Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

シンタックスの説明

 

デフォルト

デフォルトでは、キューの上限は 1,024 パケットです。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスでは、次の 2 つのトラフィック クラスを使用できます。1 つは優先順位が高く、遅延に影響されやすいトラフィック（音声およびビデオなど）用の Low-Latency Queuing（LLQ; 低遅延キューイング）で、もう 1 つは、それ以外のすべてのトラフィック用のベストエフォート（デフォルト）です。セキュリティ アプライアンスは、優先トラフィックを認識し、適切な Quality of Service（QoS; サービス品質）ポリシーを適用します。プライオリティ キューのサイズと項目数を設定することで、トラフィック フローを微調整できます。

プライオリティ キューイングを有効にするには、 priority-queue コマンドを使用して、インターフェイスのプライオリティ キューをあらかじめ作成しておく必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。

priority-queue コマンドを使用すると、プライオリティ キュー モードに入ります。モードはプロンプトに表示されます。プライオリティ キュー モードでは、いつでも送信キューに入れることができるパケットの最大数（ tx-ring-limit コマンド）、およびバッファに入れることのできる両タイプ（優先またはベストエフォート）のパケット数を設定できます（ queue-limit コマンド）。queue-limit の数を超えると、以後のパケットはドロップされます。

（注） インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります。

指定する tx-ring-limit および queue-limit は、優先順位の高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両タイプのパケットの数です。このパケットの処理が終わると、ドライバは輻輳が解消するまで、インターフェイスの先頭にある、パケットをバッファしているキューの処理に戻ります。一般に、これらの 2 つのパラメータを調整することによって、低遅延トラフィックのフローを最適化できます。

キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが「テール ドロップ」です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。

（注） queue-limit コマンドと tx-ring-limit コマンドの値の範囲の上限は、実行時に動的に決まります。この上限値を表示するには、コマンドラインで help または ? と入力します。主な決定要素は、キューのサポートに必要となるメモリと、デバイス上で使用可能なメモリの量です。キューは、使用可能なメモリの量を超えることはできません。理論上の最大パケット数は 2,147,483,647 です。

例

次の例では、test というインターフェイスのプライオリティ キューを設定して、キューの上限を 30,000 パケット、送信キューの上限を 256 パケットと指定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの最大パケット数は 0 です。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで queue-limit コマンドを使用すると、任意の TCP 接続の TCP パケットの順序付けをイネーブルにしたり、デフォルトで順序付けされている接続のキューの上限を変更したりできます。

検査、IDS 機能、または TCP check-retransmission のいずれかの機能がイネーブルになっている場合、パケットは TCP 接続上で順序付けされます。順序付けされている接続のパケット キューのデフォルトの上限は、1 フローにつき 2 つです。それ以外のすべての TCP 接続の場合、パケットは受信と同時に転送されます。これには、順序付けされていないパケットも含まれます。任意の TCP 接続の TCP パケットの順序付けをイネーブルにする、または順序付けされている接続のキューの上限を変更するには、 queue-limit コマンドを使用します。この機能をイネーブルにすると、順序付けされていないパケットは、転送できるようになるまでキューに保持されるか、または一定の時間が経過するまでキューに保持されます。したがって、メモリ使用量は、パケットのバッファ処理により増加します。

例

次の例は、すべての Telnet 接続の TCP パケットの順序付けをイネーブルにする方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

キー シーケンス Ctrl+Z を使用しても、グローバル コンフィギュレーション（およびそれより上位の）モードを終了できます。このキー シーケンスは、特権 EXEC モードおよびユーザ EXEC モードでは機能しません。

特権 EXEC モードまたはユーザ EXEC モードで quit コマンドを入力すると、セキュリティ アプライアンスからログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。

例

次の例は、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、セッションからログアウトする方法を示しています。

次の例は、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、その後、 disable コマンドを使用して特権 EXEC モードを終了する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、RADIUS 認可サーバに対してのみ有効です。

RADIUS 認可サーバは、接続する各ユーザのパスワードとユーザ名を要求します。セキュリティ アプライアンスは、ユーザ名を自動的に入力します。ここでユーザは、パスワードを入力します。RADIUS サーバ管理者は、このパスワードを、このセキュリティ アプライアンスを経由してサーバに権限を与える各ユーザと関連付けるように、RADIUS サーバを設定する必要があります。この情報は、RADIUS サーバ管理者に必ず提供してください。

共通のユーザ パスワードを指定しない場合、各ユーザのパスワードは、ユーザ各自のユーザ名となります。たとえば、ユーザ名が「jsmith」のユーザは、「jsmith」と入力します。ユーザ名を共通のユーザ パスワードとして使用している場合は、セキュリティ対策として、この RADIUS サーバを使用ネットワーク外で認可用に使用しないでください。

（注） このフィールドは、基本的にスペースを埋めるためのものです。RADIUS サーバは、このフィールドを予期および要求しますが、使用することはありません。ユーザは、このフィールドを知っている必要はありません。

例

次の例では、ホスト「1.2.3.4」上に「svrgrp1」という RADIUS AAA サーバ グループを設定し、タイムアウト間隔を 9 秒に、リトライ間隔を 7 秒に設定します。さらに、RADIUS 共通パスワードを「allauthpw」に設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトでは、このコマンドの設定はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このアトリビュートは、IPSec リモートアクセス トンネル グループ タイプだけに適用できます。

例

次の例では、config-ipsec コンフィギュレーション モードで入り、remotegrp というリモートアクセス トンネル グループの radius-with-expiry を設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

検査ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを特定した後（ class コマンドは、 match コマンドを含む、既存の class-map type inspect コマンドを参照します）、メッセージのレートを制限する rate-limit コマンドを入力できます。

レイヤ 3/4 ポリシー マップ（ policy-map コマンド）で inspect コマンドを使用してアプリケーション検査をイネーブルにするときは、このアクションを含んでいる検査ポリシー マップをイネーブルにします。たとえば、 inspect dns dns_policy_map コマンドを入力します。dns_policy_map は検査ポリシー マップの名前です。

例

次の例では、招待要求メッセージを毎秒 100 件までに制限します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの再有効化モードは depletion で、デフォルトの deadtime 値は 10 です。

 

コマンド履歴

 

使用上のガイドライン

各サーバ グループには、グループ内のサーバの再有効化ポリシーを指定するアトリビュートがあります。

depletion モードでは、あるサーバが無効になると、グループ内の他のすべてのサーバが非アクティブになるまで、そのサーバは非アクティブのままとなります。この事態が発生した場合、グループ内のすべてのサーバは再有効化されます。この方法で、障害のあるサーバが原因の接続遅延の発生が最小限に抑えられます。 depletion モードを使用している場合は、 deadtime パラメータも指定できます。 deadtime パラメータは、グループ内の最後のサーバをディセーブルにしてから、すべてのサーバを再度イネーブルにするまでの時間の長さ（分）を指定します。このパラメータは、サーバ グループがローカル フォールバック機能と連動して使用されている場合に限り、意味を持ちます。

timed モードでは、障害のあるサーバは、30 秒のダウン時間が経過した後に再有効化されます。これは、サーバ リスト内の最初のサーバをプライマリ サーバとして使用していて、可能な場合は常にそのサーバがオンラインであることが望ましい場合に役立ちます。このポリシーは、UDP サーバの場合は機能しません。UDP サーバへの接続は、たとえそのサーバが存在しない場合でも失敗しないため、UDP サーバは無条件にオンラインに戻ります。このモードでは、サーバ リストに到達不能なサーバが複数含まれている場合に、接続時間が長くなったり、接続が失敗したりする可能性があります。

同時アカウンティングがイネーブルになっているアカウンティング サーバ グループには、強制的に timed モードが適用されます。これは、所定のリスト内のすべてのサーバが同等であることを意味します。

例

次の例では、depletion 再有効化モードを使用するように、「srvgrp1」という aTACACS+ AAA サーバを設定します。deadtime は 15 分に設定します。

次の例では、timed 再有効化モードを使用するように、「srvgrp1」という aTACACS+ AAA サーバを設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

コマンドのデフォルト値は、次のとおりです。

• metric metric-value ：0

• metric-type type-value ： 2

• match ： Internal 、 external 1 、 external 2

• tag tag-value ：0

 

コマンド履歴

例

次の例は、スタティック ルートを現在の OSPF プロセスに再配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

コマンドのデフォルト値は、次のとおりです。

• metric metric-value ：0

• match ： Internal 、 external 1 、 external 2

 

コマンド履歴

例

次の例は、スタティック ルートを現在の RIP プロセスに再配布する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

regex コマンドは、テキストの照合が必要なさまざまな機能に使用できます。たとえば、モジュラ ポリシー フレームワークで 検査ポリシー マップ を使用してアプリケーション検査に対する特殊なアクションを設定できます（ policy map type inspect コマンドを参照）。検査ポリシー マップでは、1 つ以上の match コマンドを含んだ検査クラス マップを作成することで、アクションの実行対象となるトラフィックを指定できます。または、 match コマンドを検査ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケットに含まれているテキストを正規表現を使用して識別できます。たとえば、HTTP パケットに含まれている URL 文字列と一致するかどうかを確認できます。正規表現クラス マップ内で正規表現をグループ化できます（ class-map type regex コマンドを参照）。

正規表現では、完全に文字列と一致するようにテキスト文字列を照合するか、 メタ文字 を使用してテキスト文字列のさまざまな形を照合できます。特定のアプリケーション トラフィックの内容を照合するために正規表現を使用できます。たとえば、HTTP パケット内の本文を照合できます。

表23-1 は、特殊な意味を持つメタ文字のリストです。

表23-1 regex のメタ文字

文字	説明	注意事項
.	ドット	任意の 1 文字と一致します。たとえば、 d.g は dog、dag、dtg、および doggonnit などの文字を含むすべての文字と一致します。
( exp )	部分正規表現	部分正規表現によって文字を前後の文字と区別します。部分正規表現には他のメタ文字を使用できます。たとえば、 d(o|a)g は dog と dag に一致しますが、 do|ag は do と ag に一致します。また、部分正規表現は繰り返しを意味する文字を区別するために、繰り返し限定作用素と共に使用できます。たとえば、 ab(xy){3}z は abxyxyxyz に一致します。
|	代用	この記号によって区切られた表現の一方と一致します。たとえば、 dog|cat は dog または cat と一致します。
?	疑問符	直前の文字が含まれない場合と 1 つ含まれる場合があることを示す限定作用素です。たとえば、 lo?se は、lse または lose と一致します。 （注） Ctrl+V キーを入力して疑問符を入力する必要があります。そうしないと、ヘルプ機能が起動されます。
*	アスタリスク	直前の文字が含まれない、1 つ含まれる、繰り返し含まれる場合があることを示す限定作用素です。たとえば、 lo*se は lse、lose、loose などと一致します。
+	プラス記号	直前の文字が 1 つ以上含まれることを示す限定作用素です。たとえば、 lo+se は lose と loose に一致しますが、lse とは一致しません。
{ x }	繰り返し限定作用素	表現が x 回、完全に繰り返された文字と一致します。たとえば、 ab(xy){3}z は abxyxyxyz に一致します。
{ x ,}	最小繰り返し限定作用素	表現が最低限 x 回繰り返された文字と一致します。たとえば、 ab(xy){2,}z は abxyxyz、abxyxyxyz に一致します。
[ abc ]	文字クラス	括弧内の任意の文字と一致します。たとえば、 [abc] は a、b、または c と一致します。
[^ abc ]	否定文字クラス	括弧内に含まれていない 1 つの文字と一致します。たとえば、 [^abc] は a、b、または c 以外の 1 文字と一致します。 [^A-Z] は大文字でない 1 文字と一致します。
[ a - c ]	文字の範囲クラス	指定の範囲内の任意の文字と一致します。 [a-z] は任意の小文字と一致します。文字と範囲を組み合せることができます。 [abcq-z] は a、b、c、q、r、s、t、u、v、w、x、y、z と一致し、[ a-cq-z ] も同様です。 ダッシュ（-）記号は、括弧内の最後または最初の文字である場合にのみダッシュとして判断されます。たとえば、 [abc-] または [-abc] などです。
""	引用符	文字列内の末尾と先頭に空いたスペースを保持します。たとえば、 " test" と指定すると、照合時に先頭のスペースが保持されます。
^	キャレット	行頭を指定します。
\	エスケープ文字	メタ文字と共に使用した場合、表記どおりの文字と一致します。たとえば、 \[ は左角括弧（[）と一致します。
char	文字	文字がメタ文字でない場合、表記どおりの文字と一致します。
\r	キャリッジ リターン	キャリッジ リターン n 0x0d と一致します。
\n	改行	新行 0x0a と一致します。
\t	タブ	タブ 0x09 と一致します。
\f	改ページ	改ページ 0x0c と一致します。
\x NN	エスケープされた 16 進数	16 進数（2 桁）を使用する ASCII 文字と一致します。
\ NNN	エスケープされた 8 進数	ASCII 文字を 8 進数（3 桁）として照合します。たとえば、040 はスペースを表します。

一致させる対象の文字と完全に一致するかどうか正規表現をテストするには、 test regex コマンドを入力します。

正規表現のパフォーマンスへの影響は、2 つの主要な要因によって決定されます。

• 正規表現を使用して検索するために必要なテキストの長さ。

正規表現エンジンは、検索テキストが短い場合、セキュリティ アプライアンスのパフォーマンスにあまり影響を与えません。

• 正規表現を使用して検索するために必要な正規表現関連テーブルの数。

検索テキストの長さがパフォーマンスに与える影響

正規表現を使用した検索を設定する場合、検索するテキストのすべてのバイトは通常、正規表現データベースと照合され、一致する表現が検出されます。検索するテキストの長さに比例して検索時間も長くなります。この検索時間の変化を説明したパフォーマンス テスト ケースを次に示します。

• ある HTTP トランザクションには、300 バイト長の GET 要求と 3250 バイト長の応答が含まれる。

• URI の検索の正規表現が 445 件、要求本文検索の正規表現が 34 件。

• 応答本文検索の正規表現が 55 件。

HTTP GET 要求のみの URI と本文を検索するようポリシーが設定されると、スループットは次のようになります。

• 該当する正規表現データベースが検索されない場合は 420 mbps。

• 該当する正規表現データベースが検索された場合は 413 mbps（これは正規表現利用時のオーバーヘッドが比較的小さいことを示しています）。

しかし、HTTP 応答本文全体も検索するようにポリシーが設定されている場合は、長い応答本文（3250 バイト）を検索することになるので、スループットは 145 mbps に落ちます。

正規表現を使用した検索のテキストの長さが長くなる要因について次に示します。

• 正規表現を使用した検索は複数のさまざまなプロトコル フィールドで設定されます。たとえば、HTTP 検査では、URI だけが正規表現検索用に設定され、URI フィールドだけが正規表現検索の対象となる場合、検索テキストの長さは URI の長さに制限されます。ただし、ヘッダー、本文などの他のプロトコル フィールドも正規表現検索用に設定されている場合、ヘッダーと本文の長さを含めるために検索テキストの長さは長くなります。

• 検索対象のフィールドは長くなります。たとえば、URI が正規表現検索用に設定されると、GET 要求での長い URI の検索は長くなります。また、現在、HTTP 本文の長さは、デフォルトで 200 バイトまでに制限されています。ただし、本文を検索するようポリシーが設定され、本文検索テキストの長さが 5000 バイトに変更された場合、本文検索が長くなるためパフォーマンスに重大な影響が生じます。

関連する正規表現テーブルの数がパフォーマンスに与える影響

現在、URI のすべての正規表現など、同じプロトコル フィールドに設定されているすべての正規表現は、1 つまたは複数の正規表現関連テーブルから構成されるデータベースに保存されます。テーブルの数は、テーブルの構築時に必要なメモリの総容量とメモリの可用性により決定します。正規表現データベースは、次の条件に基づいて、複数のテーブルに分割されます。

• テーブルの最大サイズが 32 MB に制限されているために、必須メモリ総容量が 32 MB 以上であること。

• 隣接する最大メモリが完全な正規表現データベースの構築に不足している場合、サイズの小さい複数のテーブルが構築され、すべての正規表現を収容します。メモリのフラグメンテーションの程度は、相互に影響し合う多くの要因に応じて異なり、フラグメンテーションのレベルを予想することはできません。

複数の関連テーブルでは、各テーブルは正規表現を使用した検索で必ず対象となるので、検索時間は対象テーブルの数に比例して長くなります。

特定のタイプの正規表現は、テーブルのサイズを非常に大きくする傾向があります。ワイルドカードや繰り返しの使用を可能なかぎり避ける方法で正規表現を設計することを検討してください。次のメタ文字の説明については、 表23-1 を参照してください。

• ワイルドカードを使用した正規表現：

–ドット（.）

• あるクラスの任意の文字と一致するさまざまな文字クラス：

–[^a-z]

–[a-z]

–[abc]]

• 繰り返しを使用した正規表現：

–*

–+

–{n,}

• ワイルドカードと繰り返しを組み合せた正規表現は、テーブルのサイズを劇的に増加させる可能性があります。例：

–123.*xyz

–123.+xyz

–[^a-z]+

–[^a-z]*

–.*123.*（これは "123" の照合と同じなので実行されません）

次の例では、ワイルドカードと繰り返しの有無に応じて正規表現のメモリ消費量がどのように変化するかを示します。

• 次の 4 つの正規表現のデータベース サイズは、958,464 バイトです。

• 次の 4 つの正規表現のデータベース サイズは、10240 バイトだけです。

正規表現の数が多いと正規表現データベースに必要とされるメモリ総容量が増えるので、メモリが断片化されるとテーブルの数が増える可能性が高くなります。正規表現の数の変化に応じたメモリ消費量の例を次に示します。

• 100 個の URI をサンプリング：3,079,168 バイト

• 200 個の URI をサンプリング：7,156,224 バイト

• 500 個の URI をサンプリング：11,198,971 バイト

（注） コンテキストごとの正規表現の最大数は 2048 です。

debug menu regex 40 10 コマンドを使用して、各 regex データベースに関連テーブルがいくつあるかを表示できます。

例

次の例では、検査ポリシー マップで使用する 2 つの正規表現を作成します。

 

関連コマンド

 

シンタックスの説明

at hh : mm	（オプション）指定された時刻（24 時間方式のクロックを使用）で実行するように、ソフトウェアのリロードをスケジューリングします。月日を指定しなかった場合、リロードは当日の指定された時刻（指定された時刻が現在の時刻よりあとの場合）または翌日（指定された時刻が現在の時刻より前の場合）に実行されます。00:00 を指定すると、リロードは午前 0 時にスケジューリングされます。リロードは 24 時間以内に実行する必要があります。
cancel	（オプション）スケジューリングされたリロードをキャンセルします。
day	（オプション）日付の番号を指定します。範囲は 1 ～ 31 です。
in [ hh : ] mm ]	（オプション）指定された時刻（分または時と分）に有効になるように、ソフトウェアのリロードをスケジューリングします。リロードは 24 時間以内に実行する必要があります。
max-hold-time [ hh : ] mm	（オプション）シャットダウンまたはリブートの前に、セキュリティ アプライアンスが他のサブシステムに通知するまで待機する最小待機期間を指定します。この時間が経過すると、クイック（強制）シャットダウンまたはリブートが実行されます。
month	（オプション）月名を指定します。月名を表す一意の文字列を作成するため、十分な文字を入力します。たとえば、「Ju」は「June」または「July」を表す可能性があるため一意ではありませんが、「Jul」と入力すれば、正確にこれらの 3 文字で始まる月は他にないので一意になります。
noconfirm	（オプション）ユーザによる確認がないセキュリティ アプライアンスのリロードを許可します。
quick	（オプション）通知したり、すべてのサブシステムを正常にシャットダウンしたりすることなく、クイック リロードを強制します。
reason text	（オプション）リロードの理由を 1 ～ 255 文字で指定します。理由テキストは、すべての IPSec VPN クライアント、端末、Tenet、SSH、および ASDM の接続またはセッションに送信されます。 （注） isakmp などの一部のアプリケーションで、IPSec VPN クライアントに理由テキストを送信するには、追加コンフィギュレーションが必要です。詳細については、ソフトウェア コンフィギュレーション マニュアルの適切な項を参照してください。
save-config	（オプション）シャットダウンする前に、実行コンフィギュレーションをメモリに保存します。 save-config キーワードを入力しない場合、コンフィギュレーションに対する未保存の変更はすべて、リロード後に失われます。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、セキュリティ アプライアンスをリブートし、コンフィギュレーションをフラッシュからリロードできます。

デフォルトでは、 reload コマンドは対話型です。セキュリティ アプライアンスは、コンフィギュレーションが修正されていないかどうかを最初にチェックしますが、保存はしません。その場合、セキュリティ アプライアンスは、コンフィギュレーションを保存するためのプロンプトを表示します。マルチ コンテキスト モードでは、セキュリティ アプライアンスは、保存されていないコンフィギュレーションがあるコンテキストごとにプロンプトを表示します。 save-config パラメータを指定すると、プロンプトが表示されることなくコンフィギュレーションが保存されます。その場合、セキュリティ アプライアンスは、システムをリロードしてよいか確認するプロンプトを表示します。 y と応答するか、 Enter キーを押した場合のみ、リロードが開始されます。確認後、セキュリティ アプライアンスは、リロード プロセスを開始するか、スケジューリングします。どちらが実行されるかは、遅延パラメータ（ in または at ）の指定によって異なります。

デフォルトでは、リロード プロセスは「グレースフル」（「ナイス」とも呼ばれる）モードで動作します。リブートが実行される直前に、登録されているすべてのサブシステムには通知が行われます。この通知により、サブシステムはリブート前に正常にシャットダウンできます。このようなシャットダウンが実行されるまで待つことを避けるには、 max-hold-time パラメータで最大待ち時間を指定します。別の方法として、 quick パラメータを使用することでも、影響を受けるサブシステムに通知したり、グレースフル シャットダウンを待機したりすることなく、リロード プロセスを強制的に開始できます。

noconfirm パラメータを指定すると、 reload コマンドの動作を強制的に非対話型にすることができます。この場合、 save-config パラメータが指定されていない限り、セキュリティ アプライアンスは、保存されていないコンフィギュレーションをチェックしません。セキュリティ アプライアンスは、システムをリブートする前に確認のプロンプトをユーザに表示しません。遅延パラメータを設定していない場合は、リロード プロセスはすぐに開始またはスケジューリングされます。ただし、 max-hold-time パラメータまたは quick パラメータを指定して、動作またはリロード プロセスを制御することはできます。

スケジューリングされたリロードをキャンセルするには、 reload cancel を使用します。すでに進行中のリロードは、キャンセルできません。

（注） フラッシュ パーティションに書き込まれていないコンフィギュレーションの変更は、リロードすると失われます。リブートする前に、write memory コマンドを入力して、現在のコンフィギュレーションをフラッシュ パーティションに保存してください。

例

次の例は、コンフィギュレーションをリブートおよびリロードする方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

例

次の例は、しきい値として 1500 を設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

rename flash: flash: コマンドは、コピー元とコピー先のファイル名を入力するためのプロンプトを表示します。

ファイル システム全体で、ファイルまたはディレクトリの名前を変更することはできません。

次の例を参考にしてください。

例

次の例は、「test」という名前のファイルを「test1」に変更する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、test から test2 にクラス マップ名を変更する方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

ディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、セキュリティ アプライアンスは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常はリトライするため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 replication http コマンドは、ステートフル フェールオーバー環境で HTTP セッションのステートフル複製をイネーブルにしますが、システム パフォーマンスには悪影響を与える可能性があります。

このコマンドを使用できるのは、Active/Active フェールオーバーに対してのみです。このコマンドは、Active/Active フェールオーバー コンフィギュレーションのフェールオーバー グループを除く、Active/Standby フェールオーバーに対して failover replication http コマンドと同じ機能を提供します。

例

次の例は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、厳密な FTP 検査を使用するときに、セキュリティ アプライアンスを通過する FTP 要求内で許可されるコマンドを制御するために使用します。

例

次の例では、 stor コマンド、 stou コマンド、または appe コマンドが含まれている FTP 要求をドロップするように、セキュリティ アプライアンスを設定します。

 

関連コマンド

 

シンタックスの説明

bytes

要求パケット ペイロードのサイズ（バイト単位）。有効な値は 0 ～ 16384 です。最小値は、使用するプロトコルにより異なります。エコー タイプの場合、最小値は 28 バイトです。この値は、プロトコルまたは PMTU で許可されている最大値より大きい値に設定しないでください。 （注） セキュリティ アプライアンスは、8 バイトのタイムスタンプをペイロードに追加します。このため、実際のペイロードは bytes + 8 になります。

 

デフォルト

デフォルトのバイトは 28 です。

 

コマンド履歴

 

使用上のガイドライン

到達可能性については、ソースとターゲット間での PMTU の変化を検出するため、デフォルトのデータ サイズを増やさなければならない場合があります。PMTU が低いとセッションのパフォーマンスに影響を与える傾向があります。低い PMTU が検出された場合、2 番目のパスが使用されることを示している可能性があります。

例

次の例では、ICMP エコー要求/応答時間プローブ オペレーションを使用する、ID が 123 の SLA オペレーションを設定しています。エコー要求パケットのペイロード サイズを 48 バイト、SLA オペレーション中に送信されるエコー要求の数を 5 に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。このコマンドがイネーブルで、サポートされている要求メソッドが指定されていない場合、デフォルト アクションでは、ロギングなしで接続が許可されます。デフォルト アクションを変更するには、 default キーワードを使用して別のデフォルト アクションを指定します。

 

コマンド履歴

 

使用上のガイドライン

request-method コマンドをイネーブルにすると、セキュリティ アプライアンスは、サポートおよび設定されている各要求メソッドの HTTP 接続に対して、指定されているアクションを適用します。

セキュリティ アプライアンスは、設定済みリストにある要求メソッドに一致 しない すべてのトラフィックに対して、 default アクションを適用します。 default アクションでは、接続をロギングなしで allow します。事前設定済みのデフォルト アクションでは、 drop および log というアクションを持つ 1 つまたは複数の要求メソッドを指定すると、セキュリティ アプライアンスは、設定済み要求メソッドが含まれている接続をドロップし、各接続をロギングし、サポートされているその他の要求メソッドが含まれているすべての接続を許可します。

より厳しいポリシーを設定する場合は、デフォルト アクションを drop （または reset ）および log に変更します（イベントをログに記録する場合）。その後、 allow アクションで、許可する各メソッドを設定します。

適用する設定ごとに 1 回、 request-method コマンドを入力します。 request-method コマンドのインスタンスを、デフォルト アクションを変更するために 1 つ、設定済みメソッドのリストに 1 つの要求メソッドを追加するために 1 つ使用します。

このコマンドの no 形式を使用して、要求メソッドを設定済みメソッドのリストから削除する場合、コマンドラインで要求メソッド キーワードの後にある文字はすべて無視されます。

RFC 2616 で定義されているメソッドで、設定済みメソッドのリストに追加できるものを 表23-2 に示します。

例

次の例では、事前設定済みのデフォルトを使用して、緩やかなポリシーを指定しています。サポートされているすべての要求メソッドを、個別に拒否されていない限り許可します。

この例では、 options 要求メソッドおよび post 要求メソッドだけがドロップされ、イベントが記録されます。

次の例では、厳しいポリシーを設定します。デフォルト アクションは、個別に許可されていないすべての要求メソッドの接続を reset し、イベントを log するように変更されています。

この場合、 get 要求メソッドおよび put 要求メソッドが許可されます。その他のメソッドを使用するトラフィックが検出された場合、セキュリティ アプライアンスは接続をリセットし、syslog エントリを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

max_requests のデフォルトは 200 です。

 

コマンド履歴

 

使用上のガイドライン

gtp request-queue コマンドは、応答待ちでキューに入れられる GTP 要求の最大数を指定します。限度に到達していて新しい要求が着信すると、最も長時間キューに入っている要求が削除されます。Error Indication、Version Not Supported、および SGSN Context Acknowledge の各メッセージは要求と見なされないため、応答を待つために要求キューに入れられることはありません。

例

次の例では、要求キューの最大サイズを 300 バイトに指定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、このコマンドの値は 5 秒です。

 

コマンド履歴

 

使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを 1 度入力すると、再入力しなくてもさまざまなサーバで各種のセキュアなサービスにアクセスできます。現在、セキュリティ アプライアンスは、Computer Associates の eTrust SiteMinder SSO サーバ（以前の Netegrity SiteMinder）をサポートしています。

セキュリティ アプライアンスが SSO 認証をサポートするように設定したら、次の 2 つのタイムアウト パラメータをオプションで調整できます。

• 失敗した SSO 認証試行がタイムアウトになるまでの秒数。これには request-timeout コマンドを使用します。

• セキュリティ アプライアンスが失敗した SSO 認証を再試行する回数（ max-retry-attempts コマンドを参照）。

例

webvpn-sso-siteminder コンフィギュレーション モードで入力された次の例では、SiteMinder SSO サーバ「example」の認証タイムアウトを 10 秒に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、予約済みビットが許可されています。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。予約済みビットのあるパケットがエンド ホストで処理される方法についてのあいまいさを排除するには、tcp マップ コンフィギュレーション モードで reserved-bits コマンドを使用します。あいまいさがあると、セキュリティ アプライアンスの非同期につながる場合があります。TCP ヘッダー内の予約済みビットを消去することを選択できます。さらには、予約済みビットが設定されたパケットをドロップすることも選択できます。

例

次の例は、予約済みビットが設定されたすべての TCP フローのパケットを消去する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

検査ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを特定した後（ class コマンドは、 match コマンドを含む、既存の class-map type inspect コマンドを参照します）、 reset コマンドを入力してパケットをドロップし、 match コマンドまたは class コマンドと一致するトラフィックの接続を終了します。

接続をリセットすると、検査ポリシー マップのそれ以降のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合、それ以降の match コマンドまたは class コマンドとは一致しません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの 2 番目のアクションが発生する可能性があります。同じ match または class コマンドに対して、 reset と log アクションを両方を設定できます。その場合、パケットは、指定の一致によってリセットされるまでロギングされます。

レイヤ 3/4 ポリシー マップ（ policy-map コマンド）で inspect コマンドを使用してアプリケーション検査をイネーブルにするときは、このアクションを含んでいる検査ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は検査ポリシー マップの名前です。

例

次の例では、接続をリセットして、http-traffic クラス マップと一致するとログを送信します。同じパケットが 2 番目の match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、再試行の回数は 2 です。

 

コマンド履歴

 

使用上のガイドライン

name-server コマンドを使用して DNS サーバを追加します。

dns name-server コマンドは、このコマンドに置き換えられます。

例

次の例では、再試行の回数を 0 に設定します。セキュリティ アプライアンスは各サーバを 1 回だけ試します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのリトライ間隔は 10 秒です。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスが接続試行を実行する間隔（秒数）を指定またはリセットするには、 retry-interval コマンドを使用します。 timeout コマンドを使用して、セキュリティ アプライアンスが AAA サーバへの接続を試みる時間の長さを指定します。

例

次の例は、コンテキスト内の retry-interval コマンドを示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト値は none です。

 

コマンド履歴

 

使用上のガイドライン

OCSP 応答の署名者は通常、OCSP サーバ（レスポンダ）証明書です。この応答の受信後、デバイスはレスポンダ証明書を確認します。

通常、CA は OCSP レスポンダ証明書の寿命を比較的短期間に設定して、セキュリティが脅かされる機会を最小限に抑えます。CA では、レスポンダ証明書内に失効状況を確認する必要がないことを示す ocsp-no-check 拡張機能を含みます。ただし、この拡張機能が含まれていない場合、デバイスはこの revocation-check コマンドでトラストポイントに設定する失効方法を使用して証明書の失効状況を確認しようとします。状況チェックを無視する none オプションも設定しないと OCSP 失効チェックは失敗するので、OCSP レスポンダ証明書は、ocsp-no-check 拡張機能が含まれていない場合に検証可能である必要があります。

例

次に例では、newtrust というトラストポイントに対して、OCSP と CRL の失効方法をこの順番で設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、すべてリライトします。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスは、WebVPN 接続上でアプリケーションが正しく動作するよう、アプリケーションのコンテンツ リライトを行います。外部の公的 Web サイトなど、コンテンツ リライトが不要なアプリケーションもあります。このようなアプリケーションには、コンテンツ リライトをオフにすることもできます。

コンテンツ リライトを選択的にオフにするには、disable オプションで rewrite コマンドを使用し、ユーザがセキュリティ アプライアンスを介さずに直接特定のサイトを閲覧できるようにします。これは、IPSec VPN 接続のスプリット トンネリングと類似しています。

このコマンドは複数回使用できます。セキュリティ アプライアンスはリライト規則を順番に検索し、一致した最初の規則を適用するため、エントリを設定する順序は重要です。

例

次の例は、cisco.com ドメインの URL のコンテンツ リライトをオフにする、1 番目のリライト規則を設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

IKE キー再生成での再認証は、ディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

IKE キー再生成での再認証をイネーブルにすると、セキュリティ アプライアンスは、フェーズ 1 IKE ネゴシエーション中にユーザ名とパスワードの入力を求めるプロンプトを表示します。また、IKE キー再生成が実行されるたびに、ユーザ認証を求めるプロンプトを表示します。再認証により、セキュリティが向上します。

設定されているキー再生成間隔が極端に短い場合、ユーザは認証を繰り返し求められることに不便を感じることがあります。その場合は、再認証をディセーブルにしてください。設定されているキー再生成間隔を確認するには、モニタリング モードで show crypto ipsec sa コマンドを発行して、セキュリティ結合のライフタイムの秒単位データおよび KB 単位データを表示します。

（注） 接続相手側にユーザが存在しない場合、再認証は失敗します。

例

次の例は、FirstGroup というグループ ポリシーのキー再生成での再認証をイネーブルにする方法を示しています。

 

シンタックスの説明

 

デフォルト

RIP 認証はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用することで、RIP アップデートを認証できます。ネイバー認証をイネーブルにする場合、 key 引数と key_id 引数は、RIP バージョン 2 アップデートを提供するネイバー デバイスによって使用される引数と同じでなければなりません。key は、最大 16 文字のテキスト文字列です。

特定のインターフェイスについて rip authentication コマンドを表示するには、 show interface コマンドを使用します。

例

次の例では、インターフェイス GigabitEthernet0/3 に対して設定されている RIP 認証を表示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

クリア テキスト認証はデフォルトでは使用されません。

 

コマンド履歴

 

使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用することで、RIP アップデートを認証できます。

特定のインターフェイスについて rip authentication コマンドを表示するには、 show interface コマンドを使用します。

例

次の例では、インターフェイス GigabitEthernet0/3 に対して設定されている RIP 認証を表示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

セキュリティ アプライアンスは、バージョン 1 とバージョン 2 のパケットを受け入れます。

 

コマンド履歴

 

使用上のガイドライン

グローバル設定をインターフェイスごとに上書きするには、インターフェイスに対して rip receive version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用することで、RIP アップデートを認証できます。

例

次の例では、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを受信するようにセキュリティ アプライアンスを設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

セキュリティ アプライアンスは RIP バージョン 1 パケットを送信します。

 

コマンド履歴

 

使用上のガイドライン

RIP 送信バージョンのグローバル設定をインターフェイスごとに上書きするには、インターフェイスに対して rip send version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用することで、RIP アップデートを認証できます。

例

次の例では、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを送受信するようにセキュリティ アプライアンスを設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。