- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: default コマンド~ duplex コマンド
- default
- default(crl 設定)
- default(時間範囲)
- default enrollment
- default-domain
- default-group-policy
- default-group-policy(webvpn)
- default-idle-timeout
- default-information originate(OSPF)
- default-information originate(RIP)
- delete
- deny-message(グループ ポリシー webvpn コンフィギュレーション モード)
- deny version
- description
- dhcp client route distance
- dhcp client route track
- dhcp-client update dns
- dhcpd address
- dhcpd auto_config
- dhcpd dns
- dhcpd domain
- dhcpd enable
- dhcpd lease
- dhcpd option
- dhcpd ping_timeout
- dhcpd update dns
- dhcpd wins
- dhcprelay enable
- dhcprelay server
- dhcprelay setroute
- dhcprelay timeout
- dialog
- dir
- disable
- disable(キャッシュ)
- distance ospf
- distribute-list in
- distribute-list out
- dns domain-lookup
- dns-group(トンネル グループ webvpn コンフィギュレーション モード)
- dns-guard
- dns name-server
- dns retries
- dns-server
- dns server-group
- dns timeout
- domain-name
- downgrade
- drop
- drop-connection
- duplex
default コマンド~ duplex コマンド
default
time-range コマンドの absolute キーワードおよび periodic キーワードのデフォルト設定を復元するには、時間範囲コンフィギュレーション モードで default コマンドを使用します。
default { absolute | periodic days-of-the-week time to [ days-of-the-week ] time }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
終了の days-of-the-week 値が開始の days-of-the-week 値と同じである場合は、終了の days-of-the-week 値を省略できます。
time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻に達した後にだけ評価され、 absolute end 時刻に達した後はそれ以上評価されません。
time-range 機能はセキュリティ アプライアンスのシステム クロックに依存しています。しかし、この機能は、NTP 同期化により最適に動作します。
例
次の例は、 absolute キーワードのデフォルト動作を復元する方法を示しています。
関連コマンド
|
|
|
|---|---|
default(crl 設定)
すべての CRL パラメータをシステムのデフォルト値に戻すには、crl 設定コンフィギュレーション モードで default コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバが必要とする場合にだけ使用されます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ca-crl コンフィギュレーション モードに入り、CRL コマンド値をデフォルトに戻します。
関連コマンド
|
|
|
|---|---|
default(時間範囲)
absolute コマンドおよび periodic コマンドのデフォルト設定を復元するには、時間範囲コンフィギュレーション モードで default コマンドを使用します。
default { absolute | periodic days-of-the-week time to [ days-of-the-week ] time }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
終了の days-of-the-week 値が開始の days-of-the-week 値と同じである場合は、終了の days-of-the-week 値を省略できます。
time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻に達した後にだけ評価され、 absolute end 時刻に達した後はそれ以上評価されません。
time-range 機能はセキュリティ アプライアンスのシステム クロックに依存しています。しかし、この機能は、NTP 同期化により最適に動作します。
例
次の例は、 absolute キーワードのデフォルト動作を復元する方法を示しています。
関連コマンド
|
|
|
|---|---|
default enrollment
すべての登録パラメータをシステムのデフォルト値に戻すには、暗号 CA トラストポイント コンフィギュレーション モードで default enrollment コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、すべての登録パラメータをトラストポイント central 内のデフォルト値に戻します。
関連コマンド
|
|
|
|---|---|
default-domain
グループ ポリシーのユーザに対してデフォルトのドメイン名を設定するには、グループ ポリシー コンフィギュレーション モードで default-domain コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。
デフォルトのドメイン名をすべて削除するには、引数なしで no default-domain コマンドを使用します。 default-domain none コマンドを発行して作成された null リストを含む設定済みのデフォルトのドメイン名がすべて削除されます。ユーザがドメイン名を継承しないようにするには、
default-domain none コマンドを使用します。
セキュリティ アプライアンスは、ドメイン フィールドを省略した DNS クエリーに付加するために、デフォルト ドメイン名を IPSec クライアントに渡します。このドメイン名は、トンネル パケットにだけ適用されます。デフォルト ドメイン名がない場合、ユーザはデフォルト グループ ポリシーのデフォルト ドメイン名を継承します。
default-domain {value domain-name | none}
no default-domain [ domain-name ]
シンタックスの説明
デフォルト ドメイン名がないことを指定します。デフォルト ドメイン名にヌル値を設定して、デフォルト ドメイン名を拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーからデフォルトのドメイン名を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、FirstGroup という名前のグループ ポリシーに対して FirstDomain のデフォルト ドメイン名を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
トンネリングが必要なネットワークと不要なネットワークを区別するために、セキュリティ アプライアンスが使用するアクセス リストを指定します。 |
|
IPSec クライアントが、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリアテキスト形式でネットワーク インターフェイスに誘導したりできるようにします。 |
default-group-policy
デフォルトでユーザが継承するアトリビュートのセットを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで default-group-policy コマンドを使用します。デフォルトのグループ ポリシー名を削除するには、このコマンドの no 形式を使用します。
default-group-policy group-name
no default-group-policy group-name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
webvpn コンフィギュレーション モードの default-group-policy コマンドは廃止されました。トンネル グループ一般アトリビュート モードの default-group-policy コマンドで置き換えられています。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
デフォルトのグループ ポリシー DfltGrpPolicy では、セキュリティ アプライアンスが初期設定されています。すべてのトンネル グループ タイプにこのアトリビュートを適用できます。
例
次の例では、Config-general コンフィギュレーション モードに入り、「standard-policy」という名前の IPSec LAN-to-LAN トンネル グループで、ユーザがデフォルトで継承するアトリビュートのセットを指定します。このコマンドのセットは、アカウンティング サーバ、認証サーバ、認可サーバおよびアドレス プールを定義します。
関連コマンド
|
|
|
|---|---|
default-group-policy(webvpn)
WebVPN または電子メールのプロキシ コンフィギュレーションがグループ ポリシーを指定していない場合に、使用するグループ ポリシー名を指定するには、 default-group-policy コマンドを使用します。WebVPN、IMAP4S、POP3S、および SMTPS セッションは、指定されたグループ ポリシーまたはデフォルトのグループ ポリシーのいずれかを必要とします。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メールの場合、このコマンドは、該当する電子メール プロキシ モードで使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
default-group-policy groupname
シンタックスの説明
デフォルトのグループ ポリシーとして使用する設定済みのグループ ポリシーを指定します。コンフィギュレーション モードで group-policy コマンドを使用し、グループ ポリシーを設定します。 |
デフォルト
DfltGrpPolicy という名前のデフォルト グループ ポリシーは、常にセキュリティ アプライアンスに存在します。 default-group-policy コマンドを使用すると、作成したグループ ポリシーを、WebVPN および電子メール プロキシ セッション用のデフォルトのグループ ポリシーとして置き換えることができます。別の方法として、DfltGrpPolicy を編集することもできます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
システムの DefaultGroupPolicy は編集できますが、削除できません。DefaultGroupPolicy の AVP は次のとおりです。
|
|
|
|---|---|
例
次の例は、WebVPN に WebVPN7 という名前のデフォルト グループ ポリシーを指定する方法を示しています。
hostname(config)# webvpn
default-idle-timeout
WebVPN ユーザに対するデフォルトのアイドル タイムアウト値を設定するには、webvpn モードで default-idle-timeout コマンドを使用します。デフォルトのアイドル タイムアウト値をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
デフォルトのアイドル タイムアウトを使用すると、セッションの失効を防ぐことができます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザのアイドル タイムアウトが定義されていない場合、値が 0 の場合、または値が有効な範囲外である場合、セキュリティ アプライアンスはここで設定された値を使用します。
このコマンドに、短い時間を設定することをお勧めします。理由は、クッキーがディセーブルにされている(またはクッキーを要求され、それを拒否する)設定のブラウザにより、ユーザが接続していなくてもセッション データベースに表示される場合があるからです。許容する接続の最大数が 1 に設定されている場合は( vpn-simultaneous-logins コマンド)、すでに接続の最大数に達していることをデータベースが示すため、ユーザはログインし直すことができません。アイドル タイムアウトを低く設定すると、そのような実体のないセッションを迅速に削除し、ユーザは再度ログインできます。
例
次の例は、デフォルトのアイドル タイムアウトを 1,200 秒(20 分)に設定する方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
default-information originate(OSPF)
OSPF ルーティング ドメインへのデフォルトの外部ルートを生成するには、ルータ コンフィギュレーション モードで default-information originate コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
default-information originate [ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]
no default-information originate [[ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]]
シンタックスの説明
(オプション)ソフトウェアでデフォルト ルートが設定されているかどうかかかわらず、常にデフォルト ルートをアドバタイズします。 |
|
(オプション)OSPF ルーティング ドメインにアドバタイズされたデフォルト ルートに関連する外部リンク タイプです。有効な値は次のとおりです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの no 形式をオプションのキーワードおよび引数と共に使用すると、コマンドからオプションの情報だけが削除されます。たとえば、 no default-information originate metric 3 を入力すると、実行コンフィギュレーションのコマンドから metric 3 オプションが削除されます。実行コンフィギュレーションからコマンド全体を削除するには、このコマンドの no 形式をオプションなしで使用します。つまり no default-information originate となります。
例
次の例は、オプションのメトリックおよびメトリック タイプと共に default-information originate コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
default-information originate(RIP)
RIP へのデフォルトのルートを生成するには、ルータ コンフィギュレーション モードで
default-information originate コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
default-information originate [ route-map name ]
no default-information originate [ route-map name ]
シンタックスの説明
(オプション)適用するルートマップの名前。ルートマップが満たされると、ルーティング プロセスはデフォルトのルートを生成します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
default-information originate コマンドで参照されるルートマップは拡張アクセス リストを使用できません。標準のアクセス リストを使用します。
例
次の例では、デフォルト ルートを RIP に生成する方法を示します。
関連コマンド
|
|
|
|---|---|
delete
ディスク パーティションのファイルを削除するには、特権 EXEC モードで delete コマンドを使用します。
delete [/noconfirm] [/recursive] [flash:] filename
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パスを指定しない場合、ファイルは現在の作業ディレクトリから削除されます。ファイルの削除では、ワイルドカードがサポートされています。ファイルを削除する場合、ファイル名のプロンプトが表示され、削除を確認する必要があります。
次の例は、現在の作業ディレクトリにある test.cfg という名前のファイルを削除する方法を示しています。
関連コマンド
|
|
|
|---|---|
deny-message(グループ ポリシー webvpn コンフィギュレーション モード)
WebVPN に正常にログインしているが、VPN 権限を持たないリモート ユーザに配信されるメッセージを変更するには、トンネル グループ webvpn コンフィギュレーション モードで deny-message value コマンドを使用します。
no deny-message value コマンドは、文字列を削除するので、リモート ユーザはメッセージを受信できません。
no deny-message none コマンドは、トンネル グループ ポリシー コンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。
シンタックスの説明
デフォルト
デフォルトの拒否メッセージは次のとおりです。「ログインには成功しますが、特定の基準に適合しなかったり、一部の特定のグループ ポリシーがあったりする影響で、VPN 機能のいずれも使用する権限は与えられません。詳細については、IT 管理者にお問い合せください。」
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはトンネル グループ webvpn コンフィギュレーション モードからグループ ポリシー webvpn コンフィギュレーション モードに移行しました。 |
使用上のガイドライン
このコマンドを入力する前に、グローバル コンフィギュレーション モードで group-policy name attributes を入力し、 webvpn コマンドを入力します(すでに policy name を作成していることを前提としています)。
deny-message value コマンドで文字列を入力する場合は、コマンドが折り返しても続けて入力します。
VPN セッションで使用されるトンネル ポリシーとは別に、ログインの際にリモート ユーザのブラウザにこのテキストが表示されます。
例
次の例の最初のコマンドは group2 と呼ばれる内部グループ ポリシーを作成します。後続のコマンドは、そのポリシーに関連した拒否メッセージを変更します。
関連コマンド
|
|
|
|---|---|
deny version
SNMP トラフィックの特定のバージョンを拒否するには、SNMP マップ コンフィギュレーション モードで deny version コマンドを使用します。このモードには、グローバル コンフィギュレーション モードから snmp-map コマンドを入力してアクセスできます。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
セキュリティ アプライアンスがドロップする SNMP トラフィックのバージョンを指定します。許可される値は 1 、 2 、 2c 、および 3 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
deny version コマンドを使用して、SNMP トラフィックを、SNMP の特定のバージョンに制限します。SNMP の以前のバージョンはセキュリティが低いため、セキュリティ ポリシーで SNMP トラフィックを Version 2 に制限することができます。 snmp-map コマンドを使用して設定する SNMP マップ内で deny version コマンドを使用します。SNMP マップを作成した後で、 inspect snmp コマンドを使用してマップをイネーブルにし、次に service-policy コマンドを使用して 1 つまたは複数のインターフェイスに適用します。
例
次の例は、SNMP トラフィックを識別し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
関連コマンド
|
|
|
|---|---|
description
指定したコンフィギュレーション ユニット(たとえば、コンテキストまたはオブジェクト グループ)に対する説明を追加するには、さまざまなコンフィギュレーション モードで description コマンドを使用します。この説明を削除するには、このコマンドの no 形式を使用します。説明により、役立つ情報がコンフィギュレーションに追加されます。
シンタックスの説明
説明に、最大 200 文字のテキスト文字列を設定します。文字列に疑問符(?)を含める場合は、不注意から CLI ヘルプを呼び出さないように、 Ctrl+V を入力してから疑問符を入力する必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、「アドミニストレーション」コンテキスト コンフィギュレーションに説明を追加したものです。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
dhcp client route distance
DHCP を通じてラーニングしたルートの管理ディスタンスを設定するには、インターフェイス コンフィギュレーション モードで dhcp client route distance コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dhcp client route distance distance
no dhcp client route distance distance
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcp client route distance コマンドは、ルートが DHCP を通じてラーニングされる場合にのみチェックされます。DHCP を通じてルートをラーニングした後に dhcp client route distance コマンドを入力した場合、指定された管理ディスタンスはラーニング済みの既存のルートには影響しません。指定した管理ディスタンスが与えられるのは、このコマンドの入力後にラーニングされたルートだけです。
DHCP を利用してルートを取得するには、 ip address dhcp コマンドに setroute オプションを指定する必要があります。
複数のインターフェイスで DHCP を設定した場合は、各インターフェイスについて dhcp client route distance コマンドを使用して、インストール済みルートの優先順位を指定する必要があります。
例
次の例では、GigabitEthernet0/2 上で DHCP を利用してデフォルト ルートを取得します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA オペレーションによって、外部インターフェイスからの 10.1.1.1 ゲートウェイの可用性が監視されます。この SLA オペレーションが失敗した場合は、GigabitEthernet0/3 上で DHCP を通じて取得したバックアップ ルートが使用されます。バックアップ ルートには、管理ディスタンス 254 が割り当てられています。
関連コマンド
|
|
|
|---|---|
dhcp client route track
追加ルートをトラッキング済みの指定オブジェクト番号に関連付けるように DHCP クライアントを設定するには、インターフェイス コンフィギュレーション モードで dhcp client route track コマンドを使用します。DHCP クライアント ルート トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。
dhcp client route track number
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcp client route track コマンドは、DHCP を通じてルートをラーニングする場合にのみチェックされます。DHCP を通じてルートをラーニングした後に dhcp client route track コマンドを入力した場合、ラーニングした既存のルートは、トラッキング オブジェクトには関連付けられません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後にラーニングされたルートだけです。
DHCP を利用してルートを取得するには、 ip address dhcp コマンドに setroute オプションを指定する必要があります。
複数のインターフェイスで DHCP を設定した場合は、各インターフェイスについて dhcp client route distance コマンドを使用して、インストール済みルートの優先順位を指定する必要があります。
例
次の例では、GigabitEthernet0/2 上で DHCP を利用してデフォルト ルートを取得します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA オペレーションによって、外部インターフェイスからの 10.1.1.1 ゲートウェイの可用性が監視されます。この SLA オペレーションが失敗した場合は、GigabitEthernet0/3 上で DHCP を通じて取得したバックアップ ルートが使用されます。バックアップ ルートには、管理ディスタンス 254 が割り当てられています。
関連コマンド
|
|
|
|---|---|
dhcp-client update dns
DHCP クライアントが DHCP サーバに渡すアップデート パラメータを設定するには、グローバル コンフィギュレーション モードで dhcp-client update dns コマンドを使用します。DHCP クライアントが DHCP サーバに渡すパラメータを削除するには、このコマンドの no 形式を使用します。
dhcp-client update dns [server { both | none }]
no dhcp-client update dns [server { both | none }]
シンタックスの説明
デフォルト
デフォルトでは、セキュリティ アプライアンスは DHCP サーバが PTR RR アップデートのみを実行するように要求します。クライアントはサーバに FQDN オプションを送信しません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドはインターフェイス コンフィギュレーション モードでも入力できますが、ハイフンは使用しません。 dhcp client update dns を参照してください。インターフェイス モードで入力した場合、 dhcp client update dns コマンドはグローバル コンフィギュレーション モードでこのコマンドで設定した設定値を上書きします。
例
次の例では、DHCP サーバが A RR と PTR RR のどちらもアップデートしないことをクライアントが要求するよう設定します。
次の例では、サーバが A RR と PTR RR をアップデートすることをクライアントが要求するよう設定します。
関連コマンド
|
|
|
|---|---|
ダイナミック DNS(DDNS)のアップデート方式を、セキュリティ アプライアンス インターフェイスまたは DDNS アップデート ホスト名に関連付けます。 |
|
dhcpd address
DHCP サーバで使用される IP アドレス プールを定義するには、グローバル コンフィギュレーション モードで dhcpd address コマンドを使用します。既存の DHCP アドレス プールを削除するには、このコマンドの no 形式を使用します。
dhcpd address IP_address 1 [ - IP_address 2 ] interface_name
no dhcpd address interface_name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd address ip1 [- ip2 ] interface_name コマンドは、DHCP サーバのアドレス プールを指定します。セキュリティ アプライアンス DHCP サーバのアドレス プールは、そのプールがイネーブルにされたセキュリティ アプライアンス インターフェイスと同じサブネット内にある必要があり、 interface_name を使用して関連するセキュリティ アプライアンス インターフェイスを指定する必要があります。
アドレス プールのサイズは、セキュリティ アプライアンスでプールあたり 256 に制限されています。アドレス プールの範囲が 253 アドレスよりも大きい場合、セキュリティ アプライアンス インターフェイスのネットマスクは、クラス C アドレス(たとえば、255.255.255.0)にはできないため、それよりいくらか大きく、たとえば、255.255.254.0 にする必要があります。
DHCP クライアントは、物理的にセキュリティ アプライアンス DHCP サーバ インターフェイスのサブネットに接続されている必要があります。
dhcpd address コマンドでは、「-」(ダッシュ)文字がオブジェクト名の一部ではなく範囲指定子と解釈されるため、「-」文字を含むインターフェイス名は使用できません。
no dhcpd address interface_name コマンドは、指定されたインターフェイスに設定されている DHCP サーバ アドレス プールを削除します。
DHCP サーバ機能をセキュリティ アプライアンスに実装する方法については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
例
次の例は、セキュリティ アプライアンスの dmz インターフェイスに DHCP クライアントに対するアドレス プールおよび DNS サーバを設定するため、 dhcpd address コマンド、 dhcpd dns コマンド、および dhcpd enable interface_name コマンドを使用する方法を示しています。
次の例は、内部インターフェイスに DHCP サーバを設定する方法を示しています。その内部インターフェイスの DHCP サーバに IP アドレス 10 個のプールを割り当てるため、 dhcpd address コマンドを使用します。
関連コマンド
|
|
|
|---|---|
dhcpd auto_config
DHCP または PPPoE クライアントを実行しているインターフェイスから取得した値に基づいて、セキュリティ アプライアンスが DHCP サーバに対して DNS、WINS およびドメイン名を自動的に設定するのをイネーブルにするには、グローバル コンフィギュレーション モードで dhcpd auto_config コマンドを使用します。DHCP パラメータの自動設定を解除するには、このコマンドの no 形式を使用します。
dhcpd auto_config client_if_name [[ vpnclient-wins-override] interface if_name]
no dhcpd auto_config client_if_name [[ vpnclient-wins-override] interface if_name]
シンタックスの説明
DNS、WINS、およびドメイン名パラメータを提供する DHCP クライアントを実行している、インターフェイスを指定します。 |
|
vpnclient パラメータにより、インターフェイス DHCP または PPPoE クライアント WINS パラメータを上書きします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CLI コマンドを使用して DNS、WINS、またはドメイン名パラメータを指定した場合、自動設定によって取得されたパラメータは、CLI により設定されたパラメータに上書きされます。
例
次の例は、内部インターフェイス上で DHCP を設定する方法を示しています。外部インターフェイス上の DHCP クライアントから取得した DNS、WINS、およびドメイン情報を、内部インターフェイス上の DHCP クライアントに渡すには dhcpd auto_config コマンドを使用します。
関連コマンド
|
|
|
|---|---|
DHCP クライアントとして動作するインターフェイスに DHCP サーバから提供される、DHCP オプションに関する詳細情報を表示します。 |
|
dhcpd dns
DHCP クライアントに対して DNS サーバを定義するには、グローバル コンフィギュレーション モードで dhcpd dns コマンドを使用します。定義されたサーバを消去するには、このコマンドの no 形式を使用します。
dhcpd dns dnsip1 [ dnsip2 ] [ interface if_name]
no dhcpd dns [ dnsip1 [ dnsip2 ]] [ interface if_name]
シンタックスの説明
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd dns コマンドは、DHCP クライアントに対する DNS サーバの IP アドレスを指定します。2 つの DNS サーバを指定できます。 no dhcpd dns コマンドは、コンフィギュレーションから DNS IP アドレスを削除します。
例
次の例は、セキュリティ アプライアンスの dmz インターフェイスに DHCP クライアントに対するアドレス プールおよび DNS サーバを設定するため、 dhcpd address コマンド、 dhcpd dns コマンド、および dhcpd enable interface_name コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd domain
DHCP クライアントに対して DNS ドメイン名を定義するには、グローバル コンフィギュレーション モードで dhcpd domain コマンドを使用します。DNS ドメイン名を消去するには、このコマンドの no 形式を使用します。
dhcpd domain domain_name [ interface if_name]
no dhcpd domain [ domain_name ] [ interface if_name]
シンタックスの説明
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd domain コマンドは、DHCP クライアントに対する DNS ドメイン名を指定します。 no dhcpd domain コマンドは、コンフィギュレーションから DNS ドメイン サーバを削除します。
例
次の例は、セキュリティ アプライアンスで DHCP サーバにより DHCP クライアントに提供されるドメイン名を設定するために dhcpd domain コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd enable
DHCP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで dhcpd enable コマンドを使用します。DHCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。セキュリティ アプライアンス内で DHCP サーバをサポートすることは、セキュリティ アプライアンスが DHCP を使用して、接続されているクライアントを設定できることを意味します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd enable interface コマンドを使用すると、DHCP デーモンが DHCP 対応のインターフェイス上で DHCP クライアントの要求のリッスンを開始します。 no dhcpd enable コマンドは、指定したインターフェイス上の DHCP サーバ機能をディセーブルにします。
(注) マルチ コンテキスト モードの場合、複数のコンテキストにより使用されているインターフェイス(共有 VLAN)で DHCP サーバをイネーブルにすることはできません。
セキュリティ アプライアンスが DHCP クライアント要求に応答する場合、要求を受信したインターフェイスの IP アドレスとサブネット マスクを、デフォルト ゲートウェイの IP アドレスとサブネット マスクとして応答で使用します。
(注) セキュリティ アプライアンス DHCP サーバ デーモンは、直接セキュリティ アプライアンス インターフェイスに接続されていないクライアントはサポートしません。
DHCP サーバ機能をセキュリティ アプライアンスに実装する方法については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
例
次の例は、DHCP サーバを内部インターフェイス上でイネーブルにするために dhcpd enable コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd lease
DHCP リース期間を指定するには、グローバル コンフィギュレーション モードで dhcpd lease コマンドを使用します。リースのデフォルト値に戻すには、このコマンドの no 形式を使用します。
dhcpd lease lease_length [ interface if_name]
no dhcpd lease [ lease_length ] [ interface if_name]
シンタックスの説明
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
|
DHCP サーバから DHCP クライアントに与えられる、秒単位の、IP アドレスのリース期間です。有効値は 300 ~ 1,048,575 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd lease コマンドは、DHCP クライアントに与えるリース期間を秒単位で指定します。このリース期間は、DHCP サーバが割り当てた IP アドレスを DHCP クライアントが使用できる期間を示します。
no dhcpd lease コマンドは、コンフィギュレーションから指定したリース長を削除して、この値をデフォルト値の 3,600 秒に置き換えます。
例
次の例は、DHCP クライアントに対する DHCP 情報のリース期間を指定するために dhcpd lease コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd option
DHCP オプションを設定するには、グローバル コンフィギュレーション モードで dhcpd option コマンドを使用します。オプションを消去するには、このコマンドの no 形式を使用します。 dhcpd option コマンドを使用して、TFTP サーバ情報を Cisco IP Phone およびルータに提供することができます。
dhcpd option code { ascii string } | { ip IP_address [ IP_address ]} | { hex hex_string } [ interface if_name]
no dhcpd option code [ interface if_name]
シンタックスの説明
設定された DHCP オプションの番号を表します。有効値は 0 ~ 255 で、いくつかの例外があります。サポートしていない DHCP オプション コードのリストについては、下の「 使用上のガイドライン 」の項を参照してください。 |
|
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
|
オプション パラメータが IP アドレスであることを指定します。最大 2 つの IP アドレスを ip キーワードに指定できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP オプション要求がセキュリティ アプライアンス DHCP サーバに到着すると、セキュリティ アプライアンスは dhcpd option コマンドで指定された値を、クライアントに対する応答に入れます。
dhcpd option 66 コマンドおよび dhcpd option 150 コマンドは、Cisco IP Phone およびルータがコンフィギュレーション ファイルをダウンロードするときに使用する TFTP サーバを指定します。次のようにコマンドを使用します。
•
dhcpd option 66 ascii string 。ここで、 string は TFTP サーバの IP アドレスまたはホスト名です。オプション 66 には、TFTP サーバを 1 つだけ指定できます。
• dhcpd option 150 ip IP_address [ IP_address ]。ここで、 IP_address は TFTP サーバの IP アドレスです。オプション 150 には、最大 2 つの IP アドレスを指定できます。
(注) dhcpd option 66 コマンドは ascii パラメータのみ受け付け、dhcpd option 150 コマンドは ip パラメータのみ受け付けます。
dhcpd option 66 | 150 コマンドに IP アドレスを指定するときには、次のガイドラインに従ってください。
• TFTP サーバが DHCP サーバ インターフェイス上にある場合、TFTP サーバのローカル IP アドレスを使用します。
• TFTP サーバが DHCP サーバ インターフェイスよりもセキュリティが低いインターフェイス上にある場合は、一般の発信規則が適用されます。DHCP クライアント用の NAT エントリ、グローバル エントリ、および access-list エントリを作成し、TFTP サーバの実際の IP アドレスを使用します。
• TFTP サーバがよりセキュリティの高いインターフェイス上にある場合は、一般の受信規則が適用されます。TFTP サーバ用のスタティック文と access-list 文のグループを作成し、TFTP サーバのグローバル IP アドレスを使用します。
その他の DHCP オプションの詳細については、RFC2132 を参照してください。
(注) セキュリティ アプライアンスは、与えられたオプション タイプおよび値が RFC 2132 に定義されているオプション コードの想定タイプおよび想定値と一致していることを確認しません。たとえば、dhcpd option 46 ascii hello と入力した場合、セキュリティ アプライアンスはその設定を受け入れますが、option 46 は 1 桁の 16 進値として RFC 2132 に定義されます。
dhcpd option コマンドで次の DHCP オプションは設定できません。
|
|
|
|---|---|
例
次の例は、DHCP オプション 66 に TFTP サーバを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd ping_timeout
DHCP PING のデフォルト タイムアウトを変更するには、グローバル コンフィギュレーション モードで dhcpd ping_timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。アドレスの競合を避けるため、DHCP サーバは、アドレスを DHCP クライアントに割り当てる前に 2 つの ICMP PING パケットをアドレスに送信します。このコマンドは、PING タイムアウトをミリ秒で指定します。
dhcpd ping_timeout number [ interface if_name]
no dhcpd ping_timeout [ interface if_name]
シンタックスの説明
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、DHCP クライアントに IP アドレスを割り当てる前に、両方の ICMP PING パケットがタイムアウトになるのを待ちます。たとえば、デフォルト値が使用された場合、セキュリティ アプライアンスは IP アドレスを割り当てる前に、1,500 ミリ秒(各 ICMP PING パケットに対して 750 ミリ秒)待ちます。
例
次の例は、 dhcpd ping_timeout コマンドを使用して、DHCP サーバの PING タイムアウト値を変更する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcpd update dns
DHCP サーバによるダイナミック DNS アップデートを実行するには、グローバル コンフィギュレーション モードで dhcpd update dns コマンドを使用します。DHCP サーバによる DDNS をディセーブルにするには、このコマンドの no 形式を使用します。
dhcpd update dns [both] [override] [interface srv_ifc_name ]
no dhcpd update dns [both] [override] [interface srv_ifc_name ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ダイナミック DNS(DDNS)は、DNS で管理されている名前からアドレスへのマッピング、およびアドレスから名前へのマッピングをアップデートするものです。アップデートは DHCP サーバと連携して実行されます。 dhcpd update dns コマンドはサーバによるアップデートをイネーブルにします。
名前とアドレスのマッピングは、次の 2 タイプのリソース レコード(RR)に保持されます。
• A リソース レコードは、ドメイン名から IP アドレスへのマッピングを保持します。
• PTR リソース レコードは、IP アドレスからドメイン名へのマッピングを保持します。
DDNS アップデートを使用すると、A タイプの RR に保持される情報と、PTR タイプの RR に保持される情報との一貫性を維持できます。
dhcpd update dns コマンドを使用すると、DHCP サーバが A RR と PRT RR の両方アップデート、または PTR RR アップデートのみを実行するように設定できます。DHCP クライアントからのアップデート要求を上書きするように設定することもできます。
例
次の例では、DDNS サーバが DHCP クライアントからの要求を上書きすると同時に、A と PTR の両方のアップデートを実行するよう設定します。
関連コマンド
|
|
|
|---|---|
ダイナミック DNS(DDNS)のアップデート方式を、セキュリティ アプライアンス インターフェイスまたは DDNS アップデート ホスト名に関連付けます。 |
|
dhcpd wins
DHCP クライアント用の WINS サーバを定義するには、グローバル コンフィギュレーション モードで dhcpd wins コマンドを使用します。DHCP サーバから WINS サーバを削除するには、このコマンドの no 形式を使用します。
dhcpd wins server1 [server2] [ interface if_name]
no dhcpd wins [ server1 [ server2 ]] [ interface if_name]
シンタックスの説明
サーバに対して入力した値の適用対象となるインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。 |
|
(オプション)代替の Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレスを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcpd wins コマンドは、DHCP クライアント用の WINS サーバのアドレスを指定します。 no dhcpd wins コマンドは、コンフィギュレーションから WINS サーバの IP アドレスを削除します。
例
次の例は、dhcpd wins コマンドを使用して、DHCP クライアントに送信された WINS サーバ情報を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcprelay enable
DHCP リレー エージェントをイネーブルにするには、グローバル コンフィギュレーション モードで dhcprelay enable コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。DHCP リレー エージェントを使用すると、指定したセキュリティ アプライアンス インターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。
dhcprelay enable interface_name
no dhcprelay enable interface_name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcprelay enable interface_name コマンドによってセキュリティ アプライアンスが DHCP リレー エージェントを開始するようにするには、 dhcprelay server コマンドがコンフィギュレーションにすでに存在している必要があります。そのコマンドがなければ、セキュリティ アプライアンスは次に示すようなエラー メッセージを表示します。
• 同じインターフェイス上で DHCP リレーと DHCP リレー サーバをイネーブルにすることはできません。
• 同じインターフェイス上で DHCP リレーと DHCP サーバ( dhcpd enable )をイネーブルにすることはできません。
• 1 つのコンテキストの DHCP リレーを、DHCP サーバと同時にイネーブルにすることはできません。
• マルチ コンテキスト モードの場合、複数のコンテキストにより使用されているインターフェイス(共有 VLAN)で DHCP リレーをイネーブルにすることはできません。
no dhcprelay enable interface_name コマンドは、 interface_name で指定されたインターフェイスの DHCP リレー エージェント コンフィギュレーションだけを削除します。
例
次の例は、10.1.1.1 という IP アドレスを持つ DHCP サーバ用の DHCP リレー エージェントをセキュリティ アプライアンスの外部インターフェイス上に設定し、クライアント要求をセキュリティ アプライアンスの内部インターフェイス上に設定して、さらにタイムアウト値を 90 秒に設定する方法を示しています。
次の例は、DHCP リレー エージェントをディセーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
DHCP リレー エージェントが、DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。 |
|
dhcprelay server
DHCP 要求が転送される DHCP サーバを指定するには、グローバル コンフィギュレーション モードで dhcpreplay server コマンドを使用します。DHCP リレー コンフィギュレーションから DHCP サーバを削除するには、このコマンドの no 形式を使用します。DHCP リレー エージェントを使用すると、指定したセキュリティ アプライアンス インターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。
dhcprelay server IP_address interface_name
no dhcprelay server IP_address [ interface_name ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスあたり最大 4 つの DHCP リレー サーバを追加できます。 dhcprelay enable コマンドを入力する前に、少なくとも 1 つの dhcprelay server コマンドをセキュリティ アプライアンス コンフィギュレーションに追加する必要があります。DHCP リレー サーバが設定されているインターフェイス上に、DHCP クライアントを設定することはできません。
dhcprelay server コマンドは、指定したインターフェイス上で UDP ポート 67 を開き、 dhcprelay enable コマンドがコンフィギュレーションに追加されるとすぐに DHCP リレー タスクを開始します。
no dhcprelay server IP_address [ interface_name ] コマンドを使用すると、インターフェイスは DHCP パケットのそのサーバへの転送を停止します。
no dhcprelay server IP_address [ interface_name ] コマンドを使用すると、 IP_address [ interface_name ] で指定された DHCP サーバ用の DHCP リレー エージェント コンフィギュレーションだけが削除されます。
例
次の例は、10.1.1.1 という IP アドレスを持つ DHCP サーバ用の DHCP リレー エージェントをセキュリティ アプライアンスの外部インターフェイス上に設定し、クライアント要求をセキュリティ アプライアンスの内部インターフェイス上に設定して、さらにタイムアウト値を 90 秒に設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
DHCP リレー エージェントが、DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。 |
|
dhcprelay setroute
DHCP 応答にデフォルト ゲートウェイ アドレスを設定するには、グローバル コンフィギュレーション モードで dhcprelay setroute コマンドを使用します。デフォルト ルータを削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、DHCP 応答のデフォルト IP アドレスは、指定されたセキュリティ アプライアンス インターフェイスのアドレスに置き換えられます。
no dhcprelay setroute interface
シンタックスの説明
最初のデフォルト IP アドレス(DHCP サーバから送信されるパケット内にある)を interface のアドレスに変更するように DHCP リレー エージェントを設定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcprelay setroute interface コマンドを使用すると、DHCP リレー エージェントが最初のデフォルト ルータ アドレス(DHCP サーバから送信されるパケット内にある)を interface のアドレスに変更するように設定できます。
パケット内にデフォルトのルータ オプションがなければ、セキュリティ アプライアンスは、 interface アドレスを含んでいるデフォルト ルータを追加します。その結果、クライアントは自分のデフォルト ルートがセキュリティ アプライアンスに向かうように設定できます。
dhcprelay setroute interface コマンドを設定しない場合(かつパケット内にデフォルトのルータ オプションがある場合)、パケットは、ルータ アドレスが変更されないままセキュリティ アプライアンスを通過します。
例
次の例は、 dhcprelay setroute コマンドを使用して、DHCP 応答のデフォルト ゲートウェイを外部 DHCP サーバからセキュリティ アプライアンスの内部インターフェイスに設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
dhcprelay timeout
DHCP リレー エージェントのタイムアウト値を設定するには、グローバル コンフィギュレーション モードで dhcprelay timeout コマンドを使用します。タイムアウト値をデフォルト値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dhcprelay timeout コマンドは、DHCP サーバからの応答がリレー バインディング構造を通して DHCP クライアントに進むことが許されている時間を秒単位で設定します。
例
次の例は、10.1.1.1 という IP アドレスを持つ DHCP サーバ用の DHCP リレー エージェントをセキュリティ アプライアンスの外部インターフェイス上に設定し、クライアント要求をセキュリティ アプライアンスの内部インターフェイス上に設定して、さらにタイムアウト値を 90 秒に設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
DHCP リレー エージェントが、DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。 |
|
dialog
WebVPN ユーザに表示するダイアログ メッセージをカスタマイズするには、webvpn カスタマイゼーション モードで dialog コマンドを使用します。
dialog { title | message | border } style value
[ no ] dialog { title | message | border } style v alue
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのタイトルのスタイルは background-color:#669999;color:white です。
デフォルトのメッセージのスタイルは background-color:#99CCCC;color:black です。
デフォルトの境界線のスタイルは border:1px solid black;border-collapse:collapse です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。
例
次の例では、ダイアログ メッセージの文字表示色を青色に変更するようにカスタマイズしています。
関連コマンド
|
|
|
dir
ディレクトリの内容を表示するには、特権 EXEC モードで dir コマンドを使用します。
dir [ /all] [ all-filesystems ] [/recursive] [flash: | system:] [ path]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、ファイル システム全体の内容を再帰的に表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
disable
特権 EXEC モードを終了してユーザ EXEC モードに戻るには、特権 EXEC モードで disable コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
enable コマンドを使用して、特権モードに入ります。 disable コマンドは、特権モードを終了して、ユーザ モードに戻ります。
例
関連コマンド
|
|
|
|---|---|
disable(キャッシュ)
WebVPN に対するキャッシングをディセーブルにするには、キャッシュ モードで disable コマンドを使用します。キャッシングを再度イネーブルにするには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キャッシングは頻繁に再利用されるオブジェクトをシステム キャッシュに保存します。キャッシュに保存しておくことにより、リライトやコンテンツの圧縮を繰り返し実行する必要が少なくなります。WebVPN とリモート サーバの間および WebVPN とエンドユーザのブラウザとの間の両方でトラフィックを削減します。その結果、多くのアプリケーションがさらに効率よく実行されます。
例
次の例は、キャッシングをディセーブルにする方法と、それを再度イネーブルにする方法を示しています。
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
distance ospf
ルート タイプに基づいて OSPF ルートの管理ディスタンスを定義するには、ルータ コンフィギュレーション モードで distance ospf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
distance ospf [ intra-area d1 ] [ inter-area d2 ] [ external d3 ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
少なくとも 1 つのキーワードと引数を指定する必要があります。管理ディスタンスのタイプごとにコマンドを個別に入力することができますが、コンフィギュレーションでは 1 つのコマンドとして表示されます。管理ディスタンスを再入力する場合、対象ルート タイプの管理ディスタンスだけが変更されます。その他のルート タイプの管理ディスタンスは影響されません。
コマンドの no 形式には、キーワードも引数もありません。コマンドの no 形式を使用すると、すべてのルート タイプの管理ディスタンスがデフォルトに戻されます。複数のルート タイプを設定している場合、1 つのルートタイプをデフォルトの管理ディスタンスに戻すには、次のいずれかを実行します。
• コマンドの no 形式を使用してコンフィギュレーション全体を削除してから、保持するルート タイプのコンフィギュレーションを再入力します。
例
次の例では、外部ルートの管理ディスタンスを 150 に設定します。
次の例は、各ルート タイプに入力した個別のコマンドが、ルータ コンフィギュレーションで 1 つのコマンドとして表示される方法を示しています。
次の例は、各管理ディスタンスを 105 に設定し、次に外部管理ディスタンスだけを 150 に変更する方法を示しています。 show running-config router ospf コマンドは、外部ルート タイプの値だけが変更され、その他のルート タイプでは以前に設定された値が保持されている状況を示します。
関連コマンド
|
|
|
|---|---|
distribute-list in
アップデートを受信したネットワークをフィルタリングするには、ルータ コンフィギュレーション モードで distribute-list in コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。
distribute-list acl in [ interface if_name ]
no distribute-list acl in [ interface if_name ]
シンタックスの説明
(オプション) nameif コマンドで指定されたインターフェイスの名前。インターフェイスを指定すると、そのインターフェイス上で受信されたルーティング アップデートだけにアクセス リストが適用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、外部インターフェイスのルーティング アップデートのフィルタリングを制限します。10.0.0.0 ネットワークのルートを受け入れ、他はすべて拒否します。
関連コマンド
|
|
|
|---|---|
distribute-list out
RIP アップデートで特定のネットワークが送信されるのをフィルタリングするには、ルータ コンフィギュレーション モードで distribute-list out コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。
distribute-list acl out [ interface if_name | rip | ospf pid | static | connected ]
no distribute-list acl out [ interface if_name ]
シンタックスの説明
(オプション) nameif コマンドで指定されたインターフェイスの名前。インターフェイスを指定すると、アクセス リストは指定されたインターフェイスに送信されたルーティング アップデートのみに適用されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、任意のインターフェイスから送信された RIP アップデートで 10.0.0.0 ネットワークがアドバタイズされないようにします。
関連コマンド
|
|
|
|---|---|
dns domain-lookup
サポートされているコマンドに対してネーム ルックアップを実行するために、セキュリティ アプライアンスが DNS サーバに DNS 要求を送信することをイネーブルにするには、グローバル コンフィギュレーション モードで dns domain-lookup コマンドを使用します。DNS lookup をディセーブルにするには、このコマンドの no 形式を使用します。
dns domain-lookup interface_name
no dns domain-lookup interface_name
シンタックスの説明
DNS lookup をイネーブルにするインターフェイスを指定します。このコマンドを複数回入力して、DNS lookup を複数のインターフェイス上でイネーブルにする場合、セキュリティ アプライアンスは応答を受信するまで各インターフェイスを順番に試します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS 要求の送信先の DNS サーバ アドレスを設定するには、 dns name-server コマンドを使用します。DNS lookup をサポートするコマンドのリストについては、 dns name-server コマンドを参照してください。
セキュリティ アプライアンスは、ダイナミックにラーニングされたエントリで構成される名前解決のキャッシュを管理します。セキュリティ アプライアンスは、ホスト名から IP アドレスへの変換が必要になるたびに外部 DNS サーバにクエリーする代わりに、外部 DNS 要求から返された情報をキャッシュします。セキュリティ アプライアンスは、キャッシュにない名前に対してのみ要求を実行します。キャッシュのエントリは、DNS レコードの期限切れ、または 72 時間後のいずれか早い方に自動的にタイムアウトします。
例
次の例では、内部インターフェイス上で DNS lookup をイネーブルにします。
関連コマンド
|
|
|
|---|---|
dns-group(トンネル グループ webvpn コンフィギュレーション モード)
WebVPN トンネル グループに使用する DNS サーバを指定するには、トンネル グループ WebVPN コンフィギュレーション モードで dns-group コマンドを使用します。デフォルトの DNS グループを復元するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
名前には任意の DNS グループを指定できます。dns-group コマンドはホスト名をトンネル グループの適切な DNS サーバに解決します。
例
次の例は、「dnsgroup1」という名前の DNS グループの使用を指定するカスタマイゼーション コマンドを示しています。
関連コマンド
|
|
|
|---|---|
dns-guard
クエリーごとに 1 つの DNS 応答を実行する DNS Guard 機能をイネーブルにするには、パラメータ コンフィギュレーション モードで dns-guard コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
DNS Guard はデフォルトでイネーブルです。このコマンドは、 policy-map type inspect dns を定義していなくても、 inspect dns を設定している場合はイネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで no dns-guard を明示的に指定する必要があります。 inspect dns が設定されていない場合、動作は global dns-guard コマンドにより指定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS ヘッダーのインデックス フィールドを使用して、DNS 応答と DNS ヘッダーを一致させます。クエリーごとに 1 つの応答がセキュリティ アプライアンスを介して許可されます。
例
次の例では、DNS 検査ポリシー マップで DNS Guard をイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
dns name-server
1 つまたは複数の DNS サーバを指定するには、グローバル コンフィギュレーション モードで dns name-server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、WebVPN コンフィギュレーションまたは証明書コンフィギュレーションのサーバ名を解決するために DNS を使用します(サポートされるコマンドのリストについては、「使用上のガイドライン」を参照してください)。サーバ名を定義するその他の機能は(AAA など)、DNS 解決をサポートしていません。IP アドレスを入力するか、 name コマンドを使用して手動により名前を IP アドレスに解決する必要があります。
dns name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]
no dns name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。DNS サーバ グループ コンフィギュレーション モードの name-server コマンドで置き換えられています。 |
使用上のガイドライン
DNS lookup をイネーブルにするには、DNS サーバ グループ コンフィギュレーション モードで domain-name コマンドを設定します。DNS lookup をイネーブルにしない場合、DNS サーバは使用されません。
DNS 解決をサポートする WebVPN コマンドには、次のコマンドが含まれます。
DNS 解決をサポートする certificate コマンドには、次のコマンドが含まれます。
name コマンドを使用すると、名前と IP アドレスを手動で入力できます。
セキュリティ アプライアンスが一連の DNS サーバを再試行する回数を設定するには、 retries コマンドを参照してください。
例
セキュリティ アプライアンスは、次のようにコンフィギュレーションを個別のコマンドとして保存します。
2 つのサーバを追加するには、それらを 1 つのコマンドとして入力できます。
複数のサーバを削除するには、それらのサーバを、次のように複数のコマンドとして、または 1 つのコマンドとして入力できます。
関連コマンド
|
|
|
|---|---|
dns retries
セキュリティ アプライアンスが応答を受信しないときに、一連の DNS サーバへのアクセスを再試行する回数を指定するには、グローバル コンフィギュレーション モードで dns retries コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、再試行の回数を 0 に設定します。セキュリティ アプライアンスは各サーバを 1 回ずつ試します。
関連コマンド
|
|
|
|---|---|
dns-server
プライマリおよびセカンダリの DNS サーバの IP アドレスを設定するには、グループ ポリシー モードで dns-server コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、DNS サーバを別のグループ ポリシーから継承できます。サーバを継承しないようにするには、 dns-server none コマンドを使用します。
dns-server { value ip_address [ ip_address ] | none}
シンタックスの説明
dns サーバに、ヌル値を設定して DNS サーバを許可しません。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
dns-server コマンドを実行するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、次に DNS サーバ y.y.y.y を設定した場合、2 番目のコマンドは最初のコマンドを上書きし、y.y.y.y が唯一の DNS サーバになります。サーバを複数設定する場合も同様です。以前に設定された DNS サーバを上書きする代わりにサーバを追加するには、このコマンドを入力するときにすべての DNS サーバの IP アドレスを含めます。
例
次の例は、FirstGroup という名前のグループ ポリシーで、IP アドレスが 10.10.10.15、10.10.10.30、および 10.10.10.45 の DNS サーバを設定する方法を示しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30 10.10.10.45
dns server-group
トンネル グループに使用する DNS サーバのドメイン名、ネームサーバ、リトライ回数、タイムアウトの値を指定できる dns server-group モードに入るには、グローバル コンフィギュレーション モードで dns server-group コマンドを使用します。特定の DNS サーバ グループを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
名前には任意の DNS グループを指定できます。 dns server-group コマンドを使用して DNS グループを設定します。
例
次の例では、「eval」という名前の DNS サーバ グループを設定します。
関連コマンド
|
|
|
|---|---|
dns timeout
次の DNS サーバを試すまで待機する時間を指定するには、グローバル コンフィギュレーション モードで dns timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
タイムアウトを 1 ~ 30 の間の秒単位で指定します。デフォルトは 2 秒です。セキュリティ アプライアンスが一連のサーバを試すたびに、このタイムアウトは倍増します。試行回数を設定するには、 dns retries コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
domain-name
デフォルトのドメイン名を設定するには、グローバル コンフィギュレーション モードで
domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、修飾子を持たない名前の拡張子として、ドメイン名を付加します。たとえば、ドメイン名を「example.com」と設定し、syslog サーバを、修飾子を持たない「jupiter」という名前で指定した場合、名前は、セキュリティ アプライアンスにより「jupiter.example.com.」と修飾されます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ドメインを example.com に設定します。
関連コマンド
|
|
|
|---|---|
downgrade
オペレーティング システム ソフトウェア(ソフトウェア イメージ)の以前のバージョンにダウングレードするには、特権 EXEC モードで downgrade コマンドを使用します。
downgrade image_url [activation-key [flash | 4-part_key | file ]] [config start_config_url ]
シンタックスの説明
デフォルト
activation-key キーワードが指定されていない場合、セキュリティ アプライアンスは最後に使用された 4 分割アクティベーション キーを試します。セキュリティ アプライアンスがフラッシュで 4 分割アクティベーション キーを検出できなかった場合、コマンドは拒否され、エラー メッセージが表示されます。この場合、次回にコマンドラインで有効な 4 分割アクティベーション キーを指定する必要があります。デフォルトのアクティベーション キーまたはユーザ指定のアクティベーション キーが、現在有効なアクティベーション キーと比較されます。選択されたアクティベーション キーを使用することで、機能を損失する可能性がある場合、ダウングレード後に、損失する可能性のある機能のリストと共に警告が表示されます。
スタートアップ コンフィギュレーション ファイルが指定されていない場合、セキュリティ アプライアンスはデフォルトで downgrade.cfg を使用します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ソフトウェア リリース 7.0(1) 以降を実行している Cisco PIX Firewall シリーズのセキュリティ アプライアンスに限り使用できます。このコマンドは、Cisco ASA 5500 シリーズのセキュリティ アプライアンスではサポートされていません。
破損したフラッシュ メモリを回復するには、コンソールへの直接アクセスが必要です。詳細については、 format コマンドを参照してください。
例
次の例では、ソフトウェアをリリース 6.3.3 にダウングレードします。
次の例は、無効なアクティベーション キーを入力した場合の結果を示しています。
Enter the file option when there is no actkey in the source image (happens if the source is in tftp server).
次の例は、ソース イメージのアクティベーション キーを指定したときに、それが存在しなかった場合の結果を示しています。
次の例は、最後のプロンプトでダウングレード手順を中止する方法を示しています。
ダウングレードするには、ソフトウェア バージョンが 7.0 未満である必要があります。次の例は、ソフトウェアのダウングレードに失敗した試行を示しています。
次の例は、イメージを指定したときにアクティベーション キーを確認しなかった場合の結果を示しています。
次の例は、4 分割アクティベーション キーに、現在の 5 分割アクティベーション キーのすべての機能が含まれていない場合の結果を示しています。
関連コマンド
|
|
|
|---|---|
drop
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで drop コマンドを使用して、 match コマンドまたはクラス マップと一致するパケットをドロップします。この drop アクションは、アプリケーション トラフィックの検査ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションでこのアクションが許可されているわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
drop [ send-protocol-error ] [ log ]
no drop [ send-protocol-error ] [ log ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
検査ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを指す)した後は、 drop コマンドを入力して match コマンドまたは class コマンドと一致するすべてのパケットをドロップできます。
パケットをドロップすると、検査ポリシー マップで以降のアクションは実行されません。たとえば、最初のアクションでパケットをドロップした場合は、それ以降、 match コマンドまたは class コマンドと一致しません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの 2 番目のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して drop アクションと log アクションの両方を設定できます。その場合、パケットは所定の一致箇所でドロップされる前にロギングされます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション検査をイネーブルにするときは、このアクションを含んでいる検査ポリシー マップをイネーブルにします。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は検査ポリシー マップの名前です。
例
次の例では、パケットをドロップし、http-traffic クラス マップと一致した際にログを送信します。同じパケットが 2 番目の match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。
関連コマンド
|
|
|
|---|---|
drop-connection
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで drop-connection コマンドを使用してパケットをドロップし、 match コマンドまたはクラス マップと一致するトラフィックの接続を閉じます。接続は、セキュリティ アプライアンス上の接続データベースから削除されます。接続がドロップされた後で、引き続きセキュリティ アプライアンスに入るパケットは廃棄されます。この drop-connection アクションはアプリケーション トラフィックの検査ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションで、このアクションが許可されるわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
drop-connection [ send-protocol-error ] [ log ]
no drop-connection [ send-protocol-error ] [ log ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
検査ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを指す)した後は、 drop-connection コマンドを入力してパケットをドロップし、 match コマンドまたは class コマンドと一致するトラフィックの接続を閉じます。
パケットをドロップしたり接続を閉じると、それ以降は検査ポリシー マップではアクションは実行されません。たとえば、最初のアクションがパケットをドロップし接続を閉じることである場合、それ以降は match コマンドまたは class コマンドに対応しません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの 2 番目のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して drop-connection アクションと log アクションの両方を設定できます。その場合、パケットは所定の一致箇所でドロップされる前にロギングされます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション検査をイネーブルにするときは、このアクションを含んでいる検査ポリシー マップをイネーブルにします。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は検査ポリシー マップの名前です。
例
次の例では、http-traffic クラス マップと一致する際には、パケットをドロップし、接続を閉じてログを送信します。同じパケットが 2 番目の match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。
関連コマンド
|
|
|
|---|---|
duplex
銅線イーサネット インターフェイス(RJ-45)のデュプレックス方式を設定するには、インターフェイス コンフィギュレーション モードで duplex コマンドを使用します。デュプレックス設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
デュプレックス モードは、物理インターフェイス上にだけ設定します。
duplex コマンドは、ファイバ メディアでは使用できません。
ネットワークが自動検出をサポートしていない場合は、デュプレックス モードを特定の値に設定します。
ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度またはデュプレックス方式のいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックス方式の両方に明示的に固定値を設定して、両方の設定に関するオートネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。
PoE ポート上でデュプレックスを auto 以外に設定した場合は、IEEE 802.3af をサポートしない Cisco IP Phone およびシスコの無線アクセス ポイントは検出されず、電源が供給されません。
例
関連コマンド
|
|
|
|---|---|
フィードバック