクラッシュと crashdump force page-fault コマンドまたは crashdump force watchdog コマンドによって発生したクラッシュは区別できません。これは、コマンドによって実際にクラッシュが発生しているためです。FWSMは、クラッシュのダンプが完了するとリロードします。
crashdump force page-fault コマンドを入力すると、次のような警告プロンプトが表示されます。
キーボードのReturnキーまたはEnterキーを押してCR(復帰)を入力するか、「Y」キーまたは「y」キーを押すと、FWSMがクラッシュしてリロードが実行されます。これらの3つのキー入力は、処理に同意したものと解釈されます。その他の文字はすべて「no」と解釈され、FWSMは設定モードのコマンドライン プロンプトに戻ります。
ダイナミック暗号マップ エントリを作成して、crypto dynamic mapサブコマンド モードを開始するには、 crypto dynamic-map コマンドを使用します。ダイナミック暗号マップ セットまたはエントリを削除するには、このコマンドの no 形式を使用します。
[no] crypto dynamic-map map seq
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
詳しいヘルプについては、適切なモードでCLIサブコマンド( ca ? または help ca など)を直接参照してください。
(注) crypto dynamic-mapのサブコマンドについては、crypto map clientコマンドの項で説明しています。ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションでPerfect Forward Secrecy(PFS)が指定されている場合、ピアはPFS交換を実行する必要があります。実行しない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでグループが指定されていない場合は、デフォルトのgroup1が指定されているものとみなされ、group1またはgroup2のオファーが受け入れられます。ローカル コンフィギュレーションでgroup2が指定されている場合は、そのグループがピアのオファーに含まれている必要があります。含まれていない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでPFSが指定されていない場合は、ピアからのPFSのオファーがすべて受け入れられます。
crypto dynamic-map のサブコマンドは、次のとおりです。
• match address access_list_name ― crypto map set peer コマンドを参照
• set peer ip-address ― crypto map set peer コマンドを参照
• set pfs [ group1 | group2 ] ― crypto map set pfs コマンドを参照
• set security-association lifetime seconds seconds | kilobytes kilobytes ― crypto map set security-association lifetime コマンドを参照
• set transform-set proposal [ proposal ...]| ― crypto map set transform-set コマンドを参照
(注) crypto map set transform-setコマンドは、ダイナミック暗号マップ エントリを使用する場合に必須となるコマンドです。
crypto dynamic-map コマンドを使用すると、ダイナミック暗号マップ エントリを作成できます。 no crypto dynamic-map コマンドは、ダイナミック暗号マップ セットまたはダイナミック暗号マップ エントリを削除します。 clear crypto dynamic-map は、 crypto dynamic map コマンドをすべて削除します。既存のダイナミック暗号マップの名前を指定すると、それに対応する crypto dynamic map コマンドが削除されます。ダイナミック暗号マップのシーケンス番号を指定して、それに対応する crypto dynamic map コマンドをすべて削除することもできます。 show crypto engine コマンドを使用すると、ダイナミック暗号マップ セットを表示できます。
ダイナミック暗号マップは、新しいセキュリティ アソシエーションを求めるリモートIPSecピアからのネゴシエーション要求を処理するときに使用される、ポリシー テンプレートです。ピアとの通信に必要な暗号マップ パラメータ(ピアのIPアドレスなど)がすべて判明していなくても要求を処理できます。たとえば、ネットワークにあるリモートIPSecピアをすべて把握していなくても、ダイナミック暗号マップを利用することで、新しいセキュリティ アソシエーションを求める未知のピアからの要求に対応できます(ただし、これらの要求はInternet Key Exchange [IKE]認証が正常に完了するまでは処理されない)。
FWSMがIKEを通じてほかのピアからのネゴシエーション要求を受信すると、FWSMはその要求が暗号マップ エントリと一致するかどうかを検査します。ネゴシエーションがどの明示的暗号マップ エントリとも一致しない場合は、暗号マップ セットにダイナミック暗号マップへの参照が含まれていない限り、要求が拒否されます。
ダイナミック暗号マップは、ダイナミック暗号マップ エントリ内で明示的に記述されていないパラメータについては「ワイルドカード」パラメータを受け入れます。このため、未知のピアとのIPSecセキュリティ アソシエーションをセットアップできます(ただし、このピアが、IPSecセキュリティ アソシエーションのネゴシエーション用の「ワイルドカード」パラメータと一致する値を指定する必要があることには変わらない)。
FWSMがピアの要求を受け入れると、新しいIPSecセキュリティ アソシエーションが作成されると同時に、一時的な暗号マップ エントリも作成されます。このエントリには、ネゴシエーションの結果が格納されます。FWSMは、この一時暗号マップ エントリを通常のエントリとして使用し、通常の処理を実行します。現在のセキュリティ アソシエーションの有効期限が切れそうになると、(一時暗号マップ エントリで指定されているポリシーに基づいて)新しいセキュリティ アソシエーションを要求します。フローの有効期限が切れると(つまり、対応するすべてのセキュリティ アソシエーションの有効期限が切れると)、一時暗号マップ エントリは削除されます。
crypto dynamic-mapコマンドは、トラフィックを保護する必要があるかどうかを判定するために使用されます。 crypto dynamic-mapコマンドで指定必須となるキーワードは、 set transform-set だけです。ほかのパラメータはすべて省略できます。
暗号マップ エントリmymap 30は、ダイナミック暗号マップ セットmydynamicmapを参照しています。このセットは、mymapエントリの10または20のどちらにも一致しない受信セキュリティ アソシエーション ネゴシエーション要求の処理に使用されるものです。このとき、アクセス リスト103で「許可」されているフローに対して、mydynamicmap で指定されているいずれかのトランスフォーム セットに一致するトランスフォーム セットをピアが指定している場合は、そのピアが未知のものであってもIPSecは要求を受け入れて、リモート ピアとのセキュリティ アソシエーションをセットアップします。要求が受け入れられた場合は、リモート ピアの指定する設定値に基づいて、セキュリティ アソシエーション(および一時暗号マップ エントリ)が確立されます。
mydynamicmap 10に関連付けられているアクセス リストもフィルタとして使用されます。このリストのpermitエントリに一致する受信パケットは、IPSecで保護されていないため廃棄されます(スタティック暗号マップ エントリに関連付けられているアクセス リストも同様に使用されます)。permitエントリに一致していて、かつ対応する既存IPSecセキュリティ アソシエーションがない送信パケットも廃棄されます。
clear crypto dynamic-map
show crypto map
IPSecセキュリティ アソシエーションのネゴシエート時に使用されるグローバル ライフタイムを設定するには、 crypto ipsec security-association lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
[no] crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }
所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してIPSecピア間を通過できるトラフィックの量をKB単位で指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
詳しいヘルプについては、適切なモードでCLIサブコマンド( ca ? または help ca など)を直接参照してください。
Known Answer Test(KAT)を実行するには、 show crypto engine verify コマンドの項を参照してください。
IPSecセキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。
個々の暗号マップ エントリでライフタイム値が設定されていない場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、FWSMは、ピアへの要求の中でグローバル ライフタイム値を指定します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。FWSMは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。
ライフタイムには、期間を指定するものとトラフィック量を指定するものの2つがあります。セキュリティ アソシエーションは、いずれかのライフタイムに到達した時点で期限切れになります。
グローバル ライフタイムを変更する場合、変更が適用されるのは、暗号マップ エントリでライフタイム値が指定されていないときだけです。既存のセキュリティ アソシエーションには適用されません。ただし、新しいセキュリティ アソシエーションを確立するための以降のネゴシエーションでは使用されます。新しい設定値をすぐに適用する場合は、 clear crypto ipsec sa コマンドを使用して、セキュリティ アソシエーション データベースの一部または全部を消去します。
グローバル期間ライフタイムを変更するには、 crypto ipsec security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用する場合は、指定した秒数が経過した時点でセキュリティ アソシエーションがタイムアウトします。
グローバル トラフィック量ライフタイムを変更するには、 crypto ipsec security-association lifetime kilobytes コマンドを使用します。トラフィック量ライフタイムを使用する場合は、指定した量のトラフィック(KB単位)がセキュリティ アソシエーションの鍵によって保護された時点で、セキュリティ アソシエーションがタイムアウトします。
ライフタイムを短くするほど、攻撃者が鍵再現攻撃を成功させることが困難になります。これは、攻撃者が使用できる同じ鍵で暗号化されたデータの量が少なくなるためです。ただし、ライフタイムを短くするほど、新しいセキュリティ アソシエーションの確立に要するCPU処理時間が長くなります。ライフタイム値は、手作業で確立したセキュリティ アソシエーション( ipsec-manual crypto map コマンドを入力して確立したセキュリティ アソシエーション)の場合は無視されます。
セキュリティ アソシエーション(およびそれに対応する鍵)は、 seconds キーワードで指定した秒数または kilobytes キーワードで指定したトラフィック量のうち、どちらかを超えた時点で有効期限が切れます。
既存のセキュリティ アソシエーションのライフタイムしきい値に到達する前に、新しいセキュリティ アソシエーションがネゴシエートされます。このため、古いセキュリティ アソシエーションの有効期限が切れる前に、新しいセキュリティ アソシエーションが使用できるようになります。新しいセキュリティ アソシエーションがネゴシエートされるのは、秒数ライフタイムの有効期限が切れる30秒前、またはトンネルを通過したトラフィック量とkilobytesライフタイムとの差が256 KB未満となった時点(どちらか最初に到達した方)です。
セキュリティ アソシエーションのライフタイム内にトンネルを通過するトラフィックがまったくなかった場合は、ライフタイムの有効期限が過ぎても新しいセキュリティ アソシエーションはネゴシエートされません。新しいセキュリティ アソシエーションがネゴシエートされるのは、保護する必要のある別のパケットをIPSecが検出したときになります。
次の例では、IPSec SAのライフタイムを短縮します。タイムアウト ライフタイムを2700秒(45分)に短縮し、トラフィック量ライフタイムを2,304,000 KB(10 Mbpsで30分)に短縮します。
トランスフォーム セットの作成および設定を行うには、 crypto ipsec transform-set コマンドを使用します。トランスフォーム セットを削除するか、またはデフォルトのトランスフォーム セットに戻すには、このコマンドの no 形式を使用します。
[no] crypto ipsec transform-set transform-set-name {{ transform1 [ transform2 [ transform3 ]]} | mode transport }
crypto ipsec transform-set transform-set-name [ ah-md5-hmac | ah-sha-hmac ] [ esp-aes | esp-aes-192 | esp-aes-256 | esp-des | esp-3des | esp-null ] [ esp-md5-hmac | esp-sha-hmac ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
トランスフォームは、IPSecのセキュリティ プロトコルとアルゴリズムを定義します。各トランスフォームは、IPSecセキュリティ プロトコル(Encapsulating Security Payload[ESP]またはAuthenticating Header[AH]、あるいはその両方)および使用するアルゴリズムを表します。
Windows 2000 Layer 2 Tunneling Protocol(L2TP)/IPSecクライアントはIPSecトランスポート モードを使用するため、トランスフォーム セットのモードにはtransportを選択する必要があります。FWSMバージョン1.1以降では、IPSecトランスポート モードを使用できるプロトコルはL2TPだけです。IPSecトランスポート モードを使用するその他のタイプのパケットは、FWSMによってすべて廃棄されます。
(注) トランスポート モードのトランスフォームを使用できるのは、dynamic暗号マップに対してだけです。トランスポート モードのトランスフォームをstatic暗号マップに関連付けようとすると、FWSMのCLIにエラーが表示されます。
トランスフォーム セットに対しては自動的にトンネル モードがイネーブルになるため、トンネル モードを使用する場合には、明示的に mode を設定する必要はありません。
トランスフォーム セットは、IPSecセキュリティ プロトコル(ESPまたはAH、あるいはその両方)を1つまたは2つ指定し、そのセキュリティ プロトコルで使用するアルゴリズムを指定します。特定のデータ フローを保護する場合、ピアは、IPSecセキュリティ アソシエーションのネゴシエート中に特定のトランスフォーム セットの使用に同意します。
IPSecメッセージを保護するには、128ビット鍵、192ビット鍵、または256ビット鍵のAESを使用するトランスフォーム セットを使用します。
次の例では、AES 192ビット鍵のトランスフォームを使用しています。
(注) AESは、VPN-3DESのライセンスがあるFWSMに限りサポートされます。
AESによって提供される鍵のサイズは非常に大きいため、ISAKMPネゴシエーションでは、Diffie-Hellmanグループ1またはグループ2ではなくグループ5を使用する必要があります。グループ5を使用するには、 isakmp policy priority group 5 コマンドを使用します。
トランスフォーム セットを複数設定して、暗号マップ エントリでそれらのトランスフォーム セットを1つまたは複数指定することもできます。暗号マップ エントリで定義したトランスフォーム セットは、その暗号マップ エントリのアクセス リストで指定されているデータ フローを保護するためのIPSecセキュリティ アソシエーションのネゴシエーションで使用されます。ネゴシエート中、2つのピアは、両方のピアで一致しているトランスフォーム セットがあるかどうかを検索します。このようなトランスフォーム セットが見つかった場合は、そのトランスフォーム セットが選択され、両方のピアのIPSecセキュリティ アソシエーションの一部として、保護対象のトラフィックに適用されます。
セキュリティ アソシエーションを手作業で確立した場合は、トランスフォーム セットを1つ使用する必要があります。トランスフォーム セットはネゴシエートされません。
トランスフォーム セットを暗号マップ エントリに含めるには、 crypto ipsec transform-set コマンドを使用して、そのセットを事前に定義しておく必要があります。
トランスフォーム セットを定義するには、1~3個の「トランスフォーム」を指定します。それぞれのトランスフォームは、使用するIPSecセキュリティ プロトコル(ESPまたはAH)とアルゴリズムを表します。IPSecセキュリティ アソシエーションのネゴシエート中に特定のトランスフォーム セットを使用するときは、トランスフォーム セット全体(プロトコル、アルゴリズム、およびその他の設定値の組み合わせ)が、リモート ピアのトランスフォーム セットと一致する必要があります。
トランスフォーム セットでは、AHプロトコルまたはESPプロトコルを指定できます。トランスフォーム セットでESPプロトコルを指定する場合は、ESP暗号化トランスフォームのみ、またはESP暗号化トランスフォームとESP認証トランスフォームの両方を指定できます。
• ah-sha-hmac および esp-des および esp-sha-hmac
既存のトランスフォーム セットに対して、 crypto ipsec transform-set コマンドで1つまたはそれ以上のトランスフォームを指定すると、指定したトランスフォームによってそのトランスフォーム セットのトランスフォームが置き換えられます。
トランスフォーム セットの定義を変更する場合、変更内容が適用されるのは、そのトランスフォーム セットを参照している暗号マップ エントリだけです。既存のセキュリティ アソシエーションには適用されません。ただし、新しいセキュリティ アソシエーションを確立するための以降のネゴシエーションでは使用されます。新しい設定値をすぐに適用する場合は、 clear crypto ipsec sa コマンドを使用して、セキュリティ アソシエーション データベースの一部または全部を消去します。
次の例では、トランスフォーム セットを「standard」という名前で1つ定義します。このセットは、ESPプロトコルをサポートするIPSecピアで使用されます。ここでは、ESP暗号化トランスフォームとESP認証トランスフォームの両方を指定しています。
暗号マップ エントリの作成または変更を行うには、 crypto map client コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
crypto map map-name client [token] authentication aaa-server-name
crypto map map-name client authentication aaa-server-name [ LOCAL ]
crypto map map-name client configuration address { initiate | respond }
Internet Key Exchange(IKE)認証中にユーザを認証するAAAサーバの名前。有効値は、 TACACS+ 、 RADIUS 、または LOCAL です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
crypto map client authentication コマンドは、Extended Authentication(Xauth;拡張認証)機能をイネーブルにします。この機能を利用すると、IKE認証中にTACACS+、RADIUS、またはLOCALのユーザ名とパスワードを入力するように求めることができます。この機能を利用するには、まずAAAサーバのコンフィギュレーションを設定する必要があります。次に、 aaa-server コマンドで指定したものと同じAAAサーバ名を crypto map client authentication コマンドで指定します。このコマンドが必要なのは、暗号マップ エントリのトランスフォーム セットにEncapsulation Security Payload(ESP)認証トランスフォームが含まれる場合だけです。
グループ タグ値に LOCAL オプション キーワードを入力して、ローカルのコマンド許可特権レベルなどのローカルのFWSMデータベースAAAサービスを使用できます。LOCALは、2つめの認証方式専用です。 server_tag が aaa-server コンフィギュレーション コマンドで定義された既存の有効なAAA TACACS+またはRADIUSサーバ グループを参照する場合、 authorization コマンドで指定できるのはLOCALオプションだけです。
このコマンドは、FWSMに対して、IKEのフェーズ1でXauth(RADIUS、TACACS+、またはLOCAL)チャレンジを使用してIKEを認証するように指示します。Xauthが失敗した場合、IPSecセキュリティ アソシエーションは確立されず、IKEセキュリティ アソシエーションは削除されます。デフォルト値を復元するには、 no crypto map client authentication コマンドを使用します。Xauth機能はデフォルトでイネーブルになっていません。
(注) Xauthがイネーブルである場合、クライアントに割り当てられているIPアドレスのエントリがuauthテーブルに追加されます(clear uauthコマンドを参照)。ただし、ネットワーク拡張モードでEasy VPN Remote機能とともにXauthを使用する場合、ネットワーク間にIPSecトンネルが作成されるため、FWSMの背後のユーザをIPアドレスに関連付けることができません。このため、Xauthの完了時にuauthエントリが作成されません。AAA許可またはアカウンティング サービスが必要な場合は、AAA認証プロキシをイネーブルにして、FWSMの背後のユーザを認証できます。AAA認証プロキシの詳細は、aaaコマンドを参照してください。
Microsoft L2TP/IPSecクライアントv1.0(Windows NT、Windows XP、Windows 98、およびWindows ME OS上で利用可能)を使用してL2TP/IPSecトンネルを終端している場合、インターフェイス上でXauthおよびIKEモード コンフィギュレーションのどちらもイネーブルにできません。この場合、次のいずれかを実行できます。
• Windows 2000 L2TP/IPSecクライアントを使用します。
• isakmp key keystring address ip-address netmask mask no-xauth no-config-mode コマンドを使用して、XauthおよびIKEモード コンフィギュレーションからL2TPクライアントを除外します。ただし、L2TPクライアントをXauthまたはIKEモード コンフィギュレーションから免除した場合は、すべてのL2TPクライアントを1つのグループとし、同じISAKMP事前共有鍵または証明書を割り当てて、同じ完全修飾ドメイン名を付ける必要があります。
crypto map client token authentication コマンドは、ユーザ認証にトークン ベース サーバを使用するように設定されたCisco VPN 3000クライアントと、FWSMが相互運用できるようにします。キーワード token は、AAAサーバでトークン カード システムを使用し、IKE認証中にユーザに対してユーザ名とパスワードの入力を求めることをFWSMに指示します。デフォルト値を復元するには、 no crypto map client token authentication コマンドを使用します。
(注) リモート ユーザは、Cisco VPNクライアント バージョン3.x、Cisco VPN 3000クライアント バージョン2.5/2.6以降、またはCisco Secure VPNクライアント バージョン1.1以降のいずれかのクライアントを実行している必要があります。
指定できるAAAサーバ オプション キーワードは、TACACS+、RADIUS、またはLOCALです。
LOCAL を指定する場合、ローカル ユーザ証明書データベースが空のときは次の警告メッセージが表示されます。
コマンド内にLOCALがあるときにローカル データベースが空になった場合は、次のメッセージが表示されます。
crypto map client configuration address コマンドを使用すると、FWSM上にIKEモード コンフィギュレーションを設定できます。IKEモード コンフィギュレーションを使用すると、FWSMは、IKEネゴシエーションの一環としてIPアドレスをリモート ピア(クライアント)にダウンロードできるようになります。 crypto map client configuration address コマンドを使用して、ピアを設定するための暗号マップを定義します。
initiate キーワードは、FWSMに対して、各ピアのIPアドレスを設定することを指定します。 respond キーワードは、FWSMに対して、すべての要求元ピアからのIPアドレス要求を受け入れることを指定します。
(注) FWSMでIKEモード コンフィギュレーションを使用する場合は、IPSecトラフィックを処理するルータもIKEモード コンフィギュレーションをサポートしている必要があります。IKEモード コンフィギュレーションは、Cisco IOS Release 12.0(6)T以降でサポートされています。
次の例では、VPN暗号のIPSecに対するIPSec規則を設定しています。 ip 、 nat 、および aaa-server コマンドを使用して、IPSec関連コマンドのコンテキストを確立します。
次に、FWSM上でIKEモード コンフィギュレーションを設定する例を示します。
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
以前に定義した暗号マップ セットをインターフェイスに適用するには、 crypto map interface コマンドを使用します。インターフェイスから暗号マップ セットを削除するには、このコマンドの no 形式を使用します。
[no] crypto map map-name interface interface-name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
crypto map interface コマンドは、暗号マップ セットをアクティブなFWSMインターフェイスに割り当てるために使用します。FWSMでは、任意のアクティブ インターフェイスをIPSecの終端にできます。インターフェイスでIPSecサービスを提供するには、そのインターフェイスにまず暗号マップ セットを割り当てる必要があります。
インターフェイスに割り当てることができる暗号マップ セットは1つだけです。同じ map-name で seq-num が異なる暗号マップ エントリが複数ある場合、それらのエントリは同じセットの一部と見なされ、インターフェイスにすべて適用されます。 seq-num が最も小さい暗号マップ エントリが最高の優先順位を持ち、最初に評価されます。1つの暗号マップには、ipsec-isakmp暗号マップ エントリとipsec-manual暗号マップ エントリを組み合せて含めることができます。
IKEをイネーブルにして、認証局(CA)を使用して証明書を取得する場合、CA証明書で指定されているインターフェイス アドレスを使用してIKEをイネーブルにする必要があります。
次の例では、暗号マップ セット「mymap」を外部インターフェイスに割り当てます。トラフィックがこの外部インターフェイスを通過するときは、トラフィックが「mymap」セット内のすべての暗号マップ エントリを使用して評価されます。「mymap」の暗号マップ エントリの1つに含まれているアクセス リストに送信トラフィックが一致すると、セキュリティ アソシエーションまたは接続がまだ存在しない場合、セキュリティ アソシエーション(IPSecの場合)が確立されます。
crypto map client
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
暗号マップ エントリの作成または変更を行うには、 crypto map ipsec コマンドを使用します。暗号マップ エントリまたは暗号マップ セットを削除するには、このコマンドの no 形式を使用します。
[no] crypto map map-name seq-num { ipsec-isakmp | ipsec-manual } [ dynamic dynamic-map-name ]
キーワードを指定せずに crypto map コマンドを使用すると、デフォルトではipsec-isakmpエントリが作成されます。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
暗号マップ エントリを作成したら、 crypto map interface コマンドを使用して、暗号マップ セットをインターフェイスに割り当てることができます。
暗号マップを使用することで、保護の対象となるトラフィックのフィルタリングまたは分類を行い、そのトラフィックに適用するポリシーを定義できます。最初の機能はインターフェイス上のトラフィック フローが対象となり、2番めの機能はIKEを使用したそのトラフィックのためのネゴシエーションが対象となります。
• 保護されるトラフィックの転送先となるIPSecピア(セキュリティ アソシエーションの確立相手となるピア)
• 保護されるトラフィックに使用できるトランスフォーム セット
• 鍵とセキュリティ アソシエーションの使用方法および管理方法(IKEを使用しない場合は、鍵の種類)
暗号マップ セットは、それぞれ異なる seq-num を持ち、 map-name が共通している暗号マップ エントリの集合です。たとえば、特定のインターフェイスに対して、あるトラフィックには指定されたセキュリティを適用してピアに転送し、その他のトラフィックには別のIPSecセキュリティを適用して同じまたは別のピアに転送します。このような構成をセットアップするには、2つの暗号マップ エントリを作成します。 map-name は同じ名前にし、 seq-num をそれぞれ別の番号にします。
seq-num 引数に割り当てる番号は、任意に決定しないようにしてください。この番号は、暗号マップ セット内に複数の暗号マップ エントリを配置する場合に使用します。暗号マップ セット内では、seq-numの小さい暗号マップ エントリが番号の大きいエントリよりも先に評価されます。つまり、番号の小さいマップ エントリは優先順位が高くなります。
(注) ハブ アンド スポーク型のVirtual Private Network(VPN;仮想私設網)環境で、新しい暗号マップ インスタンスをハブのFWSMに追加し、その暗号マップがFWSMインターフェイスに適用されている場合、暗号ピアまたはACLペアが定義されるまで、FWSMの外部インターフェイスおよびDemilitarized Zone(DMZ;非武装地帯)インターフェイス上のクリア トラフィックがすべて止まり、外部インターフェイスからFWSM装置を管理できなくなります。
この場合には、インターフェイスから暗号マップを削除し、新しい暗号マップ インスタンスを追加して、それをインターフェイスに再度適用します。この際、VPNトラフィックが一時的に停止する場合があります。
ダイナミック暗号マップ エントリを作成する場合は、 crypto dynamic-map コマンドを使用します。ダイナミック暗号マップ セットの作成後に、ダイナミック暗号マップ セットをスタティック暗号マップに追加するには、 crypto map ipsec-isakmp dynamic コマンドを使用します。
ダイナミック暗号マップ セットを参照する暗号マップ エントリに、最も優先順位の低いマップ エントリを付与します。これにより、受信セキュリティ アソシエーション ネゴシエーション要求をスタティック マップと最初に照合できます。要求がどのスタティック マップとも一致しない場合は、エントリをダイナミック マップ セットと照合します。
ダイナミック暗号マップを参照する暗号マップ エントリの優先順位を最も低くするには、暗号マップ セットのすべてのマップ エントリのうち最も大きな seq-num をそのマップ エントリに付与します。
次の例は、IKEを使用してセキュリティ アソシエーションを確立する場合に必要となる、最小限の暗号マップ コンフィギュレーションを示しています。
次の例は、セキュリティ アソシエーションを手作業で確立する場合に必要となる、最小限の暗号マップ コンフィギュレーションを示しています。
次の例では、ダイナミック暗号マップ セットへの参照を含むIPSec暗号マップ セットを設定します。
暗号マップ「mymap 10」は、FWSMと2つのリモートIPSecピア(どちらかまたは両方)との間で、アクセス リスト101に一致するトラフィック用のセキュリティ アソシエーションを確立できるようにします。暗号マップ「mymap 20」は、アクセス リスト102に一致するトラフィック用の2つのトランスフォーム セットのうち、いずれかをピアとネゴシエートできるようにします。
暗号マップ エントリ「mymap 30」は、ダイナミック暗号マップ セット「mydynamicmap」を参照しています。このセットは、「mymap」エントリの10または20のどちらにも一致しない受信セキュリティ アソシエーション ネゴシエーション要求の処理に使用されるものです。このとき、アクセス リスト103で「許可」されているフローに対して、「mydynamicmap」で指定されているいずれかのトランスフォーム セットに一致するトランスフォーム セットをピアが指定している場合は、そのピアが未知のものであってもIPSecは要求を受け入れて、ピアとのセキュリティ アソシエーションをセットアップします。要求が受け入れられた場合は、ピアの指定する設定値に基づいて、セキュリティ アソシエーション(および一時暗号マップ エントリ)が確立されます。
「mydynamicmap 10」に関連付けられているアクセス リストもフィルタとして使用されます。このリストのpermit文に一致する受信パケットは、IPSecで保護されていないため廃棄されます(スタティック暗号マップ エントリに関連付けられているアクセス リストも同様に使用される)。permitエントリに一致していて、かつ対応する既存IPSecセキュリティ アソシエーションがない送信パケットも廃棄されます。
次に示すのは、「mydynamicmap」を使用するコンフィギュレーションの例です。
crypto map client
crypto map interface
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
暗号マップ エントリのIPSecピアを指定するには、 crypto map set peer コマンドを使用します。暗号マップ エントリからIPSecピアを削除するには、このコマンドのno形式を使用します。
[no] crypto map map-name seq-num set peer { hostname | ip-address }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドは、すべてのスタティック暗号マップに対して指定必須となるコマンドです。 crypto dynamic-map コマンドでダイナミック暗号マップ エントリを定義する場合には、このコマンドは必須ではなく、ほとんど使用しません。これは、ピアが不明であるためです。
ipsec-isakmp暗号マップ エントリの場合は、このコマンドを繰り返し入力することで複数のピアを指定できます。パケットの実際の送信先となるピアは、所定のデータ フローについて、FWSMにとってトラフィックまたはネゴシエーション要求の送信元となった最後のピアによって決定されます。最初のピアで試行に失敗した場合、Internet Key Exchange(IKE)は暗号マップ リストの次のピアで再試行します。
ipsec-manual暗号エントリの場合には、指定できるピアは暗号マップごとに1台だけです。ピアを変更する場合は、まず古いピアを削除してから新しいピアを指定する必要があります。
次の例は、IKEを使用してセキュリティ アソシエーションを確立する場合の暗号マップ コンフィギュレーションを示しています。この例では、ピア10.0.0.1またはピア10.0.0.2に対するセキュリティ アソシエーションをセットアップできます。
crypto map client
crypto map interface
crypto map ipsec
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
新しいセキュリティ アソシエーションを要求するときに、または新しいセキュリティ アソシエーションの要求を受信したときに、Perfect Forward Secrecy(PFS)を要求するようにIPSecを設定するには、 crypto map set pfs コマンドを使用します。IPSecがPFSを要求しないことを指定するには、このコマンドの no 形式を使用します。
[no] crypto map map-name seq-num set pfs [ group1 | group2 ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドを使用できるのは、ipsec-isakmp暗号マップ エントリとダイナミック暗号マップ エントリに対してだけです。
PFSを使用すると、新しいセキュリティ アソシエーションをネゴシエートするたびに新しいDiffie-Hellman交換が発生します。この交換によって、処理にかかる時間が長くなります。PFSを使用すると、セキュリティがより向上します。1つの鍵が攻撃者によってクラックされた場合でも、信頼性が損なわれるのはその鍵で送信されたデータだけになるためです。
このコマンドを使用すると、暗号マップ エントリ用の新しいセキュリティ アソシエーションを要求するとき、ネゴシエーションの際にIPSecがPFSを要求します。 set pfs コマンドでグループを指定していない場合は、デフォルト(group1)が送信されます。
ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションでPFSが指定されている場合、ピアはPFS交換を実行する必要があります。ローカル コンフィギュレーションでグループが指定されていない場合は、デフォルトのgroup1が指定されているものと見なされ、group1またはgroup2のオファーが受け入れられます。ローカル コンフィギュレーションでgroup2が指定されている場合は、そのグループがピアのオファーに含まれている必要があります。含まれていない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでPFSが指定されていない場合は、ピアからのPFSのオファーがすべて受け入れられます。
1024ビットのDiffie-Hellmanプライム モジュラス グループgroup2は、group1よりも強固なセキュリティを提供します。ただし、group1の場合よりも多くの処理時間が必要になります。
(注) FWSMを起点とし、1つのリモート ピアを終端とするトンネルをFWSMが数多く保持している場合は、リモート ピアとのInternet Key Exchange(IKE)ネゴシエーションが停止する可能性があります。この問題が発生するのは、PFSをイネーブルにしておらず、ローカル ピアが鍵再生成要求を同時に多数送信しているときです。この問題が発生した場合、IKEセキュリティ アソシエーションは、タイムアウトするか、clear [crypto] isakmp saコマンドを使用して手作業で消去するまで回復しません。FWSM装置に多数のピア宛てのトンネルが多数設定されている場合や、多数のクライアントが同じトンネルを共有している場合には、この問題は発生しません。この問題が発生する可能性のあるコンフィギュレーションの場合は、crypto map mapname seqnum set pfsコマンドを使用してPFSをイネーブルにします。
次の例では、暗号マップ「mymap 10」用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ずPFSを使用することを指定しています。
crypto map client
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
特定の暗号マップ エントリについて、IPSecセキュリティ アソシエーションをネゴシエートするときに使用されるグローバル ライフタイム値を上書きするには、 crypto map set security-association lifetime コマンドを使用します。暗号マップ エントリのライフタイム値をグローバル値にリセットするには、このコマンドの no 形式を使用します。
[no] crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }
鍵およびセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションの鍵で保護されるトラフィック量(KB単位)を指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
暗号マップのセキュリティ アソシエーションは、グローバル ライフタイム値に基づいてネゴシエートされます。
このコマンドを使用できるのは、ipsec-isakmp暗号マップ エントリとダイナミック暗号マップ エントリに対してだけです。
IPSecセキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。
個々の暗号マップ エントリでライフタイム値が設定されている場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、FWSMは、ピアへの要求の中でこの暗号マップ ライフタイム値を利用します。FWSMは、この値を新しいセキュリティ アソシエーションのライフタイムとして使用します。FWSMは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。
ライフタイムには、期間を指定するものとトラフィック量を指定するものの2つがあります。セッション キーとセキュリティ アソシエーションは、いずれかのライフタイムに到達した時点で期限切れになります。
ライフタイムを変更しても、変更した値は既存のセキュリティ アソシエーションには適用されません。変更後の値が使用されるのは、この暗号マップ エントリがサポートするデータ フロー用のセキュリティ アソシエーションを確立するための、後続のネゴシエーション中になります。新しい設定値をすぐに適用する場合は、 clear crypto ipsec sa コマンドを使用して、セキュリティ アソシエーション データベースの一部または全部を消去します。
ライフタイムを短くするほど、攻撃者が鍵再現攻撃を成功させることが困難になります。これは、攻撃者が使用できる同じ鍵で暗号化されたデータの量が少なくなるためです。ただし、ライフタイムを短くするほど、CPU処理時間が長くなります。
ライフタイム値は、手作業で確立したセキュリティ アソシエーション(ipsec-manual暗号マップ エントリを入力して確立したセキュリティ アソシエーション)の場合は無視されます。
次の例では、特定の暗号マップ エントリの期間ライフタイムを短縮しています。デフォルトのままにしておくと、この暗号マップ エントリに属しているセキュリティ アソシエーション用の鍵が攻撃を受けて、信頼性が損なわれる可能性が高くなるためです。トラフィック量ライフタイムは変更しません。これらのセキュリティ アソシエーションに関係するトラフィックは、量が多くないためです。期間ライフタイムを2700秒(45分)に短縮します。
crypto map client
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set session-key
crypto map set transform-set
crypto map set peer
show crypto map
暗号マップ エントリのIPSecセッション キーを手作業で指定するには、 crypto map set session-key コマンドを使用します。暗号マップ エントリからIPSecセッション キーを削除するには、このコマンドの no 形式を使用します。
[no] crypto map map-name seq-num set session-key { inbound | outbound } ah spi hex-key-string
crypto map map-name seq-num set session-key { inbound | outbound } esp spi cipher hex-key-string [ authenticator hex-key-string ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドを使用できるのは、ipsec-manual暗号マップ エントリに対してだけです。
暗号マップのトランスフォーム セットにAHプロトコルが含まれている場合は、受信トラフィックと送信トラフィックの両方について、AH用のIPSecセッション キーを定義する必要があります。暗号マップのトランスフォーム セットにESP暗号プロトコルが含まれている場合は、受信トラフィックと送信トラフィックの両方について、ESP暗号用のIPSecセッション キーを定義する必要があります。暗号マップのトランスフォーム セットにESP認証プロトコルが含まれている場合は、受信トラフィックと送信トラフィックの両方について、ESP認証用のIPSecセッション キーを定義する必要があります。
1つの暗号マップ内に複数のIPSecセッション キーを定義する場合は、すべての鍵に対して同じSecurity Parameter Index(SPI)番号を割り当てることができます。SPIは、暗号マップで使用されるセキュリティ アソシエーションを識別するために使用されます。ただし、すべてのピアでSPIをこのように柔軟に割り当てられるとは限りません。
SPIの割り当てについて、ピアのネットワーク管理者との間で協議が必要になることもあります。同じ宛先アドレスとプロトコルの組み合せに対しては、同じSPIを二度と使用しないようにします。
このコマンドを使用して確立したセキュリティ アソシエーションは、IKEを使用して確立したセキュリティ アソシエーションとは異なり、有効期限切れになりません。
次の例は、手作業で確立したセキュリティ アソシエーション用の暗号マップ エントリを示しています。トランスフォーム セット「t_set」には、AHプロトコルだけが含まれています。
次の例は、手作業で確立したセキュリティ アソシエーション用の暗号マップ エントリを示しています。トランスフォーム セット「someset」には、AHプロトコルとESPプロトコルの両方が含まれています。このため、受信トラフィックと送信トラフィックの両方について、AH用とESP用のセッション キーを設定しています。トランスフォーム セットには、暗号化ESPトランスフォームと認証ESPトランスフォームの両方が含まれています。このため、 cipher キーワードと authenticator キーワードの両方を使用して、2つのトランスフォーム用のセッション キーを作成しています。
crypto map client
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set transform-set
crypto map set peer
show crypto map
優先順にトランスフォーム セットのリストを指定するには、 crypto map set transform-set コマンドを使用します。暗号マップ エントリからすべてのトランスフォーム セットを削除するには、このコマンドの no 形式を使用します。
[no] crypto map set transform-set proposal [ proposal ...]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドは、すべてのスタティック暗号マップ エントリとダイナミック暗号マップ エントリに対して指定必須となるコマンドです。
ipsec-isakmp crypto map エントリの場合には、このコマンドでトランスフォーム セットを6つまで指定できます。優先順位が高いトランスフォーム セットから順に指定してください。
ローカルFWSMがネゴシエーションを開始する場合、トランスフォーム セットは crypto map コマンドで指定した順序でピアに提示されます。ピアがネゴシエーションを開始する場合、ローカルFWSMは、暗号マップ エントリで指定されているトランスフォーム セットのいずれかに最初に一致したトランスフォーム セットを受け入れます。
両方のピアで最初に一致したトランスフォーム セットが、セキュリティ アソシエーションに使用されます。一致するトランスフォーム セットが検出されない場合、IPSecはセキュリティ アソシエーションを確立せず、トラフィックは廃棄されます。
ipsec-manual crypto map コマンドでは、指定できるトランスフォーム セットは1つだけです。このトランスフォーム セットが、リモート ピアの暗号マップにあるトランスフォーム セットと一致しない場合、2台のピアは正常に通信できません。2台のピアが、それぞれ別の規則を使用してトラフィックを処理しているためです。
トランスフォーム セットのリストを変更する場合は、新しいトランスフォーム セット リストを再指定して、古いリストを置き換えます。この変更が適用されるのは、このトランスフォーム セットを参照している crypto map コマンドだけです。既存のセキュリティ アソシエーションには適用されません。ただし、新しいセキュリティ アソシエーションを確立するための以降のネゴシエーションでは使用されます。新しい設定値をすぐに適用する場合は、 clear crypto ipsec sa コマンドを使用して、セキュリティ アソシエーション データベースの一部または全部を消去します。
crypto map コマンド文の中で指定するトランスフォーム セットは、 crypto ipsec transform-set コマンドを使用して事前に定義しておく必要があります。
crypto map client
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set peer
show crypto map
暗号化するパケットの照合アドレスを指定するには、 crypto match address コマンドを使用します。暗号マップ エントリからアクセス リストを削除するには、このコマンドの no 形式を使用します。
[no] crypto match address access_list_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドは、すべてのスタティック暗号マップ エントリに対して指定必須となるコマンドです。 crypto dynamic-map コマンドでダイナミック暗号マップ エントリを定義する場合には、このコマンドは必須ではありませんが、使用することを強く推奨します。
このアクセス リストを定義するには、 access-list extended コマンドを使用します。
このコマンドで指定するアクセス リストは、どのトラフィックがIPSec暗号化による保護の対象となり、どのトラフィックが保護を必要としないかを判定するときに、IPSecによって使用されます(アクセス リストで許可されているトラフィックが保護される。アクセス リストで拒否されるトラフィックは保護されない)。
(注) 暗号化用のアクセス リストは、インターフェイスを通過するトラフィックを許可するかどうかを判定するときには使用されません。このような判定には、access-groupコマンドで作成する、インターフェイスに直接適用されるアクセス リストが使用されます。
このコマンドで指定する暗号化用アクセス リストは、受信トラフィックと送信トラフィックのどちらを評価するときにも使用されます。送信トラフィックは、インターフェイスの暗号マップ エントリで指定されている暗号化用アクセス リストを使用して評価され、暗号化で保護するかどうかが判定されます。保護する場合は、適用する暗号化ポリシーも決定されます。IPSec暗号マップの場合には、permitエントリ内で指定されたデータ フローIDを使用して新しいセキュリティ アソシエーションが確立されます。ダイナミック暗号マップ エントリの場合には、セキュリティ アソシエーションが存在しないときはパケットが廃棄されます。受信トラフィックは、インターフェイスの暗号マップ エントリ セットのエントリで指定されている暗号化用アクセス リストを使用して評価され、暗号化で保護するかどうかが判定されます。保護する場合は、適用する暗号化ポリシーも決定されます(IPSecでは、トラフィックが保護されている必要があるため、保護されないトラフィックは廃棄される)。
アクセス リストは、IPSecセキュリティ アソシエーションの確立対象となるフローを識別するために使用されます。送信トラフィックの場合、permitエントリがデータ フローIDとして使用されます。受信トラフィックの場合は、ピアの指定したデータ フローIDが、暗号化用アクセス リストによって「許可」されている必要があります。
次に、暗号化するパケットの照合アドレスを指定する例を示します。
crypto map client
crypto map interface
crypto map ipsec
crypto map set peer
crypto map set pfs
crypto map set security-association lifetime
crypto map set session-key
crypto map set transform-set
show crypto map
FWSMのトラブルシューティングを行うためのデバッグ機能をイネーブルにするには、dbgコマンドを使用します。デバッグ機能をディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSM上でデバッグ機能をイネーブルにする例を示します。
トラブルシューティングに役立つ情報を得るために、パケットやICMPトレースをデバッグするには、debugコマンドを使用します。デバッグ機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] debug packet interface_name [src s_ip [netmask m ]] [dst d_ip [netmask m ]] [[proto icmp] |
[proto tcp [sport s_p ] [dport d_p ]] [proto udp [sport s_p ] [dport d_p ]] [rx | tx | both]
表 2-5 、 表 2-6 、および 表 2-7 に、 debug コマンドの構文の説明を示します。
|
|
---|---|
|
|
---|---|
Cisco TAPI/JTAPIアプリケーションで使用されるCTI Quick Buffer Encoding(CTIQBE)に関する情報を表示します。 |
|
Internet Locator Service(ILS)のフィックスアップ情報を表示します(LDAPサービスで使用)。 |
|
SCCPプロトコル アクティビティをデバッグします(このコマンドは、トラフィックの多いネットワーク セグメントのパフォーマンスに影響を与える可能性がある)。 |
|
ssh コマンドに関連する情報とエラー メッセージをデバッグします。 |
|
|
|
---|---|
debug aaa [ authentication | authorization | accounting | internal ] |
authentication ― (任意)Network Time Protocol(NTP)クロック認証情報を表示します。 authorization ― (任意)NTPクロック許可情報を表示します。 |
a ll ― 標準およびTurbo ACLの両方の情報を表示します。 |
|
ca ― 認証局(CA)トラフィックに関する情報を表示します。 ipsec ― IPSecトラフィックに関する情報を表示します。 isakmp ― Internet Key Exchange(IKE)トラフィックに関する情報を表示します。 vpnclient ― FWSM EasyVPNクライアントに関する情報を表示します。 level ― (任意)デバッグ フィードバックのレベルを指定します。レベル番号が高くなるほど、多くの情報が表示されます。デフォルトのレベルは1です。各レベルは、次のイベントに対応しています。 |
|
Dynamic Host Configuration Protocol(DHCP)サーバ情報を表示します。 |
|
event ― DHCPリレー エージェントに関連するイベント情報を表示します。 |
|
Domain Name Server(DNS)デバッグ情報を表示します。 |
|
option ― フェールオーバー情報を表示します。オプション キーワードについては、 表 2-8 を参照してください。 |
|
パケットベースのマルチメディア通信システム標準に関する情報を表示します。 ras ― Registration, Admission, and Status(RAS)プロトコルを指定します。 asn ― (任意) デコードされたProtocol Data Unit(PDU;プロトコル データ ユニット)の出力を表示します。 |
|
Media Gateway Protocol(MGCP)情報を表示します。 |
|
debug ntp [ adjust | authentication | events | loopfilter | packets | params | select | sync | validity ] |
adjust ― (任意) Network Time Protocol(NTP)クロック調整を表示します。 authentication ― (任意) NTPクロック認証を表示します。 events ― (任意) NTPイベント情報を表示します。 loopfilter ― (任意) NTPループフィルタ情報を表示します。 packets ― (任意) NTPパケット情報を表示します。 params ― (任意) NTPクロック パラメータを表示します。 |
debug packet interface_name [ src source_ip [ netmask mask ]] [ dst dest_ip [ netmask mask ]] [[ proto tcp [ sport src_port ]] [ dport dest_port ] | [ proto udp [ sport src_port ]] [ dport dest_port ] [ rx | tx | both ] |
interface_name ― パケットが到着するインターフェイスの名前。たとえば、FWSMに入ってくるパケットを外部から監視するには、 interface_name にoutsideを設定します。 src source_ip ― (任意) 送信元IPアドレス netmask mask ― (任意) ネットワーク マスク proto tcp ― (任意) TCPパケットのみを表示します。 sport src_port ― (任意) 送信元ポート。有効なポート リテラル名のリストは、 Appendix B, “ポートとプロトコルの値,” の「ポート値の指定」の項を参照してください。 rx ― (任意) FWSMで受信したパケットのみを表示します。 |
debug ppp { error | io | uauth | upap | chap | negotiation } |
error ― Layer 2 Tunneling Protocol(L2TP)またはPoint-to-Point Protocol(PPP)仮想インターフェイス エラー メッセージを表示します。 io ― L2TPまたはPPP仮想インターフェイスのパケット情報を表示します。 uauth ― L2TPまたはPPP仮想インターフェイスAAAユーザ認証デバッグ メッセージを表示します。 upap ― Password Authentication Protocol(PAP)認証を表示します。 chap ― Challenge Handshake Authentication Protocol(CHAP)またはMicrosoft Challenge Handshake Authentication Protocol(MS-CHAP)認証を表示します。 |
session ― (任意) RADIUSセッション情報と送受信されたRADIUSパケットの属性を記録します。 |
|
event ― (任意) L2TPイベント変更情報を表示します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
debug コマンドを使用すると、デバッグ情報を表示できます。 show debug コマンドは、トレースの現在の状態を表示します。debug packetコマンドを使用すると、ネットワーク層プロトコル パケットの内容をデバッグできます。
(注) debugコマンドを使用すると、通信量の多いネットワークのトラフィックが遅くなります。
非常に重い負荷がかかっているFWSM上でdebug packetコマンドを使用すると、出力の表示が非常に速くなります。したがって、コンソールからno debug packetコマンドを入力しても、出力を停止できません。この状態を解決するには、Telnetセッションからno debug packetコマンドを入力します。
ユーザがFWSMを通してpingを実行できるようにするには、設定にaccess-list acl_grp permit icmp any anyコマンドを追加し、 access-group コマンドを使用して、テストする各インターフェイスにバインドします。その結果、pingの送受信ができるようになります。
debug packet traceコマンドを停止するには、次のコマンドを入力します。
interface_nameをインターフェイスの名前(inside、outside、または境界のインターフェイス名)に置き換えます。
no debug all コマンドと undebug all コマンドを使用すると、すべてのデバッグ メッセージを表示しないようにすることができます。
デジタル証明書を作成する場合、 debug crypto ca コマンドを使用して、証明書が正しく作成されたことを確認します。 debug crypto ca コマンドがイネーブルになっている場合は、重要なエラー メッセージだけが表示されます。たとえば、Entrustフィンガープリント値を誤って入力した場合、 debug crypto ca コマンド出力に値が誤りであることを示す警告メッセージだけが表示されます。
debug crypto ipsec と debug crypto isakmp コマンドの出力は、Telnetコンソール セッションには表示されません。
debug dhcpc detail コマンドを使用すると、Dynamic Host Configuration Protocol(DHCP)クライアントに関する詳細なパケット情報を表示できます。 debug dhcpc error コマンドは、DHCPクライアント エラー メッセージを表示します。 debug dhcpc packet コマンドは、DHCPクライアントに関するパケット情報を表示します。デバッグ機能をディセーブルにするには、 debug dhcpc コマンドのno形式を使用します。
debug dhcpd event コマンドを使用すると、DHCPサーバに関するイベント情報を表示できます。 debug dhcpd packet コマンドは、DHCPサーバに関するパケット情報を表示します。デバッグ機能をディセーブルにするには、 debug dhcpd コマンドのno形式を使用します。
debug icmp traceコマンドを使用すると、FWSMに対して到着、出発、通過するパケットのICMPパケット情報、送信元IPアドレス、および宛先アドレスを表示できます。このコマンドがトレースできるのは、FWSMのインターフェイスへのpingだけです。
debug icmp traceコマンドを停止するには、次のコマンドを入力します。
debug mgcp コマンドを使用すると、Media Gateway Control Protocol(MGCP)トラフィックに対するデバッグ情報を表示できます。オプションが明示的に指定されていない場合、 debug mgcp コマンドは、3種類あるMGCPデバッグ オプションのすべてをイネーブルにします。 no debug mgcp コマンドは、オプションが明示的に指定されていない場合、すべてのMGCPデバッグをディセーブルにします。
debug sqlnetコマンドを使用すると、FWSMを通過するOracle SQL*Netクライアントとサーバ間のトラフィックに関するレポートを表示できます。
debug ssh コマンドを使用すると、 ssh コマンドに関連する情報とエラー メッセージを表示できます。
表 2-8 に、debug foverコマンド用のオプション キーワードを示します。
|
|
---|---|
debug packetコマンドを使用すると、Trace Channelに出力を送信できます。これ以外のdebugコマンドは送信しません。Trace Channelを使用すると、画面に出力を表示する方法をFWSMコンソール セッションまたはTelnetセッション中に変更できます。
debugコマンドがTrace Channelを使用していない場合、各セッションは独立して動作します。これは、セッション内で開始されたコマンドはそのセッション内だけに表示されることを意味します。デフォルトでは、Trace Channelを使用していないセッションには、デフォルトでディセーブルになっている出力があります。
Trace Channelの位置は、コンソール セッションと同時に実行中の同時Telnetコンソール セッションの有無、またはFWSMシリアル コンソールだけを使用しているかどうかによって決まり、次のようになります。
• FWSMシリアル コンソールだけを使用している場合、すべてのdebugコマンドがシリアル コンソール上に表示されます。
• シリアル コンソール セッションとコンソールにアクセスするTelnetコンソール セッションの両方がある場合、debugコマンドを入力したコンソールに関係なく、出力はTelnetコンソール セッション上に表示されます。
• 2つ以上のTelnetコンソール セッションがある場合、最初のセッションはTrace Channelです。そのセッションが閉じると、シリアル コンソール セッションがTrace Channelになります。コンソールにアクセスする次のTelnetコンソール セッションがTrace Channelになります。
debug crypto コマンドを除くdebugコマンドは、すべてのTelnetとシリアル コンソール セッション間で共有されます。
次に、 debug dhcpc packet コマンドと debug dhcpc detail コマンドによる出力例の一部を示します。 debug dhcpc コマンドを入力した後で、 ip address dhcp setroute コマンドを設定して、デバッグ情報を取得します。
次に、debug icmp traceコマンドを実行する例を示します。
任意のインターフェイスからFWSMを通してホストにpingすると、コンソール上にトレース出力が表示されます。次の例では、外部ホスト(209.165.201.2)からFWSMの外部インターフェイス(209.165.201.1)へのpingが成功しています。
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
この例では、Internet Control Message Protocol(ICMP)パケット長が32バイト、ICMPパケット識別子が1であること、およびICMPシーケンス番号が示されています。ICMPシーケンス番号は、0から始まり、要求が送信されるたびに増加します。
次に、 show debug コマンドの出力例を示します。出力例には、 debug crypto コマンドも含まれています。
次に、Diffie-Hellman group 5 を使用したUnityクライアント ネゴシエーションに対するデバッグ メッセージ例を示します。
次に、 debug mgcp messages コマンドに対して考えられる出力例を示します。
次に、 debug mgcp parser コマンドに対して考えられる出力例を示します。
次に、 debug mgcp sessions コマンドに対して考えられる出力例を示します。
次に、debug packetコマンドを使用して、パケットの内容をデバッグする例を示します。
--------- PACKET ---------
-- IP --
4.3.2.1 ==> 255.3.2.1
ver = 0x4 hlen = 0x5 tos = 0x0 tlen = 0x60
id = 0x3902 flags = 0x0 frag off=0x0
ttl = 0x20 proto=0x11 chksum = 0x5885
-- UDP --
source port = 0x89 dest port = 0x89
len = 0x4c checksum = 0xa6a0
-- DATA --
00000014: 00 01 00 00 |
....
00000024: 00 00 00 01 20 45 49 45 50 45 47 45 47 45 46 46 | ..
.. EIEPEGEGEFF
00000034: 43 43 4e 46 41 45 44 43 41 43 41 43 41 43 41 43 | CC
NFAEDCACACACAC
00000044: 41 43 41 41 41 00 00 20 00 01 c0 0c 00 20 00 01 | AC
AAA.. ..... ..
00000054: 00 04 93 e0 00 06 60 00 01 02 03 04 00 | ..
....`......
--------- END OF PACKET ---------
debug icmp trace off
debug packet off
debug sqlnet off
Not-So-Stubby Area(NSSA)でタイプ7デフォルトを生成するには、 default-information originate コマンドを使用します。
default-information originate [ always ] [ metric metric_value ] [ metric-type { 1 | 2 }] [ route-map map_name ]
(任意)Open Shortest Path First(OSPF)デフォルト メトリック値を指定します(0~16777214)。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
このコマンドがサポートされるのは、NSSA Area Border Router(ABR;エリア境界ルータ)上またはNSSA Autonomous System Boundary Router(ASBR;自律システム境界ルータ)上だけです。
show ip ospf コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。
次に、NSSAエリアでタイプ7デフォルトを生成する例を示します。
ディスク パーティションにあるファイルを削除するには、 delete コマンドを使用します。
delete [/noconfirm] [/recursive] [/force] [disk:] path
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ディスク パーティションに選択の余地がない場合でも、ファイル名のプロンプトは表示されます。ただし、パスの前にディスクを指定することは可能です。
パスを指定しない場合、カレント ディレクトリのファイルが削除されます。ファイルを削除する際には、ワイルドカードを使用できます。ファイルの削除を実行すると、削除されるファイル名のプロンプトが表示されるので、必ず確認します。 delete disk コマンドを使用すると、削除するファイル名の入力を求めるプロンプトが表示されます。
次に、ルート ディレクトリにあるtest.cfgというファイルを削除する例を示します。
次に、configsディレクトリの下にあるすべてのファイル(ディレクトリは除く)を削除する例を示します。
ワイルドカード(*)を使用すると、すべてのファイルが指定されるため、ディスク パーティション内のすべてのファイルが削除されます。
次に、確認プロンプトを表示せずにファイルを削除する例を示します。
cd
copy disk
copy flash
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show file
コンテキストの説明を記述するには、 description コマンドを使用します。コンフィギュレーションからコンテキストの説明を削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
description コマンドは、コンテキスト サブモード コマンドおよびオブジェクト グループ サブモード コマンドとしても使用できます。
DHCPサーバを設定するには、 dhcpd コマンドを使用します。指定した設定を削除するか、または機能をディセーブルにするには、このコマンドの no 形式を使用します。
dhcpd {address ip1 [ - ip2 ] srv_interface_name } | { dns dnsip1 [ dnsip2 ]} | { wins winsip1 [ winsip2 ]} | { lease lease_length } | { domain domain_name } | { enable server_interface_name }
dhcpd {option code ascii string | hex hex_string | { ip address_1 | address_2 ]}
wins winsip1 |
|
wins winsip2 |
|
TFTPサーバをドット付き10進形式(1.1.1.1など)で指定しますが、FWSMのDHCPサーバは、これを余白の無い文字列として取り扱います。 |
|
pingのタイムアウト値をミリ秒単位で設定し、その時間が経過したら、IPアドレスをDHCPクライアントに割り当てるようにします。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
address ip1 [ ip2 ] を使用すると、IPプール アドレスの範囲を指定できます。プールのサイズは、FWSM上で、10ユーザ ライセンスの場合は32アドレスに、50ユーザ ライセンスの場合は128アドレスに制限されています。FWSM上でユーザ ライセンスに制限がない場合、およびほかのすべてのFWSMプラットフォームの場合は、256アドレスがサポートされています。
アドレス プールの範囲が253アドレスよりも大きい場合、FWSMインターフェイスのネットマスクは、クラスCアドレス(たとえば、255.255.255.0)にはできないため、それよりいくらか大きく、たとえば、255.255.254.0にする必要があります。
dns dns1 [ dns2 ] コマンドを使用すると、スタティック変換に一致するDNS A(アドレス)リソース レコードを書き直すように指定できます。2番めのサーバ アドレスは、オプションです。
lease lease_length コマンドを使用すると、DHCPサーバからDHCPクライアントに与えるリース期間を秒単位で設定できます。このリース期間は、割り当てられたIPアドレスをDHCPクライアントが使用できる期間を示します。デフォルトは3600秒です。最短リース期間は300秒で、最大リース期間は2,147,483,647秒です。
option 150 コマンドを使用すると、Cisco IP Phone用に指示されているTFTPサーバのIPアドレスをドット付き10進形式で指定できます。DHCPオプション150は、サイト専用であり、TFTPサーバのリストのIPアドレスを与えます。
DHCPサーバには、DHCPクライアントへのネットワーク設定パラメータがあります。FWSM内でDHCPサーバをサポートすることは、FWSMがDHCPを使用して、接続されているクライアントを設定できることを意味します。このDHCP機能は、エンタープライズ ネットワークや企業ネットワークへの接続を確立するリモート ホームやブランチ オフィスを対象に設計されています。DHCPサーバ機能をFWSMにインプリメントする方法については、『 Cisco Firewall and VPN Configuration Guide 』を参照してください。
FWSMソフトウェアのVersion 2.2(1)を使用している場合は、 dhcpd address および dhcpd enable コマンドに対して、インターフェイス名「 interface_name 」を指定する必要があります。初期のソフトウェア バージョンでは、内部インターフェイスだけがDHCPサーバとして設定できました。したがって、「 interface_name 」を指定する必要はありませんでした。
(注) FWSM DHCPサーバは、BOOTP要求またはフェールオーバー構成はサポートしていません。
dhcpd address ip1 [ - ip2 ] interface_name コマンドでは、DHCPサーバ アドレス プールを指定できます。FWSM DHCPサーバのアドレス プールは、イネーブルになっているFWSMインターフェイスと同じサブネットにある必要があり、「 interface_name 」を使用して関連するFWSMインターフェイスを指定する必要があります。つまり、クライアントは、物理的にFWSMインターフェイスのサブネットに接続されている必要があります。プールのサイズは、FWSM上でプールごとに256に制限されています。FWSM上でユーザ ライセンスに制限がない場合、およびほかのすべてのFWSMプラットフォームの場合は、256アドレスがサポートされています。 dhcpd address コマンドでは、「-」(ダッシュ)文字を含む名前は使用できません。これは、「-」文字が、オブジェクト名の一部ではなく範囲指定子と解釈されるためです。
no dhcpd address コマンドを使用すると、設定したDHCPサーバ アドレス プールを削除できます。
dhcpd dns コマンドでは、DNSサーバのIPアドレスをDHCPクライアントに指定できます。2つのDNSサーバを指定できます。 no dhcpd dns コマンドを使用すると、コンフィギュレーションからDNS IPアドレスを削除できます。
dhcpd wins コマンドでは、WINSサーバのアドレスをDHCPクライアントに指定できます。 no dhcpd dns コマンドを使用すると、コンフィギュレーションからWINSサーバのIPアドレスを削除できます。
dhcpd lease コマンドでは、DHCPクライアントに与えたリース期間を秒単位で指定できます。このリース期間は、DHCPが割り当てたIPアドレスをDHCPクライアントが使用できる期間を示します。 no dhcpd lease コマンドは、コンフィギュレーションから指定したリース長を削除して、この値をデフォルト値の3600秒に置き換えます。
dhcpd domain コマンドでは、DNSドメイン名をDHCPクライアントに指定できます。 no dhcpd domain コマンドを使用すると、コンフィギュレーションからDNSドメイン サーバを削除できます。
dhcpd enable interface_name コマンドを使用すると、DHCPデーモンがDHCPイネーブル インターフェイス上でDHCPクライアントの要求の待機を開始します。 no dhcpd enable コマンドは、指定したインターフェイス上のDHCPサーバ機能をディセーブルにします。
DHCPを有効にするには、このコマンドを使用する必要があります。 dhcpd enable interface_name コマンドを使用して、DHCPを動作させます。
(注) FWSM DHCPサーバ デーモンは、FWSMインターフェイスに直接接続されていないクライアントをサポートしていません。
dhcpd option 66 | 150 コマンドでは、IP Phone接続用のTFTPサーバ アドレス情報を取得できます。
dhcpd option コマンド要求がFWSM DHCPサーバに到着したとき、FWSMは、 dhcpd option 66 | 150 が指定する値を応答に入れます。
dhcpd option code コマンドは、次のように使用します。
• IP Phone接続用のTFTPサーバが内部インターフェイス上にある場合、TFTPサーバのローカルIPアドレスを dhcpd option コマンド内で使用します。
• TFTPサーバが安全性の低いインターフェイス上にある場合、内部IP Phone用のNATグローバル エントリとアクセスリストのグループを作成して、TFTPサーバの実IPアドレスを dhcpd option コマンド内で使用します。
• TFTPサーバがよりセキュアなインターフェイス上にある場合、TFTPサーバ用にスタティック ステートメントとアクセスリスト ステートメントのグループを作成して、TFTPサーバのグローバルIPアドレスを dhcpd option コマンド内で使用します。
debug dhcpd event コマンドを使用すると、DHCPサーバに関するイベント情報を表示できます。 debug dhcpd packet コマンドは、DHCPサーバに関するパケット情報を表示します。デバッグ機能をディセーブルにするには、 debug dhcpd コマンドのno形式を使用します。
次に示す設定例の一部では、 dhcpd address 、 dhcpd dns 、および dhcpd enable interface_name コマンドを使用してDHCPクライアント用のアドレス プールと各DHCPクライアント用のDNSサーバ アドレスを設定する方法、およびDHCPサーバ機能に対してFWSMの dmz インターフェイスをイネーブルにする方法を示します。
次に示す設定例の一部では、256アドレスのDHCPプールを定義する方法を示します。FWSMの dmz インターフェイスは、DHCPサーバとして設定されており、 dmz インターフェイスのネットマスクは、255.255.254.0になっています。
次の設定例では、相互に関連する3つの新しい機能であるDHCPサーバ、DHCPクライアント、およびPATを使用する方法を示します。インターフェイスIPを使用するこの3つの機能は、 inside インターフェイスをDHCPサーバとして使用して、SOHO環境にあるFWSMを設定します。
次に、show dhcpd bindingコマンドの出力例を示します。
次に、show dhcpd statisticsコマンドの出力例を示します。
DCHPサーバのFWSMインターフェイスと別のFWSMインターフェイス上のDHCPクライアントとの間の要求を中継するDHCPリレー エージェントを設定するには、 dhcprelay コマンドを使用します。DHCPリレー エージェントの設定を削除するには、このコマンドの no 形式を使用します。
[no] dhcprelay enable client_interface
[no] dhcprelay server server_ip server_interface
[no] dhcprelay setroute client_interface
[no] dhcprelay timeout seconds
[no] dhcprelay { enable | server | setroute | timeout }
DHCPリレー エージェントをイネーブルにして、指定したインターフェイス上のクライアントからDHCP要求を受け入れます。 |
|
DHCPリレー エージェントを設定して、(DHCPサーバから送信されるパケット内にある)最初にデフォルト ルータ アドレスを「 client_interface 」のアドレスに変更するようします。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
FWSMが dhcprelay enable client_interface コマンドを使用して、DHCPリレー エージェントを起動するには、コンフィギュレーション内に dhcprelay server コマンドが存在している必要があります。そのコマンドがなければ、FWSMは次に示すようなエラー メッセージを表示します。
dhcprelay enable client_interface コマンドは、指定したインターフェイス上でDHCPサーバ タスクを開始します。この dhcprelay enable コマンドが最初に発行される dhcprelay enable コマンドであり、コンフィギュレーション内に dhcprelay server コマンドがあれば、参照されるDHCPサーバ用のポートが開かれ、DHCPリレー タスクが開始します。
少なくとも1つの dhcprelay server コマンドをFWSMコンフィギュレーションに追加してから、 dhcprelay enable コマンドを入力します。この追加がないと、FWSMがエラー メッセージを発行します。
dhcprelay server コマンドは、指定したサーバに対して指定したインターフェイスにあるUDPポート67を開き、 dhcprelay enable コマンドがコンフィギュレーションに追加されるとすぐにDHCPリレー タスクを開始します。設定内に no dhcprelay enable コマンドがあれば、ソケットは開かれず、DHCPリレー タスクは開始しません。
dhcprelay server dhcp_server_ip [ server_interface ] コマンドが削除されると、サーバ用のポートは閉じられます。削除される dhcprelay server コマンドがコンフィギュレーション内で最後の dhcprelay server コマンドであれば、DHCPリレー タスクは停止します。
dhcprelay setroute client_interface コマンドを使用すると、DHCPリレー エージェントを設定して、(DHCPサーバから送信されるパケット内にある)最初のデフォルト ルータ アドレスを「 client_interface 」のアドレスに変更できます。DHCPリレー エージェントは、デフォルト ルータのアドレスを「 client_interface 」のアドレスに置き換えます。
パケット内にデフォルトのルータ オプションがなければ、FWSMは、「 client_interface 」のアドレスを含んでいるデフォルト ルータを追加します。その結果、クライアントは自分のデフォルト ルートがFWSMに向かうように設定できます。
dhcprelay setroute client_interface コマンドが設定されていなければ(また、パケット内にデフォルトのルータ オプションがあれば)、変更されていないルータ アドレスでFWSMを通過します。
dhcprelay timeout コマンドは、DHCPサーバからの応答がリレー バインディング構造を通してDHCPクライアントに進むことが許可されている時間の合計を秒単位で設定します。
no dhcprelay enable client_interface コマンドは、 client_interface のみで指定されているインターフェイス用のDHCPリレー エージェント設定を削除します。
no dhcprelay server dhcp_server_ip [ server_interface ] コマンドは、 dhcp_server_ip [ server_interface ] のみで指定されているDHCPサーバ用のDHCPリレー エージェント設定を削除します。
次の例では、10.1.1.1というIPアドレスを持つDHCPサーバ用のDHCPリレー エージェントをFWSMの外部インターフェイス上に設定し、クライアント要求をFWSMの内部インターフェイス上に設定して、さらにタイムアウト値を90秒に設定します。
次に、設定内に dhcprelay enable コマンドが1つだけしかない場合に、DHCPリレー エージェントをディセーブルにする例を示します。
次に、 show dhcprelay statistics コマンドの出力例を示します。
ディレクトリの内容を表示するには、 dir コマンドを使用します。
dir [/recursive] [disk:] [flash:][ path]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
cd
copy disk
copy flash
clear ftp
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
show file
イネーブル モードを終了して非イネーブル モードに戻るには、 disable コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
イネーブル モードを開始するには、 enable コマンドを使用します。 disable コマンドを使用すると、イネーブル モードを終了して非イネーブル モードに戻ることができます。
>
enable
disable
>
ルート タイプに基づいてOpen Shortest Path First(OSPF)ルート アドミニストレーティブ ディスタンスを定義するには、 distance コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
distance ospf [ intra-area d1 ][ inter-area d2 ][ external d3 ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
show ip ospf コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。
次に、OSPFルートのアドミニストレーティブ ディスタンスを定義する例を示します。
ドメイン名を変更するには、 domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
domain-name コマンドを使用すると、ドメイン名を変更できます。
(注) ドメイン名は、完全修飾ドメイン名に設定します。RSA鍵はこのドメイン名を使用するので、ホスト名を使用する必要があります。ドメイン名を変更する場合は、RSA鍵を作成し直す必要があります。
次に、 domain-name コマンドの使用例を示します。
ダイナミック暗号マップ エントリのテンプレートを作成するには、 dynamic-map コマンドを使用します。
dynamic-map map seq subcommand
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear dynamic-map コマンドを使用すると、コンフィギュレーションから dynamic-map コマンドを削除できます。 show dynamic-map コマンドを使用すると、コンフィギュレーションの dynamic-map コマンドを表示できます。
(注) dynamic-mapコマンドは、crypto dynamic-mapコマンドと同じです。詳細は、crypto dynamic-mapコマンドを参照してください。
次に、ダイナミック暗号マップ エントリを作成する例を示します。
イネーブル モードまたはイネーブル レベルにアクセスするか、あるいはイネーブル パスワードを設定するには、 enable コマンドを使用します。パスワードを変更するには、このコマンドの no 形式を使用します。
[no] enable [ pw ] [level 1evel ] [encrypted]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
コマンド モード:パスワードを設定する場合はイネーブル モードで、 enable コマンドだけを使用する場合は非イネーブル モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
enable コマンドを使用すると、イネーブル モードを開始できます。FWSMは、イネーブル モードのパスワードを入力するようにプロンプトを表示します。デフォルトでは、パスワードは必要ありません。PasswordプロンプトでEnterキーを押して、イネーブル モードを開始します。イネーブル モードを終了するには、 disable コマンドを使用します。パスワードを変更するには、 enable password コマンドを使用します。
イネーブル レベルを指定しない場合、レベルは15になります。レベルを指定すると、そのレベルに対するパスワード セットの入力を求めるプロンプトが表示されます。 aaa authorization コマンドを使用してローカル コマンド許可を設定し、コマンドのイネーブル レベル( copy capture コマンド)を設定した場合、そのレベルだけでコマンドを使用できます。コマンド許可を使用しない場合、レベル2以上がイネーブル モードになり、すべてのイネーブル コマンドにアクセスできます。
(注) イネーブル レベル10および12を定義しても、レベル15のパスワードは変更または削除されません。
enable password コマンドを使用すると、イネーブル モードのパスワードを変更できます。FWSMは、 enable コマンドが入力されると、イネーブル モードのパスワード入力を求めるプロンプトを表示します。 no enable passwordコマンドを入力すると、イネーブル パスワードを元の値(プロンプトで Enter キーを押す)に戻すことができます。
パスワードを設定すると、 encrypted キーワードがコンフィギュレーション内に表示されます。コンフィギュレーション内では、元のパスワードは表示されず、暗号化されたパスワードだけが表示されます。暗号化されたコンフィギュレーション パスワードを別のFWSMにコピーするには、 enable コマンド(encrypted引数を含む)をカットアンドペーストします。
次の例では、 enable コマンドを使用してイネーブル モードを開始し、 configure terminal コマンドを使用してコンフィギュレーション モードを開始しています。
>
enable
Password:
configure terminal
次の例では、 enable コマンドを使用してイネーブル モードを開始し、 enable password コマンドでイネーブル パスワードを変更し、 configure terminal コマンドでコンフィギュレーション モードを開始し、さらに write terminal コマンドで現在の設定の内容を表示しています。
>
enable
Password:
enable password w0ttal1fe
configure terminal
Building configuration...
enable password 2oifudsaoid.9ff encrypted
次に、各レベルのイネーブル パスワードを設定する例を示します。
確立されている接続に基づくポート上のリターン接続を許可するには、 established コマンドを使用します。established機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] est ablished est_ protocol dport [sport] [permitto protocol port [-port]] [permitfrom protocol port [-port]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
establishedコマンドは、送信接続がFWSMを通してリターン アクセスするのを許可します。このコマンドは、FWSMによって保護されているネットワークから送信される元の接続、および外部ホスト上の同じ2つのデバイス間で受信されるリターン接続という2つの接続とともに動作します。establishedコマンドを使用すると、接続の検索に使用する宛先ポートを指定できます。これにより、コマンドをより詳細に制御して、宛先ポートが既知で送信元ポートが未知のプロトコルをサポートできます。permittoおよびpermitfromキーワードは、リターン受信接続を詳細に指定します。
establishedコマンドを正しく使用しないと、次のようなセキュリティ違反が発生する可能性があります。
次の例では、内部システムがポート4000上の外部ホストにTCP接続を行った場合、外部ホストは、任意のプロトコルを使用して任意のポート上に戻ることができます。
次の例では、 src_port は発生するトラフィックの送信元ポートです。プロトコルで使用されている送信元ポートが明確でない場合は0を指定できます。 dest_port は、発生するトラフィックの宛先ポートです。プロトコルで使用されている宛先ポートが明確でない場合は 0 を指定できます。ワイルドカード ポート(0)は、必要に応じて使用します。
(注) establishedコマンドが正しく動作するには、permittoキーワードで指定したポート上で、クライアントが待機している必要があります。
establishedコマンドは、nat 0コマンドと併せて使用できます(globalコマンドがない場合)。
(注) establishedコマンドは、Port Address Translation(PAT;ポート アドレス変換)とは併せて使用できません。
FWSMは、XDMCP(X Display Manager Control Protocol)をサポートしており、ここで established コマンドが使用されます。
XDMCPは、デフォルトでオンになっていますが、establishedコマンドが使用されるまでセッションは作成されません。
established コマンドによって、内部のXDMCP(UNIXまたはReflectionX)搭載ホストが、外部のXDMCP搭載XWindowsサーバにアクセスできます。UDP/177ベースのXDMCPがTCPベースのXWindowsセッションをネゴシエートし、それに続くTCPリターン接続が許可されます。リターン トラフィックの発信元ポートが不明であるため、 sport フィールドは0(ワイルドカード)と指定します。「 dport 」は、6000+ n である必要があります。ここで、 n は、ローカル ディスプレイ番号です。次のUNIXコマンドを使用して、この値を変更します。
established コマンドが必要な理由は、多くのTCP接続が生成され(ユーザとの対話に基づき)、これらの接続に使用される発信元ポートが不明であるためです。宛先ポートだけがスタティックです。FWSMは、XDMCPフィックスアップを透過的に行います。設定は不要ですが、TCPセッションに対応するには established コマンドが必要です。
次の例では、プロトコルAを使用して、送信元ポートBからポートCへ向かう2つのホスト間の接続を示しています。プロトコルDを使用してFWSMを通過するリターン接続を許可するには、送信元ポートがポートFに対応し、宛先ポートがポートEに対応している必要があります(プロトコルDは、プロトコルAとは異なっていても良い)。
次の例では、接続が内部ホストから外部ホストへTCP送信元ポート6060と任意の宛先ポートを使用して開始されています。FWSMは、このホスト間にTCP宛先ポート6061とTCP送信元ポート6059を経由するリターン トラフィックを許可します。
次の例では、接続が内部ホストから外部ホストへUDP宛先ポート6060と任意の送信元ポートを使用して開始されています。FWSMは、このホスト間にTCP宛先ポート6061とTCP送信元ポート1024~65535を経由するリターン トラフィックを許可します。
次の例では、ローカル ホスト10.1.1.1が外部のホスト209.165.201.1に対してポート9999上でTCP接続を開始します。この例では、外部ホスト209.165.201.1のポート4242からのパケットがローカル ホスト10.1.1.1のポート5454に戻ることが許可されます。
次の例では、外部ホスト209.165.201.1の任意のポートからローカル ホスト10.1.1.1のポート5454に戻るパケットが許可されます。
アクセス モードを終了するには、 exit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
コマンド モード:イネーブル モードおよびコンフィギュレーション モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーション モードおよびイネーブル モードを終了する例を示します。
スタンバイFWSM上でフェールオーバー機能をイネーブルにするには、 failover コマンドを使用します。フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フェールオーバー機能を使用すると、FWSMのアベイラビリティを向上させることができます。1つのスイッチ シャーシに最大4つのFWSMを搭載し、2つのフェールオーバー モジュール ペア(2つのFWSMをアクティブ モジュールおよびスタンバイ モジュールとして稼働)を指定できます。シャーシ間トポロジーとシャーシ内トポロジーがサポートされています。
(注) フェールオーバー ペアには、互換性のあるFWSMのハードウェアとソフトウェアを備えた2つの個別のモジュールを使用する必要があります。
このコマンドの no 形式を使用すると、モジュールがスタンバイに切り替わります。フェールオーバー機能は、ステートフル フェールオーバーまたはロジカル アップデートをサポートしています。
スタンバイ モジュールからフェールオーバー スイッチを行うには、failover activeコマンドを使用し、アクティブ モジュールからフェールオーバー スイッチングを行うには、no failover activeコマンドを使用します。この機能を使用して、障害が発生したモジュールを運用に戻し、メンテナンスのため、アクティブ モジュールを強制的にオフラインにできます。スタンバイ モジュールは各接続に対する状態情報を保持していないため、アクティブな接続はすべて中断され、クライアントによって再確立する必要があります。
SNMPを使用してshow failoverコマンドからの情報を表示できます。
フェールオーバーの場合、監視できるインターフェイス数は250です。
show ip address コマンドを使用すると、スタンバイ モジュールのIPアドレスを表示できます。カレントIPアドレスは、フェールオーバー インターフェイスを除き、フェールオーバー アクティブ モジュール上のシステムIPアドレスと同じです。システムIPアドレスは、必ずプライマリ モジュールに設定したアドレスになります。カレントIPアドレスは、プライマリ モジュールまたはセカンダリ モジュールのいずれかに設定したアドレスになります。これは、そのモジュールがアクティブ モジュールかスタンバイ モジュールかによって異なります。
スタンバイ モジュールの状態を確認するには、 ip address ip_address のIPアドレスとpingコマンドを使用します。このアドレスは、システムIPアドレスと同じネットワーク上になければなりません。たとえば、システムIPアドレスが192.159.1.3の場合は、フェールオーバーIPアドレスを192.159.1.4に設定します。
正しく設定された場合、プライマリとセカンダリFWSMのLANベースのフェールオーバー設定は、どちらがプライマリFWSMで、どちらがセカンダリFWSMであるかによって異なっている必要があります。
clear failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
フェールオーバーまたはステートフル インターフェイス、およびフェールオーバー ピア インターフェイスのIPアドレスとマスクを指定するには、 failover interface ip コマンドを使用します。
failover interface ip interface_name ip_address mask standby ip_address
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フェールオーバー インターフェイスおよびステートフル インターフェイスはレイヤ3の機能です。これは、トランスペアレント ファイアウォール モードの場合でも、システムに対してグローバルな場合でも同じです。フェールオーバーの設定は、システム コンテキスト モードで行います( monitor-interface コマンドを除く)。
次に、フェールオーバー インターフェイスのIPアドレスとマスクを指定する例を示します。
clear failover
failover
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
インターフェイス障害を検出する際のフェールオーバー ポリシーを指定するには、 failover
interface-policy コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
failover interface-policy n [ % ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
n 引数と % オプション キーワードの間にスペースはありません。
障害の発生したインターフェイスの数が設定されたポリシーの条件を満たし、もう1つのFWSMが正常に機能している場合、FWSMは自身を故障とみなして、フェールオーバーが実行されます(アクティブFWSMに障害が発生した場合)。
次に、フェールオーバー ポリシーを指定する2通りの例を示します。
clear failover
failover
failover interface ip
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
フェールオーバーの通信に使用されるインターフェイス名とVLANを指定するには、 failover lan interface コマンドを使用します。フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
[no] failover lan interface interface_name vlan vlan
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フェールオーバーには、専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。このインターフェイスは、LANベースのフェールオーバーとステートフル フェールオーバー トラフィックの両方を取り扱うために十分な容量が必要です。
(注) 2つの個別の専用インターフェイスを使用することを推奨します。
clear failover
failover
failover interface ip
failover interface-policy
failover lan unit
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
FWSMをプライマリFWSMまたはセカンダリFWSMとして設定するには、 failover lan unit コマンドを使用します。
failover lan unit { primary | secondary }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フェールオーバー モジュールのプライマリおよびセカンダリの指定は、起動時に優先されるモジュールに関連します。両方のモジュールが起動しようとする場合や、両方のモジュールがアクティブになっていて競合が起きている場合に、このコマンドによってどのFWSMがアクティブになるかが決まります。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
ステートフル フェールオーバー インターフェイスのインターフェイス名とVLANを指定するには、 failover link コマンドを使用します。ステートフル フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
[no] failover link interface_name [ vlan vlan]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フェールオーバー インターフェイスを共有しない場合、vlan vlan キーワードおよび引数は必須です。
failover linkコマンドを使用すると、ステートフル フェールオーバーをイネーブルにできます。VLAN論理インターフェイスのインターフェイス名は、interface_nameには使用できません。no failover linkコマンドは、ステートフル フェールオーバー機能をディセーブルにし、ステートフル フェールオーバー インターフェイスのIPアドレスの設定をクリアします。フェールオーバー インターフェイスとインターフェイスを共有しない場合は、 fail interface ip コマンドおよびキーワードを使用してIPアドレスを設定する必要があります。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby
フェールオーバー モジュールとインターフェイス モニタリングのポーリング頻度を指定するには、 failover polltime コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
[no] f ailover polltime [unit] [msec] time [holdtime time ]
[no] failover polltime interface time
(任意)フェールオーバー リンク上でユニットがHelloメッセージを受信する時間、またはユニットがピア障害のテスト プロセスを開始する場合の時間を設定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
unit キーワードは、インターフェイスのポーリング時間ではなく、ユニットのポーリング時間に使用されます。ユニットのポーリング時間は1~15秒に指定します。デフォルトは1秒です。 msec を指定すると、ポーリング時間を500~999秒に設定できます。
ホールド時間は3~45秒に設定します。デフォルトは15秒またはポーリング時間の3倍のうち、いずれか大きい方の値です。ポーリング時間の3倍よりも小さい値を指定することはできません。ポーリング時間を速くすると、FWSMは障害の検出とフェールオーバーの起動をより迅速に実行できます。ただし、ネットワークが一時的に輻輳している場合には、不要な切り替えが行われることがあります。
たとえば、ポーリング時間が1秒の場合、ホールド時間を15秒にすると、確認できないHelloメッセージが15になるまで、ユニットは障害テストを行いません。
(注) ステートフル情報の更新間隔は10秒です。ポーリング時間を10秒よりも大きく設定すると、ステートフル情報の更新間隔が使用されます。
監視対象のインターフェイスが5つ続けてHelloメッセージを受信しないと、FWSMはインターフェイス障害のテスト プロセスを開始します。
インターフェイスのデフォルトは15秒です(つまり、インターフェイスが75秒間[ポーリング間隔の5倍]無応答になるまで、インターフェイスは障害テストを行わない)。
unit または interface キーワードを指定しない場合、ユニット(モジュール)のポーリング時間が設定されます。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover replication http
failover reset
monitor-interface
show failover
write standby
HTTP(ポート80)接続の複製をイネーブルにするには、 failover replication http コマンドを使用します。HTTP接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。
[no] failover replication http
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
failover replicate http コマンドを使用すると、ステートフル フェールオーバー環境においてHTTPセッションのステートフル複製を行うことができます。このコマンドの no 形式は、ステートフル フェールオーバー設定内のHTTP複製をディセーブルにします。HTTP複製がイネーブルになっている場合、 show failover コマンドは、 failover replicate http コマンド設定を表示します。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover reset
monitor-interface
show failover
write standby
障害復旧後に、フェールオーバー モジュールを障害発生前の状態に変更するには、 failover reset コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
failover reset コマンドを使用すると、リセット後に、フェールオーバー モジュールを障害発生前の状態に変更できます。failover resetコマンドはどちらのモジュールから入力しても構いませんが、必ずアクティブ モジュールでコマンドを入力することを推奨します。アクティブ モジュールでfailover resetコマンドを入力すると、スタンバイ モジュールが「unfail」になります。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
monitor-interface
show failover
write standby
Webサーバまたはエンタープライズ サーバでFTP(ファイル転送プロトコル)をイネーブルするには、 filter ftp コマンドを使用します。FTPフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] filter ftp dest-port source_ip source_mask destination_ ip destination_ mask [ allow ] [ interact-block ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
source_ip または destination_ip アドレスを 0.0.0.0 (短縮形は 0 )に設定すると、すべてのホストが指定されます。
destination_mask には、必ず固有の値を指定します。 0.0.0.0 を(短縮形は 0 )使用すると、すべてのホストが指定されます。
次に、FTPフィルタリングをイネーブルに設定する例を示します。
HTTPSフィルタリングをイネーブルにするには、 filter https コマンドを使用します。HTTPSフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] filter https port [- port ] | except source_ip source_mask destination_ ip destination_ mask [ allow ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
source_ip アドレス、 destination_ip アドレス、 source_mask 、または destination_mask を 0.0.0.0 (短縮形は 0 )に設定すると、すべてのホストが指定されます。 destination_mask には、必ず固有の値を指定します。
次に、HTTPフィルタリングをイネーブルに設定する例を示します。
外部のフィルタリング サーバを使用して内部ユーザからのHTTP要求をフィルタリングするには、 filter url コマンドを使用します。HTTPフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] filter url [ http | port [ - port ]] source_ip source_mask destination_ ip destination_ mask [ allow ] [ proxy-block ] [ longurl - truncate | longurl - deny ] [ cgi-truncate ]
filter url except source_ip source_mask destination_ip destination_mask
filter url { port | except } source_ip mask destination_ip destination_ mask [ allow ] [ proxy-block ] [ longurl-truncate | longurl-deny ] [ cgi-truncate ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
source_ip または destination_ip アドレスを 0.0.0.0 (短縮形は 0 )に設定して、すべてのホストを指定します。
destination_mask には、必ず固有の値を指定します。 0.0.0.0 を(短縮形は0)使用すると、すべてのホストが指定されます。
source_mask を 0.0.0.0 (短縮形は 0 )に設定すると、すべてのホストが指定されます。
filter urlコマンドを使用すると、送信ユーザがN2H2サーバまたはWebsenseサーバを使用して、指示したURLにアクセスしないようにすることができます。
(注) フィルタリング サーバは、filterコマンドを使用する前に、url-serverコマンドを使用して追加する必要があります。後にコンフィギュレーションからすべてのサーバが削除されると、他のすべてのfilterコマンドは削除されます。
filterコマンドのallowキーワードは、FWSMがN2H2サーバまたはWebsenseサーバがオフラインになった場合に動作する方法を決定します。filterコマンドでallowキーワードを使用している場合、N2H2サーバまたはWebsenseサーバがオフラインになると、設定されたポートのトラフィックはフィルタリングなしでFWSMを通過します。allowキーワードなしの場合、サーバがオフラインになると、FWSMはサーバがオンラインに戻るまで設定済みの送信ポート(Web)のトラフィックを停止します。別のURLサーバが利用できる場合は、FWSMは次のURLサーバに制御を渡します。
(注) allowキーワードが設定されている場合、N2H2サーバまたはWebsenseサーバがオフラインになると、FWSMは制御を代替サーバに渡します。
次に、10.0.2.54ホストからの接続を除く、すべての送信HTTP接続をフィルタリングする例を示します。
次に、ポート8080上で待機するプロキシ サーバに向かう送信HTTP接続をすべてブロックする例を示します。
ファイアウォール モードをトランスペアレントに設定するには、 firewall コマンドを使用します。ルーテッド モードに戻すには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ファイアウォール モードをトランスペアレントに設定する例を示します。
FWSMのプロトコル フィックスアップを修正して、サービスと機能のデフォルトを追加、削除、または変更するには、 fixup protocol コマンドを使用します。フィックスアップをディセーブルにするには、このコマンドの no 形式を使用します。
[no] fixup protocol prot [ option ] port [- port ]
(任意)イネーブルまたはディセーブルにするプロトコル フィックスアップ( ftp [ strict ]、 http 、 h323 、 ils 、 mgcp 、 rsh 、 sip 、 skinny 、 smtp 、 sqlnet 、 icmp error 、 dns [ maximum-length length ])。 |
|
• FWSMのフィックスアップ プロトコルおよびポートは、次のとおりです。
–fixup protocol h323 h225 1720
–fixup protocol h323 ras 1718 - 1719
(これらは、ソフトウェアVersion 6.2を実行しているFWSM上でイネーブルになっているデフォルトです。)
• fixup protocolコマンドはすべてコンフィギュレーション内に存在し、大半はイネーブルになっています。
• fixup protocol mgcpはディセーブルです。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
fixup protocol ftp コマンドを使用して、FTP(ファイル転送プロトコル)用の待機 ポートを指定します。次に、このコマンドの機能と使用方法を説明します。
• ポート番号またはサポートされているポートのリテラルを使用できます。有効なポート リテラル名のリストは、 Appendix B, "ポートとプロトコルの値," の「ポート値の指定」を参照してください。
• デフォルトで、FWSMはFTPのポート21を待機しています。
• FTP制御接続用のポートだけを指定して、データ接続用は指定しません。FWSMステートフル検査は、ダイナミックにデータ接続を用意します。たとえば、次の例は誤りです。
no fixup protocol ftp コマンドを使用して、FTPフィックスアップをディセーブルにすると、送信ユーザはパッシブ モードだけで接続を開始でき、受信FTPはすべてディセーブルになります。
fixup protocol ftpコマンドのstrictキーワードは、WebブラウザがFTP要求内の埋め込みコマンドを送信できないようにします。各FTPコマンドは、新しいコマンドが許可される前に確認される必要があります。埋め込みコマンドを送信する接続は、廃棄されます。strictキーワードは、FTPサーバが227コマンドを生成することだけを許可し、FTPクライアントが port コマンドを生成することだけを許可します。227コマンドと port コマンドがチェックされて、エラー文字列内に表示されないようにします。
fixup protocol http コマンドは、HTTPトラフィック アプリケーション検査用にポートを設定します。
port キーワードを使用して、デフォルトのポート割り当て80を変更できます。 port-port 引数を使用して、ポート番号の範囲にHTTPアプリケーション検査を適用します。
(注) no fixup protocol httpコマンドは、filter urlコマンドをディセーブルにします。
• N2H2サーバまたはWebsenseサーバを使用するURLのスクリーニング
URLのスクリーニングおよびJavaとActiveXのフィルタリングの機能は、 filter コマンドと併せて使用する必要があります。
fixup protocol icmp error コマンドは、ICMPエラー メッセージのNATをイネーブルにできます。この変換によって、FWSM上のスタティック変換設定またはネットワーク アドレス変換設定に基づいて中間ホップに対する変換が作成されます。
no fixup protocol icmp error は、ICMPエラー メッセージを生成する中間ノード用の変換(xlate)の作成をディセーブルにします。
MGCPフィックスアップの付加サポートを設定するには、 mgcp コマンドを使用します。MGCPを使用するためには、少なくとも次の2つの fixup protocol コマンドを設定する必要があります。
コール エージェントは、ゲートウェイのデフォルトのMGCPポート2427にコマンドを送信し、ゲートウェイは、コール エージェントのデフォルトのMGCPポート2727にコマンドを送信します。
次の例では、デフォルトのポートを使用するコール エージェントとゲートウェイ用のフィックスアップ サポートを追加します。
fixup protocol rpc コマンドは、1つまたは複数のRPCサーバを設定し、指定されたタイムアウトに関してそのサーバ上のサービス(NFSやNISなど)を許可します。
• active キーワードは、FWSMを経由してトラフィックがすでに送信されたサービスを表します。
• no rpc-server active service service_type server ip_addr コマンドは、アクティブ リストからいずれかのサービスをただちに削除します。これにより、指定したトラフィックをブロックできます。
• clear rpc-server [ active ]コマンドは、RPCサーバのリスト全体、またはアクティブ サービスのリスト全体をクリアします。
fixup protocol rtsp コマンドは、FWSMがReal Time Streaming Protocol(RTSP)パケットを通過させるようにします。RTSPは、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、およびCisco IP/TV接続によって使用されます。
Cisco IP/TVを使用している場合は、RTSP TCPポート554とTCP 8554を使用します。
fixup protocol rtsp コマンドには、次の制約事項が適用されます。
• FWSMは、UDPポートを通過するRTSPメッセージを修正しません。
• fixup protocol rtsp コマンドは、PATをサポートしていません。
• FWSMは、RTSPメッセージがHTTPメッセージ内に隠されているHTTPクローキングを認識する機能はありません。
• FWSMは、RTSPメッセージについてNATは実行できません。これは、埋め込みIPアドレスがHTTPまたはRTSPメッセージの一部として、SDPファイルに含まれているためです。パケットはフラグメント化される可能性があり、FWSMは、フラグメント化されたパケットについてNATは実行できません。
• Cisco IP/TVでは、メッセージのSDP部分についてFWSMが実行するNATの数は、Content Managerにあるプログラム リストの数に比例します(各プログラム リストには、少なくとも6個の埋め込みIPアドレスを含めることが可能)。
• Apple QuickTime 4またはRealPlayer用のNATを設定できます。ViewerとContent Managerが外部ネットワークに、サーバが内部ネットワークにある場合、Cisco IP/TVは、NATが使用できる場合に限り動作します。
• RealPlayerを使用している場合、転送モードを正しく設定することが重要です。FWSMでは、サーバからクライアントへ、またはクライアントからサーバへの access-list コマンドを追加します。RealPlayerの場合、 Options > Preferences > Transport > RTSP Settings をクリックすることで、転送モードを変更します。
RealPlayerアプリケーション上でTCPモードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use TCP for all content チェックボックスをオンにします。FWSM上では、フィックスアップを設定する必要はありません。
RealPlayerアプリケーション上でUDPモードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use UDP for static content チェックボックスをオンにします。FWSM上で、 fixup protocol rtsp port コマンドを追加します。
fixup protocol sip コマンドを使用して、SIPアプリケーション検査をイネーブルにします。これにより、Session Initiation Protocol(SIP)パケットが検査されて、適切なIPアドレスに対してNATが提供されます。
SIPは、IETFによって定義されているとおりに、コール処理セッションと2パーティの音声会議(通話)をイネーブルにします。SIPは、SDP(Session Description Protocol)とともに動作してコール シグナリングを行います。SDPは、メディア ストリーム用のポートを指定します。SIPを使用すると、FWSMは、あらゆるSIP Voice over IP(VoIP)ゲートウェイまたはVoIPプロキシ サーバをサポートできます。SIPとSDPは、次のRFCに定義されています。
• SIP:Session Initiation Protocol、RFC 2543
• SDP:Session Description Protocol、RFC 2327
SIPをサポートするには、FWSMを通したコール、メディア接続アドレス用のシグナリング メッセージ、メディア ポート、およびメディアへの初期接続を検査する必要があります。シグナリングはwell-known宛先ポート(UDP/TCP 5060)に送信され、メディア ストリームはダイナミックに割り当てられます。これは、SIPが、テキスト全体にIPアドレスが含まれているテキストベースのプロトコルであるためです。
FWSMソフトウェアのVersions 1.1(1)以降は、SIP用のPATをサポートしています。FWSMソフトウェアのVersion 2.2(1)以降では、UDPシグナリングとTCPシグナリングの両方に対するSIPフィックスアップを、 no fixup protocol sip 5060 コマンドを使用してディセーブルにできます。
(注) portの値を変更しても、SIPは異なるポート上では動作しません。SIP検査はオンまたはオフにできますが、ポートを変更することはできません。
SIPプロトコルの詳細については、RFC 2543を参照してください。SDP(Session Description Protocol)の詳細については、RFC 2327を参照してください。
(注) 現在、FWSMはNAT TFTPメッセージをサポートしていません。
Skinny Client Control Protocol(SCCPまたは「skinny」)プロトコルは、IPテレフォニーをサポートしています。アプリケーション層によって、すべてのSCCPシグナリングとメディア パケットがFWSMを通過できるようになっています。skinnyフィックスアップは、NAT設定とPAT設定の両方をサポートしています。
(注) skinnyメッセージがフラグメント化されると、FWSMはそのメッセージを認識または検査できません。
Skinnyメッセージのフラグメント化は、コンファレンス ブリッジを含むコールが確立されたときに発生する可能性があります。FWSMは、RTPトラフィック フローのskinnyプロトコルを追跡しますが、フラグメント化されたskinnyメッセージでは、FWSMは正しくRTPを実行できません。
fixup protocol smtpコマンドは、Mail Guard機能をイネーブルにします。この機能では、メール サーバが、RFC 821、4.5.1項のHELO、MAIL、RCPT、DATA、RSET、NOOP、およびQUITというコマンドを受信できるようなります。ほかのすべてのコマンドは、内部サーバにより拒否されるXに変換されます。これにより、「500 Command unknown: 'XXX'」のようなメッセージが表示されます。不完全なコマンドは、廃棄されます。
(注) 対話型SMTPセッションの間、さまざまなSMTPセキュリティ規則により、Telnetセッションが拒否される場合や、またはデッドロックにされる場合があります。これらの規則には、SMTPコマンドは少なくとも4文字の長さが必要である、SMTPコマンドはCR(復帰)とLF(改行)で終了する必要がある、次の返信を発行する前に応答を待つ必要がある、などの内容が含まれています。
FWSMソフトウェアのVersion 1.1以降では、fixup protocol smtpコマンドは、SMTPバナーの中の文字を、「2」、「0」、および「0」の文字を除いて、アスタリスクに変更します。CR(復帰)とLF(改行)文字は無視されます。
FWSMソフトウェアのVersion 1.1では、SMTPバナー内の文字がすべてアスタリスクに変換されます。
FWSMは、SQL*Net用にポート1521を使用します。このポートは、OracleがSQL*Net用に使用しているデフォルトのポートです。しかし、この値は、IANAポート割り当てとは一致していません。
次に、CTIQBEフィックスアップをイネーブルにする例を示します。
次に、Mail Guardを実行している内部サーバへのアクセスをイネーブルにする例を示します。
次に、Mail Guardをディセーブルにする例を示します。
この例では、staticコマンドが、グローバル アドレスをセットアップして、外部のホストがdmz1インターフェイス上の10.1.1.1メール サーバ ホストにアクセスすることを許可します(DNS用のMXレコードは、209.165.201.1アドレスを指定する必要があり、これによってメールはこのアドレスに送信される)。access-listコマンドによって、任意の外部ユーザがSMTPポート(25)を経由して、グローバル アドレスにアクセスできます。no fixup protocolコマンドは、Mail Guard機能をディセーブルにします。
次に、複数のFTPフィックスアップを使用する fixup protocol ftp コンフィギュレーションの例を示します。
次に、FWSMでMGCPフィックスアップをイネーブルにする例を示します。
次に、コンフィギュレーションからMGCPフィックスアップを削除する例を示します。
ファイル システム情報をダウングレードするには、 flashfs コマンドを使用します。ファイル システム情報を削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear flashfsコマンドを使用すると、FWSM内のフラッシュ メモリのファイル システムがクリアされます。Versions 4.nは、ファイル システムの情報を使用できません。以前のバージョンが正しく動作するためには、ファイル システムの情報をクリアする必要があります。
次に、ファイル システムをフラッシュ メモリに書き込んでから、低いバージョンのソフトウェアにダウングレードする例を示します。
フラッド攻撃を防ぐFlood Defenderをイネーブルまたはディセーブルにするには、 floodguard コマンドを使用します。
floodguard { enable | disable }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
floodguardコマンドを使用すると、ユーザ認証(uauth)サブシステムのリソースが不足した場合に、FWSMリソースを再利用できます。受信または送信のuauth接続が攻撃を受けている場合、または過度に使用されている場合、FWSMは積極的にTCPユーザ リソースを再利用します。
リソースが枯渇すると、FWSMは、リソースまたはTCPユーザが不足しているというメッセージを表示します。
FWSM uauthサブシステムが枯渇すると、緊急性に従って、次の順序で、別の状態のTCPユーザ リソースが再利用されます。
次の例では、 floodguard コマンドをイネーブルにし、コンフィギュレーション内の floodguard コマンド文を表示します。
ディスク ファイル システムをフォーマットするには、 format コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
format コマンドを使用すると、デバイス上のすべてのデータを消去して、File Allocation Table(FAT;ファイル アロケーション テーブル)の情報をデバイスに書き込むことができます。
cd
copy disk
copy flash
copy ftp
copy tftp
dir
mkdir
more
pwd
rename
rmdir
show file
特別なパケット フラグメント化の管理を行い、Network File System(NFS)との互換性を改善するには、fragmentコマンドを使用します。
fragment size database-limit [ interface ]
fragment chain chain-limit [ interface ]
fragment timeout seconds [ interface ]
フラグメント データベース内のパケット数の最大値を設定します。有効値は1~30000、またはブロックの総数です。詳細については、「使用上の注意事項」を参照してください。 |
|
最初のフラグメントが受信された後、パケット フラグメントが再組み立てを待つ最大秒数を指定します。この時間が経過するとフラグメントは廃棄されます。有効値は1~30秒です。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デフォルトでは、FWSMは、完全なIPパケットの再構築するために、最大24個のフラグメントを受け入れます。ネットワーク セキュリティ ポリシーに基づいて、各インターフェイスについて fragment chain 1 interface コマンドを入力することで、フラグメント化されたパケットがFWSMを通過できなくするようにFWSMの設定を検討する必要があります。制限に1を設定すると、すべてのパケットが元のまま、つまり、フラグメント化されていない状態である必要があります。
FWSMを通過するネットワーク トラフィックのほとんどがNFSである場合、データベースのオーバーフローを防ぐため、さらに調整が必要になる可能性があります。詳細については、システム ログ メッセージ209003を参照してください。
WANインターフェイスなどのようにNFSサーバとクライアントの間のMTUが小さな環境では、chainキーワードをさらに調整する必要があります。この場合、効率を改善するためにNFS over TCPを使用することを推奨します。
interface を指定しないと、このコマンドはすべてのインターフェイスに適用されます。
sizeキーワードのdatabase-limitに大きな値を設定すると、FWSMは、さらにフラグメント フラッディングによるDoS攻撃を受けやすくなります。database-limit に1550プールまたは16384プール内のブロックの総数以上の値を設定しないでください。詳細については、show blockコマンドの項を参照してください。デフォルト値は、そのインターフェイスだけに対するフラグメント フラッディングによるDoSを制限します。
次に、外部インターフェイスおよび内部インターフェイス上でパケットがフラグメント化しないようにする例を示します。
パケットのフラグメント化を防ぐ必要のある他の各インターフェイスに対して、続けてfragment chain 1 interfaceコマンドを入力します。
次に、外部フラグメント データベースを、最大サイズ2000、最大チェーン長45、待ち時間10秒に制限するように設定する例を示します。
FTPモードを設定するには、ftp modeコマンドを使用します。FTPモードをディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FTPモードをパッシブ モードに設定する例を示します。
グローバル アドレス プールのエントリを作成するには、 global コマンドを使用します。nat_id、Port Address Translation(PAT;ポート アドレス変換)アドレス、またはnat_id内のアドレス範囲へのアクセスを削除するには、このコマンドの no 形式を使用します。
[no] global [ext_ interface_name ] nat_id { global_ip [- global_ip ] [ netmask global_mask ]} | interface
natコマンドと共通に使用されて、natおよびglobalコマンドを結合する正数。有効なID番号は、2147483647以下の任意の正数です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
global コマンドを使用すると、グローバル アドレス プールを定義できます。発信接続ごとに、および発信接続によって作成される着信接続ごとに、プール内のグローバル アドレスからIPアドレスが取得されます。対応するnatおよびglobalコマンドのnat_idが同じであることを確認してください。
(注) 使用できるアドレス変換数は、FWSMごとに異なります。FWSMがサポートするアドレス変換数は、natコマンドでは2,048個、globalコマンドでは1,051個、staticコマンドでは2,048個です。FWSMはポリシーNAT(ネットワーク アドレス変換)で使用されるACL(アクセス制御リスト)内で、最大4,096個のAccess Control Entry(ACE;アクセス制御エントリ)もサポートします。
global コマンドで「-」(ダッシュ)文字を含む名前を使用することはできません。「-」文字はオブジェクト名の一部としてでなく、範囲指定子として解釈されるためです。
globalコマンドを変更または削除したあとで、clear xlateコマンドを使用してください。
global_ip 引数は、FWSMが接続間で共有する1つまたは複数のグローバルIPアドレスです。
外部ネットワークがインターネットに接続されている場合は、Network Information Center(NIC)に各グローバルIPアドレスを登録する必要があります。
IPアドレス範囲を指定するには、アドレスをダッシュ(-)で区切ります。
PAT globalコマンドを作成するには、単一のIPアドレスを指定します。インターフェイスごとに、PAT globalコマンドを1つずつ作成できます。PATは最大で65,535個のxlate(変換スロット)オブジェクトをサポートできます。
サブネットが有効である場合は、 global_mask を指定するときに、255.255.255.128などのサブネット マスクを使用します。サブネットと重複するアドレス範囲を指定した場合、globalコマンドはグローバル アドレス プール内でブロードキャスト アドレスまたはネットワーク アドレスを使用しません。たとえば、 255.255.255.224 およびアドレス範囲 209.165.201.1-209.165.201.30 を使用した場合、209.165.201.31ブロードキャスト アドレスおよび209.165.201.0ネットワーク アドレスはグローバル アドレス プールから除外されません。
次に、2つのグローバル プール範囲および1つのPATアドレスを宣言する例を示します。 nat コマンドを使用すると、すべての内部ユーザは外部ネットワークとの接続を開始できます。
Global 209.165.201.12 will be Port Address Translated
次に、連続する2つのクラスCアドレス範囲からグローバル プールを作成し、境界ホストにこのアドレス プールへのアクセスを許可して、外部インターフェイスで接続を開始する例を示します。
指定されたコマンドのヘルプ情報を表示するには、 help コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
コマンド モード:ユーザ、イネーブル、およびコンフィギュレーション
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
help または ? コマンドを使用すると、すべてのコマンドに関するヘルプ情報を表示できます。各コマンドのヘルプを表示するには、コマンド名のあとに「 ? 」(疑問符)を入力します。
コマンド名を指定しない場合は、現在の権限レベルおよびモードで使用可能なすべてのコマンドが表示されます。
pager コマンドがイネーブル化されている場合は、表示行数が24に達すると表示は停止し、次のプロンプトが表示されます。
Moreプロンプトでは、次のようにUNIX more コマンドと類似した構文を使用します。
次に、コマンド名のあとに疑問符を入力して、ヘルプ情報を表示する例を示します。
usage: enable password <pw> [encrypted]
コマンド プロンプトで ?を入力すると、メイン コマンド(show、no、またはclearコマンドでない)に関するヘルプ情報が表示されます。
aaa Enable, disable, or view TACACS+ or RADIUS
user authentication, authorization and accounting
FWSMコマンドライン プロンプトでホスト名を変更するには、 hostname コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
hostname コマンドを使用すると、プロンプトのホスト名ラベルを変更できます。デフォルトのホスト名はFWSMです。
(注) ホスト名を変更すると、完全修飾ドメイン名も変更されます。完全修飾ドメイン名が変更されたら、ca zeroize rsaコマンドを使用してRSA鍵ペアを削除し、no ca identity ca_nicknameコマンドを使用して関連する証明書を削除します。
spinner(config)#
hostname fwsm
FWSM HTTPサーバをイネーブルにして、そのサーバへのアクセスを許可するクライアントを指定するには、 http コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
[no] http ip_address [ netmask ] [ interface_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM Device Managerにアクセスするには、FWSMのHTTPサーバがイネーブルでなければなりません。
ip_address および netmask. に0.0.0.0 0.0.0.0(または0 0)を指定すると、すべてのホストからのアクセスが許可されます。
次に、 HTTP サーバをイネーブルにして、ホストを1つ指定する例を示します。
次に、HTTPサーバをイネーブルにして、任意のホストを指定する例を示します。
インターフェイスで終端するInternet Control Message Protocol(ICMP)トラフィックに関するアクセス ルールを設定するには、 icmp コマンドを使用します。アクセス ルールを削除するには、このコマンドの no 形式を使用します。
[no] icmp { permit | deny } ip_address net_mask [ icmp_type ] interface_name
(任意)ICMPメッセージ タイプ( 表 2-9 を参照) |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デフォルトでは、FWSMは外部インターフェイスを通るすべての着信トラフィックを拒否します。ご使用のネットワーク セキュリティ ポリシーに基づき、 icmp コマンドを使用して、外部インターフェイスやその他の任意のインターフェイスですべてのICMPトラフィックを拒否するようにFWSMを設定することを検討してください。
icmp コマンドは、FWSMで受信されるICMPトラフィックを制御します。ICMP制御リストが設定されていない場合、FWSMは任意のインターフェイス(外部インターフェイスを含む)で終端するすべてのICMPトラフィックを受け入れます。ただし、FWSMはブロードキャスト アドレスに転送されるICMPエコー要求には応答しません。
icmp denyコマンドはインターフェイスへのping送信をディセーブルにします。icmp permitコマンドはインターフェイスへのping送信をイネーブルにします。ping送信がディセーブルの場合は、ネットワーク上でFWSMを検出できません。
トラフィックがFWSMのみを介してルーティングされる場合は、 access-list または access-group コマンドを使用して、FWSMを介してルーティングされるICMPトラフィックを制御できます。
ICMP到達不能メッセージ タイプ(タイプ3)を許可するように設定することを推奨します。ICMP到達不能メッセージを拒否するように設定した場合は、ICMPパスのMaximum Transmission Unit(MTU;最大伝送ユニット)検出がディセーブルになり、IPSecおよびPoint-to-Point Tunneling Protocol(PPTP)トラフィックが中断することがあります。詳細については、RFC 1195およびRFC 1435を参照してください。
ICMP制御リストが設定されている場合、FWSMはICMPトラフィックとの最初の一致(暗黙的な全体拒否の前に配置)を使用します。つまり、最初に一致したエントリが許可エントリである場合、ICMPパケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、FWSMはICMPパケットを廃棄して、%FWSM-3-313001 Syslogメッセージを生成します。例外は、ICMP制御リストが設定されていない場合です。この場合は許可が使用されます。
%FWSM-3-313001: Denied ICMP type=type, code=code from source_address on interface interface_number
このメッセージが表示された場合は、ピアのシステム管理者に連絡してください。
表 2-9 に、使用されるICMPタイプの値を示します。
|
|
---|---|
次に、ping要求を含めて、外部インターフェイス宛のすべてのICMPトラフィックを拒否する例を示します。
ICMPトラフィックを拒否するインターフェイスごとに、 icmp deny any interface コマンドの入力を継続します。
次に、外部インターフェイスですべてのping要求を拒否し、すべての到達不能メッセージを許可する例を示します。
次に、ホスト172.16.2.15またはサブネット172.22.1.0/16上のホストから外部インターフェイスへのping送信を許可する例を示します。
ルータがタイプ6 Multicast OSPF(MOSPF)パケットに関するLink-State Advertisement(LSA;リンク ステート アドバタイズ)を受信した場合に、FWSMからのSyslogメッセージ送信を停止するには、ignore lsa mospfサブコマンドを使用します。これらのSyslogメッセージの送信を再開するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
show ip ospf コマンドは、設定された router ospf サブコマンドを表示します。
インターフェイスを作成し、インターフェイス サブモードを開始して、OSPFパラメータの設定およびインターフェイスのシャットダウンを行うには、 interface コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
シングル コンテキスト モードの場合にインターフェイス サブモードを開始すると、次のコマンドが使用可能になります。
• ospf ― 特定のOSPFパラメータを設定できます。 ospf(インターフェイス サブモード) コマンドを参照してください。
• [ no ] shutdown ― トラフィックが送受信されないようにインターフェイスを設定します。
マルチ コンテキスト モードの場合にインターフェイス サブモードを開始すると、shutdownコマンドが使用可能になります。
• shutdown ― インターフェイスでのトラフィックの送受信を禁止します。システム コンテキストまたはシングル モードで shutdown コマンドを実行すると、指定されたVLAN(仮想LAN)に接続されたすべてのインターフェイスでトラフィックの送受信が禁止されます。ユーザ コンテキストで shutdown コマンドを実行すると、その特定のインターフェイスでトラフィックの送受信が禁止されます。
clear interface stats
ip address
nameif
ospf(インターフェイス サブモード)
show interface
shutdown
ネットワーク インターフェイスのアドレスを識別するには、 ip address コマンドを使用します。
ip address ip_address [ mask ] [ standby sby_ip_addr ]
ip address interface_name ip_address [ mask ] [ standby sby_ip_addr ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッドおよびトランスペアレント ファイアウォール モード
|
|
---|---|
(注) IPアドレスまたはスタンバイ インターフェイスIPアドレスを削除するには、sby_ip_addrをゼロに設定します。
ip address コマンドを使用すると、各インターフェイスにIPアドレスを割り当てることができます。ネットワーク インターフェイスに割り当てられたアドレスを表示するには、 show ip コマンドを使用します。入力ミスがあった場合は、正しい情報を指定してコマンドを再入力します。 clear ip コマンドは、すべてのインターフェイスのIPアドレスを削除しますが、 ip verify reverse-route コマンドには影響しません。
(注) clear ipコマンドを実行すると、FWSMでのすべてのトラフィックの送受信が停止します。
ip addressコマンドを変更したあとで、clear xlateコマンドを使用してください。
ネットワーク マスクを指定する場合は、必ず ip address コマンドを使用してください。IPアドレスに基づくネットワーク マスクの割り当てをFWSMに許可した場合は、別のインターフェイスのアドレスが最初のアドレスと同じ範囲内にあるときに、後続のIPアドレスを入力できなくなることがあります。たとえば、ネットワーク マスクを指定しないで内部インターフェイス アドレス10.1.1.1を指定した場合に、境界インターフェイス マスクに10.1.2.2を指定しようとすると、FWSMはエラー メッセージ「Sorry, not allowed to enter IP address on same network as interface n 」を表示します。この問題を修正するには、正しいネットワーク マスクを指定して、最初のコマンドを入力し直します。
ネットマスクをすべて255(255.255.255.255など)に設定しないでください。インターフェイスにアクセスできなくなります。代わりに、クラスCアドレスの場合はネットワーク アドレス
255.255.255.0、クラスBアドレスの場合は255.255.0.0、クラスAアドレスの場合は255.0.0.0を使用してください。
フェールオーバーを使用するようにFWSMを設定する場合は、スタンバイ モジュールのネットワーク インターフェイスごとに個別のIPアドレスが必要です。システムIPアドレスはアクティブ モジュールのアドレスです。アクティブ モジュールでshow ipコマンドを実行した場合、現在のIPアドレスはシステムIPアドレスと同じです。スタンバイ モジュールでshow ipコマンドを実行した場合、現在のIPアドレスはスタンバイ モジュールに設定されたフェールオーバーIPアドレスです。
次に、トランスペアレント モードでIPアドレスを設定する例を示します。
次に、ルーテッド モードでIPアドレスを表示する例を示します。
clear ip address
clear ip verify reverse-path
nameif
show ip address
show ip verify
ローカル アドレス プールを定義するには、 ip local pool コマンドを使用します。
ip local pool poolname ip1 [- ip2 ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド トランスペアレント ファイアウォール モード
|
|
---|---|
clear ip address
dhcpd
show ip address
show ip verify
telnet
who
IPプレフィクス リストを設定するには、 ip prefix-list コマンドを使用します。
[no] ip prefix-list list-name [seq seq-value ] {permit | deny} prefix/len [ge min-value ] [le max-value ]
ip prefix-list sequence-number
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear ip address
dhcpd
show ip address
show ip verify
telnet
who
入力および出力フィルタリングを両方ともイネーブルにして、アドレスおよびルートの整合性を確認するには、 ip verify reverse-path コマンドを使用します。構成内の各インターフェイスに対してip verify reverse-pathフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] ip verify reverse-path interface int_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
ip verify reverse-pathコマンドを使用すると、送信元アドレスに基づいてルートを検索できます。この機能はReverse Path Forwarding(RPF)といいます。これは、通常、ルート検索が送信元アドレスでなく宛先アドレスに基づいて実行されるためです。このコマンドがイネーブルの場合に、ルートが検出されないパケット、または検出されたルートがパケットの着信先インターフェイスと一致しないパケットは廃棄されます。
ip verify reverse-pathコマンドを使用すると、ネットワークの入出力フィルタリングを使用してIPスプーフィング攻撃から保護するインターフェイスを指定できます(RFC 2267を参照)。このコマンドはデフォルトでディセーブルです。このコマンドを実行すると、FWSMにユニキャストReverse Path Forwarding(RPF)機能が提供されます。
IPスプーフィングはIPプロトコルの脅威となるため、可能なかぎりこのリスクを軽減する対策が必要となります。ユニキャストRPF(リバース ルート検索)を使用すると、特定の状況においてIPスプーフィング操作が禁止されます。
(注) ip verify reverse-pathコマンドの動作は、routeコマンドでIPアドレスおよびネットワーク マスクに0.0.0.0 0.0.0.0が指定された外部インターフェイスの設定に、デフォルト ルート エントリが存在するかどうかによって異なります。
ip verify reverse-path コマンドを使用すると、入力と出力の両方のフィルタリングを実行できます。入力フィルタリングは着信パケットを調べて、IP送信元アドレスの整合性を確認します。このフィルタリングの対象は、実行エンティティのローカル ルーティング テーブル内にあるネットワーク アドレスに限定されます。着信パケット内にルートで表現される送信元アドレスが含まれていない場合は、パケットが送信元への最適リターン パスに到達したかどうかを確認することはできません。
出力フィルタリングは、メッセージ ドメイン外部のホスト宛に送信されるパケットに、実行エンティティのローカル ルーティング テーブル内のルートで確認可能なIP送信元アドレスが含まれているかどうかを検証します。発信パケットが送信元への最適リターン パスに到達しない場合、パケットは廃棄され、アクティビティが記録されます。出力フィルタリングを使用すると、内部ユーザはローカル ドメイン外部のIP送信元アドレスを使用した攻撃を実行できなくなります。通常の攻撃では、IPスプーフィングによって攻撃元ホストのIDが隠されるためです。また、出力フィルタリングにより、攻撃元のトレースが格段に容易になります。出力フィルタリングが採用されている場合は、有効なネットワーク アドレス プールから取得されたIP送信元アドレスが実行されます。アドレスは実行エンティティに対して常にローカルに維持されるため、トレースが容易です。
• ICMPパケットにはセッションが含まれないため、各パケットがチェックされます。
• UDPおよびTCPにはセッションが含まれるため、先頭パケットではリバース ルート検索が必要です。セッション中に着信する後続パケットは、セッションの一部として保持される既存状態を使用して調べられます。先頭以外のパケットでは、先頭パケットで使用されたインターフェイスと同じインターフェイスに着信したかどうかが調べられます。
(注) このコマンドを使用する前に、保護対象インターフェイスでアクセス可能なネットワークごとに、スタティックrouteコマンドを追加してください。このコマンドは、ルーティングが完全に指定されている場合のみイネーブルにしてください。ルーティングが指定されていない場合、FWSMは指定されたインターフェイスでのトラフィックの送受信を停止します。
[unicast rpf drops]カウンタで示される廃棄パケット数を表示するには、 show interface を使用します。
次に、内部および外部インターフェイス間でトラフィックを保護し、ハブを通して内部インターフェイスに接続された2つのネットワーク(10.1.2.0および10.1.3.0)にrouteコマンドを実行する例を示します。
ip verify reverse-path interface outside コマンドは、インターネットからのネットワーク侵入攻撃から、外部インターフェイスを保護します。 ip verify reverse-path interface inside コマンドは、内部ネットワーク ユーザのネットワーク出力攻撃から内部インターフェイスを保護します。
Internet Security Association Key Management Protocol(ISAKMP)をIPSec Internet Key Exchange(IKE)用に設定するには、 isakmp コマンドを使用します。IKEをディセーブルにするには、このコマンドの no 形式を使用します。
[no] isakmp client configuration address-pool local pool-name [ interface-name ]
[no] isakmp enable interface-name
[no] isakmp identity { address | hostname }
[no] isakmp keepalive seconds [retry_seconds]
[no] isakmp key keystring address peer-address [ netmask mask ] [ no-xauth ] [ no-config-mode ]
[no] isakmp peer fqdn fqdn no-xauth no-config-mode
name コマンドを使用して設定されたトンネル ピアの名前を指定します。 |
|
(任意)直前の要求からのキープアライブ応答が着信しない場合に、キープアライブ メッセージを送信するまでのインターバルを指定します。有効値は2~10秒です。 |
|
(任意)ネットマスク0.0.0.0をワイルドカードとして入力できます。この場合、特定のIPアドレスに関連付けられた鍵を持たない任意のピアで、鍵を使用することができます。 |
|
(任意)指定された事前共有鍵をゲートウェイに関連付けて、 crypto map client authentication コマンドでイネーブル化されたXauth機能に対する例外を可能にします。 |
|
(任意)指定された事前共有鍵をゲートウェイに関連付けて、 crypto map client configuration address コマンドでイネーブル化されたIKEモード コンフィギュレーション機能に対する例外を可能にします。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
• no isakmp client configuration address-pool local コマンド ― デフォルト値を復元します。
• no isakmp enable コマンド ― IKEをディセーブルにします。
• no isakmp identity コマンド ― ISAKMPのIDをホスト名のデフォルト値にリセットします。
• no isakmp key address コマンド ― 事前共有認証鍵および対応するIPSecピア アドレスを削除します。
• no isakmp peer fqdn fqdn no-xauth | no-config-mode コマンド ― イネーブル化されている isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドをディセーブルにします。
isakmp client configuration address-pool local
isakmp client configuration address-pool local コマンドは、IKEを参照するようにIPアドレス ローカル プールを設定する場合に使用します。
isakmp enable コマンドは、IPSecピアがFWSMと通信するインターフェイス上で、ISAKMPネゴシエーションをイネーブルにする場合に使用します。ISAKMPはデフォルトでディセーブルです。
isakmp コマンドを使用すると、IKEプロトコルに参加するときにFWSMが使用するISAKMP IDを定義できます。
2つのピアがIKEを使用してIPSecセキュリティ アソシエーションを確立する場合は、各ピアがISAKMP IDをリモート ピアに送信します。各ピアのISAKMP IDの設定方法に応じて、各ピアはIPアドレスまたはホスト名のいずれかを送信します。デフォルトでは、FWSMのISAKMP IDはホスト名に設定されています。 name コマンドによるIKEネゴシエーションの失敗を避けるために、FWSMおよびピアのIDを同じ方法で設定してください。ネゴシエーションに失敗するのは、FWSMまたはピアがピアのIDを認識しないことなどが原因です。
(注) IKEポリシーの認証方式としてRSA署名を使用する場合は、参加しているピアのIDをホスト名に設定することを推奨します。このように設定しないと、IKEのフェーズ1中に確立されるISAKMPセキュリティ アソシエーションに失敗することがあります。
isakmp keepalive seconds [retry_seconds]コマンドを使用すると、キープアライブ ライフタイム インターバルを設定できます。キープアライブ インターバルの有効値は10~3600秒です。再試行インターバルの有効値は2~10秒です。デフォルトは2秒です。再試行インターバルは、キープアライブ応答が受信されなかった場合の再試行間隔です。再試行インターバルを指定しなくてもキープアライブ ライフタイム インターバルを指定できますが、キープアライブ ライフタイム インターバルを指定しないと再試行インターバルは指定できません。
事前共有認証鍵を設定して、IPSecピア アドレスまたはホスト名を関連付けるには、 isakmp key address コマンドを使用します。
IKEポリシー内で事前共有鍵を指定する場合は、両方のピアに事前共有鍵を設定してください。設定しないと、IKEプロセスで照合する際にポリシーが提示されないため、ポリシーを使用できません。
ネットマスク0.0.0.0をワイルドカードとして入力できます。このワイルドカード(ネットマスク)を入力すると、指定された有効な事前共有鍵を持つ任意のIPSecピアが有効なピアになります。
(注) FWSMまたは任意のIPSecピアは複数のピアと同じ認証鍵を使用することができます。ただし、ピアのペアごとに一意の認証鍵を使用する方が、セキュリティは大幅に向上します。
指定されたセキュリティ ゲートウェイに対応する事前共有鍵は、リモートVPN(仮想私設網)クライアントの識別および認証用のワイルドカード事前共有鍵(事前共有鍵にネットマスク0.0.0.0を追加したもの)と異なる値に設定してください。
no-xauth または no-config-mode キーワードは、次の条件が満たされる場合のみ使用します。
• セキュリティ ゲートウェイおよびVPNクライアント ピアが同じインターフェイスで終端する場合
• XauthまたはIKEモード設定がVPNクライアント ピアでイネーブルの場合
isakmp key keystring address ip-address [ no-xauth ] [ no-config-mode ]コマンドを使用すると、事前共有認証鍵を設定し、所定のセキュリティ ゲートウェイのアドレスに関連付けて、イネーブル化されたXauth、IKEモード設定機能、またはその両方(通常の場合)に対する例外をこのピアに作成することができます。
XauthおよびIKEモード設定は、リモートVPNクライアント用に設計されています。Xauthの場合、FWSMはIKEネゴシエーション中に、ピアにユーザ名およびパスワードを要求します。IKEモード設定の場合、FWSMはダイナミックIPアドレス割り当て用のIPアドレスをピアにダウンロードできます。ほとんどのセキュリティ ゲートウェイは、XauthおよびIKEモード設定をサポートしません。
Microsoft L2TP/IPSecクライアントv1.0(Windows NT、Windows XP、Windows 98、およびWindows ME OSで使用可能)を使用してLayer 2 Tunneling Protocol(L2TP)IPSecトンネルを終端する場合は、インターフェイス上でXauthまたはIKEモード設定をイネーブルにできません。その代わりに、次のいずれかを実行できます。
• Windows 2000 L2TP/IPSecクライアントを使用します。
• isakmp key keystring address ip-address netmask mask no-xauth no-config-mode コマンドを使用して、L2TPクライアントに対してXauthおよびIKEモード設定を免除します。ただし、L2TPクライアントに対してXauthまたはIKEモード設定を免除した場合は、すべてのL2TPクライアントを同じISAKMP事前共有鍵または証明書を使用してグループ化するか、同じ完全修飾ドメイン名を指定する必要があります。
no-xauth キーワードが設定されている場合、FWSMはピアにユーザ名およびパスワードを要求しません。同様に、 no-config-mode キーワードが設定されている場合、FWSMはダイナミックIPアドレス割り当て用のIPアドレスをピアにダウンロードしようとしません。
イネーブル化されている key keystring address ip-address [ no-xauth ] [ no-config-mode ]コマンドをディセーブルにするには、 no key keystring address ip-address [ no-xauth ] [ no-config-mode ]コマンドを使用します。
isakmp peer fqdn no-xauth | no-config-mode
isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドは、次の条件が満たされる場合のみ使用します。
• セキュリティ ゲートウェイおよびVPNクライアント ピアが同じインターフェイスで終端する場合
• XauthまたはIKEモード設定がVPNクライアント ピアでイネーブルの場合
isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドを使用すると、セキュリティ ゲートウェイであるピアを識別し、イネーブル化されたXauth、IKEモード設定、またはその両方の機能(通常の場合)に対する例外をこのピアに作成することができます。
XauthおよびIKEモード設定は、リモートVPNクライアント用に設計されています。Xauthの場合、FWSMはピアに対して、IKEネゴシエーション中にユーザ名およびパスワードを要求します。IKEモード設定の場合、FWSMはダイナミックIPアドレス割り当て用のIPアドレスをピアにダウンロードできます。ほとんどのセキュリティ ゲートウェイは、XauthおよびIKEモード設定をサポートしません。
no-xauth キーワードが設定されている場合、FWSMはピアにユーザ名およびパスワードを要求しません。 no-config-mode キーワードが設定されている場合、FWSMはダイナミックIPアドレス割り当て用のIPアドレスをピアにダウンロードしようとしません。
(注) IKEポリシーの認証方式としてRSA署名を使用する場合は、isakmp identity hostnameコマンドを使用して、参加しているピアのIDをホスト名に設定することを推奨します。このように設定しないと、IKEのフェーズ1中に確立されるISAKMPセキュリティ アソシエーションに失敗することがあります。
次に、IKEに対するIPアドレス ローカル プールをプール名「mypool」で表す例を示します。
次に、内部インターフェイスでIKEをディセーブルにする例を示します。
次に、ピアである2つのFWSM(FWSM 1およびFWSM 2)間の事前共有鍵を使用して、両方のISAKMP IDをホスト名に設定する例を示します。
次に、FWSMと、IPアドレス10.1.0.0で指定されたピアとの間で共有する認証鍵に「sharedkeystring」を設定する例を示します。
次に、ワイルドカード事前共有鍵を使用する例を示します。「sharedkeystring」は、FWSMと、IPアドレス0.0.0.0およびネットマスク0.0.0.0で指定されたピア(この場合はVPNクライアント)の間で共有する認証鍵です。
次に、 no-xauthおよびno-config-mode キーワードを、セキュリティ ゲートウェイである3つのFWSMピアと組み合わせて使用する例を示します。これらのセキュリティ ゲートウェイは、VPNクライアントと同じインターフェイスでIPSecを終端します。XauthおよびIKEモード設定がイネーブルであるため、これらの2つの機能に対する例外を各セキュリティ ゲートウェイに作成する必要があります。次に、各セキュリティ ゲートウェイ ピア、およびFWSMと共有する一意の事前共有鍵を示します。ピアのIPアドレスは10.1.1.1、10.1.1.2、および10.1.1.3です。ネットマスクには255.255.255.255を指定します。
次に、 no-xauthおよびno-config-mode キーワードを、セキュリティ ゲートウェイである3つの
FWSMピアと組み合わせて使用する例を示します。これらのセキュリティ ゲートウェイは、VPNクライアントと同じインターフェイスでIPSecを終端します。XauthおよびIKEモード設定機能がイネーブルであるため、これらの2つの機能に対する例外を各セキュリティ ゲートウェイに作成する必要があります。各セキュリティ ゲートウェイ ピアの完全修飾ドメイン名を指定します。
ca authenticate
crypto dynamic-map
crypto ipsec security-association lifetime
crypto map client
isakmp policy
show isakmp policy
Authentication Header(AH)およびEncapsulating Security Payload(ESP)IPSecプロトコルに関するIPSec Internet Security Association Key Management Protocol(ISAKMP)フレームワーク内で、特定のInternet Key Exchange(IKE)アルゴリズムおよびパラメータを設定するには、 isakmp policy コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
[no] isakmp policy priority authentication { pre-share | rsa-sig }
[no] isakmp policy priority encryption { des | 3des }
[no] isakmp policy priority group { 1 | 2 }
[no] isakmp policy priority hash { md5 | sha }
[no] isakmp policy priority lifetime seconds
IKEポリシーを識別し、ポリシーにプライオリティを割り当てます。1~65,534の整数を使用します。1は最大プライオリティ、65,534は最小プライオリティです。 |
|
期限が切れるまで各セキュリティ アソシエーションが存続しなければならない秒数を指定します。有効値は120~86,400秒(1日)です。 |
• Diffie-Hellmanグループ ― group 1
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
isakmp policy コマンドを使用すると、IPSecセキュリティ アソシエーションをネゴシエートして、IPSecセキュア通信を実現することができます。
isakmp policy authentication コマンドを使用すると、IKEポリシー内の認証方式を指定できます。IKEポリシーは、IKEネゴシエーション中に使用される一連のパラメータを定義します。
RSA署名を指定した場合は、CAから証明書を取得するようにFWSMおよびピアを設定する必要があります。事前共有鍵を指定した場合は、FWSMおよびピア内でこれらの事前共有鍵を個別に設定する必要があります。
isakmp policy-encryption コマンドを使用すると、IKEポリシー内で使用される暗号化アルゴリズムを指定できます。サポートされている暗号化アルゴリズムはDES( des )および3DES( 3des )です(IKEポリシーは、IKEネゴシエーション中に使用される一連のパラメータを定義する)。
isakmp policy group コマンドを使用すると、IKEポリシーで使用されるDiffie-Hellmanグループを指定できます。IKEポリシーは、IKEネゴシエーション中に使用される一連のパラメータを定義します。
768ビット(DHグループ1)と1024ビット(DHグループ2)の2つのグループ オプションがあります。1024ビットDiffie-Hellmanグループの方がセキュリティが強固ですが、実行に要するCPU時間が増大します。
Diffie-Hellmanグループ識別子をデフォルト値のグループ1(768ビットDiffie Hellman)にリセットするには、 no isakmp policy group コマンドを使用します。
(注) Cisco VPN Clientバージョン3.xはDiffie-Hellmanグループ2を、Cisco VPN Client 3000バージョン2.5/2.6はDiffie-Hellmanグループ1を使用します。
isakmp policy hash コマンドを使用すると、IKEポリシーで使用されるハッシュ アルゴリズムを指定できます。IKEポリシーは、IKEネゴシエーション中に使用される一連のパラメータを定義します。
SHA-1とMD5の2つのハッシュ アルゴリズム オプションがあります。MD5はSHA-1よりもダイジェストが小さく、わずかに高速です。
ハッシュ アルゴリズムをデフォルト値のSHA-1にリセットするには、 no isakmp policy hash コマンドを使用します。
isakmp policy lifetime コマンドを使用すると、IKEセキュリティ アソシエーションの期限が切れるまでのライフタイムを指定したり、セキュリティ アソシエーション ライフタイムをデフォルト値の86,400秒(1日)にリセットすることができます。
IKEはネゴシエーションを開始するときに、独自セッションに関するセキュリティ パラメータについて合意しようとします。合意されたパラメータは、各ピアのセキュリティ アソシエーションで参照されます。セキュリティ アソシエーションは、ライフタイムが切れるまで、ピアごとに保持されます。セキュリティ アソシエーションは、期限が切れる前に、後続のIKEネゴシエーションで再利用できます。これにより、新しいIPSecセキュリティ アソシエーションを設定する時間を短縮できます。現在のセキュリティ アソシエーションの期限が切れる前に、新しいセキュリティ アソシエーションがネゴシエートされます。
IPSecの時間を短縮するには、IKEセキュリティ アソシエーションのライフタイムが長くなるように設定します。ただし、ライフタイムが短いほど、IKEネゴシエーションのセキュリティが向上する可能性があります。
(注) FWSMが自身とIPSecピアの間でIKEネゴシエーションを開始するときに、IKEポリシーを選択できるのは、ピアのポリシーのライフタイムがIKEポリシーのライフタイムと等しいか、または短い場合のみです。ライフタイムが異なる場合は、短い方のライフタイムが選択されます。
次に、 isakmp policy authentication コマンドを使用して、ポリシー番号が40のIKEポリシー内で使用される認証方式としてRSA署名を設定する例を示します。
次に、ポリシー番号が40のIKEポリシー内で3DESアルゴリズムを使用するように設定する例を示します。
次に、 isakmp policy group コマンドを使用して、ポリシー番号が40のIKEポリシー内でグループ2(1024ビットDiffie Hellman)を使用するように設定する例を示します。
次に、 isakmp policy hash コマンドを使用して、ポリシー番号が40のIKEポリシー内でMD5ハッシュ アルゴリズムを使用するように設定する例を示します。
次に、 isakmp policy lifetime コマンドを使用して、ポリシー番号が40のIKEポリシー内で、IKEセキュリティ アソシエーションのライフタイムを50,400秒(14時間)に設定する例を示します。
ca authenticate
crypto dynamic-map
crypto ipsec security-association lifetime
crypto map client
isakmp
show isakmp
Telnetセッションを終了するには、 kill コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
kill コマンドを使用すると、Telnetセッションを終了できます。TelnetセッションのID値を表示するには、 who コマンドを使用します。Telnetセッションを終了すると、FWSMはすべてのアクティブ コマンドを終了し、ユーザに警告を表示することなく接続を切断することができます。
(注) killコマンドを使用して、スイッチからシステムへのEthernet Out-of-Band Channel(EOBC)Telnetセッションを終了することはできません。
次に、アクティブなTelnetセッションを表示するために使用される show who コマンドの出力例、および kill コマンドを使用してTelnetセッション2を終了する例を示します。
2: From 10.10.54.0
クラスのすべてのメンバーのリソース制限を設定するには、 class コマンドを入力してクラス サブコンフィギュレーション モードを開始したあとに、 limit-resource コマンドを使用します。リソース制限をオフにするには、このコマンドの no 形式を使用します。
[no] limit-resource {[rate] resource_name | all} number [ % ]
(任意) number 引数と併用した場合は、リソース制限の割合を指定します。詳細については「使用上の注意事項」を参照してください。 |
|
|
---|---|
必要なすべての制限が設定されるまで、 limit-resource コマンドを複数回入力してください。
individual resource_name を入力すると、全体に設定された制限が上書きされます。
all キーワードを使用する場合は、絶対値でなく、 number % を指定します。個別に設定できない一般的なリソースは、次のとおりです。
number % キーワードおよび引数には、以下を入力できます。
• 絶対値(整数) ― all キーワードと併用しないでください。 resource_name の説明にあるリソースの合計数を参照してください。デバイスをオーバーサブスクライブさせる場合は、すべてのクラスの合計数を超過する値を割り当てることができます。
• パーセント(実数) ― 数値のあとにパーセント記号( % )を指定します。たとえば、0.001%のようになります。デバイスをオーバーサブスクライブさせる場合は、すべてのクラスの合計が100%を超過するように割り当てることができます。
クラスを作成する場合は、クラスに割り当てられた各コンテキスト用にリソースの一部を確保しないで、コンテキストに最大限のリソースを設定します。リソースをオーバーサブスクライブさせる場合、または一部のリソースを無制限に設定した場合は、別のコンテキストに割り当てられたリソースの一部を使用することができます。
すべてのリソースの制限を同時に設定したり(汎用制限)、リソースの制限を個別に設定することができます。ただし、汎用制限には多くのリソースが対応していますが、個別制限には一部のリソースしか対応していません。両方の制限タイプ(個別および汎用)を指定した場合、FWSMは個別リソース(存在する場合)には個別制限を使用し、それ以外のすべてのリソースには汎用制限を適用します。
FWSMをオーバーサブスクライブさせるには、すべてのコンテキストのリソースの合計が100%を超過するように割り当てます。たとえば、Bronzeクラスのすべてのリソースの上限をコンテキストあたり1%に設定してから、このクラスに150個のコンテキストを割り当てることができます。すべてのコンテキストが同時に各制限に到達することがないことを確認してください。
FWSMでは、クラス内の1つまたは複数のリソースに、パーセントまたは絶対値によるアクセス制限でなく、無制限のアクセスを割り当てることができます。リソースが無制限の場合、コンテキストはシステムで利用可能なだけリソースを使用できます。無制限アクセスを設定すると、FWSMをオーバーサブスクライブした場合と同様の状態になりますが、システムのオーバーサブスクライブ サイズを制御することはできません。
ACE(アクセス制御エントリ)用のSyslogメッセージ106100を生成するには、 access-list コマンド内で log キーワードを使用します。
log [ disable ] | [ level ] | [ default ] | [ interval secs ]]
(任意)ACE用にSyslogメッセージ106100を生成するように指定します。詳細については、「使用上の注意事項」を参照してください。 |
|
デフォルトのACL(アクセス制御リスト)ロギング動作( log キーワードが指定されていない場合)では、パケットが拒否された場合、メッセージ106023が生成されます。パケットが許可された場合、Syslogメッセージは生成されません。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
log オプション キーワードを指定すると、このキーワードが適用されるACEに対してSyslogメッセージ106100が生成されます(Syslogメッセージ106100は、FWSMを通過する許可または拒否ACEフローと一致するたびに生成される)。最初に一致したフローはキャッシュに格納されます。それ以降の一致が発生すると、ACEに対する show access-list コマンド出力内のヒット数が増加します。フローのヒット数がゼロでない場合は、 interval secs で定義されたインターバルの終了時に、新しい106100メッセージが生成されます。
デフォルトのACLロギング動作( log キーワードが指定されていない場合)では、パケットが拒否された場合、メッセージ106023が生成されます。パケットが許可された場合、Syslogメッセージは生成されません。
生成されるSyslogメッセージ(106100)に、オプションのSyslog level (0~7)を指定できます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)です。ACEがすでに存在する場合、既存のログ レベルは変更されません。
log disable オプション キーワードを指定しない場合、アクセス リストのロギングは完全にディセーブルになります。Syslogメッセージは、メッセージ106023を含めて、生成されません。
log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギングに戻ります。
(注) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。
次に、アクセスリストの log オプション キーワードをイネーブルにした場合の動作を示します。
上記の例は、ICMPコンテキストでのアクセスリスト ロギングの使用法を示します。
1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)は、外部インターフェイスに着信します。
2. アクセス チェック用に、 outside-acl という名前のACLが適用されます。
3. パケットは、 log オプション キーワードがイネーブルに設定された outside-acl の最初のACEで許可されます。
4. ログ フロー(ICMP, 1.1.1.1, 0, 192.168.1.1, 8)がキャッシュに格納されていないため、次のSyslogメッセージが生成され、ログ フローがキャッシュに格納されます。
5. 次の10分(600秒)間で20個のパケットが外部インターフェイスに着信します。ログ フローがキャッシュに格納されているため、ログ フローが検索されて、ログ フローのヒット数がパケットごとに増加します。
6. 10分が経過すると、次のSyslogメッセージが生成されて、ログ フローのヒット数が0にリセットされます。
7. 次の10分間内に外部インターフェイスに着信するパケットは存在しないため、ログ フローのヒット数は0のままです。
8. ヒット数が0であるため、20分が経過すると、キャッシュ内のフロー(ICMP, 1.1.1.1, 0, 192.168.1.1, 8)は削除されます。
ACEを削除しないで log オプション キーワードをディセーブルにするには、 access-list id log disableコマンドを入力します。
no access-list コマンドを使用して、 log オプション キーワードがイネーブルに設定されたACEを削除する場合、すべての log オプションを指定する必要はありません。許可または拒否ルールを使用して一意に識別されるACEが削除されます。ただし、ACE( log オプション キーワードがイネーブルに設定されている)を削除しても、対応するキャッシュ内フローは削除されません。キャッシュ内フローを削除するにはACL全体を削除する必要があります。ACLの削除によりキャッシュ内フローがフラッシュされると、フローのヒット数が0でない場合、Syslogメッセージが生成されます。
Open Shortest Path First(OSPF)ネイバの起動時または停止時にSyslogメッセージを送信するようにルータを設定するには、log-adj-changesサブコマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
show ip ospf コマンドを使用すると、設定された router ospf サブコマンドを表示できます。
log-adj-changesサブコマンドはデフォルトでイネーブルです。ただし、 detail キーワードを指定した場合、log-adj-changesサブコマンドが表示されるのはOSPFの設定時のみです。
次に、システム ログ メッセージをイネーブルにする例を示します。
SyslogおよびSNMP(簡易ネットワーク管理プロトコル)ロギングをイネーブルにするには、 logging コマンドを使用します。SyslogおよびSNMPロギングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] logging {on | buffered level | console level | facility facility | history level | { message syslog_id [ level level ]} | monitor level | queue queue_size | standby | timestamp | trap level }
[no] logging device-id { hostname | ipaddress interface_name | string text }
[no] logging host in_intf syslog_ip [ port/port ] [format emblem] [ i nterface if1 [ if2 ] ... ]
• logging device-id コマンド ― ディセーブル
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
コマンド モード:イネーブル モード(このコマンドの no 形式の場合はコンフィギュレーション モード)
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
loggingコマンドを使用すると、情報メッセージのコンソール、Syslogサーバ、またはSNMP管理ステーションへの送信をイネーブルまたはディセーブルにすることができます。すべてのロギングを停止するには、no logging onコマンドを使用します。
FWSMがコンソールに表示するメッセージよりも、Syslogサーバに送信するメッセージの方が情報は豊富です。ただし、コンソールの情報だけでも、トラブルシューティングを効率的に行うことができます。
aaa accountingauthentication enable consoleコマンドを使用すると、シリアル コンソールから設定が変更されるたびに、Syslogメッセージ(Syslogレベル4)が送信されます。
コンソールに表示されるメッセージのタイプを制限するには、levelを使用します。FWSMのパフォーマンスが低下するため、このコマンドは使用しないことを推奨します。
ホストはメッセージのfacility番号に基づいてメッセージを整理します。
logging device-id コマンドを使用すると、Syslogサーバに送信されるEMBLEM以外のフォーマットのSyslogメッセージ内に一意のデバイスIDを表示できます。
このコマンドがイネーブルの場合、FWSMはEMBLEM以外のフォーマットのすべてのSyslogメッセージ内にデバイスIDを表示します。ただし、EMBLEMフォーマットのSyslogメッセージ テキストには影響がありません。
(注) SyslogメッセージのデバイスID部分を表示するには、FWSMから直接操作しないで、Syslogサーバを使用する必要があります。
ipaddressキーワードを使用した場合、メッセージの送信元インターフェイスに関係なく、デバイスIDは指定されたFWSMインターフェイスのIPアドレスになります。このキーワードを指定すると、デバイスから送信されるすべてのメッセージに一貫したデバイスIDが1つ設定されます。
string text の最大長は16文字です。スペース(ブランク)を含めることはできません。
logging history コマンドを使用すると、SNMPメッセージ レベルを設定できます。
logging host ip_address format emblemコマンドを使用すると、SyslogサーバごとにEMBLEMフォーマットのロギングをイネーブルにできます。EMBLEMフォーマットのロギングを使用できるのは、UDP Syslogメッセージの場合のみです(Resource Management Environment[RME]SyslogアナライザはUDP Syslogメッセージのみをサポートするため)。特定のSyslogホストに対してEMBLEMフォーマットのロギングをイネーブルにすると、メッセージはそのホストに送信されます。 logging timestamp キーワードもイネーブルにした場合は、メッセージにタイムスタンプが付加されて送信されます。
複数のlogging hostコマンドを使用すると、Syslogメッセージをすべて受信する別のサーバを指定することができます。ただし、UDPとTCPの両方を受信するようにサーバを指定することはできません(受信できるのは、いずれか一方のみ)。FWSMはFWSM Syslog Server(PFSS)にTCP Syslogメッセージのみを送信します。
以前に入力された port および protocol 値のみを表示するには、write terminalコマンドを使用して、リスト内のコマンドを調べます。TCPプロトコルは6、UDPプロトコルは17と表示されています。TCPポートはFWSM Syslogサーバと組み合わせた場合のみ機能します。 port は、Syslogサーバが待ち受けるポートと同じでなければなりません。
指定したlevelは、このlevelと同じか、またはそれ以下のレベルのメッセージが必要であることを示します。たとえば、levelが3の場合、Syslogには0、1、2、および3のメッセージが表示されます。levelの有効な値および文字列は、次のとおりです。
• 0 ― emergency ― システムで使用不可能なメッセージ
• 1 ― alert ― すぐに実行する必要があるアクション
• 5 ― notifications ― 正常だが注意を要する状態
• 7 ― debugging ― デバッグ メッセージおよびFTP(ファイル転送プロトコル)およびWWW URL
logging message syslog_id level level コマンドを使用すると、Syslogメッセージのレベルを変更できます。no logging messageコマンドは「%FWSM-6-199002:FWSM startup completed.Beginning operation」Syslogメッセージをブロックできません。
Syslog内にメッセージが %FWSM-1-101001と表示されている場合は、 syslog_id として「101001」を使用します。メッセージ番号については、『 Cisco PIX Firewall System Log Messages 』を参照してください。
logging queueコマンドを使用すると、処理を待機しているメッセージのSyslogメッセージ キュー サイズを指定できます。トラフィックが大量にある場合は、メッセージが廃棄されることがあります。
Syslogメッセージを処理する前に格納するキュー サイズを設定します。0 (ゼロ)は無制限を示します(使用可能なブロック メモリの影響を受ける)。最小サイズは1個のメッセージです。
logging standby コマンドを使用すると、フェールオーバー スタンバイ モジュールからSyslogメッセージを送信できるようになります。このコマンドを使用すると、フェールオーバーが発生した場合に、スタンバイ モジュールのSyslogメッセージは引き続き同期されます。ただし、この機能により、Syslogサーバには2倍のトラフィックが発生します。
logging timestampコマンドを使用する場合は、clockコマンドの設定が必要です。
logging trap コマンドを使用すると、Syslogメッセージ レベルを設定できます。
ロギング トランスポート プロトコルとしてTCPを使用していると、FWSM がSyslogサーバに到達できない場合、Syslogサーバが正しく設定されていない場合(PFSSが原因の場合など)、またはディスクが一杯の場合に、FWSMはセキュリティ対策としてトラフィックの送受信を停止します(UDPベースのロギングの場合は、Syslogサーバに障害が発生しても、FWSMはトラフィックを送受信できる)。
次に、logging queueおよびshow logging queueコマンドの出力を表示する例を示します。
この例では、logging queueコマンドは0に設定されているため、メッセージ数は無制限になり、すべてのSyslogメッセージが処理されます。show logging queueコマンドは、5つのメッセージがキューに格納されていること、FWSMを最後に起動してから一度にキューに格納された最大メッセージ数が3513であること、および1つのメッセージが廃棄されたことを示します。キューは無制限に設定されていますが、ブロック メモリが枯渇した場合は、メッセージが廃棄されます。
次に、TCP Syslogサーバに到達できない場合の show logging コマンドの出力例を示します。FWSMはトラフィックの送受信を停止し、内部へのロギングを disabled に設定します。
次に、Syslogメッセージのレベルを変更し、現在のレベルおよびデフォルト レベルを表示する例を示します。
clear logging rate-limit
show logging
clear logging rate-limit
telnet
terminal
Syslogの生成レートを制限するには、 logging rate-limit コマンドを使用します。レート制限をディセーブルにするには、このコマンドの no 形式を使用します。
[no] logging rate-limit { unlimited | { num [ interval ]}} message syslog_id
[no] logging rate-limit { unlimited | num [ interval ] } level syslog_level
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
コマンド モード:イネーブル モード(このコマンドの no 形式の場合はコンフィギュレーション モード)
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear logging rate-limit
show logging
clear logging rate-limit
telnet
terminal
セッションを起動したり、特定のユーザとして別の権限レベルやコマンド モードにアクセスするために、FWSMのログイン プロンプトを開始するには、 login コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
login コマンドを使用すると、 username コマンドで作成されたローカル ユーザ認証データベースを使用して、FWSM、別の権限レベル、またはコマンド モードにログインすることができます。このコマンドは、ユーザ モードで使用できます。
ログイン後は、 logout 、 exit 、または quit コマンドを使用して、ユーザ モードに戻ることができます。
現在のユーザ プロファイルを終了し、ユーザ モードに戻るには、 logout コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
logout コマンドを使用すると、 username コマンドで作成されたローカル ユーザ認証データベースを使用して、FWSM、別の権限レベル、またはコマンド モードからログアウトすることができます。このコマンドは、ユーザ モードで使用できます。
レイヤ2転送テーブルにインターフェイスおよび対応するMAC(メディア アクセス制御)アドレスのリストを追加するには、 mac-address-table static コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
[no] mac-address-table static interface_name mac
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
mac-address-table static コマンドを使用すると、レイヤ転送テーブルにスタティックMACアドレスを入力できます。同じ interface_name 引数を指定して mac-address-table static コマンドを複数回入力すると、一連のMACアドレスをグループ化することができます。
clear mac-address-table interface_name コマンドを使用すると、レイヤ2転送テーブルから
mac-address-tableインターフェイスの エントリを削除できます。
show mac-address-table static コマンドを使用すると、レイヤ2転送テーブルのスタティックMACエントリのみを表示できます。
次に、インターフェイスおよびMACアドレスのリストを設定する例を示します。
clear mac-address-table
mac-address-table aging-time
show mac-address-table
レイヤ2転送テーブルのブリッジ タイムアウト値のエージング タイムを指定するには、
mac-address-table aging-time コマンドを使用します。コンフィギュレーションからブリッジ タイムアウト値を削除するには、このコマンドの no 形式を使用します。
[no] mac-address-table aging-time minutes
no mac-address-table aging-time
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
clear mac-address-table aging-time コマンドを使用すると、ブリッジ タイムアウトのエージング タイム値を削除できます。
次に、ブリッジ タイムアウトのエージング タイムを設定する例を示します。
clear mac-address-table
mac-address-table static
show mac-address-table
MAC(メディア アクセス制御)アドレスのリストをインターフェイス単位で取得するには、
mac-learn コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
[no] mac-learn interface_name disable
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
clear mac-learn コマンドを使用すると、すべてのインターフェイスでMACアドレス学習をディセーブルにすることができます。
show mac-learn コマンドを使用すると、すべてのインターフェイスでMACアドレス学習機能のステータスを表示できます。
次に、MACアドレスを学習し、結果を表示し、MAC学習をディセーブルにする例を示します。
clear mac-learn
show mac-learn
ルーティング プロトコル間でのルートの再配布条件を定義するには、ルートマップ サブモードで match コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
match [ interface interface_name | metric metric_value | ip address acl_id | route-type { local | internal | [ external [ type-1 | type-2 ]]} | nssa-external [ type-1 | type-2 ] | ip next-hop acl_id | ip route-source acl_id ]
(任意)指定されたASの外部Open Shortest Path First(OSPF)メトリック ルートのタイプを指定します。 |
|
acl_id で指定されたアドレスにあるルータおよびアクセス サーバによってアドバタイズされた再配布ルートを指定します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
match ip next-hop および match ip route-source コマンドには、複数の acl_id を acl_id [... acl_id ]の形式で指定できます。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match ip route-source(ルート マップ サブモード)
match metric(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
指定されたインターフェイスのいずれかを起点とするネクスト ホップが存在するルートを配布するには、 match interface コマンドを使用します。一致するインターフェイス エントリを削除するには、このコマンドの no 形式を使用します。
[no] match interface interface-name
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
コマンド構文内の省略記号(...)は、コマンドを入力するときに、interface-type interface-number引数に対応する値を複数指定できることを意味します。
route-map グローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数のフォーマットがあります。 match コマンドは任意の順番で指定できます。 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルート マップは複数の部分で構成できます。 route-map コマンドに関連する1つ以上のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
次に、インターフェイスEthernet 0を起点とするネクスト ホップを持つルートを配布する例を示します。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match ip route-source(ルート マップ サブモード)
match metric(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
指定されたいずれかのアクセス リストと一致するネクストホップ ルータ アドレスを持つ任意のルートを配布するには、ルートマップ サブモードで match ip next-hop コマンドを使用します。ネクストホップ エントリを削除するには、このコマンドの no 形式を使用します。
[no] match ip next-hop { acl-id...}
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
コマンド構文内の省略記号(...)は、コマンドを入力するときに、access-list-numberまたは
access-list-name引数に対応する値を複数指定できることを意味します。
route-map グローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数のフォーマットがあります。 match コマンドは任意の順番で指定できます。 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルート マップを使用してルートを照合する場合、ルート マップは複数の部分で構成できます。
route-map コマンドに関連する1つまたは複数のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
次に、アクセス リスト5または80と一致するネクストホップ ルータ アドレスを持つルートを配布する例を示します。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip route-source(ルート マップ サブモード)
match metric(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
アクセス リストで指定されたアドレス上のルータおよびアクセス サーバによってアドバタイズされたルートを再配布するには、ルートマップ サブモードで match ip route-source コマンドを使用します。ルート送信元エントリを削除するには、このコマンドの no 形式を使用します。
[no] match ip route-source { acl-id ... }
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
コマンド構文内の省略記号(...)は、コマンドを入力するときに、access-list-numberまたはaccess-list-name引数に対応する値を複数指定できることを意味します。
route-map グローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数のフォーマットがあります。 match コマンドは任意の順番で指定できます。 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルート マップは複数の部分で構成できます。 route-map コマンドに関連する1つまたは複数のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。ルートのネクストホップおよび送信元ルータ アドレスは、異なる場合があります。
次に、アクセス リスト5および80で指定されたアドレス上のルータおよびアクセス サーバによってアドバタイズされたルートを配布する例を示します。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match metric(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
指定されたメトリックを持つルートを再配布するには、ルートマップ サブモードで match metric コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
route-mapグローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数のフォーマットがあります。 match コマンドは任意の順番で指定できます。また、 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルート マップは複数の部分で構成できます。 route-map コマンドに関連する1つまたは複数のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match ip route-source(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
指定されたタイプのルートを再配布するには、ルートマップ サブモードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。
[no] match route-type { local | internal | { external [ type-1 | type-2 ]} | nssa-external | [ type-1 | type-2 ]}
Open Shortest Path First(OSPF)エリア内ルートおよびエリア間ルート、またはEnhanced Interior Gateway Routing Protocol(EIGRP)内部ルート |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
route-map グローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数のフォーマットがあります。 match コマンドは任意の順番で指定できます。 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルート マップは複数の部分で構成できます。 route-map コマンドに関連する1つまたは複数のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
OSPFの場合、 external type-1 キーワードはタイプ1外部ルートとのみ、 external type-2 キーワードはタイプ2外部ルートとのみ一致します。
ip local pool
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match metric(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
コンテキストが属するクラスを判別するには、コンテキスト サブモードで member コマンドを使用します。クラスからコンテキストを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:マルチ コンテキストモード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
クラスは、各クラス メンバーのリソース制限を設定します。クラスの設定を使用するには、クラスにコンテキストを割り当てます。クラスに割り当てられていないすべてのコンテキストは、デフォルト クラスに割り当てられます。このコマンドを使用して、コンテキストをデフォルト クラスにアクティブに割り当てる必要はありません。クラスを追加する手順については、 class コマンドを参照してください。各コンテキストは1つのリソース クラスにのみ割り当てることができます。例外的に、メンバー クラス内で定義されていない制限はデフォルト クラスから継承されます。コンテキストはデフォルト クラスとその他のクラスの両方のメンバーに設定できます。
allocate-interface(コンテキスト サブモード)
config-url(コンテキスト サブモード)
limit-resource
admin-context
changeto
class
clear context
show class
show context
Media Gateway Control Protocol(MGCP)フィックスアップ(パケット アプリケーション検査)の追加サポートを設定するには、 mgcp コマンドを使用します。MGCPサポートを削除するには、このコマンドの no 形式を使用します。
[no] mgcp call-agent ip_address group_id
[no] mgcp gateway ip_address group_id
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
mgcp コマンドを使用すると、MGCPフィックスアップに関する追加サポートを使用できます。MGCPフィックスアップをイネーブルにするには、 fixup protocol mgcp コマンドを使用します。
mgcp call-agent コマンドは、1つまたは複数のゲートウェイを管理できるコール エージェント グループを指定する場合に使用します。コール エージェント グループ情報は、グループ(ゲートウェイがコマンドを送信するグループ以外のグループ)内のコール エージェントの接続を開始して、任意のコール エージェントが応答を送信できるようにする場合に使用します。 group_id が同じコール エージェントは、同じグループに属します。コール エージェントは複数のグループに属すことができます。
mgcp command-queue コマンドを使用すると、応答待機中にキューに格納されるMGCPコマンドの最大数を指定できます。制限に達した場合に、新しいコマンドが着信すると、キュー格納期間が最も長いコマンドが削除されます。
mgcp gateway コマンドを使用すると、特定のゲートウェイを管理するコール エージェント グループを指定できます。ゲートウェイのIPアドレスを指定するには、 ip_address 引数を使用します。 group_id 引数は、ゲートウェイを管理するコール エージェントの group_id と対応する必要があります。ゲートウェイは1つのグループのみ属すことができます。
次に、MGCPコマンド キューを150個のコマンドに制限し、コール エージェント10.10.11.5および10.10.11.6にゲートウェイ10.10.10.115の制御を許可し、コール エージェント10.10.11.7および10.10.11.8にゲートウェイ10.10.10.116および10.10.10.117の制御を許可する例を示します。
新しいディレクトリを作成するには、 mkdir コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
名前が同じディレクトリがすでに存在する場合、新しいディレクトリは作成されません。 mkdir disk: コマンドを使用すると、ディレクトリ名の入力を求めるプロンプトが表示されます。
cd
copy disk
copy flash
copy startup-config
copy tftp
dir
format
more
pwd
rename
rmdir
show file
FWSMをシングル コンテキスト モードまたはマルチ コンテキスト モードに変更するには、 mode コマンドを使用します。
デフォルト設定は、FWSMの出荷時にセキュリティ コンテキスト機能がイネーブルに設定されているかどうか(マルチ コンテキスト モード)、またはFWSMをアップグレードしているかどうか(シングル コンテキスト モード)によって決まります。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドを使用すると、FWSMの動作を変更したり、モジュールの再起動を求めるプロンプトを表示することができます。デフォルトでは、マルチ モードの場合、2つのコンテキストを使用できます。3つ以上のコンテキストをイネーブルにするには、アクティベーション キーを入力する必要があります(シスコがアクティベーション キーをまだ入力していない場合)。
シングル コンテキスト モードからマルチ コンテキスト モードに変更すると、FWSMは実行コンフィギュレーションを2つのファイルに変換します。1つはシステム コンフィギュレーションを格納する新しいstartup.cfg(フラッシュに格納)、もう1つは管理コンテキストを格納するadmin.cfg(ディスク パーティションに格納)です。元の実行コンフィギュレーションはold_running.cfgという名前で(ディスク内に)保存されます。元のスタートアップ コンフィギュレーションは保存されません。
マルチ コンテキスト モードからシングル コンテキスト モードに変更した場合、スタートアップ コンフィギュレーションは元の実行コンフィギュレーションに自動的に変換されません。バックアップ バージョンを実行コンフィギュレーションおよびスタートアップ コンフィギュレーションにコピーする必要があります。システム コンフィギュレーションにはネットワーク インターフェイスが含まれないため、スイッチからFWSMへのセッションを開始して、次の手順でコピーする必要があります。
コンテキスト内の特定のインターフェイスでインターフェイス モニタリングをイネーブルにするには、 monitor-interface コマンドを使用します。
[no] monitor-interface interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMでモニタできるインターフェイス数は、モジュールあたり250個です。FWSMフェールオーバー ペア間での各インターフェイス ポーリング期間中に、helloメッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は、3~15秒です。たとえば、ポーリング時間が5秒に設定されている場合、インターフェイスにhelloメッセージが連続して5つ(25秒間)着信しないと、インターフェイスでテストが開始します。
モニタ対象フェールオーバー インターフェイスのステータスは、次のとおりです。
• Unknown ― 初期ステータスステータスを判別できない場合も、このステータスになります。
• Normal ― インターフェイスはトラフィックを受信中です。
• Testing ― helloメッセージが5つのポーリング時間中にインターフェイスに着信しませんでした。
• Link Down ― インターフェイスのVLAN(仮想LAN)がシャットダウンしています。
次に、インターフェイスのモニタリングを開始する例を示します。
clear failover
failover
failover interface ip address
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
show failover
show monitor-interface
write standby
ファイルの内容を表示するには、 more コマンドを使用します。
more [ /ascii ] || [/binary ] [ disk: ] path
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ファイル「test.cfg」の内容を表示する例を示します。
cd
copy disk
copy flash
copy startup-config
copy tftp
dir
format
mkdir
pwd
rename
rmdir
show file
インターフェイスのMaximum Transmission Unit(MTU;最大伝送ユニット)を指定するには、 mtu コマンドを使用します。イーサネット インターフェイスのMTUブロック サイズを1500にリセットするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
mtu コマンドを使用すると、接続上で送信されるデータ サイズを設定できます。MTU値よりも大きいデータは、送信前に分割されます。
FWSMはIPパスMTU検出(RFC 1191で定義)をサポートします。ホストはこの機能を使用することにより、パス上の各リンクの最大許容MTUサイズの差異を動的に検出したり、調整することができます。場合によっては、パケットがインターフェイスに設定されたMTUよりも大きいにもかかわらず、「don't fragment」(DF)ビットが設定されているため、FWSMがデータグラムを転送できないことがあります。ネットワーク ソフトウェアは送信側ホストにメッセージを送信して、この問題を警告します。ホストはこの宛先へのパケットを分割して、パス上のすべてのリンクの最小パケット サイズに適合させる必要があります。
デフォルトのMTUは、イーサネット インターフェイスのブロック内で1500バイトです(この値は最大値でもあります)。ほとんどのアプリケーションではこの値で十分に機能しますが、ネットワーク条件に応じて、より小さな値を選択することができます。
Layer 2 Timeline Protocol(L2TP)を使用する場合は、L2TPヘッダーおよびIPSecヘッダー長に対応させるために、MTUサイズを1380に設定することを推奨します。
IPアドレスに名前を関連付けるには、 name コマンドを使用します。この対応関係をイネーブルにするには、 names コマンドを使用します。設定からテキスト名を削除しないで、その使用をディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
名前とIPアドレスを関連付けるには、 names コマンドを使用します。
name を定義する場合は、a~z、A~Z、0~9、ダッシュ、およびアンダースコアの文字を使用できます name の先頭を数字にすることはできません。16文字を超える名前を指定すると、nameコマンドは失敗します。
name コマンドを使用すると、ホストをテキスト名で識別したり、テキスト ストリングをIPアドレスに関連付けることができます。 no names コマンドを使用すると、テキスト名の使用をディセーブルにできますが、設定からテキスト名は削除されません。FWSM設定から名前のリストを削除するには、 clear name コマンドを使用します。
最初に names コマンドを使用してから、 name コマンドを使用する必要があります。nameコマンドは、namesコマンドを使用してから write memory コマンドを使用するまでの間に使用ししてください。
name 値の表示をディセーブルにするには、 no names コマンドを使用します。
1つのIPアドレスに関連付けることができる名前は1つのみです。
nameおよびnamesコマンドは、コンフィギュレーションに保存されます。
nameコマンドを使用すると、名前をネットワーク マスクに割り当てることができますが、マスクを必要とするその他のFWSMコマンドではマスク値に名前を使用することはできません。たとえば、次のコマンドは受け入れられます。
(注) マスクを必要とするどのコマンドも、「class-C-mask」をネットワーク マスクとして受け入れて処理することはできません。
次に、 names コマンドを使用して、 name コマンドの使用をイネーブルにする例を示します。 name コマンドにより、192.168.42.3は fwsm_inside に、209.165.201.3は fwsm_outside に置き換えられます。IPアドレスをネットワーク インターフェイスに割り当てる場合は、これらの名前と ip address コマンドを使用できます。 no names コマンドは、 name コマンドの値表示をディセーブルにします。このコマンドのあとに names コマンドを使用すると、 name コマンドの値表示が再びイネーブルに戻ります。
インターフェイスに名前を付けて、セキュリティ レベルを割り当てるには、 nameif コマンドを使用します。
no nameif interface interface_name security_lvl
no nameif interface [ interface_name ] [ security_lvl ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
インターフェイスの名前は変更できません。変更できるのは、セキュリティ レベルのみです。インターフェイスIDはVLAN num です。あるいは、マルチ モードの場合は、 allocate interface コマンドによって設定されたマッピング名です。FWSMにはハードウェアIDはありません。指定できるのはVLAN IDのみです。
ASA(アダプティブ セキュリティ アルゴリズム)の適用方法は、2つのインターフェイス間のセキュリティ レベルによって決まります。セキュリティレベルが小さいインターフェイスは、セキュリティレベルが大きいインターフェイスの外部に、セキュリティレベルが同等なインターフェイスはお互いの外部にあります。セキュリティ レベルの詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Software Configuration Guide 』を参照してください。
allocate-interface(コンテキスト サブモード)
interface
global
nat
static
name コマンドで設定できる、IPアドレスから名前への変換をイネーブルにするには、 names コマンドを使用します。アドレスから名前への変換をディセーブルにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
グローバルIPアドレス プールにネットワークを関連付けるには、 nat コマンドを使用します。 nat コマンドを削除するには、このコマンドの no 形式を使用します。
[ no ] nat local_interface nat_id local_ip [ mask [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
[ no ] nat local_interface nat_id access-list access_list_name [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
初期接続は、送信元と宛先間で必要なハンドシェイクを終了しなかった接続要求です。
nat コマンドを使用すると、1つ以上の内部アドレスのアドレス変換をイネーブルまたはディセーブルにできます。ホストが発信接続を開始し、内部ネットワークのIPアドレスがグローバル アドレスに変換されると、アドレス変換が発生します。NATを使用すると、ネットワークにIPアドレス指定方式を設定し、これらのアドレスが外部ネットワークから見えないようにFWSMで保護することができます。
(注) 使用できるアドレス変換数は、FWSMごとに異なります。FWSMがサポートするアドレス変換の個数は、natコマンドでは2,048個、globalコマンドでは1,051個、staticコマンドでは2,048個です。また、ポリシーNATで使用されるACL(アクセス制御リスト)では、Access Control Entry(ACE;アクセス制御エントリ)を最大4,096個サポートします。
(注) NATはTFTP(簡易ファイル転送プロトコル)メッセージをサポートしないため、FWSM はファイアウォール外部のIP Phoneとファイアウォール内部のCisco CallManagerによるNATをサポートしません。
outside キーワードを使用すると、外部アドレスのアドレス変換をイネーブルまたはディセーブルにできます。アクセス制御、IPSec、およびAAA(認証、許可、アカウンティング)の場合は、実際の外部アドレスを使用します。
(注) 外部Port Address Translation(PAT;ポート アドレス変換)をイネーブルにすると、FWSMはフラッディングDoS攻撃を受けやすくなることがあります。nat nat_id local_ip mask outsideコマンドで指定されたアドレス範囲を制限することを推奨します。また、接続制限をFWSMのメモリ容量を示す値に設定する必要があります。PATセッションは、PAT xlate(変換スロット)、およびUDPまたはTCP接続で構成されます。PAT xlateは約120バイトを消費し、TCPまたはUDP接続は250バイトを消費します。
nat interface_name 0 access-list access_list_name コマンドを使用すると、access-listコマンドで一致したトラフィックをNATサービスから免除することができます。外部から内部ホストにアクセスできるかどうかは、着信アクセスを許可するために使用するaccess-listコマンドに応じて異なります。interface_nameは、よりセキュリティ レベルが高いインターフェイス名です。access_list_nameは、access-listコマンドを識別するために使用される名前です。
access-listキーワードを追加すると、nat 0コマンドの動作が変化します。access-listキーワードを省略すると、このコマンドと古いバージョンとの下位互換性が確立されます。nat 0コマンドはNATをディセーブルにします。nat 0コマンドを入力すると、特に、IPアドレスのプロキシARPがディセーブルになります。
(注) nat 0 access-listコマンドで指定したアクセス リストは、ポート指定を含むaccess-listコマンドとは連携しません。次のコマンド例は機能しません。fwsm/context(config)# access-list no-nat permit tcp host xx.xx.xx.xx host
yy.yy.yy.yyfwsm/context(config)# nat (inside) 0 access-list no-nat
natコマンドを変更または削除したあとで、clear xlateコマンドを使用します。
接続制限を使用すると、指定したIPアドレス条件を使用して開始できる最大発信接続数を設定できます。この制限により、完了しなくてもプロセスを開始される攻撃タイプを防ぐことができます。
nat コマンドを削除するには、 no nat コマンドを使用します。
インターフェイス アクセス コマンドのリストについては、 表 2-10 を参照してください。Demilitarized Zone(DMZ;非武装地帯)のセキュリティ レベルは、dmz1では40、dmz2では60です。
|
|
|
|
|
|
---|---|---|---|---|---|
セキュリティ レベルの高いインターフェイスから低いインターフェイスへのアクセスを取得するには、natコマンドを使用します。セキュリティ レベルの低いインターフェイスから高いインターフェイスへのアクセスを取得するには、staticコマンドを使用します。
IDアドレス変換をイネーブルにするには、 nat 0 コマンドを使用します。 nat 0 コマンドを使用するには、内部ホストからトラフィックを送信する必要があります。このコマンドは、複数のインターフェイスで共通のIPアドレスを使用する場合に使用します。外部から内部ホストにアクセスできるかどうかは、着信アクセスを許可するために使用するaccess-listコマンドに応じて異なります。
インターフェイスのアドレスは、それぞれ異なるサブネット上になければなりません。
nat 0 10.2.3.0 コマンドを入力すると、10.2.3.0ネット内のIPアドレスが変換されないで、外部に表示されます。その他のすべてのホストは、 nat コマンドの設定に応じて変換されます。
nat 1 0 0 コマンドを入力すると、FWSMを通過するすべての発信接続でアドレス変換を行うことができます。nat (inside) 1 0 0コマンドを使用した場合は、セキュリティ レベルが低い任意のインターフェイス(周辺インターフェイスと外部インターフェイスの両方)で接続を開始できます。NATを使用する場合は、globalキーワードを使用して、変換された接続が通過するアドレスのプールを提供する必要もあります。NAT IDはnatおよびglobalコマンドで同じでなければなりません。
nat 1 10.2.3.0 コマンドを入力すると、内部ホスト10.2.3.0から送信された発信接続にのみアドレス変換を行って、FWSMを介して宛先に送信することができます。
local_ip のネットワーク マスクを指定する場合に、0.0.0.0を使用すると、グローバル プールのIPアドレスですべての発信接続を変換することができます。ネットマスク0.0.00.0は、0の省略形で指定できます。
nat_id は global コマンドで参照され、グローバル プールと local_ip を関連付けます。
nat_id 値には0、 0 access list access_list_name 、または1~256の任意の値を指定できます。 nat_id に0を指定すると、 local_ip のアドレス変換は行われません。
nat_id に 0 access list access_list_name を指定すると、 access_list_name で指定されるアクセス リストに基づいて、トラフィックはNAT処理から免除されます。このコマンドは、プライベート ネットワーク間のトラフィックをNATから免除する必要があるVPN(仮想私設網)構成の場合に便利です。
nat_id に1~256の値を指定すると、ダイナミック アドレス変換を行う内部ホストが指定されます。ダイナミック アドレスは、 global コマンドを入力するときに作成されるグローバル アドレス プールから選択されます。 nat_id の値は、ダイナミック アドレス変換に使用するグローバル アドレス プールの global_id 値と一致しなければなりません。
local_ip は、 nat_id で参照されるホストまたはネットワークのグループを決定します。0.0.0.0を使用すると、すべてのホストで発信接続を開始できます。値が0.0.0.0である local_ip は、0の省略形で指定できます。明示度が高い nat_id グループ内に存在しないIPアドレスは、デフォルトで、明示度が低下するか、または明示度が最低の 0 になります。
timeout conn コマンドで指定されたアイドル タイムアウト期間が経過すると、アイドル接続が終了します。
nat と static の両方のステートメントの udp_max_conn フィールドは、TCP max_conns 制限が設定されていない場合でも、キーワード udp を使用して適用できます。これにより、2つの制限を排他的に設定することができます。
次に、外部ネットワークからアドレスを参照できるようにする例を示します。
次に、 nat 0 access-list コマンドを使用して、外部ホスト10.2.1.3に接続するときに内部インターフェイス「inside」を介した内部ホスト10.1.1.15へのアクセスを許可し、NATを省略する例を示します。
次に、FWSM上の3つのインターフェイスですべてのNATをディセーブルにする例を示します。
次に、内部ネットワーク10.0.0.0および3.3.3.0上のすべてのホストで発信接続を開始できるように指定する例を示します。
access-list deny-flow-max
clear nat
global
interface
nameif
show nat
static
設定の最適化に使用できるオブジェクト グループを定義するには、 object-group コマンドを使用します。コンフィギュレーションからオブジェクト グループを削除するには、このコマンドの no 形式を使用します。
[ no ] object-group icmp-type obj_grp_id
icmp-typeグループ サブコマンド
description description_text
icmp-object icmp_type
[ no ] object-group network obj_grp_id
networkグループ サブコマンド
description description_text
network-object host host_addr | host_name
network-object net_addr netmask
group-object
[ no ] object-group protocol obj_grp_id
protocolグループ サブコマンド
description description_text
protocol-object protocol
[ no ] object-group service obj_grp_id { tcp | udp | tcp-udp }
serviceグループ サブコマンド
description description_text
port-object range begin_service end_service
port-object eq service
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ホスト、プロトコル、またはサービスなどのオブジェクトをグループ化すると、グループ名を使用してコマンドを1つ発行し、グループ内のすべての項目に適用することができます。
object-group コマンドを使用してグループを定義してから、任意のFWSMコマンドを使用すると、コマンドはグループ内のすべての項目に適用されます。この機能を使用すると、コンフィギュレーション サイズを大幅に削減できます。
オブジェクト グループを定義したら、次のように、適用可能なすべてのFWSMコマンド内のグループ名の前で object-group キーワードを使用する必要があります。
次に、定義されたオブジェクト グループを使用する例を示します。
また、 表 2-11 のように access-list コマンド引数をグループ化することもできます。
|
|
---|---|
コマンドは階層的にグループ化できます。オブジェクト グループを別のオブジェクト グループのメンバーにすることができます。
オブジェクト グループを使用するには、次の作業を行う必要があります。
• 次のように、すべてのコマンド内のオブジェクト グループ名の前で object-group キーワードを使用します。
remotes および locals はサンプルのオブジェクト グループ名です。
• コマンドで現在使用中のオブジェクト グループを削除したり、空にすることはできません。
メインの object-group コマンドを入力すると、コマンド モードは対応するサブモードに変わります。オブジェクト グループはサブモードで定義されます。アクティブなモードはコマンド プロンプトの形式で示されます。たとえば、コンフィギュレーション端末モードのプロンプトは次のようになります。
ただし、 object-group コマンドを入力すると、次のようなプロンプトが表示されます。
fwsm_name はFWSMの名前、 typeはオブジェクトグループのタイプです。
object-group サブモードを終了して、 object-group メイン コマンドを終了するには、 exit 、 quit 、または任意の有効なconfig-modeコマンド( access-list など)を使用します。
show object-group コマンドは、すべての定義済みオブジェクト グループを表示します。 show object-group id grp_id コマンドを入力した場合は grp_id 別に、 show object-group grp_type コマンドを入力した場合はグループ タイプ別に表示されます。引数を指定しないで show object-group コマンドを入力した場合は、すべての定義済みオブジェクト グループが表示されます。
定義済みの object-group コマンド グループを削除するには、 no object-group コマンドを使用します。引数を指定しないで clear object-group コマンドを使用すると、コマンドで使用されていないすべての定義済みオブジェクト グループを削除できます。 grp_type 引数を指定すると、コマンドで使用されていないすべての定義済みオブジェクト グループが、該当するグループ タイプに限って削除されます。
ICMPタイプの番号および名前のリストについては、 表 2-12 を参照してください。
|
|
---|---|
show や clear コマンドを含めて、その他のすべてのFWSMコマンドをサブモードで使用できます。
show config 、 write 、または config コマンドで表示または保存されるサブコマンドは、インデント表示されます。
サブコマンドのコマンド権限レベルは、メイン コマンドと同じです。
access-list コマンドで複数のオブジェクト グループを使用すると、コマンドで使用されるすべてのオブジェクト グループの要素が結合されます。まず、最初のグループの要素と2番めのグループの要素が結合され、次に最初と2番めのグループの要素が3番めのグループの要素と結合されます(以下同様の処理)。
次に、 object-group icmp-type サブモードを使用して、新しいicmp-typeオブジェクト グループを作成する例を示します。
次に、 object-group network サブコマンドを使用して、新しいネットワーク オブジェクト グループを作成する例を示します。
次に、 object-group network サブコマンドを使用して、新しいネットワーク オブジェクト グループを作成し、既存のオブジェクトグループに関連付ける例を示します。
次に、 object-group protocol サブモードを使用して、新しいプロトコル オブジェクト グループを作成する例を示します。
次に、 object-group service サブモードを使用して、新しいポート(サービス)オブジェクト グループを作成する例を示します。
次に、オブジェクト グループにテキスト記述を追加および削除する例を示します。
次に、 group-object サブモードを使用して、定義済みオブジェクトで構成される新しいオブジェクト グループを作成する例を示します。
group-object コマンドを使用しない場合は、 host_grp_1 および host_grp_2 で定義されたすべてのIPアドレスを追加するための all_hosts を定義する必要があります。 group-object コマンドを使用すると、重複するホスト定義が除去されます。
次に、オブジェクト グループを使用して、アクセス リストの設定を簡略にする例を示します。
このグループ化を使用すると、アクセス リストを24行(グループ化を使用しない場合に必要な行数)でなく、1行で設定することができます。グループ化を使用した場合のアクセス リストの設定は、次のとおりです。
(注) show configおよびwriteコマンドを使用すると、オブジェクト グループ名を使用して設定されたアクセス リストを表示できます。show access-listコマンドは、オブジェクトのグループ化を使用しないで複数のエントリにまたがって記述されたアクセス リスト エントリを表示します。
インターフェイス固有のOpen Shortest Path First(OSPF)パラメータを設定するには、インターフェイス サブモードで ospf コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
ospf { authentication [ message-digest | null ]} | { authentication-key password } | { cost interface_cost } | { database-filter all out } | { dead-interval seconds } | { hello-interval seconds } | { message-digest-key key-id md5 key } | { mtu-ignore } | { priority number } | { retransmit-interval seconds } | { transmit-delay seconds }
• OSPFルーティング ― FWSMインターフェイスでディセーブルです。
• authentication ― null (エリア認証なし)
• dead-interval ― ospf hello-interval コマンドで設定されたインターバルの4倍
• hello-interval seconds ― 10秒
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
routing interface コマンドは、インターフェイス固有のすべてのOSPFインターフェイス モード コマンドに対するメイン コマンドです。設定するFWSMインターフェイスの名前( interface_name )を指定してこのコマンドを入力してから、 routing interface サブコマンドを使用してインターフェイス固有の設定を開始します。
routing interface コマンドを入力すると、コマンド プロンプトは(config-routing)#のようになり、サブモードが開始したことを示します。
show routing interface コマンドを使用すると、指定されたインターフェイスの設定を表示できます。
ospf authentication [ message-digest | null ] サブコマンドを使用すると、インターフェイスの認証タイプを指定できます。インターフェイスの認証タイプを削除するには、 no ospf authentication [ message-digest | null ] サブコマンドを使用します。認証のデフォルトは、認証しないことを意味する null です。 null サブコマンドは、OSPFエリアのパスワードまたはメッセージ ダイジェスト認証(設定されている場合)を上書きします。
ospf authentication-key password サブコマンドを使用すると、OSPFの単純なパスワード認証を使用する近接ルータで使用されるパスワードを割り当てることができます。 password 引数には、キーボードから入力可能な任意の連続する文字列を8バイトまで指定できます。
no ospf authentication-keyサブコマンドを使用すると、割り当て済みのOSPFパスワードを削除できます。
ospf cost interface_cost サブコマンドを使用すると、インターフェイス上でパケットを送信するときのコストを明示的に指定できます。 interface_cost パラメータは、0~255の符号なし整数です。
no ospf cost サブコマンドを使用すると、パス コストをデフォルト値にリセットできます。
ospf database-filter サブコマンドを使用すると、OSPFインターフェイスへの発信LSAをフィルタリングできます。 no ospf database-filter all out サブコマンドを使用すると、インターフェイスへのLSA転送を元に戻すことができます。
ospf dead-interval seconds サブコマンドを使用すると、ネイバがルータのダウンを宣言するまでのデッド インターバル(helloパケットが確認されない期間)を設定することができます。 seconds はデッド インターバルを指定します。この値は、ネットワークのすべてのノードで同じにする必要があります。 seconds のデフォルトは、 ospf hello-interval コマンドで設定されたインターバルの4倍(1~65535)です。 no ospf dead-intervalサブコマンドを使用すると、デフォルト インターバル値に戻すことができます。
ospf hello-interval seconds サブコマンドを使用すると、FWSMがインターフェイス上で送信するhelloパケット間のインターバルを指定できます。 no ospf hello-interval サブコマンドを使用すると、デフォルト インターバルに戻すことができます。デフォルトは10秒で、有効値は1~65535です。
ospf mtu-ignore サブコマンドを使用すると、DBDパケットを受信するときのOSPF MTUの不一致検出をディセーブルにできます。デフォルトでは、不一致検出がイネーブルです。
ospf message-digest-key key_id md5 key
ospf message-digest-key key_id md5 key サブコマンドを使用すると、OSPF MD5認証をイネーブルにできます。 no ospf message-digest-key key_id md5 key サブコマンドを使用すると、古いMD5キーを削除できます。 key_id は認証キーを表す1~255の数値IDです。 key は最大16バイトの英数字からなるパスワードです。タブやスペースなどのスペース文字はサポートされません。MD5は通信の整合性を検証し、送信元を認証し、タイミングが適切であるかをチェックします。
ospf priority number サブコマンドを使用すると、このネットワークの指定ルータの判別に役立つルータ プライオリティを設定できます。 no ospf priority number サブコマンドを使用すると、デフォルト値に戻すことができます。
ospf retransmit-interval seconds サブコマンドを使用すると、インターフェイスに属する近接装置のLSA再送信間隔を指定できます。 no ospf retransmit-interval サブコマンドを使用すると、デフォルト値に戻すことができます。デフォルト値は5秒で、有効値は1~65535です。
ospf transmit-delay seconds サブコマンドを使用すると、インターフェイス上でリンクステート更新パケットを送信するための予測所要時間を設定できます。 no ospf transmit-delay サブコマンドを使用すると、デフォルト値に戻すことができます。デフォルト値は1秒で、有効値は1~65535です。
次に、FWSMの外部インターフェイスでサブモードを開始する例を示します(OSPFルーティングの設定に必要)。
ルーティング サブモードでは、コマンド プロンプトは「(config-routing)#」のようになります。
次に、ファイアウォールの外部インターフェイス上で、同時に稼働する2つのOSPFプロセス(IDが5および12)を設定する例を示します。
clear ospf
routing interface
show ospf
show ospf border-routers
show ospf database
show ospf flood-list
show ospf interface
show ospf neighbor
show ospf request-list
show ospf retransmission-list
show ospf summary-address
show ospf virtual-links
show routing interface
画面のページングをイネーブルにするには、 pager コマンドを使用します。画面のページングをディセーブルにして、中断なしに出力を表示できるようにするには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
pager lines コマンドに値を設定したあとに、デフォルトに戻す場合は、キーワードや引数を指定しないで pager コマンドを入力します。このコマンドはセッションに基づいています。セッション内でpager値が変更されても、他のセッションの値がグローバルに変更されることはありません。ページングをディセーブルにするには、pager 0コマンドを使用します。
ページングがイネーブルの場合は、「---more---」プロンプトが表示されます。「---more---」プロンプトは、次のようにUNIXの more コマンドと似た構文を使用します。
10.0.0.42 NO response received -- 1010ms
10.0.0.42 NO response received -- 1000ms
<--- more --->
FWSMコンソールにTelnetでアクセスするためのパスワードを設定するには、 password コマンドを使用します。
{ password | passwd } password [ encrypted ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
password/passwd コマンドを使用すると、FWSMコンソールにTelnetでアクセスするためのパスワードを設定できます。 password の短縮形である passwd キーワードも使用できます。また、FWSMの設定で表示されるパスワードには、短縮形 passwd が使用されます。
パスワードには、引用符とスペースを除く任意の文字を使用できます。encryptedキーワードが指定されたpasswordは、16文字でなければなりません。
空のパスワードは暗号化文字列に変換されます。ただし、 write コマンドを使用した場合は、パスワードの表示または書き込みは暗号化形式で行われます。暗号化されたパスワードは、プレイン テキストに戻すことができません。
(注) 新しいパスワードを記述および保管する方法は、ご使用のサイトのセキュリティ ポリシー内で統一してください。このパスワードを変更すると、再表示できなくなります。
次に、FWSMコンソールにTelnetでアクセスするためのパスワードを設定する例を示します。
passwd jMorNbK0514fadBh encrypted
FWSMとPDMが動作するブラウザ間のサポート通信を設定するには、 pdm コマンドを使用します。
pdm history [ view {all | 12h | 5d | 60m | 10m } ] [ snapshot ] [ feature { all | blocks | cpu | failover | ids | interface interface_name | memory | perfmon | xlates }] [ pdmclient ]
pdm group real_group_name associated_intf_name
pdm group ref_group_name ref_intf_name reference real_group_name
pdm location ip_address netmask interface_name
pdm logging [ level [ messages ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMリリース1.1(1)を設定する場合は、PDMソフトウェア バージョン2.2を使用しました。このリリースでは、PDMの代わりにFirewall Device Manager(FDM)を使用します。 |
associated_intf_name 名は、 nameif コマンドで定義されます。
ref_intf_name 名は、 nameif コマンドで定義されます。
pdm location コマンドは内部PDMコマンドです。
メッセージ バッファが指定された message 数を超過すると、古いメッセージが廃棄されます。
pdm history enable コマンドを使用すると、PDMデータ サンプリングをイネーブルにできます。このコマンドを指定しない場合は、すべての機能の履歴が表示されます。PDMデータ サンプリングはサンプル データを取得して、PDM履歴バッファに格納します。このコマンドの no 形式は、PDMデータ サンプリングをディセーブルにします。
pdm disconnect コマンドおよびshow pdm sessionsコマンドには、FWSMコマンド行インターフェイスを通してアクセスできます。
failover キーワードを指定した場合の履歴表示は、 show failover コマンドの出力と似ています。
memory キーワードを指定した場合の履歴表示は、show perfmonコマンドの出力と似ています。
xlates キーワードを指定した場合の履歴表示は、show xlateコマンドの出力と似ています。
clear pdm、 pdm group 、pdm history 、 pdm location、およびpdm logging コマンドはコンフィギュレーション内に何度も現れますが、これらはPDMからのみアクセス可能な内部のPDM/FWSMコマンドとして機能するように設計されています。
pdm location コマンドを入力する場合は、1つのインターフェイスを1つの ip_address / netmask ペアにのみ関連付けることができます。新しいペアを指定すると、古い定義が置き換えられます。
次に、最新のデータ ポイントをPDM表示形式で報告する例を示します。
次に、FWSM CLI(コマンドライン インターフェイス)用にフォーマットされたデータを報告する例を示します。
clear pdm
fixup protocol
setup
show pdm
パフォーマンス情報を表示するには、 perfmon コマンドを使用します。
perfmon {verbose | interval seconds | quiet | settings}
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
perfmonコマンドを使用すると、FWSMのパフォーマンスをモニタできます。情報を即座に表示するには、show perfmonコマンドを使用します。情報を2分おきに継続的に表示するには、perfmon verboseコマンドを使用します。情報を指定された秒間隔で継続的に表示するには、perfmon interval secondsコマンドとperfmon verboseコマンドを組み合わせて使用します。
情報には、1秒間に発生する変換、接続、Websense要求、アドレス変換(別名「フィックスアップ」)、およびAAAトランザクションが表示されます。
次に、FWSMコンソールで30秒おきにパフォーマンス モニタ統計情報を表示する例を示します。
FWSMから他のIPアドレスを参照できるかどうかを判別するには、 ping コマンドを使用します。
ping
[ interface_name ] ip_address
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ping コマンドを使用すると、FWSMが接続されているかどうか、またはネットワーク上のホストを使用できるかどうかを判別できます。FWSMが接続されている場合は、 icmppermit any interface コマンドが設定されていることも確認してください。この設定は、これらのメッセージの受信および応答をFWSMに許可する場合に必要です。このコマンド出力は、応答が受信されたかどうかを示します。ホストが応答していない場合に、 ping コマンドを入力すると、「NO response received」と表示されます。FWSMがネットワークに接続していて、トラフィックを送受信していることを確認するには、 show interface コマンドを使用します。
指定された interface_name のアドレスは、pingの送信元アドレスとして使用されます。
内部ホストから外部ホストにpingを送信する場合は、エコー応答用にICMP access-listコマンドを作成する必要があります。たとえば、すべてのホストにpingアクセスを許可する場合は、access-list acl_grp permit icmp any anyコマンドを使用して、 access-list コマンドを、 access-group コマンドを使用してテストするインターフェイスにバインドします。
ホスト間またはルータ間のFWSMを通してpingを送信しているにもかかわらず、pingに失敗した場合は、debug icmp traceコマンドを使用して、pingに成功したかどうかをモニタします。着信と発信の両方のpingがある場合は、pingに成功しています。
FWSM pingコマンドには、インターフェイス名は不要です。インターフェイス名を指定しない場合、FWSMはルーティング テーブルを調べて、指定されたアドレスを検出します。インターフェイス名を指定すると、ICMPエコー要求の送信に使用されるインターフェイスを指定できます。
次のように、インターフェイスを指定するコマンドを入力できます。
次に、FWSMから他のIPアドレスを参照できるかどうかを判別する例を示します。
192.168.42.54 response received -- 0Ms
192.168.42.54 response received -- 0Ms
192.168.42.54 response received -- 0Ms
icmp
show interface
コマンドの権限レベルを設定するには、 privilege コマンドを使用します。設定をディセーブルにするには、このコマンドの no 形式を使用します。
[ no ] privilege [ show | clear | configure ] level level [ mode { enable | configure }] command command
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
privilege コマンドを使用すると、 FWSM コマンドにユーザ定義の権限レベルを設定できます。このコマンドは、関連する設定、 show および clear コマンドに関するさまざまな権限レベルを設定する場合に便利です。 新しい権限レベルを使用する前に、セキュリティ ポリシーを使用して、コマンドの権限レベルが変更されているかを確認してください。
コマンドおよびユーザに権限レベルが設定されている場合は、2つの設定が比較されて、所定のユーザが指定されたコマンドを実行できるかどうかが判別されます。ユーザの権限レベルがコマンドの権限レベルよりも低い場合、ユーザはコマンドを実行できません。
権限レベルを変更するには、 login コマンドを使用して別の権限レベルにアクセスし、適切なlogout、exit、またはquitコマンドを使用して元の権限レベルを終了します。
mode enable および mode configure キーワードは、イネーブル モードおよびコンフィギュレーション モードの両方を持つコマンドに使用します。
(注) 定義した新しい権限レベルをAAA(認証、許可、アカウンティング)サーバ設定内で使用するには、事前にaaa authenticationおよびaaa authorizationコマンドにその権限レベルを追加する必要があります。
次に、権限レベルが「5」の一連の show コマンドを定義する例を示します。
次に、完全なAAA許可設定に権限レベル11を適用する例を示します。
aaa authentication
clear privilege
login
object-group
show curpriv
show privilege
username
現在の作業ディレクトリを表示するには、 pwd コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッドおよびトランスペアレント
|
|
---|---|
cd
copy disk
copy flash
copy startup-config
copy tftp
dir
format
mkdir
more
rename
rmdir
show file
現在の権限レベルまたはモードを終了するには、 quit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
指定されたパラメータに従ってOpen Shortest Path First(OSPF)プロセス間の再配布を設定するには、 redistribute コマンドを使用します。再配布設定を削除するには、このコマンドの no 形式を使用します。
redistribute { static | connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
redistribute ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}] [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
show ospf コマンドを使用すると、設定された router ospf サブコマンドを表示できます。
pid はFWSM上でローカルに割り当てます。有効値は1~65535です。OSPFルーティング プロセスごとに一意の値を割り当てる必要があります。
次に、指定されたパラメータに従ってOSPFプロセス間の再配布を設定する例を示します。
設定を再起動およびリロードするには、 reload コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
reload コマンドを使用すると、FWSMを再起動し、起動可能なフロッピー ディスクから設定をリロードすることができます。ディスクが装着されていない場合は、フラッシュ パーティションから再起動およびリロードすることができます。
「Proceed with reload?」メッセージが表示される前に、確認用のプロンプトが表示されます。 n 以外の応答を入力すると、再起動が実行されます。
(注) フラッシュ パーティションに書き込まれなかった設定変更は、リロード後に失われます。再起動する前に、write memoryコマンドを入力して、現在の設定をフラッシュ パーティションに保存してください。
Proceed with reload? [confirm]
y
Rebooting...
Bios V2.7
...
ファイルまたはディレクトリを元の名から新しい名前に変更するには、 rename コマンドを使用します。
rename [ disk: ] [source-path] [ disk: ] [destination-path]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
rename disk: disk: コマンドを使用すると、元のファイル名および変更後のファイル名の入力を求めるプロンプトが表示されます。
cd
copy disk
copy flash
copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rmdir
show file
Routing Information Protocol(RIP)設定をイネーブルにしたり、変更したりするには、 rip コマンドを使用します。FWSM IPルーティング テーブルの更新をディセーブルにするには、このコマンドの no 形式を使用します。
[no] rip interface_name { default | passive } [ version [ 1 | 2 ]] [ authentication [ text | md5 key [ key_id ]]]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
rip コマンドを使用すると、受信したRIPブロードキャストからIPルーティング テーブル アップデートをイネーブルにできます。RIPバージョン2を指定した場合は、MD5暗号化を使用してRIPアップデートを暗号化できます。 version 1 キーワードを指定すると、古いバージョンとの下位互換性が確立されます。
key および key_id 引数が、RIPバージョン2アップデートを実行するネットワーク内の他のすべてのデバイスで使用される引数と同じであることを確認します。keyは16文字以下のテキスト ストリングです。
FWSMはインターフェイス間でRIPアップデートを送受信できません。
RIPバージョン2はパッシブ モードで設定します。FWSMはRIPルーティング アップデートを待ち受け、この情報を使用してルーティング テーブルに入力します。FWSMは、IP宛先が224.0.0.9であるRIPバージョン2マルチキャスト アップデートを受信します。RIPバージョン2のデフォルト モードでは、FWSMはIP宛先224.0.0.9を使用してデフォルト ルート アップデートを送信します。RIPバージョン2を設定すると、マルチキャスト アドレス224.0.0.9が登録されるため、インターフェイスはマルチキャストRIPバージョン2アップデートを受信できるようになります。
マルチキャストをサポートするのは、Intel 10/100およびギガビット インターフェイスのみです。
インターフェイスに関するRIPバージョン2コマンドを削除すると、インターフェイス カードからマルチキャスト アドレスの登録が解除されます。
次に、バージョン1の show rip コマンドおよび rip inside default コマンドの出力例を示します。
rip outside passive
no rip outside default
rip inside passive
no rip inside default
rip outside passive
no rip outside default
rip inside passive
rip inside default
次に、バージョン1およびバージョン2のコマンドを組み合わせて、 rip コマンドを入力したあとに show rip コマンドで情報を表示する例を示します。 rip コマンドを使用すると、次の操作を行うことができます。
• 外部インターフェイス上でMD5認証を使用してバージョン2パッシブRIPをイネーブルにし、FWSMおよび他のRIPピア(ルータなど)で使用される鍵を暗号化します。
• FWSMの内部インターフェイス上でバージョン1パッシブRIPの待ち受けをイネーブルにします。
• FWSMのDelimitarized Zone(DMZ;非武装地帯)インターフェイス上でバージョン2パッシブRIPの待ち受けをイネーブルにします。
次に、暗号化鍵をテキスト形式で送受信するバージョン2機能を使用する例を示します。
既存のディレクトリを削除するには、 rmdir コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
指定したディレクトリ内にファイルが格納されている場合は、このコマンドは失敗します。 rmdir コマンドは、ディレクトリを削除する前に確認を求めます。 rmdir disk: コマンドを使用した場合は、削除するディレクトリの名前の入力を求めるプロンプトが表示されます。
cd
copy disk
copy flash
copy startup-config
copy tftp
dir
format
mkdir
more
pwd
rename
show file
指定されたインターフェイスのスタティック ルートまたはデフォルト ルートを入力するには、 route コマンドを使用します。指定されたインターフェイスからルートを削除するには、このコマンドの no 形式を使用します。
[no] route
interface_name ip_address netmask gateway_ip [ metric ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
インターフェイスのデフォルト ルートまたはスタティック ルートを入力するには、 route コマンドを使用します。デフォルト ルートを入力するには、 ip_address および netmask を 0.0.0.0 に設定するか、または短縮形 0 を使用します。 route コマンドを使用して入力されたすべてのルートは、保存時にコンフィギュレーションに格納されます。
gateway_ip へのホップ数が不明な場合は、1を入力します。ホップ数を確認するには、ネットワーク管理者に問い合わせるか、tracerouteコマンドを使用してください。
任意のインターフェイスのルータ外部に接続されたネットワークにアクセスするには、スタティック ルートを作成します。たとえば、FWSMは192.168.42.0ネットワーク宛のすべてのパケットを、このスタティックrouteコマンドを使用して192.168.1.5ルータ経由で送信します。
route コマンド内のFWSMインターフェイスのIPアドレスは、ルーティング テーブルによって自動的に指定されます。各インターフェイスのIPアドレスを入力すると、FWSMは route ステートメント エントリを作成します。このエントリは、 clear route コマンドを使用しても削除されません。
route コマンド内でいずれかのFWSMのインターフェイスのIPアドレスをゲートウェイIPアドレスとして使用した場合、FWSMはゲートウェイIPアドレスにARPを実行する代わりに、パケットの宛先IPアドレスにARPを実行します。
次に、外部インターフェイスに対してデフォルトrouteコマンドを1つ指定する例を示します。
次に、以下のスタティックrouteコマンドを追加して、ネットワークへのアクセスを許可する例を示します。
ルーティング プロトコル間でのルートの再配信条件を定義するには、 route-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
[ no ] route-map map_tag [ permit | deny ] [ seq_num ]
(任意)このルート マップの一致条件が満たされている場合に、setアクションの制御に従ってルートを再配信するように指定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
route-map コマンドを使用すると、ルートを再配布したり、パケットにポリシー ルーティングを実行することができます。
route-map グローバル コンフィギュレーション コマンドや、 match および set route-map コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match および set コマンドが関連付けられています。 match コマンドは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドはsetアクション( match コマンドの実行条件が満たされている場合に実行される再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。
match route-map コンフィギュレーション コマンドには複数の形式があります。 match コマンドは任意の順番で指定できます。また、 set コマンドで指定されたsetアクションに従ってルートを再配布するには、すべての match コマンドと一致する必要があります。 match コマンドの no 形式は、指定された一致条件を削除します。
ルーティング プロセス間でのルートの再配布方法を細かく制御する場合は、ルート マップを使用します。宛先ルーティング プロトコルを指定するには、ルータ グローバル コンフィギュレーション コマンドを使用します。送信元ルーティング プロトコルを指定するには、 redistribute ルータ コンフィギュレーション コマンドを使用します。
ルート マップを使用してルートを照合する場合、ルート マップは複数の部分で構成できます。 route-map コマンドに関連する1つまたは複数のmatchコマンドと一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータのみを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
ルート マップのもう1つの目的は、ポリシー ルーティングをイネーブルにすることです。ポリシー ルーティング パケットの条件を定義するには、 route-map コマンド、 match および set コマンドの他に、 ip policy route-map コマンドを使用します。 match コマンドは、ポリシー ルーティングが発生する条件を指定します。 set コマンドは、 match コマンドの実行条件が満たされている場合に実行されるルーティング アクションを指定します。明白な最短パス以外のパスを介してポリシー ルート パケットを送信するように指定できます。
1. 指定したタグを持つエントリを定義しなかった場合、 seq_number 引数が10に設定されて、エントリが1つ作成されます。
2. 指定したタグを持つエントリを1つのみ定義した場合、このエントリは後続の route-map コマンドのデフォルト エントリになります。このエントリの seq_number 引数は符号なしです。
3. 指定したタグを持つエントリを複数定義した場合、 seq_number 引数が必要であることを示すエラー メッセージが表示されます。
( seq-num 引数を指定しないで) no route-map map-tag コマンドを指定した場合、ルート マップ全体が削除されます。
permit キーワードが指定されていて、一致条件に適合しない場合、同じ map_tag タグを持つ次のルート マップがテストされます。ルートが、同じ名前のすべてのルート マップの一致条件に適合しない場合、そのルートは再配布されません。
次に、OSPFルーティングに関するルート マップを設定する例を示します。
clear route-map
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match ip route-source(ルート マップ サブモード)
match metric(ルート マップ サブモード)
match route-type(ルート マップ サブモード)
set ip next-hop
set ip next-hop(ルート マップ サブモード)
set metric
set metric-type
show route-map
ルータのIPアドレスを設定するには、 router コマンドを使用します。ルータIDを削除するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
Open Shortest Path First(OSPF)プロセス用の固定ルータIDを設定するには、 router-id コマンドを使用します。直前のOSPFルータIDの動作を使用するには、このコマンドの no 形式を使用して
OSPFをリセットします。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMの最高レベルのIPアドレスがプライベート アドレスの場合、このアドレスはhelloパケットおよびDatabase Definition(DBD)に格納されて送信されます。この状況を回避するには、 router-id ip_address をグローバル アドレスに設定します。
router ospf
show ospf
show routing
show router-id
FWSMを介したOSPFルーティングをイネーブルにするには、 router ospf コマンドを使用します。 pid で指定されたOSPFルーティング プロセスを終了するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
Routing Information Protocol(RIP)でなく、OSPFプロトコルを使用します。FWSMをOSPFとRIPの両方に同時に対応するように設定しないでください。
router ospf コマンドは、FWSMで稼働するOSPFルーティング プロトコルのグローバル コンフィギュレーション コマンドです。
router ospf コマンドを入力すると、コマンド プロンプトは(config-router)#のようになり、サブモードが開始したことを示します。
no router ospf コマンドを使用する場合は、必要な情報以外のオプションの引数を指定する必要はありません。 no router ospf コマンドは、 pid で指定されたOSPFルーティング プロトコルを終了します。
show ospf コマンドは、設定された router ospf サブコマンドを表示します。
pid はファイアウォールにローカルに割り当てます。OSPFルーティング プロセスごとに一意の値を割り当てる必要があります。
router-ospfコマンドを入力すると、コマンド プロンプトは(config-router)#のようになり、サブモードが開始したことを示します。
OSPFルーティング プロセスを設定する場合は、 router ospf コマンドと次のOSPF固有のサブコマンドを組み合わせて使用します。
• compatible rfc1583 ― RFC 1583に基づいてサマリー ルート コストを計算するための方法を復元します。
• default-information originate ― NSSAエリア内にタイプ7のデフォルトを生成します。
• distance ― ルート タイプに基づいてOSPFルートのアドミニストレーティブ ディスタンスを定義します。
• ignore ― タイプ6 Multicast OSPF(MOSPF)パケットのLink-State Advertisement(LSA;リンク ステート アドバタイズ)をルータが受信するときに、Syslogメッセージの送信を抑制します。
• log-adj-changes ― OSPFネイバが起動または停止するときに、ルータがSyslogメッセージを送信するように設定します。
• network ― OSPFが稼働するインターフェイス、およびこれらのインターフェイスのエリアIDを定義します。
• redistribute ― 指定されたパラメータに従ってOSPFプロセス間の再配布を設定します。
次に、FWSMの外部インターフェイスでサブモードを開始する例を示します。
インターフェイス固有のOpen Shortest Path First(OSPF)ルーティング パラメータを設定するには、 routing interface コマンドを使用します。指定されたインターフェイスのルーティング設定のみを削除するには、このコマンドの no 形式を使用します。
[ no ] routing interface interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
routing interface interface_name コマンドは、インターフェイス固有のすべてのOSPFインターフェイス モード コマンドに対するメイン コマンドです。設定するFWSMインターフェイスの名前( interface_name )を指定してこのコマンドを入力してから、 routing interface サブコマンドを使用してインターフェイス固有の設定を開始します。 routing interface サブコマンドの no 形式にオプションの引数を指定する必要はありません(必要な情報を提供する場合はこの限りではない)。
次に、FWSMの外部インターフェイスでサブモードを開始する例を示します。
(注) ルーティング サブモードでは、コマンド プロンプトは「(config-routing)#」のように表示されます。
次に、FWSMの外部インターフェイス上で、同時に稼働する2つのOSPFプロセス(IDが5および12)を設定する例を示します。
Remote Processor Call(RPC)サービス テーブルを作成するには、 rpc-server コマンドを使用します。コンフィギュレーションからRPCサービスを削除するには、このコマンドの no 形式を使用します。
rpc-serverinterface ip_addr mask service service_type protocol [ tcp | udp ] port port [- port ] timeout hh:mm:ss
no rpc-serverinterface ip_addr mask service service_type protocol [ tcp | udp ] port port [- port] timeout hh:mm:ss
no rpc-server active service service_type server ip_addr
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
セキュリティ レベルが同じインターフェイス通信をイネーブルにするには、 same-security-traffic permit inter-interface コマンドを使用します。セキュリティが同じインターフェイス通信をディセーブルにするには、このコマンドの no 形式を使用します。
[no] same-security-traffic permit inter-interface
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、セキュリティが同じインターフェイス通信をイネーブルにする例を示します。
システム サービスをイネーブルにするには、 service コマンドを使用します。システム サービスをディセーブルにするには、このコマンドの no 形式を使用します。
[no] service { resetinbound | resetoutside }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
serviceコマンドは、アクセス リストまたはuauth(ユーザ許可)で着信接続が禁止されているスタティック インターフェイスに対する、すべての着信TCP接続に対して機能します。用途としては、識別要求(IDENT)接続のリセットなどがあります。着信TCP接続が試行されて拒否された場合、service resetinboundコマンドを使用して、RST(TCPヘッダー内のリセット フラグ)を送信元に返すことができます。キーワードを指定しない場合、FWSMはRSTを戻さずに、パケットを廃棄します。
FWSMは着信接続ホストにTCP RSTを送信し、着信IDENTプロセスを停止することにより、発信電子メールがIDENTのタイムアウトを待たずに送信されるようにします。FWSMは、着信接続が拒否されたことを示すSyslogメッセージを送信します。service resetinboundコマンドを入力しない場合、FWSMは拒否されたパケットを廃棄し、SYNが拒否されたことを示すSyslogメッセージを生成します。ただし、外部ホストはIDENTがタイムアウトするまで再送信し続けます。
IDENT接続がタイムアウトになると、接続速度が落ちます。トレースを実行して、遅延の原因がIDENTであるかどうかを判断してから、serviceコマンドを入力します。
FWSMを介してIDENT接続を処理するには、 service resetinboundコマンドを使用します。次に、IDENT接続の処理方法をセキュリティが高いものから順に示します。
1. service resetinboundコマンドを使用します。
2. permitto tcp 113キーワードを指定して、establishedコマンドを使用します。
3. staticコマンドおよびaccess-listコマンドを入力して、TCPポート113を開きます。
aaaコマンドを使用する場合、最初の許可試行が失敗し、次の試行でタイムアウトした場合は、service resetinboundコマンドを使用して許可に失敗したクライアントをリセットし、接続を再送信しないようにします。次の例は、Telnetでの許可タイムアウト メッセージを示しています。
resetoutsideコマンドを使用すると、FWSMはセキュリティ レベルの最も低いFWSMインターフェイスで終端する、拒否されたTCPパケットをアクティブにリセットします。デフォルトでは、これらのパケットは通知なしで廃棄されます。resetoutsideキーワードを使用するときは、ダイナミックまたはスタティックなインターフェイスPort Address Translation(PAT;ポート アドレス変換)と併用することを推奨します。スタティック インターフェイスPATはFWSMバージョン6.0以降で使用できます。このキーワードによって、FWSMは外部SMTPまたはFTP(ファイル転送プロトコル)サーバからのIDENTを終了できます。接続をアクティブにリセットすることにより、30秒間のタイムアウト遅延が回避されます。
コンフィギュレーションから service コマンドを削除するには、 clear service コマンドを使用します。
ルート マップの宛先ルーティング プロトコルに値を指定するには、 ルートマップ サブモードの set コマンドを使用します。 エントリを削除するには、このコマンドの no 形式を使用します。
[no] set metric [ + | - ] metric_value metric-type { type-1 | type-2 | internal | external } ip next-hop ip-address [ ip-address ]
指定されたAutonomous System(AS;自律システム)の外部にあるOPSFメトリック ルートのタイプを指定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ルート マップのmatchコマンドと一致したパケットを送信する例を示します。
match(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
show route-map
show set
ルート マップのmatchコマンドと一致したパケットの送信先を指定するには、 set ip next-hopサブ コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set ip next-hop ip-address [ ip-address ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、ルート マップのmatchコマンドと一致したパケットを送信する例を示します。
match(ルート マップ サブモード)
route-map
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
show route-map
show set
ルーティング プロトコルのメトリック値を設定するには、set metricサブコマンドを使用します。デフォルト メトリック値に戻すには、このコマンドの no 形式を使用します。
set metric [ + | - ] metric_value
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
no set metric value サブコマンドを使用すると、デフォルト メトリック値に戻すことができます。このコンテキストでは、 value は - 2147483647~2147483647の整数です。
次に、OSPFルーティングに関するルート マップを設定する例を示します。
match(ルート マップ サブモード)
route-map
set ip next-hop(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
show route-map
show set
OSPFメトリック ルートのタイプを指定するには、set metric-typeサブコマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
set metric-type { type-1 | type-2 | internal | external }
指定されたAutonomous System(AS;自律システム)の外部にあるOPSFメトリック ルートのタイプを指定します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、OSPFルーティングに関するルート マップを設定する例を示します。
route-map
set ip next-hop(ルート マップ サブモード)
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
show route-map
show set
対話形式プロンプトでFWSMを事前設定するには、 setup コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMにPDMを接続するには、事前設定が必要です。フラッシュ パーティションにコンフィギュレーションがない場合は、起動時に設定ダイアログが自動的に表示されます。 setup コマンドを入力すると、 表 2-13 に示した設定情報を入力するように求められます。
ホストおよびドメイン名は、Secure Socket Layer(SSL)接続のデフォルト認証を生成する場合に使用されます。インターフェイス タイプはハードウェアによって決まります。
次に、 setup コマンド プロンプトを完了する例を示します。
コマンドの情報を表示するには、 show コマンドを使用します。
show command_keywords [| {include | exclude | begin | grep [ -v ]} regexp ]
(任意)指定された正規表現と一致するすべての出力行を表示します。 grep は include と同等であり、 grep -v は exclude と同等です。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show command_keywords [ |{ include | exclude | begin | grep } regexp ] コマンドは、指定された show コマンドのキーワードを実行します。この構文のパイプ文字は、最初の「|」のみです。この文字はフィルタへのパイプ出力を表します。「|」を指定する場合は、フィルタリング キーワードおよび正規表現も指定する必要があります。
show 出力フィルタリング オプションのCLI(コマンドライン インターフェイス)構文および意味は、Cisco IOSソフトウェアと同じであり、コンソール、Telnet、またはSSHセッションを通して使用できます。
大部分のコマンドには show コマンド形式があり、コマンド名が show のキーワードとして使用されます。たとえば、 global コマンドには show global コマンドが関連付けられています。
show ? コマンドは、FWSMで使用可能なすべてのコマンドのリストを表示します。
regexp 引 数は 引用符または二重引用符で囲まないでください。また、(キーワード間の)後続スペースは正規表現の一部として解釈されます。
次に、 show コマンド出力フィルタ キーワードを使用する例を示します。「|」はUNIXパイプ記号です。
ローカル、TACACS+、またはRADIUSユーザ アカウンティングを表示するには、 show aaa コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ローカル、TACACS+、またはRADIUSユーザ アカウンティングを表示する例を示します。
aaa accounting match
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
ユーザごとに許可される同時プロキシ接続数を表示するには、 show aaa proxy-limit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show aaa proxy-limit コマンドを使用すると、許可されている未処理の認証要求数を表示できます。また、プロキシ制限がディセーブルに設定されている場合は、そのことを示します。
次に、サーバ単位で許可される同時プロキシ接続数を表示する例を示します。
aaa accounting match
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
AAAサーバの設定情報を表示するには、 show aaa-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
aaa accounting match
aaa authentication
aaa authorization
auth-prompt
password/passwd
service
ssh
telnet
virtual
コンテキスト グループ メンバーを表示するには、 show access-group コマンドを使用します。
show access-group [ access-list ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンテキスト グループ メンバーを表示する例を示します。
アクセス リスト エントリを番号別に表示するには、 show access-list コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSMがアクセス リスト エントリ(ACE [アクセス制御エントリ])に付けた番号に、コメントを挿入して表示する例を示します。コメントには行番号が割り当てられません。
access-list extended
clear access-list
show access-list mode
システムの編集モードを表示するには、 show access-list mode コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSMのアクセス リスト編集モードを表示する例を示します。
access-list extended
access-list mode
clear access-list
show access-list
コンフィギュレーション内のコマンドのうち、アクティベーション キーでイネーブル化された機能に関するものを、許可されているコンテキスト数を含めて表示するには、 show activation-key コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show activation-key コマンド出力は、次のように、アクティベーション キーのステータスを示します。
• FWSMフラッシュ パーティションのアクティベーション キーとFWSMで稼働するアクティベーション キーが同じである場合、 show activation-key の出力は次のようになります。
• FWSMフラッシュ パーティションのアクティベーション キーとFWSMで稼働するアクティベーション キーが異なる場合、 show activation-key の出力は次のようになります。
• FWSMフラッシュ パーティションのソフトウェア イメージ バージョンと稼働中のFWSMのソフトウェア イメージが異なる場合、 show activation-key の出力は次のようになります。
• アクティベーション キーをダウングレードすると、動作中のキー(古いキー)とフラッシュに保存されたキー(新しいキー)が異なることを示す出力が表示されます。FWSMを再起動すると、新しいキーが使用されます。
• アクティベーション キーをアップグレードして、別の機能をイネーブルにした場合は、再起動しなくても新しいキーがすぐに動作を開始します。
次に、コンフィギュレーション内のコマンドのうち、アクティベーション キーでイネーブル化された機能に関するものを表示する例を示します。
管理コンテキストとして指定されたコンテキストを表示するには、 show admin-context コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
重複アドレスをデュアルNAT(ネットワーク アドレス変換)コマンドとともにコンフィギュレーション内で表示するには、 show alias コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーション内の area コマンドを表示するには、 show area コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
ARPテーブル内のエントリを一覧表示するには、 show arp コマンドを使用します。
show arp [ timeout | statistics ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、ARPテーブル内のエントリを一覧表示する例を示します。
現在のAAA(認証、許可、アカウンティング)身元証明要求テキストを表示するには、 show
auth-prompt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
指定されたバナーおよびバナー用に設定されたすべての行を表示するには、 show banner コマンドを使用します。
show banner [{ exec | login | motd }]
(任意)Telnetを使用してFWSMにアクセスしたときに、パスワード ログイン プロンプトの前に表示されるバナーを表示します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show banner { motd | exec | login } コマンドを使用すると、指定されたバナー キーワードおよびバナー用に設定されたすべての行を表示できます。バナー キーワードを指定しない場合は、すべてのバナーが表示されます。
事前に割り当てられたシステム バッファ内のブロックを表示するには、 show blocks コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show blocks コマンドを使用すると、 show cpu コマンドと同様に、FWSMが過負荷であるかどうかを判別できます。show blocksコマンドでは、事前に割り当てられたシステム バッファの利用率を表示できます。
show blocksコマンド リストのSIZEカラムには、ブロック タイプが表示されます。MAXカラムは、割り当てられたブロックの最大数です。LOWカラムは、前回の再起動以降に使用可能なブロックの最小数です。CNTカラムは、現在使用可能なブロック数です。LOWカラムが0の場合は、直前のイベントでメモリが一杯になったことを示します。CNTカラムが0の場合は、現在メモリが一杯であることを示します。メモリが一杯になっていても、FWSMによってトラフィックが送受信されている場合は問題ありません。
show connコマンドを使用すると、トラフィックが送受信されているかどうかを確認できます。トラフィックが送受信されず、メモリが一杯の場合は、問題が発生することがあります。
SNMP(簡易ネットワーク管理プロトコル)を使用してshow blocksコマンドの情報を表示することもできます。
FWSMのインターフェイスに着信したパケットは、入力インターフェイス キューに格納され、OS(オペレーティング システム)に送信されて、ブロックに格納されます。イーサネット パケットの場合は、1550バイトのブロックが使用されます。パケットが66 MHzギガビット イーサネット カードに着信した場合は、16384バイトのブロックが使用されます。FWSMは、アダプティブ セキュリティ アルゴリズム(ASA)に基づいてパケットが許可されるか、または拒否されるかを判別し、発信インターフェイスの出力キューにパケットを送信します。FWSMがトラフィック負荷に対応できない場合は、使用可能な1550バイトのブロック数(66 MHzギガビット イーサネットの場合は16384バイトのブロック数)が0に近い値になります(コマンド出力のCNTカラムに表示)。CNTカラムが0の場合、FWSMはより多くのブロック(最大8192)を割り当てようとします。使用可能なブロックがない場合、FWSMはパケットを廃棄します。
256バイトのブロックは、主にステートフル フェールオーバー メッセージに使用されます。アクティブFWSMはパケットを生成し、スタンバイFWSMに送信して、変換および接続テーブルを更新します。バースト トラフィックが発生し、大量の接続が作成または切断される場合は、使用可能な256バイトのブロック数が0になることがあります。この状況は、スタンバイFWSMに対して更新されなかった接続が1つまたは複数あったことを示します。ステートフル フェールオーバー プロトコルは次回に、失われたxlate(変換スロット)または接続を捕捉します。256バイト ブロックに関するCNTカラム値が0付近に長時間留まっている場合は、FWSMが1秒間に処理する接続数がネックとなって、FWSMは変換および接続テーブルの同期を保つことができません。この状況が継続的に発生する場合は、FWSMをより高速なモデルにアップグレードしてください。
FWSMから送信されるSyslogメッセージにも256バイト ブロックが使用されますが、通常は、256バイト ブロック プールが枯渇する原因となるほど、これらのメッセージが大容量でリリースされることはありません。CNTカラムに表示された256バイト ブロック数が0付近の値である場合は、SyslogサーバにDebugging(レベル7)でロギングしていないかを確認してください。ロギング レベルは、FWSMコンフィギュレーション内のロギング トラップ行で示されます。デバッグのための追加情報が必要な場合を除き、ロギング レベルをNotification(レベル5)以下に設定することを推奨します。
表 2-14 に、 show blocks で出力されるカラムを示します。
表 2-15 に、 show blocks で表示される行を示します。
次に、事前に割り当てられたシステム バッファ メモリ ブロックを表示する例を示します。
SIZE MAX LOW CNT
1550 788 402 404
認証許可情報を表示するには、 show ca コマンドを使用します。
show ca { certificate | crl | configure | identity | mypubkey rsa | subject-name | verifycertdn }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、要求された認証の現在のステータスを表示する例を示します。CA認証は、このFWSM用に生成されたMicrosoft CAサーバで生じます。
表 2-16 に、 show ca certificate コマンドの出力例内の文字列を示します。
|
|
---|---|
次に、認証情報を表示する例を示します。次の出力例内の文字列の説明については、表 2-16を参照してください。
次に、RSA鍵に関する情報を表示する例を示します。このFWSMに対して特殊な用途のRSA鍵は、すでに ca generate rsa コマンドを使用して、生成されています。
次に、証明書およびCRL文字列を表示する例を示します。次の出力例内の文字列の説明については、表 2-16を参照してください。
オプションを指定しない場合のキャプチャ設定を表示するには、 show capture コマンドを使用します。
show capture [ capture_name ] [ access-list access_list_name ] [ count number ] [ detail ] [ dump ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
capture_name を指定した場合は、該当するキャプチャのキャプチャ バッファの内容が表示されます。
dump キーワードを指定した場合、16進ダンプ内にMAC(メディア アクセス制御)情報が表示されません。
パケットのデコード出力は、パケットのプロトコルによって異なります。 detail キーワードを指定した場合は、 表 2-17 内のカッコで囲まれた出力が表示されます。
次に、ARPキャプチャでキャプチャされるパケットを表示する例を示します。
設定のチェックサムを表示するには、 show checksum コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show checksumコマンドを使用すると、設定内容のデジタル サマリーとして機能する、4つの16進数のグループを表示できます。フラッシュ パーティションに設定を保存するときに、この情報も同時に保存されます。show configコマンドを使用して設定リストの末尾のチェックサムを表示し、show checksumコマンドを使用してこれらの数値を比較すると、設定が変更されているかどうかを確認できます。FWSMはチェックサムをテストして、設定が破壊されていないかどうかを判別します。
show configまたはshow checksumコマンド出力のチェックサムの前にドット(「.」)が表示されている場合、この出力は標準のコンフィギュレーション ロード モードまたはコンフィギュレーション ライト モードであることを示します(FWSMフラッシュ パーティションからのロード、またはそこへの書き込みを行っている場合)。「.」は、FWSMが処理の実行中ですが、「ハングアップ」していないことを示します。このメッセージは、「system processing, please wait」メッセージと同じです。
チャンク統計情報を表示するには、 show chunkstat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
クラス設定を表示するには、 show class コマンドを使用します。
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM Syslog Server(PFSS)およびPublic Key Infrastructure(PKI)プロトコルで使用するFWSMクロックを表示するには、 show clock コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、PFSSおよびPKIプロトコルで使用されるFWSMクロックを表示する例を示します。
RFC 1583に基づくサマリー ルート コストを計算するための方式を表示するには、 show compatible rfc1583コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、RFC 1583に基づくサマリー ルート コストの計算方式を表示する例を示します。
FWSMのスタートアップ コンフィギュレーションを表示するには、 show configure コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show configure および show startup-config コマンドを使用すると、FWSMのスタートアップ コンフィギュレーションを表示できます。 write terminal および show running-config コマンドを使用すると、FWSMで現在稼働しているコンフィギュレーションを表示できます。
次に、FWSMのスタートアップ コンフィギュレーションを表示する例を示します。
使用中の接続および使用可能な接続を表示するには、 show conn コマンドを使用します。
show conn [ count ] | [ protocol { TCP | UDP | icmp }] [{ foreign | local } ip [ -ip2 ]] [ netmask mask ]
[{ lport | fport } port1 [ -port2 ]]
show conn [ state up [ ,finin ][ ,finout ][ ,http_get ][ ,smtp_data ][ ,data_in ][ ,data_out ][ ,... ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show connコマンドを使用すると、アクティブなTCP接続の個数および情報を表示できます。複数の show conn state キーワードを指定する場合は、次のようにカンマで区切り、スペースは挿入しません。
SNMP(簡易ネットワーク管理プロトコル)を使用して、show connコマンドの接続カウント情報を表示することもできます。
表示されたカウントの精度は、トラフィック量およびFWSMを介して送受信されるトラフィックのタイプによって変わることがあります。
有効なポート リテラル名については、 Appendix B, "ポートとプロトコルの値," の「ポート値の指定」を参照してください。
show conn コマンドを入力すると、次に示すアクティブ接続が現在の状態(ボールド体で表記)別に表示されます。
• Computer Telephony Interface Quick Buffer Encoding(CTIQBE)接続( ctiqbe )
• Media Gateway Control Protocol(MGCP;メディア ゲートウェイ コントロール プロトコル)接続( mgcp )
• Javaアプレットへのアクセスを拒否する outbound コマンド( nojava )
• Skinny Client Control Protocol(SCCP)接続( skinny )
• SQL*Netデータ フィックス アップ( sqlnet_fixup_data )
• 不完全なSMTPメール接続( smtp_incomplete )
protocol は、番号で指定されるプロトコルです。有効なプロトコル リテラル名については、 Appendix B, "ポートとプロトコルの値," の「プロトコル値の指定」を参照してください。
show conn detailコマンドは、次の情報を表示します。
表 2-18に、接続フラグの定義を示します。
|
|
---|---|
次に、内部ホスト10.1.1.15から外部Telnetサーバ192.150.49.10へのTCPセッション接続の例を示します。Bフラグが設定されていないため、この接続は内部から開始されています。U、I、およびOフラグは、この接続がアクティブであり、着信および発信データを受信したことを示します。
次に、外部ホスト192.150.49.10から内部ホスト10.1.1.15へのUDP接続を示します。DフラグはDNS接続を示します。値1028は、接続上のDNS IDです。
6 in use, 6 most used
TCP out 209.165.201.1:80 in 10.3.3.4:1404 idle 0:00:00 Bytes 11391
TCP out 209.165.201.1:80 in 10.3.3.4:1405 idle 0:00:00 Bytes 3709
TCP out 209.165.201.1:80 in 10.3.3.4:1406 idle 0:00:01 Bytes 2685
TCP out 209.165.201.1:80 in 10.3.3.4:1407 idle 0:00:01 Bytes 2683
TCP out 209.165.201.1:80 in 10.3.3.4:1403 idle 0:00:00 Bytes 15199
TCP out 209.165.201.1:80 in 10.3.3.4:1408 idle 0:00:00 Bytes 2688
UDP out 209.165.201.7:24 in 10.3.3.4:1402 idle 0:01:30
UDP out 209.165.201.7:23 in 10.3.3.4:1397 idle 0:01:30
UDP out 209.165.201.7:22 in 10.3.3.4:1395 idle 0:01:30
内部のホスト10.3.3.4は、Webサイト209.165.201.1にアクセスしました。外部インターフェイスのグローバル アドレスは209.165.201.7です。
次に、アップ状態のFWSMに対する接続を表示する例を示します。
現在設定されているコンソールのタイムアウト値を表示するには、 show console-output コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
現在設定されているコンテキストを表示するには、 show context コマンドを使用します。
show context [detail] [ name | admin | count]
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
プロトコル スタック カウンタを表示およびクリアするには、 show counters コマンドを使用します。
show counters [context context-name | top N | all | summary] [protocol protocol_name [: counter_name ]| detail] [threshold count_threshold ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
CPU利用率情報を表示するには、show cpu usageコマンドを使用します。
show cpu [usage] [context {all | context_name }]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show cpu usage コマンドは、CPU使用率情報を表示します。このコマンドでコンテキスト単位の
CPU使用率を表示する場合、値は整数値でなく、精度を示す1個の10進数で表示されます。
このコマンドは、すべてのコンテキストおよびシステムレベル(システムおよびカーネル)プロセスにわたってCPU使用率がどのように分布しているかを表示します。各カラムの合計は、常に100%です。アイドル状態のシステムでは、システムおよびカーネル プロセスのすべてのCPU使用率が表示されます(例を参照)。
• show cpu コマンドは、システムの現在のビジー状況を表示します。
• show cpu context all コマンドは、すべてのCPU時間の使用場所を表示します。
• show cpu context context_name コマンドは、指定されたコンテキストで使用されているCPU時間の割合を表示します。
1つのコンテキスト内では、 show cpu コマンドは、該当するコンテキストで使用されているCPU時間の割合を表示します。
指定期間内に使用率を取得できない場合は、使用率にNA(適用不可)と表示されます。この状況が発生するのは、5秒、1分、または5分のインターバルが経過する前に、CPU使用率を要求した場合などです。
次に、すべてのコンテキストのCPU利用率を表示する例を示します。
FWSMのフラッシュ パーティションに格納されているクラッシュ情報ファイルを表示するには、
show crashdump コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show crashdump save コマンドを使用すると、フラッシュ パーティションにクラッシュ情報を保存するようにFWSMが設定されているかどうかを表示できます。
show crashdump コマンドを使用すると、FWSMのフラッシュ パーティションに格納されているクラッシュ情報ファイルを表示できます。クラッシュ情報ファイルがテスト クラッシュ( crashdump test コマンド)によって生成された場合、クラッシュ情報ファイルの最初の文字列は
[: Saved_Test_Crash]、最後の文字列は[: End_Test_Crash]です。クラッシュ情報ファイルが実際のクラッシュによって生成された場合、クラッシュ情報ファイルの最初の文字列は[: Saved_Crash]、最後の文字列は[: End_Crash]です( crashdump force page-fault または crashdump force watchdog コマンドによるクラッシュの場合も含まれる)。
次に、クラッシュ情報ファイルtestの出力例を示します(ただし、このテストではFWSMを実際にクラッシュしません。シミュレートされたサンプル ファイルが作成される)。
ダイナミック クリプト マップ セットを表示するには、 show crypto dynamic-map コマンドを使用します。
show crypto dynamic-map [ tag dynamic-map-name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
詳細なヘルプについては、コマンドを使用できるモード内でサブコマンド ヘルプを参照してください。たとえば、次のように入力できます。
次に、 show crypto dynamic-map コマンドの出力例を示します。
次に、上記の show crypto dynamic-map コマンドを発行したときに有効だった設定の一部を示します。
次に、クリプト マップ「mymap」に対する show crypto map コマンドの出力例を示します。
暗号化エンジン使用率に関する統計情報を表示したり、Known Answer Test(KAT)を実行するには、 show crypto engine コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show crypto engine コマンドを使用すると、FWSMで使用される暗号化エンジンの使用率に関する統計情報を表示できます。
次に、 show crypto engine コマンドの出力例を示します。
FWSMシャーシに搭載されたVPN Accelerator Card(VAC;VPNアクセラレータ カード)を表示したり、VAC+(VPNアクセラレータ カード プラス)の場合、カードを通過するトラフィックのパケット、ペイロード バイト、キュー長、および移動平均カウンタを表示するには、 show crypto
interface コマンドを使用します。
show crypto interface [ counters ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show crypto interface コマンドを使用すると、FWSMシャーシに搭載されたVACを表示できます。
show crypto interface counters コマンドを使用すると、FWSM VAC+専用の情報を表示できます( 表 2-19 を参照)。
|
|
---|---|
次に、 show crypto interface および show crypto interface counters コマンドの出力例を示します。
次に、 clear crypto interface counters コマンドを使用したあとの同じ出力例を示します。
次に、VAC+が搭載されている場合の show crypto interface および show crypto interface counters コマンドの出力例を示します。
次に、暗号化インターフェイス カード(VACとVAC+のどちらも)が搭載されていない場合の
show crypto interface および show crypto interface counters コマンドの出力例を示します。
設定されているトランスフォーム セットを表示するには、 show crypto ipsec コマンドを使用します。
show crypto ipsec security-association lifetime
show crypto ipsec transform-set [ tag transform-set-name ]
show crypto ipsec sa [ map map-name | address | identity ] [ detail ]
(任意)すべての既存セキュリティ アソシエーションを、宛先アドレス(ローカル アドレスまたはリモートIPSecピアのアドレス)を基準に並べ替えたあと、さらにプロトコル(AHまたはESP)を基準に並べ替えて表示します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show crypto ipsec sa コマンドを使用すると、現在のセキュリティ アソシエーションで使用されている設定を表示できます。キーワードを入力しない場合は、すべてのセキュリティ アソシエーションが表示されます。出力はまずインターフェイスを基準に並べ替えられたあと、トラフィック フロー(送信元/宛先アドレス、マスク、プロトコル、ポートなど)を基準に並べ替えられます。フロー内では、セキュリティ アソシエーションはプロトコル(ESP/AH)別、および方向(着信/発信)別に表示されます。 identity キーワードを指定した場合、セキュリティ アソシエーション情報は表示されません。
(注) show crypto ipsec saを入力するときに、画面表示がMoreプロンプトで停止し、画面停止中にセキュリティ アソシエーションのライフタイムが期限切れになった場合は、後続の表示内容が古くなることがあります。この場合は、表示されているセキュリティ アソシエーションのライフタイム値が無効であると想定する必要があります。
show crypto ipsec saコマンドを使用すると、Payload Compression Protocol(PCP)を出力に含めることができます。
次に、セキュリティ アソシエーションのライフタイム値を表示する例を示します。
次に、 show crypto ipsec security-association lifetime コマンドを発行したときに有効だった設定を示します。
次に、設定されたトランスフォーム セットを表示する例を示します。
次に、 show crypto ipsec transform-set コマンドを発行したときに有効だった設定を示します。
次に、現在のセキュリティ アソシエーションで使用されている設定を表示する例を示します。
crypto ipsec security-association lifetime
crypto ipsec transform-set
クリプト マップの設定を表示するには、 show crypto map コマンドを使用します。
show crypto map [ interface interface-name | tag map-name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、 show crypto map コマンドを発行したときに有効だった設定を示します。
次に、手動で確立されたセキュリティ アソシエーションを使用する場合の show crypto mapコマンド の出力例を示します。
次に、 show crypto map コマンドを発行したときに有効だった設定を示します。
現在のユーザ権限を表示するには、 show curpriv コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、enable_15という名のユーザに複数の権限レベルが設定されている場合の show curpriv コマンドの出力例を示します。ユーザ名はユーザがログインするときに入力した名前、P_PRIVはユーザが enable コマンドを入力したこと、P_CONFはユーザが config terminal コマンドを入力したことを示します。
Not-So-Stubby Area(NSSA)のタイプ7デフォルトを表示するには、 show default-information originate コマンドを使用します。
show default-information originate
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドがサポートされるのは、NSSA ABR(エリア境界ルータ)またはNSSA Autonomous System Boundary Router(ASBR)上のみです。
show ip ospf コマンドは、設定された router ospf サブコマンドを表示します。
default-information originate(ルートOSPFサブコマンド)
router ospf
show ip ospf
デバッグ情報を表示するには、 show dbgコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デバッグ情報を表示するには、 show debugコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
すべての dhcpd コマンドに対応するバインディング情報および統計情報を表示するには、 show dhcpd コマンドを使用します。
show dhcpd [ binding | statistics ]
(任意)任意のサーバのIPアドレスおよび対応するクライアント ハードウェア アドレスやリース期間に関するバインディング情報を表示します。 |
|
(任意)アドレス プール、バインディング数、不正な形式のメッセージ、送信済みメッセージ、および受信済みメッセージなどの統計情報を表示します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Dynamic Host Configuration Protocol(DHCP;ダイナミック ホスト コンフィギュレーション プロトコル)リレー統計情報を表示するには、 show dhcprelay コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
show dhcprelay コマンドの出力は、 clear dhcprelay statistics コマンドを入力するまで増加します。
ディスク ファイル システムに関する情報を表示するには、 show disk コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ディスク ファイル システム情報を表示する例を示します。
次に、ディスク ファイル システム情報およびパーティション情報をすべて表示する例を示します。
ディスパッチ レイヤ統計情報をすべて表示するには、 show dispatch stats コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ディスパッチ レイヤ統計情報をすべて表示するには、 show dispatch table コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ルート タイプに基づいてOSPFルートのアドミニストレーティブ ディスタンスを表示するには、 show distance コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、OSPFルートのアドミニストレーティブ ディスタンスを表示する例を示します。
IPSecのドメイン名を表示するには、 show domain-name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
domain-name コマンドを使用すると、IPSecのドメイン名を変更できます。
(注) ドメイン名を変更すると、完全修飾ドメイン名も変更されます。完全修飾ドメイン名が変更されたあとにRSA鍵ペアを削除するには、ca zeroize rsaコマンドを、関連する認証を削除するには、no ca identity ca_nicknameコマンドを使用します。
ダイナミック クリプト マップのエントリを表示するには、 show dynamic-map コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ダイナミック クリプト マップのエントリを表示する例を示します。
権限レベルに関するパスワード設定を表示するには、 show enable コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
確立された接続に基づく、許可された着信接続を表示するには、 show established コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、確立された接続に基づく着信接続を表示する例を示します。
接続のステータスを確認したり、アクティブなモジュールを判別するには、 show failover コマンドを使用します。
show failover [statistics | state | interface | history]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show failover コマンドを使用すると、ダイナミック フェールオーバー情報、インターフェイスのステータス、および論理インターフェイスの更新ステータスを表示できます。 show failover 出力の各フィールドの値は、次のとおりです。
• 各行は、次のように、特定のオブジェクトのスタティック カウントに対応します。
–General ― すべてのステートフル オブジェクトの合計
–Sys cmd ― loginまたはstay aliveなど、論理的な更新システム コマンド
–Up time ― FWSMの起動時間を表す値(アクティブFWSMモジュールがスタンバイ モジュールに渡す値)
–ARP tbl ― FWSMダイナミックARPテーブル情報
show failover コマンドを使用したときに表示されるStandby Logical Update Statistics出力には、ステートフル フェールオーバーのみが示されます。[xerrs]値は、フェールオーバー中のエラーではなく、パケット送信エラー数を示します。
フェールオーバーIPアドレスを入力しない場合、show failoverコマンドはIPアドレスとして0.0.0.0を表示し、インターフェイスのモニタリングは「待機」状態のままです。フェールオーバーが機能するようにフェールオーバーIPアドレスを設定する必要があります。
clear failover
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover reset
monitor-interface
show failover
write standby
ファイル システムに関する情報を表示するには、 show file コマンドを使用します。
show file descriptors | system
ディスク ファイル システムのサイズ、使用可能バイト数、メディア タイプ、フラグ、およびプレフィックス情報を表示します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
cd
copy disk
copy flash
copy tftp
copy tftp
dir
format
mkdir
more
pwd
rename
rmdir
URL、Java、またはHTTPSフィルタリング情報を表示するには、 show filter コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMモードを表示するには、 show firewall コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
フィックスアップ設定およびポート値を表示するには、 show fixup コマンドを使用します。
show fixup protocol { protocol [ protocol ] | mgcp}
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show fixup コマンドを使用すると、現在のフィックスアップ設定およびポート値を表示できます。
show fixup protocol protocol [ protocol ] コマンドを使用すると、指定された各プロトコルのポート値を表示できます。
show fixup protocol mgcp コマンドを使用すると、設定されたMGCPフィックスアップを表示できます。
次に、現在のフィックスアップ設定およびポート値を表示する例を示します。
次に、設定されたMGCPフィックスアップを表示する例を示します。
ファイル システム情報を表示するには、 show flashfs コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show flashfsコマンドは、各ファイル システムのセクタ サイズ(バイト単位)およびファイル システムの現在の状態を表示します。各セクタのデータは次のとおりです。
• file 0 ― .binファイルが格納されるFWSMバイナリ イメージ
• file 1 ― show configコマンドで表示できるFWSM設定データ
• file 2 ― IPSec鍵および認証情報を格納するFWSMデータ ファイル
• file 3 ― show flashfs コマンドのflashfsダウングレード情報
フラッディング ガード ステータスを表示するには、 show floodguard コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、フラッディング ガード ステータスを表示する例を示します。
フラグメント データベースの状態を表示するには、 show fragment コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show fragmentコマンドを使用すると、フラグメント データベースの状態を表示できます。インターフェイス名を指定した場合は、指定されたインターフェイスに接続されたデータベースの情報のみが表示されます。インターフェイス名を指定しない場合は、すべてのインターフェイスにコマンドが適用されます。
show fragment コマンドは、次の情報を表示する場合に使用します。
• Size ― size キーワードで設定された最大パケット数。この値は、インターフェイスで許可されている最大フラグメント数です(Max_Block)。
• Chain ― chainキーワードで設定された単一パケットの最大フラグメント数(Max_Block_Chain)
• Timeout ― timeoutキーワードで設定された最大秒数。この値は、フラグメントがガベージ コレクション プロセスで削除される前に、インターフェイス単位でシステム内に存続できる時間です。
• Queue ― 現在、再組み立てを待機しているパケット数。この値は、インターフェイスで受信された実際のフラグメント数です(Block_Queued)。
• Assemble ― 再組み立てに成功したパケット数。FWSMはパケットの再組み立てを仮想的に行うため、このカウンタは使用されません。
• Fail ― 再組み立てに失敗したパケット数。このエラー カウンタは、不良フラグメントが受信されると増加します。
• Overflow ― フラグメント データベースをオーバーフローしたパケット数。このカウンタは、インターフェイスを通過する分割パケットに指定された制限に達すると、増加します。
次に、フラグメント データベースの状態を表示する例を示します。
FTP(ファイル転送プロトコル)モードを表示するには、 show ftpコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ガベージ コレクション プロセスの統計情報を表示するには、 show gcコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ガベージ コレクション プロセスの統計情報を表示する例を示します。
コンフィギュレーション内の global コマンドを表示するには、 show global コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
H225 統計情報を表示するには、 show h225 コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
H245統計情報を表示するには、 show h245 コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
H323-ras統計情報を表示するには、 show h323-ras コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
入力済みのコマンドを表示するには、 show history コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show historyコマンドを使用すると、入力済みのコマンドを表示できます。コマンドを個別に調べるには、上下の矢印を使用します。入力済みの行を表示するには^pを、次の行を表示するには^nを入力します。
次に、ユーザ モードの場合に、入力済みのコマンドを表示する例を示します。
次に、イネーブル モードの場合に、入力済みのコマンドを表示する例を示します。
次に、コンフィギュレーション モードの場合に、入力済みのコマンドを表示する例を示します。
HTTPサーバ情報を表示するには、 show http コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMのハードウェア バージョンを表示するには、 show hw コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、FWSMのハードウェア バージョンを表示する方法を示します。
ICMP情報を表示するには、 show icmp コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
マルチキャスト グループのInternet Group Management Protocol(IGMP;インターネット グループ管理プロトコル)情報を、静的に設定されたかまたは動的に作成されたかに関係なく表示するには、 show igmp コマンドを使用します。
show igmp [ group | interface interface_name ] [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
次に、マルチキャスト グループのIGMP情報を表示する例を示します。
Syslogに送信する必要がなかったタイプ6 Multicast OSPF(MOSPF)パケットのLink-State
Advertisement(LSA;リンク ステート アドバタイズ)を表示するには、 show ignore lsa mospfサブコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、Syslogに送信する必要がなかったタイプ6 MOSPFパケットのLSAを表示する例を示します。
VLAN(仮想LAN)設定に関する情報を表示するには、 show interface コマンドを使用します。
show interface [ interface ] [ running-config | detail | stats | { ip [ brief ]}]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドを使用すると、インターフェイスのステータスを表示できます。 id (VLANまたはマッピングされた名前として)、またはインターフェイスの名前を指定できます。 interface 引数は特定のインターフェイスを識別します。
次に、インターフェイスのアクティビティを表示する例を示します。
ネットワーク インターフェイスに割り当てられたIPアドレスを表示するには、 show ip address コマンドを使用します。
show ip address [ interface_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
dhcp キーワードを指定すると、Dynamic Host Configuration Protocol(DHCP;ダイナミック ホスト コンフィギュレーション プロトコル)リースに関する詳細情報が表示されます。
pppoe キーワードを指定すると、Point-to-Point Protocol Over Ethernet(PPPOE)接続に関する詳細情報が表示されます。
次に、ネットワーク インターフェイスに割り当てられたIPアドレスを表示する例を示します。
System IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
Current IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
現在のIPアドレスは、フェールオーバー アクティブ モジュールのシステムIPアドレスと同じです。プライマリ モジュールに障害が発生すると、現在のIPアドレスがスタンバイ モジュールのIPアドレスになります。
clear ip address
clear ip verify reverse-path
ip address
ip prefix-list
ip verify reverse-path
show ip address
show ip verify
OSPFルーティング プロセスに関する一般情報を表示するには、 show ip ospf コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、OSPFルーティング プロセスに関する一般情報を表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
Area Border Router(ABR;エリア境界ルータ)およびAutonomous System Boundary Router(ASBR;自律システム境界ルータ)の内部OSPFルーティング テーブル エントリを表示するには、 show ip ospf border-routers コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、ABRおよびASBRの内部OSPFルーティング テーブル エントリを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
特定のルータのOpen Shorteset Path First(OSPF)データベースに関連する情報リストを表示するには、 show ip ospf database コマンドを使用します。
show ip ospf [ pid ] database [ internal ] [ adv-router [ addr ]]
show ip ospf [ pid [ area_id ]] database [ internal ] [ self-originate ] [ lsid ]
show ip ospf [ pid [ area_id ]] database { router | network | summary | asbr-summary | external | nssa-external | database-summary }
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
このコマンドの各形式は、それぞれ異なるOSPF LSA情報を表示します。
エリアにIPサブネットを対応付ける場合は、次の注意事項に従って、サブネット アドレスを area_id として指定することができます。
• 認証のコンテキストで使用する場合、 area_id は 認証がイネーブル化されるエリアのIDです。
• コスト コンテキストを使用する場合、 area_id は スタブまたはNSSAのIDです。
• プレフィックス リストのコンテキストで使用する場合、 area_id はフィルタリングを設定するエリアのIDです。
• スタブ エリアまたはNSSAコンテキストで使用する場合、 area_id は スタブまたはNSSAエリアのIDです。
次に、特定のルータのOSPFデータベースに関連する情報のリストを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
インターフェイス上でフラッディングを待機しているOSPF Link-State Advertisement(LSA;リンク ステート アドバタイズ)のリストを表示するには、 show ip ospf flood-list コマンドを使用します。
show ip ospf flood-list interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、インターフェイス上でフラッディングを待機しているOSPF LSAのリストを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
OSPF関連のインターフェイス情報を表示するには、 show ip ospf interface コマンドを使用してください。
show ip ospf interface interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、OSPF関連のインターフェイス情報を表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
OSPFネイバ情報をインターフェイス単位で表示するには、 show ip ospf neighbor コマンドを使用します。
show ip ospf neighbor [ interface_name ] [ nbr_router_id ] [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、OSPFネイバ情報をインターフェイス単位で表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
ルータが要求するすべてのLink-State Advertisement(LSA;リンク ステート アドバタイズ)のリストを表示するには、 show ip ospf request-list コマンドを使用します。
show ip ospf request-list nbr_router_id interface_name
ネイバ情報を表示するインターフェイスの名前。このインターフェイスからルータが要求するすべてのLSAのリストを表示します。 |
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、ルータが要求するLSAのリストを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf retransmission-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
再送信を待機しているすべてのLink-State Advertisement(LSA;リンク ステート アドバタイズ)のリストを表示するには、 show ip ospf retransmission-list コマンドを使用します。
show ip ospf retransmission-list nbr_router_id interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
nbr_router_id 引数を指定すると、このインターフェイスへの再送信を待機しているすべてのLSAのリストが表示されます。
interface_name 引数を指定すると、このネイバへの再送信を待機しているすべてのLSAのリストが表示されます。
次に、再送信を待機しているすべてのLSAのリストを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf summary-address
show ip ospf virtual-links
show routing
OSPFプロセスに基づいて設定されたすべての集約アドレス再配布情報のリストを表示するには、
show ip ospf summary-address コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、IDが5のOSPFプロセス用に集約アドレスが設定される前の、すべての集約アドレス再配布情報のリストを表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf virtual-links
show routing
OSPF仮想リンクのパラメータおよび現在の状態を表示するには、 show ip ospf virtual-links コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、OSPF仮想リンクのパラメータおよび現在の状態を表示する例を示します。
clear ip ospf
ospf(インターフェイス サブモード)
route-map
router ospf
routing interface
show ip ospf border-routers
show ip ospf database
show ip ospf flood-list
show ip ospf interface
show ip ospf neighbor
show ip ospf request-list
show ip ospf retransmission-list
show ip ospf summary-address
show routing
入力および出力フィルタリングを表示して、アドレス指定およびルートの整合性に関する統計情報を確認するには、 show ip verify コマンドを使用します。
show ip verify [ reverse-path [ interface int_name ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、入力および出力フィルタリングを表示して、アドレス指定およびルートの整合性に関する統計情報を確認する例を示します。
Internet Security Association and Key Management Protocol(ISAKMP)の識別情報を表示するには、
show isakmp コマンドを使用します。
FWSMとそのピア間の現在のInternet Key Exchange(IKE;インターネット鍵交換)セキュリティ アソシエーションをすべて表示します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
表 2-20 に、 show isakmp sa detail コマンド出力の説明を示します。
|
|
---|---|
次に、FWSMとそのピア間でIKEネゴシエーションが正常に完了したあとに、識別情報を表示する例を示します。
次に、FWSMとそのピア間のすべてのIKEセキュリティ アソシエーションを表示する例を示します。
デフォルト パラメータなど、各Internet Key Exchange(IKE;インターネット鍵交換)ポリシーのパラメータを表示するには、 show isakmp policy コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、2つのIKEポリシーにプライオリティ70および90を設定したあとに、 show isakmp policy コマンドの出力を表示する例を示します。
(注) 出力ではライフタイムに「no volume limit」と表示されますが、設定できるのは1つの時間のライフタイム(86,400秒など)のみで、ボリューム制限のライフタイムは設定できません。
次に、ISAKMPポリシー内でDiffie-Hellmanグループ5を使用する設定への show isakmp および show isakmp policy コマンドの出力例を示します。
ローカル ホストのネットワーク状態を表示するには、 show local-host コマンドを使用します。
show local-host [ ip_address ] [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
|
|
---|---|
show local-host コマンドを使用すると、ローカル ホストのネットワーク状態を表示できます。ローカル ホストは、内部FWSMインターフェイス(外部インターフェイスでない)と同じサブネット上にある任意のホストです。
このコマンドを使用すると、ローカル ホストの変換および接続スロットを表示したり、これらのホスト上のすべてのトラフィックを停止することができます。また、通常の変換および接続状態を適用できない場合に、 nat 0 コマンドで設定されたホストの情報を表示できます。
show local-host detail コマンドは、アクティブな変換および接続に関する詳細を表示します。
出力を単一ホストに制限するには、 ip_address 引数を使用します。
このコマンドは、UDPプロトコルの最大接続数を表示します。UDP最大接続数が設定されていない場合は、デフォルトで値0が表示され、最大接続数は適用されません。
SYN攻撃(TCP代行受信が設定されているとき)が発生した場合は、 show local-host コマンド出力の使用率カウントに代行受信された接続数が追加されます。このフィールドには、通常、完全に開いた接続のみが表示されます。
次に、ローカル ホストのネットワーク状態を表示する例を示します。
[xlate]は変換スロット情報を、[Conn]は接続状態情報を示します。
次に、ローカル ホストのネットワーク状態に関する詳細を表示する例を示します。
OSPFネイバの起動時または停止時にルータから送信されるSyslogメッセージを表示するには、 show log-adj-changesサブコマンドを使用します。
show log-adj-changes [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
show log-adj-changesサブコマンドはデフォルトでイネーブルですが、 detail キーワードを指定した場合、またはこの機能をディセーブルにした場合は、 show log-adj-changesサブコマンドはOSPF設定にのみ表示されます。
次に、OSPFネイバが起動または停止したときにルータから送信されるSyslogメッセージを表示する例を示します。
イネーブル化されたロギング オプションを表示するには、 show logging コマンドを使用します。
show logging message { syslog_id | all } | level | disabled }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
logging bufferedコマンドを使用している場合に、show loggingコマンドを使用すると、現在のメッセージ バッファを表示できます。 show logging disabled コマンドは、抑制されたSyslogメッセージを表示します。
show message disabledコマンドを使用すると、抑制されたメッセージを表示できます。すべてのSyslogメッセージは、明示的に禁止されない限り、許可されます。「FWSM Startup begin」メッセージをブロックすることはできません。また、1つのコマンドで複数のメッセージをブロックすることもできません。
Syslog内にメッセージが「 %FWSM-1-101001」と表示されている場合は、 syslog_id として「101001」を使用します。
(注) メッセージ番号については、『Catalyst 6500 Series Switch and Cisco 7600 Series Internet Router Firewall Services Module System Message Guide』を参照してください。
次に、イネーブル化されたロギング オプションを表示する例を示します。
305001から始まる出力行は、ホスト192.168.1.2からグローバル アドレス209.165.201.5へのPATグローバル変換を示します。「305001」は、PATグローバル変換の作成に関するSyslogメッセージを識別します。
次に、ホスト fwsm-1 :に logging device-id hostname コマンドを設定した場合の、 show logging コマンドの出力例を示します。
元のセットに対して禁止されたメッセージを表示するには、 show logging rate-limit コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
MAC(メディア アクセス制御)アドレス テーブルの情報を表示するには、 show mac-address-table コマンドを使用します。
show mac-address-table [ static ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、MACアドレス テーブルについての情報を表示する例を示します。
clear mac-address-table
mac-address-table aging-time
mac-address-table static
学習されたMAC(メディア アクセス制御)アドレス情報を表示するには、 show mac-learn コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
ルートマップのマッチング設定を表示するには、 show match コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
match(ルート マップ サブモード)
match interface(ルート マップ サブモード)
match ip next-hop(ルート マップ サブモード)
match route-type(ルート マップ サブモード)
route-map
FWSM OS(オペレーティング システム)で使用可能な最大物理メモリおよび現在の空きメモリに関するサマリーを表示するには、 show memory コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show memoryコマンドを使用すると、FWSM OSで使用可能な最大物理メモリおよび現在の空きメモリに関するサマリーを表示できます。必要に応じて、FWSMのメモリが割り当てられます。
次に、FWSMで使用可能な最大物理メモリおよび現在の空きメモリのサマリーを表示する例を示します。
Free memory: 845044716 bytes (79%)
Used memory: 228697108 bytes (21%)
------------- ----------------
Total memory: 1073741824 bytes (100%)
FWSMの現在のモードを表示するには、 show mode コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Firewall mode: multiple
The flash mode is the SAME as the running mode.
Media Gateway Control Protocol(MGCP;メディア ゲートウェイ コントロール プロトコル)情報を表示するには、 show mgcp コマンドを使用します。
show mgcp { commands | sessions } [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
モニタ対象インターフェイスに関する情報を表示するには、 show monitor-interface コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show monitor-interface コマンドをマルチ コンテキスト モードで使用すると、ユーザ コンテキストのモニタ対象インターフェイスのインターフェイス ステータスを表示できます。このコマンドを使用して情報を受け取る前に、インターフェイスを設定しておく必要があります。
次に、モニタ対象インターフェイスに関する情報を表示する例を示します。
failover interface ip
failover interface-policy
failover lan interface
monitor-interface
write standby
現在のマルチキャスト ルート テーブルに関する情報を表示するには、 show mroute コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、現在のマルチキャスト ルート テーブルに関する情報を表示する例を示します。
現在のMaximum Transmission Unit(MTU;最大伝送ユニット)ブロック サイズを表示するには、 show mtu コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show interface コマンドも、MTU値を表示します。
すべての、またはインターフェイス単位のマルチキャスト設定を表示するには、 show multicast コマンドを使用します。
show multicast [ interface interface_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーション内の name コマンドを表示するには、 show name コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
インターフェイスの名前を表示するには、 show nameif コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
IPアドレスから名前への変換方法を表示するには、 show names コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、IPアドレスから名前への変換方法を表示する例を示します。
ネットワークに対応付けられたグローバルIPアドレスのプールを表示するには、 show nat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドは、UDPプロトコルの最大接続数を表示します。UDP最大接続数が設定されていない場合は、デフォルトで値0が表示され、最大接続数は適用されません。
(注) トランスペアレント モードでは、NAT ID 0のみが有効です。
次に、ネットワークに対応付けられたグローバルIPアドレスのプールを表示する例を示します。
OSPFプロトコルが稼働するインターフェイス、およびこれらのインターフェイスのエリアIDを表示するには、 show network サブコマンドを使用します。
show network prefix ip_address netmask area area_id
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
次に、OSPFプロトコルが稼働するインターフェイスを表示する例を示します。
内部Network Interface Card(NIC;ネットワーク インターフェイス カード)のステータスを表示するには、 show nic コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
コンフィギュレーションからobjectコマンドをすべて削除するには、 show object-group コマンドを使用します。
show object-group [ protocol | service | icmp-type | network ]
show object-group id obj_grp_id
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
表 2-21 に、 show object-group コマンドおよびそれに付随するコンフィギュレーション コマンドの説明を示します。
次に、コンフィギュレーションからすべての object コマンドを削除する例を示します。
画面ページングに関する設定行を表示するには、 show pager コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Telnetパスワードを表示するには、 show password コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
デバイス マネージャ バッファ情報を表示するには、 show pdm コマンドを使用します。
show pdm history [ view {all | 12h | 5d | 60m | 10m } ] [ snapshot ] [ feature { all | blocks | cpu | failover | ids | interface interface_name | memory | perfmon | xlates }] [ pdmclient ]
(任意)表示するFDMヒストリ ビューを指定します。有効値は、12時間( 12h )、5日( 5d )、60分( 60m )、10分( 10m )、またはFDM履歴バッファ内のすべての履歴内容( all )です。 |
|
(任意)CPU使用率の履歴を表示します。この出力は、 show cpu コマンドの出力と似ています。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
PDM SyslogメッセージはFWSM Syslogメッセージと異なる場所に格納されます。clear pdm loggingコマンドは、PDMロギングをディセーブルにすることなく、PDMログを削除します。
show pdm sessionsコマンドには、FWSM CLI(コマンドライン インターフェイス)を通してアクセスできます。show pdm sessionsコマンドを使用すると、一意のsession_idでFWSMに接続されたすべてのアクティブPDMセッションを、セッション番号0から表示できます。
次に、FWSM CLI用にフォーマットされたデータを報告する例を示します。
FWSMパフォーマンスに関する情報を表示するには、 show perfmon コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドの出力は、Telnetコンソール セッションには表示されません。
perfmonコマンドを使用すると、FWSMのパフォーマンスをモニタできます。show perfmonコマンドを使用すると、情報を即座に表示できます。
次に、FWSMパフォーマンスに関する情報を表示する例を示します。
特定のコマンドまたは一連のコマンドの権限レベルを表示するには、 show privilege コマンドを使用します。
show privilege [ all | command command | level level ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSMで稼働するプロセスのリストを表示するには、 show processes コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show processes コマンドを使用すると、FWSMで稼働するプロセスのリストを表示できます。
プロセスは少数の命令のみを必要とする小型のスレッドです。リスト内のPCはプログラム カウンタ、SPはスタック ポインタ、STATEはスレッド キューのアドレス、Runtimeはスレッドの稼働時間(ミリ秒)、SBASEはスタック ベース アドレス、Stackは現在の使用バイト数およびスタックの合計サイズ、Processはスレッドの機能リストです。
次に、FWSMで稼働するプロセスのリストを表示する例を示します。
PC SP STATE Runtime SBASE Stack Process
Hsi 00102aa0 0a63f288 0089b068 117460 0a63e2d4 3600/4096 arp_timer
Lsi 00102aa0 0a6423b4 0089b068 10 0a64140c 3824/4096 FragDBGC
Hwe 004257c8 0a7cacd4 0082dfd8 0 0a7c9d1c 3972/4096 udp_timer
Lwe 0011751a 0a7cc438 008ea5d0 20 0a7cb474 3560/4096 dbgtrace
<--- More --->
指定されたパラメータに従うOSPFプロセス間の再配布を表示するには、 show redistribute コマンドを使用します。
show redistribute { static | connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
show redistribute ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1|2 ]}] [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
pid はFWSMにローカルに割り当てます。有効値は1~65535です。OSPFルーティング プロセスごとに一意の値を割り当てる必要があります。
システム リソース割り当てリストを表示するには、 show resource allocation コマンドを使用します。
show resource allocation [detail]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show resource allocation コマンドを使用すると、システム リソース割り当てリストを表示できます。
プロセスは少数の命令のみを必要とする小型のスレッドです。リスト内のPCはプログラム カウンタ、SPはスタック ポインタ、STATEはスレッド キューのアドレス、Runtimeはスレッドの稼働時間(ミリ秒)、SBASEはスタック ベース アドレス、Stackは現在の使用バイト数およびスタックの合計サイズ、Processはスレッドの機能リストです。
次に、システム リソース割り当てリストを表示する方法を示します。
次に、各リソースの合計割り当てを絶対値で表示し、使用可能なシステム リソースに対する割合を表す例を示します。
表 2-22 に各フィールドの説明を示します。
|
|
---|---|
すべてのコンテキストに割り当てられたリソースの合計数。この値は、同時に発生したインスタンス数または1秒間のインスタンス数の絶対値です。クラス定義内でパーセントを指定した場合、FWSMはパーセント値を絶対値に変換して、この出力に表示します。 |
|
次に、 detail オプションを指定した場合の出力例を示します。
表 2-23 に各フィールドの説明を示します。
clear resource usage
show resource types
show resource usage
システム リソース タイプのリストを表示するには、 show resource types コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、システム リソース タイプのリストを表示する方法を示します。
Rate limited resource types:
Conns Connections/sec
Fixups Fixups/sec
Syslogs Syslogs/sec
Absolute limit types:
Conns Connections
Hosts Hosts
IPsec IPsec Mgmt Tunnels
SSH SSH Sessions
Telnet Telnet Sessions
Xlates XLATE Objects
All All Resources
clear resource usage
show resource allocation
show resource usage
システム リソース使用率のリストを表示するには、 show resource usage コマンドを使用します。
show resource usage [ context context_name | top n | all | summary | system ] [ resource {[ rate ] resource_name | all } | detail ] [ counter counter_name [ count_threshold ]]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、システム リソース使用率のリストを表示する方法を示します。
次の例は、すべてのコンテキストおよびすべてのリソースのリソース使用率を示します。
clear resource usage
show resource allocation
show resource types
Routing Information Protocol(RIP;ルーティング情報プロトコル)設定に関する情報を表示するには、 show rip コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
rip outside passive
no rip outside default
rip inside passive
no rip inside default
Remote Processor Call(RPC)設定に関する情報を表示するには、 show rpc-server コマンドを使用します。
show rpc-server interface_name ip_addr mask service service_type protocol [TCP | UDP] port port [- port ] timeout hh:mm:ss
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
インターフェイスのデフォルトまたはスタティック ルートを表示するには、 show route コマンドを使用します。
show route [ interface_name ip_address netmask gateway_ip ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ルート マップ設定に関する情報を表示するには、 show route-map コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
次に、OSPFルーティングで使用するルート マップを表示する例を示します。
ルータ設定に関する情報を表示するには、 show router コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
OSPFプロセスの固定ルータIDを表示するには、 show router-id コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
(注) FWSMの最高レベルのIPアドレスがプライベート アドレスの場合、このアドレスはhelloパケットおよびDatabase Definition(DBD)に格納されて送信されます。この状況を回避するには、router-id ip_addressをグローバル アドレスに設定します。
次に、OSPFプロセスの固定ルータIDを表示する例を示します。
デフォルト以外のインターフェイス固有のルーティング設定を表示するには、 show routing コマンドを使用します。
show routing [ interface interface_name ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モード
|
|
---|---|
FWSMでは、OSPFルーティング関連の show コマンドはイネーブル モードで使用可能です。OSPF関連の show コマンドを使用する場合に、OSPFコンフィギュレーション サブモードを開始する必要はありません。
次に、デフォルト以外のインターフェイス固有のルーティング設定を表示する例を示します。
FWSMで実行中のコンフィギュレーションを表示するには、 show running-config コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show running-configコマンドを使用すると、FWSMの現在、実行中のコンフィギュレーションを表示できます。 running-config キーワードは、Cisco IOSソフトウェア コマンドに適合させるために使用します。show running-configコマンドの出力は、既存のFWSM write terminal コマンドの出力と同じです。
running-config キーワードを使用できるのは、 show running-config コマンド内のみです。このキーワードを no または clear と併用したり、単独のコマンドとして使用したりすることはできません。CLI(コマンドライン インターフェイス)では、サポート対象外のコマンドとして処理されるためです。 ? 、 no ? 、または clear ? キーワードを入力しても、コマンド リストに running-config キーワードは表示されません。
(注) FDMを使用してFWSMへの接続または設定を行うと、コンフィギュレーションにデバイス マネージャ コマンドが追加されます。
次に、FWSMの実行コンフィギュレーションを表示する例を示します。
セキュリティが同じインターフェイス通信をイネーブルにするには、 show same-security-traffic コマンドを使用します。セキュリティが同じインターフェイス通信をディセーブルにするには、このコマンドの no 形式を使用します。
[no] show same-security -traffic
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:トランスペアレント ファイアウォール モード
|
|
---|---|
次に、セキュリティが同じインターフェイス通信をイネーブルにする例を示します。
clear same-security-traffic
same-security-traffic permit inter-interface
システム サービスを表示するには、 show service コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
システムのシリアル番号およびライセンスが付与されたサービスを表示するには、 show serial コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、システムのシリアル番号およびライセンスが付与されたサービスを表示する例を示します。
Firewall Version 2.2(0)141
c6000-fwm-2-1-0-141 #126: Wed Jun 18 16:31:27 MDT 2003
msgreene@boulder-view3:/users/msgreene/projects/firecat/mainline/X
FWSM/obj
fwsm up 2 hours 37 mins
Hardware: WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash ?V1.01 SMART ATA FLASH DISK @ 0xc321, 20MB
0: gb-ethernet0: irq 5
1: gb-ethernet1: irq 7
2: ethernet0: irq 11
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 100 (per security context)
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
Security Contexts: 2
This machine has an Unrestricted (UR) license.
Serial Number: SAD0649034U
Configuration last modified by enable_15 at 13:56:05 Jul 22 2003
内部AccessProルータ コンソールを表示するには、 show session コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、内部AccessProルータ コンソールにアクセスする例を示します。
システム サービス設定に関する情報を表示するには、 show set コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、システム サービス設定に関する情報を表示する例を示します。
set ip next-hop(ルート マップ サブモード)
set metric(ルート マップ サブモード)
set metric-type(ルート マップ サブモード)
遮断情報を表示するには、 show shun コマンドを使用します。
show shun [ src_ip | statistics ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
SNMP(簡易ネットワーク管理プロトコル)サーバ設定に関する情報を表示するには、 show
snmp-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、SNMPサーバ設定に関する情報を表示する例を示します。
snmp-server host perimeter 10.1.2.42
snmp-server location Building 42, Sector 54
snmp-server contact Sherlock Holmes
snmp-server community wallawallabingbang
FWSM上のアクティブなSecure Shell(SSH;セキュア シェル)をすべて表示するには、show sshコマンドを使用します。
show ssh sessions [ client_ip ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Session IDはSSHセッションを識別する一意の番号です。Client IPはSSHクライアントで稼働するシステムのIPアドレスです。Versionには、SSHクライアントがサポートするプロトコル バージョン番号が表示されます。Encryptionカラムには、SSHクライアントが使用している暗号化タイプが表示されます。Stateカラムには、クライアントとFWSMが交信しているときの進行状況が表示されます。Usernameカラムには、セッションで認証されたログイン ユーザ名が表示されます。AAA(認証、許可、アカウンティング)以外の認証が使用されている場合は、「FWSM」ユーザ名が表示されます。
表 2-24 に、Stateカラムに表示されるSSHの状態を示します。
|
|
---|---|
次に、FWSM上のアクティブなSSHセッションをすべてを表示する例を示します。
FWSMのスタートアップ コンフィギュレーションに関する情報を表示するには、 show start-config コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show startup-configコマンドを使用すると、FWSMのスタートアップ コンフィギュレーションを表示できます。 startup-config キーワードは、Cisco IOSソフトウェア コマンドに適合させるために使用します。show startup-configコマンドの出力は、既存のFWSM show configure コマンドの出力と同じです。FDMにはshow startup-configコマンドは不要ですが、Cisco IOSソフトウェアとの互換性を保つために用意されています。
startup-config キーワードを使用できるのは、 show startup-config コマンド内のみです。このキーワードを no または clear と併用したり、単独のコマンドとして使用したりすることはできません。CLI(コマンドライン インターフェイス)ではこのコマンドはサポート対象外のコマンドとして処理されるため、 ? 、 no ? 、または clear ? キーワードを入力しても、 startup-config キーワードはコマンド リストに表示されません。
次に、FWSMのスタートアップ コンフィギュレーションを表示する例を示します。
すべての static コマンドを表示するには、 show static コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
このコマンドは、UDPプロトコルの最大接続数を表示します。UDP最大接続数が設定されていない場合は、デフォルトで値0が表示され、最大接続数は適用されません。
次に、すべてのスタティック コマンドを表示する例を示します。
OSPFプロセスの集約アドレスを表示するには、 show summary-address コマンドを使用します。
show summary-address addr netmask [ not-advertise ] [ tag tag_value ]
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
タイプ3の集約Link-State Advertisement(LSA;リンク ステート アドバタイズ)は抑制されていて、コンポーネント ネットワークは他のネットワークから隠されたままです。
summary-address コマンドに not-advertise キーワードを入力すると、指定されたプレフィックスまたはマスクのペアと一致するルートが抑制されます。
コンフィギュレーション内のすべての sysopt コマンドを表示するには、 show sysopt コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、コンフィギュレーション内のすべての sysopt コマンドを表示する例を示します。
テクニカル サポート アナリストが診断に使用する情報を表示するには、 show tech-support コマンドを使用します。
show tech-support [ url ] [ no-config ] [ detail ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show tech-supportコマンドを使用すると、テクニカル サポート アナリストがFWSMの問題を診断する場合に必要な情報を表示できます。このコマンドは、テクニカル サポート アナリストに必要なほとんどの情報を提供するshowコマンドの出力を統合します。
次に、テクニカル サポート アナリストが使用する情報を表示する例を示します。
次に、実行コンフィギュレーションを含むテクニカル サポート情報を表示する例を示します。
コンソール端末の設定を表示するには、 show terminal コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM TCPスタックおよびFWSMで終端するTCP接続のステータスを(デバッグのために)表示するには、 show tcpstat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show tcpstat コマンドを使用すると、TCPスタックおよびFWSMで終端するTCP接続のステータスを表示できます。 表 2-25 に、表示されるTCP統計情報を示します。
|
|
---|---|
TCPユーザの状態(RFC 793を参照)。有効値は、次のとおりです。 |
|
次に、FWSMのTCPスタックのステータスを表示する例を示します。
FWSMへのTelnet接続に使用できる現在のIPアドレス リストを表示するには、 show telnet コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
no telnet または clear telnet コマンドを使用すると、設定済みのIPアドレスからのTelnetアクセスを削除できます。clear telnetコマンドは、telnet timeoutコマンドの有効期間に影響しません。
次に、FWSMへのTelnet接続に使用できる現在のIPアドレス リストを表示する例を示します。
現在のコンフィギュレーション内の tftp-server コマンドを表示するには、 show tftp-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、現在のコンフィギュレーション内の tftp-server コマンドを表示する例を示します。
指定されたプロトコルのタイムアウト値を表示するには、 show timeout コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
次に、H323プロトコルのタイムアウト情報を表示する例を示します。
OSPFプロセスの遅延タイマーを表示するには、 show timersコマンドを使用します。
show timers { spf spf_delay spf_holdtime | lsa-group-pacing seconds }
OSPFがトポロジー変更を受信してから、Shortest Path First(SPF)の計算を開始するまでの遅延時間を、0~65535秒の範囲で指定します。 |
|
OSPFがトポロジー変更を受信してから、SPFの計算を開始するまでの遅延時間、および連続する2つのSPF計算間のホールドタイムを指定します。有効値は、10~1800秒です。 |
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
OSPFがトポロジー変更を受信してからSPF計算を開始するまでの遅延時間、および連続する2つのSPF計算間のホールドタイムを設定するには、 show timers spf spf_delay spf_holdtime サブコマンドを使用します。
OSPF LSA(リンク ステート アドバタイズ)をグループとして収集し、リフレッシュ、チェックサム、またはエージングを実行するインターバルを変更するには、 show timers lsa-group-pacing seconds サブコマンドを使用します。
ユーザ用のすべての許可キャッシュを表示するには、 show uauth コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show uauth コマンドを使用すると、現在認証されている特定のユーザまたはすべてのユーザ、ユーザがバインドされているホストIP、および該当する場合はキャッシュされたIPおよびポート許可情報を表示できます。show uauthコマンドは、各ユーザ グループに設定可能な、CiscoSecure 2.1以降のアイドル タイムおよびタイムアウト値も表示します。
このコマンドは、 timeout コマンドとともに使用します。
各ユーザ ホストのIPアドレスには許可キャッシュがあります。ユーザが正しいホストからキャッシュされたサービスにアクセスしようとすると、FWSMはこのサービスがすでに許可されているとみなして、即座に接続を代行します。つまり、ユーザにWebサイトへのアクセスが許可されている場合は、同じIPアドレスから送信されたイメージであれば、許可サーバに毎回問い合わせなくてもロードすることができます。このプロセスによりパフォーマンスは著しく増大し、許可サーバの負荷は減少します。
キャッシュでは、ユーザ ホストごとに最大16個のアドレスおよびサービスのペアを使用できます。
show uauth コマンドの出力には、認証および許可用に許可サーバに設定されたユーザ名、ユーザ名がバインドされたIPアドレス、およびユーザが認証されただけであるか、あるいはキャッシュされたサービスを持っているのかが表示されます。
(注) Xauthをイネーブルにすると、uauthテーブル(clear uauthコマンドで表示)に、クライアントに割り当てられたIPアドレスに関するエントリが追加されます。ただしネットワーク拡張モードでXauthとEasy VPN Remote機能を組み合わせて使用すると、ネットワーク間にIPSecトンネルが作成されるため、ファイアウォールの背後のユーザを単一のIPアドレスに関連付けることができません。したがってXauthの完了時には、uauthエントリが作成されません。AAA(認証、許可、アカウンティング)許可またはアカウンティング サービスが必要な場合は、AAA認証プロキシをイネーブルにして、ファイアウォール背後のユーザを認証できます。AAA許可プロキシの詳細については、aaaコマンドを参照してください。
ユーザ接続がアイドルとなったあとにキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザに対するすべての許可キャッシュを削除するには、 clear uauth コマンドを使用します。これにより、ユーザが次回に接続を作成するときは、再認証が発生します。
次に、認証されたユーザがいない状態で、1人のユーザの認証が進行中である場合の show uauth コマンドの出力例を示します。
次に、3人のユーザが認証され、かつFWSMを介してサービスを使用することを許可されている場合の show uauth コマンドの出力例を示します。
user ‘pat’ from 209.165.201.2 authenticated
user ‘robin’ from 209.165.201.4 authorized to:
port 192.168.67.34/telnet 192.168.67.11/http 192.168.67.33/tcp/8001
192.168.67.56/tcp/25 192.168.67.42/ftp
user ‘terry’ from 209.165.201.7 authorized to:
port 192.168.1.50/http 209.165.201.8/http
FWSMのバージョンおよびモジュールの稼働時間を表示するには、 show uptimeコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、OSPFルーティングに関するルート マップを設定する例を示します。
URLブロック バッファ内のパケット数、およびバッファ制限または再送信回数を超過したために廃棄されたパケット数(これらのパケットが存在する場合)を表示するには、 show url-block コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、URLブロック バッファ内のパケット数、およびバッファ制限を超過したために廃棄されたパケット数を表示する例を示します。
キャッシュ検索数やヒット率など、URLキャッシュに関する追加統計情報を表示するには、 show
url-cache stat コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show url-cache stat コマンドを使用すると、次のエントリを表示できます。
• Size ― url-cache size キーワードおよび引数で設定されるキャッシュ サイズ(キロバイト)
• Entries ― キャッシュ サイズに基づくキャッシュ エントリの最大値
• Lookups ― FWSMがキャッシュ エントリを検索した回数
• Hits ― FWSM がキャッシュ内にエントリを検出した回数
N2H2またはWebsenseフィルタリング アクティビティに関する追加情報を表示するには、
show perfmon コマンドを使用します。
次に、URLキャッシュに関する追加統計情報を表示する例を示します。
URL Filter Cache Stats
----------------------
Size : 1KB
Entries : 36
In Use : 30
Lookups : 300
Hits : 290
URLサーバ情報を表示するには、 show url-server コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show url-server stats コマンドを使用すると、N2H2およびWebsenseに関する次の情報を表示できます。
ローカルFWSMユーザ認証データベースに入力されたユーザを表示するには、 show username コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、ローカルFWSMのユーザ認証データベースに入力されたユーザを表示する例を示します。
FWSMのソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼働時間データを表示するには、 show version コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show versionコマンドを使用すると、FWSMのソフトウェア バージョン、最後に再起動してからの動作時間、プロセッサ タイプ、フラッシュ パーティション タイプ、インターフェイス ボード、シリアル番号(BIOS ID)、アクティベーション キーの値、ライセンス タイプ(RまたはUR)、および設定を前回変更したときのタイム スタンプを表示できます。
show versionコマンドによって表示されるシリアル番号は、フラッシュ パーティションBIOSの番号です。この番号は、シャーシのシリアル番号とは異なります。ソフトウェア アップグレードを入手した場合は、シャーシの番号でなく、show versionコマンドで表示されるシリアル番号が必要になります。
(注) 稼働時間の値はフェールオーバー セットの稼働時間を示します。特定の装置が動作を停止しても、他の装置が動作を継続している限り、稼働時間の値は増加し続けます。
次に、FWSMのソフトウェア バージョン、ハードウェア コンフィギュレーション、ライセンス キー、および関連する稼働時間の情報を表示する例を示します。
コンフィギュレーション内のFWSM仮想サーバの設定を表示するには、 show virtual コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
システムVLAN(仮想LAN)を表示するには、 show vlan コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Cisco VPN Clientバージョン3.x(シスコの統合VPN[仮想私設網]クライアント フレームワーク)およびEasy VPN Remoteデバイスを表示するには、 show vpngroup コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
FWSM上のアクティブなTelnet管理セッションを表示するには、 show who コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
show who コマンドを使用すると、現在FWSMにログインしている各TelnetクライアントのFWSM TTY_IDおよびIPアドレスを表示できます。このコマンドは、 who コマンドと同じです。
次に、FWSMのアクティブなTelnet管理セッションを表示する例を示します。
0: From 192.168.1.3
1: From 192.168.2.2
変換スロットに関する情報を表示するには、 show xlate コマンドを使用します。
show xlate [ global | local ip1 [ - ip2 ] [ netmask mask ]] { gport | lport port1 [ - port2 ]}
[ interface if1 [ , if2 ]] [ state static [ ,portmap ] [ ,norandomseq ] [ ,identity ]] [ debug ] [ count ]
アクティブな変換をプライマリ グローバル ポート指定別に表示します。有効なポート リテラル名については、 Appendix B, “ポートとプロトコルの値,” の「ポート値の指定」を参照してください。 |
|
アクティブな変換をローカル ポート指定別に表示します。有効なポート リテラル名については、 Appendix B, “ポートとプロトコルの値,” の「ポート値の指定」を参照してください。 |
|
アクティブな変換をセカンダリ グローバル ポート指定別に表示します。有効なポート リテラル名については、 Appendix B, “ポートとプロトコルの値,” の「ポート値の指定」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
clear xlate コマンドを使用すると、変換スロットの内容をクリアできます(「xlate」は変換スロットの意味)。 show xlate コマンドは、変換スロットの内容のみを表示します。
変換スロットはキーを変更したあとも存続できます。clear xlateコマンドは必ず、コンフィギュレーション内で aaa-server 、 access-list 、alias、global、nat、route、またはstaticコマンドを追加、変更、または削除したあとに使用してください。
show xlate detailコマンドは、次の情報を表示します。
• interface : real-address / real-port ~ interface : mapped-address / mapped-port のフラグ translation-flags の{ICMP|TCP|UDP} PAT
• interface : real-address / real-port ~ interface : mapped-address / mapped-port のフラグ translation-flags のNAT(ネットワーク アドレス変換)
表 2-26に、変換フラグの定義を示します。
|
|
---|---|
次に、3つのアクティブなPort Address Translation(PAT;ポート アドレス変換)を使用した場合の変換スロット情報を表示する例を示します。
次に、3つのアクティブなPATを使用した場合の変換スロットタイプおよびインターフェイス情報を表示する例を示します。
最初のエントリは、内部ネットワークのホスト ポート(10.1.1.15、1025)から外部ネットワークのホスト ポート(192.150.49.1、1024)へのTCP PATです。rフラグは、変換がPATであることを示します。iフラグは、変換が内部アドレスポートに適用されることを示します。
2番めのエントリは、内部ネットワークのホスト ポート(10.1.1.15、1028)から外部ネットワークのホスト ポート(192.150.49.1、1024)へのUDP PATです。rフラグは、変換がPATであることを示します。iフラグは、変換が内部アドレスポートに適用されることを示します。
3番めのエントリは、内部ネットワークのホストICMP ID(10.1.1.15、21505)から外部ネットワークのホストICMP ID(192.150.49.1、0)へのICMP PATです。rフラグは、変換がPATであることを示します。iフラグは、変換が内部ICMP IDに適用されることを示します。
セキュリティが高いインターフェイスから低いインターフェイスに移動するパケットの場合、内部アドレス フィールドは送信元アドレスとして表示されます。セキュリティが低いインターフェイスから高いインターフェイスに移動するパケットでは、宛先アドレスとして表示されます。
次に、2つのスタティック変換の出力例を示します。最初の変換には2つの接続(「nconns」)が対応付けられ、2番めの変換には4つのコマンドが対応付けられています。
新しい接続や既存の任意の接続からのパケットを禁止して、攻撃元ホストに動的に対応できるようにするには、shunコマンドを使用します。 src_ip (FWSMで遮断検索に使用される実際のアドレス)に基づく遮断をディセーブルにするには、このコマンドの no 形式を使用します。
shun src_ip [ dst_ip src_port dest_port [ protocol ]] vlan
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
shunコマンドを使用すると、攻撃を受けるインターフェイスにブロック機能を適用できます。ブロック機能が手動またはCisco IDSマスター モジュールによって解除されない限り、攻撃元ホストのIP送信元アドレスを含むパケットは廃棄されて、記録され続けます。このIP送信元アドレスからのトラフィックは、FWSMを通過できません。残りのすべての接続は、標準アーキテクチャの一部としてタイムアウトになります。shunコマンドのブロック機能は、指定されたホスト アドレスによる接続が現在アクティブであるかどうかに関係なく適用されます。
shun コマンドをホストの送信元IPアドレスとのみ組み合わせて使用した場合、デフォルトは0です。攻撃元ホストからのトラフィックは、許可されません。
shun コマンドは攻撃を動的にブロックするために使用されるため、FWSMのコンフィギュレーションには表示されません。
インターフェイスを取り外すと、このインターフェイスに対応するすべての遮断機能も解除されます。新しいインターフェイスを追加するか、または同じインターフェイス(同じ名前)と交換した場合に、IDSセンサでこのインターフェイスをモニタするには、IDSセンサにこのインターフェイスを追加する必要があります。
次に、攻撃元ホスト(10.1.1.27)が攻撃対象(10.2.2.89)にTCPを使用して接続する例を示します。FWSM接続テーブル内の接続は、次のようになります。
上記のコマンドによってFWSM接続テーブルから該当する接続が削除されて、10.1.1.27からのパケットはFWSM内を通過することもできなくなります。攻撃元ホストはFWSMの内部または外部のどちらの場合もあります。
FWSMをシャットダウンするには、shutdownコマンドを使用します。FWSMのシャットダウンを停止するには、このコマンドの no 形式を使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
SNMP(簡易ネットワーク管理プロトコル)を介してFWSMイベント情報を表示するには、 snmp-server コマンドを使用します。SNMPコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server {community key } | { contact | location } text } | { host [ interface_name ] ip_addr [ trap | poll ] } | { enable traps }
no snmp-server {community | contact | location | enable traps | trap | poll }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
snmp-server コマンドを使用すると、サイト、管理ステーション、コミュニティ ストリング、およびユーザ情報を識別できます。
(注) snmp-server community keyコマンドのkeyのデフォルト値は、publicです。セキュリティ上の理由から、keyに(新しい)値を指定することが重要です。
SNMP管理ステーションで使用するパスワード キーを入力します。SNMPコミュニティ ストリングは、SNMP管理ステーションと管理対象ネットワーク ノード間で共有されるシークレット ストリングです。FWSMはこのキーを使用して、着信SNMP要求が有効かどうかを判別します。たとえば、コミュニティ ストリングを使用してサイトを指定してから、同じストリングを使用してルータ、FWSM、および管理ステーションを設定できます。FWSMはこのストリングを使用し、コミュニティ ストリングが無効な要求には応答しません。
keyは大文字と小文字を区別する32文字以下の文字列です。スペースを含めることはできません。keyが設定されていない場合のデフォルトは、 public です。セキュリティ上の理由から、keyに(新しい)値を指定する必要があります。
contact text は大文字と小文字を区別する127文字以下の文字列です。スペースを含めることができますが、複数のスペースは1つのスペースに省略されます。
location text は大文字と小文字を区別する127文字以下の文字列です。スペースを含めることができますが、複数のスペースは1つのスペースに省略されます。
トラップ コマンドを入力すると、トラップのみが送信され、ホストでのポーリングは禁止されます。
clear snmp-server および no snmp-server コマンドは、次のように、コンフィギュレーション内のSNMPコマンドをディセーブルにします。
次に、管理ステーションからSNMP要求の受信を開始する場合に入力するコマンドの例を示します。
FWSMコンソールへのSecure Shell(SSH;セキュア シェル)アクセスの追加、アイドル タイムアウトの設定、アクティブなSSHセッション リストの表示、およびSSHセッションの終了を行うには、 ssh コマンドを使用します。コンフィギュレーションから ssh コマンドを削除するには、このコマンドの no 形式を使用します。
ssh local_ip mask [ interface_name ]
no ssh { local_i p [ mask ] [ interface_name ] | timeout | disconnect }
ip_address のネットワーク マスク。netmaskを指定しない場合のデフォルトは、 ip_address のクラスに関係なく、255.255.255.255です。 |
|
• netmaskを指定しない場合のデフォルトは、 ip_address のクラスに関係なく、255.255.255.255です。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ssh ip_address コマンドを使用すると、FWSMへのSSH接続を開始することが許可されたホストまたはネットワークを指定できます。
(注) サポートされている暗号はDESおよび3DESのみです。別の暗号を使用すると、接続は拒否されます。
ssh timeoutコマンドを使用すると、セッションが切断されるまでのアイドル期間(分)を指定できます。デフォルト期間は5分です。セッションID番号を調べるには、show ssh sessions コマンドを使用します。選択された ssh コマンドをコンフィギュレーションから削除するには、 no ssh コマンドを使用します。
次に、モジュール サイズが1024ビットのRSA鍵ペア(Cisco IOSソフトウェアで使用する場合に推奨)を作成し、FWSMのホスト名およびドメイン名を設定し、RSA鍵ペアを生成して表示し、フラッシュ パーティションに保存する例を示します。
次に、SSHセッションを開始して、外部インターフェイス上のクライアントがSSHを介してFWSMコンソールに遠隔アクセスできるようにする例を示します。
次に、AAA(認証、許可、アカウンティング)サーバを使用してユーザ認証を実行するようにFWSMを設定する例を示します。protocolは、認証を実行するためにAAAサーバで使用されるプロトコルです。次の例では、TACACS+認証プロトコルを使用します。
aaa accounting
ca authenticate
clear ssh
domain-name
hostname
password/passwd
show ssh
ローカルIPアドレスをグローバルIPアドレスにマッピングして、1対1の永続的なアドレス変換ルールを設定するには、 static コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
[ no ] static [ real_ifc , mapped_ifc ] { mapped_ip | interface } { real_ip [ netmask mask ]} | { access-list access_list_name } [ dns ] [ norandomseq ] [[ tcp ] [ max_conns [ emb_lim ]] [ udp udp_max_conns ]
[ no ] static [ real_ifc , mapped_ifc ] {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ]} | { access-list access_list_name } [ dns ] [ norandomseq ] [[ tcp ] [ max_conns [ emb_lim ]] [ udp udp_max_conns ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
static コマンドを使用すると、永続的な1対1のアドレス変換ルール(スタティック変換スロットまたは「xlate」ともいう)を作成できます。
(注) 使用できるアドレス変換数は、FWSMごとに異なります。FWSMがサポートするアドレス変換の個数は、natコマンドでは2,048個、globalコマンドでは1,051個、staticコマンドでは2,048個です。また、ポリシーNATで使用されるACL(アクセス制御リスト)では、Access Control Entry(ACE;アクセス制御エントリ)を最大4,096個サポートします。
(注) コンテキスト全体で4000個を超えるスタティック エントリを設定することはできません。
ホストあたりの初期接続は、低速なシステムには小さな値に、高速なシステムには大きな値に設定されます。この初期接続制限により、完了しないうちにプロセスが開始される攻撃タイプを防ぐことができます。初期制限を超えている場合、TCP代行受信機能は、クライアントからセキュリティ レベルが高いサーバに送信されるTCP SYN(同期)パケットを代行受信します。ソフトウェアは宛先サーバに代わってクライアントとの接続を確立します。この処理に成功すると、クライアントに代わってサーバとの接続を確立し、2つのハーフ接続をトランスペアレントに結合します。到達不可能なサーバからの接続試行は、サーバに到達しません。ファイアウォールは、SYNクッキーを使用してTCP代行受信機能を実行します。
このキーワードは外部NATには適用されません。TCP代行受信機能はセキュリティ レベルがより高いホストまたはサーバにのみ適用されます。外部NATに初期制限を設定しても、無視されます。この変換はローカルIPアドレスとグローバルIPアドレスの間(スタティックNAT)、またはポート間(スタティックPAT)で有効です。FWSMは static コマンドのグローバル アドレスを使用して、セカンダリxlate(変換スロット)を動的に作成します。次に、アドレス198.168.1.1から内部ホスト10.1.1.1にFTP(ファイル転送プロトコル)サービスをリダイレクトする例を示します。この場合、FTPデータ転送に必要なアドレス変換スロット(xlatet)は、 fixup アプリケーション インスペクションにより、グローバル アドレス192.168.1.1から自動的に作成されます。
外部ホストが内部ホストにトラフィックを送信できるようにするには、内部ホスト用のスタティック変換ルールがなければなりません。永続的な変換ルールがなければ、変換を実行できません。
セキュリティ レベルが低いインターフェイスから高いインターフェイスにアクセスする場合は、staticコマンドおよびaccess-listコマンドを使用します。たとえば、境界インターフェイスまたは外部インターフェイスから内部インターフェイスにアクセスする場合に、これらのコマンドを使用します。
staticコマンドを変更または削除したあとで、clear xlateコマンドを入力します。
グローバル ホストとローカル ホスト間に単一のマッピングを作成したり、ネット スタティックという一連のスタティックを作成したりすることができます。
static コマンドは、 netmask キーワードまたはグローバルIPアドレスの最初のオクテットの値を使用して、ネットワーク スタティックのネットワーク マスクを判別します。 netmask キーワードを使用すると、最初のオクテット内の値を上書きできます。アドレスがすべて0で、ネット マスクがゼロの場合、このアドレスはネット アドレスです。
(注) グローバルIPアドレスが重複するスタティックは作成しないでください。
nat と static の両方のステートメントの udp_max_conn フィールドは、TCP max_conns 制限が設定されていない場合でも、キーワード udp を使用して適用できます。これにより、2つの制限を排他的に設定することができます。この機能はポリシーNATといいます。アクセス リストで使用されるサブネット マスクは、 global_ip にも使用されます。アクセス リストに追加できるのは、 permit ステートメントのみです。
別のインライン ファイアウォールでもシーケンス番号をランダム化して、データをスクランブリングする場合は、 norandomseq キーワードを使用します。この保護機能を使用しないと、自己ISN保護機能が脆弱な内部ホストはTCP接続のハイジャックを受けやすくなります。
(注) norandomseqキーワードは外部NATには適用されません。ファイアウォールがランダム化するのは、セキュリティがより高いインターフェイス上のホスト/サーバで生成されるISNのみです。外部NATに設定したnorandomseqキーワードは無視されます。
次に、Intel Internet Phone、CU-SeeMe、CU-SeeMe Pro、MeetingPoint、またはMicrosoft NetMeetingを使用して、H.323を介して無制限のユーザにコールできるようにする例を示します。 static コマンドはアドレス209.165.201.1~209.165.201.30をローカル アドレス10.1.1.1~10.1.1.30にマッピングします(209.165.201.2は10.1.1.2に、209.165.201.10は10.1.1.10にマッピング)。
次に、Mail Guardをディセーブルにするために使用されるコマンドの例を示します。
この例では、staticコマンドを使用して、外部ホストからdmz1インターフェイス上の10.1.1.1メール サーバ ホストへのアクセスを許可するように、グローバル アドレスを設定できます。209.165.201.1アドレスを指すようにDNSのMXレコードを設定して、メールがこのアドレスに送信されるようにする必要があります。access-listコマンドを使用すると、外部ユーザはSMTPポート(25)を介してグローバル アドレスにアクセスできます。no fixup protocolコマンドはMail Guardをディセーブルにします。
OSPFの集約アドレスを作成するには、 summary-address コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
summary-address addr netmask [ not-advertise ] [ tag tag_value ]
no summary-address addr netmask
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
タイプ3の集約LSA(リンク ステート アドバタイズ)は抑制されていて、コンポーネント ネットワークは他のネットワークから隠されたままです。
summary-address コマンドに not-advertise キーワードを入力すると、指定されたプレフィックスまたはマスク ペアと一致するルートが抑制されます。
FWSMのシステム オプションを変更するには、 sysopt コマンドを使用します。システム オプションを元に戻すには、このコマンドの no 形式を使用します。
[ no ] sysopt connection {permit-ipsec | timewait | {tcpmss [minimum] bytes } | {zombie-timeout [seconds]}}
[ no ] sysopt nodnsalias inbound | outbound
[ no ] sysopt noproxyarp interface_name
[ no ] sysopt radius ignore-secret
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
sysoptコマンドを使用すると、さまざまなFWSMセキュリティ機能および設定機能を調整できます。また、FWSMのIPフラグメンテーション ガード機能をディセーブルにできます。
no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
no sysopt uauth allow-http-cache
no sysopt connection permit-ipsec
no sysopt connection permit-pptp
no sysopt connection permit-l2tp
no sysopt ipsec pl-compatible
次に、PPTPクライアントがMS-CHAPを使用してMPPE暗号とネゴシエートして認証され、DNSおよびWINSサーバ アドレスを受信し、nat 0コマンドを使用してTelnet経由でホスト192.168.0.2に直接接続する例を示します。
次に、ピア209.165.201.1からピア201.165.200.225に終端するIPSecトンネルを経由して、ホスト172.21.100.123からホスト172.21.200.67にセッションを接続できるようにする最小限のIPSec設定の例を示します。
次に、ピア209.165.201.1に sysopt connection permit-ipsec および access-list コマンドを使用する例を示します。
次に、ピア201.165.200.225に sysopt connection permit-ipsec および access-list コマンドを使用する例を示します。
次に、ピア209.165.201.1に sysopt connection permit-ipsec コマンドを使用する例を示します。
次に、ピア201.165.200.225に sysopt connection permit-ipsec コマンドを使用する例を示します。
alias
ca authenticate
crypto ipsec security-association lifetime
crypto map client
dynamic-map
isakmp
FWSMコンソールにTelnetアクセスを追加し、アイドル タイムアウトを設定するには、 telnet コマンドを使用します。設定されたIPアドレスからTelnetアクセスを削除するには、このコマンドの no 形式を使用します。
[no] telnet local_ip mask interface_name
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
telnet コマンドを使用すると、FWSMコンソールにTelnetでアクセスできるホストを指定できます。すべてのインターフェイス上でFWSMへのTelnet接続をイネーブルにできます。ただし、FWSMは外部インターフェイスへのすべてのTelnetトラフィックをIPSecで保護します。外部インターフェイスへのTelnetセッションをイネーブルにするには、FWSMで生成されるIPトラフィックを追加するように外部インターフェイス上のIPSecを設定し、外部インターフェイス上でTelnetをイネーブルにします。
最大16のホストまたはネットワークがTelnetでFWSMコンソールにアクセスできます。また、最大5つのホストがFWSMに同時にアクセスできます。設定済みのIPアドレスからのTelnetアクセスを削除するには、 no telnet または clear telnet コマンドを使用します。FWSMによってログオフされるまでのコンソールTelnetセッションの最大アイドル期間を設定するには、telnet timeoutコマンドを使用します。clear telnetコマンドは、telnet timeoutコマンドの有効期間に影響しません。no telnetコマンドとtelnet timeoutコマンドを併用しないでください。
アクセスを単一のIPアドレスに制限するには、各オクテットに255を指定します(255.255.255.255など)。 netmask を指定しない場合のデフォルトは、 local_ip のクラスに関係なく、255.255.255.255です。内部ネットワークのサブネット マスクは使用しないでください。netmaskは、 ip_address のIPアドレスのビット マスクにすぎません。
IPSecが動作している場合は、非セキュアなインターフェイス名(通常は外部インターフェイス)を指定できます。最低でも、telnetコマンドを使用してインターフェイス名を指定するように、crypto mapコマンドを設定してください。
インターフェイス名を指定しない場合、アドレスは内部インターフェイス上にあると想定されます。FWSMはIPアドレスをip addressコマンドで指定されたIPアドレスと自動的に比較して、指定されたアドレスが内部インターフェイス上にあることを確認します。インターフェイス名が指定されている場合、FWSMはホストのみが指定されたインターフェイスと比較します。
コンソールへのTelnetアクセス用パスワードを設定するには、passwdコマンドを使用します。デフォルトはciscoです。FWSMコンソールに現在アクセスしているIPアドレスを表示するには、whoコマンドを使用します。アクティブなTelnetコンソール セッションを終了するには、killコマンドを使用します。
consoleキーワードを指定してaaaコマンドを使用する場合は、Telnetコンソール アクセスを認証サーバで認証する必要があります。
(注) FWSM Telnetコンソール アクセスおよびコンソール ログイン要求タイムアウトに対して認証が必要となるように、aaaコマンドを設定した場合は、enable passwordコマンドによって設定されたfwsmユーザ名およびパスワードを入力して、シリアル コンソールからFWSMにアクセスできます。
次に、ホスト192.168.1.3および192.168.1.4からTelnetを介してFWSMコンソールにアクセスできるように設定する例を示します。192.168.2.0ネットワーク上のすべてのホストにもアクセスが許可されます。
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
次に、no telnetコマンドを使用してエントリを個別に削除したり、clear telnetコマンドを使用してすべてのtelnetコマンドを削除する例を示します。
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
次に、Telnetコンソール ログイン セッションの例を示します(入力時にパスワードは表示されない)。
端末回線パラメータを設定するには、 terminal コマンドを使用します。
terminal | width columns | [ no ] monitor
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
terminal monitorコマンドを使用すると、FWSMコンソールへのTelnetアクセスまたはシリアル アクセスに関する現在のセッションのSyslogメッセージ表示をイネーブルまたはディセーブルにすることができます。コンソールへの各レベルのSyslogメッセージ表示をイネーブルまたはディセーブルにするには、logging monitorコマンドを使用します。メッセージ表示をセッション単位でディセーブルにするには、terminal no monitorコマンドを使用します。現在のセッションのSyslogメッセージ表示を再開するには、terminal monitorを使用します。
terminal widthコマンドを使用すると、コマンド出力の表示幅を設定できます。端末の表示幅は
terminal width nnコマンドで制御します。nnは文字数で示した表示幅です。改行を入力した場合、バックスペース キーを使用して前の行に戻ることはできません。
次に、現在のTelnetセッションに対してのみロギングをイネーブルにして、そのあとディセーブルにする例を示します。
デフォルトのTFTP(簡易ファイル転送プロトコル)サーバ アドレスおよびディレクトリを指定するには、 tftp-server コマンドを使用します。サーバへのアクセスをディセーブルにするには、このコマンドの no 形式を使用します。
[no] tftp-server interface_name ip_address directory
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
tftp-server コマンドを使用すると、FWSMコンフィギュレーション ファイルをFWSMに伝播するために使用するサーバのIPアドレスを指定できます。コンフィギュレーションから読み込むには、 tftp-server コマンドを configure net コマンドを組み合わせて使用します。指定したファイルにコンフィギュレーションを保存するには、 write net コマンドと組み合わせて使用します。FWSMがサポートするのは、1つのTFTPサーバのみです。
tftp-server 内で指定した path 名が、configure net コマンドおよびwrite net コマンドで指定したIPアドレスの末尾に付加されます。 tftp-server コマンドで指定したIPアドレスに path 名が付加されるため、 configure net コマンドおよび write net コマンドを使用してファイルとパス名を指定する必要はありません。 tftp-server コマンドで完全 パス およびファイル名を指定する場合は、 configure net コマンドおよび write net コマンドのIPアドレスをコロン( : )で表すことができます。
これは、TFTPサーバIPがアクセスに使用するインターフェイスです。インターフェイスを指定しない場合は、デフォルトで内部インターフェイスが使用されます。
interface_name 引数は、 nameif コマンドで指定されたインターフェイス名を指定します。
interface_name を指定しない場合は、内部インターフェイスが使用されます。外部インターフェイスを指定すると、外部インターフェイスがセキュアでないことを通知する警告メッセージが表示されます。
path のフォーマットは、FWSMのコンフィギュレーション ファイルを格納するために使用しているサーバOS(オペレーティング システム)のタイプによって異なります。パスの内容は、解釈またはチェックされることなく、サーバに直接渡されます。コンフィギュレーション ファイルはTFTPサーバ上に存在しなければなりません。多くのTFTPサーバでは、コンフィギュレーション ファイルに書き込む場合はこのファイルをworld-writableに、読み込む場合はworld-readableに設定する必要があります。
(注) FWSMが接続を試みているTFTPサーバでTFTPが稼働していない場合、FWSMは動作を中断し、タイムアウトしません。TFTPセッションを打ち切って、コマンドライン プロンプトに戻るには、FWSMコンソールのESCキーを押します。
次に、TFTPサーバを指定して、/FWSM/config/test_configディレクトリからコンフィギュレーションを読み取る例を示します。
最大アイドル時間を設定するには、 timeout コマンドを使用します。
timeout [ xlate | conn | udp | icmp | rpc | h323 | h225 | mgcp | sip | sip_media | uauth hh : mm : ss ]
(任意)Media Gateway Control Protocol(MGCP;メディア ゲートウェイ コントロール プロトコル)非アクティビティ タイマーの期間を設定します。 |
|
(任意)UDP非アクティビティ タイムアウトでなく、SIP UDPメディア パケットによるSIP RTP/RTCPに使用されるメディア タイマーを変更します。 |
|
• xlate hh : mm : ss ― 3時間( 03:00:00 )
• conn hh : mm : ss ― 1時間( 01:00:00 )
• half-closed hh : mm : ss ― 10分( 00:10:00 )
• udp hh : mm : ss ― 2分( 00:02:00 )
• rpc hh : mm : ss ― 10分( 00:10:00 )
• h255 hh : mm : ss ― 1時間( 01:00:00 )
• h323 hh : mm : ss ― 5分( 00:05:00 )
• mgcp hh:mm:ss ― 5分( 00:05:00 )
• sip hh:mm: ― 30分( 00:30:00 )
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
timeout コマンドを使用すると、接続、変換UDP、およびRPCスロットのアイドル タイマーを設定できます。指定したアイドル タイマーにスロットが使用されなかった場合、リソースは空いているプールに戻されます。通常の接続終了シーケンスのあと、TCP接続スロットは約60秒間解放されます。
このコマンドは、 show コマンドおよび clear uauth コマンドと組み合わせて使用します。
(注) 接続にパッシブFTP(ファイル転送プロトコル)が使用されている場合、またはWeb認証にvirtualコマンドが使用されている場合は、timeout uauth 0:0:0コマンドを使用しないでください。
接続タイマーは変換タイマーよりも優先します。変換タイマーが機能するのは、すべての接続がタイムアウトしたあとのみです。
conn hh : mm : ss を設定する場合は、 0:0:0 を使用して、接続がタイムアウトしないようにします。
half-closed hh : mm : ss を設定する場合は、0:0:0を使用して、半分終了した接続がタイムアウトしないようにします。
h255 hh : mm : ss を設定する場合に h225 00:00:00 を指定すると、H.225シグナリングが切断されなくなります。タイマアウト値に h225 00:00:01 を指定すると、タイマーはディセーブルになり、すべてのコールが削除された直後にTCP接続が終了します。
uauth hh : mm : ss 期間は、 xlate キーワードよりも短くなければなりません。キャッシングをディセーブルにするには、0に設定します。接続上でパッシブFTPを使用する場合は、ゼロに設定しないでください。
absolute キーワードをディセーブルにするには、 uauthタイマーを0(ゼロ)に設定します。
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
OSPFプロセスの遅延タイマーを設定するには、timersコマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
timers { spf spf_delay spf_holdtime | lsa-group-pacing seconds }
no timers { spf | lsa-group-pacing }
OSPFがトポロジー変更を受信してから、Shortest Path First(SPF)の計算を開始するまでの遅延時間を、0~65535秒の範囲で指定します。 |
|
OSPFがトポロジー変更を受信してから、SPFの計算を開始するまでの遅延時間、および連続する2つのSPF計算間のホールドタイムを指定します。有効値は、10~1800秒です。 |
セキュリティ コンテキスト モード:シングル コンテキスト モード
|
|
---|---|
OSPFプロトコルがトポロジー変更を受信してからSPF計算を開始するまでの遅延時間、および連続する2つのSPF計算間のホールドタイムを設定するには、timers spf spf_delay spf_holdtime サブコマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spfサブコマンドを使用します。
OSPF Link-State Advertisement(LSA;リンク ステート アドバタイズ)がグループとして収集され、リフレッシュ、チェックサム、またはエージングが行われるインターバルを変更するには、 timers lsa-group-pacing seconds サブコマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing サブコマンドを使用します。
メンテナンス パーティションをアップグレードするには、upgrade-mpコマンドを使用します。
upgrade-mp tftp:// location / pathname
upgrade-mp http[s]:// [ user : password @] location [: port ]/ pathname
upgrade-mp tftp [ : [[ // location ][/ pathname ]]]
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、OSPFルーティングで使用するためのルート マップを設定する例を示します。
FWSMのバージョンおよびモジュールの稼働時間を表示するには、uptimeコマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
次に、OSPFルーティングに関するルート マップを設定する例を示します。
長いURLのサポートおよびURLフィルタリング サービス用のHTTP応答バッファリングをイネーブルにするには、 url-block コマンドを使用します。長いURLのサポートおよびURLフィルタリング サービス用のHTTP応答バッファリングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] url-block {block block_buffer_limit } | { url-mempool memory_pool_size } | { url-size long_url_size }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
url-block url-size long_url_size コマンドは、Websenseサーバでのみサポートされます。
url-block コマンドを使用するには、FWSM上で有効なWebsense URLフィルタリング設定が動作している必要があります。有効なWebsense URLフィルタを所定位置に配置すると、このコマンドを使用して、1159バイトを超えるURL(最大で4096バイト)をWebsenseサーバに渡すことができます。 url-block コマンドは、1159バイトを超えるURLをバッファに格納してから、Websenseサーバに(TCPパケット ストリームを介して)送信して、WebsenseサーバがこのURLへのアクセスを許可または拒否できるようにします。
次に、長いURLのサポート、およびURLフィルタリング サービス用のHTTP応答バッファリングをイネーブルにする例を示します。
N2H2サーバまたはWebsenseサーバからの許可または拒否応答を待つまでの間、Webサーバ応答をキャッシュに格納するには、 url-cache コマンドを使用します。キャッシングをディセーブルにするには、このコマンドの no 形式を使用します。
[no] url-cache { dst | src_dst } size kbytes
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
url-cache コマンドを使用すると、Webサーバからの応答がN2H2またはWebsenseフィルタリング サービス サーバからの応答よりも早い場合に、この応答をバッファに格納するように設定できます。このコマンドにより、Webサーバの応答を2回ロードすることがなくなります。
ユーザがサイトにアクセスしたときに、フィルタリング サーバが配置されていれば、FWSMは一定期間サーバ アドレスをキャッシュに格納することができます。ただし、このアドレス上の各サイトが1つのカテゴリーに属し、常に許可されている場合に限ります。サーバに再度アクセスする場合、または別のユーザがサーバにアクセスする場合、FWSMはフィルタリング サーバに問い合わせる必要がありません。
URLキャッシングをイネーブルにしたり、キャッシュ サイズを設定したり、キャッシュ統計情報を表示したりするには、 url-cache コマンドを使用します。
キャッシングを行うと、FWSMのメモリにURLへのアクセス権限が格納されます。ホストが接続を要求すると、FWSMはN2H2またはWebsenseサーバに要求を転送しないで、まずURLキャッシュ内で一致するアクセス権限を検索します。キャッシングをディセーブルにするには、 no
url-cache コマンドを使用します。
URLキャッシュを使用しても、Websenseプロトコル バージョン1のWebsenseアカウンティング ログは更新されません。Websenseプロトコル バージョン1を使用している場合は、Websenseにログの蓄積を許可して、Websenseアカウンティング情報を表示できるようにする必要があります。目的のセキュリティ要求を満たす使用プロファイルを取得したら、 url-cache をイネーブルにしてスループットを増大させることができます。 url-cache コマンドの使用中は、Websenseプロトコル バージョン4およびN2H2 URLフィルタリングに対応するように、アカウンティング ログが更新されます。
(注) N2H2またはWebsenseサーバの設定を変更する場合は、no url-cacheコマンドでキャッシュをディセーブルにしてから、url-cacheコマンドでキャッシュを再イネーブルにします。
すべてのユーザがN2H2またはWebsenseサーバ上で同じURLフィルタリング プロトコルを共有する場合は、 dst モードを選択します。
ユーザがN2H2またはWebsenseサーバ上で同じURLフィルタリング プロトコルを共有しない場合は、 src_dst モードを選択します。
次に、送信元またおよび宛先アドレスに基づくすべての発信HTTP接続をキャッシュに格納する例を示します。
filterコマンドで使用するN2H2サーバまたはWebsenseサーバを稼働しているサーバを指定するには、 url-server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。
url-server { interface_name } vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP } ]
no url-server { interface_name } vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP } ]
url-server { interface_name } vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP } version ]
no url-server { interface_name } vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP } version ]
N2H2フィルタリング アプリケーションのデフォルト設定は 次のとおりです。
• interface_name ― 内部(指定されていない場合)
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
url-serverコマンドを使用すると、N2H2サーバまたはWebsenseサーバURLを稼働しているサーバを指定できます。マルチ モードでは、FWSMはコンテキストごとに4つのURLサーバをサポートします。シングル モードでは、16のURLサーバを割り当てることができます。ただし、一度に使用できるアプリケーションは、N2H2サーバまたはWebsenseサーバのいずれか1つのみです。FWSMの設定を変更しても、アプリケーション サーバの設定は更新されません。設定の変更は各ベンダーの指示に従って、個別に実行する必要があります。
(注) N2H2サーバによるフィルタリングの情報については、次のURLを参照してください。
http://www.n2h2.com.
Websenseフィルタリング サービスの情報については、次のURLを参照してください。
http://www.websense.com/
HTTPSおよびFTP(ファイル転送プロトコル)に filter コマンドを使用する前に、 url-server コマンドを設定する必要があります。サーバ リストからすべてのURLサーバを削除すると、URLフィルタリングに関連するすべての filter コマンドも削除されます。
両方のURLフィルタリング サービスを同時に実行することはできません。
Websenseの場合、TCPを設定するにはバージョン1またはバージョン4を使用します。UDPを設定するにはバージョン4のみを使用します。
次に、N2H2を使用する場合に、ホスト10.0.2.54からの接続を除くすべての発信HTTP接続をフィルタリングする例を示します。
次に、Websenseを使用する場合に、ホスト10.0.2.54からの接続を除くすべての発信HTTP接続をフィルタリングする例を示します。
aaa authorization
clear url-server
filter ftp
show url-server
指定された権限レベルにユーザ名を設定するには、 username コマンドを使用します。ユーザ名および権限レベルを削除するには、このコマンドの no 形式を使用します。
username username { [{ nopassword | password password } [ encrypted ]] [ privilege level ] }
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
ローカルFWSMユーザ認証データベースには、 username コマンドで入力されたユーザが格納されます。FWSM login コマンドは、このデータベースを使用して認証します。
次に、指定された権限レベルにユーザ名を設定する例を示します。
FWSM仮想サーバにアクセスするには、 virtual コマンドを使用します。
virtual http ip_address [ warn ]
WebブラウザがFWSM aaa コマンドと正しく連携するように設定します。詳細については、「使用上の注意事項」を参照してください。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
virtual http コマンドを使用すると、WebブラウザはFWSM aaa コマンドと正しく連携するようになります。 aaa コマンドは、AAA(認証、許可、アカウンティング)サーバ データベースがWebサーバで共有されるものと想定しています。FWSMはAAAサーバおよびWebサーバに同じ情報を自動的に提供します。 virtual http コマンドは aaa コマンドと連携して、ユーザを認証したり、WebクライアントのURL要求からAAAサーバ情報を分離したり、WebクライアントをWebサーバに転送したりします。コンフィギュレーション内のコマンドを表示するには、 show virtual http コマンドを使用します。このコマンドの使用をディセーブルにするには、 no virtual http コマンドを使用します。
virtual httpコマンドを使用すると、Webブラウザの初期接続をFWSM内にある ip_address に転送し、ユーザを認証してから、ユーザが本来要求したURLにブラウザをリダイレクトすることができます。virtual httpコマンドは、HTTPで使用する仮想サーバにアクセスします。このコマンドは、Microsoft IISとFWSMのインターオペラビリティ、およびその他の認証サーバに役立ちます。
「基本的なテキスト認証」または「NT Challenge」に対応したMicrosoft IISが稼働するサイトにHTTP認証を実行した場合は、Microsoft IISサーバからのアクセスが拒否されることがあります。これは、ブラウザによってHTTP GETコマンドにストリング「Authorization: Basic=Uuhjksdkfhk==」が付加されるためです。このストリングには、FWSM認証証明書が含まれます。
発信に使用する場合、 ip_address にはFWSMにルーティングされるアドレスを入力する必要があります。
着信に使用する場合、 ip_address には未使用のグローバル アドレスを入力する必要があります。
virtual telnet コマンドを使用すると、Virtual Telnetサーバでは、認証をサポートしないサービスまたはプロトコルを使用してFWSM経由で接続するように要求するユーザを事前に認証することができます。
virtual telnetコマンドを使用すると、FWSMにログインしたり、ログアウトしたりすることができます。認証されていないユーザがTelnetを介して仮想IPアドレスに接続した場合、このユーザはユーザ名およびパスワードを要求され、その後TACACS+またはRADIUSサーバによって認証されます。認証されたユーザには、「Authentication Successful」というメッセージが表示され、認証証明書がuauthタイムアウト期間中にFWSMのキャッシュに格納されます。
Virtual Telnetサーバでは、認証をサポートしないサービスまたはプロトコルを使用して、FWSM経由で接続するように要求するユーザを事前に認証することができます。ユーザはまずVirtual TelnetサーバのIPアドレスに接続し、ユーザ名およびパスワードの入力を求められます。
次に、 show virtual コマンド出力を表示する例を示します。
virtual http 209.165.201.1
virtual telnet コマンドをコンフィギュレーションに追加して、コンフィギュレーションをフラッシュ パーティションに書き込んだあと、FWSMによるPoint-to-Point Tunneling(PPTP)セッションを開始するユーザは、Telnetを使用して ip_address にアクセスします。
Trying 209.165.201.25...
Connected to 209.165.201.25.
Escape character is ‘^]’.
Authentication Successful
Connection closed by foreign host.
/unix/host%
Cisco VPN Clientバージョン3.x(シスコの統合VPN[仮想私設網]クライアント フレームワーク)を設定するには、 vpngroup コマンドを使用します。
vpngroup group_name {address-pool pool_name } | { default-domain domain_name } | { dns-server dns_ip_prim [ dns_ip_sec ]} | { idle-time idle_seconds } | { max-time max_seconds } | { password preshared_key } | { split-tunnel access_list } | { wins-server wins_ip_prim [ wins_ip_sec ]
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
Internet Key Exchange(IKE)モードを設定してから、Cisco VPN Clientのサポートを設定してください。FWSMがIKEモード設定を開始するように指定してください。
vpngroup コマンドを使用してCisco VPN Clientとのインターオペラビリティを設定する方法については、『 Cisco VPN Configuration Guide 』を参照してください。Cisco VPN ClientはWindows 2000をサポートしています。
vpngroup コマンド セットを使用すると、Cisco VPN Clientポリシー アトリビュートをVPNグループ名に対応付けて、指定されたグループ内のCisco VPN Clientにダウンロードするように設定できます。Cisco VPN Clientに同じVPNグループ名が設定され、VPNクライアントの一致が実現します。
任意のグループ名と一致するVPNグループ ポリシーを作成するためのVPNグループ名「default」を設定します。ほかに一致するポリシーがない場合、FWSMはVPNグループ名「default」を選択します。VPN group_name はVPNグループを表すASCIIストリングです。この名前には63文字まで設定できます。
vpngroup address-pool コマンドを使用すると、VPNグループに割り当てられるローカル アドレス プールを定義できます。
(注) vpngroup address-poolコマンドおよびip local poolコマンドを使用すると、VPNクライアントにダイナミックIPアドレスを割り当てるためのローカル アドレス プールを指定できます。Cisco VPN Clientの場合、指定されたアドレス プールは、Cisco VPN Clientユーザで構成される所定のグループに対応付けられます。複数のVPNユーザ グループで使用する複数のアドレス プールを設定する場合のみvpngroup address-poolコマンドを使用することを推奨します。FWSMでvpngroup address-poolコマンドを使用すると、ユーザ グループごとに異なるローカル アドレス プールを設定できます。
IUAアイドル タイムアウトを設定するには、 vpngroup group_name user-idle-timeout
user_idle_seconds コマンドを使用します。
FWSMがIKEネゴシエーションの一環として、DNSサーバのIPアドレスをCisco VPN Clientにダウンロードできるようにするには、 vpngroup dns-server コマンドを使用します。
FWSMがIKEネゴシエーションの一環として、WINSサーバのIPアドレスをCisco VPN Clientにダウンロードできるようにするには、 vpngroup wins-server コマンドを使用します。
FWSMがIKEネゴシエーションの一環として、デフォルトのドメイン名をCisco VPN Clientにダウンロードできるようにするには、 vpngroup default-domain コマンドを使用します。
FWSM上で分割トンネリングをイネーブルにするには、 vpngroup split-tunnel コマンドを使用します。分割トンネリングにより、リモートVPNクライアントは企業ネットワークへの同時暗号化アクセスおよびインターネットへのクリア アクセスを実行できます。 vpngroup split-tunnel コマンドを使用する場合は、トラフィックの分割トンネリングを対応付けるアクセス リストの名前を指定してください。分割トンネリングがイネーブルの場合、FWSMは、対応するアクセス リスト内で指定されたローカル ネットワークIPアドレスとネットマスクをVPNクライアントへ、あるいはポリシー プッシュの一環としてクライアントにダウンロードします。VPNクライアントは指定されたローカルFWSMネットワーク宛のトラフィックをIPSecトンネルを介して送信し、その他のすべてのトラフィックをクリア形式で送信します。FWSMはIPSecで保護されたパケットを外部インターフェイスで受信し、暗号を解除して、指定されたローカル ネットワークに送信します。
access-list deny コマンドで定義されたネットワークは、VPNクライアントにプッシュされません。
vpngroup idle-time コマンドを使用すると、Cisco VPN Clientの非アクティビティ タイムアウトを設定できます。指定されたVPNクライアントですべてのIPSec SAの非アクティビティ タイムアウトが期限切れになると、トンネルが終了します。
vpngroup max-time コマンドを使用すると、Cisco VPN Clientの最大接続時間を設定できます。指定されたVPNクライアントの最大接続時間に達すると、トンネルが終了します。Cisco VPN ClientとFWSM間の接続を再確立する必要があります。デフォルトの最大接続時間は無制限に設定されています。
(注) 所定のCisco VPN Clientにvpngroup idle-timeコマンドで指定された非アクティビティ タイムアウト、およびvpngroup max-timeコマンドで指定された最大接続時間は、グローバル ライフタイム タイムアウトの設定で使用されるコマンドに優先します。これらのコマンドは、 isakmp policy lifetimeおよびcrypto map set security-association lifetime secondsコマンドです。
vpngroup password コマンドを使用して、VPNグループの事前共有鍵がIKE認証中に使用されるように設定します。この事前共有鍵は、接続エントリのグループ アクセス情報を設定するときにCisco VPN Clientの Group Password ボックスに入力するパスワードと同等です。
FWSMによって設定されたパスワードは、ファイル設定内ではアスタリスクで表示されます。
(注) vpngroup passwordコマンドおよびisakmp key addressコマンドを使用すると、IKE認証用の事前共有鍵を指定できます。複数のVPNユーザ グループを設定する場合のみvpngroup passwordコマンドを使用することを推奨します。vpngroup passwordコマンドを使用すると、FWSMにさまざまなVPNユーザ グループを設定できます。
次に、VPNグループ「myVpnGroup」内のVPNクライアントに、10.140.40.0~10.140.40.7のアドレス プール内のIPアドレスを1つ動的に割り当てる例を示します。グループ「myVpnGroup」のポリシー アトリビュートは、クライアントへのポリシー プッシュ中に、指定されたVPNクライアントにダウンロードされます。分割トンネリングはイネーブルです。VPNクライアントから10.130.38.0 255.255.255.0 FWSMネットワークに送信されるすべてのトラフィックは、IPSecで保護されます。
FWSM上のアクティブなTelnet管理セッションを表示するには、 who コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
who コマンドを使用すると、現在FWSMにログインしている各TelnetクライアントのFWSM TTY_IDおよびIPアドレスを表示できます。このコマンドは、 show who コマンドと同じです。
次に、FWSMのアクティブなTelnet管理セッションを表示する例を示します。
0: From 192.168.1.3
1: From 192.168.2.2
現在の設定を保存、表示、または消去するには、 write コマンドを使用します。
write net [[ tftp_ip ] : [ filename ]]
write {erase | memory | terminal | standby }
(任意)TFTPサーバ server_ip 上のコンフィギュレーション ファイルの場所を修飾するファイル名を指定します。 |
|
フラッシュ パーティション内の現在の設定、および設定を最後に変更したときのアクティベーションキーとタイム スタンプを保存します。 |
|
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
(注) write standbyコマンドを使用できるのは、アクティブおよびスタンバイFWSMが個別に設定されている場合のみです。
standby キーワードを指定すると、アクティブ モジュールからスタンバイ モジュールに設定が強制的に同期されます。
write net コマンドを使用すると、現在の設定をネットワークの任意の場所にあるTFTPサーバ上のファイルに保存できます。write netコマンドを使用すると、tftp-serverコマンドで指定されたTFTPサーバIPアドレスを使用できます。 tftp-server コマンド内でIPアドレスとパス名を両方とも指定する場合は、次のように、write net : filename コマンドをコロン( : )で指定できます。
tftp-server コマンドでファイル名を設定する場合、 write コマンド内では指定しないでください。代わりにコロン( : )を使用し、ファイル名を省略してください。多くのTFTPサーバは、コンフィギュレーション ファイルをworld-writableに設定して、書き込むことを要求します。
ファイルから設定を取得するには、 configure net コマンドを使用します。
write erase コマンドは、フラッシュ パーティションの設定を消去します。
write memory コマンドは、現在の実行コンフィギュレーションをフラッシュ パーティションに保存します。フラッシュ パーティションに保存されたイメージと現在の設定をマージするには、 configure memory コマンドを使用します。
FWSMでは、write memoryコマンドの実行中も処理を継続できます。
write memoryコマンドの実行中に、別のFWSMコンソール ユーザが設定を変更しようとすると、次のメッセージが表示されます。
write memoryコマンドが完了すると、FWSMは別のコマンドを実行できるようになります。
(注) write memoryコマンドは、両方のネットワーク インターフェイスのIPアドレスを使用して設定されている場合のみ、使用してください。
write terminal コマンドは、FWSMのRAMメモリ内の現在の設定を表示します。show configureコマンドを使用すると、フラッシュ メモリに保存された設定も表示できます。
次に、TFTPサーバを指定し、設定を格納するためのファイル new_config を作成する例を示します。
次に、フラッシュ パーティションの内容を消去し、FWSMをリロードする例を示します。
Erase
fwsm configuration in flash partition? [confirm]
y
次に、現在の設定をフラッシュ パーティションに保存する例を示します。
Building configuration...
[OK]
Building configuration...
: Saved
アクティブ モジュールからスタンバイ モジュールに設定を強制的に同期させるには、 write standby コマンドを使用します。
セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード
ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード
|
|
---|---|
write standbyコマンドを使用すると、アクティブ フェールオーバー モジュールのRAMに保存された設定を、スタンバイ モジュールのRAMに書き込むことができます。プライマリ モジュールが起動すると、設定がセカンダリ モジュールに自動的に書き込まれます。write standbyコマンドは、プライマリおよびセカンダリ モジュールの設定情報が異なる場合に入力してください。
(注) write standbyコマンドを使用できるのは、アクティブおよびスタンバイFWSMが個別に設定されている場合のみです。
• シングル モード ― スタンバイ モジュールにすべての設定を強制的に同期します。
• マルチ モード、ユーザ コンテキスト ― スタンバイ モジュールにコンテキスト設定を強制的に同期します。
• マルチ モード、システム コンテキスト ― スタンバイ モジュールにすべての設定(システムおよびユーザ コンテキスト設定情報)を強制的に同期します。
次に、アクティブ モジュールからスタンバイ モジュールに設定を強制的に同期する例を示します。
Building configurationÖ
[OK]
clear failover
configure
failover
failover interface ip
failover interface-policy
failover lan interface
failover lan unit
failover link
failover polltime
failover replication http
failover reset
monitor-interface
show failover
write standby