コマンド リファレンス
この付録では、SSL Services Moduleのコマンドについて説明します。
表B-1 に、この付録で説明するコマンドの概要を示します。
表B-2 に、コマンドおよびサブモード コマンドを示します。
表B-2 コマンドおよびサブモード コマンド
|
|
ssl-proxy policy ssl |
cipher { rsa-with-3des-ede-cbc-sha | rsa-with-des-cbc-sha | rsa-with-rc4-128-md5 | rsa-with-rc4-128-sha | all } |
[ no ] close-protocol |
default { cipher | close-protocol | session-cache | version } |
exit |
help |
[ no ] session-cache |
[ no ] session-cache size size |
[ no ] timeout handshake time |
[ no ] timeout session time [ absolute ] |
version { all | ssl3 | tls1 } |
ssl-proxy policy tcp |
exit |
[ no ] timeout fin-wait timeout-in-seconds |
help |
[ no ] timeout inactivity timeout-in-seconds |
[ no ] buffer-share rx buffer-limit-in-bytes |
[ no ] buffer-share tx buffer-limit-in-bytes |
[ no ] mss max-segment-size-in-bytes |
[ no ] timeout syn timeout-in-seconds |
[ no ] timeout reassembly time-in-seconds |
ssl-proxy service |
certificate rsa general-purpose trustpoint trustpoint-name |
default { nat } |
exit |
help |
inservice |
nat { server | client natpool-name } |
server ipaddr ip-addr protocol protocol port portno |
server policy tcp server-side-tcp-policy-name |
virtual { ipaddr ip-addr } { protocol protocol } { port portno } [ secondary ] |
virtual { policy ssl ssl-policy-name } |
virtual { policy tcp client-side-tcp-policy-name } |
ssl-proxy vlan |
admin |
exit |
gateway prefix [ drop | forward ] |
help |
ipaddr prefix mask |
no |
route { prefix mask } { gateway prefix } |
clear ssl-proxy conn
clear ssl-proxy conn コマンドを使用すると、システム全体のTCP接続をすべて削除できます。
clear ssl-proxy conn
構文の説明
service name |
(任意)指定されたサービスの接続を削除します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュール Release 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
システム全体のTCP接続をすべて削除するには、オプションを指定せずに、 clear ssl-proxy connection コマンドを使用します。
例
次に、指定されたサービスの接続を削除する例を示します。
ssl-proxy# clear ssl-proxy conn service S6
次に、システム全体のTCP接続をすべて削除する例を示します。
ssl-proxy# clear ssl-proxy conn
clear ssl-proxy session
clear ssl-proxy session コマンドを使用すると、セッション キャッシュからすべてのエントリを削除できます。
clear ssl-proxy session
構文の説明
service name |
(任意)指定されたサービスのセッション キャッシュを削除します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
SSLサービス モジュールRelease 1.2(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
すべてのサービスにおけるセッション キャッシュからエントリをすべて削除するには、オプションを指定せずに、 clear ssl-proxy session コマンドを使用します。
例
次に、SSLサービス モジュールの指定されたサービスのセッション キャッシュからエントリを削除する例を示します。
ssl-proxy# clear ssl-proxy session service S6
次に、SSLサービス モジュールで維持されるセッション キャッシュのすべてのエントリを削除する例を示します。
ssl-proxy# clear ssl-proxy session
clear ssl-proxy stats
clear ssl-proxy stats コマンドを使用すると、SSLサービス モジュールの各システム コンポーネントに保持された統計カウンタをリセットできます。
clear ssl-proxy stats [ crypto | fdu | ipc | pki | service | ssl | tcp ]
構文の説明
crypto |
(任意)暗号統計情報を消去します。 |
fdu |
(任意)F6DU統計情報を消去します。 |
ipc |
(任意)Inter Processor Communication(IPC;プロセッサ間通信)統計情報を消去します。 |
pki |
(任意)PKI統計情報を消去します。 |
service name |
(任意)特定のサービスの統計情報を消去します。 |
ssl |
(任意)SSL統計情報を消去します。 |
tcp |
(任意)TCP統計情報を消去します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュール Release 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
SSLサービス モジュールに保持されている統計カウンタをすべてリセットするには、オプションを指定せずに、 clear ssl-proxy stats コマンドを使用します。
例
次に、SSLサービス モジュールの各システム コンポーネントに保持された統計カウンタをリセットする例を示します。
ssl-proxy# clear ssl-proxy stats crypto
ssl-proxy# clear ssl-proxy stats ipc
ssl-proxy# clear ssl-proxy stats pki
ssl-proxy# clear ssl-proxy stats service S6
次に、SSLサービス モジュールに保持された統計カウンタをすべて消去する例を示します。
ssl-proxy# clear ssl-proxy stats
crypto ca export pem
crypto ca export pem コマンドを使用すると、PEMファイルをSSLサービス モジュールからエクスポートできます。
crypto ca export trustpoint_label pem { terminal { des | 3des } { url url }} pass_phrase
構文の説明
trustpoint-label |
信頼点の名前 |
terminal |
端末上に要求を表示します。 |
des |
56ビットのDES-CBC暗号化アルゴリズムを指定します。 |
3des |
168ビットのDES(3DES)暗号化アルゴリズムを指定します。 |
url url |
URLの位置を指定します。有効値は、次のとおりです。 • ftp: ― FTPファイル システムへのエクスポート • null: ― ヌル ファイル システムへのエクスポート • nvram: ― NVRAMファイル システムへのエクスポート • rcp: ― RCPファイル システムへのエクスポート • scp: ― SCPファイル システムへのエクスポート • system: ― システム ファイル システムへのエクスポート • tftp: ― TFTPファイル システムへのエクスポート |
pass_phrase |
秘密鍵を保護するのに使用されるパス フレーズ |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
SSLサービス モジュールRelease 1.2(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
pass_phrase は、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。
パス フレーズの保護により、パス フレーズを鍵に関連付けます。鍵がエクスポートされるときに、パス フレーズは鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。
エクスポート不可能としてマークされた鍵をエクスポートすることはできません。
要求されれば、デフォルトのファイル拡張子を変更することができます。デフォルトのファイル拡張子は次のとおりです。
• 公開鍵(.pub)
• 秘密鍵(.prv)
• 証明書(.crt)
• CA証明書(.ca)
• 署名鍵(-sign)
• 暗号鍵(-encr)
(注) SSLソフトウェアRelease 1.2では、秘密鍵(.prv)、サーバ証明書(.crt)、およびサーバ証明書の発行者CA証明書(.ca)のみがエクスポートされます。すべてのCA証明書を含む証明書チェーン全体をエクスポートするには、PEMファイルではなくPKCS12ファイルを使用します。
例
次に、SSLサービス モジュールのPEMフォーマットファイルをエクスポートする例を示します。
ssl-proxy(config)#crypto ca import TP5 pem url tftp://10.1.1.1/TP5 password
% Importing CA certificate...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.ca]?
Reading file from tftp://10.1.1.1/TP5.ca
Loading TP5.ca from 10.1.1.1 (via Ethernet0/0.168): !
% Importing private key PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.prv]?
Reading file from tftp://10.1.1.1/TP5.prv
Loading TP5.prv from 10.1.1.1 (via Ethernet0/0.168): !
% Importing certificate PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.crt]?
Reading file from tftp://10.1.1.1/TP5.crt
Loading TP5.crt from 10.1.1.1 (via Ethernet0/0.168): !
% PEM files import succeeded.
*Apr 11 15:11:29.901: %SYS-5-CONFIG_I: Configured from console by console
crypto ca import pem
crypto ca import pem コマンドを使用すると、PEMフォーマットのファイルをSSLサービス モジュールにインポートできます。
crypto ca import trustpoint_label pem [exportable] {terminal | url url | usage-keys} pass_phrase
構文の説明
trustpoint-label |
信頼点の名前 |
exportable |
鍵がエクスポート可能に指定します。 |
terminal |
端末上に要求を表示します。 |
url url |
URLの位置を指定します。有効値は、次のとおりです。 • ftp: ― FTPファイル システムへのエクスポート • null: ― ヌル ファイル システムへのエクスポート • nvram: ― NVRAMファイル システムへのエクスポート • rcp: ― RCPファイル システムへのエクスポート • scp: ― SCPファイル システムへのエクスポート • system: ― システム ファイル システムへのエクスポート • tftp: ― TFTPファイル システムへのエクスポート |
pass_phrase |
パス フレーズ |
usage-keys |
1つの汎用鍵ペアではなく、2つの特別使用の鍵ペアが生成されるよう指定します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
SSLサービス モジュールRelease 1.2(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
入力したパス フレーズが正しくない場合は、エラーが表示されます。 pass_phrase は、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。
パス フレーズ保護により、パス フレーズは鍵に関連付けられます。鍵がエクスポートされるときに、パス フレーズは鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。
RSA鍵をインポートすると、公開鍵またはそれに対応する証明書を使用できます。
crypto ca import pem コマンドを使用すると、秘密鍵(.prv)、サーバ証明書(.crt)、および発行者のCA証明書(.ca)のみをインポートします。証明書チェーンに複数のCAレベルがある場合は、このコマンドが認証用に発行される前にルートCA証明書および下位CA証明書をインポートする必要があります。ルートCA証明書および下位CA証明書をインポートするには、カットアンドペーストまたはTFTPを使用します。
例
次に、SSLサービス モジュールにPEMフォーマット ファイルをインポートする例を示します。
ssl-proxy(config)# crypto ca import TP5 pem url tftp://10.1.1.1/TP5 password
% Importing CA certificate...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.ca]?
Reading file from tftp://10.1.1.1/TP5.ca
Loading TP5.ca from 10.1.1.1 (via Ethernet0/0.168): !
% Importing private key PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.prv]?
Reading file from tftp://10.1.1.1/TP5.prv
Loading TP5.prv from 10.1.1.1 (via Ethernet0/0.168): !
% Importing certificate PEM file...
Address or name of remote host [10.1.1.1]?
Destination filename [TP5.crt]?
Reading file from tftp://10.1.1.1/TP5.crt
Loading TP5.crt from 10.1.1.1 (via Ethernet0/0.168): !
% PEM files import succeeded.
*Apr 11 15:11:29.901: %SYS-5-CONFIG_I: Configured from console by console
crypto ca export pkcs12
crypto ca export コマンドを使用すると、PKCS12ファイルをSSLサービス モジュールからエクスポートできます。
crypto ca export trustpoint_label pkcs12 file_system [ pkcs12_filename ] pass_phrase
構文の説明
trustpoint_label |
信頼点ラベルを指定します。 |
file_system |
ファイル システムを指定します。有効な値は scp:、ftp:、nvram:、rcp:、 および tftp: です。 |
pkcs12_filename |
エクスポートするPKCS12ファイルの名前を指定します。 |
pass_phrase |
PKCS12ファイルのパス フレーズを指定します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュール Release 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
インポートされた鍵ペアは、エクスポートできません。
Secure Shell(SSH)を使用している場合は、PKCS12ファイルをエクスポートするときに、SCP(セキュアなファイル転送)を使用することを推奨します。SCPはホストを認証して、転送セッションを暗号化します。
pkcs12_filename を指定しない場合は、デフォルトのファイル名( trustpoint_label )を受け入れるか、またはファイル名を入力するように要求されます。 ftp: 、または tftp: 値には、 pkcs12_filename のすべてのパスを含める必要があります。
入力したパス フレーズが正しくない場合は、エラーが表示されます。
複数のCAレベルがある場合は、ルートCAおよびすべての下位CA証明書がPKCS12ファイルでエクスポートされます。
例
次に、SCPを使用してPKCS12ファイルをエクスポートする例を示します。
ssl-proxy(config)#crypto ca export TP1 pkcs12 scp: sky is blue
Address or name of remote host []? 10.1.1.1
Destination username [ssl-proxy]? admin-1
Destination filename [TP1]? TP1.p12
Writing TP1.p12 Writing pkcs12 file to scp://admin-1@10.1.1.1/TP1.p12
CRYPTO_PKI:Exported PKCS12 file successfully.
crypto ca import pkcs12
crypto ca import コマンドを使用すると、PKCS12ファイルをSSLサービス モジュールにインポートできます。
crypto ca import trustpoint_label pkcs12 file_system [ pkcs12_filename ] pass_phrase
構文の説明
trustpoint_label |
信頼点ラベルを指定します。 |
file_system |
ファイル システムを指定します。有効な値は scp:、ftp:、nvram:、rcp:、 および tftp: です。 |
pkcs12_filename |
インポートするPKCS12ファイルの名前を指定します。 |
pass_phrase |
PKCS12ファイルのパス フレーズを指定します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
SSHを使用している場合は、PKCS12ファイルをインポートするときに、SCP(セキュアなファイル転送)を使用することを推奨します。SCPはホストを認証して、転送セッションを暗号化します。
pkcs12_filename を指定しない場合は、デフォルトのファイル名( trustpoint_label )を受け入れるか、またはファイル名を入力するように要求されます。 ftp: 、または tftp: 値には、 pkcs12_filename のすべてのパスを含める必要があります。
入力したパス フレーズが正しくない場合は、エラーが表示されます。
複数のCAレベルがある場合は、ルートCAおよびすべての下位CA証明書がPKCS12ファイルにエクスポートされます。
例
次に、SCPを使用してPKCS12ファイルをインポートする例を示します。
ssl-proxy(config)# crypto ca import TP2 pkcs12 scp: sky is blue
Address or name of remote host []? 10.1.1.1
Source username [ssl-proxy]? admin-1
Source filename [TP2]? /users/admin-1/pkcs12/TP2.p12
Sending file modes:C0644 4379 TP2.p12
*Aug 22 12:30:00.531:%CRYPTO-6-PKCS12IMPORT_SUCCESS:PKCS #12 Successfully Imported.
crypto key export rsa pem
crypto key export rsa pem コマンドを使用すると、 PEMフォーマットのRSA鍵をSSLサービス モジュール からエクスポートできます。
crypto key export rsa keylabel pem { terminal | url url } {{ 3des | des} pass_phrase }
構文の説明
keylabel |
鍵の名前 |
terminal |
端末上に要求を表示します。 |
url url |
URLの位置を指定します。有効値は、次のとおりです。 • ftp: ― FTPファイル システムへのエクスポート • null: ― ヌル ファイル システムへのエクスポート • nvram: ― NVRAMファイル システムへのエクスポート • rcp: ― RCPファイル システムへのエクスポート • scp: ― SCPファイル システムへのエクスポート • system: ― システム ファイル システムへのエクスポート • tftp: ― TFTPファイル システムへのエクスポート |
des |
56ビットのDES-CBC暗号化アルゴリズムを指定します。 |
3des |
168ビットのDES(3DES)暗号化アルゴリズムを指定します。 |
exportable |
(任意)鍵をエクスポート可能に指定します。 |
pass_phrase |
パス フレーズ |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
SSLサービス モジュールRelease 1.2(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
パス フレーズは、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。
パス フレーズ保護により、パス フレーズは鍵に関連付けられます。パス フレーズは、鍵がエクスポートされるときに、鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。
例
次に、SSLサービス モジュールから鍵をエクスポートする例を示します。
ssl-proxy(config)# crypto key export rsa test-keys pem url scp: 3des password
Usage:General Purpose Key
Address or name of remote host []? 7.0.0.7
Destination username [ssl-proxy]? lab
Destination filename [test-keys.pub]?
Writing test-keys.pub Writing file to scp://lab@7.0.0.7/test-keys.pub
Address or name of remote host []? 7.0.0.7
Destination username [ssl-proxy]? lab
Destination filename [test-keys.prv]?
Writing test-keys.prv Writing file to scp://lab@7.0.0.7/test-keys.prv
crypto key import rsa pem
crypto key import rsa pem コマンドを使用すると、PEMフォーマットのRSA鍵を SSLサービス モジュール にインポートできます。
crypto key import rsa keylabel pem [ usage-keys ] { terminal | url url } [ exportable ] passphrase }
構文の説明
keylabel |
鍵の名前 |
usage-keys |
(任意)1つの汎用鍵ペアではなく、2つの特別使用の鍵ペアが生成されるよう指定します。 |
terminal |
端末上に要求を表示します。 |
url url |
URLの位置を指定します。有効値は、次のとおりです。 • ftp: ― FTPファイル システムへのエクスポート • null: ― ヌル ファイル システムへのエクスポート • nvram: ― NVRAMファイル システムへのエクスポート • rcp: ― RCPファイル システムへのエクスポート • scp: ― SCPファイル システムへのエクスポート • system: ― システム ファイル システムへのエクスポート • tftp: ― TFTPファイル システムへのエクスポート |
exportable |
(任意)鍵をエクスポート可能に指定します。 |
passphrase |
パス フレーズ |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
SSLサービス モジュールRelease 1.2(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
パス フレーズは、スペースおよび句読点を含むあらゆるフレーズになりえます。ただし、Cisco IOSの解析に特別な意味を持つ[ ? ]は除きます。
パス フレーズ保護により、パス フレーズを鍵に関連付けます。パス フレーズは、鍵がエクスポートされるときに、鍵を暗号化するのに使用されます。また、この鍵がインポートされるときには、これと同じパス フレーズを入力して鍵を複合化する必要があります。
例
次に、PEMフォーマットのRSA鍵をSSLサービス モジュールにインポートする例を示します。
ssl-proxy(config)# crypto key import rsa newkeys pem url scp: password
% Importing public key or certificate PEM file...
Address or name of remote host []? 7.0.0.7
Source username [ssl-proxy]? lab
Source filename [newkeys.pub]? test-keys.pub
Sending file modes:C0644 272 test-keys.pub
Reading file from scp://lab@7.0.0.7/test-keys.pub!
% Importing private key PEM file...
Address or name of remote host []? 7.0.0.7
Source username [ssl-proxy]? lab
Source filename [newkeys.prv]? test-keys.prv
Sending file modes:C0644 963 test-keys.prv
Reading file from scp://lab@7.0.0.7/test-keys.prv!% Key pair import succeeded.
debug ssl-proxy
debug ssl-proxy コマンドを使用すると、各システム コンポーネントのデバッグ フラグをオンにすることができます。デバッグ フラグをオフにするには、このコマンドの no 形式を使用します。
debug ssl-proxy { app | fdu [ type ] | ipc | pki [ type ] | ssl [ type ] | tcp [ type ]}
構文の説明
app |
アプリケーションのデバッグをオンにします。 |
fdu [ type ] |
FDUのデバッグをオンにします。(任意) type の有効値は cli 、 hash 、 ipc 、および trace です。詳細については、「使用上の注意事項」を参照してください。 |
ipc |
IPCのデバッグをオンにします。 |
pki [ type ] |
PKIのデバッグをオンにします(任意) type の有効値は cert 、 events 、 history 、 ipc 、および key です。詳細については、「使用上の注意事項」を参照してください。 |
ssl [ type ] |
SSLのデバッグをオンにします。(任意) type の有効値は alert 、 error 、 handshake 、および pkt です。詳細については、「使用上の注意事項」を参照してください。 |
tcp [ type ] |
TCPのデバッグをオンにします。(任意) type の有効値は event 、 packet 、 state 、および timers です。詳細については、「使用上の注意事項」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
fdu type には、次の値を入力します。
• cli ― FDU CLI(コマンドライン インターフェイス)をデバッグします。
• hash ― FDUハッシュをデバッグします。
• ipc ― FDU IPCをデバッグします。
• trace ― FDUトレースをデバッグします。
pki type には、次の値を入力します。
• certs ― 証明書管理をデバッグします。
• events ― イベントをデバッグします。
• history ― 証明書履歴をデバッグします。
• ipc ― IPCメッセージおよびバッファをデバッグします。
• key ― 鍵管理をデバッグします。
ssl type には、次の値を入力します。
• alert ― SSLアラート イベントをデバッグします。
• error ― SSLエラー イベントをデバッグします。
• handshake ― SSLハンドシェイク イベントをデバッグします。
• pkt ― 送受信されたSSLパケットをデバッグします。
(注) TCPデバッグ コマンドは、負荷がほとんどない場合(仮想サーバまたは実サーバに接続が確立されていない場合など)に、基本的な接続問題のトラブルシューティングを行うときのみ使用してください。
TCPデバッグ コマンドを使用すると、TCPモジュールはコンソールにデバッグ情報を大量に表示するため、これによってモジュールのパフォーマンスが大幅に低下することがあります。モジュールのパフォーマンスが低いと、TCP接続タイマー、パケット、およびステート移行の処理に遅延が生じることがあります。
tcp type には次の値を入力します。
• events ― TCPイベントをデバッグします。
• pkt ― 送受信されたTCPパケットをデバッグします。
• state ― TCPステートをデバッグします。
• timers ― TCPタイマーをデバッグします。
例
次に、アプリケーションのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy app
次に、FDUのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy fdu
次に、IPCのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy ipc
次に、PKIのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy pki
次に、SSLのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy ssl
次に、TCPのデバッグをオンにする例を示します。
ssl-proxy# debug ssl-proxy tcp
次に、TCPのデバッグをオフにする例を示します。
ssl-proxy# no debug ssl-proxy tcp
show ssl-proxy admin-info
show ssl-proxy admin-info コマンドを使用すると、管理VLANおよび関連するIPアドレスとゲートウェイ アドレスが表示されます。
show ssl-proxy admin-info
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、管理VLANおよび関連するIPアドレスとゲートウェイ アドレスを表示する例を示します。
ssl-proxy# show ssl-proxy admin-info
STE administration VLAN: 2
STE administration IP address: 207.57.100.18
STE administration gateway: 207.0.207.5
show ssl-proxy buffers
show ssl-proxy buffers コマンドを使用すると、TCPバッファの使用方法に関する情報が表示されます。
show ssl-proxy buffers
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、TCPサブシステムのバッファの使用方法およびその他の情報を表示する例を示します。
ssl-proxy# show ssl-proxy buffers
Buffers info for TCP module 1
TCP data buffers used 2816 limit 112640
TCP ingress buffer pool size 56320 egress buffer pool size 56320
TCP ingress data buffers min-thresh 7208960 max-thresh 21626880
TCP ingress data buffers used Current 0 Max 0
TCP ingress buffer RED shift 9 max drop prob 10
Conns consuming ingress data buffers 0
TCP egress data buffers used Current 0 Max 0
Conns consuming egress data buffers 0
In-sequence queue bufs 0 OOO bufs 0
show ssl-proxy certificate-history
show ssl-proxy certificate-history コマンドを使用すると、証明書のイベント履歴情報が表示されます。
show ssl-proxy certificate-history [ service [ name ]]
構文の説明
service [ name ] |
プロキシ サービスのすべての証明書レコード、および(任意で)指定したプロキシ サービスの証明書レコードを表示します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
show ssl-proxy certificate-history コマンドは、次のレコードを表示します。
• サービスの名前
• 鍵ペアの名前
• 生成またはインポートの時刻
• 信頼点の名前
• 証明書の件名
• 証明書の発行者名
• シリアル番号
• 日付
レコードごとにSyslogメッセージが生成されます。レコード数が上限である512を超えた場合は、古いレコードから順に削除されます。
例
次に、すべての証明書のイベント履歴を表示する例を示します。
ssl-proxy# show ssl-proxy certificate-history
Record 1, Timestamp:00:00:51, 16:36:34 UTC Oct 31 2002
Installed Server Certificate, Index 5
Proxy Service:s1, Trust Point:t3
Key Pair Name:k3, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:12:27:58 UTC Oct 30 2002
Subject Name:OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5D3D1931000100000D99
Validity Start Time:21:58:12 UTC Oct 30 2002
End Time:22:08:12 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Record 2, Timestamp:00:01:06, 16:36:49 UTC Oct 31 2002
Installed Server Certificate, Index 6
Proxy Service:s5, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Record 3, Timestamp:00:01:34, 16:37:18 UTC Oct 31 2002
Installed Server Certificate, Index 7
Proxy Service:s6, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Record 4, Timestamp:00:01:40, 16:37:23 UTC Oct 31 2002
Deleted Server Certificate, Index 0
Proxy Service:s6, Trust Point:t6
Key Pair Name:k6, Key Usage:RSA General Purpose, Not Exportable
Time of Key Generation:00:28:28 UTC Mar 1 1993
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.8, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5CB5CFD6000100000D97
Validity Start Time:19:30:26 UTC Oct 30 2002
End Time:19:40:26 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
% Total number of certificate history records displayed = 4
次に、指定したプロキシ サービスの証明書レコードを表示する例を示します。
ssl-proxy# show ssl-proxy certificate-history service s6
Record 3, Timestamp:00:01:34, 16:37:18 UTC Oct 31 2002
Installed Server Certificate, Index 7
Proxy Service:s6, Trust Point:t10
Key Pair Name:k10, Key Usage:RSA General Purpose, Exportable
Time of Key Generation:07:56:43 UTC Oct 11 2002
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.9, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:24BC81B7000100000D85
Validity Start Time:22:38:00 UTC Oct 19 2002
End Time:22:48:00 UTC Oct 19 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Record 4, Timestamp:00:01:40, 16:37:23 UTC Oct 31 2002
Deleted Server Certificate, Index 0
Proxy Service:s6, Trust Point:t6
Key Pair Name:k6, Key Usage:RSA General Purpose, Not Exportable
Time of Key Generation:00:28:28 UTC Mar 1 1993
Subject Name:CN = host1.cisco.com, OID.1.2.840.113549.1.9.2 = simpson5-2-ste.cisco.com, OID.1.2.840.113549.1.9.8 = 207.79.1.8, OID.2.5.4.5 = B0FFF235
Issuer Name:CN = SimpsonTestCA, OU = Simpson Lab, O = Cisco Systems, L = San Jose, ST = CA, C = US, EA =<16> simpson-pki@cisco.com
Serial Number:5CB5CFD6000100000D97
Validity Start Time:19:30:26 UTC Oct 30 2002
End Time:19:40:26 UTC Oct 30 2003
Renew Time:00:00:00 UTC Jan 1 1970
End of Certificate Record
Total number of certificate history records displayed = 2
show ssl-proxy conn
show ssl-proxy conn コマンドを使用すると、SSLサービス モジュールからのTCP接続が表示されます。
show ssl-proxy conn 4tuple [local { ip local-ip-addr local-port } [ remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]]
show ssl-proxy conn 4tuple [local { port local-port } [ remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]]
show ssl-proxy conn 4tuple [local { remote [{ ip remote-ip-addr [ port remote-port ]} | { port remote-port [ ip remote-ip-addr ]}]]
show ssl-proxy conn service name
構文の説明
4tuple |
特定のアドレスに対するTCP接続を表示します。 |
local |
(任意)特定のローカル デバイスに対するTCP接続を表示します。 |
ip local-ip-addr |
ローカル デバイスのIPアドレス。 |
local-port |
ローカル デバイスのポート番号。 |
remote |
(任意)特定のリモート デバイスに対するTCP接続を表示します。 |
ip remote-ip-addr |
リモート デバイスのIPアドレス。 |
port remote-port |
リモート デバイスのポート番号。 |
port local-port |
(任意)特定のローカル ポートに対するTCP接続を表示します。 |
service name |
特定のプロキシ サービスに対するTCP接続を表示します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)EおよびS SLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールから確立されたTCP接続を表示する方法をいくつか示します。
ssl-proxy# show ssl-proxy conn
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.0.0.10:4430 1.200.200.14:48582 2 0 0 0 ESTAB
1.200.200.14:48582 2.100.100.72:80 2 1 0 0 ESTAB
2.0.0.10:4430 1.200.200.14:48583 2 2 0 0 ESTAB
1.200.200.14:48583 2.100.100.72:80 2 3 0 0 ESTAB
2.0.0.10:4430 1.200.200.14:48584 2 4 0 0 ESTAB
1.200.200.14:48584 2.100.100.72:80 2 5 0 0 ESTAB
2.0.0.10:4430 1.200.200.14:48585 2 6 0 0 ESTAB
1.200.200.14:48585 2.100.100.72:80 2 7 0 0 ESTAB
2.0.0.10:4430 1.200.200.14:48586 2 8 0 0 ESTAB
1.200.200.14:48586 2.100.100.72:80 2 9 0 0 ESTAB
ssl-proxy# show ssl-proxy conn 4tuple local port 443
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.133:443 1.200.200.12:39728 2 113676 0 0 TWAIT
2.50.50.133:443 1.200.200.12:39729 2 113680 0 0 TWAIT
2.50.50.131:443 1.200.200.14:40599 2 113684 0 0 TWAIT
2.50.50.132:443 1.200.200.13:48031 2 114046 0 0 TWAIT
2.50.50.132:443 1.200.200.13:48032 2 114048 0 0 TWAIT
2.50.50.132:443 1.200.200.13:48034 2 114092 0 0 TWAIT
2.50.50.132:443 1.200.200.13:48035 2 114100 0 0 TWAIT
ssl-proxy# show ssl-proxy conn 4tuple remote ip 1.200.200.14
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.131:443 1.200.200.14:38814 2 58796 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38815 2 58800 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38817 2 58802 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38818 2 58806 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38819 2 58810 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38820 2 58814 0 0 TWAIT
2.50.50.131:443 1.200.200.14:38821 2 58818 0 0 TWAIT
ssl-proxy# show ssl-proxy conn service iis1
Connections for TCP module 1
Local Address Remote Address VLAN Conid Send-Q Recv-Q State
--------------------- --------------------- ---- ------ ------ ------ ------
2.50.50.131:443 1.200.200.14:41217 2 121718 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41218 2 121722 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41219 2 121726 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41220 2 121794 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41221 2 121808 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41222 2 121940 0 0 TWAIT
2.50.50.131:443 1.200.200.14:41223 2 122048 0 0 TWAIT
show ssl-proxy crash-info
show ssl-proxy crash-info コマンドを使用すると、SSLサービス モジュールのソフトウェア強制リセット情報を収集できます。
show ssl-proxy crash-info [ brief | details ]
構文の説明
brief |
(任意)プロセッサ登録に制限されたソフトウェア強制リセット情報のサブセットを収集します。 |
details |
(任意)例外および割り込みスタック ダンプを含む、ソフトウェア強制リセット情報のフル セットを収集します(出力が完了するまで最長で10分かかることがあります)。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、ソフトウェア強制リセット情報を収集する例を示します。
ssl-proxy# show ssl-proxy crash-info
===== SSL SERVICE MODULE - START OF CRASHINFO COLLECTION =====
------------- COMPLEX 0 [FDU_IOS] ----------------------
++++++++++ CORE 0 (FDU) ++++++++++++++++++++++
APPLICATION VERSION:2003.04.15 14:50:20 built for cantuc
APPROXIMATE TIME WHEN CRASH HAPPENED:14:06:04 UTC Apr 16 2003
CPU CONTEXT -----------------------------
$0 :00000000, AT :00240008, v0 :5A27E637, v1 :000F2BB1
a0 :00000001, a1 :0000003C, a2 :002331B0, a3 :00000000
t0 :00247834, t1 :02BFAAA0, t2 :02BF8BB0, t3 :02BF8BA0
t4 :02BF8BB0, t5 :00247834, t6 :00000000, t7 :00000001
s0 :00000000, s1 :0024783C, s2 :00000000, s3 :00000000
s4 :00000001, s5 :0000003C, s6 :00000019, s7 :0000000F
t8 :00000001, t9 :00000001, k0 :00400001, k1 :00000000
gp :0023AE80, sp :031FFF58, s8 :00000019, ra :00216894
LO :00000000, HI :0000000A, BADVADDR :828D641C
EPC :00222D48, ErrorEPC :BFC02308, SREG :34007E03
Cause 0000C000 (Code 0x0):Interrupt exception
CACHE ERROR registers -------------------
CacheErrI:00000000, CacheErrD:00000000
ErrCtl:00000000, CacheErrDPA:0000000000000000
PROCESS STACK -----------------------------
sp is close to stack top;
printing 1024 bytes from stack top:
031FFC00:06405DE0 002706E0 0000002D 00000001 .@]`.'.`...-....
031FFC10:06405DE0 002706E0 00000001 0020B800 .@]`.'.`..... 8.
031FFC20:031FFC30 8FBF005C 14620010 24020004 ..|0.?.\.b..$...
FFFFFFD0:00000000 00000000 00000000 00000000 ................
FFFFFFE0:00627E34 00000000 00000000 00000000 .b~4............
FFFFFFF0:00000000 00000000 00000000 00000006 ................
===== SSL SERVICE MODULE - END OF CRASHINFO COLLECTION =======
次に、ソフトウェア強制リセット情報を収集する例を示します。
ssl-proxy# show ssl-proxy crash-info brief
===== SSL SERVICE MODULE - START OF CRASHINFO COLLECTION =====
------------- COMPLEX 0 [FDU_IOS] ----------------------
SKE CRASH INFO Error: wrong MAGIC # 0
CLI detected an error in FDU_IOS crash-info; wrong magic.
------------- COMPLEX 1 [TCP_SSL] ----------------------
Crashinfo fragment #0 from core 2 at offset 0 error:
Remote system reports wrong crashinfo magic.
Bad fragment received. Reception abort.
CLI detected an error in TCP_SSL crash-info;
===== SSL SERVICE MODULE - END OF CRASHINFO COLLECTION =======
show ssl-proxy mac address
show ssl-proxy mac address コマンドを使用すると、現在のMACアドレスが表示されます。
show ssl-proxy mac address
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールで使用される現在のMACアドレスを表示する例を示します。
ssl-proxy# show ssl-proxy mac address
STE MAC address: 00e0.b0ff.f232
show ssl-proxy natpool
show ssl-proxy natpool コマンドを使用すると、Network Address Translation(NAT;ネットワーク アドレス変換)プール情報が表示されます。
show ssl-proxy natpool [ name ]
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールに設定された特定のNATアドレス プールに関する情報を表示する例を示します。
ssl-proxy# show ssl-proxy natpool NP1
vlan associated with natpool: 2
SSL proxy services using this natpool:
Num of proxies using this natpool: 4
show ssl-proxy policy
show ssl-proxy policy コマンドを使用すると、設定されているSSLポリシーまたはTCPポリシーが表示されます。
show ssl-proxy policy { ssl | tcp } [ name ]
構文の説明
ssl |
設定されているSSLポリシーを表示します。 |
tcp |
設定されているTCPポリシーを表示します。 |
name |
(任意)ポリシー名 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールに設定された特定のSSLポリシーに関するポリシー情報を表示する例を示します。
ssl-proxy# show ssl-proxy policy ssl ssl-policy1
Cipher suites: (None configured, default ciphers included)
rsa-with-3des-ede-cbc-sha
SSL Versions enabled:SSL3.0, TLS1.0
strict close protocol:disabled
Handshake timeout not configured (never times out)
Num of proxies using this poilicy:0
次に、SSLサービス モジュールに設定された特定のTCPポリシーに関するポリシー情報を表示する例を示します。
ssl-proxy# show ssl-proxy policy tcp tcp-policy1
Usage count of this policy:0
show ssl-proxy service
show ssl-proxy service コマンドを使用すると、設定されているSSL仮想サーバに関する情報が表示されます。
show ssl-proxy service [ name ]
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールに設定されたすべてのSSL仮想サービスを表示する例を示します。
ssl-proxy# show ssl-proxy service
Proxy Service Name Admin Operation Events
次に、SSLサービス モジュールに設定された特定のSSL仮想サービスを表示する例を示します。
ssl-proxy# show ssl-proxy service S6
Service id: 0, bound_service_id: 256
Virtual IP: 10.10.1.104, port: 443
Server IP: 10.10.1.100, port: 80
Virtual SSL Policy: SSL1_PLC
rsa-general-purpose certificate trustpoint: tptest
Certificate chain for new connections:
Certificate chain complete
Proxy status: No Client VLAN, No Server VLAN
show ssl-proxy stats
show ssl-proxy stats コマンドを使用すると、統計カウンタ情報が表示されます。
show ssl-proxy stats [ type ]
構文の説明
type |
(任意)情報タイプです。有効な値は crypto 、 ipc 、 pki 、 service 、 ssl 、および tcp です。詳細については、「使用上の注意事項」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
SSLサービス モジュールRelease 1.2(1) |
show ssl-proxy stats コマンドの出力は、セッション割り当て障害およびセッション制限超過のテーブル情報を含むように変更されました。 |
使用上の注意事項
type には、次の値を入力します。
• crypto ― 暗号統計情報を表示します。
• ipc ― IPC統計情報を表示します。
• pki ― PKI統計情報を表示します。
• service ― プロキシ サービス統計情報を表示します。
• ssl ― SSL詳細統計情報を表示します。
• tcp ― TCP詳細統計情報を表示します。
例
次に、SSLサービス モジュールで収集されたすべての統計カウンタを表示する例を示します。
ssl-proxy# show ssl-proxy stats
Conns initiated : 20636 Conns accepted : 20636
Conns established : 28744 Conns dropped : 28744
Conns closed : 41272 SYN timeouts : 0
Idle timeouts : 0 Total pkts sent : 57488
Data packets sent : 0 Data bytes sent : 0
Total Pkts rcvd : 70016 Pkts rcvd in seq : 0
conns attempted : 20636 conns completed : 20636
full handshakes : 0 resumed handshakes : 0
active conns : 0 active sessions : 0
renegs attempted : 0 conns in reneg : 0
handshake failures : 20636 data failures : 0
fatal alerts rcvd : 0 fatal alerts sent : 0
no-cipher alerts : 0 ver mismatch alerts : 0
no-compress alerts : 0 bad macs received : 0
pad errors : 0 session fails : 0
IP Frag Drops : 0 Serv_Id Drops : 9
Conn Id Drops : 0 Bound Conn Drops : 0
Vlan Id Drops : 0 Checksum Drops : 0
IOS Congest Drops : 0 IP Version Drops : 0
Hash Full Drops : 0 Hash Alloc Fails : 0
Flow Creates : 41272 Flow Deletes : 41272
conn_id allocs : 41272 conn_id deallocs : 41272
Tagged Drops : 0 Non-Tagged Drops : 0
Add ipcs : 3 Delete ipcs : 0
Disable ipcs : 3 Enable ipcs : 0
Unsolicited ipcs : 0 Duplicate ADD ipcs : 0
IOS broadcast pkts : 29433 IOS unicast pkts : 5
次に、 PKI統計情報 を表示する例を示します。
ssl-proxy# show ssl-proxy stats pki
PKI Memory Usage Counters:
Request buffer received: 0
Response buffer received: 0
Response with error status: 0
Response with no request: 0
PKI Accumulative Certificate Counters:
Proxy service trustpoint added: 0
Proxy service trustpoint deleted: 0
Proxy service trustpoint modified: 0
Server certificate added: 0
Server certificate deleted: 0
Server certificate rolled over: 0
Server certificate completed: 0
Intermediate CA certificate added: 0
Intermediate CA certificate deleted: 0
Root CA certificate added: 0
Root CA certificate deleted: 0
Certificate overwritten: 0
History records written: 0
History records read from NVRAM: 0
Key cert table entries in use: 0
show ssl-proxy status
show ssl-proxy status コマンドを使用すると、ステータス情報が表示されます。
show ssl-proxy status
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
SSLサービス モジュールRelease 1.2(1) |
show ssl-proxy status コマンドの出力は、1秒、1分、および5分あたりのCPU使用率に関するトラフィック レートで表示される統計情報を含むように変更されました。 |
例
次に、SSLサービス モジュールのステータスを表示する例を示します。
ssl-proxy# show ssl-proxy status
% process util : 0 % interrupt util : 0
proc cycles : 0x4D52D1B7 int cycles : 0x6B6C9937
total cycles: 0xB954D5BEB6FA
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
% process util : 0 % interrupt util : 0
proc cycles : 0xA973D74D int cycles : 0xAA03E1D89A
total cycles: 0xB958C8FF0E73
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
% process util : 0 % interrupt util : 0
proc cycles : 0xD475444 int cycles : 0x21865088E
total cycles: 0xB958CCEB8059
% process util (5 sec) : 0 % interrupt util (5 sec) : 0
% process util (1 min) : 0 % interrupt util (1 min): 0
% process util (5 min) : 0 % interrupt util (5 min) : 0
show ssl-proxy version
show ssl-proxy version コマンドを使用すると、現在のイメージ バージョンが表示されます。
show ssl-proxy version
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールで現在稼働しているイメージのバージョンを表示する例を示します。
ssl-proxy# show ssl-proxy version
Cisco Internetwork Operating System Software
IOS (tm) SVCSSL Software (SVCSSL-K9Y9-M), Version 12.2(14.6)SSL(0.19) INTERIM TEST SOFTWARE
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Thu 10-Apr-03 03:03 by integ
Image text-base: 0x00400078, data-base: 0x00ABE000
ROM: System Bootstrap, Version 12.2(11)YS1 RELEASE SOFTWARE
ssl-proxy uptime is 3 days, 22 hours, 22 minutes
System returned to ROM by power-on
System image file is "tftp://10.1.1.1/unknown"
show ssl-proxy vlan
show ssl-proxy vlan コマンドを使用すると、VLAN情報が表示されます。
show ssl-proxy vlan [ vlan-id | debug ]
構文の説明
vlan-id |
(任意)VLAN IDです。 特定のVLANに関する情報を表示します。有効な値は1~1005です。 |
debug |
(任意) デバッグ情報を表示します。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
EXECモード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、SSLサービス モジュールに設定されたすべてのVLANを表示する例を示します。
ssl-proxy# show ssl-proxy vlan
VLAN index 2 (admin VLAN)
IP addr 10.1.1.1 NetMask 255.0.0.0 Gateway 10.1.1.5
Network 10.1.1.2 Mask 255.0.0.0 Gateway 10.1.1.6
IP addr 10.1.1.3 NetMask 255.0.0.0 Gateway 10.1.1.6
IP addr 10.1.1.4 NetMask 255.0.0.0
ssl-proxy crypto selftest
ssl-proxy crypto selftest コマンドを使用すると、暗号セルフテストを開始できます。暗号セルフテストをディセーブルにするには、このコマンドの no 形式を使用します。
ssl-proxy crypto selftest [ time-interval seconds ]
no ssl-proxy crypto selftest
構文の説明
time-interval seconds |
(任意)テスト ケース間のタイム インターバルを設定します。有効な値は1~8秒です。 |
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
ssl-proxy crypto selftest コマンドを使用すると、一連の暗号化アルゴリズム テストをSSLプロセッサ上でバックグラウンド実行することができます。乱数生成、ハッシュ、暗号化と復号化、およびMAC生成が、特定のタイム インターバルでテストされます。
このテストは、トラブルシューティング専用です。このテストを実行すると、実行時のパフォーマンスに影響が出ます。
セルフテストの結果を表示するには、 show ssl-proxy stats crypto コマンドを入力します。
例
次に、暗号セルフテストを開始する例を示します。
ssl-proxy (config)# ssl-proxy crypto selftest
ssl-proxy mac address
ssl-proxy mac address コマンドを使用すると、MACアドレスを設定できます。
ssl-proxy mac address mac-addr
構文の説明
mac-addr |
MACアドレス。詳細については、「使用上の注意事項」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
16進形式H.H.HでMACアドレスを入力します。
例
次に、MACアドレスを設定する例を示します。
ssl-proxy (config)# ssl-proxy mac address 00e0.b0ff.f232
ssl-proxy natpool
ssl-proxy natpool コマンドを使用すると、SSLサービス モジュールがクライアントNATを実装するために使用するIPアドレスのプールを定義できます。
ssl-proxy natpool nat-pool-name start-ip-addr { netmask netmask }
構文の説明
nat-pool-name |
NATプール名 |
start-ip-addr |
先頭のIPアドレス |
netmask netmask |
ネットマスク。詳細については、「使用上の注意事項」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、IPアドレスのプールを定義する例を示します。
ssl-proxy (config)# ssl-proxy natpool NP2 207.59.10.01 207.59.10.08 netmask 255.0.0.0
ssl-proxy pki history
ssl-proxy pki history コマンドを使用すると、PKIイベント履歴オプションをイネーブルにすることができます。ロギングをディセーブルにして、メモリを消去するには、このコマンドの no 形式を使用します。
ssl-proxy pki history
no ssl-proxy pki history
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
ssl-proxy pki history コマンドを使用すると、プロキシ サービスごとに証明書履歴レコードを記録してメモリに格納し、レコードごとにSyslogメッセージを生成することができます。各レコードは、鍵ペアや証明書のプロキシ サービスの鍵テーブルおよび証明書テーブルへの追加または削除を記録します。
テーブルのインデックスが変更された場合、このコマンドは次の情報を記録します。
• 鍵ペアの名前
• 信頼点のラベル
• サービスの名前
• 件名
• 証明書のシリアル番号
メモリに一度に格納できるレコード数は、最大で512です。
例
次に、PKIイベント履歴のオプションをイネーブルにする例を示します。
ssl-proxy (config)# ssl-proxy pki history
ssl-proxy policy ssl
ssl-proxy policy ssl コマンドを使用すると、SSLポリシー コンフィギュレーション サブモードを開始できます。
ssl-proxy policy ssl ssl-policy-name
デフォルト
デフォルト設定は次のとおりです。
• cipher ― all
• close-protocol ― イネーブル
• session-caching ― イネーブル
• version ― all
• session-cache size size ― 262143エントリ
• timeout session timeout ― 0秒
• timeout handshake timeout ― 0秒
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
SSLサービス モジュールRelease 1.2(1) |
このコマンドには、次のサブコマンドが追加されるように変更されました。 • session-cache size size • timeout session timeout [ absolute ] |
使用上の注意事項
SSLポリシー コンフィギュレーション サブモードでは、1つまたは複数のSSLプロキシ サービス用のSSLポリシーを定義することができます。
各SSLポリシー コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。
表B-3 に、SSLポリシー コンフィギュレーション サブモードで使用可能なコマンドを示します。
表B-3 SSLポリシー コンフィギュレーション サブモード コマンドの説明
cipher-suite {RSA_WITH_3DES_EDE_CBC_SHA | RSA_WITH_DES_CBC_SHA | RSA_WITH_RC4_128_MD5 | RSA_WITH_RC4_128_SHA | all } |
プロキシサーバが受け入れ可能な暗号スイートの一覧を設定できます。暗号スイートの詳細については、「使用上の注意事項」を参照してください。 |
[ no ] close-protocol enable |
SSL終了プロトコルの動作を設定できます。終了プロトコルをディセーブルにするには、このコマンドの no 形式を使用します。 |
default { cipher | close-protocol | session-cache | version } |
コマンドをデフォルト設定にします。 |
exit |
SSLポリシー コンフィギュレーション サブモードを終了します。 |
help |
対話型ヘルプ システムの説明を表示します。 |
[ no ] session-cache enable |
セッションキャッシュ機能をイネーブルにできます。セッションのキャッシュをディセーブルにするには、このコマンドの no 形式を使用します。 |
session-cache size size |
所定のサービスに割り当てられるセッション エントリの最大数を指定します。有効な値は、1~262143エントリです。 |
timeout handshake timeout |
モジュールがハンドシェイク フェーズで接続を維持できる時間を設定できます。有効な値は0~65535秒です。 |
timeout session timeout [ absolute ] |
セッション タイムアウトを設定できます。構文の説明は次のとおりです。 • timeout ― セッション タイムアウト。有効な値は、0~72000秒です。 • absolute ― (任意)セッション エントリは、設定タイムアウトが完了してから削除されます。 |
version { all | ssl3 | tls1 } |
使用するSSLバージョンを次のいずれかに設定できます。 • all ― SSL3とTLS1の両方のバージョンを使用します。 • ssl3 ― SSLバージョン3を使用します。 • tls1 ― TLSバージョン1を使用します。 |
SSLポリシー テンプレートを定義するには、 ssl-proxy policy ssl ssl-policy-name コマンドを使用します。 特定のプロキシ サーバにSSLポリシーを関連づけるには、プロキシ サーバ コンフィギュレーションCLIを使用します。SSLポリシー テンプレートを使用すると、SSLハンドシェイク スタックに関連する各種パラメータを定義することができます。
終了プロトコルがイネーブルの場合、サーバは終了通知アラート メッセージをクライアントに送信して、クライアントからの終了通知アラート メッセージを待機します。ディセーブルの場合、サーバは終了通知アラート メッセージをクライアントに送信しますが、クライアントからの終了通知アラート メッセージを待機せずに、セッションを終了します。
暗号スイート名の表記法は、既存のSSLスタックの表記法と同じです。
プロキシ サーバで使用可能な暗号スイートは、次のとおりです。
• RSA_WITH_3DES_EDE_CBC_SHA--3des-shaと組み合わせた RSA
• RSA_WITH_DES_CBC_SHA--des-shaと組み合わせた RSA
• RSA_WITH_RC4_128_MD5--rc4-md5と組み合わせた RSA
• RSA_WITH_RC4_128_SHA--rc4-shaと組み合わせた RSA
• all ― すべてのサポート対象暗号
timeout session timeout absolute コマンドを入力すると、セッション エントリは設定タイムアウトまでセッション キャッシュに維持され、そのあとで削除されます。セッション キャッシュがいっぱいで、すべてのエントリに対するタイマーがアクティブであり、 absolute オプションが設定されている場合は、新たなセッションはすべて拒否されます。
timeout session timeout コマンドを absolute オプションなしで入力すると、指定されたタイムアウトは最長タイムアウトとして処理され、セッション エントリをセッション キャッシュ内に維持するようベストエフォート式が確立されます。セッション キャッシュでセッション エントリが不足した場合、現在使用されているセッション エントリは新しい着信接続に備えて削除されます。
例
次に、SSLポリシー コンフィギュレーション サブモードを開始する例を示します。
ssl-proxy (config)# ssl-proxy policy ssl sslpl1
ssl-proxy (config-ssl-policy)#
次に、SSLポリシーでサポートされる暗号スイートを定義する例を示します。
ssl-proxy (config-ssl-policy)# cipher RSA_WITH_3DES_EDE_CBC_SHA
ssl-proxy (config-ssl-policy)#
次に、SSLセッション終了プロトコルをイネーブルにする例を示します。
ssl-proxy (config-ssl-policy)# close-protocol enable
ssl-proxy (config-ssl-policy)#
次に、SSLセッション終了プロトコルをディセーブルにする例を示します。
ssl-proxy (config-ssl-policy)# no close-protocol enable
ssl-proxy (config-ssl-policy)#
次に、所定のコマンドをデフォルト設定にする例を示します。
ssl-proxy (config-ssl-policy)# default cipher
ssl-proxy (config-ssl-policy)# default close-protocol
ssl-proxy (config-ssl-policy)# default session-cache
ssl-proxy (config-ssl-policy)# default version
ssl-proxy (config-ssl-policy)#
次に、セッションキャッシュ オプションをイネーブルにする例を示します。
ssl-proxy (config-ssl-policy)# session-cache enable
ssl-proxy (config-ssl-policy)#
次に、セッションキャッシュ オプションをディセーブルにする例を示します。
ssl-proxy (config-ssl-policy)# no session-cache enable
ssl-proxy (config-ssl-policy)#
次に、所定のサービスに割り当てられるセッション エントリの最大数を設定する例を示します。
ssl-proxy (config-ssl-policy)# session-cache size 22000
ssl-proxy (config-ssl-policy)#
次に、セッション タイムアウトをabsolute(絶対値)に設定する例を示します。
ssl-proxy (config-ssl-policy)# timeout session 30000 absolute
ssl-proxy (config-ssl-policy)#
次に、複数のSSLバージョンをサポートできるようにする方法を示します。
ssl-proxy (config-ssl-policy)# version all
ssl-proxy (config-ssl-policy)# version ssl3
ssl-proxy (config-ssl-policy)# version tls1
ssl-proxy (config-ssl-policy)#
次に、一般的なヘルプ ページを出力する例を示します。
ssl-proxy (config-ssl-policy)# help
ssl-proxy (config-ssl-policy)#
ssl-proxy policy tcp
ssl-proxy policy tcp コマンドを使用すると、プロキシ ポリシーTCPコンフィギュレーション サブモードを開始できます。 プロキシ ポリシーTCPコンフィギュレーション サブモードでは、TCPポリシー テンプレートを定義できます。
ssl-proxy policy tcp tcp-policy-name
デフォルト
デフォルト設定は次のとおりです。
• timeout inactivity ― 240秒
• timeout fin-wait ― 600秒
• buffer-share rx ― 32768バイト
• buffer-share tx ― 32768バイト
• mss ― 1500バイト
• timeout syn ― 75秒
• timeout reassembly ― 60秒
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
SSLサービス モジュールRelease 1.2(1) |
このコマンドは、 timeout reassembly time サブコマンドを追加するよう変更されました。 |
使用上の注意事項
TCPポリシーを定義すると、プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドを使用して、プロキシ サーバにTCPポリシーを関連づけることができます。
各プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。
表B-4 に、プロキシ ポリシーTCPコンフィギュレーション サブモードで使用可能なコマンドを示します。
表B-4 プロキシ ポリシーTCPコンフィギュレーション サブモード コマンドの説明
default |
コマンドをデフォルト設定にします。 |
exit |
プロキシ サービス コンフィギュレーション サブモードを終了します。 |
[ no ] timeout fin-wait timeout-in-seconds |
FIN待機タイムアウトを設定できます。有効な値は75~600秒です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
help |
対話型ヘルプ システムの説明を表示します。 |
[ no ] timeout inactivity timeout-in-seconds |
非アクティブ タイムアウトを設定できます。有効な値は0~960秒です。この値を設定すると、アイドル接続にエージング タイムアウトを設定して、接続リソースを保護することができます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
[ no ] buffer-share rx buffer-limit-in-bytes |
共有受信バッファの最大サイズを接続ごとに設定できます。有効な値は8192~262144です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
[ no ] buffer-share tx buffer-limit-in-bytes |
共有送信バッファの最大サイズを接続ごとに設定できます。有効な値は8192~262144です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
[ no ] mss max-segment-size-in-bytes |
生成されたSYNパケット内で接続が識別する、最大セグメント サイズを設定します。有効な値は64~1460です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
[ no ] timeout syn ti meout-in-seconds |
接続確立のタイムアウトを設定できます。有効な値は5~75秒です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
[ no ] timeout reassembly time |
リアセンブリ キューが削除されるまでの時間を秒単位で設定できます。有効な値は、0~960秒です(0 = ディセーブル)。トランザクションが指定時間内で完了されない場合は、リアセンブリ キューが削除され、接続が中断されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。 |
使用上の注意事項
SSLサービス モジュールに入力されたTCPコマンドは、グローバルにも、また特定のプロキシ サーバにも適用されます。
プロキシ サーバのクライアント側とサーバ側に、異なる最大セグメント サイズを設定できます。
TCPポリシー テンプレートを使用すると、TCPスタックに関連づけられたパラメータを定義することができます。
このコマンドの no 形式を使用してデフォルト設定に戻すか、または default オプションを使用することができます。
例
次に、プロキシ ポリシーTCPコンフィギュレーション サブモードを開始する例を示します。
ssl-proxy (config)# ssl-proxy policy tcp tcppl1
ssl-proxy (config-tcp-policy)#
次に、特定のコマンドをデフォルト値に設定する例を示します。
ssl-proxy (config-tcp-policy)# default timeout fin-wait
ssl-proxy (config-tcp-policy)# default inactivity-timeout
ssl-proxy (config-tcp-policy)# default buffer-share rx
ssl-proxy (config-tcp-policy)# default buffer-share tx
ssl-proxy (config-tcp-policy)# default mss
ssl-proxy (config-tcp-policy)# default timeout syn
ssl-proxy (config-tcp-policy)#
次に、FIN待機タイムアウトを秒単位で定義する例を示します。
ssl-proxy (config-tcp-policy)# timeout fin-wait 200
ssl-proxy (config-tcp-policy)#
次に、非アクティブ タイムアウトを秒単位で定義する例を示します。
ssl-proxy (config-tcp-policy)# timeout inactivity 300
ssl-proxy (config-tcp-policy)#
次に、最大受信バッファ サイズ設定を定義する例を示します。
ssl-proxy (config-tcp-policy)# buffer-share rx 16384
ssl-proxy (config-tcp-policy)#
次に、最大送信バッファ サイズ設定を定義する例を示します。
ssl-proxy (config-tcp-policy)# buffer-share tx 13444
ssl-proxy (config-tcp-policy)#
次に、TCPの最大セグメント サイズを定義する例を示します。
ssl-proxy (config-tcp-policy)# mss 1460
ssl-proxy (config-tcp-policy)#
次に、初期接続(SYN)のタイムアウト値を定義する例を示します。
ssl-proxy (config-tcp-policy)# timeout syn 5
ssl-proxy (config-tcp-policy)#
次に、リアセンブリ タイムアウト値を定義する例を示します。
ssl-proxy (config-tcp-policy)# timeout reassembly 120
ssl-proxy (config-tcp-policy)#
ssl-proxy service
ssl-proxy-service コマンドを使用すると、プロキシ サービス コンフィギュレーション サブモードを開始できます。プロキシ サービス コンフィギュレーション サブモードでは、プロキシ サービスに関連づけられた仮想IPアドレスとポート、および対応するターゲットIPアドレスとポートを設定することができます。プロキシのクライアント側(virtualキーワードを最初に入力)およびサーバ側( server キーワードを最初に入力)の両方にTCPポリシーおよびSSLポリシーを定義することもできます。
ssl-proxy service ssl-proxy-name
デフォルト
サーバNATはイネーブル、クライアントNATはディセーブルです。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
各 プロキシ サービス コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。
表B-5 に、 プロキシ サービス コンフィギュレーション サブモードで使用可能なコマンドを示します。
表B-5 プロキシ サービス コンフィギュレーション サブモード コマンドの説明
|
|
certificate rsa general-purpose trustpoint trustpoint-name |
証明書にRSA汎用鍵を設定して、この証明書に信頼点を関連づけます。 |
default { certificate | inservice | nat | server | virtual } |
コマンドをデフォルト設定にします。 |
exit |
SSL プロキシ サービス コンフィギュレーション サブモードを終了します。 |
help |
対話型ヘルプ システムの説明を表示します。 |
inservice |
プロキシ サーバを管理上のアップ ステータスとして宣言します。 |
nat { server | client natpool-name } |
SSLサービス モジュールによって開かれたサーバ側の接続に、サーバNATまたはクライアントNATを使用するように指定します。 |
server ipaddr ip-addr protocol protocol port portno |
プロキシ サーバのターゲット サーバのIPアドレスを定義します。ポート番号およびトランスポート プロトコルを指定することもできます。ターゲット サーバのIPアドレスには、SLBデバイスの仮想IPアドレス、またはWebサーバの実IPアドレスを指定できます。 |
server policy tcp server-side-tcp-policy-name |
プロキシ サーバのサーバ側にTCPポリシーを適用します。ポート番号およびトランスポート プロトコルを指定することもできます。 |
virtual { ipaddr ip-addr } { protocol protocol } { port portno } [ secondary ] |
STEがプロキシ処理を行う仮想サーバの仮想IPアドレスを定義します。ポート番号およびトランスポート プロトコルを指定することもできます。 protocol の有効値は、 tcp です。 portno の有効値は1~65535です。(任意) secondary オプションを指定すると、STEは仮想IPアドレスに着信するARP要求に応答しなくなります。 |
virtual { policy ssl ssl-policy-name } |
プロキシ サーバのクライアント側にSSLポリシーを適用します。 |
virtual { policy tcp client-side-tcp-policy-name } |
プロキシ サーバのクライアント側にTCPポリシーを適用します。 |
Content Switching Module(CSM)とSSLサービス モジュール間のセキュア モードおよびブリッジ モードの両方をサポートします。
(任意)ブリッジ モード トポロジーの場合は、 secondary オプションを使用します。
例
次に、プロキシ サービス コンフィギュレーション サブモードを開始する例を示します。
ssl-proxy (config)# ssl-proxy service S6
ssl-proxy (config-ssl-proxy)#
次に、指定されたSSLプロキシ サービスの証明書を設定する例を示します。
ssl-proxy (config-ssl-proxy)# certificate rsa general-purpose trustpoint tp1
ssl-proxy (config-ssl-proxy)#
次に、指定されたコマンドをデフォルト値に設定する例を示します。
ssl-proxy (config-ssl-proxy)# default certificate
ssl-proxy (config-ssl-proxy)# default inservice
ssl-proxy (config-ssl-proxy)# default nat
ssl-proxy (config-ssl-proxy)# default server
ssl-proxy (config-ssl-proxy)# default virtual
ssl-proxy (config-ssl-proxy)#
次に、指定された仮想サーバの仮想IPアドレスを設定する例を示します。
ssl-proxy (config-ssl-proxy)# virtual ipaddr 207.59.100.20 protocol tcp port 443
ssl-proxy (config-ssl-proxy)#
次に、指定された仮想サーバのSSLポリシーを設定する例を示します。
ssl-proxy (config-ssl-proxy)# virtual policy ssl sslpl1
ssl-proxy (config-ssl-proxy)#
次に、指定された仮想サーバのTCPポリシーを設定する例を示します。
ssl-proxy (config-ssl-proxy)# virtual policy tcp tcppl1
ssl-proxy (config-ssl-proxy)#
次に、SSLサービス モジュールによって復号化されたトラフィックの転送先となるクリア テキストWebサーバを設定する例を示します。
ssl-proxy (config-ssl-proxy)# server ipaddr 207.50.0.50 protocol tcp port 80
ssl-proxy (config-ssl-proxy)#
次に、指定されたクリア テキストWebサーバにTCPポリシーを設定する例を示します。
ssl-proxy (config-ssl-proxy)# server policy tcp tcppl1
ssl-proxy (config-ssl-proxy)#
次に、指定されたサービスのSSLオフロード サーバ接続に使用されるクライアント アドレス用のNATプールを設定する例を示します。
ssl-proxy (config-ssl-proxy)# nat client NP1
ssl-proxy (config-ssl-proxy)#
次に、指定されたサービスのSSLオフロード サーバ接続に対して、NATサーバ アドレスをイネーブルにする例を示します。
ssl-proxy (config-ssl-proxy)# nat server
ssl-proxy (config-ssl-proxy)#
ssl-proxy ssl ratelimit
ssl-proxy ssl ratelimit コマンドを使用すると、過負荷状態のときに接続を新規に開くことができなくなります。メモリが使用可能な限り、新規接続を開くことができるようにするには、このコマンドの no 形式を使用します。
ssl-proxy ssl ratelimit
no ssl-proxy ssl ratelimit
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
例
次に、過負荷状態のときに新規接続を開くことができないようにする例を示します。
ssl-proxy (config)# ssl-proxy ssl ratelimit
次に、メモリが使用可能な限り、過負荷状態のときでも接続を新規に開くことができるようにする例を示します。
ssl-proxy (config)# no ssl-proxy ssl ratelimit
ssl-proxy vlan
ssl-proxy vlan コマンドを使用すると、プロキシVLANコンフィギュレーション サブモードを開始できます。プロキシVLANコンフィギュレーション サブモードでは、SSLサービス モジュールにVLANを設定することができます。
ssl-proxy vlan vlan
構文の説明
vlan |
VLAN ID。有効値は1~1005です。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション モード
コマンド履歴
|
|
Cisco IOS Release 12.1(13)Eおよび SSLサービス モジュールRelease 1.1(1) |
Catalyst 6500シリーズ スイッチでは、このコマンドがサポートされました。 |
使用上の注意事項
CSMでは、VLAN 1はサポートされていません。
SSLサービス モジュールでは、拡張範囲VLANはサポートされていません。
各 プロキシVLAN コンフィギュレーション サブモード コマンドは、それぞれ別の行に入力します。
表B-6 に、 プロキシVLAN コンフィギュレーション サブモードで使用可能なコマンドを示します。
表B-6 プロキシVLANコンフィギュレーション サブモード コマンドの説明
|
|
admin |
VLANを管理VLANとして設定します。 |
exit |
プロキシVLAN コンフィギュレーション サブモードを終了します。 |
gateway prefix [ drop | forward ] |
VLANにインターネットのゲートウェイを設定します。 |
help |
対話型ヘルプ システムの説明を表示します。 |
ipaddr prefix mask |
VLANにIPアドレスおよびサブネット マスクを設定します。 |
no |
コマンドを否定するか、またはデフォルト設定に戻します。 |
route { prefix mask } { gateway prefix } |
非直接接続のサブネットワークにSSLサービス モジュールが到達するように、ゲートウェイを設定します。 |
別の管理VLANを設定する場合は、事前に、現在の管理VLANの管理VLANステータスを削除する必要があります。
管理VLANは、証明書エージェント(PKI)および管理ステーション(SNMP)と通信するために使用されます。
ゲートウェイを設定するときに drop オプションを指定すると、パケットに関連する仮想サービスが見つからない場合に、SSLサービス モジュールはそのパケットを削除できます。
ゲートウェイを設定するときに forward オプションを指定すると、パケットに関連する仮想サービスが見つからない場合に、SSLサービス モジュールはそのパケットを指定されたVLANのゲートウェイに転送できます。
例
次に、プロキシVLANコンフィギュレーション サブモードを開始する例を示します。
ssl-proxy (config)# ssl-proxy vlan 6
次に、指定されたコマンドをデフォルト値に設定する例を示します。
ssl-proxy (config-vlan)# default admin
ssl-proxy (config-vlan)# default gateway
ssl-proxy (config-vlan)# default ipaddr
ssl-proxy (config-vlan)# default route
次に、指定されたVLANにゲートウェイを設定する例を示します。
ssl-proxy (config-vlan)# gateway 209.0.207.5
次に、指定されたVLANにIPアドレスおよびサブネット マスクを設定する例を示します。
ssl-proxy (config-vlan)# ipaddr 208.59.100.18 255.0.0.0
次に、非直接接続のサブネットワークにSSLサービス モジュールが到達するように、ゲートウェイを設定する例を示します。
ssl-proxy (config-vlan)# route 210.0.207.0 255.0.0.0 gateway 209.0.207.6