Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)

 

デフォルト

各キャッシュ属性のデフォルト設定でイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮したりする必要性を減らすことができます。キャッシングにより、WebVPN とリモート サーバおよびエンド ユーザのブラウザの両方の間のトラフィックが削減されて、多くのアプリケーションの実行効率が大幅に向上されます。

例

次に、キャッシュ モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 20 MB です。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスは、Cisco AnyConnect VPN Client および Cisco Secure Desktop（CSD）のイメージおよびファイルを含むパッケージ ファイルを、リモート PC へのダウンロード用にキャッシュ メモリ内で展開します。セキュリティ アプライアンスで正常にパッケージ ファイルを展開するには、このイメージとファイルを保存するのに十分なキャッシュ メモリが必要です。

パッケージの展開に十分なキャッシュ メモリがないことをセキュリティ アプライアンスが検出した場合、コンソールにエラー メッセージが表示されます。次に、 svc image コマンドで AnyConnect VPN Client のイメージ パッケージをインストールしようとした後にレポートされるエラー メッセージの例を示します。

イメージ パッケージをインストールしようとしてこのエラー メッセージがレポートされた場合は、グローバル コンフィギュレーション モードで dir cache:/ コマンドを使用して、キャッシュ メモリの残量およびこれまでにインストールしたパッケージのサイズを検査できます。検査結果に応じて、キャッシュ サイズの制限を調整できます。

例

次に、CSD イメージ（sdesktop 内）および CVC イメージ（stc 内）が約 5.44 MB のキャッシュ メモリを使用している例を示します。

次に、キャッシュ サイズを 6 MB に制限する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

キャッシュ可能なすべての静的コンテンツがセキュリティ アプライアンスのキャッシュに保存されるようセキュリティ アプライアンスを設定すると、バックエンド SSL VPN 接続のパフォーマンスが向上します。静的コンテンツには、PDF ファイルやイメージなど、セキュリティ アプライアンスによってデータの書き換え（上書き）が行われないオブジェクトが含まれています。

例

次の例は、静的コンテンツのキャッシュをイネーブルにする方法を示したものです。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は 60 分です。

 

コマンド履歴

例

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central でキャッシュ時間のリフレッシュ値を 10 分に指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

1 つ以上のゲートウェイを管理できるコール エージェントのグループを指定するには、 call-agent コマンドを使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の（ゲートウェイがコマンドを送信する先以外の）コール エージェントに接続を開くために使用されます。同じ group_id を持つコール エージェントは、同じグループに属します。1 つのコール エージェントは複数のグループに所属できます。 group_id オプションには、0 ～ 4294967295 の数字を指定します。 ip_address オプションには、コール エージェントの IP アドレスを指定します。

例

次に、コール エージェント 10.10.11.5 および 10.10.11.6 にゲートウェイ 10.10.10.115 の制御を許可し、コール エージェント 10.10.11.7 および 10.10.11.8 にゲートウェイ 10.10.10.116 および 10.10.10.117 の制御を許可する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、H.323 コールのコール継続時間を設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、H.323 コールのコール設定時に発信側の番号を適用する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• デフォルトの type は raw-data です。

• デフォルトの buffer size は 512 KB です。

• デフォルトのイーサネット タイプは IP です。

• デフォルトの packet-length は 1518 バイトです。

 

コマンド履歴

 

使用上のガイドライン

パケット キャプチャは、接続の問題のトラブルシューティングまたは不審なアクティビティのモニタリングを行うときに役立ちます。複数のキャプチャを作成できます。パケット キャプチャを表示するには、 show capture name コマンドを使用します。キャプチャをファイルに保存するには、 copy capture コマンドを使用します。パケット キャプチャ情報を Web ブラウザで表示するには、 https:// セキュリティ アプライアンス-ip-address / admin /capture/ capture_name [ / pcap ] コマンドを使用します。オプションの pcap キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされ、Web ブラウザを使用してこのファイルを保存できます （libcap ファイルは、TCPDUMP または Ethereal で表示できます）。

バッファの内容を TFTP サーバに ASCII 形式でコピーする場合、パケットの詳細および 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細および 16 進ダンプを表示するには、バッファを PCAP 形式で転送し、TCPDUMP または Ethereal で読み取る必要があります。

（注） WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後、必ずキャプチャをディセーブルにしてください。

オプションのキーワードを指定せずに no capture を入力すると、キャプチャが削除されます。オプションの access-list キーワードを指定すると、このアクセス リストがキャプチャから削除され、キャプチャは保持されます。 interface キーワードを指定すると、指定したインターフェイスからキャプチャが分離され、キャプチャは保持されます。キャプチャ自体をクリアしない場合は、 no capture コマンドをオプションの access-list キーワードまたは interface キーワードのいずれかを指定して入力します。

リアルタイム表示の進行中には、キャプチャに関するあらゆる操作を実行できません。低速のコンソール接続で real-time キーワードを使用すると、パフォーマンスが考慮されて、多数のパケットが非表示になる場合があります。バッファの固定の制限は、1000 パケットです。バッファがいっぱいになると、カウンタはキャプチャしたパケットで維持されます。別のセッションを開く場合、 no capture real-time コマンドを入力して、リアルタイム表示をディセーブルにできます。

（注） capture コマンドは、コンフィギュレーションには保存されません。また、フェールオーバー時にスタンバイ ユニットにコピーされません。

例

パケットをキャプチャするには、次のコマンドを入力します。

Web ブラウザ上で、発行された capture コマンドの内容（「captest」という名前）は、次の場所に表示できます。

libpcap ファイル（Web ブラウザが使用）をローカル マシンにダウンロードするには、次のコマンドを入力します。

次に、外部ホスト 171.71.69.234 から内部 HTTP サーバにトラフィックがキャプチャされる例を示します。

次に、ARP パケットをキャプチャする例を示します。

次に、5 つのトレース パケットをデータ ストリームに挿入する例を示します。ここで、 access-list 101 は、TCP プロトコル FTP と一致するトラフィックを定義します。

トレースされたパケットおよびパケット処理に関する情報をわかりやすく表示するには、 show capture ftptrace コマンドを使用します。

次に、キャプチャしたパケットをリアルタイムで表示する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ディレクトリを指定しないと、ルート ディレクトリに移動します。

 

コマンド履歴

例

次に、「config」ディレクトリに移動する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの CDP URL は、ローカル CA が含まれるセキュリティ アプライアンスの CDP URL です。デフォルトの URL の形式は、http://hostname.domain/+CSCOCA+/asa_ca.crl です。

 

コマンド履歴

 

使用上のガイドライン

CDP は、発行された証明書に含めることができる拡張であり、証明書の失効ステータスを検証側が取得できる場所を指定できます。一度に設定できる CDP は 1 つだけです。

（注） CDP URL が指定された場合、管理者はその場所から現在の CRL にアクセスできるように管理する必要があります。

例

次に、ローカル CA サーバが発行した証明書に対して、10.10.10.12 の CDP を設定する例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

CA は、メッセージ暗号化のためのセキュリティ クレデンシャルおよび公開キーの発行および管理を行うネットワーク内の組織です。公開キー インフラストラクチャの一部である CA では、RA と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。

例

次に、シリアル番号 29573D5FF010FE25B45 の CA 証明書を追加する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

certificate-group-map コマンドが有効な状態で、WebVPN クライアントから受信した証明書がマップ エントリに対応する場合、結果として得られるトンネル グループは、接続に関連付けられ、ユーザが選択したトンネル グループを上書きします。

certificate-group-map コマンドの複数のインスタンスを使用すると、複数のマッピングが可能です。

例

次に、tgl という名前のトンネル グループにルール 6 を関連付ける例を示します。

hostname(config)# webvpn

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドのデフォルト設定は、ディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

この属性は、すべての IPSec トンネル グループ タイプに適用できます。

例

次に、トンネル グループ ipsec 属性コンフィギュレーション モードを開始し、IPSec LAN-to-LAN トンネル グループのチェーンを IP アドレス 209.165.200.225 で送信することをイネーブルにする例を示します。このアクションには、ルート証明書およびすべての下位 CA 証明書が含まれます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインしている場合、コンテキスト間で切り替えを行うことができ、各コンテキスト内でコンフィギュレーションおよびタスクのモニタリングを実行できます。コンフィギュレーション モードでの編集または copy コマンドあるいは write コマンドで使用される「実行」コンフィギュレーションは、ログインしている実行スペースによって異なります。システム実行スペースにログインしている場合、実行コンフィギュレーションは、システム コンフィギュレーションのみで構成されます。コンテキスト実行スペースにログインしている場合、実行コンフィギュレーションは、このコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション（システムおよびすべてのコンテキスト）を表示することはできません。現在のコンフィギュレーションだけが表示されます。

例

次に、特権 EXEC モードでコンテキストとシステムの間で切り替えを行う例を示します。

次に、インターフェイス コンフィギュレーション モードでシステムと管理コンテキストの間で切り替えを行う例を示します。実行スペース間で切り替えを行うときにコンフィギュレーション サブモードにログインしている場合、新しい実行スペースのグローバル コンフィギュレーション モードに変更されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

文字エンコーディング （「文字コーディング」または「文字セット」とも呼ばれます）は、raw データ（0 と 1 からなるデータなど）と文字をペアにすることで、データを表します。使用する文字エンコード方式は、言語によって決まります。ある言語では同じ方式を使用していても、別の言語でも同じとはかぎりません。通常、ブラウザで使用されるデフォルトのエンコーディング方式は地域によって決まりますが、ユーザはこの方式を変更できます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。character-encoding 属性を使用すると、ユーザは、文字エンコーディング方式の値を WebVPN ポータル ページに指定し、ブラウザを使用している地域やブラウザに対して行われたあらゆる変更に関係なく、ブラウザでこのページを適切に処理できます。

character-encoding 属性は、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、ユーザは、character-encoding 属性の値と異なる文字エンコーディングを使用する Common Internet File System サーバの file-encoding 属性を上書きできます。異なる文字エンコーディングが必要な CIFS サーバには異なるファイル エンコーディング値を使用します。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding 属性の値を符号化します。符号化が行われなかった場合は、character-encoding 属性の値を継承します。リモート ユーザのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding 属性も設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding 属性によって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。

（注） character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。Shift_JIS 文字エンコーディングを使用している場合、次の例に示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用して、これらの値の 1 つの設定を補完して、フォント ファミリを置き換える必要があります。あるいは、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力して、このフォント ファミリを削除する必要があります。

この属性に値が含まれていない場合、WebVPN ポータル ページの文字セットは、リモート ブラウザに設定されているエンコーディング タイプによって決まります。

例

次に、日本語 Shift_JIS 文字をサポートする character-encoding 属性を設定し、フォント ファミリを削除し、デフォルトの背景色を保持する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの間隔はそれぞれ 60 秒です。

 

コマンド履歴

例

次に、バッファ割り当て間隔を 200 秒、コード スペースのチェックサムの間隔を 500 秒に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。矛盾する再送信をエンド システムが解釈する際に生じる TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

セキュリティ アプライアンスは、再送信のデータが元のデータと同じかどうかを確認しようとします。データが一致しない場合、接続がセキュリティ アプライアンスによってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは順序どおりにのみ許可されます。詳細については、 queue-limit コマンドを参照してください。

例

次に、すべての TCP フローで TCP チェック再送信機能をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

チェックサムの検証は、デフォルトでディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの検証をイネーブルにします。このチェックに失敗すると、パケットはドロップされます。

例

次に、10.0.0.0 ～ 20.0.0.0 の TCP 接続で TCP チェックサムの検証をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

デフォルトでは、このコマンドは、no 形式によってディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

データ VLAN に影響を及ぼそうとするセキュリティ上の脅威から音声ストリームを守るために、複数の VLAN を使用して音声とデータのトラフィックを分離することがセキュリティ上のベスト プラクティスです。ただし、Cisco IP Communicator（CIPC）Softphone アプリケーションは、それぞれの IP Phone に接続する必要があります。IP Phone は、音声 VLAN に常駐しています。この要件により、音声 VLAN とデータ VLAN を分離することが問題になります。これは、SIP プロトコルおよび SCCP プロトコルが広範囲のポートで RTP ポートおよび RTCP ポートをダイナミックにネゴシエートするためです。このダイナミック ネゴシエーションでは、特定の範囲のポートを 2 つの VLAN の間で開く必要があります。

（注） 認証済みモードをサポートしていない旧バージョンの CIPC は、電話プロキシではサポートされていません。

データ VLAN と音声 VLAN の間でのアクセスを広範囲のポートで行わずに、データ VLAN 上の CIPC Softphone を音声 VLAN 上の該当する IP Phone と接続するには、 cipc security-mode authenticated コマンドを使用して電話プロキシを設定します。

このコマンドを使用すると、電話プロキシが CIPC コンフィギュレーション ファイルを参照し、CIPC Softphone が強制的に（暗号化済みモードではなく）認証済みモードになります。これは、現在のバージョンの CIPC が暗号化済みモードをサポートしていないためです。

このコマンドがイネーブルの場合、電話プロキシは、電話コンフィギュレーション ファイルを解析し、電話が CIPC Softphone かどうかを判別し、セキュリティ モードを認証済みに変更します。またデフォルトでは、電話プロキシがすべての電話を強制的に暗号化済みモードにしている間だけ、CIPC Softphone は認証済みモードをサポートします。

例

次に、 cipc security-mode authenticated コマンドを使用して、音声 VLAN シナリオまたはデータ VLAN シナリオに Cisco IP Communicator（CIPC）Softphone を導入するときに CIPC Softphone を強制的に認証済みモードで動作させる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストがセキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

クラスを作成すると、セキュリティ アプライアンスは、クラスに割り当てられる各コンテキストに対してリソースの一部を確保しなくなります。その代わりに、セキュリティ アプライアンスは、コンテキストの上限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。クラス用のリソースを設定するには、 limit-resource コマンドを参照してください。

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2% の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。逆に、すべてのリソースに対する制限を設定してクラスを作成した場合、そのクラスはデフォルト クラスの設定を使用しません。

デフォルトでは、デフォルト クラスは、すべてのコンテキストにリソースへのアクセスを無制限に提供します。ただし、次の制限が適用されます（この制限は、デフォルトではコンテキストあたりの最大許容値が設定されます）。

• Telnet セッション：5 セッション。

• SSH セッション：5 セッション。

• MAC アドレス：65,535 エントリ。

例

次に、接続のデフォルト クラスの制限に、無制限ではなく 10 % を設定する例を示します。

他のリソースはすべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

class コマンドを使用するには、Modular Policy Framework を使用します。レイヤ 3/4 ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map ：アクションを実行するトラフィックを識別します。

2. policy-map ：各クラス マップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラス マップを指定します。

b. commands for supported features ：特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. service-policy ：ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

インスペクション ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map type inspect ：アクションを実行するトラフィックを指定します。

2. policy-map type inspect ：各クラス マップに関連付けられているアクションを指定します。

a. class ：アクションを実行するインスペクション クラス マップを指定します。

b. アプリケーション タイプのコマンド ：各アプリケーション タイプで使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。インスペクション ポリシー マップのクラス コンフィギュレーション モードでサポートされているアクションには、次のものが含まれます。

– パケットのドロップ

– 接続のドロップ

– 接続のリセット

– ロギング

– メッセージのレートの制限

– コンテンツのマスキング

c. parameters ：インスペクション エンジンに影響を及ぼすパラメータを設定します。CLI はパラメータ コンフィギュレーション モードに移行します。使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

3. class-map ：アクションを実行するトラフィックを識別します。

4. policy-map ：各クラス マップに関連付けるアクションを指定します。

a. class ：アクションを実行するレイヤ 3/4 クラス マップを指定します。

b. inspect application inspect_policy_map ：アプリケーション インスペクションをイネーブルにし、特別なアクションを実行するインスペクション ポリシー マップを呼び出します。

5. service-policy ：ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

このコンフィギュレーションには、すべてのトラフィックと一致する、 class-default と呼ばれるクラス マップが必ず含まれています。各レイヤ 3/4 ポリシー マップの末尾には、アクションが定義されていない class-default クラス マップがコンフィギュレーションに含まれています。すべてのトラフィックと照合するが、別のクラス マップを作成しない場合、このクラス マップをオプションで使用できます。実際、一部の機能は、 class-default クラス マップ用にのみ設定できます（ shape コマンドなど）。

class-default クラス マップを含めて、最大 63 個の class コマンドおよび match コマンドをポリシー マップに設定できます。

例

次に、 class コマンドを含む、接続ポリシーの policy-map コマンドの例を示します。このコマンドは、Web サーバ 10.1.1.1 への接続許可数を制限します。

次の例は、ポリシー マップでの複数の照合の動作を示しています。

次の例は、トラフィックが最初の利用可能なクラス マップと一致した場合に、同じ機能ドメインのアクションが指定されている後続のクラス マップと照合されないことを示しています。

Telnet 接続は、開始時に class telnet_traffic と一致します。同様に FTP 接続は、開始時に class ftp_traffic と一致します。Telnet および FTP 以外の TCP 接続の場合は、 class tcp_traffic と一致します。Telnet 接続または FTP 接続は class tcp_traffic と一致しますが、すでに他のクラスと一致しているため、セキュリティ アプライアンスはこの照合を行いません。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 通過トラフィック専用です。セキュリティ アプライアンス宛ての管理トラフィックについては、 class-map type management コマンドを参照してください。

レイヤ 3/4 クラス マップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定します。1 つのレイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップを作成できます。

デフォルトのクラス マップ

コンフィギュレーションには、デフォルト グローバル ポリシーでセキュリティ アプライアンスが使用するデフォルトのレイヤ 3/4 クラス マップが含まれます。これは、 inspection_default と呼ばれ、デフォルト インスペクション トラフィックと一致します。

デフォルトのコンフィギュレーションに存在する別のクラス マップは、class-default と呼ばれ、これはすべてのトラフィックと一致します。

このクラス マップは、すべてのレイヤ 3/4 ポリシー マップの最後に表示され、原則的に、他のすべてのトラフィックでどんなアクションも実行しないようにセキュリティ アプライアンスに通知します。独自の match any クラス マップを作成するのではなく、必要に応じて class-default クラス マップを使用できます。実際のところ、class-default で使用可能な機能は、QoS トラフィック シェーピングなどの一部の機能だけです。

最大クラス マップ

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

• class-map

• class-map type management

• class-map type inspection

• class-map type regex

• ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。

設定の概要

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. （アプリケーション インスペクションのみ） policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

class-map コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、クラス マップに含まれているトラフィックを指定する、 match コマンド（ match tunnel-group コマンドおよび match default-inspection-traffic コマンドを除く）が 1 つだけ含まれています。

例

次に、4 つのレイヤ 3/4 クラス マップを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます（ policy-map type inspect コマンドを参照）。

インスペクション ポリシー マップでは、インスペクション クラス マップを作成して、対象とするトラフィックを指定できます。このクラス マップには、1 つ以上の match コマンドが含まれます （あるいは、単一の基準とアクションをペアにする場合は、インスペクション ポリシー マップで match コマンドを直接使用できます）。アプリケーション固有の基準を照合できます。たとえば DNS トラフィックの場合は、DNS クエリー内のドメイン名と照合可能です。

クラス マップは、複数のトラフィック照合をグループ化します（match-all クラス マップ）。あるいはクラス マップで、照合リストのいずれかを照合できます（match-any クラス マップ）。クラス マップを作成することと、インスペクション ポリシー マップ内で直接トラフィック照合を定義することの違いは、クラス マップを使用して複数の match コマンドをグループ化できる点と、クラス マップを再使用できる点です。このクラス マップで指定するトラフィックに対しては、インスペクション ポリシー マップで、接続のドロップ、リセット、またはロギングなどのアクションを指定できます。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

• class-map

• class-map type management

• class-map type inspection

• class-map type regex

• ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

例

次の例では、すべての基準に一致する必要がある HTTP クラス マップを作成します。

次の例では、基準のいずれかに一致する必要がある HTTP クラス マップを作成します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド（ type キーワードは指定しない）を参照してください。

セキュリティ アプライアンスへの管理トラフィックに対して、この種類のトラフィックに特有のアクションの実行が必要になる場合があります。ポリシー マップの管理クラス マップで設定可能なアクションのタイプは、管理トラフィック専用です。たとえば、このタイプのクラス マップでは、RADIUS アカウンティング トラフィックをインスペクトして、接続制限を設定できます。

レイヤ 3/4 クラス マップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定します。すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。

レイヤ 3/4 ポリシー マップそれぞれに、複数のレイヤ 3/4 クラス マップ（管理トラフィックまたは通過トラフィック）を作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドおよび class-map type management コマンドを使用して、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを識別します。

2. （アプリケーション インスペクションのみ） policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

class-map type management コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。管理クラス マップを指定して、アクセス リストまたは TCP や UDP のポートと照合できます。レイヤ 3/4 クラス マップには、クラス マップに含まれるトラフィックを指定する match コマンドが 1 つだけが含まれています。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

• class-map

• class-map type management

• class-map type inspection

• class-map type regex

• ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

例

次に、レイヤ 3/4 管理クラス マップを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます（ policy-map type inspect コマンドを参照）。

インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。正規表現クラス マップで正規表現をグループ化できます。

正規表現クラス マップを作成する前に、 regex コマンドを使用して、正規表現を作成します。次に、 match regex コマンドを使用して、クラス マップ コンフィギュレーション モードで名前を付けられた正規表現を指定します。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

• class-map

• class-map type management

• class-map type inspection

• class-map type regex

• ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

例

次に、2 つの正規表現を作成し、これを正規表現クラス マップに追加する例を示します。トラフィックに「example.com」または「example2.com」というストリングが含まれている場合、このトラフィックはクラス マップと一致しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ユーザが認証試行を何回か失敗した後に、ユーザ認証を失敗にするには、このコマンドを使用します。

設定された認証試行の失敗数に達すると、ユーザは、システムからロック アウトされ、システム管理者がこのユーザ名のロックを解除するか、またはシステムをリブートするまで、正常にログインできません。ユーザが正常に認証されるか、またはセキュリティ アプライアンスをリブートすると、失敗試行数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。また、コンフィギュレーションが変更されると、システムがカウンタを 0 にリセットします。

ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。特権レベル 15 のシステム管理者は、ロック アウトされません。

例

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする例を示します。

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

username オプションを使用して単一のユーザを指定するか、 all オプションを使用してすべてのユーザを指定できます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響します。

管理者をデバイスからロックアウトすることはできません。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

例

次に、 clear aaa local user lockout コマンドを使用して、ユーザ名 anyuser のロックアウト状態をクリアし、失敗試行カウンタを 0 にリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

すべてのグループのすべての AAA サーバの統計情報を削除します。

 

コマンド履歴

例

次に、グループ内の特定のサーバの AAA 統計情報をリセットするコマンドを示します。

次に、サーバ グループ全体の AAA 統計情報をリセットするコマンドを示します。

次に、すべてのサーバ グループの AAA 統計情報をリセットするコマンドを示します。

次に、特定のプロトコル（この場合は TACACS+）の AAA 統計情報をリセットするコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

clear access-list コマンドを入力したら、カウンタをクリアするアクセスリストの ID を指定します。そうしないと、カウンタはクリアされません。

例

次に、特定のアクセス リスト カウンタをクリアする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、すべての ARP 統計情報をクリアする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、このコマンドを使用すると、すべてのドロップ統計情報がクリアされます。

 

コマンド履歴

 

使用上のガイドライン

プロセス タイプには、次のものが含まれます。

例

次に、すべてのドロップ統計情報をクリアする例を示します。

 

関連コマンド