icmp ~ ignore lsa mospf コマンド
icmp
FWSM で終端する ICMP(インターネット制御メッセージ プロトコル)トラフィックに対するアクセス ルールを設定するには、 icmp コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
シンタックスの説明
deny |
条件に一致した場合、アクセスを拒否します。 |
icmp_type |
(任意) ICMP メッセージのタイプを指定します( 表14-1 を参照)。 |
if_name |
インターフェイス名を指定します。 |
ip_address |
インターフェイスに ICMP メッセージを送信するホストの IP アドレスを指定します。 |
net_mask |
ip_address に適用するマスクを指定します。 |
permit |
条件に一致した場合、アクセスを許可します。 |
デフォルト
デフォルトでは、FWSM は、FWSM インターフェイス への すべての ICMP トラフィックを許可します。ただし、デフォルトでは、FWSM は、ブロードキャスト アドレスを宛先とする ICMP エコー要求には応答しません。また、FWSM は、外部インターフェイスで受信した、保護されたインターフェイスを宛先とする ICMP メッセージを拒否します。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
グローバル コンフィギュレーション |
• |
• |
• |
• |
• |
使用上のガイドライン
icmp コマンドは、任意の FWSM インターフェイス上で終端する ICMP トラフィックを制御します。ICMP 制御リストを設定しない場合、FWSM は、外部インターフェイスを含むすべてのインターフェイス上で終端する、すべての ICMP トラフィックを許可します。ただし、デフォルトでは、FWSM は、ブロードキャスト アドレスを宛先とする ICMP エコー要求には応答しません。
icmp deny コマンドは、インターフェイスへの ping 送信をディセーブルにします。icmp permit コマンドは、インターフェイスへの ping 送信をイネーブルにします。ping 送信がディセーブルの場合、ネットワーク上で FWSM を検出できません。これは、設定可能なプロキシ ping 送信とも呼ばれます。
FWSM を 経由して 保護されたインターフェイス宛てにルーティングされる ICMP トラフィックには、 access-list extended コマンドまたは access-group コマンドを使用します。
ICMP 到達不能メッセージ タイプ(タイプ 3)は、許可するように設定することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP Path MTU(最大伝送ユニット)の検出がディセーブルになり、IPSec および PPTP トラフィックが中断されることがあります。Path MTU 検出の詳細は、RFC 1195 および RFC 1435 を参照してください。
インターフェイスに ICMP 制御リストを設定すると、FWSM はまず指定された ICMP トラフィックを照合し、そのインターフェイス上の他のすべての ICMP トラフィックに暗黙の拒否を適用します。つまり、最初に一致したエントリが許可エントリである場合、ICMP パケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、FWSM は ICMP パケットを廃棄して、Syslog メッセージを生成します。ICMP 制御リストが設定されていない場合は例外となり、 permit ステートメントが適用されます。
表14-1 に、サポート対象の ICMP タイプの値を示します。
表14-1 ICMP タイプのリテラル
|
|
0 |
echo-reply |
3 |
unreachable |
4 |
source-quench |
5 |
redirect |
6 |
alternate-address |
8 |
echo |
9 |
router-advertisement |
10 |
router-solicitation |
11 |
time-exceeded |
12 |
parameter-problem |
13 |
timestamp-request |
14 |
timestamp-reply |
15 |
information-request |
16 |
information-reply |
17 |
mask-request |
18 |
mask-reply |
31 |
conversion-error |
32 |
mobile-redirect |
例
次に、外部インターフェイスですべての ping 要求を拒否し、すべての到達不能メッセージを許可する例を示します。
hostname(config)# icmp permit any unreachable outside
拒否した ICMP トラフィックのインターフェイスに icmp deny any interface コマンドを入力します。
次に、ホスト 172.16.2.15 およびサブネット 172.22.1.0/16 上のホストに、外部インターフェイスへの ping 送信を許可する例を示します。
hostname(config)# icmp permit host 172.16.2.15 echo-reply outside
hostname(config)# icmp permit 172.22.1.0 255.255.0.0 echo-reply outside
hostname(config)# icmp permit any unreachable outside
関連コマンド
|
|
clear configure icmp |
ICMP 設定を消去します。 |
debug icmp |
ICMP のデバッグ情報表示をイネーブルにします。 |
show icmp |
ICMP 設定を表示します。 |
timeout icmp |
ICMP のアイドル タイムアウトを設定します。 |
icmp-object
icmp-type のオブジェクト グループを追加するには、icmp-type コンフィギュレーション モードで、icmp-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。
icmp-object icmp_type
no group-object icmp_type
シンタックスの説明
icmp_type |
icmp-type の名前を指定します。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
icmp-type コンフィギュレーション |
• |
• |
• |
• |
-- |
使用上のガイドライン
icmp-object コマンドは、icmp-type オブジェクトを定義する object-group コマンドと併用します。このコマンドは、icmp-type コンフィギュレーション モードで使用します。
ICMP タイプの番号および名前は、次のとおりです。
|
|
0 |
echo-reply |
3 |
unreachable |
4 |
source-quench |
5 |
redirect |
6 |
alternate-address |
8 |
echo |
9 |
router-advertisement |
10 |
router-solicitation |
11 |
time-exceeded |
12 |
parameter-problem |
13 |
timestamp-request |
14 |
timestamp-reply |
15 |
information-request |
16 |
information-reply |
17 |
address-mask-request |
18 |
address-mask-reply |
31 |
conversion-error |
32 |
mobile-redirect |
例
次に、icmp-type コンフィギュレーション モードで、 icmp-object コマンドを使用する例を示します。
hostname(config)# object-group icmp-type icmp_allowed
hostname(config-icmp-type)# icmp-object echo
hostname(config-icmp-type)# icmp-object time-exceeded
hostname(config-icmp-type)# exit
関連コマンド
|
|
clear configure object-group |
コンフィギュレーションから、すべての object-group コマンドを削除します。 |
network-object |
ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。 |
object-group |
設定を最適化するオブジェクト グループを定義します。 |
port-object |
サービス オブジェクト グループにポート オブジェクトを追加します。 |
show running-config object-group |
現在のオブジェクト グループを表示します。 |
id-cert-issuer
トラストポイントに関連付けられた CA から発行されたピアの証明書をシステムで受け入れるかどうかを指定するには、crypto ca トラストポイント コンフィギュレーション モードで、 id-cert-issuer コマンドを使用します。トラストポイントに関連付けられた CA から発行された証明書を拒否するには、このコマンドの no 形式を使用します。このコマンドは、トラストポイントに、広範囲に使用されるルート CA を関連付ける場合に役立ちます。
id-cert-issuer
no id-cert-issuer
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルトの設定はイネーブルです(ID 証明書は受け入れられます)。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
crypto ca トラストポイント コンフィギュレーション |
• |
• |
• |
• |
-- |
使用上のガイドライン
このコマンドは、広範囲に使用されるルート証明書の従属証明書により発行された証明書の受け入れを制限します。この機能をイネーブルにしない場合、FWSM は、この発行者により署名されたすべての IKE ピアの証明書を拒否します。
例
次に、トラストポイント central の crypto ca トラストポイント コンフィギュレーション モードを開始し、管理者が、トラストポイント central の発行者により署名された ID 証明書を受け入れるように設定する例を示します。
hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# id-cert-issuer
関連コマンド
|
|
crypto ca trustpoint |
トラストポイント サブモードを開始します。 |
default enrollment |
登録パラメータをデフォルトに戻します。 |
enrollment retry count |
エンロールメント要求を送信する再試行回数を設定します。 |
enrollment retry period |
エンロールメント要求の送信を試みるまでの待機時間を分単位で指定します。 |
enrollment terminal |
トラストポイントのカットアンドペースト方式のエンロールメントを指定します。 |
igmp
インターフェイス上で IGMP 処理を再開するには、インターフェイス コンフィギュレーション モードで、 igmp コマンドを使用します。インターフェイス上の IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。
igmp
no igmp
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
実行コンフィギュレーションには、このコマンドの no 形式だけが表示されます。
例
次に、選択したインターフェイス上で IGMP 処理をディセーブルにする例を示します。
hostname(config-subif)# no igmp
関連コマンド
|
|
show igmp groups |
FWSM に直接接続され、IGMP により学習された受信側のマルチキャスト グループを表示します。 |
show igmp interface |
インターフェイスのマルチキャスト情報を表示します。 |
igmp access-group
インターフェイスがサービスしているサブネット上のホストが加入できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで、 igmp access-group コマンドを使用します。インターフェイス上のグループをディセーブルにするには、このコマンドの no 形式を使用します。
igmp access-group acl
no igmp access-group acl
シンタックスの説明
acl |
IP アクセス リストの名前を指定します。標準または拡張アクセス リストを指定できます。ただし、拡張アクセス リストを指定する場合には、宛先アドレスだけが照合されるので、送信元には、 any を指定する必要があります。 |
デフォルト
インターフェイス上のすべてのグループへの加入が許可されます。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
例
次に、グループへの加入を、アクセス リスト 1 により許可されたホストだけに制限する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp access-group 1
関連コマンド
|
|
show igmp interface |
インターフェイスのマルチキャスト情報を表示します。 |
igmp forward interface
指定したインターフェイスにすべての IGMP ホスト レポートを転送し、メッセージを受信させるには、インターフェイス コンフィギュレーション モードで、 igmp forward interface コマンドを使用します。転送を削除するには、このコマンドの no 形式を使用します。
igmp forward interface if-name
no igmp forward interface if-name
シンタックスの説明
if-name |
インターフェイスの論理名を指定します。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
このコマンドは、入力インターフェイス上で入力します。このコマンドは、スタブ マルチキャスト ルーティングに対して使用します。PIM と同時に設定することはできません。
例
次に、現在のインターフェイスから指定したインターフェイスに、IGMP ホスト レポートを転送する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp forward interface outside
関連コマンド
|
|
show igmp interface |
インターフェイスのマルチキャスト情報を表示します。 |
igmp join-group
インターフェイスを、指定したグループのローカル接続メンバーとして設定するには、インターフェイス コンフィギュレーション モードで、 igmp join-group コマンドを使用します。グループのメンバーシップをキャンセルするには、このコマンドの no 形式を使用します。
igmp join-group group-address
no igmp join-group group-address
シンタックスの説明
group-address |
マルチキャスト グループの IP アドレス。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
このコマンドは、FWSM インターフェイスを、マルチキャスト グループのメンバーとして設定します。 igmp join-group コマンドにより、FWSM は、指定されたマルチキャスト グループを宛先とするマルチキャスト パケットを受信し、転送します。
セキュリティ アプライアンスが、マルチキャスト グループのメンバーにならずにマルチキャスト トラフィックを転送するように設定するには、 igmp static-group コマンドを使用します。
例
次に、選択したインターフェイスを、IGMP グループ 255.2.2.2 に加入させる例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp join-group 225.2.2.2
関連コマンド
|
|
igmp static-group |
インターフェイスが、指定したマルチキャスト グループのスタティックな接続メンバーになるように設定します。 |
igmp limit
インターフェイス単位で IGMP ステート数を制限するには、インターフェイス コンフィギュレーション モードで、 igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。
igmp limit number
no igmp limit [ number ]
シンタックスの説明
number |
インターフェイス上で許可する IGMP ステート数を指定します。有効値の範囲は、0 ~ 500 です。デフォルト値は、500 です。この値を 0 に設定すると、学習したグループは追加されませんが、( igmp join-group および igmp static-group コマンドを使用して)手動で定義したメンバーシップは許可されます。 |
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
コマンド履歴
|
|
3.1(1) |
このコマンドが追加されました。 igmp max-groups コマンドから変更されました。 |
例
次に、インターフェイスに加入できるホスト数を 250 に制限する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp limit 250
関連コマンド
|
|
igmp |
インターフェイス上で IGMP 処理を再開します。 |
igmp join-group |
インターフェイスが、指定したグループのローカル接続メンバーになるように設定します。 |
igmp static-group |
インターフェイスが、指定したマルチキャスト グループのスタティックな接続メンバーになるように設定します。 |
igmp query-interval
インターフェイスから送信する IGMP ホスト クエリー メッセージの頻度を設定するには、インターフェイス コンフィギュレーション モードで、 igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。
igmp query-interval seconds
no igmp query-interval seconds
シンタックスの説明
seconds |
IGMP ホスト クエリー メッセージを送信する間隔を、秒数で指定します。有効値の範囲は、1 ~ 3600 です。デフォルトは、125 秒です。 |
デフォルト
デフォルトのクエリー送信間隔は、125 秒です。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
マルチキャスト ルータは、インターフェイスの接続ネットワーク上にメンバーを持つマルチキャスト グループを検出するために、ホスト クエリー メッセージを送信します。ホストは、IGMP レポート メッセージを使用して応答し、特定のグループ宛てのマルチキャスト パケットを受信する必要があることを示します。ホスト クエリー メッセージは、アドレスが 224.0.0.1 で TTL 値が 1 の全ホスト マルチキャスト グループに対して送信されます。
IGMP ホスト クエリー メッセージを送信するルータは、LAN の指定ルータだけです。
• IGMP Version 1 では、LAN 上で実行しているマルチキャスト ルーティング プロトコルに基づいて、指定ルータが選択されます。
• IGMP Version 2 では、サブネット上の IP アドレスが最下位のマルチキャスト ルータが、指定ルータになります。
( igmp query-timeout コマンドにより指定された)タイムアウトの時間内にクエリーを受信しなかったルータは、クエリアになります。
注意 この値を変更すると、マルチキャスト転送に大きな影響が生じることがあります。
例
次に、IGMP クエリーの送信間隔を 120 秒に変更する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp query-interval 120
関連コマンド
|
|
igmp query-max-response-time |
IGMP クエリーでアドバタイズする最大応答時間を設定します。 |
igmp query-timeout |
既存のクエリアがクエリー送信を停止したあと、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウトの時間を設定します。 |
igmp query-max-response-time
IGMP クエリーでアドバタイズする最大応答時間を指定するには、インターフェイス コンフィギュレーション モードで、 igmp query-max-response-time コマンドを使用します。デフォルトの応答時間に戻すには、このコマンドの no 形式を使用します。
igmp query-max-response-time seconds
no igmp query-max-response-time [ seconds ]
シンタックスの説明
seconds |
IGMP クエリーでアドバタイズする最大応答時間を、秒数で指定します。有効値は、1 ~ 25 です。デフォルト値は、10 秒です。 |
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
このコマンドは、IGMP Version 2 または 3 を実行している場合に限り、有効です。
このコマンドは、ルータがグループを削除する前に、応答側が IGMP クエリー メッセージに応答できる時間を制御します。
例
次に、クエリーの最大応答時間を 8 秒に変更する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp query-max-response-time 8
関連コマンド
|
|
igmp query-interval |
インターフェイスが送信する IGMP ホスト クエリー メッセージの頻度を設定します。 |
igmp query-timeout |
既存のクエリアがクエリー送信を停止したあと、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウトの時間を設定します。 |
igmp query-timeout
既存のクエリアがクエリー送信を停止したあと、インターフェイスがクエリアとして引き継ぐまでのタイムアウトの時間を設定するには、インターフェイス コンフィギュレーション モードで、 igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
igmp query-timeout seconds
no igmp query-timeout [ seconds ]
シンタックスの説明
seconds |
既存のクエリアがクエリー送信を停止したあと、ルータがクエリアとして引き継ぐまでの待機秒数を指定します。有効値は 60 ~ 300 秒です。デフォルト値は 255 秒です。 |
デフォルト
デフォルトのタイムアウトは、255 秒です。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
このコマンドを使用するには、IGMP Version 2 または 3 が必要です。
例
次に、ルータが最後のクエリーを受信したあと、200 秒待機してから、インターフェイスのクエリアとして引き継ぐように設定する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp query-timeout 200
関連コマンド
|
|
igmp query-interval |
インターフェイスが送信する IGMP ホスト クエリー メッセージの頻度を設定します。 |
igmp query-max-response-time |
IGMP クエリーでアドバタイズする最大応答時間を設定します。 |
igmp static-group
インターフェイスを、指定したマルチキャスト グループのスタティックな接続メンバーとして設定するには、インターフェイス コンフィギュレーション モードで、 igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。
igmp static-group group
no igmp static-group group
シンタックスの説明
group |
IP マルチキャスト グループのアドレスを指定します。 |
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
igmp static-group コマンドを設定すると、FWSM インターフェイスは、指定したグループそのものが宛先となるマルチキャスト パケットを受信せず、転送だけを実行します。FWSM が特定のマルチキャスト グループに対するマルチキャスト パケットの受信および転送の両方を実行するように設定するには、 igmp join-group コマンドを使用します。 igmp static-group コマンドを設定したグループ アドレスと同じアドレスに igmp join-group コマンドを設定すると、 igmp join-group コマンドが優先され、グループはローカル加入グループとして動作します。
例
次に、選択したインターフェイスを、マルチキャスト グループ 239.100.100.101 に追加する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp static-group 239.100.100.101
関連コマンド
|
|
igmp join-group |
インターフェイスが、指定したグループのローカル接続メンバーになるように設定します。 |
igmp version
インターフェイスが使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで、 igmp version コマンドを使用します。デフォルトのバージョンに戻すには、このコマンドの no 形式を使用します。
igmp version { 1 | 2 }
no igmp version [ 1 | 2 ]
シンタックスの説明
1 |
デフォルトは、IGMP Version 1 です。 |
2 |
デフォルトは、IGMP Version 2 です。 |
デフォルト
デフォルトは、IGMP Version 2 です。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
インターフェイス コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
サブネット上のルータはすべて、同じ IGMP バージョンをサポートしている必要があります。ホストには、任意の IGMP バージョン(1 または 2 )を使用できます。FWSM は、ホストの IGMP バージョンを検出し、適切なクエリーを送信します。
igmp query-max-response-time コマンドおよび igmp query-timeout コマンドなど、一部のコマンドには、IGMP Version 2 が必要です。
例
次に、選択したインターフェイスが IGMP Version 1 を使用するように設定する例を示します。
hostname(config)# interface Vlan101
hostname(config-subif)# igmp version 1
関連コマンド
|
|
igmp query-max-response-time |
IGMP クエリーでアドバタイズする最大応答時間を設定します。 |
igmp query-timeout |
既存のクエリアがクエリー送信を停止したあと、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウトの時間を設定します。 |
ignore lsa mospf
ルータが Link State Advertisement(LSA; リンク ステート アドバタイズ)Type 6 Multicast OSPF(MOSPF)パケットを受信したときに、Syslog メッセージを送信しないようにするには、ルータ コンフィギュレーション モードで、 ignore lsa mospf コマンドを使用します。Syslog メッセージの送信を再開するには、このコマンドの no 形式を使用します。
ignore lsa mospf
no ignore lsa mospf
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドには、デフォルトの動作または値はありません。
コマンド モード
次の表に、コマンドを入力できるモードを示します。
|
|
|
|
|
|
|
|
|
ルータ コンフィギュレーション |
• |
-- |
• |
-- |
-- |
使用上のガイドライン
Type 6 MOSPF パケットはサポートされていません。
例
次に、LSA Type 6 MOSPF パケットを無視するように設定する例を示します。
hostname(config-router)# ignore lsa mospf
関連コマンド
|
|
show running-config router ospf |
OSPF ルータの設定を表示します。 |