Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

disable

DHCP 代行受信をディセーブルにします。

enable

DHCP 代行受信をイネーブルにします。

netmask

トンネル IP アドレスのサブネット マスクを提供します。

7.0(1)

このコマンドが導入されました。

mapped_name

マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface

物理インターフェイスのタイプ、スロット、およびポート番号で、
type [ slot / ] port として指定します。タイプとスロット/ポートの間にスペースを入れるかどうかは任意です。

物理インターフェイスのタイプには、次のものがあります。

• ethernet

• gigabitethernet

PIX 500 シリーズ セキュリティ アプライアンスの場合は、タイプに続けてポート番号を入力します（たとえば、 ethernet0 ）。

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合は、タイプに続けてスロット/ポートを入力します（たとえば、 gigabitethernet0/1 ）。シャーシに組み込まれたインターフェイスはスロット 0 に割り当てられ、4GE SSM 上のインターフェイス（または組み込まれた 4GE SSM）はスロット 1 に割り当てられます。

ASA 5510 以降の適応型セキュリティ アプライアンスには、次のタイプもあります。

• management

管理インターフェイスは、管理トラフィック専用に設計されたファースト イーサネット インターフェイスで、 management0/0 として指定されます。ただし、必要に応じて、通過トラフィックに使用することもできます（ management-only コマンドを参照）。透過ファイアウォール モードでは、通過トラフィック用の 2 つのインターフェイスのほかに、管理インターフェイスを使用できます。また、管理インターフェイスにサブインターフェイスを追加して、マルチ コンテキスト モードのセキュリティ コンテキストごとに管理することができます。

インターフェイス タイプ、スロット、およびポート番号を特定するには、使用中のモデルに付属しているハードウェア ドキュメントを参照してください。

subinterface

（オプション）論理サブインターフェイスを示す 1 ～ 4294967293 の整数を指定します。サブインターフェイスの最大数は、セキュリティ アプライアンスのモデルによって異なります。サブインターフェイスは ASA 5505 適応型セキュリティ アプライアンスといった組み込みスイッチがあるモデルには使用できません。プラットフォームごとのサブインターフェイス（または VLAN）の最大数については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。1 つまたは複数の VLAN サブインターフェイスを持つインターフェイスは、自動的に 802.1Q トランクとして設定されます。

vlan number

組み込みスイッチがあるモデルの場合、VLAN ID 番号を 1 ～ 1001 の範囲で指定します。

7.0(1)

このコマンドは、新しいサブインターフェイスの命名規則が適用できるように、また、インターフェイス コンフィギュレーション モードで引数が独立したコマンドとなるように変更されました。

7.2(1)

interface vlan コマンドが、ASA 5505 適応型セキュリティ アプライアンスでの組み込みスイッチをサポートするために追加されました。

allocate-interface

セキュリティ コンテキストにインターフェイスおよびサブインターフェイスを割り当てます。

clear configure interface

インターフェイスのコンフィギュレーションをすべて消去します。

clear interface

show interface コマンドのカウンタを消去します。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

interface-name

VPN ロードバランシング クラスタのパブリックまたはプライベート インターフェイスとして設定するインターフェイスの名前。

lbprivate

このコマンドが VPN ロードバランシングのプライベート インターフェイスを設定するように指定します。

lbpublic

このコマンドが VPN ロードバランシングのパブリック インターフェイスを設定するように指定します。

7.0(1)

このコマンドが導入されました。

vpn load-balancing

VPN ロードバランシング モードに入ります。

num

1 ～ 100 の数を指定するか（パーセンテージとして使用する場合）、または 1 からインターフェイスの最大数までの数を指定します。

%

（オプション） num の数が監視対象インターフェイスのパーセンテージであることを指定します。

7.0(1)

このコマンドが導入されました。

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover interface-policy

インターフェイス モニタリング ポリシーを設定します。

monitor-interface

フェールオーバーのために監視対象にするインターフェイスを指定します。

days

アップデート試行間の日数を 0 ～ 364 の範囲に指定します。

hours

アップデート試行間の時間数を 0 ～ 23 の範囲に指定します。

minutes

アップデート試行間の分数を 0 ～ 59 の範囲に指定します。

seconds

アップデート試行間の秒数を 0 ～ 59 の範囲に指定します。

7.2(1)

このコマンドが導入されました。

ddns（DDNS アップデート

方式モード）

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update（インターフェイス
コンフィギュレーション モード）

ダイナミック DNS（DDNS）のアップデート方式を、セキュリティ アプライアンス インターフェイスまたは DDNS アップデート ホスト名に関連付けます。

ddns update method（グローバル
コンフィギュレーション モード）

DNS のリソース レコードを動的にアップデートするための方式を作成します。

dhcp-client update dns

DHCP クライアントが DHCP サーバに渡すアップデート パラメータを設定します。

dhcpd update dns

DHCP サーバによるダイナミック DNS アップデートの実行をイネーブルにします。

ip_address

インターフェイスの IP アドレス（ルーテッド モード）、または管理 IP アドレス（透過モード）。

mask

（オプション）IP アドレスのサブネット マスク。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスのデフォルト マスクを使用します。

standby ip_address

（オプション）フェールオーバー用のスタンバイ装置の IP アドレス。

7.0(1)

ルーテッド モードに関して、このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address dhcp

DHCP サーバから IP アドレスを取得するようにインターフェイスを設定します。

show ip address

インターフェイスに割り当てられた IP アドレスを表示します。

setroute

（オプション）DHCP サーバから提供されるデフォルト ルートをセキュリティ アプライアンスが使用できるようにします。

7.0(1)

このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。また、このコマンドが、外部インターフェイスだけでなく、すべてのインターフェイス上でイネーブルにできるようになりました。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address

インターフェイスの IP アドレスを設定します。または、透過ファイアウォールの管理 IP アドレスを設定します。

show ip address dhcp

DHCP サーバから取得した IP アドレスを表示します。

ip_address

PPPoE サーバからアドレスを受信せずに、IP アドレスを手作業で設定します。

mask

IP アドレスのサブネット マスクを指定します。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスのデフォルト マスクを使用します。

setroute

セキュリティ アプライアンスでは、PPPoE サーバから提供されるデフォルト ルートが使用されます。PPPoE サーバがデフォルト ルートを送信しない場合、セキュリティ アプライアンスはゲートウェイとしてアクセス コンセントレータのアドレスによりデフォルト ルートを作成します。

7.2(1)

このコマンドが導入されました。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address

インターフェイスの IP アドレスを設定します。

pppoe client vpdn group

このインターフェイスを特定の VPDN グループに割り当てます。

show ip address pppoe

PPPoE サーバから取得した IP アドレスを表示します。

vpdn group

7.2(1)

このコマンドが導入されました。

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

action

（オプション）一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。

alarm

（デフォルト）パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

（オプション）パケットをドロップします。

reset

（オプション）パケットをドロップし、接続を閉じます。

既存

このコマンドは既存のものです。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit attack

ip audit attack コマンドのコンフィギュレーションを表示します。

action

（オプション）一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。

alarm

（デフォルト）パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

（オプション）パケットをドロップします。

reset

（オプション）パケットをドロップし、接続を閉じます。

既存

このコマンドは既存のものです。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit info

ip audit info コマンドのコンフィギュレーションを表示します。

interface_name

インターフェイス名を指定します。

policy_name

ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーと attack ポリシーを割り当てることができます。

既存

このコマンドは既存のものです。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit interface

ip audit interface コマンドのコンフィギュレーションを表示します。

action

（オプション）一連のアクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは、 ip audit attack コマンドと ip audit info コマンドで設定されたデフォルト アクションを使用します。

alarm

（オプション）パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

attack

攻撃シグニチャの監査ポリシーを作成します。パケットは、DoS 攻撃や不正な FTP コマンドなど、ネットワークに対する攻撃の一部である可能性があります。

drop

（オプション）パケットをドロップします。

info

情報シグニチャの監査ポリシーを作成します。パケットは、現在のところ、ネットワークを攻撃することはありませんが、ポート スィープなど、情報収集アクティビティの一部である可能性があります。

name

ポリシーの名前を設定します。

reset

（オプション）パケットをドロップし、接続を閉じます。

既存

このコマンドは既存のものです。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

shun

特定の送信元アドレスと宛先アドレスが指定されたパケットをブロックします。

signature_number

ディセーブルにするシグニチャの番号を指定します。サポートされているシグニチャのリストについては、 表16-1 を参照してください。

disable

シグニチャをディセーブルにします。

既存

このコマンドは既存のものです。

1000

400000

IP オプション：不良オプション リスト

情報

受信した IP データグラムの IP データグラム ヘッダーにある IP オプションのリストが不完全な場合や変造されている場合にトリガーされます。IP オプションのリストには、種々のネットワーク管理タスクやデバッグ タスクを実行するオプションが 1 つ以上含まれています。

1001

400001

IP オプション：記録パケット ルート

情報

受信した IP データグラムの IP オプション リストにオプション 7（記録パケット ルート）が含まれている場合にトリガーされます。

1002

400002

IP オプション：タイムスタンプ

情報

受信した IP データグラムの IP オプション リストにオプション 4（タイムスタンプ）が含まれている場合にトリガーされます。

1003

400003

IP オプション：セキュリティ

情報

受信した IP データグラムの IP オプション リストにオプション 2（セキュリティ オプション）が含まれている場合にトリガーされます。

1004

400004

IP オプション：発信元ルートの損失

情報

受信した IP データグラムの IP オプション リストにオプション 3（発信元ルートの損失）が含まれている場合にトリガーされます。

1005

400005

IP オプション：SATNET ID

情報

受信した IP データグラムの IP オプション リストにオプション 8（SATNET ストリーム ID）が含まれている場合にトリガーされます。

1006

400006

IP オプション：完全発信元ルート

情報

受信した IP データグラムの IP オプション リストにオプション 2（完全発信ルーティング）が含まれている場合にトリガーされます。

1100

400007

IP フラグメント攻撃

攻撃

受信した IP データグラムのオフセット フィールドに含まれているオフセット値が 0 より大きく 5 より小さい場合にトリガーされます。

1102

400008

IP 不可能パケット

攻撃

到着した IP パケットの送信元アドレスと宛先アドレスが一致している場合にトリガーされます。このシグニチャは、いわゆる Land 攻撃を捕捉します。

1103

400009

IP フラグメント重複（Teardrop）

攻撃

同じ IP データグラムに含まれている 2 つのフラグメントが、データグラム内で両フラグメントが位置決めを共有していることを示すオフセットを持っている場合にトリガーされます。これは、フラグメント A がフラグメント B によって完全に上書きされること、またはフラグメント A がフラグメント B によって部分的に上書きされることを意味する場合があります。一部のオペレーティング システムは、このように重複するフラグメントを正しく処理しないため、重複フラグメントを受信したときに、例外を投げたり、不適切に動作したりする場合があります。このようにして、Teardrop 攻撃から DoS が引き起こされます。

2000

400010

ICMP エコー応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 0（エコー応答）に設定されている場合にトリガーされます。

2001

400011

ICMP ホスト到達不能

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 3（ホスト到達不能）に設定されている場合にトリガーされます。

2002

400012

ICMP Source Quench

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 4（Source Quench）に設定されている場合にトリガーされます。

2003

400013

ICMP リダイレクト

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 5（リダイレクト）に設定されている場合にトリガーされます。

2004

400014

ICMP エコー要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 8（エコー要求）に設定されている場合にトリガーされます。

2005

400015

データグラムの ICMP タイム超過

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 11（データグラムのタイム超過）に設定されている場合にトリガーされます。

2006

400016

データグラム上の ICMP パラメータ問題

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 12（データグラム上のパラメータ問題）に設定されている場合にトリガーされます。

2007

400017

ICMP タイムスタンプ要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 13（タイムスタンプ要求）に設定されている場合にトリガーされます。

2008

400018

ICMP タイムスタンプ応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 14（タイムスタンプ応答）に設定されている場合にトリガーされます。

2009

400019

ICMP 情報要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 15（情報要求）に設定されている場合にトリガーされます。

2010

400020

ICMP 情報応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 16（ICMP 情報応答）に設定されている場合にトリガーされます。

2011

400021

ICMP アドレス マスク要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 17（アドレス マスク要求）に設定されている場合にトリガーされます。

2012

400022

ICMP アドレス マスク応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプ フィールドが 18（アドレス マスク応答）に設定されている場合にトリガーされます。

2150

400023

フラグメント化された ICMP トラフィック

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定されているほか、それ以外にも 1（ICMP）に設定されたフラグメント フラグがあるか、またはオフセット フィールドにオフセットが含まれている場合にトリガーされます。

2151

400024

大きい ICMP トラフィック

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、IP の長さが 1024 より大きい場合にトリガーされます。

2154

400025

Ping of Death 攻撃

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1（ICMP）に設定され、Last Fragment ビットが設定され、（IP オフセット * 8）+（IP データ長）> 65,535 の式が成り立つ場合にトリガーされます。この式は、IP オフセット（元のパケットにおけるこのフラグメントの開始位置で、8 バイト単位）と残りのパケットの合計が IP パケットの最大サイズを超えていることを意味します。

3040

400026

TCP NULL フラグ

攻撃

SYN、FIN、ACK、または RST フラグがいずれも設定されていない単一の TCP パケットが、特定のホストに送信された場合にトリガーされます。

3041

400027

TCP SYN+FIN フラグ

攻撃

SYN および FIN フラグが設定されている単一の TCP パケットが、特定のホストに送信された場合にトリガーされます。

3042

400028

TCP FIN のみのフラグ

攻撃

単一の身元不明 TCP FIN パケットが、特定のホスト上の特権ポート（ポート番号は 1024 より小さい）に送信された場合にトリガーされます。

3153

400029

FTP に誤ったアドレスを指定

情報

ポート コマンドが、要求元ホストとは異なるアドレスを使用して発行された場合にトリガーされます。

3154

400030

FTP に誤ったポートを指定

情報

ポート コマンドが、1024 未満または 65535 を超えるデータ ポートを指定して発行された場合にトリガーされます。

4050

400031

UDP Bomb 攻撃

攻撃

指定された UDP の長さが、指定された IP の長さより小さい場合にトリガーされます。この変造パケット タイプは、DoS 攻撃に関連付けられています。

4051

400032

UDP Snork 攻撃

攻撃

検出された UDP パケットの送信元ポートが 135、7、または 19 のいずれかで、宛先ポートが 135 の場合にトリガーされます。

4052

400033

UDP Chargen DoS 攻撃

攻撃

このシグニチャがトリガーされるのは、検出された UDP パケットの送信元ポートが 7 で、宛先ポートが 19 の場合です。

6050

400034

DNS HINFO 要求

情報

DNS サーバの HINFO レコードにアクセスする攻撃が発生した場合にトリガーされます。

6051

400035

DNS ゾーン転送

情報

通常の DNS ゾーン転送（送信元ポートは 53）が発生した場合にトリガーされます。

6052

400036

ハイ ポートからの DNS ゾーン転送

情報

不正な DNS ゾーン転送（送信元ポートは 53 以外）が発生した場合にトリガーされます。

6053

400037

すべての記録の DNS 要求

攻撃

すべての記録の DNS 要求を受信した場合にトリガーされます。

6100

400038

RPC ポート登録

情報

ターゲット ホストに対して新しい RPC サービスを登録する攻撃が発生した場合にトリガーされます。

6101

400039

RPC ポート非登録

情報

ターゲット ホストに対して既存の RPC サービスを登録解除する攻撃が発生した場合にトリガーされます。

6102

400040

RPC Dump

情報

ターゲット ホストに RPC ダンプ要求が発行された場合にトリガーされます。

6103

400041

プロキシの RPC 要求

攻撃

ターゲット ホストのポートマッパーにプロキシの RPC 要求が送信された場合にトリガーされます。

6150

400042

ypserv（YP サーバ デーモン）Portmap 要求

情報

YP サーバ デーモン（ypserv）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6151

400043

ypbind（YP バインド デーモン）Portmap 要求

情報

YP バインド デーモン（ypbind）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6152

400044

yppasswdd（YP パスワード デーモン）Portmap 要求

情報

YP パスワード デーモン（yppasswdd）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6153

400045

ypupdated（YP アップデート デーモン）Portmap 要求

攻撃

YP アップデート デーモン（ypupdated）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6154

400046

ypxfrd（YP 転送デーモン）Portmap 要求

攻撃

YP 転送デーモン（ypxfrd）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6155

400047

mountd（マウント デーモン）Portmap 要求

情報

マウント デーモン（mountd）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6175

400048

rexd（リモート実行デーモン）Portmap 要求

情報

リモート実行デーモン（rexd）ポートのポートマッパーに要求が送信された場合にトリガーされます。

6180

400049

rexd（リモート実行デーモン）攻撃

情報

rexd プログラムが呼び出された場合にトリガーされます。リモート実行デーモンは、リモート プログラムの実行を担当するサーバです。これは、システム リソースに不正アクセスする攻撃の兆候である可能性があります。

6190

400050

statd バッファ オーバーフロー

攻撃

大規模な statd 要求が送信された場合にトリガーされます。これは、バッファをオーバーフローさせ、システム リソースにアクセスする攻撃である可能性があります。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

show running-config ip audit signature

ip audit signature コマンドのコンフィギュレーションを表示します。

disable

IP 圧縮をディセーブルにします。

enable

IP 圧縮をイネーブルにします。

7.0(1)

このコマンドが導入されました。

first-address

IP アドレスの範囲の開始アドレスを指定します。

last-address

IP アドレスの範囲の最終アドレスを指定します。

mask mask

（オプション）アドレス プールのサブネット マスクを指定します。

poolname

IP アドレス プールの名前を指定します。

7.0(1)

このコマンドが導入されました。

clear configure ip local pool

すべての IP ローカル プールを削除します。

show running-config ip local pool

ip プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。

disable

IP Phone Bypass をディセーブルにします。

enable

IP Phone Bypass をイネーブルにします。

7.0(1)

このコマンドが導入されました。

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。

fail-close

AIP SSM に障害が発生した場合にトラフィックをブロックします。

fail-open

AIP SSM に障害が発生した場合にトラフィックを許可します。

inline

AIP SSM にパケットを転送します。パケットは、IPS 動作の結果としてドロップされる場合があります。

promiscuous

AIP SSM に対するパケットを複製します。元のパケットを AIP SSM でドロップすることはできません。

7.0(1)

このコマンドが導入されました。

class

トラフィック分類に使用するクラス マップを指定します。

class-map

ポリシー マップで使用するトラフィックを指定します。

clear configure policy-map

すべての ポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシー（トラフィック クラスと 1 つまたは複数のアクションのアソシエーション）を設定します。

show running-config policy-map

現在のすべての ポリシー マップ コンフィギュレーションを表示します。

disable

IPSec over UDP をディセーブルにします。

enable

IPSec over UDP をイネーブルにします。

7.0(1)

このコマンドが導入されました。

ipsec-udp-port

セキュリティ アプライアンスが UDP トラフィックをリッスンするポートを指定します。

port

4001 ～ 49151 の整数を使用して、UDP ポート番号を指定します。

7.0(1)

このコマンドが導入されました。

ipsec-udp

Cisco VPN Client またはハードウェア クライアントから、NAT を実行しているセキュリティ アプライアンスに UDP を介して接続できるようにします。

interface_name

Unicast RPF をイネーブルにするインターフェイス。

既存

このコマンドは既存のものです。

clear configure ip verify reverse-path

ip verify reverse-path コンフィギュレーションを消去します。

clear ip verify statistics

Unicast RPF の統計情報を消去します。

show ip verify statistics

Unicast RPF の統計情報を表示します。

show running-config ip verify reverse-path

ip verify reverse-path コンフィギュレーションを表示します。

any

IPv6 プレフィックス ::/0 の短縮形で、任意の IPv6 アドレスを示します。

default

（オプション）ACE 用に syslog メッセージ 106100 が生成されるように指定します。

deny

条件に合致している場合、アクセスを拒否します。

destination-ipv6-address

トラフィックを受信するホストの IPv6 アドレス。

destination-ipv6-prefix

トラフィックの宛先となる IPv6 ネットワーク アドレス。

disable

（オプション）syslog メッセージングをディセーブルにします。

host

アドレスが特定のホストを指していることを指定します。

icmp6

セキュリティ アプライアンスを通過する ICMPv6 トラフィックにアクセス規則が適用されるように指定します。

icmp_type

アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号（0 ～ 255）または次の ICMP タイプ リテラルのいずれかにできます。

• destination-unreachable

• packet-too-big

• time-exceeded

• parameter-problem

• echo-request

• echo-reply

• membership-query

• membership-report

• membership-reduction

• router-renumbering

• router-solicitation

• router-advertisement

• neighbor-solicitation

• neighbor-advertisement

• neighbor-redirect

icmp_type 引数を省略すると、すべての ICMP タイプを示します。

icmp_type_obj_grp_id

（オプション）オブジェクト グループの ICMP タイプ ID を指定します。

id

アクセス リストの名前または番号。

interval secs

（オプション）syslog メッセージ 106100 を生成する時間間隔を指定します。有効値の範囲は 1 ～ 600 秒です。デフォルトの間隔は 300 秒です。この値は、非アクティブのフローを削除するためのタイムアウト値としても使用されます。

level

（オプション）メッセージ 106100 の syslog レベルを指定します。有効値の範囲は 0 ～ 7 です。デフォルト レベルは 6（情報）です。

line line-num

（オプション）アクセス規則を挿入するリスト内の行番号。行番号を指定しない場合、ACE はアクセス リストの末尾に追加されます。

log

（オプション）ACE のロギング アクションを指定します。 log キーワードを指定しない場合や、 log default キーワードを指定した場合、ACE によってパケットが拒否されると、メッセージ 106023 が生成されます。log キーワードを単独で指定した場合や、レベルまたは間隔と一緒に指定した場合、ACE によってパケットが拒否されると、メッセージ 106100 が生成されます。アクセス リストの末尾にある暗黙的な拒否によって拒否されるパケットについては、ログに記録されません。ロギングをイネーブルにするには、ACE でパケットを明示的に拒否する必要があります。

network_obj_grp_id

既存のネットワーク オブジェクト グループの ID。

object-group

（オプション）オブジェクト グループを指定します。

operator

（オプション）送信元 IP アドレスを宛先 IP アドレスと比較するための演算子を指定します。 operator は、送信元 IP アドレスまたは宛先 IP アドレスのポートを比較します。使用できる演算子は、 lt （小なり）、 gt （大なり） eq （同値）、 neq （非同値）、および range （範囲）です。すべてのポートを含めるには（デフォルト）、演算子およびポートを使用せずに ipv6 access-list コマンドを使用します。

permit

条件に合致している場合、アクセスを許可します。

port

（オプション）アクセスを許可または拒否するポートを指定します。 port 引数を入力する場合は、0 ～ 65535 の数を使用するか、 protocol が tcp または udp であればリテラル名を使用して、ポートを指定します。

使用可能な TCP リテラル名は、aol、bgp、chargen、 cifc 、 citrix-ica 、cmd、ctiqbe、daytime、discard、 domain 、echo、exec、finger、 ftp 、ftp-data、gopher、h323、hostname、http、https、ident、irc、kerberos、klogin、kshell、ldap、ldaps、login、lotusnotes、lpd、netbios-ssn、 nntp 、 pop2 、 pop3 、pptp、rsh、rtsp、 smtp 、sqlnet、 ssh 、 sunrpc、tacacs、talk、telnet、uucp、whois、および www です。

使用可能な UDP リテラル名は、biff、bootpc、bootps、cifs、discard、dnsix、domain、echo、http、isakmp、kerberos、mobile-ip、nameserver、netbios-dgm、netbios-ns、ntp、pcanywhere-status、pim-auto-rp、radius、radius-acct、rip、secureid-udp、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、www、および xdmcp です。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス（IPv6 アドレスのネットワーク部分）を構成しているかを指定します。

protocol

IP プロトコルの名前または番号。有効値は、 icmp 、 ip 、 tcp 、 udp のいずれか、または IP プロトコル番号を表す 1 ～ 254 までの整数です。

protocol_obj_grp_id

既存のプロトコル オブジェクト グループの ID。

service_obj_grp_id

（オプション）オブジェクト グループを指定します。

source-ipv6-address

トラフィックを送信するホストの IPv6 アドレス。

source-ipv6-prefix

ネットワーク トラフィックの発信元の IPv6 ネットワーク アドレス。

7.0(1)

このコマンドが導入されました。

access-group

アクセス リストをインターフェイスに割り当てます。

ipv6 icmp

セキュリティ アプライアンスのインターフェイスに着信する ICMP メッセージに対して、アクセス規則を設定します。

object-group

オブジェクト グループ（アドレス、ICMP タイプ、およびサービス）を作成します。

autoconfig

インターフェイス上でステートレス自動設定を使用して、IPv6 アドレスの自動設定をイネーブルにします。

eui-64

（オプション）IPv6 アドレスの下位 64 ビットにインターフェイス ID を指定します。

ipv6-address

インターフェイスに割り当てられた IPv6 リンク ローカル アドレス。

ipv6-prefix

インターフェイスに割り当てられた IPv6 ネットワーク アドレス。

link-local

アドレスがリンク ローカル アドレスであることを指定します。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス（IPv6 アドレスのネットワーク部分）を構成しているかを指定します。

7.0(1)

このコマンドが導入されました。

debug ipv6 interface

IPv6 インターフェイスに関するデバッグ情報を表示します。

show ipv6 interface

IPv6 用に設定したインターフェイスのステータスを表示します。

7.0(1)

このコマンドが導入されました。

ipv6 address

インターフェイスの IPv6 アドレスを設定し、インターフェイス上で IPv6 処理をイネーブルにします。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

if_name

nameif コマンドで指定したとおりに、インターフェイスの名前を指定して、Modified EUI-64 アドレス形式の適用をイネーブルにします。

7.2(1)

このコマンドが導入されました。

ipv6 address

インターフェイスで IPv6 アドレスを設定します。

ipv6 enable

インターフェイスで IPv6 をイネーブルにします。

any

任意の IPv6 アドレスを指定するキーワード。IPv6 プレフィックス ::/0 の短縮形。

deny

選択したインターフェイス上で、指定した ICMP トラフィックを拒否します。

host

アドレスが特定のホストを指していることを指定します。

icmp-type

アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号（0 ～ 255）または次の ICMP タイプ リテラルのいずれかにできます。

• destination-unreachable

• packet-too-big

• time-exceeded

• parameter-problem

• echo-request

• echo-reply

• membership-query

• membership-report

• membership-reduction

• router-renumbering

• router-solicitation

• router-advertisement

• neighbor-solicitation

• neighbor-advertisement

• neighbor-redirect

if-name

アクセス規則の適用先となるインターフェイスの名前（ nameif コマンドで指定したもの）。

ipv6-address

ICMPv6 メッセージをインターフェイスに送信するホストの IPv6 アドレス。

ipv6-prefix

ICMPv6 メッセージをインターフェイスに送信する IPv6 ネットワーク。

permit

選択したインターフェイス上で、指定した ICMP トラフィックを許可します。

prefix-length

IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィックス（ネットワーク部分）を構成しているかを指定します。プレフィックスの長さ値の前に、スラッシュ（/）を入力する必要があります。

7.0(1)

このコマンドが導入されました。

ipv6 access-list

アクセス リストを設定します。

value

0 ～ 600 の数。0 を入力すると、指定されたインターフェイス上で重複アドレス検出がディセーブルになります。1 を入力すると、1 回だけ送信するように設定されます。デフォルト値は 1 つのメッセージです。

7.0(1)

このコマンドが導入されました。