Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4

 

シンタックスの説明

 

デフォルト

デフォルトは次のとおりです。

• アクティブ装置のデフォルト MAC アドレス：00a0.c9 physical_port_number . failover_group_id 01

• スタンバイ装置のデフォルト MAC アドレス：00a0.c9 physical_port_number . failover_group_id 02

 

コマンド履歴

 

使用上のガイドライン

フェールオーバー グループに仮想 MAC アドレスが定義されていない場合、デフォルト値が使用されます。

同じネットワーク上に Active/Active フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上の MAC アドレスを重複させないためには、各物理インターフェイスに必ずアクティブとスタンバイの仮想 MAC アドレスを割り当てるようにしてください。

例

次の例（抜粋）は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのタイムアウトは 5 分です。

 

コマンド履歴

 

使用上のガイドライン

使用上のガイドラインはありません。

例

次の例では、MAC アドレスのタイムアウトを 10 分に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、外部インターフェイスの MAC ラーニングをディセーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

MAC アドレスのセットをグループ化するには、同じ ID の値を使用して必要な数だけ mac-list コマンドを入力します。 mac-list コマンドを使用して MAC アクセスリストの番号を設定してから、 aaa mac-exempt コマンドを使用します。

AAA 免除だけが提供されます。認証が免除される MAC アドレスは、自動的に認可が免除されます。 mac-list で他のタイプの AAA はサポートされていません。

例

次の例は、MAC アドレス リストを設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます（インターフェイス名は nameif コマンドによって定義され、 show interface コマンドの出力で引用符 " " に囲まれて表示されます）。

management-access コマンドは IPSec VPN トンネルを経由する場合だけ、次の内容をサポートします。また、1 つの管理インターフェイスだけをグローバルに定義できます。

• mgmt_if への SNMP ポーリング

• mgmt_if への HTTPS 要求

• mgmt_if への ASDM アクセス

• mgmt_if への Telnet アクセス

• mgmt_if への SSH アクセス

• mgmt_if への ping

• mgmt_if への syslog ポーリング

• mgmt_if への NTP 要求

例

次の例は、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

ASA 5500 シリーズ適応型セキュリティ アプライアンスの Management 0/0 インターフェイスは、デフォルトで管理専用モードに設定されています。

 

コマンド履歴

 

使用上のガイドライン

ASA 適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。

（注） 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス（物理インターフェイスまたはサブインターフェイス）を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。

例

次の例では、管理インターフェイスの管理専用モードをディセーブルにします。

次の例では、サブインターフェイスの管理専用モードをイネーブルにします。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

このコマンドは、デフォルトではイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

mask-syst-reply コマンドは、クライアントから FTP サーバ システムを保護するため、厳密な FTP 検査と併せて使用します。このコマンドをイネーブルにすると、 syst コマンドに応答するサーバは一連の X に置き換えられます。

例

次の例では、セキュリティ アプライアンスが syst コマンドに応答する FTP サーバを X に置き換えます。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match access-list コマンドでは、1 つまたは複数のアクセスリストを指定して特定のトラフィック タイプを指定できます。アクセス コントロール エントリの permit 文はトラフィックを包含し、 deny 文はトラフィック クラスマップからトラフィックを除外します。

例

次の例は、クラスマップおよび match access-list コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

デフォルトのクラスマップ（class-default）で match any コマンドを使用すると、すべてのパケットが一致します。

例

次の例は、クラスマップおよび match any コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

各検査のデフォルトのトラフィックについては、「使用上のガイドライン」を参照してください。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルト トラフィックを一致させることができます。 match default-inspection-traffic コマンドはその他の match コマンドの 1 つと併せて使用できます。このコマンドは、通常、 permit ip src-ip dst-ip 形式のアクセスリストです。

2 番目の match コマンドを match default-inspection-traffic コマンドと組み合せる際、
match default-inspection-traffic コマンドを使用してプロトコルとポート情報を指定し、2 番目の match コマンドを使用して他のすべての情報（IP アドレスなど）を指定するという規則があります。2 番目の match コマンドで指定したプロトコルまたはポート情報は、 inspect コマンドでは無視されます。

たとえば、次の例で指定するポート 65535 は無視されます。

検査用のデフォルトのトラフィックは次のとおりです。

例

次の例は、クラスマップおよび match default-inspection-traffic コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match dscp コマンドを使用すると、IP ヘッダー内の IETF 定義の DSCP 値を一致させることができます。

例

次の例は、クラスマップおよび match dscp コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

トンネルグループでフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address と match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 match flow ip destination-address コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group を使用します。

例

次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

一致インターフェイスは定義されていません。

 

コマンド履歴

 

使用上のガイドライン

コマンド シンタックスの省略形（...）は、コマンド入力で interface-type interface-number 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。 match コマンドで指定したインターフェイスが複数ある場合、 no match interface interface-name を使用して 1 つのインターフェイスを削除できます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

例

次の例は、外部にネクストホップを持つルートを配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

例

次の例は、内部ルートを再配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

ネクストホップ アドレスに一致する必要なく、ルートが自由に配布されます。

 

コマンド履歴

 

使用上のガイドライン

コマンド シンタックスの省略形（...）は、コマンド入力で acl 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップを通じてルートを渡す場合、ルートマップはいくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

例

次の例は、acl_dmz1 または acl_dmz2 のアクセスリストによって渡されたネクストホップ ルータ アドレスを持つルートを配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

ルートの送信元では、フィルタリングは実行されません。

 

コマンド履歴

 

使用上のガイドライン

コマンド シンタックスの省略形（...）は、コマンド入力で access-list-name 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。ルートのネクストホップおよび送信元ルータのアドレスは、状況によって異なります。

例

次の例は、ルータによってアドバタイジングされ、acl_dmz1 および acl_dmz2 の ACL で指定されたアドレスのサーバにアクセスするルートを配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

メトリック値では、フィルタリングは実行されません。

 

コマンド履歴

 

使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。また、 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

例

次の例は、メトリック 5 を持つルートを再配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

ポートの範囲を指定するには、 match port コマンドを使用します。

例

次の例は、クラスマップおよび match port コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

IP ヘッダー内の TOS バイトで表現された値を指定するには、 match precedence コマンドを使用します。

例

次の例は、クラスマップおよび match precedence コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートにだけ一致し、 external type-2 キーワードはタイプ 2 外部ルートにだけ一致します。

例

次の例は、内部ルートを再配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

RTP ポート（ starting_port ～ starting_port に range を加えた範囲の UDP の偶数ポート番号）に一致させるには、 match rtp コマンドを使用します。

例

次の例は、クラスマップおよび match rtp コマンドを使用して、トラフィック クラスを定義する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address と match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 police コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group を match flow ip destination-address と併せて使用します。

例

次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

number のデフォルト値は 3 です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを発行する前に、AAA サーバ/グループを設定しておく必要があります。

例

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

max-header-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の HTTP ヘッダーを持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリをオプションで作成するようにするには、 action キーワードを使用します。

例

次の例では、HTTP 要求を 100 バイト以下の HTTP ヘッダーを持つものに限定します。ヘッダーが大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

max-uri-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の URI を持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリを作成するようにするには、 action キーワードを使用します。

設定した値以下の長さを持つ URI が許可されます。それ以外の場合は、指定されたアクションが実施されます。

例

次の例では、HTTP 要求を 100 バイト以下の URI を持つものに限定します。URI が大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、セキュリティ アプライアンスは有効な MCC/MNC の組み合せをチェックしません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、IMSI プレフィックス フィルタリング用に使用します。受信されたパケットの IMSI 内の MCC と MNC が、このコマンドで設定した MCC/MNC と比較され、一致しない場合にドロップされます。

IMSI プレフィックス フィルタリングをイネーブルにするには、このコマンドを使用する必要があります。許可された MCC と MNC の組み合せを指定するのに、複数のインスタンスを設定できます。デフォルトでは、セキュリティ アプライアンスが MNC と MCC の組み合せの有効性をチェックしないので、設定された組み合せの有効性を確認する必要があります。MCC と MNC 番号の詳細については、ITU E.212 の推奨事項である『 Identification Plan for Land Mobile Stations 』を参照してください。

例

次の例では、111 の MCC と 222 の MNC で IMSI プレフィックス フィルタリングのトラフィックを指定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは rj45 です。

 

コマンド履歴

 

使用上のガイドライン

sfp 設定は固定速度（1,000 Mbps）を使用するので、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされていません。

例

次の例では、メディア タイプを SFP に設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

実際の発信者 PC が、メモリ トレース用に記録されます。

 

コマンド履歴

 

使用上のガイドライン

メモリ問題を特定のメモリ ブロックに分離するには、 memory caller-address コマンドを使用します。

場合によっては、メモリ割り当てプリミティブの実際の発信者 PC が、プログラムの多くの場所で使用されている既知のライブラリ機能になります。プログラムの個々の場所を分離するには、ライブラリ機能の開始および終了プログラム アドレスを設定して、ライブラリ機能のプログラムの発信者アドレスが記録されるようにします。

（注） 発信者アドレスのトレースをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。

例

次の例は、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドの出力を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

メモリのプロファイリングは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

メモリ プロファイリングをイネーブルにする前に、 memory profile text コマンドを使用してメモリ テキストの範囲をプロファイルに設定する必要があります。

clear memory profile コマンドを入力するまで、メモリの一部はプロファイリング システムにより保持されます。 show memory status コマンドの出力を参照してください。

（注） メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。

次の例では、メモリ プロファイリングをイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

テキスト範囲が小さい場合、通常、「4」の精度で命令へのコールをトレースします。テキスト範囲が大きい場合、通常、最初のパスは粗精度で十分ですが、次のパスで範囲がより小さい領域セットに絞り込まれる可能性があります。

memory profile text コマンドにテキスト範囲を入力したら、 memory profile enable コマンドを入力して、メモリ プロファイリングを開始する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。

（注） メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。

例

次の例は、プロファイルにメモリのテキスト範囲を 4 の精度で設定する方法を示しています。

次の例では、テキスト範囲のコンフィギュレーションおよびメモリ プロファイリングのステータス（OFF）を表示します。

（注） メモリ プロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドで指定される長さは、GTP ヘッダーと残りのメッセージ部分（UDP パケットのペイロード）を合わせたものです。

例

次の例では、20 ～ 300 バイトの長さのメッセージを許可します。

 

関連コマンド

 

シンタックスの説明