The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。 あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アクティブ装置およびスタンバイ装置の仮想 MAC アドレスを指定するには、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用します。デフォルトの仮想 MAC アドレスに戻すには、このコマンドの no 形式を使用します。
mac address phy_if [ active_mac ] [ standby_mac ]
no mac address phy_if [ active_mac ] [ standby_mac ]
アクティブ装置の仮想 MAC アドレス。MAC アドレスは、h.h.h 形式で入力する必要があります。h は、16 ビットの 16 進数値です。 |
|
スタンバイ装置の仮想 MAC アドレス。MAC アドレスは、h.h.h 形式で入力する必要があります。h は、16 ビットの 16 進数値です。 |
• アクティブ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01
• スタンバイ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
フェールオーバー グループに仮想 MAC アドレスが定義されていない場合、デフォルト値が使用されます。
同じネットワーク上に Active/Active フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上の MAC アドレスを重複させないためには、各物理インターフェイスに必ずアクティブとスタンバイの仮想 MAC アドレスを割り当てるようにしてください。
次の例(抜粋)は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。
|
|
---|---|
MAC アドレス テーブル エントリのタイムアウトを設定するには、グローバル コンフィギュレーション モードで mac-address-table aging-time コマンドを使用します。5 分のデフォルト値に戻すには、このコマンドの no 形式を使用します。
mac-address-table aging-time timeout_value
no mac-address-table aging-time
タイムアウトになるまで MAC アドレス テーブルで MAC アドレス エントリを維持する時間は、5 ~ 720 分(12 時間)です。デフォルトは 5 分です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、MAC アドレスのタイムアウトを 10 分に設定します。
|
|
---|---|
MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。通常、MAC アドレスは、特定の MAC アドレスからトラフィックがインターフェイスに届いたときに、MAC アドレス テーブルに動的に追加されます。MAC アドレス テーブルには、必要に応じてスタティック MAC アドレスを追加できます。スタティック エントリを追加する 1 つの利点は、MAC スプーフィングから保護できることです。スタティック エントリと同じ MAC アドレスを持つクライアントが、スタティック エントリに一致しないインターフェイスにトラフィックを送信しようとすると、セキュリティ アプライアンスはトラフィックをドロップし、システム メッセージを生成します。
mac-address-table static interface_name mac_address
no mac-address-table static interface_name mac_address
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。
|
|
---|---|
インターフェイスの MAC アドレス ラーニングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-learn コマンドを使用します。MAC アドレス ラーニングを再度イネーブルにするには、このコマンドの no 形式を使用します。デフォルトでは、受信するトラフィックの MAC アドレスを各インターフェイスが自動的にラーニングし、セキュリティ アプライアンスが対応するエントリを MAC アドレス テーブルに追加します。必要に応じて、MAC アドレス ラーニングをディセーブルにできます。
mac-learn interface_name disable
no mac-learn interface_name disable
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、外部インターフェイスの MAC ラーニングをディセーブルにします。
|
|
---|---|
MAC ベースの認証で使用する MAC アドレスのリストを指定するには、グローバル コンフィギュレーション モードで mac-list コマンドを使用します。MAC アドレスのリストの使用をディセーブルにするには、このコマンドの no 形式を使用します。 mac-list コマンドは、先頭一致検索を使用して MAC アドレスのリストを追加します。
mac-list id deny | permit mac macmask
no mac-list id deny | permit mac macmask
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
MAC アドレスのセットをグループ化するには、同じ ID の値を使用して必要な数だけ mac-list コマンドを入力します。 mac-list コマンドを使用して MAC アクセスリストの番号を設定してから、 aaa mac-exempt コマンドを使用します。
AAA 免除だけが提供されます。認証が免除される MAC アドレスは、自動的に認可が免除されます。 mac-list で他のタイプの AAA はサポートされていません。
次の例は、MAC アドレス リストを設定する方法を示しています。
セキュリティ アプライアンスの内部管理インターフェイスへのアクセスをイネーブルにするには、グローバル コンフィギュレーション モードで management-access コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます(インターフェイス名は nameif コマンドによって定義され、 show interface コマンドの出力で引用符 " " に囲まれて表示されます)。
management-access コマンドは IPSec VPN トンネルを経由する場合だけ、次の内容をサポートします。また、1 つの管理インターフェイスだけをグローバルに定義できます。
次の例は、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定する方法を示しています。
|
|
---|---|
管理トラフィックだけを受け入れるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで management-only コマンドを使用します。トラフィックの通過を許可するには、このコマンドの no 形式を使用します。
ASA 5500 シリーズ適応型セキュリティ アプライアンスの Management 0/0 インターフェイスは、デフォルトで管理専用モードに設定されています。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA 適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。
(注) 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。
次の例では、管理インターフェイスの管理専用モードをディセーブルにします。
次の例では、サブインターフェイスの管理専用モードをイネーブルにします。
|
|
---|---|
FTP サーバ応答をクライアントから見えないようにするには、FTP マップ コンフィギュレーション モードで mask-syst-reply コマンドを使用します(このモードは、 ftp-map コマンドを使用してアクセスできます)。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mask-syst-reply コマンドは、クライアントから FTP サーバ システムを保護するため、厳密な FTP 検査と併せて使用します。このコマンドをイネーブルにすると、 syst コマンドに応答するサーバは一連の X に置き換えられます。
次の例では、セキュリティ アプライアンスが syst コマンドに応答する FTP サーバを X に置き換えます。
|
|
---|---|
アクセスリストを使用してクラスマップ内のトラフィックを指定するには、クラスマップ コンフィギュレーション モードで match access-list コマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。
match access-list { acl-id...}
no match access-list { acl-id...}
一致基準として使用する ACL の名前を指定します。パケットが ACL のエントリに一致しない場合、照合の結果は no-match となります。パケットが ACL のエントリに一致し、許可エントリである場合、照合の結果は match となります。それ以外では、パケットが拒否 ACL エントリに一致する場合、照合の結果は no-match となります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
match access-list コマンドでは、1 つまたは複数のアクセスリストを指定して特定のトラフィック タイプを指定できます。アクセス コントロール エントリの permit 文はトラフィックを包含し、 deny 文はトラフィック クラスマップからトラフィックを除外します。
次の例は、クラスマップおよび match access-list コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
クラスマップ内のすべてのトラフィックを含めるには、クラスマップ コンフィギュレーション モードで match any コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
デフォルトのクラスマップ(class-default)で match any コマンドを使用すると、すべてのパケットが一致します。
次の例は、クラスマップおよび match any コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
クラスマップ内の inspect コマンドに対するデフォルトのトラフィックを指定するには、クラスマップ コンフィギュレーション モードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match default-inspection-traffic
no match default-inspection-traffic
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルト トラフィックを一致させることができます。 match default-inspection-traffic コマンドはその他の match コマンドの 1 つと併せて使用できます。このコマンドは、通常、 permit ip src-ip dst-ip 形式のアクセスリストです。
2 番目の match コマンドを match default-inspection-traffic コマンドと組み合せる際、
match default-inspection-traffic コマンドを使用してプロトコルとポート情報を指定し、2 番目の match コマンドを使用して他のすべての情報(IP アドレスなど)を指定するという規則があります。2 番目の match コマンドで指定したプロトコルまたはポート情報は、 inspect コマンドでは無視されます。
たとえば、次の例で指定するポート 65535 は無視されます。
|
|
|
|
次の例は、クラスマップおよび match default-inspection-traffic コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
クラスマップ内の IETF 定義の DSCP 値(IP ヘッダー内)を指定するには、クラスマップ コンフィギュレーション モードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
match dscp コマンドを使用すると、IP ヘッダー内の IETF 定義の DSCP 値を一致させることができます。
次の例は、クラスマップおよび match dscp コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
クラスマップ内のフロー IP の宛先アドレスを指定するには、クラスマップ コンフィギュレーション モードで match flow ip destination-address コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match flow ip destination-address
no match flow ip destination-address
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
トンネルグループでフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address と match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 match flow ip destination-address コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group を使用します。
次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。
|
|
---|---|
指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを配布するには、ルートマップ コンフィギュレーション モードで match interface コマンドを使用します。一致インターフェイスのエントリを削除するには、このコマンドの no 形式を使用します。
match interface interface-name...
no match interface interface-name...
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド シンタックスの省略形(...)は、コマンド入力で interface-type interface-number 引数に複数の値を含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。 match コマンドで指定したインターフェイスが複数ある場合、 no match interface interface-name を使用して 1 つのインターフェイスを削除できます。
ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。
次の例は、外部にネクストホップを持つルートを配布する方法を示しています。
|
|
---|---|
指定したいずれかのアクセスリストによって渡されたルート アドレスまたは一致パケットを持つ、すべてのルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no match ip address { acl... }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
|
|
---|---|
指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip next-hop コマンドを使用します。ネクストホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip next-hop { acl... } | prefix-list prefix_list
no match ip next-hop { acl... } | prefix-list prefix_list
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド シンタックスの省略形(...)は、コマンド入力で acl 引数に複数の値を含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。
ルートマップを通じてルートを渡す場合、ルートマップはいくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。
次の例は、acl_dmz1 または acl_dmz2 のアクセスリストによって渡されたネクストホップ ルータ アドレスを持つルートを配布する方法を示しています。
|
|
---|---|
ルータによってアドバタイジングされ、ACL で指定されたアドレスのサーバにアクセスするルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip route-source コマンドを使用します。ネクストホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip route-source { acl... } | prefix-list prefix_list
no match ip route-source { acl... }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド シンタックスの省略形(...)は、コマンド入力で access-list-name 引数に複数の値を含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。
ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。ルートのネクストホップおよび送信元ルータのアドレスは、状況によって異なります。
次の例は、ルータによってアドバタイジングされ、acl_dmz1 および acl_dmz2 の ACL で指定されたアドレスのサーバにアクセスするルートを配布する方法を示しています。
|
|
---|---|
指定したメトリックを持つルートを再配布するには、ルートマップ コンフィギュレーション モードで match metric コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
ルート メトリック(5 つの部分からなる IGRP のメトリックにすることができます)。有効値は 0 ~ 4294967295 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。また、 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。
ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。
次の例は、メトリック 5 を持つルートを再配布する方法を示しています。
|
|
---|---|
クラスマップ内の特定のポート番号を指定するには、クラスマップ コンフィギュレーション モードで match port コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match port { tcp | udp } { eq eq_id | range beg_id end_id }
no match port { tcp | udp } { eq eq_id | range beg_id end_id }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
次の例は、クラスマップおよび match port コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
クラスマップ内の優先順位値を指定するには、クラスマップ コンフィギュレーション モードで match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
IP ヘッダー内の TOS バイトで表現された値を指定するには、 match precedence コマンドを使用します。
次の例は、クラスマップおよび match precedence コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
指定したタイプのルートを再配布するには、ルートマップ コンフィギュレーション モードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。
match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
no match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。
match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。
ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。
OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートにだけ一致し、 external type-2 キーワードはタイプ 2 外部ルートにだけ一致します。
|
|
---|---|
クラスマップ内の偶数ポートの UDP ポート範囲を指定するには、クラスマップ コンフィギュレーション モードで match rtp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no match rtp starting_port range
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
RTP ポート( starting_port ~ starting_port に range を加えた範囲の UDP の偶数ポート番号)に一致させるには、 match rtp コマンドを使用します。
次の例は、クラスマップおよび match rtp コマンドを使用して、トラフィック クラスを定義する方法を示しています。
|
|
---|---|
すでに定義されているトンネルグループに属するクラスマップ内のトラフィックに一致させるには、クラスマップ コンフィギュレーション モードで match tunnel-group コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address と match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 police コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group を match flow ip destination-address と併せて使用します。
次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。
|
|
---|---|
サーバ グループ内の所定のサーバが無効になるまでに、許可される失敗数を指定するには、AAA サーバ グループ モードで max-failed-attempts コマンドを使用します。この指定を削除し、デフォルト値に戻すには、このコマンドの no 形式を使用します。
1 ~ 5 の範囲の整数。前の aaa-server コマンドで指定したサーバ グループ内の所定のサーバで許可される失敗数を指定します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 4
|
|
AAA サーバ グループ コンフィギュレーション モードに入って、グループ内のすべてのホストに共通する、グループ固有の AAA パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
HTTP ヘッダー長に基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-header-length コマンドを使用します(このモードは、 http-map コマンドを使用してアクセスできます)。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
no max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
max-header-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の HTTP ヘッダーを持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリをオプションで作成するようにするには、 action キーワードを使用します。
次の例では、HTTP 要求を 100 バイト以下の HTTP ヘッダーを持つものに限定します。ヘッダーが大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。
|
|
---|---|
HTTP 要求メッセージの URI 長に基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-uri-length コマンドを使用します(このモードは、 http-map コマンドを使用してアクセスできます)。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-uri-length bytes action { allow | reset | drop } [ log ]
no max-uri-length bytes action { allow | reset | drop } [ log ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
max-uri-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の URI を持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリを作成するようにするには、 action キーワードを使用します。
次の例では、HTTP 要求を 100 バイト以下の URI を持つものに限定します。URI が大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。
|
|
---|---|
IMSI プレフィックス フィルタリングのモバイル国番号とモバイル ネットワーク番号を指定するには、GTP マップ コンフィギュレーション モードで mcc コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
mcc country_code mnc network_code
no mcc country_code mnc network_code
モバイル国番号を指定する 0(ゼロ)以外の 3 桁の値。1 桁または 2 桁のエントリは先頭に 0 が追加され、3 桁の値に生成されます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IMSI プレフィックス フィルタリング用に使用します。受信されたパケットの IMSI 内の MCC と MNC が、このコマンドで設定した MCC/MNC と比較され、一致しない場合にドロップされます。
IMSI プレフィックス フィルタリングをイネーブルにするには、このコマンドを使用する必要があります。許可された MCC と MNC の組み合せを指定するのに、複数のインスタンスを設定できます。デフォルトでは、セキュリティ アプライアンスが MNC と MCC の組み合せの有効性をチェックしないので、設定された組み合せの有効性を確認する必要があります。MCC と MNC 番号の詳細については、ITU E.212 の推奨事項である『 Identification Plan for Land Mobile Stations 』を参照してください。
次の例では、111 の MCC と 222 の MNC で IMSI プレフィックス フィルタリングのトラフィックを指定します。
|
|
---|---|
メディア タイプを銅製またはファイバ ギガビット イーサネットに設定するには、インターフェイス コンフィギュレーション モードで media-type コマンドを使用します。ファイバ SFP コネクタは、ASA 5500 シリーズ適応型セキュリティ アプライアンスの 4GE SSM で使用できます。メディア タイプの設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
sfp 設定は固定速度(1,000 Mbps)を使用するので、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされていません。
|
|
---|---|
メモリ問題を分離できるように、コール トレース用のプログラム メモリ(発信者 PC)の特定の範囲を設定するには、特権 EXEC モードで memory caller-address コマンドを使用します。発信者 PC は、メモリ割り当てプリミティブを呼び出したプログラムのアドレスです。アドレスの範囲を削除するには、このコマンドの no 形式を使用します。
memory caller-address startPC endPC
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
メモリ問題を特定のメモリ ブロックに分離するには、 memory caller-address コマンドを使用します。
場合によっては、メモリ割り当てプリミティブの実際の発信者 PC が、プログラムの多くの場所で使用されている既知のライブラリ機能になります。プログラムの個々の場所を分離するには、ライブラリ機能の開始および終了プログラム アドレスを設定して、ライブラリ機能のプログラムの発信者アドレスが記録されるようにします。
(注) 発信者アドレスのトレースをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。
次の例は、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドの出力を示しています。
|
|
---|---|
メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにするには、特権EXEC モードで memory profile enable コマンドを使用します。メモリ プロファイリングをディセーブルにするには、このコマンドの no 形式を使用します。
memory profile enable peak peak_value
no memory profile enable peak peak_value
メモリ使用状況のスナップショットがピーク使用状況のバッファに保存される、メモリ使用状況のしきい値を指定します。このバッファの内容は後で分析して、ピーク時のシステム メモリの必要量を判別できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
メモリ プロファイリングをイネーブルにする前に、 memory profile text コマンドを使用してメモリ テキストの範囲をプロファイルに設定する必要があります。
clear memory profile コマンドを入力するまで、メモリの一部はプロファイリング システムにより保持されます。 show memory status コマンドの出力を参照してください。
(注) メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。
|
|
---|---|
プロファイルにメモリのプログラム テキスト範囲を設定するには、特権 EXEC モードで memory profile text コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
memory profile text { startPC endPC | all resolution }
no memory profile text { startPC endPC | all resolution }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
テキスト範囲が小さい場合、通常、「4」の精度で命令へのコールをトレースします。テキスト範囲が大きい場合、通常、最初のパスは粗精度で十分ですが、次のパスで範囲がより小さい領域セットに絞り込まれる可能性があります。
memory profile text コマンドにテキスト範囲を入力したら、 memory profile enable コマンドを入力して、メモリ プロファイリングを開始する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。
(注) メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。
次の例は、プロファイルにメモリのテキスト範囲を 4 の精度で設定する方法を示しています。
次の例では、テキスト範囲のコンフィギュレーションおよびメモリ プロファイリングのステータス(OFF)を表示します。
(注) メモリ プロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。
|
|
---|---|
設定した最大および最小の長さを満たしていない GTP パケットをフィルタリングするには、GTP マップ コンフィギュレーション モードで message-length コマンドを使用します。このモードは、 gtp-map コマンドを使用してアクセスします。このコマンドを削除するには、 no 形式を使用します。
message-length min min_bytes max max_bytes
no message-length min min_bytes max max_bytes
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドで指定される長さは、GTP ヘッダーと残りのメッセージ部分(UDP パケットのペイロード)を合わせたものです。
次の例では、20 ~ 300 バイトの長さのメッセージを許可します。
|
|
---|---|
MGCP 検査のパラメータを定義するときに使用する、特定のマップを指定するには、グローバル コンフィギュレーション モードで mgcp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
MGCP 検査のパラメータを定義するときに使用する、特定のマップを指定するには、mgcp-map コマンドを使用します。このコマンドを入力すると、システムがコンフィギュレーション モードに入って、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。MGCP マップを定義したら、inspect mgcp コマンドを使用してマップをイネーブルにします。モジュラ ポリシー フレームワークを使用して、定義したトラフィック クラスに inspect コマンドを適用し、特定のインターフェイスにポリシーを適用します。MGCP マップ コンフィギュレーション モードで使用できるコマンドは、次のとおりです。
• call-agent :コール エージェントのグループを指定します。
• command-queue :キューに入れることができる MGCP コマンドの最大数を指定します。
次の例は、mgcp-map コマンドを使用して、MGCP 検査のパラメータを定義するときに使用する特定のマップ(mgcp-policy)を指定する方法を示しています。
次の例は、MGCP トラフィックを識別し、MGCP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
次の例のように、MGCP 検査エンジンをイネーブルにします。ここでは、デフォルトのポート(2427)の MGCP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスの MGCP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
|
|
---|---|
MGCP メディア接続のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP メディア接続が終了します。 |
|
MGCP PAT xlate のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP PAT xlate が削除されます。 |
新しいディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。
mkdir [/noconfirm] [disk0: | disk1: | flash:] path
(オプション)内部フラッシュ メモリを指定し、続けてコロン(:)を入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、「backup」という新しいディレクトリを作成する方法を示しています。
|
|
---|---|
セキュリティ コンテキスト モードをシングルまたはマルチに設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。1 つのセキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置のように動作します。複数のコンテキストは、複数の独立型アプライアンスを持つことに相当します。シングルモードでは、セキュリティ アプライアンスは、1 つのコンフィギュレーションを保有し、1 つの装置のように動作します。マルチモードでは、独自のコンフィギュレーションを持つ複数のコンテキストを作成できます。作成できるコンテキスト数は、ライセンスに応じて異なります。
mode { single | multiple } [ noconfirm ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
マルチ コンテキスト モードでは、セキュリティ アプライアンスに、セキュリティ ポリシー、インターフェイス、および独立型装置で設定できるほとんどのオプションを指定するコンテキストごとのコンフィギュレーションが含まれます(コンテキスト コンフィギュレーションの場所の指定については、 config-url コマンドを参照してください)。システム管理者は、システム コンフィギュレーションにコンテキストを設定することによって、コンテキストを追加したり管理したりします。これは、シングルモードの場合のコンフィギュレーションと同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、セキュリティ アプライアンスの基本的な設定を指定します。システム コンフィギュレーションには、システム自体のネットワーク インターフェイスまたはネットワークの設定は含まれません。ネットワーク リソースにアクセスする必要がある場合(サーバからコンテキストをダウンロードする場合など)、システム コンフィギュレーションは、管理コンテキストとして指定されているコンテキストの 1 つを使用します。
mode コマンドを使用してコンテキスト モードを変更する場合、リブートするためのプロンプトが表示されます。
コンテキスト モード(シングルまたはマルチ)は、リブート時も保持されますが、コンフィギュレーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要がある場合は、 mode コマンドを使用して、新しい装置のモードが一致するように設定してください。
シングルモードからマルチモードに変換すると、セキュリティ アプライアンスが実行コンフィギュレーションを2 つのファイルに変換します。システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg(内部フラッシュ メモリのルート ディレクトリ内)です。元の実行コンフィギュレーションは、old_running.cfg(内部フラッシュ メモリのルート ディレクトリ内)として保存されます。元のスタートアップ コンフィギュレーションは保存されません。セキュリティ アプライアンスは、システム コンフィギュレーションに「admin」という名前で管理コンテキストのエントリを自動的に追加します。
マルチモードからシングルモードに変換する場合、必要に応じて、最初にスタートアップ コンフィギュレーション全体(可能な場合)をセキュリティ アプライアンスにコピーすることができます。マルチモードから継承されたシステム コンフィギュレーションは、シングルモードの装置では完全に機能するコンフィギュレーションではありません。
マルチ コンテキスト モードでは、すべての機能はサポートされていません。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
|
|
---|---|
特定のインターフェイスでヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイス モニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトではディセーブルです。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
セキュリティ アプライアンスで監視できるインターフェイスの数は 250 です。hello メッセージは、各インターフェイスのポーリング間隔の間にセキュリティ アプライアンスのフェールオーバー ペア間で交換されます。フェールオーバー インターフェイスのポーリング間隔は、3 ~ 15 秒です。たとえば、ポーリング間隔が 5 秒に設定されている場合は、hello メッセージが 5 回続けて(25 秒)そのインターフェイスで聴取されないと、インターフェイスでテストが開始します。
監視対象のフェールオーバー インターフェイスのステータスは、次のいずれかになります。
• Unknown:初期ステータス。また、このステータスは、ステータスを判別できないことを意味します。
• Normal:インターフェイスがトラフィックを受信しています。
• Testing:5 ポーリング間隔の間、hello メッセージがインターフェイスで聴取されていません。
• Link Down:インターフェイスまたは VLAN が管理上ダウンしています。
• No Link:インターフェイスの物理リンクがダウンしています。
• Failed:インターフェイスでトラフィックが受信されておらず、ピア インターフェイスでもトラフィックが聴取されていません。
次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにします。
|
|
---|---|
ファイルの内容を表示するには、 more コマンドを使用します。
more { /ascii | /binary| /ebcdic | disk0: | disk1: | flash: | ftp: | http: | https: | system: | tftp: }filename
(オプション)内部フラッシュ メモリを指定し、続けてコロン(:)を入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスを入力するためのプロンプトを表示します。
次の例は、「test.cfg」という名前のローカル ファイルの内容を表示する方法を示しています。
|
|
---|---|
スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。
mroute src smask in_if_name [ dense output_if_name ] [ distance ]
no mroute src smask in_if_name [ dense output_if_name ] [ distance ]
dense output_if_name キーワードと引数のペアは、SMR スタブ マルチキャスト ルーティング(igmp フォワーディング)でのみサポートされています。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、マルチキャスト送信元の場所をスタティックに設定できます。セキュリティ アプライアンスは、特定の送信元にユニキャスト パケットを送信するときと同じインターフェイス上で、マルチキャスト パケットを受信すると予想します。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合など、場合によっては、マルチキャスト パケットがユニキャスト パケットとは異なるパスを通ることがあります。
スタティック マルチキャスト ルートは、アドバタイジングまたは再配布されません。
マルチキャスト ルーティング テーブルの内容を表示するには、 show mroute コマンドを使用します。実行コンフィギュレーションの mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。
次の例は、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する方法を示しています。
|
|
---|---|
インターフェイスの最大伝送ユニットを指定するには、グローバル コンフィギュレーション モードで mtu コマンドを使用します。イーサネット インターフェイスの MTU ブロック サイズを 1,500 にリセットするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mtu コマンドを使用すると、接続で送信されるデータのサイズを設定できます。MTU 値より大きなデータは、送信前にフラグメント化されます。
セキュリティ アプライアンスは RFC 1191 で定義されている IP Path MTU Discovery をサポートしています。IP Path MTU Discovery によって、ホストは、パスに沿ったさまざまなリンクの最大許容 MTU サイズでの相違を動的に検出して対応できます。パケットがインターフェイスに設定された MTU よりも大きいため、セキュリティ アプライアンスがデータグラムを転送できないことがあります。ただし、その場合は「don't fragment」(DF)ビットが設定されます。ネットワーク ソフトウェアは、発信元ホストに対してこの問題を警告しながらメッセージを送信します。ホスト側では、宛先用にパケットをフラグメント化して、パスに沿ったリンクすべての最小パケット サイズに合せる必要があります。
イーサネット インターフェイスの場合、デフォルトの MTU は 1 ブロック 1,500 バイトで、これは最大値でもあります。これはほとんどのアプリケーションで十分な値ですが、ネットワークの条件で必要とされる場合はこれより低い数値を選択できます。
Layer 2 Tunneling Protocol(L2TP)を使用している場合は、MTU サイズを 1,380 に設定することを推奨します。このサイズは、L2TP ヘッダー長と IPSec ヘッダー長に相当するためです。
次の例は、インターフェイスの MTU を指定する方法を示しています。
|
|
---|---|
すべてのインターフェイスの設定済み最大伝送ユニット(maximum transmission unit; MTU)値を消去します。 |
|
セキュリティ アプライアンスの IP マルチキャスト ルーティングをイネーブルにするには、グローバル コンフィギュレーション モードで multicast-routing コマンドを使用します。IP マルチキャスト ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM と IGMP をイネーブルにします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
multicast-routing コマンドは、すべてのインターフェイスの PIM と IGMP をイネーブルにします。
(注) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。
セキュリティ アプライアンスが PIM RP の場合は、セキュリティ アプライアンスの未変換の外部アドレスを、RP アドレスとして使用します。
マルチキャスト ルーティング テーブルのエントリ数は、システムの RAM 量によって制限されます。 表 6-1 は、セキュリティ アプライアンスの RAM 量に基づいた特定のマルチキャスト テーブルの最大エントリ数を示しています。これらの制限値に達すると、新しいエントリはすべて廃棄されます。
|
|
|
|
---|---|---|---|
|
|||
|
|||
|
次の例では、セキュリティ アプライアンスの IP マルチキャスト ルーティングをイネーブルにします。
|
|
---|---|
名前を IP アドレスに関連付けするには、グローバル コンフィギュレーション モードで name コマンドを使用します。コンフィギュレーションから名前を削除することなく、テキスト名の使用をディセーブルにするには、このコマンドの no 形式を使用します。
IP アドレスに割り当てられる名前を指定します。a ~ z、A ~ Z、0 ~ 9、ダッシュ、およびアンダースコアの文字を使用します。 name は、63 文字以下にする必要があります。また、 name の先頭は数字にすることはできません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IP アドレスとの名前の関連付けをイネーブルにするには、 names コマンドを使用します。IP アドレスに関連付けることができるのは、1 つの名前だけです。
まず names コマンドを使用してから、 name コマンドを使用する必要があります。name コマンドは、names コマンドの直後、かつ write memory コマンドの前に使用してください。
name コマンドを使用すると、ホストをテキスト名で識別し、テキスト文字列を IP アドレスにマッピングできます。 no name コマンドを使用すると、テキスト名を使用できないようにできますが、コンフィギュレーションから名前は削除しません。名前のリストをコンフィギュレーションから消去するには、 clear configure name コマンドを使用します。
name 値の表示をディセーブルにするには、 no names コマンドを使用します。
name コマンドと names コマンドは、両方ともコンフィギュレーションに保存されます。
name コマンドでは、ネットワーク マスクに名前を割り当てることはサポートされていません。たとえば、次のコマンドは拒否されます。
(注) マスクを必要とするどのコマンドも、受け入れたネットワーク マスクとして名前を処理できません。
次の例は、 names コマンドによって、 name コマンドの使用をイネーブルにする方法を示しています。 name コマンドは、192.168.42.3 への参照の代わりに sa_inside を使用し、209.165.201.3 の代わりに sa_outside を使用できるようにします。IP アドレスをネットワーク インターフェイスに割り当てる際に、 ip address コマンドでこれらの名前を使用できます。 no names コマンドは、 name コマンド値の表示をディセーブルにします。その後で names コマンドを再度使用すると、 name コマンド値の表示が元に戻ります。
|
|
---|---|
インターフェイスの名前を付けるには、インターフェイス コンフィギュレーション モードで nameif コマンドを使用します。名前を削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスのすべてのコンフィギュレーション コマンドで、インターフェイス タイプと ID(gigabitethernet0/1 など)ではなくインターフェイス名が使用されるので、トラフィックがインターフェイスを通過できるようにするにはインターフェイス名が必要です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
サブインターフェイスの場合、 vlan コマンドを使用して VLAN を割り当ててから、 nameif コマンドを入力する必要があります。
新しい値でこのコマンドを再入力することによって、名前を変更できます。 no 形式のコマンドは入力しないでください。このコマンドを入力すると、該当する名前を指しているすべてのコマンドが削除されます。
次の例では、2 つのインターフェイスの名前を「inside」と「outside」に設定します。
|
|
---|---|
name コマンドで設定可能な、IP アドレスから名前への変換をイネーブルにするには、グローバル コンフィギュレーション モードで names コマンドを使用します。アドレスから名前への変換をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
name コマンドで設定した IP アドレスとの名前の関連付けをイネーブルにするには、 names コマンドを使用します。 name または names コマンドを入力する順番は、重要ではありません。
次の例は、名前と IP アドレスとの関連付けをイネーブルにする方法を示してします。
|
|
---|---|
電子メール、VPN ユーザ名、およびパスワード間のデリミタとして文字を指定するには、該当する電子メール プロキシ モードで name-separator コマンドを使用します。デフォルトの「:」に戻すには、このコマンドの no バージョンを使用します。
(オプション)電子メール、VPN ユーザ名、およびパスワード間を区切る文字。使用できるのは、アットマーク(@)、パイプ(|)、コロン(:)、番号記号(#)、カンマ(,)、およびセミコロン(;)です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、POP3S の名前セパレータとしてハッシュ(#)を設定する方法を示しています。
hostname(config)#
pop3s
|
|
---|---|
別のインターフェイスのマッピング アドレスに変換される、1 つのインターフェイスのアドレスを指定するには、グローバル コンフィギュレーション モードで nat コマンドを使用します。このコマンドは、ダイナミック NAT または PAT を設定します。ダイナミック NAT または PAT では、アドレスをマッピング アドレスのいずれかのプールに変換します。 nat コマンドを削除するには、このコマンドの no 形式を使用します。
nat ( real_ifc) nat_id real_ip [ mask [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
no nat ( real_ifc) nat_id real_ip [ mask [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
nat ( real_ifc) nat_id access-list access_list_name [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
no nat ( real_ifc) nat_id access-list access_list_name [ dns ] [ outside] [[ tcp ] tcp_max_conns [ emb_limit ] [ norandomseq ]]] [ udp udp_max_conns ]
tcp_max_conns 、 emb_limit 、および udp_max_conns のデフォルト値は 0(無制限)です。この値は、最大使用可能値です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ダイナミック NAT と PAT の場合、最初に nat コマンドを設定し、変換する所定のインターフェイスの実際のアドレスを指定します。次に、別の global コマンドを設定して、別のインターフェイスから出るときのマッピング アドレスを指定します(PAT の場合、このアドレスは 1 つです)。各 nat コマンドは、各コマンドに割り当てた番号である NAT ID を比較することによって、 global コマンドとマッチングを行います。
セキュリティ アプライアンスは、NAT 規則がトラフィックに一致する場合に、アドレスを変換します。NAT 規則が一致しない場合、パケットの処理が続行します。例外は、 nat-control コマンドを使用して NAT コントロールをイネーブルにする場合です。NAT コントロールでは、セキュリティの高いインターフェイス(内部)からセキュリティの低いインターフェイス(外部)に移動するパケットが NAT 規則に一致する必要があります。一致していないと、パケットの処理が停止します。NAT コントロールをイネーブルにした場合でも、NAT は同一セキュリティ レベルのインターフェイスでは必要ありません。必要に応じて、オプションで NAT を設定できます。
ダイナミック NAT は、宛先ネットワークでルーティング可能なマッピング アドレスのプールに実際のアドレスのグループを変換します。マッピング プールは、実際のグループより少ないアドレスで構成されます。変換するホストが宛先ネットワークにアクセスするときに、セキュリティ アプライアンスがマッピング プールの IP アドレスをホストに割り当てます。実際のホストが接続を開始する場合にのみ、変換が追加されます。変換が有効なのは接続されている間だけなので、所定のユーザが変換のタイムアウト後も同じ IP アドレスを維持することはありません( timeout xlate コマンドを参照)。そのため、アクセスリストによって接続が許可されている場合でも、ダイナミック NAT(または PAT)を使用するホストに、宛先ネットワーク上のユーザから確実に接続を開始できません。また、実際のホスト アドレスに直接接続しようとすると、セキュリティ アプライアンスが拒否します。ホストへの確実なアクセスについては、 static コマンドを参照してください。
• マッピング プール内のアドレスが実際のグループより少ない場合、トラフィック量が予想を超えるとアドレスが不足する可能性があります。
PAT は単一アドレスのポートを使用して 64,000 を超える変換を実行できるので、この現象が頻繁に発生する場合は、PAT を使用してください。
• マッピング プールで大量のルーティング可能なアドレスを使用しなければなりません。インターネットなどの登録アドレスが宛先ネットワークに必要な場合は、使用可能なアドレスが不足する可能性があります。
ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、GRE バージョン 0 のように、オーバーロードするポートを持たない IP プロトコルでは、PAT は動作しません。一部のマルチメディア アプリケーションのように、あるポートでデータ ストリームを流して別のポートで制御パスを提供するオープンスタンダードではない一部のアプリケーションでも、PAT は動作しません。
PAT では、複数の実際のアドレスを 1 つのマッピング IP アドレスに変換します。具体的には、セキュリティ アプライアンスが実際のアドレスと送信元ポート(実際のソケット)をマッピング アドレスと 1024 以上の一意なポート(マッピング ソケット)に変換します。送信元ポートはそれぞれの接続で異なるので、各接続には別個の変換が必要になります。たとえば、10.1.1.1:1025 には、10.1.1.1:1026 とは異なる変換が必要です。
接続の期限が切れると、ポートの変換も 30 秒の非アクティビティの後、期限切れになります。タイムアウトは、設定できません。
PAT で使用できるマッピング アドレスは 1 つなので、ルーティング可能なアドレスの節約になります。セキュリティ アプライアンスのインターフェイス IP アドレスを PAT アドレスとして使用することもできます。PAT は、データ ストリームが制御パスと異なる一部のマルチメディア アプリケーションでは動作しません。
(注) 変換中であれば、リモート ホストは、アクセスリストで許可されているかぎり変換対象のホストへの接続を開始できます。アドレスは(実際のアドレスとマッピング アドレスの両方とも)予測不能なので、ホストに接続できる可能性は非常に少なくなります。万一、接続が成功した場合は、アクセスリストのセキュリティに頼ることができます。
NAT コントロールをイネーブルにする場合、内部ホストは、外部ホストにアクセスするときに NAT 規則に一致する必要があります。一部のホストで NAT を実行しない場合は、それらのホストで NAT をバイパスできます(または、NAT コントロールをディセーブルにできます)。たとえば、NAT をサポートしていないアプリケーションを使用する場合に、NAT をバイパスすることになる可能性があります。 static コマンドを使用して NAT をバイパスするか、次のいずれかのオプションを使用できます。
• アイデンティティ NAT( nat 0 コマンド):アイデンティティ NAT(ダイナミック NAT と類似)を設定する場合、特定のインターフェイスのホストの変換を制限しません。すべてのインターフェイスを通過する接続に、アイデンティティ NAT を使用する必要があります。そのため、インターフェイス A にアクセスするときに、実際のアドレスで標準変換を実行し、インターフェイス B にアクセスするときに、アイデンティティ NAT を使用するといった選択はできません。これに対して、標準ダイナミック NAT を使用した場合は、アドレスを変換する特定のインターフェイスを指定できます。アクセスリストに基づいて使用可能なすべてのネットワーク上で、アイデンティティ NAT を使用する実際のアドレスがルーティング可能でなければなりません。
アイデンティティ NAT の場合、マッピング アドレスが実際のアドレスと同じでも、(アクセスリストで許可されている場合を含めて)外部から内部へ接続を開始することはできません。この機能では、スタティック アイデンティティ NAT または NAT 除外を使用してください。
• NAT 除外( nat 0 access-list コマンド):NAT 除外を使用すると、変換対象のホストとリモート ホストの両方で接続を開始できます。アイデンティティ NAT と同様、特定のインターフェイスのホストに対する変換を制限しないでください。すべてのインターフェイスを通過する接続に NAT 除外を使用する必要があります。ただし、NAT 除外では、変換する実際のアドレスを決定するときに(ポリシー NAT と同様)、実際のアドレスと宛先アドレスを指定できるので、NAT 除外を使用すると詳細な制御が可能になります。一方、ポリシー NAT と異なり、NAT 除外ではアクセスリストのポートは考慮されません。
ポリシー NAT では、拡張アクセスリストで送信元アドレスと宛先アドレスを指定することによって、アドレス変換対象の実際のアドレスを指定できます。オプションで、送信元ポートと宛先ポートも指定できます。標準 NAT で考慮されるのは、実際のアドレスだけです。たとえば、実際のアドレスがサーバ A にアクセスするときはマッピング アドレス A に変換できますが、サーバ B にアクセスするときにはマッピング アドレス B に変換できます。
セカンダリ チャネルのアプリケーション検査を必要とするアプリケーション(FTP、VoIP など)に対してポリシー NAT のポートを指定すると、セキュリティ アプライアンスは自動的にセカンダリ ポートを変換します。
(注) NAT 除外を除くすべてのタイプの NAT がポリシー NAT をサポートしています。NAT 除外では、アクセスリストを使用して実際のアドレスを指定しますが、ポートが考慮されない点がポリシー NAT と異なります。ポリシー NAT をサポートしないスタティック アイデンティティ NAT を使用すると、NAT 除外と同じ結果を得られます。
別の方法として、 set connection コマンドを使用して、最大接続数、最大初期接続数、および TCP シーケンス ランダム化を設定できます。同じトラフィックに対して両方の方法でこれらの設定値を設定した場合、セキュリティ アプライアンスは小さい方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法でディセーブルにされている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。
NAT コンフィギュレーションを変更し、新しい NAT 情報が使用される前の、既存の変換のタイムアウトを待機しない場合、 clear xlate コマンドを使用して、変換テーブルを消去できます。 ただし、変換テーブルを消去すると現在の接続がすべて切断されます。
たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力します。
ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスとともに指定するには、次のコマンドを入力します。
ルーティングの簡略化などのために、セキュリティの低い DMZ(非武装地帯)のネットワーク アドレスを変換して内部ネットワーク(10.1.1.0)と同じネットワーク上に表示するには、次のコマンドを入力します。
ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次のコマンドを入力します。
ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレスのペアを指定するには、次のコマンドを入力します。
|
|
---|---|
この装置の IP アドレスが NAT で変換される先の IP アドレスを設定するには、VPN ロードバランシング モードで nat コマンドを使用します。この NAT 変換をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。
このコマンドの no nat 形式では、オプションの ip-address 値を指定する場合、IP アドレスが実行コンフィギュレーションの既存の NAT IP アドレスに一致する必要があります。
次は、VPN ロードバランシング コマンド シーケンスの例です。NAT 変換のアドレスを 192.168.10.10 に設定する nat コマンドが含まれます。
|
|
---|---|
NAT コントロールを強制するには、グローバル コンフィギュレーション モードで nat-control コマンドを使用します。NAT 規則を設定することなく、外部ネットワークとの通信を内部ホストに許可する NAT コントロールをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
nat-control がイネーブルの場合、内部ホストが外部ネットワークと通信する前に NAT 規則を設定する必要があります。 no nat-control コマンドを使用すると、NAT 規則を設定することなく、内部ホストが外部ネットワークと通信できるようになります。NAT を実施するホストだけに、NAT 規則を設定する必要があります。
no nat-control コマンドと nat 0 (アイデンティティ NAT)コマンドの相違点は、アイデンティティ NAT では、ローカル ホストからトラフィックを開始する必要があることです。 no nat-control コマンドではこの必要がありません。また、static コマンドが内部ホストの通信を許可する必要がありません。
NAT コントロールをディセーブルにすることは、NAT 規則を設定することなく、同一セキュリティ レベルの 2 つのインターフェイス間の通信を許可する、同一セキュリティ レベルの通信機能と類似しています。唯一異なる点は、NAT コントロール機能はインターフェイスではなく、ホスト間であることです。
この機能には、新しい NAT 機能は追加されていません。既存のすべての NAT 機能が変更されていません。
次の表は、 nat-control と no nat-control の結果を比較しています。
|
|
|
---|---|---|
• |
1.outside キーワードを使用した nat コマンドがインターフェイスに関連付けられている場合、インターフェイスでダイナミック外部 NAT がイネーブルにされます。 |
セキュリティ アプライアンスを通過する各パケットでアドレス変換を実行するのに、2 つの NAT ポリシー、つまり内部 NAT ポリシーと外部 NAT ポリシーが使用されます。 nat-control コマンドがイネーブルの場合、セキュリティ アプライアンスで通信が許可されるまで、各内部アドレスに内部 NAT 規則が含まれている必要があります。さらに、インターフェイスで外部ダイナミック NAT がイネーブルの場合、セキュリティ アプライアンスで通信が許可されるまで、各外部アドレスに外部 NAT 規則が含まれている必要があります。
no nat-control コマンドが設定され、一致する NAT ポリシーがない場合、アドレスは書き直されないまま処理が続行されます。デフォルトでは、NAT コントロールはディセーブルで( no nat-control コマンド)。
注:下位互換性を維持するために、スタートアップ コンフィギュレーションが 6 以下である場合でも、 nat-control コマンドが自動的にイネーブルにされます。
次の例では、 nat-control をイネーブルにします。
|
|
---|---|
NBNS サーバを設定するには、webvpn モードで nbns-server コマンドを使用します。NBNS サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは NBNS サーバを照会し、NetBIOS 名を IP アドレスにマッピングします。リモート システム上のファイルにアクセスしたり、ファイルを共有したりするため、WebVPN には NetBIOS が必要です。
nbns-server { ipaddr or hostname } [master] [timeout timeout ] [retry retries ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
最大 3 つのサーバ エントリを設定できます。設定する最初のサーバはプライマリ サーバで、残りの 2 つのサーバは冗長構成用のバックアップになります。
次の例は、10.10.10.19 の IP アドレス、10 秒のタイムアウト値、および 8 回のリトライでマスター ブラウザである NBNS サーバを設定する方法を示しています。また、10.10.10.24 の IP アドレス、15 秒のタイムアウト値、および 8 回のリトライで NBNS WINS サーバを設定する方法を示しています。
hostname(config)#
webvpn
ポイントツーポイントの非ブロードキャスト ネットワークにスタティック ネイバーを定義するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。スタティックに定義されたネイバーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。 neighbor コマンドは、VPN トンネルを介して OSPF ルートをアドバタイジングする場合に使用します。
neighbor ip_address [ interface name ]
no neighbor ip_address [ interface name ]
(オプション) nameif コマンドで指定されるインターフェイス名。これを介して、ネイバーに到達できるようになります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
既知の各非ブロードキャスト ネットワーク ネイバーに、ネイバー エントリが 1 つ含まれている必要があります。インターフェイスのプライマリ アドレスに、ネイバー アドレスが存在する必要があります。
システムに直接接続されているインターフェイスと同じネットワーク上にネイバーがない場合、 interface オプションが指定されている必要があります。さらに、ネイバーに到達するには、スタティック ルートが作成されている必要があります。
次の例では、192.168.1.1 のアドレスの隣接ルータを定義します。
|
|
---|---|
ハードウェア クライアントのネットワーク拡張モードをイネーブルにするには、グループポリシー コンフィギュレーション モードで nem enable コマンドを使用します。NEM をディセーブルにするには、 nem disable コマンドを使用します。NEM アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
ネットワーク拡張モードにより、ハードウェア クライアントは、VPN トンネルを介したリモート プライベート ネットワークに対して、ルーティング可能なネットワークを 1 つ提示できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークからセキュリティ アプライアンスの背後にあるネットワークへのすべてのトラフィックをカプセル化します。PAT は適用されません。したがって、セキュリティ アプライアンスの背後にある装置は、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワークに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要がありますが、トンネルがアップの状態になった後は、どちらの側からもデータ交換を開始できます。
|
|
---|---|
次の例は、FirstGroup という名前のグループポリシーの NEM を設定する方法を示しています。
hostname(config)#
group-policy FirstGroup attributes
hostname(config-group-policy)
# nem enable
OSPF が稼働するインターフェイスを定義し、これらのインターフェイスのエリア ID を定義するには、ルータ コンフィギュレーション モードで network area コマンドを使用します。アドレス/ネットマスクのペアで定義したインターフェイスの OSPF ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
network addr mask area area_id
no network addr mask area area_id
OSPF アドレス範囲に関連付けられるエリアを指定します。 area_id は、IP アドレス形式または 10 進数形式のいずれかで指定できます。10 進数形式で指定した場合、有効値の範囲は 0 ~ 4294967295 です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インターフェイスで OSPF を稼働させるには、 network area コマンドでインターフェイスのアドレスが指定されている必要があります。 network area コマンドでインターフェイスの IP アドレスを指定していない場合、そのインターフェイス上で OSPF がイネーブルになりません。
次の例では、192.168.1.1 のインターフェイスで OSPF をイネーブルにし、エリア 2 に割り当てます。
|
|
---|---|
ネットワーク オブジェクト グループにネットワーク オブジェクトを追加するには、ネットワーク コンフィギュレーション モードで network-object コマンドを使用します。ネットワーク オブジェクトを削除するには、このコマンドの no 形式を使用します。
network-object host host_addr | host_name
no network-object host host_addr | host_name
network-object net_addr netmask
no network-object net_addr netmask
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ネットワーク コンフィギュレーション モードでホストまたはサブネット オブジェクトを定義するには、 object-group コマンドとともに network-object コマンドを使用します。
次の例は、ネットワーク コンフィギュレーション モードで network-object コマンドを使用して、新しいネットワーク オブジェクト グループを作成する方法を示しています。
|
|
---|---|
このサーバの NT プライマリ ドメイン コントローラ名を指定するには、AAA サーバ ホスト モードで nt-auth-domain-controller コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
nt-auth-domain-controller string
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、NT 認証の AAA サーバでのみ有効です。最初に aaa-server host コマンドを使用して、ホスト コンフィギュレーション モードを開始する必要があります。 string 変数の名前は、サーバ自体の NT エントリに一致する必要があります。
次の例では、このサーバの NT プライマリ ドメイン コントローラ名を「primary1」に設定します。
hostname(config)# aaa-server svrgrp1 protocol nt
hostname(configaaa-sesrver-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# nt-auth-domain-controller primary1
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
NTP サーバとの認証をイネーブルにするには、グローバル コンフィギュレーション モードで ntp authenticate コマンドを使用します。NTP 認証をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
認証をイネーブルにすると、セキュリティ アプライアンスは NTP サーバが正しい信頼できるキーをパケットで使用している場合にのみサーバと通信します( ntp trusted-key コマンドを参照)。セキュリティ アプライアンスは、NTP サーバと同期をとるための認証キーも使用します( ntp authentication-key コマンドを参照)。
次の例では、NTP パケットで認証キー 42 を使用しているシステムのみと同期するようにセキュリティ アプライアンスを設定します。
|
|
---|---|
NTP サーバとの認証用のキーを設定するには、グローバル コンフィギュレーション モードで ntp authentication-key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。
ntp authentication-key key_id md5 key
no ntp authentication-key key_id [ md5 key ]
1 ~ 4294967295 のキー ID を指定します。 ntp trusted-key コマンドを使用して、この ID を信頼できるキーとして指定する必要があります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、認証をイネーブルにし、信頼できるキー ID 1 と 2 を指定し、信頼できる各キー ID の認証キーを設定しています。
|
|
---|---|
セキュリティ アプライアンスの時刻を設定するために NTP サーバを指定するには、グローバル コンフィギュレーション モードで ntp server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。複数のサーバを指定できます。セキュリティ アプライアンスは、最も正確なサーバを使用します。マルチ コンテキスト モードでは、システム コンフィギュレーションにのみ NTP サーバを設定します。
ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]
no ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、2 つの NTP サーバを指定し、キー ID 1 と 2 の認証をイネーブルにします。
|
|
---|---|
信頼できるキー(NTP サーバとの認証に必要)として認証キー ID を指定するには、グローバル コンフィギュレーション モードで ntp trusted-key コマンドを使用します。信頼できるキーを削除するには、このコマンドの no 形式を使用します。複数のサーバで使用する、複数の信頼できるキーを入力できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
NTP 認証を使用するには、 ntp authenticate コマンドも設定します。サーバと同期を取るには、 ntp authentication-key コマンドを使用して、キー ID の認証キーを設定します。
次の例では、認証をイネーブルにし、信頼できるキー ID 1 と 2 を指定し、信頼できる各キー ID の認証キーを設定しています。
|
|
---|---|
コンフィギュレーションの最適化に使用できるオブジェクト グループを定義するには、グローバル コンフィギュレーション モードで object-group コマンドを使用します。コンフィギュレーションからオブジェクト グループを削除するには、このコマンドの no 形式を使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
object-group { protocol | network | icmp-type } obj_grp_id
no object-group { protocol | network | icmp-type } obj_grp_id
object-group service obj_grp_id { tcp | udp | tcp-udp }
no object-group service obj_grp_id { tcp | udp | tcp-udp }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ホスト、プロトコル、サービスなどのオブジェクトはグループ化できます。グループ化をすると、グループ名を使用して 1 つのコマンドを発行してグループ内のすべての項目に適用できます。
object-group コマンドでグループを定義してから、任意のセキュリティ アプライアンス コマンドを使用すると、そのコマンドはグループ内のすべての項目に適用されます。この機能によってコンフィギュレーション サイズをかなり削減できます。
オブジェクト グループを定義したら、次のように該当するすべてのセキュリティ アプライアンス コマンドのグループ名より先に object-group キーワードを使用する必要があります。
次の例は、オブジェクト グループを定義した後で使用する方法を示しています。
また、 access list コマンドの引数をグループ化できます。
|
|
---|---|
コマンドは階層構造にグループ化できます。したがって、あるオブジェクト グループを別のオブジェクト グループのメンバーにできます。
オブジェクト グループを使用するには、次のことを実行する必要があります。
• object-group キーワードは、すべてのコマンドでオブジェクト グループ名より先に使用する。
remotes および locals はオブジェクト グループ名の例です。
• 別のコマンドで現在使用されている場合は、オブジェクト グループを削除したり、空にしたりすることはできない。
メインの object-group コマンドが入力されると、コマンド モードは対応するモードに変わります。オブジェクト グループは新規のモードで定義されます。アクティブ モードがコマンド プロンプト形式で示されます。たとえば、コンフィギュレーション端末モードのプロンプトは次のように表示されます。
hostname はセキュリティ アプライアンスの名前です。
ただし、 object-group コマンドを入力すると、プロンプトは次のように表示されます。
hostname はセキュリティ アプライアンスの名前で、 type は object-group のタイプです。
object-group モードを閉じて object-group メイン コマンドを終了するには、 exit や quit コマンド、または access-list コマンドなどの有効な設定モード コマンドを使用します。
show running-config object-group コマンドは、定義されているすべてのオブジェクト グループを表示します。このとき、 show running-config object-group grp_id コマンドを入力した場合は grp_id ごとに、 show running-config object-group grp_type コマンドを入力した場合はグループ タイプごとに表示されます。引数を指定せずに show running-config object-group コマンドを入力すると、定義されているすべてのオブジェクト グループが表示されます。
それまでに定義した object-group コマンドのグループを削除するには、 clear configure object-group コマンドを使用します。引数を指定せずに clear configure object-group コマンドを使用すると、別のコマンドで使用されていないが、すでに定義されいるすべてのオブジェクト グループを削除できます。 grp_type 引数は、別のコマンドで使用されていないが、すでに定義されているすべてのオブジェクト グループのうち、そのグループ タイプだけを削除します。
object-group モードでは、 show running-config および clear configure コマンドを含む他のすべてのセキュリティ アプライアンス コマンドを使用できます。
オブジェクトグループ モード内のコマンドは、 show running-config object-group コマンド、 write コマンド、または config コマンドで表示または保存した場合は、字下げして表示されます。
オブジェクトグループ モード内のコマンドには、メイン コマンドと同じコマンド特権レベルがあります。
access-list コマンドで複数のオブジェクト グループを使用している場合、このコマンドで使用されるすべてのオブジェクト グループの要素は相互に連結されます。最初に 1 番目のグループ要素が 2 番目のグループ要素に連結され、1 番目と 2 番目のグループ要素が 3 番目のグループ要素に連結されるというようになります。
次の例は、 object-group icmp-type モードを使用して新しい icmp-type オブジェクト グループを作成する方法を示しています。
次の例は、 object-group network コマンドを使用して新しいネットワーク オブジェクト グループを作成する方法を示しています。
次の例は、 object-group network コマンドを使用して新しいネットワーク オブジェクト グループを作成し、既存の object-group にマッピングする方法を示しています。
次の例は、 object-group protocol モードを使用して新しいプロトコル オブジェクト グループを作成する方法を示しています。
次の例は、 object-group service モードを使用して新しいポート(サービス) オブジェクト グループを作成する方法を示しています。
次の例は、テキスト説明をオブジェクト グループに追加およびオブジェクト グループから削除する方法を示しています。
次の例は、 group-object モードを使用して、すでに定義されているオブジェクトで構成される新しいオブジェクト グループを作成する方法を示しています。
group-object コマンドを指定しない場合は、 host_grp_1 と host_grp_2 ですでに定義されている IP アドレスをすべて含むように all_hosts グループを定義する必要があります。 group-object コマンドを指定する場合は、重複してホストを定義する必要がなくなります。
次の例は、オブジェクト グループを使用してアクセスリストのコンフィギュレーションを簡略化する方法を示しています。
このグループ化により、グループ化を使用しないと 24 行になるアクセスリストを 1 行で設定できます。その代わり、グループ化を使用するとアクセスリストのコンフィギュレーションは次のようになります。
(注) show running-config object-group コマンドおよび write コマンドを使用すると、オブジェクト グループ名で設定されているようにアクセスリストを表示できます。show access-list コマンドは、オブジェクトをグループ化せずに、アクセスリスト エントリを個々のエントリに展開して表示します。
|
|
---|---|
OSPF 認証の使用をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf authentication コマンドを使用します。デフォルトの認証スタンスに戻すには、このコマンドの no 形式を使用します。
ospf authentication [ message-digest | null ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf authentication コマンドを使用する前に、 ospf authentication-key コマンドを使用してインターフェイスのパスワードを設定します。 message-digest キーワードを使用する場合、
ospf message-digest-key コマンドを使用して、インターフェイスのメッセージ ダイジェスト キーを設定します。
下位互換性を維持するため、エリアの認証タイプが継続してサポートされます。認証タイプがインターフェイスに指定されていない場合、エリアの認証タイプが使用されます(エリアのデフォルトは null 認証です)。
次の例は、選択したインターフェイスで OSPF の簡易パスワード認証をイネーブルにする方法を示しています。
|
|
---|---|
隣接ルーティング デバイスで使用されるパスワードを指定するには、インターフェイス コンフィギュレーション モードで ospf authentication-key コマンドを使用します。パスワードを削除するには、このコマンドの no 形式を使用します。
ospf authentication-key password
隣接ルーティング デバイスで使用するための OSPF 認証パスワードを割り当てます。パスワードは、9 文字未満にする必要があります。2 文字の間にブランク スペースを含めることができます。パスワードの最初または最後のスペースは無視されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドによって作成されたパスワードは、ルーティング プロトコル パケットが発信されるときに、OSPF ヘッダーに直接挿入されるキーとして使用されます。インターフェイス単位で、別個のパスワードを各ネットワークに割り当てることができます。同一ネットワーク上のすべての隣接ルータが、OSPF 情報を交換できる同じパスワードを持つ必要があります。
次の例は、OSPF 認証のパスワードを指定する方法を示しています。
|
|
---|---|
インターフェイスを介した 1 パケットの送信コストを指定するには、インターフェイス コンフィギュレーション モードで ospf cost コマンドを使用します。インターフェイス コストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf cost コマンドを使用すると、インターフェイスでの 1 パケットの送信コストを明示的に指定できます。 interface_cost パラメータは、0 ~ 65535 の符号なし整数値です。
次の例は、選択したインターフェイスで 1 パケットの送信コストを指定する方法を示しています。
|
|
---|---|
同期およびフラッディング中に OSPF インターフェイスへのすべての発信 LSA をフィルタリングするには、インターフェイス コンフィギュレーション モードで ospf database-filter コマンドを使用します。LSA を復元するには、このコマンドの no 形式を使用します。
no ospf database-filter all out
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf database-filter コマンドは、OSPF インターフェイスへの発信 LSA をフィルタリングします。 no ospf database-filter all out コマンドは、インターフェイスへの LSA のフォワーディングを復元します。
次の例は、 ospf database-filter コマンドを使用して、発信 LSA をフィルタリングする方法を示しています。
|
|
---|---|
ネイバーがルータのダウンを宣言するまでの間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf dead-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
hello パケットを 1 つも受信しない時間。 seconds のデフォルトは、 ospf hello-interval コマンドで設定した間隔の 4 倍です(範囲は 1 ~ 65,535)。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf dead-interval コマンドを使用すると、ネイバーがルータのダウンを宣言するまでのデッド間隔(hello パケットを 1 つも受信しない時間)を設定できます。 seconds 引数はデッド間隔を指定します。この値はネットワーク上のすべてのノードで同じにする必要があります。 seconds のデフォルトは、 ospf hello-interval コマンドで設定した間隔の 4 倍です(1 ~ 65,535)。
|
|
---|---|
インターフェイスで hello パケットを送信する間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
この値は、hello パケットでアドバタイズされます。hello 間隔が短いほど、トポロジの変更が早急に検出されますが、より多くのルーティング トラフィックが結果として生じます。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じにする必要があります。
次の例では、OSPF の hello 間隔を 5 秒に設定します。
|
|
---|---|
OSPF の MD5 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf message-digest-key コマンドを使用します。MD5 キーを削除するには、このコマンドの no 形式を使用します。
ospf message-digest-key key-id md5 key
最大 16 バイトの英数字によるパスワード。キー文字の間にスペースを含めることができます。キーの最初または最後のスペースは無視されます。MD5 認証は、通信整合性の検証、送信元の認証、および適時性の確認を行います。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf message-digest-key コマンドを使用すると、MD5 認証をイネーブルにできます。このコマンドの no 形式を使用すると、古い MD5 キーを削除できます。 key_id は、1 ~ 255 の認証キー用数値 ID で、 key は、最大 16 バイトの英数字によるパスワードです。MD5 は、通信整合性の検証、送信元の認証、および適時性の確認を行います。
次の例は、OSPF 認証の MD5 キーを指定する方法を示しています。
|
|
---|---|
データベース パケット受信時の OSPF の最大伝送ユニット ミスマッチ検出をディセーブルにするには、インターフェイス コンフィギュレーション モードで ospf mtu-ignore コマンドを使用します。MTU ミスマッチ検出を復元するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPF は、ネイバーが共通のインターフェイスで同じ MTU を使用しているかどうかをチェックします。このチェックは、ネイバーが Database Descriptor(DBD)パケットを交換するときに実行されます。DBD パケット受信時の MTU が着信インターフェイスに設定された IP MTU より高い場合、OSPF の隣接関係が確立されません。 ospf mtu-ignore コマンドは、DBD パケット受信時の OSPF MTU ミスマッチ検出をディセーブルにします。これは、デフォルトでイネーブルになっています。
次の例は、 ospf mtu-ignore コマンドをディセーブルにする方法を示しています。
|
|
---|---|
ポイントツーポイントの非ブロードキャスト ネットワークとして OSPF インターフェイスを設定するには、インターフェイス コンフィギュレーション モードで ospf network point-to-point non-broadcast コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。 ospf network point-to-point non-broadcast コマンドを使用すると、VPN トンネルを介して OSPF ルートを送信できます。
ospf network point-to-point non-broadcast
no ospf network point-to-point non-broadcast
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インターフェイスをポイントツーポイントとして指定する場合、OSPF ネイバーを手動で設定する必要があります。ダイナミック検出はできません。OSPF ネイバーを手動で設定するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。
インターフェイスをポイントツーポイントとして設定すると、次の制約事項が適用されます。
• 暗号エンドポイントに向かうスタティック ルートを定義する必要がある。
• ネイバーを明示的に設定しないと、インターフェイスが隣接関係を形成できない。
• トンネルを介した OSPF がインターフェイスで実行されている場合、同じインターフェイス上で上流のルータによる標準 OSPF を実行できない。
• VPN トンネルを介して OSPF アップデートを受け渡すように OSPF ネイバーを指定する前に、インターフェイスに暗号マップをバインドする必要がある。OSPF ネイバーを指定した後、インターフェイスに暗号マップをバインドする場合、 clear local-host all コマンドを使用して、OSPF 接続を消去し、OSPF の隣接関係が VPN トンネルを介して確立されるようにします。
次の例は、選択したインターフェイスをポイントツーポイントの非ブロードキャスト インターフェイスとして設定する方法を示しています。
|
|
---|---|
OSPF ルータの優先順位を変更するには、インターフェイス コンフィギュレーション モードで ospf priority コマンドを使用します。デフォルトの優先順位に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ネットワークに接続されている 2 つのルータの両方が代表ルータになることを試行する場合、ルータの優先順位が高いルータが優先されます。両方のルータが同等である場合は、ルータ ID が高いルータが優先されます。ルータの優先順位が 0(ゼロ)に設定されているルータは、代表ルータまたはバックアップの代表ルータになる資格がありません。ルータの優先順位は、マルチアクセス ネットワーク(ポイントツーポイントではないネットワーク)へのインターフェイスにのみ設定されます。
次の例は、選択したインターフェイスで OSPF の優先順位を変更する方法を示しています。
|
|
---|---|
インターフェイスに属する隣接ルータの LSA 再送間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ospf retransmit-interval seconds
no ospf retransmit-interval [ seconds ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルータは、LSA をネイバーに送信する場合に、確認応答メッセージを受信するまで LSA を保持します。確認応答を受信しない場合、ルータは LSA を再送信します。
このパラメータの設定を慎重に行う必要があります。そうしない場合、不要な再送信が生じます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
|
|
---|---|
インターフェイス上のリンクステート アップデート パケットを送信するのに必要な予想時間を設定するには、インターフェイス コンフィギュレーション モードで ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ospf transmit-delay [ seconds ]
インターフェイス上のリンクステート アップデート パケットを送信するのに必要な予想時間を設定します。デフォルト値は 1 秒で、範囲は 1 ~ 65,535 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
送信される前に、アップデート パケットの LSA には、 seconds 引数で指定された値によって加算された経過時間が含まれている必要があります。値を割り当てるときは、インターフェイスの送信と伝搬遅延を考慮に入れる必要があります。
リンクを通じて送信される前に遅延が追加されていない場合、LSA がリンクを通じて伝播する時間が考慮されません。非常に低速のリンクでは、この設定は重要です。
次の例では、選択したインターフェイスの送信遅延を 3 秒に設定します。
|
|
---|---|
非認証の電子メール プロキシ セッションの数を制限するには、適切な電子メール プロキシ モードで outstanding コマンドを使用します。このアトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。これにより、無制限の非認証セッション数が許可されます。電子メール ポートに対する DoS 攻撃(サービス拒絶攻撃)を制限するには、このコマンドを使用します。
電子メール プロキシ接続には、次の 3 つの状態があります。
2. その接続でユーザ名が提示されると、「認証中」状態になります。
3. セキュリティ アプライアンスがその接続を認証すると、「認証済み」状態になります。
非認証状態の接続の数が、設定された限度を超えると、セキュリティ アプライアンスはオーバーロードを回避するため最も古い非認証接続を強制終了します。認証済みの接続は、強制終了されません。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、POP3S 電子メール プロキシの非認証セッション数の限度を 12 に設定する方法を示しています。
hostname(config)#
pop3s
#
outstanding 12
デバイスを仮想ロードバランシング クラスタに強制的に参加させるには、VPN ロードバランシング モードで participate コマンドを使用します。クラスタに参加した状態からデバイスを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
VPN ロードバランシング モードに入るには、 interface コマンドおよび nameif コマンドを使用してインターフェイスを設定してから、 vpn load-balancing コマンドを使用する必要があります。また、事前に cluster ip コマンドを使用してクラスタの IP アドレスを設定し、仮想クラスタの IP アドレスが参照するインターフェイスを設定する必要があります。
このコマンドは、このデバイスを仮想ロードバランシング クラスタに強制的に参加させます。デバイスの参加をイネーブルにするには、このコマンドを明示的に発行する必要があります。
1 つのクラスタに参加しているすべてのデバイスの IP アドレス、暗号化設定、暗号鍵、およびポートの値は、クラスタ固有の同一の値である必要があります。
(注) 暗号化を使用する場合は、事前に isakmp enable inside コマンドを設定する必要があります。inside には、ロードバランシング内部インターフェイスを指定します。ロードバランシング内部インターフェイス上で isakmp がイネーブルになっていないと、クラスタ暗号化の設定を試みたときにエラー メッセージが表示されます。
isakmp が、cluster encryption コマンドを設定したときはイネーブルであったものの、participate コマンドを設定する前にディセーブルになった場合は、participate コマンドを入力したときにエラー メッセージが表示され、そのローカル デバイスはクラスタに参加しません。
次に、VPN ロードバランシング コマンド シーケンスの例を示します。これには、現在のデバイスが VPN ロードバランシング クラスタに参加できるようにする participate コマンドが含まれています。
|
|
---|---|
ログイン パスワードを設定するには、グローバル コンフィギュレーション モードで passwd コマンドを使用します。パスワードをデフォルトの「cisco」に戻すには、このコマンドの no 形式を使用します。Telnet または SSH を使用して、CLI にデフォルト ユーザとしてアクセスするときは、ログイン パスワードを入力するためのプロンプトが表示されます。ログイン パスワードを入力すると、ユーザ EXEC モードに入ります。
{ passwd | password } password [ encrypted ]
no { passwd | password } password
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このログイン パスワードはデフォルト ユーザ用です。 aaa authentication console コマンドを使用して、Telnet または SSH のユーザごとに CLI 認証を設定した場合、このパスワードは使用されません。
次の例では、別のセキュリティ アプライアンスからコピーした、暗号化されたパスワードをパスワードに設定します。
|
|
---|---|
登録中に CA に登録するチャレンジ フレーズを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで password コマンドを使用します。CA は、通常、このフレーズを使用して、その後の失効要求を認証します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、実際の証明書登録を開始する前に、証明書の失効パスワードを指定できます。指定したパスワードは、アップデートされたコンフィギュレーションがセキュリティ アプライアンスによって NVRAM に書き込まれるときに暗号化されます。
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、CA に登録するチャレンジ フレーズをトラストポイント central の登録要求に含めています。
|
|
---|---|
WebVPN に対する初期ログイン用のパスワードを要求するプロンプトを設定するには、webvpn モードで password-prompt コマンドを使用します。デフォルトの「Password:」に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、「Enter Password:」というパスワード プロンプトを設定する方法を示しています。
hostname(config)#
webvpn
クライアント システム上にログイン パスワードを保存することをユーザに許可するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで password-storage enable コマンドを使用します。パスワードの保存をディセーブルにするには、 password-storage disable コマンドを使用します。
password-storage アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。これにより、password-storage の値を別のグループポリシーから継承できるようになります。
password-storage {enable | disable}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
セキュアなサイトにあることが判明しているシステムに限り、パスワードの保存をイネーブルにしてください。
このコマンドは、対話型ハードウェア クライアント認証またはハードウェア クライアントの個別ユーザ認証とは関係ありません。
次の例は、FirstGroup というグループポリシーのパスワードの保存をイネーブルにする方法を示しています。
ピアの証明書を使用してピアのアイデンティティを確認するかどうかを指定するには、トンネルグループ ipsec アトリビュート モードで peer-id-validate コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
config-ipsec コンフィギュレーション モードで入力された次の例は、209.165.200.225 という名前の IPSec LAN-to-LANトンネルグループのピアの証明書のアイデンティティを使用してのピアの確認を要求します。
|
|
---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
パフォーマンス情報を表示するには、特権 EXEC モードで perfmon コマンドを使用します。
perfmon {verbose | interval seconds | quiet | settings}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
perfmon コマンドを使用すると、セキュリティ アプライアンスのパフォーマンスを監視できます。情報をすぐに表示するには、show perfmon コマンドを使用します。情報を 2 分間隔で表示し続けるには、perfmon verbose コマンドを使用します。指定した秒間隔で情報を表示し続けるには、perfmon interval seconds コマンドと perfmon verbose コマンドを併用します。
この情報では、変換、接続、Websense 要求、アドレス変換(「フィックスアップ」と呼ばれます)、および AAA トランザクションについて、毎秒発生する数が表示されます。
次の例は、パフォーマンス モニタ統計情報を 30 秒おきにセキュリティ アプライアンス コンソールに表示する方法を示しています。
|
|
---|---|
時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定するには、時間範囲コンフィギュレーション モードで periodic コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
periodic days-of-the-week time to [ days-of-the-week ] time
no periodic days-of-the-week time to [ days-of-the-week ] time
periodic コマンドに値が入力されていない場合、 time-range コマンドでの定義に従ったセキュリティ アプライアンスへのアクセスがすぐに有効になり、常時オンとなります。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。
periodic コマンドは、時間範囲をいつ有効にするかを指定する方法の 1 つです。別の方法は、 absolute コマンドを使用して絶対時間範囲を指定する方法です。これらのコマンドのいずれかを、 time-range グローバル コンフィギュレーション コマンドの後に使用します。このコマンドは、時間範囲の名前を指定します。 time-range コマンドごとに複数の periodic 値を入力できます。
終了の days-of-the-week 値が開始の days-of-the-week 値と同じである場合は、終了の days-of-the-week 値を省略できます。
time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻に達した後にだけ評価され、 absolute end 時刻に達した後はそれ以上評価されません。
time-range 機能はセキュリティ アプライアンスのシステム クロックに依存しています。ただし、この機能は、NTP 同期化により最適に動作します。
|
|
---|---|
次の例は、月曜日から金曜日の午前 8 時~午後 6 時にセキュリティ アプライアンスにアクセスすることを許可する方法を示しています。
次の例は、特定の曜日(月曜日、火曜日、および金曜日)の午前 10 時 30 分~午後 12 時 30 分にセキュリティ アプライアンスにアクセスすることを許可する方法を示しています。
|
|
---|---|
time-range コマンドの absolute キーワードおよび periodic キーワードのデフォルト設定を復元します。 |
|
無効な GTP パケットを許可する、または許可しないと解析が失敗してドロップされるパケットを許可するには、GTP マップ コンフィギュレーション モードで permit errors コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスします。コマンドを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
無効なパケット、またはセキュリティ アプライアンスを通じて送信されるメッセージの検査中にエラーが発生したパケットを許可し、それらがドロップされないようにするには、GTP マップ コンフィギュレーション モードで permit errors コマンドを使用します。
次の例では、無効なパケットまたは解析中に失敗したパケットが含まれたトラフィックを許可します。
|
|
---|---|
ロードバランシング GSN をサポートするには、GTP マップ コンフィギュレーション モードで permit response コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。permit response コマンドは、応答の送信先であった GSN とは異なる GSN からの GTP 応答を許可することにより、ロードバランシング GSN をサポートします。コマンドを削除するには、このコマンドの no 形式を使用します。
permit response to-object-group to_obj_group_id from-object-group from_obj_group_id
no permit response to-object-group to_obj_group_id from-object-group from_obj_group_id
デフォルトでは、セキュリティ アプライアンスは、要求送信先のホスト以外の GSN からの GTP 応答をドロップします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ロードバランシング GSN をサポートするには、GTP マップ コンフィギュレーション モードで
permit response コマンドを使用します。 permit response コマンドを使用して、応答の送信先であった GSN とは異なる GSN からの、GTP 応答を許可するように GTP マップを設定します。
ロードバランシング GSN のプールをネットワーク オブジェクトとして指定します。同様に、SGSN をネットワーク オブジェクトとして指定します。応答する GSN が、GTP 要求の送信先であった GSN と同じオブジェクト グループに属する場合、また応答する GSN が GTP 応答を送信できるオブジェクト グループに SGSN がある場合、セキュリティ アプライアンスはその応答を許可します。
次の例では、192.168.32.0 ネットワーク上の任意のホストから IP アドレス 192.168.112.57 を持つホストへの GTP 応答を許可します。
|
|
---|---|
PFS をイネーブルにするには、グループポリシー コンフィギュレーション モードで pfs enable コマンドを使用します。PFS をディセーブルにするには、 pfs disable コマンドを使用します。PFS アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、PFS の値を別のグループポリシーから継承できます。
IPSec ネゴシエーションで、PFS は新しい暗号鍵が以前のどの鍵とも無関係であることを保証します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、FirstGroup というグループポリシーの PFS を設定する方法を示しています。
インターフェイス上の PIM を再度イネーブルにするには、インターフェイス コンフィギュレーション モードで pim コマンドを使用します。PIM をディセーブルにするには、このコマンドの no 形式を使用します。
multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM をイネーブルにします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM をイネーブルにします。 no 形式の pim コマンドだけがコンフィギュレーションに保存されます。
(注) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。
次の例では、選択したインターフェイス上の PIM をディセーブルにします。
|
|
---|---|
PIM 登録メッセージがフィルタリングされるようにセキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで pim accept-register コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。
pim accept-register { list acl | route-map map-name }
アクセスリストの名前または番号を指定します。このコマンドでは、標準ホスト ACL だけを使用してください。拡張 ACL はサポートされていません。 |
|
ルートマップ名を指定します。参照先のルートマップでは、標準ホスト ACL を使用してください。拡張 ACL はサポートされていません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
非認証の送信元が RP に登録されないようにするには、このコマンドを使用します。非認証の送信元が RP に登録メッセージを送信すると、セキュリティ アプライアンスはただちに登録中止メッセージを送信します。
次の例では、PIM 登録メッセージを、「no-ssm-range」というアクセスリストに定義されている送信元からのものに制限します。
|
|
---|---|
指定ルータの選定に使用されるネイバーの優先順位をセキュリティ アプライアンス上に設定するには、インターフェイス コンフィギュレーション モードで pim dr-priority コマンドを使用します。デフォルトの優先順位に戻すには、このコマンドの no 形式を使用します。
0 ~ 4294967294 の任意の数字。この数字は、指定ルータを判別するときに、デバイスの優先順位を判別するために使用されます。0 に指定すると、セキュリティ アプライアンスは指定ルータに選定されません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インターフェイス上の優先順位値が最も大きいデバイスが、PIM 指定ルータになります。複数のデバイスで同じ指定ルータ優先順位値が設定されている場合、IP アドレスが最大のデバイスが指定ルータになります。デバイスの hello メッセージに DR-Priority Option(指定ルータ優先順位オプション)が含まれていない場合は、そのデバイスが最も優先順位の高いデバイスであると見なされ、指定ルータになります。hello メッセージにこのオプションが含まれていないデバイスが複数ある場合は、最大の IP アドレスを持つデバイスが指定ルータになります。
次の例は、インターフェイスの指定ルータ優先順位を 5 に設定します。