-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
- cache
- ca-check
- cache-static-content
- cache-time
- call-agent
- call-duration-limit
- call-party-numbers
- call-home
- call-home send
- call-home send alert-group
- call-home test
- capability lls
- capability opaque
- captive-portal
- capture
- cd
- cdp-url
- 証明書
- certificate-group-map
- chain
- change-password
- changeto
- channel-group
- character-encoding
- checkheaps
- check-retransmission
- checksum-verification
- cipc security-mode authenticated(廃止)
- clacp static-port-priority
- clacp system-mac
- class(グローバル)
- class(ポリシー マップ)
- class-map
- class-map type inspect
- class-map type management
- class-map type regex
- clear aaa kerberos
- clear aaa local user
- clear aaa sdi node-secret
- clear aaa-server statistics
- clear access-list
- clear arp
- clear asp
- clear bfd counters
- clear bgp
- clear blocks
- clear-button
- clear capture
- clear clns cache
- clear clns is-neighbors
- clear clns neighbors
- clear clns route
- clear cluster info
- clear compression
cache コマンド~ clear compression コマンド
cache
キャッシュ モードを開始し、キャッシング属性の値を設定するには、webvpn コンフィギュレーション モードで cache コマンドを入力します。コンフィギュレーションからキャッシュ関連のコマンドをすべて削除し、これらをデフォルト値にリセットするには、このコマンドの no 形式を入力します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮したりする必要性を減らすことができます。これにより、WebVPN とリモート サーバおよびエンド ユーザのブラウザの両方の間のトラフィックが削減されて、多くのアプリケーションの実行効率が大幅に向上します。
(注
) コンテンツ キャッシングをイネーブルにすると、一部のシステムの信頼性が低下します。コンテンツ キャッシングをイネーブルにした後、ランダムにクラッシュが発生する場合は、この機能をディセーブルにしてください。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
ca-check
基本制約の拡張を設定し、トラストポイント証明書に CA フラグを設定するには、crypto ca トラストポイント コンフィギュレーション モードで ca-check コマンドを使用します。基本制約の拡張と CA フラグを設定しない場合は、このコマンドの no 形式を使用します。
構文の説明
デフォルト
デフォルトでは、基本制約の拡張と CA フラグが設定されます。これらを無効にするには、 no 形式を使用する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
基本制約の拡張によって、証明書のサブジェクトが認証局(CA)かどうかが識別されます。この場合、証明書を使用して他の証明書に署名することができます。CA フラグは、この拡張の一部です。これらの項目が証明書に存在することは、証明書の公開キーを使用して証明書の署名を検証できることを示します。
例
次に、CA フラグと基本制約の拡張を無効にする例を示します。
関連コマンド
|
|
|
|---|---|
クリプト CA トラストポイント コンフィギュレーション モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。 |
cache-static-content
クライアントレス SSL VPN 接続に使用するすべての静的コンテンツをキャッシュするには、webvpn キャッシュ コンフィギュレーション モードで cache-static-content コマンドを入力します。静的コンテンツのキャッシングをディセーブルにするには、このコマンドの no 形式を入力します。
no cache-static-content enable
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キャッシュ可能なすべての静的コンテンツがアプライアンス キャッシュに保存されるようセキュリティ アプライアンスを設定すると、バックエンド SSL VPN 接続のパフォーマンスが向上します。静的コンテンツには、PDF ファイルやイメージなど、セキュリティ アプライアンスによってデータの書き換えが行われないオブジェクトが含まれています。
例
次に、静的コンテンツのキャッシングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cache-time
CRL を失効と見なす前にキャッシュ内に残す時間を分単位で指定するには、ca-crl コンフィギュレーション モードで cache-time コマンドを使用します。このモードには、クリプト CA トラストポイント コンフィギュレーション モードからアクセスできます。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
CRL をキャッシュ内に残す時間を分単位で指定します。指定できる範囲は 1 ~ 1440 分です。CRL に NextUpdate フィールドがない場合、CRL はキャッシュされません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central でキャッシュ時間のリフレッシュ値を 10 分に指定する例を示します。
関連コマンド
|
|
|
|---|---|
call-agent
コール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
call-agent ip_address group_id
no call-agent ip_address group_id
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 つ以上のゲートウェイを管理できるコール エージェントのグループを指定するには、 call-agent コマンドを使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の(ゲートウェイがコマンドを送信する先以外の)コール エージェントに接続を開くために使用されます。同じ group_id を持つコール エージェントは、同じグループに属します。1 つのコール エージェントは複数のグループに所属できます。
例
次に、コール エージェント 10.10.11.5 および 10.10.11.6 にゲートウェイ 10.10.10.115 の制御を許可し、コール エージェント 10.10.11.7 および 10.10.11.8 にゲートウェイ 10.10.10.116 および 10.10.10.117 の制御を許可する例を示します。
関連コマンド
|
|
|
|---|---|
call-duration-limit
H.323 コールのコール継続時間を設定するには、パラメータ コンフィギュレーション モードで call-duration-limit コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no call-duration-limit hh:mm:ss
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 コールのコール継続時間を設定する例を示します。
関連コマンド
|
|
|
|---|---|
call-party-numbers
H.323 コールの設定時に発信側の番号の送信を強制するには、パラメータ コンフィギュレーション モードで call-party-numbers コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 コールのコール設定時に発信側の番号を適用する例を示します。
関連コマンド
|
|
|
|---|---|
call-home
Call Home コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで call-home コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
call-home コマンドを入力すると、プロンプトが hostname (cfg-call-home)# に変更され、次の Call Home コンフィギュレーション コマンドを利用できます。
- [no] alert-group {group name | all}:Smart Call Home グループをイネーブルまたはディセーブルにします。デフォルトでは、すべてのアラート グループに対してイネーブルになっています。
group name:syslog、診断、環境、インベントリ、コンフィギュレーション、スナップショット、脅威、テレメトリ、テスト。 - [no] contact-e-mail-addr e-mail-address:カスタマーの連絡先電子メール アドレスを指定します。このフィールドは必須です。
e-mail-address:最大 127 文字のカスタマーの電子メール アドレス。 - [no] contact-name contact name:カスタマーの名前を指定します。
e-mail-address:最大 127 文字のカスタマーの名前。 - [no] contract-id contract-id-string:カスタマーの契約 ID を指定します。
contract-id-string:最大 128 文字の ID 番号。スペースを使用できますが、スペースが含まれる場合はストリングの前後に引用符を付ける必要があります。 - copy profile src-profile-name dest-profile-name:既存のプロファイル( src-profile-name )の内容を新しいプロファイル( dest-profile-name )にコピーします。
src-profile-name:23 文字までの既存プロファイルの名前。
dest-profile-name:23 文字までの新規プロファイルの名前。 - rename profile src-profile-name dest-profile-name:既存のプロファイルの名前を変更します。
src-profile-name:23 文字までの既存プロファイルの名前。
dest-profile-name:23 文字までの新規プロファイルの名前。 - no configuration all:Smart Call-home コンフィギュレーションをクリアします。
[no] customer-id customer-id-string:カスタマー ID を指定します。
customer-id-string:最大 64 文字のカスタマー ID。このフィールドは、XML 形式のメッセージでは必須です。 - [no] event-queue-size queue_size:イベント キュー サイズを指定します。
queue-size:5 ~ 60 でイベント数を示します。デフォルトは 10 です。 - [no] mail-server ip-address | name priority 1-100 all:SMTP メール サーバを指定します。顧客は、最大 5 つのメール サーバを指定できます。Smart Call Home メッセージに電子メール転送を使用するには、少なくとも 1 つのメール サーバが必要です。
ip-address:メール サーバの IPv4 アドレスまたは IPv6 アドレス。
name:メール サーバのホスト名。
1-100:メール サーバのプライオリティ。値が小さいほど、プライオリティが高くなります。 - [no] phone-number phone-number-string:カスタマーの電話番号を指定します。このフィールドは任意です。
phone-number-string:電話番号。 - [no] rate-limit msg-count:Smart Call Home が 1 分間に送信できるメッセージの数を指定します。
msg-count:1 分間に送信できるメッセージ数。デフォルトは 10 です。 - [no] sender {from e-mail-address | reply-to e-mail-address}:電子メール メッセージの from および reply-to の電子メール アドレスを指定します。このフィールドは任意です。
e-mail-address:発信元または応答先の電子メール アドレス。 - [no] site-id site-id-string:カスタマー サイト ID を指定します。このフィールドは任意です。
site-id-string:カスタマーの場所を識別するサイト ID。 - [no] street-address street-address:カスタマーの住所を指定します。このフィールドは任意です。
street-address:最大 255 文字の自由形式の文字列。 - [no] alert-group-config environment:環境グループ コンフィギュレーション モードを開始します。
[no] threshold {cpu | memory} low-high:環境リソースしきい値を指定します。
low、high:有効な値は 0 ~ 100 です。デフォルトは 85 ~ 90 です。 - [no] alert-group-config snapshot:スナップショット グループ コンフィギュレーション モードを開始します。
system、user:システム コンテキストまたはユーザ コンテキスト(マルチ モードでのみ使用可)で CLI を実行します。 - [no] add-command “cli command” [{system | user}]:スナップショット グループにキャプチャする CLI コマンドを指定します。
cli command:入力する CLI コマンド。
system、user:CLI をシステム コンテキストまたはユーザ コンテキストで実行します(マルチ モードだけで使用可能)。システムもユーザも指定しないと、CLI はシステム コンテキストとユーザ コンテキストの両方で実行されます。デフォルトは、ユーザ コンテキストです。
(注) Call-Home HTTPS メッセージは、ここで説明する vrf コマンドとは別に、ip http client source-interface コマンドを使用して、指定した VRF 上の送信元インターフェイスを介してだけ送信できます。
例
次に、Call Home メッセージのレート制限しきい値を設定する例を示します。
次に、Call Home メッセージのレート制限しきい値をデフォルト設定にする例を示します。
次に、既存のプロファイルと同じコンフィギュレーション設定の新しい宛先プロファイルを作成する例を示します。
次に、一般的な電子メール パラメータ(プライマリ電子メール サーバ、セカンダリ電子メール サーバなど)を設定する例を示します。
関連コマンド
|
|
|
|---|---|
call-home send
CLI コマンドを実行し、指定されたアドレスにコマンド出力を電子メールで送信するには、特権 EXEC モードで call-home send コマンドを使用します。
call-home send cli command [email email ] [service-number service number ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、指定した CLI コマンドがシステム上で実行されます。指定する CLI コマンドは、引用符("")で囲む必要があります。また、任意の run コマンドまたは show コマンド(すべてのモジュール用のコマンドを含む)を指定できます。
その後、コマンド出力は、電子メールで指定の電子メール アドレスに送信されます。電子メール アドレスを指定していない場合、コマンド出力は Cisco TAC(attach@cisco.com)に送信されます。電子メールは、件名行にサービス番号を付けて(指定した場合)ロング テキスト形式で送信されます。
例
次に、CLI コマンドを送信し、コマンド出力を電子メールで送信する例を示します。
関連コマンド
call-home send alert-group
特定のアラート グループ メッセージを送信するには、特権 EXEC モードで call-home send alert-group コマンドを使用します。
call-home send alert-group { configuration | telemetry | inventory | group snapshot} [ profile profile-name ]
構文の説明
特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
profile profile-name を指定しない場合は、サブスクライブ対象のすべての宛先プロファイルにメッセージが送信されます。
手動で送信できるのは、コンフィギュレーション、診断、およびインベントリ アラート グループだけです。宛先プロファイルは、アラート グループにサブスクライブされる必要はありません。
例
次に、コンフィギュレーション アラート グループ メッセージを宛先プロファイルに送信する例を示します。
次に、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信する例を示します。
次に、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージをすべての宛先プロファイルに送信する例を示します。
次に、インベントリ call-home メッセージを送信する例を示します。
関連コマンド
call-home test
プロファイルのコンフィギュレーションを使用して Call Home テスト メッセージを手動で送信するには、特権 EXEC モードで call-home test コマンドを使用します。
call-home test [“ test-message ”] profile profile-nam e
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、テスト メッセージが指定の宛先プロファイルに送信されます。テスト メッセージ テキストを入力する場合、テキストにスペースが含まれている場合は、このテキストを引用符("")で囲む必要があります。メッセージを入力しない場合、デフォルト メッセージが送信されます。
例
次に、Call Home テスト メッセージを手動で送信する例を示します。
関連コマンド
capability lls
LLS 機能はデフォルトでイネーブルです。送信される OSPF パケットのリンクローカル シグナリング(LLS)データ ブロックの使用を明示的にイネーブルにし、OSPF NSF 認識を再度イネーブルにするには、ルータ コンフィギュレーション モードで capability lls コマンドを使用します。LLS と OSPF NSF 認識をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
送信される OSPF パケットの LLS データ ブロックの使用をディセーブルにすることで、NSF 認識をディセーブルにすることが必要な場合があります。また、LLS を使用するアプリケーションがルータで動作していない場合に、NSF 認識をディセーブルにすることが必要な場合があります。
NSF が設定されている状態で LLS をディセーブルにしようとすると、「OSPF Non-Stop Forwarding (NSF) must be disabled first」というエラー メッセージが表示されます。
LLS がディセーブルになっている状態で、NSF を設定しようとすると、「OSPF Link-Local Signaling (LLS) capability must be enabled first」というエラー メッセージが表示されます。
例
次に、LLS のサポートと OSPF 認識をイネーブルにする例を示します。
関連コマンド
capability opaque
マルチプロトコル ラベル スイッチング トラフィック エンジニアリング(MPLS TE)トポロジ情報を Opaque LSA を介してネットワークにフラッディングできるようにするには、ルータ コンフィギュレーション モードで capability opaque コマンドを使用します。MPLS TE トポロジ情報が Opaque LSA を介してネットワークにフラッディングされないようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
capability opaque コマンドは、すべての範囲(タイプ 9、10、11)の Opaque LSA を介して MPLS TE 情報(タイプ 1 および 4)をフラッディングします。
Opaque LSA サポート機能の制御は、MPLS TE をサポートするために OSPF でイネーブルにする必要があります。
例
関連コマンド
送信される OSPF パケットの LLS データ ブロックの使用をイネーブルにし、OSPF NSF 認識をイネーブルにします。 |
captive-portal
ASA FirePOWER モジュールのキャプティブ ポータルをイネーブルにするには、グローバル コンフィギュレーション モードで captive-portal コマンドを使用します。キャプティブ ポータルをディセーブルにするには、このコマンドの no 形式を使用します。
captive-portal { global | interface name } [ port number ]
no captive-portal { global | interface name } [ port number ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キャプティブ ポータルは、ASA FirePOWER モジュールで定義されたアイデンティティ ポリシーと連携して動作します。
HTTP/HTTPS 接続については、アクティブな認証を通じてユーザ ID を収集するアイデンティティ ルールを定義できます。アクティブな認証アイデンティティ ルールを実装する場合は、認証プロキシ ポートとして機能するように ASA でキャプティブ ポータルを設定する必要があります。接続がアクティブ認証を要求するアイデンティティ ルールに一致すると、ASA FirePOWER モジュールは、認証要求を ASA インターフェイスの IP アドレス/キャプティブ ポータルにリダイレクトします。デフォルト ポートは 885 ですが、これは変更可能です。
例
次に、デフォルト ポート 885 でキャプティブ ポータルをグローバルにイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
capture
パケットスニッフィングおよびネットワーク障害の切り分けのために、パケットキャプチャ機能をイネーブルにするには、特権 EXEC モードで capture コマンドを使用します。パケットキャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。
capture capture_name [ type { asp-drop [ all | drop-code ] | tls-proxy | raw-data | isakmp [ ikev1 | ikev2 ] | inline-tag [ tag ] | webvpn user webvpn-user }] [ access-list access_list_name ] { interface { interface_name | asa_dataplane | asa_mgmt_plane | cplane } } [ buffer buf_size ] [ ethernet-type type ] [ reeinject-hide ] [ packet-length bytes ] [ circular-buffer ] [ trace [ trace-count number ]] [ real-time [ dump ] [ detail ]] [ match protocol { host source-ip | source-ip mask | any | any 4 | any6} [ operator src_port ] { host dest_ip | dest_ip mask | any | any 4 | any6} [ operator dest_port ]] [ switch ] [ offload ] [ ivlan number ] [ ovlan number ]
capture capture_name { type lacp interface interface_id [ buffer buf_size ] [ packet-length bytes ] [ circular-buffer ] [ real-time [ dump ] [ detail ]]
capture capture_name interface cluster [ buffer buf_size ] [ ethernet-type type ] [ packet-length bytes ] [ circular-buffer ] [ cp-cluster ] [ trace [ trace-count number ]] [ real-time [ dump ] [ detail ]] [ trace ] [ match protocol { host source-ip | source-ip mask | any | any 4 | any6} [ operator src_port ] { host dest_ip | dest_ip mask | any | any 4 | any6} [ operator dest_port ]]
cluster exec capture capture_name [ persist ] [ include-decrypted ]
cluster exec clear packet-trace
no capture capture_name [ arguments ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
パケット キャプチャは、接続の問題のトラブルシューティングまたは不審なアクティビティのモニタリングを行うときに役立ちます。複数のキャプチャを作成できます。 capture コマンドは、実行コンフィギュレーションには保存されません。また、フェールオーバー時にスタンバイ ユニットにコピーされません。
ASA では、通過するすべての IP トラフィックを追跡でき、すべての管理トラフィック(SSH トラフィック、Telnet トラフィックなど)を含む、着信するすべての IP トラフィックをキャプチャできます。
ASA のアーキテクチャは、パケット処理のための異なる 3 セットのプロセッサで構成されています。このアーキテクチャに起因して、キャプチャ機能の性能に一定の制限が加わります。通常は、ASA のパケット転送機能の大部分が 2 個のフロントエンド ネットワーク プロセッサで処理され、アプリケーション インスペクションが必要なパケットに限り、コントロール プレーン汎用プロセッサに送信されます。パケットがセッション管理パス ネットワーク プロセッサに送信されるのは、高速パス プロセッサで処理されないセッションがある場合だけです。
ASA によって転送またはドロップされるすべてのパケットがこの 2 つのフロントエンド ネットワーク プロセッサを通るため、パケット キャプチャ機能はこれらのネットワーク プロセッサに実装されています。したがって、該当するトラフィック インターフェイス用の適切なキャプチャが設定されていれば、ASA を通過するすべてのパケットをこれらのフロントエンド プロセッサでキャプチャできます。入力側では、ASA インターフェイスに到着した時点でパケットがキャプチャされ、出力側では、ネットワークに送信される直前でパケットがキャプチャされます。
(注) WebVPN キャプチャをイネーブルにすると、ASA のパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後、必ずキャプチャをディセーブルにしてください。
ASA 上のすべてのアクティブなキャプチャの内容は、ボックスがクラッシュしたときに保存されます。
トラブルシューティング プロセスの一部としてキャプチャをアクティブ化する場合は、次の点に注意する必要があります。
- 使用するキャプチャ バッファのサイズ、およびフラッシュまたはディスクに十分なスペースがあるかどうか。
- キャプチャされたパケットがクラッシュ前の最新のものになるように、キャプチャ バッファはすべての使用例で円形としてマークする必要があります。
アクティブなキャプチャの内容を保存するファイルの名前は、次の形式となります。
[<context_name>.]<capture_name>.pcap
context_name は、マルチコンテキスト モードでキャプチャがアクティブになっているユーザ コンテキストの名前を示します。シングル コンテキスト モードでは、 context_name は適用されません。
capture_name は、アクティブ化されたキャプチャの名前を示します。
キャプチャの保存は、コンソールまたはクラッシュ ダンプの前に行われます。これにより、33 MB のキャプチャ バッファでクラッシュのダウンタイムが約 5 秒増加します。キャプチャしたコンテンツをファイルにコピーするのは簡単なプロセスなので、ネストされたクラッシュのリスクは最小限です。
パケット キャプチャを表示するには、 show capture name コマンドを使用します。キャプチャをファイルに保存するには、 copy capture コマンドを使用します。パケット キャプチャ情報を Web ブラウザで表示するには、 https:// ASA-ip-address / admin /capture/ capture_name [ / pcap ] コマンドを使用します。オプションの pcap キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされ、Web ブラウザを使用してこのファイルを保存できます(libcap ファイルは、TCPDUMP または Ethereal で表示できます)。
バッファの内容を TFTP サーバに ASCII 形式でコピーする場合、パケットの詳細および 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細および 16 進ダンプを表示するには、バッファを PCAP 形式で転送し、TCPDUMP または Ethereal で読み取る必要があります。
パケットをバッファから削除することなく、パケット キャプチャを停止することができます。キャプチャ停止のステータスが表示されます。キャプチャされたパケットは、バッファ内に保持されます。
パケット キャプチャを手動で停止するには、次のコマンドを使用します。
パケット キャプチャを開始するには、次のコマンドを使用します。
キーワードを指定せずに no capture を入力すると、キャプチャが削除されます。キャプチャを保持するには、 access-list または interface キーワードを指定します。キャプチャは指定した ACL またはインターフェイスから分離されて保持されます。
リアルタイム表示の進行中には、キャプチャに関するあらゆる操作を実行できません。低速のコンソール接続で real-time キーワードを使用すると、パフォーマンスが考慮されて、多数のパケットが非表示になる場合があります。バッファの固定の制限は、1000 パケットです。バッファがいっぱいになると、カウンタはキャプチャしたパケットで維持されます。別のセッションを開く場合、 no capture real-time コマンドを入力して、リアルタイム表示をディセーブルにできます。
capture コマンドの前に cluster exec を指定すると、あるユニットで capture コマンドを発行し、そのコマンドを他のすべてのユニットで同時に実行できます。クラスタ全体のキャプチャを実行した後、同じキャプチャ ファイルをクラスタ内のすべてのユニットから同時に TFTP サーバにコピーするには、マスター ユニットで cluster exec copy コマンドを入力します。
複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、filename_A.pcap、filename_B.pcap などとなります。この例では、A と B がクラスタ ユニット名です。
トレースをクラスタ ユニットでキャプチャする場合、トレースは、バッファから手動でクリアされるまで、各クラスタ ノードに永続します。復号化された IPsec パケットは、ASA に入るとキャプチャされます。キャプチャされたパケットには、通常のトラフィックとカプセル化解除されたトラフィックの両方が含まれます。
(注) ファイル名の末尾にユニット名を追加すると、別の宛先名が生成されます。
次に、キャプチャ機能の制限の一部を示します。制限の大部分は、ASA のアーキテクチャが本質的に分散型であることと、ASA で使用するハードウェア アクセラレータを原因としています。
- コンテキスト内のクラスタ制御リンクでキャプチャを設定できます。この場合、そのクラスタ制御リンクで送信されるコンテキストに関連付けられているパケットだけがキャプチャされます。
- 共有 VLAN には、次のガイドラインが適用されます。
– VLAN ごとに設定できるキャプチャは 1 つだけです。共有 VLAN の複数のコンテキストでキャプチャを設定した場合は、最後に設定したキャプチャだけが使用されます。
– 最後に設定した(アクティブ)キャプチャを削除した場合は、別のコンテキストで事前に設定したキャプチャがあっても、アクティブになるキャプチャはありません。キャプチャをアクティブにするには、キャプチャを削除して追加し直す必要があります。
– キャプチャを指定したインターフェイス(キャプチャ アクセス リストと一致するインターフェイス)に着信するすべてのトラフィックがキャプチャされます。これには、共有 VLAN の他のコンテキストへのトラフィックが含まれます。
– したがって、ある VLAN のコンテキスト A でのキャプチャをイネーブルにしたときに、その VLAN がコンテキスト B でも使用される場合は、コンテキスト A とコンテキスト B の両方の入力トラフィックがキャプチャされます。
- 出力トラフィックの場合は、アクティブ キャプチャのあるコンテキストのトラフィックだけがキャプチャされます。唯一の例外は、ICMP 検査をイネーブルにしない(したがって、ICMP トラフィックのセッションが高速パスにない)場合です。この場合は、共有 VLAN のすべてのコンテキストで入力と出力の ICMP トラフィックがキャプチャされます。
- キャプチャを設定する場合、通常は、キャプチャする必要のあるトラフィックを照合するアクセス リストを設定します。トラフィック パターンを照合するアクセス リストの設定が終われば、キャプチャを定義し、キャプチャを設定するインターフェイスとともに、このアクセス リストをキャプチャに関連付ける必要があります。キャプチャは、アクセス リストおよびインターフェイスと、IPv4 トラフィックをキャプチャするためのキャプチャを関連付けた場合に限り機能することに注意してください。IPv6 トラフィックの場合、アクセス リストは不要です。
- ASA CX モジュール トラフィックの場合、キャプチャされたパケットに含まれている追加 AFBP ヘッダーを、PCAP ビューアが認識しないことがあります。このようなパケットを表示するには、適切なプラグインを使用してください。
- インライン SGT タグ付きパケットの場合、キャプチャされたパケットに含まれている追加 CMD ヘッダーを、PCAP ビューアが認識しないことがあります。
- 受信側インターフェイスがないためグローバル インターフェイスがない場合、バックプレーン上で送信されるパケットは、システム コンテキストの制御パケットとして扱われます。これらのパケットはアクセス リスト チェックをバイパスし、常にキャプチャされます。この動作は、シングル モードとマルチ コンテキスト モードの両方に適用されます。
- 特定の asp-drop をキャプチャする場合に適切な理由を表示するには、 show capture コマンドを使用します。ただし、 show capture コマンドは、すべての asp-drop をキャプチャする場合は適切な理由を表示しません。
例
Web ブラウザで、発行した「captest」という名前の capture コマンドの内容を表示できます。次の場所にあります。
libpcap ファイル(Web ブラウザが使用)をローカル マシンにダウンロードするには、次のコマンドを入力します。
次に、ASA ボックスがクラッシュしたときにシングルモードでパケットをキャプチャする例を示します。
キャプチャ「123」のコンテンツは、 123.pcap ファイルとして保存されます。
次に、ASA ボックスがクラッシュしたときにマルチモードでパケットをキャプチャする例を示します。
「管理」コンテキスト内のキャプチャ「456」のコンテンツは、 admin.456.pcap ファイルとして保存されます。
次に、外部ホスト 171.71.69.234 から内部 HTTP サーバにトラフィックがキャプチャされる例を示します。
ciscoasa# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
次に、5 つのトレース パケットをデータ ストリームに挿入する例を示します。ここで、 access-list 101 は、TCP プロトコル FTP と一致するトラフィックを定義します。
トレースされたパケットおよびパケット処理に関する情報をわかりやすく表示するには、 show capture ftptrace コマンドを使用します。
次の例では、キャプチャされたパケットをリアルタイムで表示する方法を示します。
次の例では、キャプチャする必要のある IPv4 トラフィックを照合する拡張アクセス リストを設定する方法を示します。
デフォルトでは、キャプチャを設定すると、512 KB のサイズのリニア キャプチャ バッファが作成されます。オプションで循環バッファを設定できます。デフォルトでは、パケットの 68 バイトだけがバッファにキャプチャされます。オプションでこの値を変更できます。
次に、事前に設定されたキャプチャ アクセス リストを使用し、outside インターフェイスに適用される「ip-capture」というキャプチャを作成する例を示します。
次の例では、キャプチャを終了する一方でバッファを保持する方法を示します。
次の例では、キャプチャを終了し、バッファを削除する方法を示します。
次の例では、シングル モードでバックプレーンでキャプチャされたトラフィックをフィルタリングする方法を示します。
(注) 制御パケットは、アクセス リストを指定した場合にも、シングル モードでキャプチャされます。
次の例では、マルチ コンテキスト モードでバックプレーンでキャプチャされたトラフィックをフィルタリングする方法を示します。
(注) マルチ コンテキスト モードでは、access-list オプションと match オプションはシステム コンテキストで使用できません。
クラスタ内のすべてのユニットでのキャプチャをイネーブルにするには、これらの各コマンドの前に cluster exec キーワードを追加します。
次の例では、クラスタリング環境の LACP キャプチャを作成する方法を示します。
次の例では、クラスタリング リンクでの制御パス パケットのキャプチャを作成する方法を示します。
次の例では、クラスタリング リンクでのデータ パス パケットのキャプチャを作成する方法を示します。
次の例では、クラスタを通過するデータ パス トラフィックをキャプチャする方法を示します。
次の例では、指定した実際の発信元から実際の宛先へのフローに対する論理アップデート メッセージをキャプチャし、指定した実際の発信元から実際の宛先へ CCL を介して転送されるパケットをキャプチャする方法を示します。
次の例では、特定タイプのデータ プレーン メッセージ(たとえば ICMP エコー要求/応答)のうち、ある ASA から別の ASA に転送されたものを、メッセージ タイプに応じた match キーワードまたはアクセス リストを使用してキャプチャする方法を示します。
次の例では、クラスタリング環境内のクラスタ制御リンク上でアクセス リスト 103 を使用してキャプチャを作成する方法を示します。
前の例で、A と B が CCL インターフェイスの IP アドレスである場合は、この 2 つのユニット間で送信されるパケットだけがキャプチャされます。
A および B が、デバイスを通過するトラフィックの IP アドレスである場合は、次のことが当てはまります。
- 転送されたパケットは、通常どおりにキャプチャされます。ただし、送信元および宛先の IP アドレスがアクセス リストに一致することが条件です。
- データ パス ロジック アップデート メッセージがキャプチャされるのは、そのメッセージが A と B の間のフローに対するものであるか、特定のアクセス リスト(たとえば、access-list 103)に対するものである場合です。埋め込まれたフローの 5 タプルが一致するものがキャプチャされます。
- UDP パケットの送信元と宛先のアドレスは CCL のアドレスですが、このパケットがフローを更新するためのものであり、そのフローにアドレス A および B が関連付けられている場合は、このパケットもキャプチャされます。つまり、パケットに埋め込まれているアドレス A および B が一致している限り、そのパケットもキャプチャされます。
次の例では、persistent オプションを使用してキャプチャを設定する方法を示します。
次の例では、メモリの一部を開放するためには、キャプチャされた永続的なトレースをボックスからクリアする必要があることが示されています。
次に、include-decrypted オプションを使用してキャプチャを設定する例を示します。
これで、IPSec トンネルを介して ICMP トラフィックを送信できるようになりました。説明したとおり、キャプチャ コマンドは復号化された ICMP パケットを取得します。
関連コマンド
|
|
|
|---|---|
cd
現在の作業ディレクトリから指定したディレクトリに変更するには、特権 EXEC モードで cd コマンドを使用します。
cd [disk0: | disk1: | flash: ] [ path ]
構文の説明
内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
cdp-url
ローカル CA によって発行された証明書に含める CDP を指定するには、CA サーバ コンフィギュレーション モードで cdp-url コマンドを使用します。デフォルトの CDP に戻すには、このコマンドの no 形式を使用します。
構文の説明
ローカル CA によって発行された証明書の失効ステータスを検証側が取得する URL を指定します。URL は、英数字 500 文字未満である必要があります。 |
デフォルト
デフォルトの CDP URL は、ローカル CA が含まれる ASA の CDP URL です。デフォルトの URL の形式は、http://hostname.domain/+CSCOCA+/asa_ca.crl です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CDP は、発行された証明書に含めることができる拡張であり、証明書の失効ステータスを検証側が取得できる場所を指定できます。一度に設定できる CDP は 1 つだけです。
(注) CDP URL が指定された場合、管理者はその場所から現在の CRL にアクセスできるように管理する必要があります。
例
次に、ローカル CA サーバが発行した証明書に対して、10.10.10.12 の CDP を設定する例を示します。
ciscoasa(config-ca-server)# cdp-url http://10.10.10.12/ca/crl
ciscoasa(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
証明書
指定した証明書を追加するには、crypto ca 証明書チェーン コンフィギュレーション モードで certificate コマンドを使用します。証明書を削除するには、このコマンドの no 形式を使用します。
certificate [ ca | ra-encrypt | ra-sign | ra-general ] certificate-serial-number
no certificate certificate-serial-number
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行する場合、ASA は、コマンドに含まれているデータを 16 進形式の証明書として解釈します。 quit ストリングは、証明書の末尾を示します。
CA は、メッセージ暗号化のためのセキュリティ クレデンシャルおよび公開キーの発行および管理を行うネットワーク内の組織です。公開キー インフラストラクチャの一部である CA は、RA と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。
例
次に、シリアル番号 29573D5FF010FE25B45 の CA 証明書を追加する例を示します。
ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# crypto ca certificate chain central
ciscoasa(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
関連コマンド
|
|
|
|---|---|
certificate-group-map
証明書マップのルール エントリをトンネル グループに関連付けるには、webvpn コンフィギュレーション モードで certificate-group-map コマンドを使用します。現在のトンネル グループ マップの関連付けをクリアするには、このコマンドの no 形式を使用します。
certificate-group-map certificate_map_name index tunnel_group_name
構文の説明
マップ エントリが証明書と一致する場合に選択されるトンネル グループの名前。 tunnel-group name はすでに存在している必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
certificate-group-map コマンドが有効な状態で、WebVPN クライアントから受信した証明書がマップ エントリに対応する場合、結果として得られるトンネル グループは、接続に関連付けられ、ユーザが選択したトンネル グループを上書きします。
例
次に、tgl という名前のトンネル グループにルール 6 を関連付ける例を示します。
hostname(config-webvpn)# certificate-group-map map1 6 tg1
hostname(config-webvpn)#
関連コマンド
|
|
|
|---|---|
証明書の発行者名とサブジェクト名の識別名(DN)に基づいて、ルールを設定するために CA 証明書マップ コンフィギュレーション モードを開始します。 |
|
chain
証明書チェーンの送信をイネーブルにするには、トンネル グループ ipsec 属性コンフィギュレーション モードで chain コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、トンネル グループ ipsec 属性コンフィギュレーション モードを開始し、IPSec LAN-to-LAN トンネル グループのチェーンを IP アドレス 209.165.200.225 で送信することをイネーブルにする例を示します。このアクションには、ルート証明書およびすべての下位 CA 証明書が含まれます。
関連コマンド
|
|
|
|---|---|
change-password
ユーザが自分のアカウント パスワードを変更できるようにするには、特権 EXEC モードで change-password コマンドを使用します。
change-password [/ silent ] [ old-password old-password [ new-password new-password ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザがパスワードを省略すると、ASA から入力を求めるプロンプトが表示されます。ユーザが change-password コマンドを入力すると、実行コンフィギュレーションを保存するように求められます。ユーザが正常にパスワードを変更した後、ユーザに設定変更を保存するように再通知するメッセージが表示されます。
例
次に、ユーザ アカウントのパスワードを変更する例を示します。
関連コマンド
|
|
|
|---|---|
changeto
セキュリティ コンテキストとシステムの間で切り替えを行うには、特権 EXEC モードで changeto コマンドを使用します。
changeto { system | context name }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
システム実行スペースまたは管理コンテキストにログインしている場合、コンテキスト間で切り替えを行うことができ、各コンテキスト内でコンフィギュレーションおよびタスクのモニタリングを実行できます。コンフィギュレーション モードで編集したか、あるいは copy または write コマンドで使用した「実行」コンフィギュレーションは、その時点での実行スペースによって異なります。現在の実行スペースがシステム実行スペースの場合、実行コンフィギュレーションは、システム コンフィギュレーションのみで構成されます。コンテキスト実行スペースの場合、実行コンフィギュレーションは、そのコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション(システムおよびすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。
例
次に、特権 EXEC モードでコンテキストとシステムの間で切り替えを行う例を示します。
次に、インターフェイス コンフィギュレーション モードでシステムと管理コンテキストの間で切り替えを行う例を示します。実行スペースを変更するときにコンフィギュレーション モードを開始している場合、モードは新しい実行スペースのグローバル コンフィギュレーション モードに変わります。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。 |
|
channel-group
EtherChannel に物理インターフェイスを割り当てるには、インターフェイス コンフィギュレーション モードで channel-group コマンドを使用します。インターフェイスの割り当てを解除するには、このコマンドの no 形式を使用します。
channel-group channel_id mode { active | passive | on } [ vss-id { 1 | 2 }]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ASA クラスタリングおよびスパンド EtherChannel をサポートするために vss-id キーワードが追加されました。 |
使用上のガイドライン
チャネル グループ 1 つにつき 8 個のインターフェイスをアクティブにすることができます。1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。
チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。
このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。
interface port-channel channel_id
リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。
1 つの ASA につき複数のインターフェイスを、スパンド EtherChannel に入れることができます。1 つの ASA につき複数のインターフェイスが特に役立つのは、VSS または vPC の両方のスイッチに接続するときです。ASA を VSS または vPC の 2 台のスイッチに接続する場合は、 vss-load-balance キーワードを使用して VSS ロード バランシングをイネーブルにする必要があります。この機能を使用すると、ASA と VSS(または vPC)ペアとの間の物理リンク接続の負荷が確実に分散されます。ロード バランシングをイネーブルにする前に、各メンバー インターフェイスに対して channel-group コマンドの vss-id キーワードを設定する必要があります。
例
次に、チャネル グループ 1 にインターフェイスを割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
EtherChannel 情報が、詳細に 1 行のサマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。 |
|
ポートチャネル負荷分散情報が、指定のパラメータ セットに対するハッシュ結果および選択されたメンバー インターフェイスとともに表示されます。 |
character-encoding
WebVPN ポータル ページでグローバルな文字エンコーディングを指定するには、webvpn コンフィギュレーション モードで character-encoding コマンドを使用します。character-encoding 属性の値を削除するには、このコマンドの no 形式を使用します。
構文の説明
最大 40 文字から成るストリングで、 http://www.iana.org/assignments/character-sets で特定されている有効な文字セットのいずれかに相当するもの。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。 この文字列は、大文字と小文字が区別されません。ASA 設定内では、コマンド インタープリタによって大文字が小文字に変換されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
文字エンコーディング は「文字コード」や「文字セット」とも呼ばれ、raw データ(0 や 1 など)を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。ある言語では同じ方式を使用していても、別の言語でも同じとはかぎりません。通常、ブラウザで使用されるデフォルトのエンコーディング方式は地域によって決まりますが、ユーザはこの方式を変更できます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。character-encoding 属性を使用すると、ユーザは、文字エンコーディング方式の値を WebVPN ポータル ページに指定し、ブラウザを使用している地域やブラウザに対して行われたあらゆる変更に関係なく、ブラウザでこのページを正しく処理できます。
character-encoding 属性は、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、ユーザは、character-encoding 属性の値と異なる文字エンコーディングを使用する Common Internet File System(CIFS)サーバの file-encoding 属性を上書きできます。異なる文字エンコーディングが必要な CIFS サーバには異なるファイル エンコーディング値を使用します。
CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding 属性の値を符号化します。符号化が行われなかった場合は、character-encoding 属性の値を継承します。リモート ユーザのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding 属性も設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。
CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding 属性によって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを正しくレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。
(注) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。Shift_JIS 文字エンコーディングを使用している場合、次の例に示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用して、これらの値の 1 つの設定を補完して、フォント ファミリを置き換える必要があります。あるいは、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力して、このフォント ファミリを削除する必要があります。
この属性に値が含まれていない場合、WebVPN ポータル ページの文字セットは、リモート ブラウザに設定されているエンコーディング タイプによって決まります。
例
次に、日本語 Shift_JIS 文字をサポートする character-encoding 属性を設定し、フォント ファミリを削除し、デフォルトの背景色を保持する例を示します。
関連コマンド
|
|
|
|---|---|
WebVPN の実行コンフィギュレーションを表示します。デフォルト コンフィギュレーションを組み込むには all キーワードを使用します。 |
checkheaps
checkheaps 検証の間隔を設定するには、グローバル コンフィギュレーション モードで checkheaps コマンドを使用します。この値をデフォルトに設定するには、このコマンドの no 形式を使用します。
checkheaps { check-interval | validate-checksum } seconds
no checkheaps { check-interval | validate-checksum } [ seconds ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
チェックヒープは、ヒープ メモリ バッファの正常性およびコード領域の完全性を検証する定期的なプロセスです(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられます)。
例
次に、バッファ割り当て間隔を 200 秒、コード スペースのチェックサムの間隔を 500 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
check-retransmission
TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。矛盾する再送信をエンド システムが解釈する際に生じる TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。
ASA は、再送信のデータが元のデータと同じかどうかを確認しようとします。データが一致しない場合、接続が ASA によってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは順序どおりにのみ許可されます。詳細については、 queue-limit コマンドを参照してください。
例
次に、すべての TCP フローで TCP チェック再送信機能をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
policy-map コマンド、 class コマンド、および description コマンドの構文ヘルプを表示します。 |
|
checksum-verification
TCP チェックサムの検証をイネーブルまたはディセーブルにするには、tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの検証をイネーブルにします。このチェックに失敗すると、パケットはドロップされます。
例
次に、10.0.0.0 ~ 20.0.0.0 の TCP 接続で TCP チェックサムの検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
policy-map コマンド、 class コマンド、および description コマンドの構文ヘルプを表示します。 |
|
cipc security-mode authenticated(廃止)
Cisco IP Communicator(CIPC)Softphone を音声 VLAN シナリオまたはデータ VLAN シナリオに導入する場合に、強制的に CIPC Softphone を認証済みモードで動作させるには、電話プロキシ コンフィギュレーション モードで cipc security-mode authenticated コマンドを使用します。CIPC Softphone が暗号化をサポートしている場合に、このコマンドをオフにするには、このコマンドの no 形式を使用します。
cipc security-mode authenticated
no cipc security-mode authenticated
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
データ VLAN に影響を及ぼそうとするセキュリティ上の脅威から音声ストリームを守るために、複数の VLAN を使用して音声とデータのトラフィックを分離することがセキュリティ上のベスト プラクティスです。ただし、Cisco IP Communicator(CIPC)Softphone アプリケーションは、それぞれの IP Phone に接続する必要があります。IP Phone は、音声 VLAN に常駐しています。この要件により、音声 VLAN とデータ VLAN を分離することが問題になります。これは、SIP プロトコルおよび SCCP プロトコルが広範囲のポートで RTP ポートおよび RTCP ポートをダイナミックにネゴシエートするためです。このダイナミック ネゴシエーションでは、特定の範囲のポートを 2 つの VLAN の間で開く必要があります。
(注) 認証済みモードをサポートしていない旧バージョンの CIPC は、電話プロキシではサポートされていません。
データ VLAN と音声 VLAN の間でのアクセスを広範囲のポートで行わずに、データ VLAN 上の CIPC Softphone を音声 VLAN 上の該当する IP Phone と接続するには、 cipc security-mode authenticated コマンドを使用して電話プロキシを設定します。
このコマンドを使用すると、電話プロキシが CIPC コンフィギュレーション ファイルを参照し、CIPC ソフトフォンが強制的に(暗号化済みモードではなく)認証済みモードになります。これは、現在のバージョンの CIPC が暗号化済みモードをサポートしていないためです。
このコマンドがイネーブルの場合、電話プロキシは、電話コンフィギュレーション ファイルを解析し、電話が CIPC Softphone かどうかを判別し、セキュリティ モードを認証済みに変更します。またデフォルトでは、電話プロキシがすべての電話を強制的に暗号化済みモードにしている間だけ、CIPC Softphone は認証済みモードをサポートします。
例
次に、 cipc security-mode authenticated コマンドを使用して、音声 VLAN シナリオまたはデータ VLAN シナリオに Cisco IP Communicator(CIPC)Softphone を導入するときに CIPC Softphone を強制的に認証済みモードで動作させる例を示します。
ciscoasa(config)# phone-proxy asa_phone_proxy
関連コマンド
|
|
|
|---|---|
clacp static-port-priority
クラスタリング スパンド EtherChannel の LACP でダイナミック ポート プライオリティをディセーブルにするには、グローバル コンフィギュレーション モードで clacp static-port-priority コマンドを使用します。これは、アクティブ EtherChannel メンバーが 8 を超過する場合に必要となります。ダイナミック ポート プライオリティをイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
一部のスイッチはダイナミック ポート プライオリティをサポートしていないため、このコマンドはスイッチの互換性を高めます。さらに、このコマンドは、9 ~ 32 のアクティブ スパンド EtherChannel メンバーのサポートをイネーブルにします。このコマンドを使用しないと、サポートされるのは 8 個のアクティブ メンバと 8 個のスタンバイ メンバのみです。
ASA EtherChannel は、最大 16 のアクティブ リンクをサポートします。 スパンド EtherChannel では、vPC の 2 台のスイッチとともに使用し、 clacp static-port-priority コマンドによってダイナミック ポート プライオリティをディセーブルにした場合、この機能はクラスタ全体で最大 32 のアクティブ リンクをサポートするように拡張されます。スイッチは、16 のアクティブ リンクを持つ EtherChannel をサポートする必要があります(Nexus 7000 の F2 シリーズ 10 ギガビット イーサネット モジュールなど)。
8 つのアクティブ リンクをサポートする VSS または vPC のスイッチの場合、スパンド EtherChannel に 16 のアクティブ リンクを設定できます(各スイッチに 8 つ接続)。
(注) スパンド EtherChannel で 8 つを超えるアクティブ リンクを使用する場合は、スタンバイ リンクも使用することはできません。9 ~ 32 のアクティブ リンクのサポートでは、スタンバイ リンクを使用できる cLACP ダイナミック ポート プライオリティをディセーブルにする必要があります。
例
次に、ダイナミック ポート プライオリティをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
clacp system-mac
ASA クラスタのマスター ユニットで cLACP システム ID を手動で設定する場合、クラスタ グループ コンフィギュレーション モードで clacp system-mac コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
clacp system-mac { mac_address | auto } [ system-priority number ]
no clacp system-mac { mac_address | auto } [ system-priority number ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。cLACP ネゴシエーションのときに、同じクラスタ内の ASA は互いに連携し、スイッチに対して全体で 1 つの(仮想)デバイスであるかのように見せます。cLACP ネゴシエーションのパラメータの 1 つであるシステム ID は、MAC アドレスの形式をとります。すべての ASA で同じシステム ID が使用されます。システム ID は、マスター ユニットによって自動生成され(デフォルト)、すべてのスレーブに複製されるか、このコマンドに手動で指定します。トラブルシューティングの目的で、たとえば、識別が容易な MAC アドレスを使用できるように、手動で MAC アドレスを設定することがあります。一般的には、自動生成された MAC アドレスを使用します。
このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。ただし、クラスタリングをイネーブルにした後は、この値は変更できません。
例
関連コマンド
|
|
|
|---|---|
class(グローバル)
セキュリティ コンテキストの割り当て先のリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。
構文の説明
20 文字までの文字列で名前を指定します。デフォルト クラスに関する制限を設定するには、 default という名前を入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストが ASA のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。
ASA では、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。
クラスを作成すると、ASA は、クラスに割り当てられる各コンテキストに対してリソースの一部を確保しなくなります。その代わりに、ASA は、コンテキストの上限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。クラス用のリソースを設定するには、 limit-resource コマンドを参照してください。
すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。
コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2 % の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。逆に、すべてのリソースに対する制限を設定してクラスを作成した場合、そのクラスはデフォルト クラスの設定を使用しません。
デフォルトでは、デフォルト クラスは、すべてのコンテキストにリソースへのアクセスを無制限に提供します。ただし、次の制限が適用されます(この制限は、デフォルトではコンテキストあたりの最大許容値が設定されます)。
例
次に、接続のデフォルト クラスの制限に、無制限ではなく 10 % を設定する例を示します。
gold というクラスを追加するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
class(ポリシー マップ)
クラス マップ トラフィックにアクションを割り当てることができるポリシー マップにクラス マップを割り当てるには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。ポリシー マップからクラス マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
class コマンドを使用するには、Modular Policy Framework を使用します。レイヤ 3/4 ポリシー マップでクラスを使用するには、次のコマンドを入力します。
1. class-map :アクションを実行するトラフィックを識別します。
2. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. commands for supported features :特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、CLI 設定ガイドを参照してください。
3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
インスペクション ポリシー マップでクラスを使用するには、次のコマンドを入力します。
1. class-map type inspect :アクションを実行するトラフィックを指定します。
2. policy-map type inspect :各クラス マップに関連付けられているアクションを指定します。
a. class :アクションを実行するインスペクション クラス マップを指定します。
b. アプリケーション タイプのコマンド :各アプリケーション タイプで使用可能なコマンドについては、CLI 設定ガイドを参照してください。インスペクション ポリシー マップのクラス コンフィギュレーション モードでサポートされているアクションには、次のものが含まれます。
c. parameters :インスペクション エンジンに影響を及ぼすパラメータを設定します。CLI はパラメータ コンフィギュレーション モードに移行します。使用可能なコマンドについては、CLI 設定ガイドを参照してください。
3. class-map :アクションを実行するトラフィックを識別します。
4. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するレイヤ 3/4 クラス マップを指定します。
b. inspect application inspect_policy_map :アプリケーション インスペクションをイネーブルにし、特別なアクションを実行するインスペクション ポリシー マップを呼び出します。
5. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
このコンフィギュレーションには、すべてのトラフィックと一致する、 class-default と呼ばれるクラス マップが必ず含まれています。各レイヤ 3/4 ポリシー マップの末尾には、アクションが定義されていない class-default クラス マップがコンフィギュレーションに含まれています。すべてのトラフィックと照合するが、別のクラス マップを作成しない場合、このクラス マップをオプションで使用できます。実際、一部の機能は、 class-default クラス マップ用にのみ設定できます( shape コマンドなど)。
class-default クラス マップを含めて、最大 63 個の class コマンドおよび match コマンドをポリシー マップに設定できます。
例
次に、 class コマンドを含む、接続ポリシーの policy-map コマンドの例を示します。このコマンドは、Web サーバ 10.1.1.1 への接続許可数を制限します。
次の例は、ポリシー マップでの複数の照合の動作を示しています。
次の例は、トラフィックが最初の利用可能なクラス マップと一致した場合に、同じ機能ドメインのアクションが指定されている後続のクラス マップと照合されないことを示しています。
Telnet 接続は、開始時に class telnet_traffic と一致します。同様に FTP 接続は、開始時に class ftp_traffic と一致します。Telnet および FTP 以外の TCP 接続の場合は、 class tcp_traffic と一致します。Telnet 接続または FTP 接続は class tcp_traffic と一致しますが、すでに他のクラスと一致しているため、ASA はこの照合を行いません。
関連コマンド
|
|
|
service-policy コマンドで使用中のポリシー マップを除く、すべてのポリシー マップ コンフィギュレーションを削除します。 |
|
class-map
モジュラ ポリシー フレームワークを使用するとき、グローバル コンフィギュレーション モードで class-map コマンド( type キーワードは指定しない)を使用して、アクションを適用するレイヤ 3 またはレイヤ 4 のトラフィックを指定します。クラス マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
40 文字までの長さのクラス マップ名を指定します。名前「class-default」と、「_internal」または「_default」で始まるすべての名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このタイプのクラス マップは、レイヤ 3/4 通過トラフィック専用です。ASA 宛ての管理トラフィックについては、 class-map type management コマンドを参照してください。
レイヤ 3/4 クラス マップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定します。1 つのレイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップを作成できます。
コンフィギュレーションには、デフォルト グローバル ポリシーで ASA が使用するデフォルトのレイヤ 3/4 クラス マップが含まれます。これは、 inspection_default と呼ばれ、デフォルト インスペクション トラフィックと一致します。
デフォルトのコンフィギュレーションに存在する別のクラス マップは、class-default と呼ばれ、これはすべてのトラフィックと一致します。
このクラス マップは、すべてのレイヤ 3/4 ポリシー マップの最後に表示され、原則的に、他のすべてのトラフィックでどんなアクションも実行しないように ASA に通知します。独自の match any クラス マップを作成するのではなく、必要に応じて class-default クラス マップを使用できます。実際のところ、class-default で使用可能な機能は、QoS トラフィック シェーピングなどの一部の機能だけです。
すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。
- class-map
- class-map type management
- class-map type inspection
- class-map type regex
- ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。
この制限にはすべてのタイプのデフォルト クラス マップも含まれます。
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。
4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。
class-map コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、クラス マップに含まれているトラフィックを指定する、 match コマンド( match tunnel-group コマンドおよび match default-inspection-traffic コマンドを除く)が 1 つだけ含まれています。
例
次に、4 つのレイヤ 3/4 クラス マップを作成する例を示します。
関連コマンド
|
|
|
|---|---|
class-map type inspect
モジュラ ポリシー フレームワーク を使用するときに、グローバル コンフィギュレーション モードで class-map type inspect コマンドを使用して検査アプリケーションに固有の基準と一致を確認します。インスペクション クラス マップを削除するには、このコマンドの no 形式を使用します。
class-map type inspect application [ match-all | match-any] class_map_name
no class-map [ type inspect application [ match-all | match-any ]] class_map_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます( policy-map type inspect コマンドを参照)。
インスペクション ポリシー マップでは、インスペクション クラス マップを作成して、対象とするトラフィックを指定できます。このクラス マップには、1 つ以上の match コマンドが含まれます(あるいは、単一の基準とアクションをペアにする場合は、インスペクション ポリシー マップで match コマンドを直接使用できます)。アプリケーション固有の基準を照合できます。たとえば DNS トラフィックの場合は、DNS クエリー内のドメイン名と照合可能です。
クラス マップは、複数のトラフィック照合をグループ化します(match-all クラス マップ)。あるいはクラス マップで、照合リストのいずれかを照合できます(match-any クラス マップ)。クラス マップを作成することと、インスペクション ポリシー マップ内で直接トラフィック照合を定義することの違いは、クラス マップを使用して複数の match コマンドをグループ化できる点と、クラス マップを再使用できる点です。このクラス マップで指定するトラフィックに対しては、インスペクション ポリシー マップで、接続のドロップ、リセット、またはロギングなどのアクションを指定できます。
すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。
- class-map
- class-map type management
- class-map type inspection
- class-map type regex
- ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。
この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。
例
次の例では、すべての基準に一致する必要がある HTTP クラス マップを作成します。
次の例では、基準のいずれかに一致する必要がある HTTP クラス マップを作成します。
関連コマンド
|
|
|
|---|---|
class-map type management
モジュラ ポリシー フレームワーク を使用するとき、グローバル コンフィギュレーション モードで class-map type management コマンドを使用して、アクションを適用する ASA 宛ての、レイヤ 3 またはレイヤ 4 の管理トラフィックを指定します。クラス マップを削除するには、このコマンドの no 形式を使用します。
class-map type management class_map_name
no class-map type management class_map_name
構文の説明
40 文字までの長さのクラス マップ名を指定します。名前「class-default」と、「_internal」または「_default」で始まるすべての名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ASA に向かう管理トラフィックの場合、レイヤ 3/4 管理クラス マップに set connection コマンドが使用できるようになりました。 conn-max キーワードおよび embryonic-conn-max キーワードだけが使用可能です。 |
使用上のガイドライン
このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド( type キーワードは指定しない)を参照してください。
ASA への管理トラフィックに対して、この種類のトラフィックに特有のアクションの実行が必要になる場合があります。ポリシー マップの管理クラス マップで設定可能なアクションのタイプは、管理トラフィック専用です。たとえば、このタイプのクラス マップでは、RADIUS アカウンティング トラフィックをインスペクトして、接続制限を設定できます。
レイヤ 3/4 クラス マップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定します。すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。
レイヤ 3/4 ポリシー マップそれぞれに、複数のレイヤ 3/4 クラス マップ(管理トラフィックまたは通過トラフィック)を作成できます。
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドおよび class-map type management コマンドを使用して、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを識別します。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。
4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。
class-map type management コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。管理クラス マップを指定して、アクセス リストまたは TCP や UDP のポートと照合できます。レイヤ 3/4 クラス マップには、クラス マップに含まれるトラフィックを指定する match コマンドが 1 つだけが含まれています。
すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。
- class-map
- class-map type management
- class-map type inspection
- class-map type regex
- ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。
この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。
例
次に、レイヤ 3/4 管理クラス マップを作成する例を示します。
関連コマンド
|
|
|
|---|---|
class-map type regex
モジュラ ポリシー フレームワーク を使用するときに、グローバル コンフィギュレーション モードで class-map type regex コマンドを使用して、一致テキストで利用する正規表現をグループ化します。正規表現クラス マップを削除するには、このコマンドの no 形式を使用します。
class-map type regex match-any class_map_name
no class-map [ type regex match-any ] class_map_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます( policy-map type inspect コマンドを参照)。
インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。正規表現クラス マップで正規表現をグループ化できます。
正規表現クラス マップを作成する前に、 regex コマンドを使用して、正規表現を作成します。次に、 match regex コマンドを使用して、クラス マップ コンフィギュレーション モードで名前を付けられた正規表現を指定します。
すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。
- class-map
- class-map type management
- class-map type inspection
- class-map type regex
- ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。
この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。
例
次に、2 つの正規表現を作成し、これを正規表現クラス マップに追加する例を示します。トラフィックに文字列「example.com」または「example2.com」が含まれる場合、トラフィックはクラス マップと一致します。
関連コマンド
|
|
|
|---|---|
clear aaa kerberos
Kerberos 情報をクリアするには、特権 EXEC モードで clear aaa kerberos コマンドを使用します。
clear aaa kerberos { tickets [ username user ] | keytab }
構文の説明
Kerberos チケット情報をクリアします。チケットをクリアするユーザを指定する username キーワードを含めない限り、すべてのチケットがクリアされます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、すべての Kerberos チケットをクリアする例を示します。
ciscoasa# clear aaa kerberos tickets
次に、Kerberos キータブファイルを表示した後にクリアする例を示します。
ciscoasa# show aaa kerberos keytab
ciscoasa# clear aaa kerberos keytab
ciscoasa# show aaa kerberos keytab
ciscoasa#
関連コマンド
|
|
|
clear aaa local user
ユーザをロック解除したり、ユーザの失敗した認証試行回数をゼロにリセットしたりするには、特権 EXEC モードで clear aaa local user コマンドを使用します。
clear aaa local user { fail-attempts | lockout } { username name | all }
構文の説明
現在ロックアウトされているユーザをロック解除し、ユーザの失敗試行カウンタを 0 にリセットします。このオプションは、ロックアウトされていないユーザには影響を与えません。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザが認証試行を何回か失敗した後に、ユーザ認証を失敗にするには、このコマンドを使用します。
設定された認証試行の失敗数に達すると、ユーザは、システムからロック アウトされ、システム管理者がこのユーザ名のロックを解除するか、またはシステムをリブートするまで、正常にログインできません。ユーザが正常に認証されるか、またはシステムをリブートすると、失敗試行数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。また、コンフィギュレーションが変更されると、システムがカウンタを 0 にリセットします。
ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。特権レベル 15 のシステム管理者は、ロック アウトされません。
例
次に、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする例を示します。
次に、すべてのユーザの失敗試行カウンタを 0 にリセットする例を示します。
次に、ユーザ名 anyuser のロックアウト状態をクリアし、失敗試行カウンタを 0 にリセットする例を示します。
関連コマンド
|
|
|
clear aaa sdi node-secret
RSA SecurID サーバのノードシークレットファイルを削除するには、特権 EXEC モードで clear aaa sdi node-secret コマンドを使用します。
clear aaa sdi node-secret rsa_server_address
構文の説明
ノードシークレットファイルを削除する RSA SecurID/Authentication Manager サーバの IP アドレスまたは完全修飾ホスト名。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ノードシークレットファイルのリストを表示し、その 1 つを削除する例を示します。必要に応じて、aaa sdi import-node-secret コマンドを使用して、サーバの新しいノードシークレットファイルをインポートしてください。
ciscoasa# show aaa sdi node-secrets
ciscoasa# clear aaa sdi node-secret rsaam.example.com
関連コマンド
|
|
|
clear aaa-server statistics
AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。
clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
CLI ガイドラインに沿うように、このコマンドが変更されました。プロトコルの値において、以前の nt-domain から nt に、以前の rsa-ace から sdi に置き換えられました。 |
例
次に、グループ内の特定のサーバの AAA 統計情報をリセットする例を示します。
ciscoasa(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
次に、サーバ グループ全体の AAA 統計情報をリセットする例を示します。
ciscoasa(config)# clear aaa-server statistics svrgrp1
次に、すべてのサーバ グループの AAA 統計情報をリセットする例を示します。
ciscoasa(config)# clear aaa-server statistics
次に、特定のプロトコル(この場合は TACACS+)の AAA 統計情報をリセットする例を示します。
ciscoasa(config)# clear aaa-server statistics protocol tacacs+
関連コマンド
|
|
|
clear access-list
アクセス リスト カウンタをクリアするには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear access-list コマンドを入力したら、カウンタをクリアするアクセス リストの ID を指定します 。
例
次に、特定のアクセス リスト カウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
OSPF ルートの宛先 IP アドレスを識別するアクセス リストを追加します。このアクセス リストは、OSPF 再配布のルート マップで使用できます。 |
|
clear arp
ダイナミック ARP エントリまたは ARP 統計情報をクリアするには、特権 EXEC モードで clear arp コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear asp
高速セキュリティ パス(ASP)の統計情報をクリアするには、 clear asp コマンドを使用します。
clear asp { cluster counter | drop [ flow | frame ] | event dp-cp | queue-exhaustion [ snapshot number ] | load-balance history | overhead | table [ arp | classify | filter [ access-list acl_name ]]}
構文の説明
デフォルト
コマンド履歴
|
|
|
|---|---|
例
次に、すべての ASP テーブルの統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
現在のステータス、最高水準点と最低水準点、グローバルなしきい値、最後のリセット以降のパケットごとの ASP ロード バランシングのオンとオフの切り替え回数、タイム スタンプ付きのパケットごとの ASP ロード バランシングの履歴、およびオンとオフを切り替えた理由を表示します。 |
|
clear bfd counters
BFD カウンタをクリアするには、特権 EXEC モードで clear bfd counters コマンドを使用します。
clear bfd counters [ld local_discr | interface_name | ipv4 ip-address | ipv6 ipv6-address ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
BGP が登録され、BFD から転送パス検出失敗メッセージを受信できるように、BGP の BFD サポートを設定します。 |
|
clear bgp
ハードまたはソフト再構成を使用して Border Gateway Protocol(BGP)接続をリセットするには、特権 EXEC モードで clear bgp コマンドを使用します。
clear bgp {[ * | external ] [ ipv4 unicast [as_number | neighbor_address | table-map ] | ipv6 unicast [as_number | neighbor_address]] [ soft ] [ in | out ] | as_number [ soft ] [ in | out ] | neighbor_address [ soft ] [ in | out ] | table-map }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear bgp コマンドを使用して、ハード リセットまたはソフト再構成を開始できます。ハード リセットは、指定されたピアリング セッションを切断して再構築し、BGP ルーティング テーブルを再構築します。ソフト再構成は、保存されたプレフィックス情報を使用し、既存のピアリング セッションを切断せずに BGP ルーティング テーブルの再構成とアクティブ化を行います。ソフト再構成では、保存されているアップデート情報が使用されます。アップデートを保存するために追加のメモリが必要になりますが、ネットワークを中断せずに、新しい BGP ポリシーを適用することができます。ソフト再構成は、インバウンド セッション、またはアウトバウンド セッションに対して設定できます。
例
次の例では、システム実行スペースで clear bgp コマンドが指定されたときに、すべてのコンテキストですべての BGP セッションがリセットされます。このコマンドはすべての BGP セッションをリセットするため、アクションを確認する警告が表示されます。
次の例では、すべての BGP セッションが、シングル モードまたはマルチ コンテキスト モードのコンテキストでリセットされます。
次の例では、ネイバー 10.100.0.1 とのインバウンド セッションに対してソフト再構成が開始され、アウトバウンド セッションは影響を受けません。
次の例では、ルート リフレッシュ機能が BGP ネイバー ルータでイネーブルになっており、ネイバー 172.16.10.2 とのインバウンド セッションに対してソフト再構成が開始され、アウトバウンド セッションは影響を受けません。
次の例では、自律システム番号 35700 のすべてのルータとのセッションに対してハード リセットが開始されます。
次の例では、すべてのインバウンド eBGP ピアリング セッションに対してソフト再構成が設定されます。
次の例では、すべてのアウトバウンド アドレス ファミリ IPv4 マルチキャスト eBGP ピアリング セッションがクリアされます。
次の例では、自律システム 65400 の IPv4 ユニキャスト アドレス ファミリ セッションで BGP ネイバーのインバウンド セッションに対してソフト再構成が開始され、アウトバウンド セッションは影響を受けません。
次の例では、asplain 表記の 4 バイトの自律システム番号 65538 の IPv4 ユニキャスト アドレス ファミリ セッションで BGP ネイバーに対してハード リセットが開始されます。
次の例では、asdot 表記の 4 バイトの自律システム番号 1.2 の IPv4 ユニキャスト アドレス ファミリ セッションで BGP ネイバーに対してハード リセットが開始されます。
次の例は、IPv4 ユニキャスト ピアリング セッションのテーブル マップをクリアします。
clear blocks
枯渇状態や履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。
clear blocks [ exhaustion { history | snapshot } | export-failed | queue [ history [ core-local [ number ]]]]
構文の説明
(任意)すべてのコア、またはコア番号を指定する場合は特定のコアに対し、アプリケーションによってキューに入れられたシステム バッファをクリアします。 |
|
デフォルト
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最低水準点カウンタを各プール内で現在使用可能なブロックにリセットします。また、このコマンドは、前回のバッファ割り当ての失敗時に保存された履歴情報をクリアします。
例
関連コマンド
|
|
|
|---|---|
clear-button
WebVPN ユーザが ASA に接続したときに表示される WebVPN ページ ログイン フィールドの [Clear] ボタンをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで clear-button コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
clear-button { text | style } value
no clear-button [{ text | style }] value
構文の説明
実際に表示するテキストまたは Cascading Style Sheet(CSS)パラメータ(それぞれ許容最大文字数は 256 です)。 |
デフォルト
デフォルトのスタイルは、border:1px solid black;background-color:white;font-weight:bold;font-size:80% です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、[Clear] ボタンのデフォルトの背景色を黒から青に変更する例を示します。
関連コマンド
|
|
|
clear capture
キャプチャ バッファをクリアするには、特権 EXEC コンフィギュレーション モードで clear capture コマンドを使用します。
clear capture { /all | capture_name }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
誤ってすべてのパケット キャプチャを破棄することを防止するために、 clear capture の短縮形(たとえば、 cl cap や clear cap )は、サポートされていません。
例
次に、キャプチャ バッファ「example」のキャプチャ バッファをクリアする例を示します。
ciscoasa(config)# clear capture example
関連コマンド
|
|
|
|---|---|
clear clns cache
Connectionless Network Service(CLNS)ルーティング キャッシュをクリアして再初期化するには、clear clns cache EXEC コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
使用上のガイドライン
例
次に、CLNS ルーティング キャッシュをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear clns is-neighbors
隣接データベースから IS ネイバー情報を削除するには、clear clns is-neighbors EXEC コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
使用上のガイドライン
隣接データベースから IS ネイバー情報をクリアするには、 clear clns is-neighbors コマンドを使用します。
例
次に、CLNS es-neighbor をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear clns neighbors
隣接データベースから CLNS ネイバー情報を削除するには、clear clns neighbors EXEC コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
使用上のガイドライン
例
次に、隣接データベースから CLNS ネイバー情報を削除する例を示します。
関連コマンド
|
|
|
|---|---|
clear clns route
動的に導出されたすべての CLNS ルーティング情報を削除するには、clear clns route EXEC コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
使用上のガイドライン
例
次に、動的に導出されたすべての CLNS ルーティング情報を削除する例を示します。
関連コマンド
|
|
|
|---|---|
clear cluster info
クラスタ統計情報をクリアするには、特権 EXEC モードで clear cluster info コマンドを使用します。
clear cluster info { flow-mobility counters | health details | trace | transport}
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、クラスタ イベント トレース情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear compression
すべての SVC および WebVPN の接続の圧縮統計情報をクリアするには、特権 EXEC モードで clear compression コマンドを使用します。
clear compression { all | anyconnect-ssl | http-comp }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ユーザの圧縮コンフィギュレーションをクリアする例を示します。
関連コマンド
|
|
|
フィードバック