- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: same-security-traffic コマンド~ show asdm sessions コマンド
- same-security-traffic
- sasl-mechanism
- secondary
- secondary-color
- secondary-text-color
- secure-unit-authentication
- security-level
- send response
- serial-number
- server
- server-port
- server-separator
- server-type
- service
- service password-recovery
- service-policy
- session
- set connection
- set connection advanced-options
- set connection timeout
- set metric
- set metric-type
- setup
- show aaa local user
- show aaa-server
- show access-list
- show activation-key
- show admin-context
- show arp
- show arp-inspection
- show arp statistics
- show asdm history
- show asdm image
- show asdm log_sessions
- show asdm sessions
same-security-traffic コマンド~ show asdm sessions コマンド
same-security-traffic
セキュリティ レベルが等しいインターフェイス間での通信を許可する、またはトラフィックが同じインターフェイスへ入る、または出るのを許可するには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。セキュリティの等しいトラフィック間での通信をディセーブルにするには、このコマンドの no 形式を使用します。
same-security-traffic permit {inter-interface | intra-interface}
no same-security-traffic permit {inter-interface | intra-interface}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このバージョン以降は、 intra-interface キーワードを使用すると、IPSec トラフィックだけでなく、すべてのトラフィックが同じインターフェイスに出入りできます。 |
使用上のガイドライン
セキュリティ レベルが等しいインターフェイス間での通信を許可( same-security-traffic inter-interface コマンドを使用)すると、次の利点があります。
•
101 個を超える通信インターフェイスを設定できる。インターフェイスごとにそれぞれ別のレベルを使用する場合、設定できるインターフェイスは各レベル(0 ~ 100)に 1 つのみです。
• セキュリティ レベルの等しいすべてのインターフェイス間で、アクセス リストとは無関係に、トラフィックを自由に送受信できる。
same-security-traffic intra-interface コマンドを使用すると、通常は許可されていない、トラフィックによる同一インターフェイスへの出入りが可能になります。この機能は、あるインターフェイスに入り、同じインターフェイスから出る VPN トラフィックに役立ちます。この場合、VPN トラフィックの暗号化は解除されるか、別の VPN 接続に対して再暗号化されます。たとえば、ハブまたはスポークの VPN ネットワークがあるとします。セキュリティ アプライアンスがハブで、リモート VPN ネットワークがスポークであり、一方のスポークが別のスポークと通信する場合、トラフィックはセキュリティ アプライアンスに入り、その後別のスポークに向けて出て行かなければなりません。
例
次の例は、セキュリティ レベルの等しいインターフェイス間での通信をイネーブルにする方法を示しています。
次の例では、トラフィックが同じインターフェイスに入り、出て来るようにする方法を示します。
関連コマンド
|
|
|
|---|---|
sasl-mechanism
LDAP サーバに対する LDAP クライアントの認証に SASL(Simple Authentication and Security Layer)メカニズムを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sasl-mechanism コマンドを使用します。SASL 認証メカニズムのオプションは、 digest-md5 および kerberos です。
認証メカニズムをディセーブルにするには、このコマンドの no 形式を使用します。
sasl-mechanism {digest-md5 | kerberos server-group-name}
no sasl-mechanism {digest-md5 | kerberos server-group-name}
(注) VPN ユーザにとってセキュリティ アプライアンスは、LDAP サーバに対するクライアント プロキシとして機能するため、ここでいう LDAP クライアントとは、セキュリティ アプライアンスのことです。
シンタックスの説明
セキュリティ アプライアンスは、GSSAPI(Generic Security Services |
|
デフォルト
デフォルトの動作や値はありません。セキュリティ アプライアンスは、認証パラメータをプレーン テキスト形式で LDAP サーバに渡します。
(注) SASL を設定していない場合は、ldap-over-ssl コマンドを使用して SSL で LDAP 通信を保護することをお勧めします。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、LDAP サーバに対するセキュリティ アプライアンスの認証に SASL メカニズムを使用するよう指定します。
セキュリティ アプライアンスも LDAP サーバも、複数の SASL 認証メカニズムをサポートできます。SASL 認証のネゴシエート時には、セキュリティ アプライアンスはサーバ上に設定されている SASL メカニズムのリストを取得し、セキュリティ アプライアンスとサーバの両方で設定されている最も強固なメカニズムとして SASL 認証メカニズムを設定します。Kerberos メカニズムは Digest-MD5 メカニズムよりも強固です。たとえば、LDAP サーバもセキュリティ アプライアンスも両方のメカニズムをサポートしている場合、セキュリティ アプライアンスはより強固なメカニズムである Kerberos を選択します。
SASL メカニズムをディセーブルにする場合、これらのメカニズムは個別に設定されるため、ディセーブルにするメカニズムごとに no コマンドを入力する必要があります。明確にディセーブルにしないと、メカニズムは有効になったままです。たとえば、両方の SASL メカニズムをディセーブルにするには、次のコマンドを両方とも入力する必要があります。
例
次の例は、AAA サーバ ホスト コンフィギュレーション モードに入り、IP アドレスが 10.10.0.1 で ldapsvr1 という名前の LDAP サーバに対する認証として、SASL メカニズムをイネーブルにしています。この例は、SASL digest-md5 認証メカニズムをイネーブルにしています。
次の例は、SASL Kerberos 認証メカニズムをイネーブルにし、Kerberos AAA サーバとして kerb-servr1 を指定しています。
関連コマンド
|
|
|
|---|---|
ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。 |
secondary
フェールオーバー グループ内のセカンダリ装置に高い優先順位を与えるには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
フェールオーバー グループに対して primary または secondary を指定しない場合、そのフェールオーバー グループは、デフォルトでは primary に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プライマリまたはセカンダリの優先順位をフェールオーバー グループに割り当てると、両方の装置が(装置のポーリング時間内で)同時にブートしたときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。ある装置がもう一方の装置よりも先にブートした場合、どちらのフェールオーバー グループもその装置上でアクティブになります。もう一方の装置がオンラインになると、優先順位として 2 番目の装置を持つフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手作業で no failover active コマンドを使用してもう一方の装置に強制しない限り、2 番目の装置上ではアクティブになりません。
例
次の例では、優先順位の高いプライマリ装置を持つフェールオーバー グループ 1 と、優先順位の高いセカンダリ装置を持つフェールオーバー グループ 2 を設定しています。どちらのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先する装置が使用可能になったときにその装置上で自動的にアクティブになります。
関連コマンド
|
|
|
|---|---|
secondary-color
WebVPN のログイン ページ、ホーム ページ、およびファイル アクセス ページに 2 番目の色を設定するには、WebVPN モードで secondary-color コマンドを使用します。色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、その中の 40 色は、Macintosh と PC では別の色が表示されます。最適な表示結果を得るには、各所で公開されている RGB テーブルを確認してください。RGB テーブルをオンラインで見つけるには、検索エンジンで RGB と入力します。
例
次の例は、HTML 色値 #5F9EAO(灰青色)を設定する方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
secondary-text-color
WebVPN のログイン ページ、ホーム ページ、およびファイル アクセス ページでテキストの 2 番目の色を設定するには、WebVPN モードで secondary-text-color コマンドを使用します。色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
secondary-text-color [ black | white ]
シンタックスの説明
text-color コマンドの設定に基づいて黒または白を選択します。つまり、最初の色が黒の場合、この値は白となります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、テキストの 2 番目の色を白に設定する方法を示します。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーのテキストに色を設定します。 |
secure-unit-authentication
Secure Unit Authentication(SUA)をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。Secure Unit Authentication をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。Secure Unit Authentication アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、Secure Unit Authentication の値を別のグループ ポリシーから継承できます。
Secure Unit Authentication は、VPN ハードウェア クライアントがトンネルを開始するたびに、ユーザ名とパスワードを使用して認証を受けるように要求して、セキュリティを強化します。この機能がイネーブルになっている場合、ハードウェア クライアントは保存されているユーザ名とパスワードを使用できません。
(注) この機能がイネーブルになっているときに VPN トンネルを確立するには、ユーザ名とパスワードを入力するユーザがいる必要があります。
secure-unit-authentication { enable | disable }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Secure Unit Authentication を使用するには、ハードウェア クライアントの使用するトンネル グループ用に認証サーバグループを設定しておく必要があります。
プライマリ セキュリティ アプライアンス上で Secure Unit Authentication を要求する場合は、すべてのバックアップ サーバ上でも認証サーバグループを設定する必要があります。
例
次の例は、Secure Unit Authentication を FirstGroup というグループ ポリシーに対してイネーブルにする方法を示しています。
関連コマンド
security-level
インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティ レベルとは、2 つのネットワーク間に保護手段を追加して、セキュリティの高いネットワークをセキュリティの低いネットワークから保護するものです。
シンタックスの説明
デフォルト
インターフェイスに「inside」という名前を付けて、セキュリティ レベルを明示的に設定しなかった場合、セキュリティ アプライアンスはセキュリティ レベルを 100 に設定します( nameif コマンドを参照)。このレベルは必要に応じて変更できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
• ネットワーク アクセス:デフォルトでは、セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのアクセス(発信)は暗黙的に許可されます。セキュリティの高いインターフェイス上にあるホストは、セキュリティの低いインターフェイス上にあるすべてのホストにアクセスできます。アクセスを制限するには、インターフェイスにアクセス リストを適用します。
セキュリティ レベルの等しいインターフェイスが複数ある場合、セキュリティ レベルが同等またはそれ以下である他のインターフェイスへのアクセスは、暗黙的に許可されます。
• 検査エンジン:一部の検査エンジンは、セキュリティ レベルに依存します。セキュリティ レベルの等しいインターフェイスが複数ある場合、検査エンジンは双方向のトラフィックに適用されます。
–NetBIOS 検査エンジン:発信接続にのみ適用されます。
–OraServ 検査エンジン:2 つのホスト間で OraServ ポートの制御接続が存在する場合、セキュリティ アプライアンスでは着信データ接続のみが許可されます。
• フィルタリング:HTTP(S)と FTP のフィルタリングは、(高レベルから低レベルへの)発信接続にのみ適用されます。
セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向のトラフィックをフィルタリングできます。
• NAT 制御:NAT 制御をイネーブルにする場合、セキュリティの高いインターフェイス(内部)上にあるホストがセキュリティの低いインターフェイス(外部)上にあるホストにアクセスする場合は、セキュリティの高いインターフェイス上にあるホストに対して NAT を設定する必要があります。
NAT 制御を使用しない場合や、セキュリティ レベルの等しい複数のインターフェイス間では、任意のインターフェイス間に NAT を使用することも、NAT を使用しないこともできます。外部インターフェイスに対して NAT を設定する場合は、特殊なキーワードが必要になることがあります。
• established コマンド:このコマンドは、セキュリティ レベルの高いホストから低いホストに向かう接続がすでに確立されている場合に、セキュリティの低いホストからセキュリティの高いホストへのリターン接続を許可します。
セキュリティ レベルの等しいインターフェイスが複数ある場合は、双方向に対して established コマンドを設定できます。
通常、セキュリティ レベルの等しいインターフェイス間では通信できません。セキュリティ レベルの等しいインターフェイス間で通信する必要がある場合は、 same-security-traffic コマンドを参照してください。101 個を超える通信インターフェイスを作成する場合や、2 つのインターフェイス間で発生するトラフィックに対して同等に保護機能を適用する場合は、2 つのインターフェイスに同じセキュリティ レベルを割り当てて、通信を許可することがあります。たとえば、同等のセキュリティを必要とする 2 つの部署がある場合などです。
インターフェイスのセキュリティ レベルを変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するには、 clear local-host コマンドを使用して接続を消去します。
例
次の例では、2 つのインターフェイスのセキュリティ レベルを 100 と 0 に設定しています。
関連コマンド
|
|
|
|---|---|
send response
RADIUS Accounting-Response Start および Stop メッセージを RADIUS Accounting-Request Start および Stop メッセージの送信者に送信するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで send response コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。
このオプションは、デフォルトではディセーブルになっています。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、RADIUS アカウンティングを指定した応答を送信する方法を示します。
関連コマンド
|
|
|
|---|---|
serial-number
セキュリティ アプライアンスのシリアル番号を登録時に証明書に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、central というトラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入って、セキュリティ アプライアンスのシリアル番号をトラストポイント central の登録要求に含めています。
関連コマンド
|
|
|
|---|---|
server
デフォルトの電子メールプロキシ サーバを指定するには、適切な電子メールプロキシ モードで server コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、ユーザがサーバを指定せずに電子メールプロキシに接続すると、要求をデフォルト電子メール サーバに送信します。デフォルト サーバを設定しない場合、ユーザもサーバを指定しなかったときは、セキュリティ アプライアンスはエラーを返します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、デフォルト POP3S 電子メール サーバの IP アドレスを 10.1.1.7 に設定する方法を示しています。
hostname(config)# pop3s
server-port
ホストの AAA サーバ ポートを設定するには、AAA サーバ ホスト モードで server-port コマンドを使用します。指定したサーバ ポートを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、「srvgrp1」という名前の SDI AAA サーバでサーバ ポート番号 8888 を使用するように設定しています。
hostname(config)# aaa-server srvgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
hostname(config-aaa-server-host)# server-port 8888
hostname(config-aaa-server-host)#
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
server-separator
電子メール サーバ名と VPN サーバ名のデリミタとなる文字を指定するには、適切な電子メールプロキシ モードで server-separator コマンドを使用します。デフォルトのコロン(:)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
電子メール サーバ名と VPN サーバ名を区切る文字。使用できるのは、アットマーク(@)、パイプ(|)、コロン(:)、番号記号(#)、カンマ(,)、およびセミコロン(;)です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、パイプ(|)を IMAP4S のサーバ セパレータとして設定する方法を示しています。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
server-type
LDAP サーバ モデルを手動で設定するには、AAA サーバ ホスト コンフィギュレーション モードで server-type コマンドを使用します。セキュリティ アプライアンスは次のサーバ モデルをサポートしています。
• Sun Microsystems JAVA System Directory Server(以前は Sun ONE Directory Server と呼ばれていた)
このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
server-type {auto-detect| microsoft | sun}
no server-type {auto-detect| microsoft | sun}
シンタックスの説明
LDAP サーバが Sun Microsystems JAVA System Directory Server であることを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは LDAP バージョン 3 をサポートし、Sun Microsystems JAVA System Directory Server および Microsoft Active Directory のみと互換性があります。
(注) • Sun:Sun のディレクトリ サーバにアクセスするためにセキュリティ アプライアンスで設定された DN は、そのサーバのデフォルト パスワード ポリシーにアクセスできなければなりません。DN としてディレクトリ管理者か、ディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を置くことができます。
• Microsoft:Microsoft Active Directory を使用してパスワードを管理できるように、SSL で LDAP を設定する必要があります。
デフォルトでは、セキュリティ アプライアンスは、接続先が Microsoft または Sun の LDAP ディレクトリ サーバであるかどうかを自動検出します。ただし、自動検出による LDAP サーバ タイプの決定が失敗した場合でも、LDAP サーバが Microsoft または Sun のどちらであるかがわかっている場合は、 server-type コマンドを使用して、サーバを Microsoft または Sun Microsystems の LDAP サーバに手動で設定できます。
例
次の例では、AAA サーバ ホスト コンフィギュレーション モードに入り、サーバ タイプを IP アドレス 10.10.0.1 の LDAP サーバ ldapsvr1 に設定します。最初の例では、Sun Microsystems LDAP サーバを設定しています。
次の例では、セキュリティ アプライアンスが自動検出によってサーバ タイプを決定するように指定しています。
関連コマンド
|
|
|
|---|---|
ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。 |
service
拒否された TCP 接続のリセットをイネーブルにするには、グローバル コンフィギュレーション モードで service コマンドを使用します。リセットをディセーブルにするには、このコマンドの no 形式を使用します。
service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }
no service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
識別要求(IDENT)接続をリセットする必要がある場合、着信トラフィックのリセットを明示的に送信することもできます。TCP RST(TCP ヘッダー内のリセット フラグ)を拒否されたホストに送信すると、RST により着信 IDENT プロセスが停止し、IDENT がタイムアウトになるまで待つ必要がなくなります。IDENT のタイムアウトを待っていると、トラフィックが遅くなることがあります。これは、IDENT がタイムアウトになるまで外部ホストが SYN の再送信を続けるためで、 service resetinbound コマンドを使用するとパフォーマンスが向上することがあります。
例
次の例では、内部インターフェイスを除くすべてのインターフェイスで発信リセットをディセーブルにしています。
次の例では、DMZ インターフェイスを除くすべてのインターフェイスで着信リセットをイネーブルにしています。
次の例では、外部インターフェイス上で終了した接続のリセットをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
service password-recovery
パスワードの回復をイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワードの回復は、デフォルトではイネーブルになっています。ただし、不正なユーザがパスワードの回復メカニズムを利用してセキュリティ アプライアンスのセキュリティを侵害しないようにするために、この機能はディセーブルにすることをお勧めします。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、パスワードを忘れた場合、起動中にプロンプトに従って端末キーボードの Esc キーを押すことで、セキュリティ アプライアンスで ROMMON に入ることができます。次に、コンフィギュレーション レジスタを変更して、スタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定します( config-register コマンドを参照)。たとえば、コンフィギュレーション レジスタがデフォルトの 0x1 である場合は、 confreg 0x41 コマンドを入力して、値を 0x41 に変更します。セキュリティ アプライアンスをリロードするとデフォルト コンフィギュレーションがロードされるので、デフォルトのパスワードを使用して特権 EXEC モードに入ることができます。次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーして、スタートアップ コンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレーション レジスタを元の設定に戻して、以前と同様にブートするようにセキュリティ アプライアンスを設定します。たとえば、グローバル コンフィギュレーション モードで config-register 0x1 コマンドを入力します。
PIX 500 シリーズ セキュリティ アプライアンスの場合は、起動中にプロンプトに従って端末キーボードの Esc キーを押して、セキュリティ アプライアンスで監視モードに入ります。次に、PIX パスワード ツールをセキュリティ アプライアンスにダウンロードします。このツールは、すべてのパスワードと aaa authentication コマンドを消去します。
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザが設定目的で ROMMON に入ることを防止できます。ユーザが ROMMON に入ると、セキュリティ アプライアンスはすべてのフラッシュ ファイル システムを消去するようにユーザに要求します。ユーザは、最初にこの消去操作を実行しない限り、ROMMON に入ることができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、ROMMON を使用すること、および既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。 service password-recovery コマンドがコンフィギュレーション ファイルに表示されるのは、情報の提供のみを目的としています。このコマンドを CLI プロンプトで入力すると、設定は NVRAM に保存されます。この設定を変更する唯一の方法は、このコマンドを CLI プロンプトで入力することです。このコマンドの別のバージョンを使用する新しいコンフィギュレーションをロードしても、設定は変更されません。(パスワードの回復に備えて)起動時にスタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定している場合は、パスワードの回復をディセーブルにすると、セキュリティ アプライアンスは設定を変更してスタートアップ コンフィギュレーションを通常どおりブートします。フェールオーバーを使用している場合、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置を設定すると、 no service password recovery コマンドがスタンバイ装置に複製されるときに、同じ変更がコンフィギュレーション レジスタに対して行われます。
PIX 500 シリーズ セキュリティ アプライアンス上で no service password-recovery コマンドを使用した場合は、PIX パスワード ツールを実行すると、ユーザはすべてのフラッシュ ファイル システムを消去するように要求されます。ユーザは、最初にこの消去操作を実行しない限り、PIX パスワード ツールを使用することができません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワードの回復では、既存のコンフィギュレーションを維持することが必要になるため、この消去操作を実行するとパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。
例
次の例では、ASA 5500 シリーズ適応型セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。
次の例では、PIX 500 シリーズ セキュリティ アプライアンスでパスワードの回復をディセーブルにしています。
次の例は、ASA 5500 シリーズ適応型セキュリティ アプライアンス上で起動時に ROMMON に入るタイミングと、パスワードの回復操作を完了する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-policy
すべてのインターフェイス上でグローバルに、または必要なインターフェイス上でポリシー マップをアクティブにするには、グローバル コンフィギュレーション モードで service-policy コマンドを使用します。サーバ ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。インターフェイス上で一連のポリシーをイネーブルにするには、 service-policy コマンドを使用します。
service-policy policymap_name [ global | interface intf ]
no service-policy policymap_name [ global | interface intf ]
シンタックスの説明
policy-map コマンドで設定したポリシー マップ名を指定します。レイヤ 3/4 ポリシー マップのみ指定でき、検査ポリシー マップは指定できません( policy-map type inspect )。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス サービス ポリシーはグローバル サービス ポリシーよりも優先されます。
デフォルトでは、コンフィギュレーションに、すべてのデフォルト アプリケーション検査トラフィックと一致し、検査をグローバルにトラフィックに適用するグローバル ポリシーが含まれます。適用できるグローバル ポリシーは 1 つのみです。このため、グローバル ポリシーの内容を変更する場合は、デフォルトのポリシーを編集するか、ディセーブルにして新しいものを適用する必要があります。
デフォルトのサービス ポリシーには、次のコマンドが含まれます。
例
次の例では、inbound_policy ポリシー マップを外部インターフェイスでイネーブルにする方法を示します。
次のコマンドは、デフォルトのグローバル ポリシーをディセーブルにし、new_global_policy という新しいポリシーを他のすべてのセキュリティ アプライアンス インターフェイスでイネーブルにします。
関連コマンド
|
|
|
|---|---|
session
AIP SSM または CSC SSM などのインテリジェント SSM への Telnet セッションを確立するには、特権 EXEC モードで session コマンドを使用します。
シンタックスの説明
slot 引数で指定された SSM 上でコマンドを実行します。Cisco TAC から指示がない限り、 do キーワードは使用しないでください。 |
|
slot 引数で指定された SSM の IP アドレスのロギングを設定します。Cisco TAC から指示がない限り、 ip キーワードは使用しないでください。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
do キーワードと ip キーワードが追加されました。これらのキーワードは、Cisco TAC から指示された場合にのみ使用します。 |
使用上のガイドライン
このコマンドは、SSM がアップ状態のときにのみ使用できます。状態については、 show module コマンドを参照してください。
例
次の例では、スロット 1 で SSM へのセッションを確立しています。
関連コマンド
|
|
|
|---|---|
set connection
トラフィック クラスに関する接続値をポリシー マップ内で指定するには、クラス モードで set connection コマンドを使用します。このコマンドは、同時接続の最大数を指定するために、および TCP シーケンス番号のランダム化をイネーブルにするかどうかを指定するために使用します。これらの指定を削除して接続数を無制限にするには、このコマンドの no 形式を使用します。
set connection { conn-max n | embryonic-conn-max n | per-client-embryonic-max n | per-client-max n | random-sequence-number { enable | disable }}. . . . .
no set connection { conn-max n | embryonic-conn-max n | per-client-embryonic-max n | per-client-max n | random-sequence-number { enable | disable }}. . . . .
シンタックスの説明
デフォルト
conn-max 、 embryonic-conn-max 、 per-client-embryonic-max 、 per-client-max の各パラメータの n のデフォルト値は 0 で、接続数は無制限になります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
conn-max 、 embryonic-conn-max 、 per-client-embryonic-max 、 per-client-max, random-sequence-number キーワードはいずれもオプションですが、少なくとも 1 つは指定する必要があります。
このコマンドに複数のパラメータを入力するか、個別のコマンドに各パラメータを入力することができます。セキュリティ アプライアンスは、実行コンフィギュレーションでこれらのコマンドを 1 行に結合します。たとえば、クラス コンフィギュレーション モードで次の 2 つのコマンドを入力したとします。
show running-config policy-map コマンドの出力には、2 つのコマンドが 1 つの結合されたコマンドという形で表示されます。
set connection コマンドのパラメータ( conn-max 、 embryonic-conn-max 、 per-client-embryonic-max 、 per-client-max 、 random-sequence-number )は、任意の nat コマンドまたは static コマンドと共存できます。つまり、接続パラメータは nat / static コマンドで max-conn 、 emb_limit 、 noramdomseq の各パラメータを使用して設定することも、MPC の set connection コマンドで conn-max 、
embryonic-conn-max 、 per-client-embryonic-max 、 per-client-max 、 random-sequence-number の各パラメータを使用して設定することもできます。混合コンフィギュレーションはお勧めしませんが、実際に使用した場合の動作は次のようになります。
• MPC の set connection コマンドと nat / static コマンドの両方でトラフィック クラスが接続制限または初期接続制限を課されている場合は、いずれか一方の制限値に達したときに、その制限値が適用されます。
• MPC の set connection コマンドまたは nat / static コマンドのいずれかで、シーケンス番号のランダム化をディセーブルにするように TCP トラフィック クラスが設定されている場合、シーケンス番号のランダム化はディセーブルになります。
per-client-embryonic-max パラメータおよび per-client-max パラメータは、クライアントが開くことのできる最大接続数を制限します。特定のクライアントが必要以上に多くのネットワーク リソースを同時に使用する場合、これらのパラメータを使用して、セキュリティ アプライアンスが特定のクライアントに許可する接続数を制限することができます。DoS 攻撃は、基幹ホストに対し接続や接続要求といった過剰な負荷をかけることにより、ネットワークを妨害しようとします。 per-client-embryonic-max パラメータおよび per-client-max パラメータを使用して、DoS 攻撃を防止することができます。攻撃を受ける可能性のあるホストがサポートできる、クライアントごとの最大接続数を設定すると、悪意のあるクライアントは保護されたネットワーク上のホストを攻撃できなくなります。
例
次の例では、 set connection コマンドを使用して、同時接続の最大数を 256 に、TCP シーケンス番号のランダム化をディセーブルにするように設定しています。
次の例では、トラフィックを Cisco Content Security and Control(CSC)SSM に転送するサービス ポリシーで set connection コマンドを使用しています。 set connection コマンドは、CSC SSM にトラフィックをスキャンされる各クライアントの接続を最大 5 つに制限します。
関連コマンド
|
|
|
すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。 |
|
サービス ポリシーのコンフィギュレーションを表示します。 set connection コマンドを含むポリシーを表示するには、 set connection キーワードを使用します。 |
set connection advanced-options
トラフィック クラスに関する高度な TCP 接続オプションをポリシー マップ内で指定するには、クラス モードで set connection advanced-options コマンドを使用します。トラフィック クラスに関する高度な TCP 接続オプションをポリシー マップから削除するには、クラス モードで、このコマンドの no 形式を使用します。
set connection advanced-options tcp-mapname
no set connection advanced-options tcp-mapname
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行するには、TCP マップ名に加えて、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。詳細については、 tcp-map コマンドの説明を参照してください。
例
次の例では、 set connection advanced-options コマンドを使用して、localmap という TCP マップを使用することを指定しています。
関連コマンド
set connection timeout
アイドル状態の TCP 接続が切断されるまでのタイムアウト期間を設定するには、クラス コンフィギュレーション モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。
set connection timeout {tcp <value> [reset]] [ half-close <value>] [ embryonic <value> ] [dcd [<retry-interval> [max-retries]]]}
no set connection timeout {tcp <value> [reset]] [ half-close <value>] [ embryonic <value> ] [dcd [<retry-interval> [max-retries]]]}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行するには、 policy-map コマンドと class コマンドをあらかじめ設定しておく必要があります。
「初期」接続とは、3 ウェイ ハンドシェイクの完了していない TCP 接続です。 embryonic 接続タイムアウト値には、 0:0:0 を使用して接続がタイムアウトしないことを指定します。このように指定しない場合は、タイムアウト期間を 5 秒以上に設定する必要があります。
TCP 接続が終了中(CLOSING)状態のときは、half-closed パラメータを使用して、接続が解放されるまでの時間の長さを設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。
tcp 非アクティブ接続のタイムアウトには、確立済み状態でアイドルになっている TCP 接続が切断されるまでの期間を設定します。接続がタイムアウトしないように指定するには、 0:0:0 を使用します。最短のタイムアウト期間は 5 分です。
reset キーワードは、アイドル TCP 接続がタイムアウトしたときに両端のシステムに TCP RST パケットを送信する場合に使用します。アプリケーションの中には、タイムアウト後に TCP RST を送信しないと適切に動作しないものがあります。
DCD をイネーブルにすると、TCP ノーマライザにおけるアイドル タイムアウト処理の動作が変わります。Dead Connection Detection(DCD; デッド接続検出)プローブにより、 show conn コマンドで表示される接続のアイドル タイムアウトがリセットされます。timeout コマンドで設定されているタイムアウト値を超えても、DCD プローブによって接続が維持される期間を判断するために、 show service-policy コマンドには、DCD からアクティビティ量を表示するためのカウンタがあります。
例
次の set connection timeout コマンドの例では、初期接続のタイムアウトとして 2 分を指定しています。
関連コマンド
|
|
|
すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。 |
|
set metric
ルーティング プロトコルにメトリック値を設定するには、ルートマップ コンフィギュレーション モードで set metric コマンドを使用します。デフォルトのメトリック値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
no set metric value コマンドを使用すると、デフォルトのメトリック値に戻すことができます。この場合の value は、0 ~ 4294967295 の整数です。
例
次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
set metric-type
OSPF メトリック ルートのタイプを指定するには、ルートマップ コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set metric-type {type-1 | type-2}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、OSPF ルーティングで使用するルートマップを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
setup
対話型のプロンプトを使用して、セキュリティ アプライアンスの最小限のコンフィギュレーションを設定するには、グローバル コンフィギュレーション モードで setup コマンドを入力します。このコンフィギュレーションによって、ASDM を使用するための接続が提供されます。デフォルトのコンフィギュレーションに戻すには、 configure factory-default コマンドも参照してください。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリ内にスタートアップ コンフィギュレーションが存在しない場合、ブート時にセットアップ ダイアログが自動的に表示されます。
setup コマンドを使用するには、内部インターフェイスをあらかじめ設定しておく必要があります。PIX 500 シリーズのデフォルト コンフィギュレーションには、内部インターフェイス(Ethernet 1)が含まれていますが、ASA 550 シリーズのデフォルト コンフィギュレーションには含まれていません。 setup コマンドを使用する前に、内部インターフェイスにするインターフェイスについて、 interface コマンドを入力し、次に nameif inside コマンドを入力しておく必要があります。
マルチ コンテキスト モードでは、システム実行スペース内で、および各コンテキストに対して setup コマンドを使用できます。
setup コマンドを入力すると、 表24-1 に示す情報の入力を要求されます。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。要求されたパラメータに対するコンフィギュレーションがすでに存在している場合は、そのコンフィギュレーションが( )で囲まれて表示されます。このコンフィギュレーションをデフォルトとして受け入れることも、新しいコンフィギュレーションを入力して上書きすることもできます。
例
次の例は、 setup コマンド プロンプトで最後まで作業する方法を示しています。
関連コマンド
|
|
|
|---|---|
show aaa local user
現在ロックされているユーザ名のリスト、またはユーザ名に関する詳細を表示するには、グローバル コンフィギュレーション モードで show aaa local user コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オプションのキーワード locked を省略すると、セキュリティ アプライアンスは、すべての AAA ローカル ユーザについて、失敗した試行とロックアウト ステータスの詳細を表示します。
username オプションを使用してユーザを 1 人のみ指定することも、 all オプションを使用してすべてのユーザを指定することもできます。
例
次の例では、 show aaa local user コマンドを使用して、すべてのユーザ名のロックアウト ステータスを表示しています。
この例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを使用して、すべての AAA ローカル ユーザについて認証の失敗回数とロックアウト ステータスの詳細を表示しています。
次の例では、認証失敗の上限を 5 回に設定した後で、 show aaa local user コマンドを lockout キーワード付きで使用して、ロックアウトされたすべての AAA ローカル ユーザについて、認証の失敗回数とロックアウト ステータスの詳細を表示しています。
関連コマンド
|
|
|
show aaa-server
AAA サーバに関する統計情報を表示するには、特権 EXEC モードで show aaa-server コマンドを使用します。
show aaa-server [ LOCAL | groupname [ host hostname ] | protocol protocol ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 show aaa-server コマンドを使用して、サーバグループ group1 に含まれている特定のホストの統計情報を表示しています。
次の例では、 show aaa-server コマンドを使用して、非アクティブな小規模システムに含まれているすべてのホストの統計情報を表示しています。
関連コマンド
show access-list
アクセス リストのカウンタを表示するには、特権 EXEC モードで show access-list コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show access-list コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
show activation-key
アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを、許容されているコンテキストの数を含めて表示するには、特権 EXEC モードで show activation-key コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show activation-key コマンドの出力で示されるアクティべーション キーのステータスは、次のとおりです。
• セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと同じものである場合、 show activation-key コマンドの出力は次のようになります。
• セキュリティ アプライアンスのフラッシュ ファイル システムにあるアクティべーション キーが、セキュリティ アプライアンスで機能しているアクティべーション キーと異なるものである場合、 show activation-key コマンドの出力は次のようになります。
• アクティベーション キーをダウングレードする場合は、機能しているキー(古いキー)が、フラッシュに格納されているキー(新しいキー)と異なっていることが表示されます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。
• キーをアップグレードして追加の機能をイネーブルにする場合、新しいキーはすぐに機能し始めます。再起動する必要はありません。
• PIX Firewall プラットフォームでは、新しいキーと古いキーでフェールオーバー機能(R/UR/FO)に違いがある場合、確認するように要求されます。ユーザが n を入力すると、変更内容は破棄されます。その他の場合は、フラッシュ ファイル システムに格納されているキーがアップデートされます。セキュリティ アプライアンスを再起動すると、新しいキーが使用されます。
例
次の例は、アクティベーション キーによってイネーブルになった機能のコンフィギュレーションに含まれているコマンドを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
show admin-context
管理コンテキストとして現在割り当てられているコンテキストの名前を表示するには、特権 EXEC モードで show admin-context コマンドを使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show admin-context コマンドの出力例を示します。この例では、flash のルート ディレクトリに格納されている「admin」という管理コンテキストが表示されています。
関連コマンド
|
|
|
|---|---|
show arp
アドレス解決プロトコル(ARP)テーブルを表示するには、特権 EXEC モードで show arp コマンドを使用します。このコマンドは、ダイナミック ARP エントリと手作業で設定した ARP エントリを表示しますが、各エントリの作成元は示しません。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show arp-inspection
各インターフェイスの ARP 検査設定を表示するには、特権 EXEC モードで show arp-inspection コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show arp-inspection コマンドの出力例を示します。
miss カラムは、ARP 検査がイネーブルになっている場合に、一致しないパケットに対して実行するデフォルト アクション(flood または no-flood)を示しています。
関連コマンド
|
|
|
|---|---|
show arp statistics
ARP 統計情報を表示するには、特権 EXEC モードで show arp statistics コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 show arp statistics コマンドの出力例を示します。
表24-2 に、各フィールドの説明を示します。
関連コマンド
|
|
|
|---|---|
show asdm history
ASDM 履歴バッファの内容を表示するには、特権 EXEC モードで show asdm history コマンドを使用します。
show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm history コマンドから show asdm history コマンドに変更されました。 |
使用上のガイドライン
show asdm history コマンドは、ASDM 履歴バッファの内容を表示します。ASDM 履歴情報を表示するには、 asdm history enable コマンドを使用して、ASDM 履歴のトラッキングをあらかじめイネーブルにしておく必要があります。
例
次に、 show asdm history コマンドの出力例を示します。ここでは、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。
次に、 show asdm history コマンドの出力例を示します。上の例と同様に、出力する内容を外部インターフェイスに関する最近 10 分間に収集されたデータに限定しています。ただし、この例では出力を ASDM クライアント用に整形しています。
次に、 snapshot キーワードを使用した show asdm history コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm image
現在の ASDM ソフトウェア イメージ ファイルを表示するには、特権 EXEC モードで show asdm image コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm image コマンドから show asdm image コマンドに変更されました。 |
例
次に、 show asdm image コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm log_sessions
アクティブな ASDM ロギング セッションのリスト、およびそれらのセッションに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm log_sessions コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、このロギング セッションを使用してセキュリティ アプライアンスから syslog メッセージを取得します。各 ASDM ロギング セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect log_session コマンドで使用すると、指定したセッションを終了することができます。
(注) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessions と show asdm log_sessions の出力は同じ内容になることもあります。
例
次に、 show asdm log_sessions コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
show asdm sessions
アクティブな ASDM セッションのリスト、およびそれらに関連付けられているセッション ID を表示するには、特権 EXEC モードで show asdm sessions コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm sessions コマンドから show asdm sessions コマンドに変更されました。 |
使用上のガイドライン
アクティブな各 ASDM セッションには、一意のセッション ID が割り当てられています。このセッション ID を asdm disconnect コマンドで使用すると、指定したセッションを終了することができます。
例
次に、 show asdm sessions コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック