Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: C のコマンド
- cache-time
- call-agent
- capture
- cd
- certificate
- chain
- changeto
- checkheaps
- check-retransmission
- checksum-verification
- class (policy-map)
- class-map
- clear aaa local user fail-attempts
- clear aaa local user lockout
- clear aaa-server statistics
- clear access-group
- clear access-list
- clear arp statistics
- clear asp drop
- clear blocks
- clear capture
- clear configure
- clear configure aaa
- clear configure aaa-server
- clear configure access-group
- clear configure access-list
- clear configure alias
- clear configure arp-inspection
- clear configure asdm
- clear configure auth-prompt
- clear configure banner
- clear configure ca certificate map
- clear configure class-map
- clear configure clock
- clear configure command-alias
- clear configure console
- clear configure context
- clear configure crypto
- clear configure crypto ca trustpoint
- clear configure crypto dynamic-map
- clear configure crypto map
- clear configure dhcpd
- clear configure dhcprelay
- clear configure dns
- clear configure established
- clear configure failover
- clear configure filter
- clear configure fips
- clear configure firewall
- clear configure fixup
- clear configure fragment
- clear configure ftp
- clear configure ftp-map
- clear configure global
- clear configure group-policy
- clear configure gtp-map
- clear configure http
- clear configure http-map
- clear configure icmp
- clear configure imap4s
- clear configure interface
- clear configure ip
- clear configure ip audit
- clear configure ip local pool
- clear configure ip verify reverse-path
- clear configure ipv6
- clear configure isakmp
- clear configure isakmp policy
- clear configure logging
- clear configure mac-address-table
- clear configure mac-learn
- clear configure mac-list
- clear configure management-access
- clear configure mgcp-map
- clear configure mroute
- clear configure mtu
- clear configure multicast-routing
- clear configure name
- clear configure nat
- clear configure ntp
- clear configure object-group
- clear configure passwd
- clear configure pim
- clear configure policy-map
- clear configure pop3s
- clear configure port-forward
- clear configure prefix-list
- clear configure priority-queue
- clear configure privilege
- clear configure rip
- clear configure route
- clear configure route-map
- clear configure router
- clear configure service-policy
- clear configure smtps
- clear configure snmp-map
- clear configure snmp-server
- clear configure ssh
- clear configure ssl
- clear configure static
- clear configure sunrpc-server
- clear configure sysopt
- clear configure tcp-map
- clear configure telnet
- clear configure terminal
- clear configure timeout
- clear configure tunnel-group
- clear configure url-block
- clear configure url-cache
- clear configure url-list
- clear configure url-server
- clear configure username
- clear configure virtual
- clear configure vpn load-balancing
- clear console-output
- clear counters
- clear crashinfo
- clear crypto accelerator statistics
- clear crypto ca crls
- clear [crypto] ipsec sa
- clear crypto protocol statistics
- clear dhcpd
- clear dhcprelay statistics
- clear dns-hosts cache
- clear failover statistics
- clear fragment
- clear gc
- clear igmp counters
- clear igmp group
- clear igmp traffic
- clear interface
- clear ip audit count
- clear ip verify statistics
- clear ipsec sa
- clear ipv6 access-list counters
- clear ipv6 neighbors
- clear ipv6 traffic
- clear isakmp sa
- clear local-host
- clear logging asdm
- clear logging buffer
- clear mac-address-table
- clear memory profile
- clear mfib counters
- clear module recover
- clear ospf
- clear pim counters
- clear pim reset
- clear pim topology
- clear priority-queue statistics
- clear resource usage
- clear route
- clear service-policy
- clear service-policy inspect gtp
- clear shun
- clear sunrpc-server active
- clear traffic
- clear uauth
- clear url-block block statistics
- clear url-cache statistics
- clear url-server
- clear xlate
- client-access-rule
- client-firewall
- client-update
- clock set
- clock summer-time
- clock timezone
- cluster encryption
- cluster ip address
- cluster key
- cluster port
- command-alias
- command-queue
- compatible rfc1583
- config-register
- configure factory-default
- configure http
- configure memory
- configure net
- configure terminal
- config-url
- console timeout
- content-length
- content-type-verification
- context
- copy
- copy capture
- crashinfo console disable
- crashinfo force
- crashinfo save disable
- crashinfo test
- crl
- crl configure
- crypto ca authenticate
- crypto ca certificate chain
- crypto ca certificate map
- crypto ca crl request
- crypto ca enroll
- crypto ca export
- crypto ca import
- crypto ca trustpoint
- crypto dynamic-map match address
- crypto dynamic-map set nat-t-disable
- crypto dynamic-map set peer
- crypto dynamic-map set pfs
- crypto dynamic-map set reverse route
- crypto dynamic-map set security-association lifetime
- crypto dynamic-map set transform-set
- crypto map set security-association lifetime
- crypto dynamic-map set transform-set
- crypto ipsec df-bit
- crypto ipsec fragmentation
- crypto ipsec security-association lifetime
- crypto ipsec transform-set
- crypto ipsec transform-set mode transport
- crypto key generate dsa
- crypto key generate rsa
- crypto key zeroize
- crypto map interface
- crypto map ipsec-isakmp dynamic
- crypto map match address
- crypto map set connection-type
- crypto map set inheritance
- crypto map set nat-t-disable
- crypto map set peer
- crypto map set pfs
- crypto map set phase1 mode
- crypto map set reverse-route
- crypto map set security-association lifetime
- crypto map set transform-set
- crypto map set trustpoint
C のコマンド
cache-time
CRL を期限切れと見なす前にキャッシュに残す時間を分単位で指定するには、 cache-time コマンドを ca-crl コンフィギュレーション モードで使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
CRL をキャッシュに残す時間(分)を指定します。範囲は 1 ~ 1,440 分です。CRL に NextUpdate フィールドがない場合、CRL はキャッシュされません。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ca-crl コンフィギュレーション モードに入り、トラストポイント central に 10 分のキャッシュ時間のリフレッシュ値を指定します。
関連コマンド
|
|
|
|---|---|
call-agent
コール エージェントのグループを指定するには、 mgcp-map コマンドを使用してアクセスできる call-agent コマンドを MGCP マップ コンフィギュレーション モードで使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
call-agent ip_address group_id
no call-agent ip_address group_id
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
call-agent コマンドは、1 つまたは複数のゲートウェイを管理できるコール エージェントのグループを指定するために使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の(ゲートウェイがコマンドを送信する先以外の)コール エージェントに接続を開くために使用されます。 group_id が同じコール エージェントは、同じグループに所属します。1 つのコール エージェントは複数のグループに所属できます。 group_id オプションは 0 ~ 4294967295 の数字です。 ip_address オプションでは、コール エージェントの IP アドレスを指定します。
例
次の例では、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようにし、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようにしています。
関連コマンド
|
|
|
|---|---|
capture
パケット キャプチャ機能をイネーブルにして、パケットのスニッフィングやネットワーク障害を検出できるようにするには、 capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します(このコマンドの no 形式の詳細については、「使用上のガイドライン」の項を参照してください)。
capture capture_name [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ]
capture capture_name type asp-drop [ drop-code ] [ buffer buf_size ] [ circular-buffer ] [ packet-length bytes ]
capture capture_name type isakmp [ access-list access_list_name ] [ buffer buf_size ] [ circular-buffer ] [ interface interface_name ] [ packet-length bytes ]
capture capture_name type raw-data [ access-list access_list_name ] [ buffer buf_size ] [ circular-buffer ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ]
capture capture_name type webvpn user webvpn-user [ url url]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは複数の新しいキーワード、特に type asp-drop 、 type isakmp 、 type raw-data 、および type webvpn キーワードを含めるように修正されました。 |
使用上のガイドライン
パケットのキャプチャは、接続上の問題のトラブルシューティングや疑わしいアクティビティのモニタリングを行う場合に役立ちます。セキュリティ アプライアンスは、管理トラフィックや検査エンジンを含む、通過するトラフィックのパケット情報を追跡できます。装置を通過するすべてのトラフィックのパケット情報がキャプチャされます。
ISAKMP では、ISAKMP サブシステムは上位レイヤ プロトコルにアクセスできません。キャプチャは、PCAP パーサーを満たすために物理層、IP 層、および UDP 層が組み合された擬似キャプチャです。ピア アドレスは SA 交換から取得され、IP 層に保存されます。
含めるイーサネット タイプをキャプチャから選択する場合、802.1Q タイプまたは VLAN タイプでは例外が発生します。802.1Q タグは自動的にスキップされ、条件に一致しているかどうかの判定には内部イーサネット タイプが使用されます。デフォルトでは、すべてのイーサネット タイプが選択されます。
バッファがいっぱいになると、パケットのキャプチャが停止します。
パケット キャプチャをイネーブルにするには、オプションの引数 interface を使用してキャプチャをインターフェイスに関連付けます。複数の capture コマンド文を使用すると、キャプチャが複数のインターフェイスに関連付けられます。
バッファの内容を TFTP サーバに ASCII 形式でコピーする場合は、パケットの詳細や 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細や 16 進ダンプを表示するには、バッファを PCAP 形式で伝送し、TCPDUMP または Ethereal を使用して読み取る必要があります。
ethernet-type オプション キーワードと access-list オプション キーワードを使用すると、バッファに保存するパケットを選択できます。イーサネット フィルタとアクセスリスト フィルタの両方を通過したパケットだけがキャプチャ バッファに保存されます。
circular-buffer キーワードを使用すると、キャプチャ バッファがいっぱいになったときに、キャプチャ バッファを先頭部分から上書きできます。
キャプチャが消去されないようにする場合は、 no capture に access-list オプション キーワードまたは interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセスリストが削除され、キャプチャは残されます。 interface オプション キーワードを指定した場合は、指定したインターフェイスからキャプチャが分離され、キャプチャは残されます。
(注) capture コマンドはコンフィギュレーションには保存されず、フェールオーバー中にスタンバイ モジュールにコピーされることもありません。
キャプチャ情報をリモートの TFTP サーバにコピーするには、
copy capture : capture_name tftp://server/ path [pcap] コマンドを使用します。
パケット キャプチャ情報を Web ブラウザで表示するには、
https:// securityappliance-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。
pcap オプション キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされるので、Web ブラウザを使用してファイルを保存できます。libcap ファイルは、TCPDUMP または Ethereal で表示できます。
WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスは一致するファイルのペア( capture name_ ORIGINAL.000 と capture name_ MANGLED.000)を作成します。セキュリティ アプライアンスは後続のキャプチャごとに一致するファイルのペアをさらに生成し、ファイル拡張子を増分します。 url は、データ キャプチャに一致する URL プレフィックスです。サーバへの HTTP トラフィックをキャプチャするには、URL http:// server / path を使用します。サーバへの HTTPS トラフィックをキャプチャするには、https:// server / path を使用します。
(注) WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後は、キャプチャをディセーブルにしてください。
次の表に、 type asp-drop キーワードの後に指定できるオプションの drop-code 引数の有効値を示します。
|
|
|
|---|---|
例
パケット キャプチャをイネーブルにするには、次のように入力します。
「mycapture」という名前のキャプチャの内容を Web ブラウザで表示するには、次のアドレスを入力します。
Internet Explorer や Netscape Navigator などの Web ブラウザで使用される libcap ファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。
次の例では、外部ホスト 171.71.69.234 からキャプチャしたトラフィックが内部 HTTP サーバに伝送されます。
hostname(config)# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
次の例では、ARP パケットをキャプチャする方法を示します。
次の例では、 hr に指定された WebVPN キャプチャが作成されます。このキャプチャは、Web サイト wwwin.abcd.com/hr/people にアクセスする user2 の HTTP トラフィックをキャプチャするように設定されています。
関連コマンド
|
|
|
|---|---|
cd
現在の作業ディレクトリから指定したディレクトリに移動するには、 cd コマンドを特権 EXEC モードで使用します。
cd [disk0: | disk1: | flash:] [ path ]
シンタックスの説明
後ろにコロンを付けて内部フラッシュ メモリを指定します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、「config」ディレクトリに移動する方法を示します。
関連コマンド
|
|
|
|---|---|
certificate
指定した証明書を追加するには、 certificate コマンドを暗号 CA 証明書チェーン モードで使用します。このコマンドを使用する場合、セキュリティ アプライアンスは、コマンドに含まれているデータを 16 進形式の証明書として解釈します。 quit 文字列は証明書の終わりを示します。
証明書を削除するには、このコマンドの no 形式を使用します。
certificate [ ca | ra-encrypt | ra-sign | ra-general ] certificate-serial-number
no certificate certificate-serial-number
シンタックスの説明
シンタックスの説明シンタックスの説明
証明書が SCEP で使用される registration authority(RA; 登録局)の鍵暗号化証明書であることを示します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
認証局(CA)は、ネットワークにおいてセキュリティ クレデンシャルおよびメッセージ暗号化用の公開キーを発行、管理する組織です。公開キー インフラストラクチャの一部として、CA では登録局(RA)とともに、デジタル証明書の要求者から提供された情報を確認するためにチェックを行います。RA で要求者の情報が確認されると、CA は証明書を発行します。
例
次の例では、central という名前のトラストポイントの CA トラストポイント モードに入り、次に central の 暗号 CA 証明書チェーン モードに入り、シリアル番号 29573D5FF010FE25B45 の CA を追加します。
hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
関連コマンド
|
|
|
|---|---|
chain
証明書チェーンの送信をイネーブルにするには、 chain コマンドをトンネルグループ ipsec アトリビュート コンフィギュレーション モードで使用します。この操作には、ルート証明書および伝送のすべての下位 CA 証明書が含まれます。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、config-ipsec コンフィギュレーション モードに入り、ルート証明書およびすべての下位 CA 証明書を含む IP アドレス 209.165.200.225 の IPSec LAN-to-LAN トンネルグループのチェーンの送信をイネーブルにします。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
changeto
セキュリティ コンテキストとシステムの間で切り替えを行うには、 changeto コマンドを特権 EXEC モードで使用します。
changeto { system | context name }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
システム実行スペースまたは管理コンテキストにログインする場合は、各コンテキスト内でコンテキスト、実行コンフィギュレーション、モニタリング タスクを切り替えることができます。コンフィギュレーション モードで編集、あるいは copy または write コマンドで使用される「実行」コンフィギュレーションは、どの実行スペースにいるかによって異なります。システム実行スペースにいる場合、実行コンフィギュレーションはシステム コンフィギュレーションだけで構成されます。コンテキスト実行スペースにいる場合、実行コンフィギュレーションはそのコンテキストだけで構成されます。たとえば、 show running-config コマンドを入力することで、実行コンフィギュレーションをすべて(システムとすべてのコンテキスト)表示することはできません。現在のコンフィギュレーションだけが表示されます。
例
次の例では、特権 EXEC モードでコンテキストとシステム間の切り替えを行います。
次の例では、インターフェイス コンフィギュレーション モードでシステムと管理コンテキスト間の切り替えを行います。実行スペース間で切り替えを行い、コンフィギュレーション サブモードにいる場合、モードは新しい実行スペースでグローバル コンフィギュレーション モードに変わります。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
checkheaps
チェックヒープ確認の間隔を設定するには、 checkheaps コマンドをグローバル コンフィギュレーション モードで使用します。値をデフォルトに設定するには、このコマンドの no 形式を使用します。チェックヒープは、ピープ メモリ バッファ(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられる)の健全性およびコード領域の完全性を確認する定期的なプロセスです。
checkheaps { check-interval | validate-checksum } seconds
no checkheaps { check-interval | validate-checksum } [ seconds ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、バッファ割り当ての間隔を 200 秒に設定し、コード スペース チェックサムの間隔を 500 秒に設定します。
関連コマンド
|
|
|
|---|---|
check-retransmission
TCP 再送信スタイルの攻撃を防止するには、 check-retransmission コマンドを tcp マップ コンフィギュレーション モードで使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドは、モジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。
service-policy コマンドで TCP 検査を有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。矛盾する再送信のエンド システムの解釈によって発生する TCP 再送信スタイルの攻撃を防止するには、
check-retransmission コマンドを tcp マップ コンフィギュレーション モードで使用します。
セキュリティ アプライアンスは、再送信内のデータが元のデータと同じであるかどうかを確認しようとします。データが一致しない場合、接続はセキュリティ アプライアンスによってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは、順番に許可されます。詳細については、 queue-limit コマンドを参照してください。
例
次の例では、すべての TCP フロー上で、TCP check-retransmission 機能をイネーブルにします。
関連コマンド
|
|
|
|---|---|
checksum-verification
TCP チェックサムの確認をイネーブルまたはディセーブルにするには、 checksum-verification コマンドを tcp マップ コンフィギュレーション モードで使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドは、モジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。 service-policy コマンドで TCP 検査を有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。
checksum-verification コマンドを tcp マップ コンフィギュレーション モードで使用して、TCP チェックサムの確認をイネーブルにします。チェックが失敗した場合、パケットはドロップされます。
例
次の例では、10.0.0.0 ~ 20.0.0.0 の TCP 接続上で TPC チェックサムの確認をイネーブルにします。
関連コマンド
|
|
|
|---|---|
class (policy-map)
トラフィック分類のポリシーにクラスマップを割り当てるには、 class コマンドをポリシーマップ モードで使用します。ポリシーマップに対するクラスマップの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
class-default を含む、最大 63 のクラス コマンドをポリシーマップに設定できます。
「class-default」という名前は、デフォルト クラスに予約されている名前であり、常に存在します。つまり、この名前をコンフィギュレーションに含めることはできますが、CLI を使用して再設定や削除を行うことはできません。詳細については、 class-map コマンドの説明を参照してください。
例
次に、ポリシーマップ モードのクラス コマンドの例を示します。プロンプトの変化に注意してください。
次に、最大 256 の HTTP サーバに接続を制限する接続ポリシー用の policy-map コマンドとその class コマンドの例を示します。
次に、 service-policy コマンドで定義された外部インターフェイス用の policy-map コマンドとその class コマンドの例を示します。 class-map コマンドは、宛先 IP アドレスが 192.168.10.10 のトラフィックのクラスを指定します。
関連コマンド
|
|
|
service-policy コマンドで使用されているポリシーマップを除く、すべてのポリシーマップ コンフィギュレーションを削除します。 |
|
ポリシー(それぞれ 1 つまたは複数のアクションがある 1 つまたは複数のトラフィック クラスのアソシエーション)を設定します。 |
|
class-map
モジュラ ポリシー フレームワークを使用してセキュリティ機能を設定する場合にインターフェイスのトラフィックを分類するには、 class-map コマンドをグローバル コンフィギュレーション モードで使用します。クラスマップを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
クラスマップ名のテキスト。最大 40 文字まで指定できます。クラスマップの名前のスペースは、セキュリティ コンテキストに対してローカルです。このため、複数のセキュリティ コンテキストで同じ名前を使用できる場合があります。セキュリティ コンテキストあたりのクラスマップの最大数は 255 です。 |
デフォルト
デフォルト クラスの class-default は常に存在し、CLI を使用して設定または削除することはできません。デフォルト クラスは、ポリシーマップで使用する場合、「他のすべてのトラフィック」を意味します。class-default の定義は次のとおりです。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
class-map コマンドを使用すると、モジュラ ポリシー フレームワークを使用してセキュリティ機能を設定する場合にトラフィック クラスを定義できます。モジュラ ポリシー フレームワークは、セキュリティ アプライアンスの機能を Cisco IOS ソフトウェア QoS CLI と同様の方法で設定する一貫性のある柔軟な方法です。モジュラ ポリシー フレームワークを使用してセキュリティ機能を設定するには、 class-map 、 policy-map 、および service-policy グローバル コンフィギュレーション コマンドを使用します。
class-map グローバル コンフィギュレーション コマンドを使用してトラフィック クラスを定義します。次に、 policy-map グローバル コンフィギュレーション コマンドを使用して、トラフィック クラスを 1 つまたは複数のアクションに関連付けてポリシーマップを作成します。最後に、 service-policy コマンドを使用して、ポリシーマップを 1 つまたは複数のインターフェイスに関連付けてセキュリティ ポリシーを作成します。
1 つのトラフィック クラスマップには、最大 1 つの match コマンドが含まれます
( match tunnel-group および match default-inspection-traffic コマンドを除く)。 match コマンドでは、トラフィック クラスに含まれるトラフィックを指定します。パケットをクラスマップと照合した場合、照合の結果は match または no match のいずれかとなります。
class-map コマンドを使用して、クラスマップ コンフィギュレーション モードに入ります。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。次のコマンドをクラスマップ コンフィギュレーション モードで使用できます。
一致条件として使用するアクセスリストの名前を指定します。パケットがアクセスリスト内のエントリと一致しない場合、照合の結果は no-match となります。パケットがアクセスリスト内のエントリと一致する場合、およびパケットが permit エントリの場合、照合の結果は match となります。または、拒否アクセスリスト エントリと一致する場合、照合の結果は no-match となります。 |
|
例
次の例では、クラスマップを使用して、すべての TCP トラフィックのトラフィック クラスをポート 21 に定義する方法を示します。
関連コマンド
|
|
|
|---|---|
clear aaa local user fail-attempts
ユーザのロックアウト ステータスを変更せずに、失敗したユーザ認証試行の数を 0 にリセットするには、 clear aaa local user fail-attempts コマンドを特権 EXEC モードで使用します。
clear aaa local user authentication fail-attempts { username name | all }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザが数回認証に失敗した場合は、このコマンドを使用します。ただし、たとえば、コンフィギュレーションが最近変更された場合などは、カウンタを 0 にリセットします。
認証試行の失敗が設定された回数を超えると、ユーザはシステムからロックアウトされ、システム管理者がユーザ名をアンロックするか、システムをリブートするまで正常にログインできません。
ユーザが正常に認証されるか、セキュリティ アプライアンスがリブートされると、失敗した試行の回数は 0 にリセットされ、ロックアウト ステータスは No にリセットされます。
例
次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。
次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする方法を示します。
関連コマンド
|
|
|
clear aaa local user lockout
指定したユーザのロックアウト ステータスを消去し、失敗試行カウンタを 0 にリセットするには、 clear aaa local user lockout コマンドを特権 EXEC モードで使用します。
clear aaa local user lockout { username name | all}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
username オプションを使用して単一のユーザを指定することも、 all オプションを使用してすべてのユーザを指定することもできます。
例
次の例では、 clear aaa local user lockout コマンドを使用してロックアウト状態をクリアし、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。
関連コマンド
|
|
|
clear aaa-server statistics
AAA サーバの統計情報をリセットするには、 clear aaa-server statistics コマンドを特権 EXEC モードで使用します。
clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
CLI ガイドラインに沿うように、このコマンドが変更されました。プロトコル値においては、 nt が以前の nt-domain に置き換えられ、 sdi が以前の rsa-ace に置き換えられます。 |
例
次のコマンドは、グループ内の特定のサーバの AAA 統計情報をリセットする方法を示しています。
hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
次のコマンドは、1 つのサーバ グループ全体の AAA 統計情報をリセットする方法を示しています。
hostname(config)# clear aaa-server statistics svrgrp1
次のコマンドは、すべてのサーバ グループの AAA 統計情報をリセットする方法を示しています。
hostname(config)# clear aaa-server statistics
次のコマンドは、特定のプロトコル(この場合は TACACS+)の AAA 統計情報をリセットする方法を示しています。
hostname(config)# clear aaa-server statistics protocol tacacs+
関連コマンド
|
|
|
clear access-group
すべての インターフェイスからアクセス グループを削除するには、 clear access-group コマンドを使用します 。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、すべてのアクセス グループを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear access-list
アクセスリスト カウンタをクリアするには、 clear access-list コマンドをグローバル コンフィギュレーション モードで使用します。
clear access-list [ id ] counters
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear access-list コマンドを入力する場合、 id を指定しなければ、すべてのアクセスリスト カウンタがクリアされます。
例
次の例では、特定のアクセスリスト カウンタをクリアする方法を示します。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
アクセスリストを追加して、OSPF 再配布のルートマップに使用できる、OSPF ルートの宛先 IP アドレスを指定します。 |
|
clear arp statistics
ARP 統計情報を消去するには、 clear arp statistics コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear asp drop
アクセラレーション セキュリティ パスのドロップ統計情報を消去するには、 clear asp drop コマンドを特権 EXEC モードで使用します。
clear asp drop [ flow type | frame type ]
シンタックスの説明
(オプション)特定のプロセスのドロップされたフローまたはパケットの統計情報を消去します。タイプのリストについては、「 使用上のガイドライン 」を参照してください。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear blocks
最低水準点や履歴情報などのパケット バッファ カウンタをリセットするには、 clear blocks コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最低水準点カウンタを各プール内で現在使用可能なブロックにリセットします。また、前回のバッファ割り当ての失敗時に保存された履歴情報も消去します。
例
関連コマンド
|
|
|
|---|---|
clear capture
キャプチャ バッファを消去するには、 clear capture capture_name コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
誤ってパケット キャプチャを全消去することを防ぐため、 clear capture の短縮形( cl cap や clear cap など)は サポートされていません。
例
次の例では、キャプチャ バッファ「trudy」のキャプチャ バッファを消去する方法を示します。
hostname(config)# clear capture trudy
関連コマンド
|
|
|
|---|---|
clear configure
実行コンフィギュレーションを消去するには、 clear configure コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure { primary | secondary | all | command }
シンタックスの説明
指定したコマンドのコンフィギュレーションを消去します。詳細については、このマニュアルの各 clear configure command コマンドの個々のエントリを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドをセキュリティ コンテキストで入力する場合は、コンテキスト コンフィギュレーションだけが消去されます。このコマンドをシステム実行スペースで入力する場合は、すべてのコンテキスト実行コンフィギュレーションに加えてシステム実行コンフィギュレーションも消去されます。システム コンフィギュレーション内のすべてのコンテキスト エントリが消去されるため( context コマンドを参照)、コンテキストは実行されず、コンテキスト実行スペースに移動できなくなります。
コンフィギュレーションを消去する前に、(スタートアップ コンフィギュレーションの場所を指定する) boot config コマンドへのすべての変更をスタートアップ コンフィギュレーションに保存します。スタートアップ コンフィギュレーションの場所を実行コンフィギュレーション内だけで変更した場合は、再起動時にコンフィギュレーションはデフォルト位置からロードされます。
例
関連コマンド
|
|
|
|---|---|
clear configure aaa
aaa コンフィギュレーションを消去するには、 clear configure aaa コマンドをグローバル コンフィギュレーション モードで使用します。 clear configure aaa コマンドは、コンフィギュレーションから AAA コマンド文を削除します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定されたサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブル化または表示します。 |
|
aaa-server コマンドで指定された LOCAL または TACACS+ サーバのユーザ認可、あるいは ASDM ユーザ認証のユーザ認可をイネーブルまたはディセーブルにします。 |
|
clear configure aaa-server
すべての AAA サーバ グループを削除、または指定したグループを消去するには、 clear configure aaa-server コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure aaa-server [ server-tag ]
clear configure aaa-server [ server-tag ] host server-ip
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
特定の AAA サーバ グループ、またはデフォルトで、すべての AAA サーバ グループを指定できます。
例
hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server)# timeout 9
hostname(config-aaa-server)# retry 7
hostname(config-aaa-server)# sdi-version sdi-5
hostname(config-aaa-server)# exit
上記のコンフィギュレーションで、次のコマンドは、グループから特定のサーバを削除する方法を示しています。
hostname(config)# clear config aaa-server svrgrp1 host 1.2.3.4
次のコマンドは、1 つのサーバ グループを削除する方法を示しています。
hostname(config)# clear config aaa-server svrgrp1
次のコマンドは、すべてのサーバ グループを削除する方法を示しています。
hostname(config)# clear config aaa-server
関連コマンド
|
|
|
他の AAA コンフィギュレーション値とともに、ユーザ 1 人あたりに許可する同時プロキシ接続の現在の最大数を表示します。 |
clear configure access-group
すべての インターフェイスからアクセス グループを削除するには、 clear configure access-group コマンドを使用します 。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべてのアクセス グループを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure access-list
実行コンフィギュレーションからアクセスリストを消去するには、 clear configure access-list コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure access-list [ id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセスリストが自動的にアンバインドされます。 crypto map コマンドからアクセスリストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセスリストを参照している crypto map コマンドが不完全なものになるためです。この状態を解消するには、別の access-list コマンドを定義して crypto map コマンドを完全なものにするか、 access-list コマンドに関係する crypto map コマンドを削除します。詳細については、 crypto map client コマンドの項を参照してください。
例
次の例では、実行コンフィギュレーションからアクセスリストを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。 |
|
アクセスリストを追加して、OSPF 再配布のルートマップに使用できる、OSPF ルートの宛先 IP アドレスを指定します。 |
|
clear configure alias
コンフィギュレーションからすべての alias コマンドを削除するには、 clear configure alias コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションからすべての alias コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure arp-inspection
ARP 検査のコンフィギュレーションを消去するには、 clear configure arp-inspection コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure arp-inspection
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ARP 検査のコンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure asdm
実行コンフィギュレーションからすべての asdm コマンドを削除するには、 clear configure asdm コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure asdm [ location | group | image ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 clear pdm コマンドから clear configure asdm コマンドに変更されました。 |
使用上のガイドライン
実行コンフィギュレーション内の asdm コマンドを表示するには、 show running-config asdm コマンドを使用します。
コンフィギュレーションから asdm image コマンドを消去すると、ASDM アクセスがディセーブルになります。コンフィギュレーションから asdm location コマンドおよび asdm group コマンドを消去すると、次にアクセスされたときに ASDM によってこれらのコマンドが再生成されますが、アクティブな ASDM セッションが妨げられることがあります。
(注) マルチ コンテキスト モードで実行されているセキュリティ アプライアンスでは、clear configure asdm image コマンドはシステム実行スペースでのみ使用できます。一方、clear configure asdm group コマンドおよび clear configure asdm location コマンドは、ユーザ コンテキストでのみ使用できます。
例
次の例では、実行コンフィギュレーションから asdm group コマンドを消去します。
関連コマンド
|
|
|
|---|---|
clear configure auth-prompt
指定済みの認証プロンプト チャレンジ テキストを削除し、デフォルト値に戻すには(存在する場合)、 clear configure auth-prompt コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
認証プロンプトを消去した後、ユーザのログイン時に表示されるプロンプトは、使用するプロトコルによって次のように異なります。
•
HTTP を使用してログインするユーザの場合、 HTTP Authentication が表示されます。
例
関連コマンド
clear configure banner
すべてのバナーを削除するには、clear configure banner コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear configure ca certificate map
証明書マップ エントリをすべて削除、または指定した証明書マップ エントリを削除するには、 clear configure ca configurate map コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure ca certificate map [ sequence-number ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド+
|
|
|
|---|---|
clear configure class-map
すべてのクラスマップを削除するには、 clear configure class-map コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、設定済みのクラスマップをすべて消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure clock
クロック コンフィギュレーションを消去するには、 clear configure clock コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべての clock コンフィギュレーション コマンドを消去します。 clock set コマンドはコンフィギュレーション コマンドではないため、このコマンドではクロックはリセットされません。クロックをリセットするには、 clock set コマンドに新しい時間を設定する必要があります。
例
関連コマンド
|
|
|
|---|---|
clear configure command-alias
デフォルト以外のコマンド エイリアスをすべて削除するには、 clear configure command-alias コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、デフォルト以外のコマンド エイリアスをすべて削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure console
コンソール接続の設定をデフォルトにリセットするには、 clear configure console コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンソール接続の設定をデフォルトにリセットする方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure context
システム コンフィギュレーションのすべてのコンテキスト コンフィギュレーションを消去するには、 clear configure context コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure context [ noconfirm ]
シンタックスの説明
(オプション)確認を求めるプロンプトを表示せずにすべてのコンテキストを削除します。このオプションは、自動スクリプトに役立ちます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、管理コンテキストを含むすべてのコンテキストを削除できます。管理コンテキストは no context コマンドを使用して削除することはできませんが、 clear configure context コマンドを使用して削除できます。
例
次の例では、システム コンフィギュレーションからすべてのコンテキストを削除し、削除を確認しません。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
clear configure crypto
IPSec、暗号マップ、ダイナミック暗号マップ、CA トラストポイント、すべての証明書、証明書マップ コンフィギュレーション、ISAKMP など、暗号コンフィギュレーション全体を削除するには、 clear configure crypto コマンドをグローバル コンフィギュレーション モードで使用します。特定のコンフィギュレーションを削除するには、シンタックスに示されているように、このコマンドをキーワードとともに使用します。このコマンドは、慎重に使用してください。
clear configure crypto [ ca | dynamic-map | ipsec | iskmp | map ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、セキュリティ アプライアンスからすべての暗号コンフィギュレーションを削除します。
関連コマンド
|
|
|
|---|---|
clear configure crypto ca trustpoint
コンフィギュレーションからすべてのトラストポイントを削除するには、 clear configure crypto ca trustpoint コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure crypto ca trustpoint
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、コンフィギュレーションからすべてのトラストポイントを削除します。
関連コマンド
|
|
|
|---|---|
clear configure crypto dynamic-map
コンフィギュレーションからすべてのまたは指定したダイナミック暗号マップを削除するには、 clear configure crypto dynamic-map コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure crypto dynamic-map dynamic-map-name dynamic-seq-num
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、コンフィギュレーションからシーケンス番号 3 のダイナミック暗号マップ mymaps を削除します。
関連コマンド
|
|
|
|---|---|
clear configure crypto map
コンフィギュレーションからすべてのまたは指定した暗号マップを削除するには、 clear configure crypto map コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure crypto map map-name seq-num
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、コンフィギュレーションからシーケンス番号 3 の暗号マップ mymaps を削除します。
関連コマンド
|
|
|
|---|---|
clear configure dhcpd
DHCP サーバ コマンド、バインディング、および統計情報をすべて消去するには、 clear configure dhcpd コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure dhcpd コマンドは、 dhcpd コマンド、バインディング、および統計情報をすべて消去します。統計情報カウンタまたはバインディング情報だけを消去するには、 clear dhcpd コマンドを使用します。
例
次の例では、すべての dhcpd コマンドを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure dhcprelay
すべての DHCP リレー コンフィギュレーションを消去するには、 clear configure dhcprelay コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 clear dhcprelay から clear configure dhcprelay に変更されました。 |
使用上のガイドライン
clear configure dhcprelay コマンドは、DHCP リレー統計情報およびコンフィギュレーションを消去します。DHCP 統計情報カウンタだけを消去するには、 clear dhcprelay statistics コマンドを使用します。
例
次の例では、DHCP リレー コンフィギュレーションを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure dns
すべての DNS コマンドを消去するには、 clear configure dns コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear configure established
確立されたコマンドをすべて削除するには、 clear configure established コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
established コマンドで作成した確立されている接続を削除するには、 clear xlate コマンドを入力します。
例
関連コマンド
|
|
|
|---|---|
clear configure failover
コンフィギュレーションから failover コマンドを削除してデフォルトに戻すには、 clear configure failover コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが clear failover から clear configure failover に変更されました。 |
使用上のガイドライン
このコマンドは、すべての failover コマンドを実行コンフィギュレーションから消去し、デフォルトに戻します。 all キーワードを show running-config failover コマンドとともに使用すると、デフォルトのフェールオーバー コンフィギュレーションが表示されます。
clear configure failover コマンドは、マルチ コンフィギュレーション モードのセキュリティ コンテキストでは使用できません。このコマンドはシステム実行スペースで入力する必要があります。
例
次の例では、コンフィギュレーションからすべてのフェールオーバー コマンドを消去します。
関連コマンド
|
|
|
|---|---|
clear configure filter
URL、FTP、および HTTPS フィルタリング コンフィギュレーションを消去するには、 clear configure filter コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure filter コマンドは、URL、FTP、および HTTPS フィルタリング コンフィギュレーションを消去します。
例
次の例では、URL、FTP、および HTTPS フィルタリング コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure fips
NVRAM に格納されているシステムまたはモジュールの FIPS コンフィギュレーション情報を消去するには、clear configure fips コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
clear configure firewall
ファイアウォール モードをデフォルトのルーテッド モードに設定するには、 clear configure firewall コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ファイアウォール モードをデフォルトに設定します。
関連コマンド
|
|
|
|---|---|
clear configure fixup
フィックスアップ コンフィギュレーションを消去するには、 clear configure fixup コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、フィックスアップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure fragment
すべての IP フラグメント再構成コンフィギュレーションをデフォルトにリセットするには、 clear configure fragment コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure fragment [ interface ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
configure キーワードおよびオプションの interface 引数が追加されました。また、このコマンドは、運用データの消去とコンフィギュレーション データの消去を区別するため、 clear fragment と clear configure fragment の 2 つのコマンドに分けられました。 |
使用上のガイドライン
clear configure fragment コマンドは、すべての IP フラグメント再構成コンフィギュレーションをデフォルトにリセットします。また、chain、size、および timeout キーワードが次のデフォルト値にリセットされます。
例
次の例では、すべての IP フラグメント再構成コンフィギュレーションをデフォルトにリセットする方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure ftp
FTP コンフィギュレーションを消去するには、 clear configure ftp コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear configure ftp-map
FTP マップ コンフィギュレーションを消去するには、 clear configure ftp-map コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FTP マップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure global
コンフィギュレーションから global コマンドを削除するには、 clear configure global コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションから global コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure group-policy
特定のグループポリシーのコンフィギュレーションを削除するには、 clear configure group-policy コマンドをグローバル コンフィギュレーション モードで使用し、グループポリシーの名前を付加します。デフォルトのグループポリシー以外のすべての group-policy コマンドをコンフィギュレーションから削除するには、このコマンドを引数なしで使用します。
clear configure group-policy [ name ]
シンタックスの説明
デフォルト
コマンドのモード
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、FirstGroup という名前のグループポリシーのコンフィギュレーションを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure gtp-map
GTP マップ コンフィギュレーションを消去するには、 clear configure gtp-map コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、GTP マップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure http
HTTP サーバをディセーブルにし、HTTP サーバにアクセスできる設定済みホストを削除するには、 clear configure http コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、HTTP コンフィギュレーションを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスを指定します。 |
|
clear configure http-map
HTTP マップ コンフィギュレーションを消去するには、 clear configure http-map コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、HTTP マップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure icmp
ICMP トラフィックの設定済みアクセス規則を消去するには、 clear configure icmp コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ICMP トラフィックの設定済みアクセス規則を消去します。
関連コマンド
|
|
|
|---|---|
clear configure imap4s
コンフィギュレーションからすべての IMAP4S コマンドを削除してデフォルト値に戻すには、 clear configure imap4s コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、IMAP4S コンフィギュレーションを削除する方法を示します。
hostname(config)# clear configure imap4s
関連コマンド
|
|
|
|---|---|
clear configure interface
インターフェイス コンフィギュレーションを消去するには、 clear configure interface コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
インターフェイスを指定しない場合、セキュリティ アプライアンスはすべてのインターフェイス コンフィギュレーションを消去します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 clear interface から変更されました。また、新しいインターフェイスの番号付け方式も含めるように修正されました。 |
使用上のガイドライン
メインの物理インターフェイスのインターフェイス コンフィギュレーションを消去する場合、セキュリティ アプライアンスではデフォルト設定が使用されます。
インターフェイス名をシステム実行スペースで使用することはできません。これは、 nameif コマンドはコンテキスト内でのみ使用できるためです。同様に、 allocate-interface コマンドを使用してインターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内でのみ使用できます。
例
次の例では、GigabitEthernet0/1 コンフィギュレーションを消去します。
次の例では、内部インターフェイス コンフィギュレーションを消去します。
次の例では、コンテキスト内で int1 インターフェイス コンフィギュレーションを消去します。「int1」はマッピング名です。
次の例では、すべてのインターフェイス コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure ip
ip address コマンドで設定されたすべての IP アドレスを消去するには、 clear configure ip コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
透過ファイアウォール モードの場合、このコマンドは管理 IP アドレスを消去します。
古い IP アドレスを使用する現在の接続をすべて停止するには、 clear xlate コマンドを入力します。入力しない場合、接続は通常どおりタイムアウトします。
例
関連コマンド
|
|
|
|---|---|
clear configure ip audit
監査ポリシー コンフィギュレーション全体を消去するには、 clear configure ip audit コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure ip audit [ configuration ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべての ip audit コマンドを消去します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
clear configure ip local pool
IP アドレス プールを削除するには、 clear configure ip local pool コマンドをグローバル コンフィギュレーション モードで使用します。
clear ip local pool [ poolname ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、実行コンフィギュレーションからすべての IP アドレス プールを削除します。
関連コマンド
|
|
|
|---|---|
clear configure ip verify reverse-path
ip verify reverse-path コンフィギュレーションを消去するには、 clear configure ip verify reverse-path コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure ip verify reverse-path
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべてのインターフェイスの ip verify reverse-path コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
Unicast Reverse Path Forwarding 機能をイネーブルにして IP スプーフィングを防止します。 |
|
clear configure ipv6
実行コンフィギュレーションからグローバル IPv6 コマンドを消去するには、 clear configure ipv6 コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure ipv6 [ route | access-list ]
シンタックスの説明
(オプション)実行コンフィギュレーションから IPv6 ルーティング テーブル内のルートをスタティックに定義するコマンドを消去します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドでは、実行コンフィギュレーションからグローバル IPv6 コマンドだけが消去されます。インターフェイス コンフィギュレーション モードで入力した IPv6 コマンドは消去されません。
例
次の例では、IPv6 ルーティング テーブルからスタティックに定義された IPv6 ルートを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure isakmp
すべての ISAKMP コンフィギュレーションを削除するには、 clear configure isakmp コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、セキュリティ アプライアンスからすべての ISAKMP コンフィギュレーションを削除します。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
clear configure isakmp policy
すべての ISAKMP ポリシー コンフィギュレーションを削除するには、 clear configure isakmp policy コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure isakmp policy priority
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションから優先順位 3 の ISAKMP ポリシーを削除します。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
clear configure logging
ロギング コンフィギュレーションを消去するには、 clear configure logging コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure logging [ disabled | level | rate-limit ]
シンタックスの説明
(オプション)ディセーブルになっているすべてのシステム ログ メッセージを再度イネーブルにすることを指定します。このオプションを使用する場合、他のロギング コンフィギュレーションは消去されません。 |
|
(オプション)システム ログ メッセージへの重大度の割り当てをデフォルト値にリセットすることを指定します。このオプションを使用する場合、他のロギング コンフィギュレーションは消去されません。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show running-config logging コマンドを使用して、すべてのロギング コンフィギュレーションを表示できます。 clear configure logging コマンドを disabled または level キーワードなしで使用した場合、すべてのロギング コンフィギュレーションが消去されます。
例
次の例では、ロギング コンフィギュレーションを消去する方法を示します。 show logging コマンドの出力は、すべてのロギング機能がディセーブルになっていることを示します。
関連コマンド
|
|
|
|---|---|
clear configure mac-address-table
mac-address-table static および mac-address-table aging-time コンフィギュレーションを消去するには、 clear configure mac-address-table コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure mac-address-table
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 mac-address-table static および mac-address-table aging-time コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure mac-learn
mac-learn コンフィギュレーションを消去するには、 clear configure mac-learn コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 mac-learn コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure mac-list
以前に mac-list コマンドで指定された MAC アドレスの指定したリストを削除するには、 clear configure mac-list コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、MAC アドレス リストを消去する方法を示します。
関連コマンド
|
|
|
clear configure management-access
セキュリティ アプライアンスの管理アクセスのための内部インターフェイスのコンフィギュレーションを削除するには、 clear configure management-access コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure management-access
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます(インターフェイス名は nameif コマンドによって定義され、 show interface コマンドの出力で引用符 " " に囲まれて表示されます)。 clear configure management-access コマンドは、 management-access コマンドで指定した内部管理インターフェイスのコンフィギュレーションを削除します。
例
次の例では、セキュリティ アプライアンスの管理アクセスのための、内部インターフェイスのコンフィギュレーションを削除します。
関連コマンド
|
|
|
|---|---|
clear configure mgcp-map
MGCP マップ コンフィギュレーションを消去するには、 clear configure mgcp-map コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、MGCP マップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure mroute
実行コンフィギュレーションから mroute コマンドを削除するには、 clear configure mroute コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションから mroute コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure mtu
すべてのインターフェイスの設定済み最大伝送ユニット値を消去するには、 clear configure mtu コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
clear configure mtu コマンドを使用すると、すべてのイーサネット インターフェイスの最大伝送ユニットがデフォルトの 1500 に設定されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべてのインターフェイスの現在の最大伝送ユニット値を消去します。
関連コマンド
|
|
|
|---|---|
clear configure multicast-routing
実行コンフィギュレーションから multicast-routing コマンドを削除するには、 clear configure multicast-routing コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure multicast-routing
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure multicast-routing コマンドは、実行コンフィギュレーションから multicast-routing を削除します。 no multicast-routing コマンドも、実行コンフィギュレーションから multicast-routing コマンドを削除します。
例
次の例では、実行コンフィギュレーションから multicast-routing コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure name
コンフィギュレーションから名前のリストを消去するには、 clear configure name コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear configure nat
NAT コンフィギュレーションを削除するには、 clear configure nat コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
透過ファイアウォール モードには、次の注意事項が適用されます。
(注) 透過ファイアウォール モードでは、NAT id 0 のみが有効です。
例
次の例では、NAT コンフィギュレーションを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure ntp
NTP コンフィギュレーションを消去するには、 clear configure ntp コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear configure object-group
コンフィギュレーションからすべての object group コマンドを削除するには、 clear configure object-group コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure object-group [{ protocol | service | icmp-type | network }]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションからすべての object-group コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure passwd
ログイン パスワード コンフィギュレーションを消去し、デフォルト設定の「cisco」に戻すには、 clear configure passwd コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure { passwd | password }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ログイン パスワードを消去し、デフォルトの「cisco」に戻します。
関連コマンド
|
|
|
|---|---|
clear configure pim
実行コンフィギュレーションからすべてのグローバル pim コマンドを消去するには、
clear configure pim コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure pim コマンドは、実行コンフィギュレーションからすべての pim コマンドを消去します。PIM トラフィック カウンタおよびトポロジ情報を消去するには、 clear pim counters コマンドおよび clear pim topology コマンドを使用します。
clear configure pim コマンドはグローバル コンフィギュレーション モードで入力された pim コマンドだけを消去します。インターフェイス固有の pim コマンドは消去しません。
例
次の例では、実行コンフィギュレーションからすべての pim コマンドを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure policy-map
コンフィギュレーションからポリシーマップの指定を削除するには、 clear configure policy-map コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 clear configure policy-map コマンドの例を示します。
関連コマンド
|
|
|
clear configure pop3s
コンフィギュレーションからすべての POP3S コマンドを削除してデフォルト値に戻すには、 clear configure pop3s コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、POP3S コンフィギュレーションを削除する方法を示します。
hostname(config)# clear configure pop3s
関連コマンド
|
|
|
|---|---|
clear configure port-forward
WebVPN ユーザが転送 TCP ポート経由でアクセスする設定済みのアプリケーションのセットを削除するには、 clear configure port-forward コマンドをグローバル コンフィギュレーション モードで使用します。設定済みのアプリケーションをすべて削除するには、このコマンドを listname 引数なしで使用します。特定のリストのアプリケーションだけを削除するには、このコマンドに listname を付けて使用します。
clear configure port-forward [ listname ]
シンタックスの説明
WebVPN ユーザがアクセスできるアプリケーション(転送 TCP ポート)のセットをグループ化します。最大 64 文字です。 |
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 SalesGroupPorts という名前のポート転送リストを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
WebVPN ユーザがアクセスできるアプリケーションのセットを設定するには、このコマンドを WebVPN コンフィギュレーション モードで使用します。 |
|
ユーザまたはグループポリシーの WebVPN アプリケーション アクセスをイネーブルにするには、webvpn モードでこのコマンドを使用します。 |
|
clear configure prefix-list
実行コンフィギュレーションから prefix-list コマンドを削除するには、 clear configure prefix-list コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure prefix-list [ prefix-list-name ]
シンタックスの説明
(オプション)プレフィックス リストの名前。プレフィックス リスト名を指定した場合は、そのプレフィックス リストのコマンドだけがコンフィギュレーションから削除されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 clear prefix-list から clear configure prefix-list に変更されました。 |
使用上のガイドライン
clear configure prefix-list コマンドは、実行コンフィギュレーションから prefix-list コマンドおよび prefix-list description コマンドを削除します。プレフィックス リスト名を指定した場合は、実行コンフィギュレーションからそのプレフィックス リストの prefix-list コマンドと prefix-list description コマンド(存在する場合)だけが削除されます。
このコマンドは、実行コンフィギュレーションから no prefix-list sequence コマンドを削除しません。
例
次の例では、実行コンフィギュレーションから MyPrefixList という名前のプレフィックス リストのすべての prefix-list コマンドを削除します。
関連コマンド
|
|
|
|---|---|
clear configure priority-queue
コンフィギュレーションからプライオリティキューの指定を削除するには、 clear configure priority-queue コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure priority queue interface-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 clear configure priority-queue コマンドを使用して、test という名前のインターフェイスでプライオリティキュー コンフィギュレーションを削除する方法を示します。
関連コマンド
|
|
|
clear configure privilege
コマンドの設定済みの特権レベルを削除するには、 clear configure privilege コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、コマンドの設定済みの特権レベルをリセットする方法を示します。
関連コマンド
|
|
|
clear configure rip
実行コンフィギュレーションから rip コマンドを消去するには、 clear configure rip コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure rip コマンドは、コンフィギュレーションからすべての rip コマンドを削除します。特定のコマンドを消去するには、このコマンドの no 形式を使用します。
例
次の例では、実行コンフィギュレーションからすべての RIP コマンドを消去します。
関連コマンド
|
|
|
|---|---|
clear configure route
connect キーワードを含んでいないコンフィギュレーションから route コマンドを削除するには、 clear configure route コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure route [ interface_name ip_address [ netmask gateway_ip ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルト ルートを指定するには、 0.0.0.0 を使用します。0.0.0.0 IP アドレスは 0 に、0.0.0.0 netmask は 0 に省略できます。
例
次の例では、 connect キーワードを含んでいないコンフィギュレーションから route コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure route-map
すべてのルートマップを削除するには、 clear configure route-map コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンフィギュレーション内のすべての route-map コマンドを削除するには、
clear configure route-map コマンドをグローバル コンフィギュレーション モードで使用します。 route-map コマンドは、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を設定するために使用します。
例
次の例では、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure router
実行コンフィギュレーションからすべてのルータ コマンドを消去するには、 clear configure router コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure router [ ospf id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 clear router コマンドから clear configure router コマンドに変更されました。 |
例
次の例では、実行コンフィギュレーションから OSPF プロセス 1 に関連付けられたすべての OSPF コマンドを消去します。
関連コマンド
|
|
|
|---|---|
clear configure service-policy
イネーブルになっているポリシーのサービス ポリシー コンフィギュレーションを消去するには、 clear configure service-policy コマンドを特権 EXEC モードで使用します。
clear configure service-policy
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 clear service-policy コマンドの例を示します。
関連コマンド
|
|
|
|---|---|
clear configure smtps
コンフィギュレーションからすべての SMTPS コマンドを削除してデフォルト値に戻すには、 clear configure smtps コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、SMTPS コンフィギュレーションを削除する方法を示します。
hostname(config)# clear configure smtps
関連コマンド
|
|
|
|---|---|
clear configure snmp-map
SNMP マップ コンフィギュレーションを消去するには、 clear configure snmp-map コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、SNMP マップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
clear configure snmp-server
簡易ネットワーク管理プロトコル(SNMP)サーバをディセーブルにするには、 clear configure snmp-server コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
この例は、SNMP サーバをディセーブルにする方法を示しています。
hostname #clear snmp-server
関連コマンド
|
|
|
|---|---|
clear configure ssh
実行コンフィギュレーションからすべての SSH コマンドを消去するには、 clear configure ssh コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、コンフィギュレーションからすべての SSH コマンドを消去します。特定のコマンドを消去するには、このコマンドの no 形式を使用します。
例
次の例では、コンフィギュレーションからすべての SSH コマンドを消去します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが SSH Version 1 または SSH Version 2 のいずれかだけを使用するように制限します。 |
clear configure ssl
コンフィギュレーションからすべての SSL コマンドを削除してデフォルト値に戻すには、 clear config ssl コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
• SSL クライアントおよび SSL サーバのバージョンは両方とも any です。
• SSL 暗号化は、3des-sha1 | des-sha1 | rc4-md5 の順序です。
• トラストポイント アソシエーションはありません。セキュリティ アプライアンスはデフォルトの RSA キーペア証明書を使用します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 clear config ssl コマンドの使用方法を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
セキュリティ アプライアンスがサーバとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
clear configure static
コンフィギュレーションからすべての static コマンドを削除するには、 clear configure static コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションからすべての static コマンドを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換規則を設定します。 |
clear configure sunrpc-server
セキュリティ アプライアンスからリモート プロセッサ コール サービスを消去するには、
clear configure sunrpc-server コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure sunrpc-server [active]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
sunrpc-server コマンドは、設定された router ospf コマンドを表示します。
(注) セキュリティ アプライアンス上で最上位の IP アドレスがプライベート アドレスの場合、このアドレスは hello パケットおよびデータベース定義で送信されます。このアクションを防止するには、router-id ip_address をグローバル アドレスに設定します。
例
次の例では、セキュリティ アプライアンスから SunRPC サービスを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure sysopt
すべての sysopt コマンドのコンフィギュレーションを消去するには、 clear configure sysopt コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべての sysopt コマンドのコンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
|
clear configure tcp-map
tcp マップ コンフィギュレーションを消去するには、 clear configure tcp-map コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、TCP マップ コンフィギュレーションを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure telnet
コンフィギュレーションから Telnet 接続およびアイドル タイムアウトを削除するには、
clear configure telnet コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、セキュリティ アプライアンスのコンフィギュレーションから Telnet 接続およびアイドル タイムアウトを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスへの Telnet 接続を使用することを認可されている IP アドレスの現在のリストを表示します。 |
|
clear configure terminal
端末の表示幅設定を消去するには、 clear configure terminal コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear configure timeout
コンフィギュレーションのデフォルトのアイドル状態の継続時間に戻すには、 clear configure timeout コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションからアイドル状態の最大継続時間を削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure tunnel-group
コンフィギュレーションからすべてのまたは指定したトンネルグループを削除するには、 clear config tunnel-group コマンドをグローバル コンフィギュレーション モードで使用します。
clear config tunnel-group [ name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、コンフィギュレーションから toengineering トンネルグループを削除します。
関連コマンド
|
|
|
|---|---|
clear configure url-block
URL 保留ブロック バッファおよび長い URL サポート コンフィギュレーションを消去するには、 clear configure url-block コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure url-block コマンドは、URL 保留ブロック バッファおよび長い URL サポート コンフィギュレーションを消去します。
例
次の例では、URL 保留ブロック バッファおよび長い URL サポート コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
clear configure url-cache
URL キャッシュを消去するには、 clear configure url-cache コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
clear configure url-list
WebVPN ユーザがアクセスできる設定済みの URL のセットを削除するには、 clear configure url-list コマンドをグローバル コンフィギュレーション モードで使用します。設定済みの URL をすべて削除するには、このコマンドを listname 引数なしで使用します。特定のリストの URL だけを削除するには、このコマンドに listname を付けて使用します。
clear configure url-list [ listname ]
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 Marketing URLs という名前の URL リストを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
WebVPN ユーザがアクセスできる URL のセットを設定するには、このコマンドをグローバル コンフィギュレーション モードで使用します。 |
|
特定のグループポリシーまたはユーザの WebVPN URL アクセスをイネーブルにするには、グループポリシーまたはユーザ名モードからアクセスする WebVPN モードでこのコマンドを使用します。 |
clear configure url-server
URL フィルタリング サーバ コンフィギュレーションを消去するには、 clear configure url-server コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure url-server コマンドは、URL フィルタリング サーバ コンフィギュレーションを消去します。
例
次の例では、URL フィルタリング サーバ コンフィギュレーションを消去します。
関連コマンド
clear configure username
ユーザ名データベースを消去するには、 clear configure username コマンドを使用します。特定のユーザのコンフィギュレーションを消去するには、このコマンドを使用し、ユーザ名を付加します。
clear configure username [ name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。
例
次の例では、anyuser という名前のユーザのコンフィギュレーションを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear configure virtual
コンフィギュレーションから認証仮想サーバを削除するには、 clear configure virtual コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、 clear configure virtual コマンドの例を示します。
関連コマンド
|
|
|
セキュリティ アプライアンスが認証プロンプトを提供しないトラフィック タイプの仮想 Telnet サーバを使用してユーザを認証します。 |
clear configure vpn load-balancing
以前に指定した VPN ロードバランシング コンフィギュレーションを削除して、VPN ロードバランシングをディセーブルにするには、 clear configure vpn load-balancing コマンドをグローバル コンフィギュレーション モードで使用します。
clear configure vpn load-balancing
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear configure vpn load-balancing コマンドは、次の関連コマンドも消去します。 cluster encryption 、 cluster ip address 、 cluster key 、 cluster port 、 nat 、 participate 、および priority 。
例
次のコマンドは、コンフィギュレーションから vpn ロードバランシング コンフィギュレーション文を削除します。
関連コマンド
clear console-output
現在キャプチャされているコンソール出力を削除するには、 clear console-output コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、現在キャプチャされているコンソール出力を削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear counters
プロトコル スタック カウンタをクリアするには、 clear counters コマンドをグローバル コンフィギュレーション モードで使用します。
clear counters [all | context context-name | summary | top N ] [ detail ] [protocol protocol_name [: counter_name ]] [ threshold N ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、プロトコル スタック カウンタをクリアする方法を示します。
関連コマンド
|
|
|
|---|---|
clear crashinfo
フラッシュ メモリ内のクラッシュ ファイルの内容を削除するには、 clear crashinfo コマンドを特権 EXEC モードで入力します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次のコマンドは、クラッシュ ファイルを削除する方法を示します。
関連コマンド
clear crypto accelerator statistics
暗号アクセラレータ MIB からグローバルな統計情報およびアクセラレータ固有の統計情報を消去するには、 clear crypto accelerator statistics コマンドをグローバル コンフィギュレーション モードおよび特権 EXEC モードで使用します。
clear crypto accelerator statistics
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号アクセラレータの統計情報を表示します。
関連コマンド
|
|
|
|---|---|
clear crypto ca crls
指定したトラストポイントに関連付けられたすべての CRL の CRL キャッシュを削除、またはすべての CRL の CRL キャッシュを削除するには、 clear crypto ca crls コマンドをグローバル コンフィギュレーション モードで使用します。
clear crypto ca crls [ trustpointname ]
シンタックスの説明
(オプション)トラストポイントの名前。名前を指定しない場合、このコマンドはシステム上のキャッシュされた CRL をすべて消去します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、セキュリティ アプライアンスのすべての CRL からすべての CRL キャッシュを削除します。
関連コマンド
|
|
|
|---|---|
clear [crypto] ipsec sa
IPSec SA のカウンタ、エントリ、暗号マップ、またはピア接続を削除するには、 clear [crypto] ipsec sa コマンドをグローバル コンフィギュレーション モードで使用します。すべての IPSec SA を消去するには、このコマンドを引数なしで使用します。
clear [crypto] ipsec sa [counters | entry { hostname | IP address } {esp | ah} { SPI }| map { map name } | peer { hostname | IP address }]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで発行した次の例では、セキュリティ アプライアンスからすべての IPSec SA を削除します。
グローバル コンフィギュレーション モードで発行した次の例では、10.86.1.1 のピア IP アドレスを持つ SA を削除します。
関連コマンド
|
|
|
|---|---|
clear crypto protocol statistics
暗号アクセラレータ MIB 内のプロトコル固有の統計情報を消去するには、 clear crypto protocol statistics コマンドをグローバル コンフィギュレーション モードまたは特権 EXEC モードで使用します。
clear crypto protocol statistics protocol
シンタックスの説明
統計情報を消去するプロトコルの名前を指定します。指定できるプロトコルは、次のとおりです。 ikev1 :Internet Key Exchange バージョン 1。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号アクセラレータの統計情報をすべて消去します。
関連コマンド
|
|
|
|---|---|
clear dhcpd
DHCP サーバのバインディングおよび統計情報を消去するには、 clear dhcp コマンドを使用します。
clear dhcpd { binding [ IP_address ] | statistics }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear dhcpd binding コマンドに任意の IP アドレスを含めた場合、その IP アドレスのバインディングだけが消去されます。
すべての DHCP サーバ コマンドを消去するには、 clear configure dhcpd コマンドを使用します。
例
次の例では、 dhcpd 統計情報を消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear dhcprelay statistics
DHCP リレー統計情報カウンタをクリアするには、 clear dhcprelay statistics コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear dhcprelay statistics コマンドは、DHCP リレー統計情報カウンタだけをクリアします。DHCP リレー コンフィギュレーション全体を消去するには、 clear configure dhcprelay コマンドを使用します。
例
次の例では、DHCP リレー統計情報を消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear dns-hosts cache
DNS キャッシュを消去するには、 clear dns-hosts cache コマンドを特権 EXEC モードで使用します。このコマンドは、 name コマンドで追加したスタティック エントリを消去しません。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear failover statistics
フェールオーバー統計情報カウンタをクリアするには、 clear failover statistics コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 show failover statistics コマンドで表示される統計情報および show failover コマンド出力の Stateful Failover Logical Update Statistics セクションのカウンタを消去します。フェールオーバー コンフィギュレーションを削除するには、 clear configure failover コマンドを使用します。
例
次の例では、フェールオーバー統計情報カウンタをクリアする方法を示します。
関連コマンド
|
|
|
|---|---|
clear fragment
IP フラグメント再構成モジュールの運用データを消去するには、 clear fragment コマンドを特権 EXEC モードで入力します。このコマンドは、現在キューに入っている再組み立てを待っているフラグメント( queue キーワードが入力されている場合)またはすべての IP フラグメント再構成統計情報( statistics キーワードが入力されている場合)のいずれかを消去します。統計情報は、再組み立てに成功したフラグメント チェーンの数、再組み立てに失敗したチェーンの数、および最大サイズの超過によってバッファのオーバーフローが発生した回数を示すカウンタです。
clear fragment { queue | statistics } [ interface ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、運用データの消去とコンフィギュレーション データの消去を区別するため、 clear fragment と clear configure fragment の 2 つのコマンドに分けられました。 |
例
次の例では、IP フラグメント再構成モジュールの運用データを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear gc
ガーベッジ コレクション プロセスの統計情報を削除するには、 clear gc コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ガーベッジ コレクション プロセスの統計情報を削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear igmp counters
すべての IGMP カウンタをクリアするには、 clear igmp counters コマンドを特権 EXEC モードで使用します。
clear igmp counters [ if_name ]
シンタックスの説明
nameif コマンドで指定されたインターフェイスの名前。このコマンドにインターフェイスの名前を含めると、指定したインターフェイスのカウンタだけがクリアされます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear igmp group
IGMP グループ キャッシュから検出されたグループを消去するには、 clear igmp コマンドを特権 EXEC モードで使用します。
clear igmp group [ group | interface name ]
シンタックスの説明
namif コマンドで指定されたインターフェイスの名前。指定した場合は、インターフェイスに関連付けられたすべてのグループが削除されます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループまたはインターフェイスを指定しない場合は、すべてのインターフェイスからすべてのグループが消去されます。グループを指定した場合は、そのグループのエントリだけが消去されます。インターフェイスを指定した場合は、そのインターフェイスのすべてのグループが消去されます。グループとインターフェイスの両方を指定した場合は、指定したインターフェイスの指定したグループだけが消去されます。
例
次の例では、IGMP グループ キャッシュから検出されたすべての IGMP グループを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear igmp traffic
IGMP トラフィック カウンタをクリアするには、 clear igmp traffic コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、IGMP 統計情報トラフィック カウンタをクリアします。
関連コマンド
|
|
|
|---|---|
clear interface
インターフェイス統計情報を消去するには、 clear interface コマンドを特権 EXEC モードで使用します。
clear interface [ physical_interface [ . subinterface ] | mapped_name | interface_name ]
シンタックスの説明
(オプション)マルチ コンテキスト モードで、マッピング名を |
|
(オプション)インターフェイス ID( gigabit ethernet0/1 など)を指定します。使用できる値については、 interface コマンドを参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear interface コマンドは、入力バイト数以外のインターフェイスの統計情報をすべてクリアします。インターフェイス統計情報の詳細については、 show interface コマンドを参照してください。
インターフェイスがコンテキスト間で共有されている場合にコンテキスト内でこのコマンドを入力すると、セキュリティ アプライアンスは現在のコンテキストの統計情報だけを消去します。システム実行スペースでこのコマンドを入力した場合、セキュリティ アプライアンスは結合された統計情報を消去します。
インターフェイス名をシステム実行スペースで使用することはできません。これは、 nameif コマンドはコンテキスト内でのみ使用できるためです。同様に、 allocate-interface コマンドを使用してインターフェイス ID をマッピング名にマッピングした場合、そのマッピング名はコンテキスト内でのみ使用できます。
例
関連コマンド
|
|
|
|---|---|
clear ip audit count
監査ポリシーの一致するシグニチャ数を消去するには、 clear ip audit count コマンドを特権 EXEC モードで使用します。
clear ip audit count [ global | interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
clear ip verify statistics
Unicast RPF 統計情報を消去するには、 clear ip verify statistics コマンドを特権 EXEC モードで使用します。Unicast RPF をイネーブルにするには、 ip verify reverse-path コマンドを参照してください。
clear ip verify statistics [ interface interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
Unicast Reverse Path Forwarding 機能をイネーブルにして IP スプーフィングを防止します。 |
|
clear ipsec sa
IPSec SA を完全に消去、または指定したパラメータに基づいて消去するには、 clear ipsec sa コマンドをグローバル コンフィギュレーション モードおよび特権 EXEC モードで使用します。代替の形式 clear crypto ipsec sa も使用できます。
clear ipsec sa [ counters | entry peer-addr protocol spi | peer peer-addr | map map-name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、すべての IPSec SA カウンタをクリアします。
関連コマンド
|
|
|
|---|---|
clear ipv6 access-list counters
IPv6 アクセスリスト統計情報カウンタをクリアするには、 clear ipv6 access-list counters コマンドを特権 EXEC モードで使用します。
clear ipv6 access-list id counters
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、IPv6 アクセスリスト 2 の統計情報データを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear ipv6 neighbors
IPv6 近隣探索キャッシュを消去するには、 clear ipv6 neighbors コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、スタティック エントリを除く、IPv6 近隣探索キャッシュ内のすべてのエントリを削除します。
関連コマンド
|
|
|
|---|---|
clear ipv6 traffic
IPv6 トラフィック カウンタをリセットするには、 clear ipv6 traffic コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、IPv6 トラフィック カウンタをリセットします。 ipv6 traffic コマンドからの出力は、カウンタがリセットされることを示します。
関連コマンド
|
|
|
|---|---|
clear isakmp sa
すべての IKE ランタイム SA データベースを削除するには、 clear isakmp sa コマンドをグローバル コンフィギュレーション モードまたは特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、コンフィギュレーションから IKE ランタイム SA データベースを削除します。
関連コマンド
|
|
|
|---|---|
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上の ISAKMP ネゴシエーションをイネーブルにします。 |
|
clear local-host
show local-host コマンドを入力することによって表示されるローカル ホストからネットワーク接続を解放するには、 clear local-host コマンドを特権 EXEC モードで使用します。
clear local-host [ ip_address ] [ all ]
シンタックスの説明
(オプション)セキュリティ アプライアンスへの接続およびセキュリティ アプライアンスからの接続を含むローカル ホスト状態のホストが作成した接続を消去することを指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear local-host コマンドは、クリアされたホストをライセンス制限から除外します。ライセンス制限にカウントされているホストの数は、 show local-host コマンドを入力して表示できます。
例
次の例では、clear local-host コマンドでローカル ホストに関する情報を消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear logging asdm
ASDM ロギング バッファを消去するには、 clear logging asdm コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 show pdm logging コマンドから show asdm log コマンドに変更されました。 |
使用上のガイドライン
ASDM syslog メッセージは、セキュリティ アプライアンス syslog メッセージとは別のバッファに保存されます。ASDM ロギング バッファを消去すると、ASDM syslog メッセージだけが消去されます。セキュリティ アプライアンスのシステム メッセージは消去されません。ASDM syslog メッセージを表示するには、 show asdm log コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
clear logging buffer
ロギング バッファを消去するには、 clear logging buffer コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
この例は、SNMP サーバをディセーブルにする方法を示しています。
hostname #clear logging buffer
関連コマンド
|
|
|
|---|---|
clear mac-address-table
ダイナミック MAC アドレス テーブル エントリを消去するには、 clear mac-address-table コマンドを特権 EXEC モードで使用します。
clear mac-address-table [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ダイナミック MAC アドレス テーブル エントリを消去します。
関連コマンド
|
|
|
|---|---|
clear memory profile
メモリ プロファイリング機能によって保持されるメモリ バッファを消去するには、 clear memory profile コマンドを特権 EXEC コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear memory profile コマンドはプロファイリング機能によって保持されるメモリ バッファを解放するため、消去する前にプロファイリングを停止する必要があります。
例
次の例では、プロファイリング機能によって保持されるメモリ バッファを消去します。
関連コマンド
|
|
|
|---|---|
clear mfib counters
MFIB ルータ パケット カウンタをクリアするには、 clear mfib counters コマンドを特権 EXEC モードで使用します。
clear mfib counters [ group [ source ]]
シンタックスの説明
(オプション)マルチキャスト ルート送信元の IP アドレス。これは、4 分割ドット 10 進表記のユニキャスト IP アドレスです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべての MFIB ルート カウンタをクリアします。
関連コマンド
|
|
|
|---|---|
clear module recover
hw-module module recover コマンドで設定された AIP SSM のリカバリ ネットワーク設定を消去するには、 clear module recover コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear ospf
OSPF プロセス情報を消去するには、 clear ospf コマンドを特権 EXEC モードで使用します。
clear ospf [ pid ] { process | counters [ neighbor [ neighbor-intf ] [ neighbr-id ]]}
シンタックスの説明
(オプション)OSPF ルーティング プロセス用に内部的に使用される ID パラメータ。有効値は、1 ~ 65535 です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドはコンフィギュレーションのいずれの部分も削除しません。コンフィギュレーションから特定のコマンドを消去するには、コンフィギュレーション コマンドの no 形式を使用します。または、コンフィギュレーションからすべてのグローバル OSPF コマンドを削除するには、 clear configure router ospf コマンドを使用します。
(注) clear configure router ospf コマンドは、インターフェイス コンフィギュレーション モードで入力された OSPF コマンドを消去しません。
例
次の例では、OSPF プロセス カウンタをクリアする方法を示します。
関連コマンド
|
|
|
|---|---|
clear pim counters
PIM のカウンタおよび統計情報を消去するには、 clear pim counters コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、PIM の統計情報およびカウンタをすべてクリアします。
関連コマンド
|
|
|
|---|---|
clear pim reset
リセットによって MRIB の同期化を強制するには、 clear pim reset コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トポロジ テーブルからのすべての情報が消去され、MRIB 接続がリセットされます。このコマンドは、PIM トポロジ テーブルと MRIB データベース間の状態を同期化するために使用できます。
例
次の例では、トポロジ テーブルを消去し、MRIB 接続をリセットします。
関連コマンド
|
|
|
|---|---|
clear pim topology
PIM トポロジ テーブルを消去するには、 clear pim topology コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、PIM トポロジ テーブルから既存の PIM ルートを消去します。IGMP ローカル メンバーシップなど、MRIB テーブルから取得した情報は保持されます。マルチキャスト グループを指定した場合は、それらのグループ エントリだけが消去されます。
例
関連コマンド
|
|
|
|---|---|
clear priority-queue statistics
インターフェイスまたは設定されたすべてのインターフェイスのプライオリティキュー統計情報カウンタをクリアするには、 clear priority-queue statistics コマンドをグローバル コンフィギュレーション モードまたは特権 EXEC モードで使用します。
clear priority-queue statistics [ interface-name ]
シンタックスの説明
デフォルト
インターフェイス名を省略した場合、このコマンドは設定されたすべてのインターフェイスのプライオリティキュー統計情報を消去します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、 clear priority-queue statistics コマンドを特権 EXEC モードで使用して、「test」という名前のインターフェイスのプライオリティキュー統計情報を削除します。
関連コマンド
|
|
|
clear resource usage
リソース使用状況の統計情報を消去するには、 clear resource usage コマンドを特権 EXEC モードで使用します。
clear resource usage [ context context_name | all | summary ] [ resource { resource_name | all }]
シンタックスの説明
デフォルト
マルチ コンテキスト モードの場合、デフォルトのコンテキストは all です。これを指定することにより、すべてのコンテキストのリソース使用状況が消去されます。シングルモードの場合、コンテキスト名は無視され、すべてのリソース統計情報が消去されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
clear route
コンフィギュレーションからダイナミックにラーニングされたルートを削除するには、 clear route コマンドを特権 EXEC モードで使用します。
clear route [ interface_name ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ダイナミックにラーニングされたルートを削除する方法を示します。
関連コマンド
|
|
|
|---|---|
clear service-policy
イネーブルになっているポリシーの運用データまたは統計情報(存在する場合)を消去するには、 clear service-policy コマンドをグローバル コンフィギュレーション モードで使用します。
clear service-policy [global | interface intf | inspect ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス名が指定されている場合、ポリシーマップはそのインターフェイスだけに適用されます。インターフェイス名は nameif コマンドで定義され、インターフェイス ポリシーマップはグローバル ポリシーマップを上書きします。1 つのインターフェイスにつき 1 つのポリシーマップだけを適用できます。
例
次の例では、 clear service-policy コマンドのシンタックスを示します。
関連コマンド
|
|
|
|---|---|
clear service-policy inspect gtp
グローバル GTP 統計情報を消去するには、 clear service-policy inspect gtp コマンドを特権 EXEC モードで使用します。
clear service-policy inspect gtp { pdp-context [ all | apn ap_name | imsi IMSI_value | ms-addr IP_address | tid tunnel_ID | version version_num ] | requests | statistics [ gsn IP_address ] }
シンタックスの説明.
(オプション)GPRS ワイヤレス データ ネットワークと他のネットワーク間のインターフェイスである GPRS サポート ノードを指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パケット データ プロトコル コンテキストは、IMSI と NSAPI の組み合せであるトンネル ID によって識別されます。GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、パケットを外部パケット データ ネットワークとモバイル ステーション(MS)ユーザの間で転送するために必要なものです。
例
関連コマンド
|
|
|
|---|---|
clear shun
現在イネーブルであるすべての排除をディセーブルにして、排除統計情報を消去するには、 clear shun コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、現在イネーブルであるすべての排除をディセーブルにして、排除統計情報を消去する方法を示します。
関連コマンド
|
|
|
|---|---|
新しい接続を阻止し、既存の接続からのパケットを拒否することによって、攻撃ホストへのダイナミックな応答をイネーブルにします。 |
|
clear sunrpc-server active
Sun RPC アプリケーション検査によって開けられたピンホールを消去するには、 clear sunrpc-server active コマンドをグローバル コンフィギュレーション モードで使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Sun RPC アプリケーション検査によって開けられた、NFS や NIS などのサービス トラフィックがセキュリティ アプライアンスを通過できるようにするピンホールを消去するには、
clear sunrpc-server active コマンドを使用します。
例
次の例では、Sun RPC サービス テーブルを消去する方法を示します。
関連コマンド
|
|
|
|---|---|
clear traffic
送信アクティビティおよび受信アクティビティのカウンタをリセットするには、 clear traffic コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear traffic コマンドは、 show traffic コマンドで表示される送信アクティビティおよび受信アクティビティのカウンタをリセットします。このカウンタは、最後に clear traffic コマンドが入力されてから、またはセキュリティ アプライアンスがオンラインになってから、各インターフェイスを通過したパケット数およびバイト数を示します。秒数は、最後にリブートされてからセキュリティ アプライアンスがオンラインである時間を示します。
例
次に、 clear traffic コマンドの例を示します。
関連コマンド
|
|
|
|---|---|
clear uauth
1 人のユーザまたはすべてのユーザのすべてのキャッシュされた認証および認可情報を削除するには、 clear uauth コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear uauth コマンドは、1 人のユーザまたはすべてのユーザの AAA 認可および認証キャッシュを削除します。したがって、ユーザは、次回接続を作成するときに強制的に再認証されます。
各ユーザ ホストの IP アドレスには、認可キャッシュが付加されます。ユーザが適切なホストから、キャッシュされたサービスにアクセスしようとすると、セキュリティ アプライアンスはユーザを認可済みであると見なし、すぐに接続を代理処理します。ある Web サイトへのアクセスを一度認可されると、たとえば、イメージを読み込むときに、各イメージごとに認可サーバと通信しません(イメージが同じ IP アドレスからであると想定されます)。このプロセスにより、認可サーバ上でパフォーマンスが大幅に向上し、負荷も大幅に軽減されます。
ユーザ ホストごとにアドレスとサービスのペアを最大 16 個までキャッシュできます。
(注) Xauth をイネーブルにすると、クライアントに割り当てられている IP アドレスのエントリが uauth テーブル(show uauth コマンドで表示できます)に追加されます。ただし、Xauth を Easy VPN Remote 機能とともにネットワーク拡張モードで使用すると、ネットワーク間に IPSec トンネルが作成されるため、ファイアウォールの向こう側にいるユーザを 1 つの IP アドレスに関連付けることができません。したがって、Xauth の完了時に uauth エントリが作成されません。AAA 認可またはアカウンティング サービスが必要な場合は、AAA 認証プロキシをイネーブルにして、ファイアウォールの背後のユーザを認証できます。AAA 認証プロキシの詳細については、AAA コマンドを参照してください。
ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての認可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。
例
次の例では、ユーザ「Lee」が再認証されるようにする方法を示します。
関連コマンド
|
|
|
aaa-server コマンドで指定されたサーバ上の LOCAL、TACACS+、または RADIUS のユーザ認証をイネーブル化、ディセーブル化、または表示します。 |
|
aaa-server コマンドで指定されたサーバ上の TACACS+ または RADIUS のユーザ認可をイネーブル化、ディセーブル化、または表示します。 |
|
clear url-block block statistics
ブロック バッファ使用状況カウンタをクリアするには、clear url-block block statistics コマンドを特権 EXEC モードで使用します。
clear url-block block statistics
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear url-block block statistics コマンドは、 Current number of packets held (global) カウンタ以外のブロック バッファ使用状況カウンタをクリアします。
例
次の例では、URL ブロック統計情報を消去し、消去後のカウンタの状態を表示します。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
clear url-cache statistics
コンフィギュレーションから url-cache コマンド文を削除するには、clear url-cache コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear url-cache コマンドは、コンフィギュレーションから url-cache 統計情報を削除します。
URL キャッシュを使用しても、Websense プロトコル Version 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル Version 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティの要求に合致する使用状況プロファイルを取得した後、 | url-cache コマンドを入力してスループットを向上させます。Websense プロトコル Version 4 および N2H2 URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログがアップデートされます。
例
関連コマンド
clear url-server
URL フィルタリング サーバの統計情報を消去するには、clear url-server コマンドを特権 EXEC モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear url-server コマンドは、コンフィギュレーションから URL フィルタリング サーバの統計情報を削除します。
例
関連コマンド
clear xlate
現在の変換情報および接続情報を消去するには、 clear xlate コマンドを特権 EXEC モードで使用します。
clear xlate [ global ip1 [ - ip2 ] [ netmask mask ]] [ local ip1 [ - ip2 ] [ netmask mask ]] [ gport port1 [ - port2 ]] [ lport port1 [ - port2 ]] [ interface if_name ] [ state state ]
シンタックスの説明
(オプション)アクティブな変換を状態別に消去します。次の状態を 1 つまたは複数入力できます。 • |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clear xlate コマンドは、変換スロットの内容を消去します(「xlate」は変換スロットを意味します)。変換スロットは、キーの変更後も残ります。コンフィギュレーション内で aaa-server 、 access-list 、alias、global、nat、route、または static コマンドを追加、変更、または削除した後には、必ず clear xlate コマンドを使用します。
xlate は、NAT または PAT セッションを示します。これらのセッションは、 detail オプションの show xlate コマンドで表示できます。xlate には、スタティックとダイナミックの 2 種類があります。
スタティック xlate は、 static コマンドを使用して作成される固定の xlate です。スタティック xlate は、コンフィギュレーションから static コマンドを削除することによってのみ削除できます。 clear xlate は、スタティック変換規則を削除しません。コンフィギュレーションから static コマンドを削除しても、スタティック規則を使用する既存の接続はトラフィックを転送できます。これらの接続を無効にするには、 clear local-host を使用します。
ダイナミック xlate は、 nat または global コマンドを使用して、トラフィック処理によってオンデマンドで作成されます。 clear xlate は、ダイナミック xlate および関連付けられた接続を削除します。また、 clear local-host コマンドを使用して、xlate および関連付けられた接続を消去することもできます。コンフィギュレーションから nat または global コマンドを削除しても、ダイナミック xlate および関連付けられた接続はアクティブのままとなる場合があります。これらの接続を削除するには、 clear xlate または clear local-host コマンドを使用します。
例
次の例では、現在の変換スロット情報および接続スロット情報を消去する方法を示します。
関連コマンド
|
|
|
|---|---|
client-access-rule
リモートアクセス クライアントのタイプを制限する規則およびセキュリティ アプライアンスを通して IPSec 経由で接続できるバージョンを設定するには、 client-access-rule コマンドをグループポリシー コンフィギュレーション モードで使用します。規則を削除するには、このコマンドの no 形式を使用します。
すべての規則を削除するには、 no client-access-rule コマンドの priority 引数だけを指定して使用します。この指定により、 client-access-rule none コマンドを入力して作成されたヌル規則を含む、設定されたすべての規則が削除されます。
クライアントのアクセス規則がない場合、ユーザはデフォルトのグループポリシー内に存在するすべての規則を継承します。ユーザがクライアントのアクセス規則を継承しないようにするには、 client-access-rule none コマンドを使用します。クライアントのアクセス規則を継承しない場合、すべてのクライアント タイプおよびバージョンに接続できます。
client-access-rul e priority {permit | deny} type type version version | none
no client-access-rul e priority [ {permit | deny} type type version version ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• 規則を定義しない場合、セキュリティ アプライアンスはすべての接続タイプを許可します。
• クライアントが規則のいずれにも一致しない場合、セキュリティ アプライアンスは接続を拒否します。つまり deny 規則を定義する場合は、少なくとも 1 つの permit 規則も定義する必要があります。permit 規則を定義しないと、セキュリティ アプライアンスはすべての接続を拒否します。
• ソフトウェア クライアントとハードウェア クライアントのどちらも、タイプおよびバージョンが show vpn-sessiondb remote 表示の外観と完全に一致する必要があります。
• * 記号はワイルドカードで、各規則内で複数回使用できます。たとえば、 client-access-rul e 3 deny type * version 3.* は、リリース バージョン 3.x ソフトウェアを実行しているすべてのクライアント タイプを拒否する優先順位 3 のクライアントのアクセス規則を作成します。
例
次の例では、FirstGroup という名前のグループポリシーのクライアントのアクセス規則を作成する方法を示します。これらの規則は、ソフトウェア バージョン 4.1 を実行している VPN クライアントを許可する一方、すべての VPN 3002 ハードウェア クライアントを拒否します。
client-firewall
セキュリティ アプライアンスが IKE トンネル ネゴシエーション中に VPN クライアントにプッシュするパーソナル ファイアウォール ポリシーを設定するには、 client-firewall コマンドをグループポリシー コンフィギュレーション モードで使用します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を使用します。
ファイアウォール ポリシーがない場合、ユーザはデフォルトまたはその他のグループポリシー内に存在するすべてのファイアウォール ポリシーを継承します。ユーザがそれらのファイアウォール ポリシーを継承しないようにするには、 client-firewall none コマンドを使用します。
client-firewall opt | req custom vendor-id num product-id num policy AYT | {CPP acl-in ACL acl-out ACL } [description string ]
client-firewall opt | req zonelabs-zonealarm policy AYT | {CPP acl-in ACL acl-out ACL }
client-firewall opt | req zonelabs-zonealarmorpro policy AYT | {CPP acl-in ACL acl-out ACL }
client-firewall opt | req zonelabs-zonealarmpro policy AYT | {CPP acl-in ACL acl-out ACL }
client-firewall opt | req cisco-integrated acl-in ACL acl-out ACL
client-firewall opt | req sygate-personal
client-firewall opt | req sygate-personal-pro
client-firewall opt | req sygate-security-agent
client-firewall opt | req networkice-blackice
client-firewall opt | req cisco-security-agent
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループポリシーの Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示します。
client-update
クライアント アップデート パラメータを設定および変更するには、 client-update コマンドをトンネルグループ ipsec アトリビュート コンフィギュレーション モードで使用します。クライアントがリビジョン番号のリストにあるソフトウェア バージョンをすでに実行している場合は、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していない場合は、アップデートする必要があります。これらのクライアント アップデートのエントリは最大 4 つまで指定できます。
クライアント アップデートをディセーブルにするには、このコマンドの no 形式を使用します。
client-update type type { url url-string } { rev-nums rev-nums }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
config-ipsec コンフィギュレーション モードで入力した次の例では、remotegrp という名前のリモートアクセス トンネルグループのクライアント アップデート パラメータを設定します。リビジョン番号 4.6.1、および更新を取得する URL(https://support/updates)を指定します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
clock set
セキュリティ アプライアンスのクロックを手動で設定するには、 clock set コマンドを特権 EXEC モードで使用します。
clock set hh : mm : ss { month day | day month } year
シンタックスの説明
1 ~ 31 の日を設定します。たとえば、標準の日付形式に応じて、月日を april 1 や 1 april のように入力できます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clock コンフィギュレーション コマンドを入力していない場合、 clock set コマンドのデフォルトの時間帯は UTC です。 clock timezone コマンドを使用して clock set コマンドを入力した後に時間帯を変更した場合、時間は自動的に新しい時間帯に調整されます。ただし、 clock timezone コマンドを使用して時間帯を確立した後に clock set コマンドを入力した場合は、UTC ではなく新しい時間帯に応じた時間を入力します。同様に、 clock set コマンドの後に clock summer-time コマンドを入力した場合、時間は夏時間に調整されます。 clock summer-time コマンドの後に clock set コマンドを入力した場合は、夏時間の正しい時間を入力します。
このコマンドはハードウェア チップ内の時間を設定しますが、コンフィギュレーション ファイル内の時間は保存しません。この時間はリブート後も保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、 clock set コマンドに新しい時間を設定する必要があります。
例
次の例では、時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定し、MDT の現在の時間を西暦 2004 年 7 月 27 日の 午後 1 時 15 分に設定します。
次の例では、クロックを UTC 時間帯で西暦 2004 年 7 月 27 日の 8 時 15 分に設定し、次に時間帯を MST に、夏時間を米国のデフォルト期間に設定します。終了時間(MDT の 1 時 15 分)は上記の例と同じです。
関連コマンド
|
|
|
|---|---|
clock summer-time
セキュリティ アプライアンスの時間の表示用に夏時間の日付範囲を設定するには、
clock summer-time コマンドをグローバル コンフィギュレーション モードで使用します。夏時間の日付をディセーブルにするには、このコマンドの no 形式を使用します。
clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]
no clock summer-time [ zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]]
clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]
no clock summer-time [ zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
南半球の場合、セキュリティ アプライアンスは、たとえば 10 月から 3 月のように、開始月が終了月よりも後に来ることを受け入れます。
例
国によっては、夏時間は特定の日付に開始されます。次の例では、夏時間を西暦 2004 年 4 月 1 日午前 3 時に開始し、西暦 2004 年 10 月 1 日午前 4 時に終了するように設定します。
関連コマンド
|
|
|
|---|---|
clock timezone
セキュリティ アプライアンスのクロックの時間帯を設定するには、 clock timezone コマンドをグローバル コンフィギュレーション モードで使用します。時間帯を UTC のデフォルトに戻すには、このコマンドの no 形式を使用します。 clock set コマンドまたは NTP サーバから生成された時間は、時間を UTC で設定します。このコマンドを使用して、時間帯を UTC のオフセットとして設定する必要があります。
clock timezone zone [ - ] hours [ minutes ]
no clock timezone [ zone [ - ] hours [ minutes ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、時間帯を UTC から -8 時間の太平洋標準時間に設定します。
関連コマンド
|
|
|
|---|---|
cluster encryption
仮想ロードバランシング クラスタ上で交換されるメッセージの暗号化をイネーブルにするには、 cluster encryption コマンドを VPN ロードバランシング モードで使用します。暗号化をディセーブルにするには、このコマンドの no 形式を使用します。
(注) VPN ロードバランシングには、アクティブな 3DES または AES ライセンスが必要です。セキュリティ アプライアンスは、ロードバランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。有効な 3DES ライセンスまたは AES ライセンスが検出されなかった場合、セキュリティ アプライアンスはロードバランシングをイネーブルにしません。また、ライセンスで許可されていない限り、ロードバランシング システムが 3DES の内部設定を行わないようにします。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、仮想ロードバランシング クラスタ上で交換されるメッセージの暗号化のオンとオフを切り替えます。
cluster encryption コマンドを設定する前に、まず vpn load-balancing コマンドを使用して VPN ロードバランシング モードに入る必要があります。また、クラスタの暗号化をイネーブルにする前に、 cluster key コマンドを使用してクラスタ共有秘密鍵も設定する必要があります。
(注) 暗号化を使用する場合は、最初にコマンド isakmp enable inside を設定する必要があります。ここで、inside は、ロードバランシングの内部インターフェイスです。ロードバランシングの内部インターフェイスで isakmp がイネーブルでない場合は、クラスタの暗号化を設定しようとすると、エラー メッセージが表示されます。
例
次に、仮想ロードバランシング クラスタの暗号化をイネーブルにする cluster encryption コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster ip address
仮想ロードバランシング クラスタの IP アドレスを設定するには、 cluster ip address コマンドを VPN ロードバランシング モードで使用します。IP アドレスの指定を削除するには、このコマンドの no 形式を使用します。
no cluster ip address [ ip-address ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して VPN ロードバランシング モードに入り、仮想クラスタ IP アドレスが指すインターフェイスを設定する必要があります。
cluster ip address は、仮想クラスタを設定しているインターフェイスと同じサブネット上にある必要があります。
このコマンドの no 形式では、オプションの ip-address 値を指定した場合、その値は no cluster ip address コマンドが完了される前に、既存のクラスタの IP アドレスと一致する必要があります。
例
次に、仮想ロードバランシング クラスタの IP アドレスを 209.165.202.224 に設定する cluster ip address コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster key
仮想ロードバランシング クラスタ上で交換される IPSec サイトツーサイト トンネルの共有秘密を設定するには、 cluster key コマンドを VPN ロードバランシング モードで使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no cluster key [ shared-secret ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。クラスタの暗号化には、 cluster key コマンドで定義されたシークレットも使用されます。
共有秘密を設定するには、クラスタの暗号化をイネーブルにする前に cluster key コマンドを使用する必要があります。
このコマンドの no cluster key 形式で shared-secret の値を指定した場合、共有秘密の値は既存のコンフィギュレーションと一致する必要があります。
例
次に、仮想ロードバランシング クラスタの共有秘密を 123456789 に設定する cluster key コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster port
仮想ロードバランシング クラスタの UDP ポートを設定するには、 cluster port コマンドを VPN ロードバランシング モードで使用します。ポートの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。
任意の有効な UDP ポート番号を指定できます。範囲は 1 ~ 65535 です。
このコマンドの no cluster port 形式で port の値を指定した場合、指定したポート番号は既存の設定済みのポート番号と一致する必要があります。
例
次に、仮想ロードバランシング クラスタの UDP ポートを 9023 に設定する cluster port address コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
command-alias
コマンドのエイリアスを作成するには、 command-alias コマンドをグローバル コンフィギュレーション モードで使用します。エイリアスを削除するには、このコマンドの no 形式を使用します。コマンド エイリアスを入力すると、元のコマンドが実行されます。たとえば、コマンド エイリアスを作成して、長いコマンドのショートカットにすることもできます。
command-alias mode command_alias original_command
no command-alias mode command_alias original_command
シンタックスの説明
たとえば、 exec (ユーザおよび特権 EXEC モードの場合)、 configure 、 interface などの、コマンド エイリアスを作成するコマンド モードを指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
任意のコマンドの最初の部分のエイリアスを作成し、さらに通常どおりキーワードと引数を入力できます。
CLI ヘルプを使用する場合、コマンド エイリアスはアスタリスク(*)で示され、次の形式で表示されます。
たとえば、 lo コマンド エイリアスは、次のように、「lo」で始まる他の特権 EXEC モードのコマンドとともに表示されます。
同じエイリアスを別のモードで使用できます。たとえば、次のように、「happy」を特権 EXEC モードとコンフィギュレーション モードで異なるコマンドのエイリアスに使用できます。
コマンドだけを表示し、エイリアスを省略するには、入力行の先頭にスペースを入力します。また、コマンド エイリアスを避けるには、コマンドを入力する前にスペースを使用します。次の例では、happy? コマンドの前にスペースがあるため、エイリアス happy は表示されません。
コマンドと同様に、CLI ヘルプを使用して、コマンド エイリアスの後に続く引数およびキーワードを表示できます。
完全なコマンド エイリアスを入力する必要があります。短縮されたエイリアスは使用できません。次の例では、パーサーはコマンド hap を、エイリアス happy を示しているとは認識しません。
例
次の例では、 copy running-config startup-config コマンドに対して「 save 」という名前のコマンド エイリアスを作成する方法を示します。
関連コマンド
|
|
|
|---|---|
command-queue
応答を待つキューに入る MGCP コマンドの最大数を指定するには、 command-queue コマンドを MGCP マップ コンフィギュレーション モードで使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
応答を待つキューに入る MGCP コマンドの最大数を指定するには、 command-queue コマンドを使用します。許容値の範囲は、1 ~ 4,294,967,295 です。デフォルトは 200 です。限度に到達していて新しいコマンドが着信すると、最も長時間キューに入っているコマンドが削除されます。
例
次の例では、MGCP コマンド キューを 150 コマンドに制限します。
関連コマンド
|
|
|
|---|---|
MGCP メディア接続のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP メディア接続が終了します。 |
|
MGCP PAT xlate のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP PAT xlate が削除されます。 |
compatible rfc1583
RFC 1583 単位のサマリー ルート コスト計算で使用した方式に戻すには、 compatible rfc1583 コマンドをルータ コンフィギュレーション モードで使用します。RFC 1583 互換性をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、RFC 1583 互換ルート サマリー コスト計算をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
config-register
次にセキュリティ アプライアンスをリロードするときに使用されるコンフィギュレーション レジスタ値を設定するには、 config-register コマンドをグローバル コンフィギュレーション モードで使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、ASA 5500 適応型セキュリティ アプライアンスでのみサポートされています。コンフィギュレーション レジスタ値は、ブート イメージおよび他のブート パラメータを決定します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
5 つの文字には、右から左へ 0 ~ 4 の番号が付けられています。これは、16 進数および 2 進数の規格です。各文字に対して 1 つの値を選択し、必要に応じて値を組み合せたり一致させたりできます。たとえば、文字番号 3 に対して 0 または 2 を選択できます。値によっては、他の値と競合した場合に優先するものがあります。たとえば、セキュリティ アプライアンスを TFTP サーバとローカル イメージの両方からブートするよう設定する 0x2011 を設定する場合、セキュリティ アプライアンスは TFTP サーバからブートします。この値は TFTP のブートが失敗した場合、セキュリティ アプライアンスが直接 ROMMON でブートすることも定めているため、デフォルト イメージからブートすることを指定したアクションは無視されます。
0 の値は、他に指定されていなければ、アクションを実行しないことを意味します。
表 3-1 に、各 16 進文字に関連付けられたアクションを一覧表示します。各文字に対して 1 つの値を選択します。
|
|
|
||||
|---|---|---|---|---|---|
| 01 |
02 |
||||
| 起動中に |
セキュリティ アプライアンスを TFTP サーバからブートするように設定し、ブートが失敗した場合、この値は直接 |
ROMMON ブート パラメータ(存在する場合は、 boot system tftp コマンドと同じ)で指定されたように TFTP サーバ イメージからブートします。この値は、文字 1 に設定された値に優先します。 |
最初の boot system local_flash コマンドで指定されたイメージをブートします。そのイメージが読み込まれない場合、セキュリティ アプライアンスは、正常にブートするまで後続の boot system コマンドで指定された各イメージのブートを試行します。 |
||
| 特定の boot system local_flash コマンドで指定されたイメージをブートします。値が 3 であると最初の boot system コマンドで指定されたイメージがブートされ、値が 5 であると 2 番目のイメージがブートされます(以降同様)。 イメージが正常にブートしない場合、セキュリティ アプライアンスは他の boot system コマンド イメージ(値 1 と値 3 の使用の違い)に戻ることを試行しません。ただし、セキュリティ アプライアンスには、ブートが失敗した場合に内部フラッシュ メモリのルート ディレクトリ内で検出されたいずれかのイメージからブートを試行するフェールセーフ機能があります。フェールセーフ機能を有効にしない場合は、ルート以外のディレクトリにイメージを保存します。 |
|||||
| 43 |
ROMMON から、引数なしで boot コマンドを入力した場合、セキュリティ アプライアンスは特定の boot system local_flash コマンドで指定されたイメージをブートします。値が 3 であると最初の boot system コマンドで指定されたイメージがブートされ、値が 5 であると 2 番目のイメージがブートされます(以降同様)。この値はイメージを自動的にブートしません。 |
||||
| 2.文字番号 0 および 1 がイメージを自動的にブートするように設定されていない場合、セキュリティ アプライアンスは直接 ROMMON でブートします。 3.service password-recovery コマンドを使用してパスワードを回復できなくした場合は、スタートアップ コンフィギュレーションを無視するようにコンフィギュレーション レジスタを設定できません。 |
コンフィギュレーション レジスタ値はスタンバイ装置に複製されませんが、アクティブ装置にコンフィギュレーション レジスタを設定すると、次の警告が表示されます。
また、 confreg コマンドを使用して、コンフィギュレーション レジスタ値を ROMMON で設定することもできます。
例
次の例では、デフォルト イメージからブートするようにコンフィギュレーション レジスタを設定します。
関連コマンド
|
|
|
|---|---|
configure factory-default
コンフィギュレーションを工場出荷時のデフォルトに戻すには、 configure factory-default コマンドをグローバル コンフィギュレーション モードで使用します。工場出荷時のデフォルト コンフィギュレーションは、シスコによって新しいセキュリティ アプライアンスに適用されたコンフィギュレーションです。このコマンドは、すべてのプラットフォームでサポートされているわけではありません。コマンドがサポートされているかどうかを確認するには、 configure コマンドの CLI ヘルプを参照してください(グローバル コンフィギュレーション プロンプトで configure ? を入力します)。工場出荷時のデフォルト コンフィギュレーションは管理用のインターフェイスを自動的に設定するため、ASDM を使用して接続し、その後コンフィギュレーションを完了できます。
configure factory-default [ ip_address [ mask ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
configure factory-default コマンドは、ASDM を使用してセキュリティ アプライアンスに接続するために必要な最少のコマンドを設定します。このコマンドは、ルーテッド ファイアウォール モードでのみ使用可能です。透過モードはインターフェイスの IP アドレスをサポートしていません。インターフェイス IP アドレスの設定は、このコマンドが行うアクションの 1 つです。また、このコマンドはシングル コンテキスト モードでのみ使用できます。コンフィギュレーションを消去されたセキュリティ アプライアンスには、このコマンドを使用して自動的に設定される定義済みのコンテキストはありません。
このコマンドは現在の実行コンフィギュレーションを消去してから、複数のコマンドを設定します。設定されるインターフェイスはプラットフォームによって異なります。専用の管理インターフェイスがあるプラットフォームの場合、インターフェイスは「management」という名前が付けられます。その他のプラットフォームの場合、設定されるインターフェイスはイーサネット 1 で、「inside」という名前が付けられます。
次のコマンドは、専用の管理インターフェイス Management 0/0 に適用されます(専用の管理インターフェイスがないプラットフォームの場合、インターフェイスはイーサネット 1 です)。
configure factory-default コマンドで IP アドレスを設定した場合、 http コマンドは指定したサブネットを使用します。同様に、 dhcpd address コマンドの範囲は指定したサブネット内のアドレスで構成されます。
工場出荷時のデフォルト コンフィギュレーションに戻した後、 copy running-config startup-config コマンドを使用して内部フラッシュ メモリに保存します。別の位置を設定するように boot config コマンドを設定済みの場合にも、 copy コマンドは、実行コンフィギュレーションをスタートアップ コンフィギュレーションのデフォルト位置に保存します。コンフィギュレーションが消去された場合は、このパスも消去されます。
(注) このコマンドは、boot system コマンドが存在する場合は、残りのコンフィギュレーションとともにこのコマンドも消去します。boot system コマンドを使用すると、外部フラッシュ メモリ カードのイメージを含む特定のイメージからブートできます。工場出荷時のコンフィギュレーションに戻した後、次にセキュリティ アプライアンスをリロードするとき、セキュリティ アプライアンスは内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合はブートしません。
例
次の例では、コンフィギュレーションを工場出荷時のデフォルトにリセットし、IP アドレス 10.1.1.1 をインターフェイスに割り当て、次に新しいコンフィギュレーションをスタートアップ コンフィギュレーションとして保存します。
関連コマンド
|
|
|
|---|---|
configure http
HTTP(S)サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、 configure http コマンドをグローバル コンフィギュレーション モードで使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
configure http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy http running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドを使用できるのはシステム実行スペースに限られるため、 configure http コマンドはコンテキスト内で使用するための代替です。
例
次の例では、コンフィギュレーション ファイルを HTTPS サーバから実行コンフィギュレーションにコピーします。
関連コマンド
|
|
|
|---|---|
configure memory
スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージするには、 configure memory コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
コンフィギュレーションをマージしない場合は、セキュリティ アプライアンスを経由する通信を妨げる実行コンフィギュレーションを消去してから、 configure memory コマンドを入力して新しいコンフィギュレーションを読み込むことができます。
このコマンドは copy startup-config running-config コマンドと同じです。
マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは config-url コマンドで指定した場所にあります。
例
次の例では、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。
関連コマンド
|
|
|
|---|---|
configure net
TFTP サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、 configure net コマンドをグローバル コンフィギュレーション モードで使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
configure net [ server : [ filename ] | : filename ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy tftp running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドを使用できるのはシステム実行スペースに限られるため、 configure net コマンドはコンテキスト内で使用するための代替です。
例
次の例では tftp-server コマンドにサーバとファイル名を設定した後、 configure net コマンドを使用してサーバを上書きします。同じファイル名が使用されています。
次の例では、サーバとファイル名を上書きします。ファイル名へのデフォルト パスは
/tftpboot/configs/config1 です。ファイル名をスラッシュ(/)で始めない場合、パスの /tftpboot/ の部分はデフォルトで含まれます。このパスを上書きし、ファイルも tftpboot にある場合は、tftpboot パスを configure net コマンドに含めます。
次の例では、サーバだけを tftp-server コマンドに設定します。 configure net コマンドはファイル名だけを指定します。
関連コマンド
|
|
|
|---|---|
configure terminal
実行コンフィギュレーションをコマンドラインで設定するには、 configure terminal コマンドを特権 EXEC モードで使用します。このコマンドは、コンフィギュレーションを変更するコマンドを入力できるグローバル コンフィギュレーション モードに入ります。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードに入ります。
関連コマンド
|
|
|
|---|---|
config-url
システムがコンテキスト コンフィギュレーションをダウンロードする URL を指定するには、 config-url コマンドをコンテキスト コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンテキスト URL を追加すると、システムはただちにコンテキストを読み込み実行中になります。
(注) config-url コマンドを入力する前に、allocate-interface コマンドを入力します。セキュリティ アプライアンスは、コンテキスト コンフィギュレーションを読み込む前に、コンテキストにインターフェイスを割り当てる必要があります。コンテキスト コンフィギュレーションには、インターフェイス(interface、nat、global など)を示すコマンドが含まれている場合があります。最初に config-url コマンドを入力した場合、セキュリティ アプライアンスはただちにコンテキスト コンフィギュレーションを読み込みます。コンテキストにインターフェイスを示すコマンドが含まれていない場合、それらのコマンドは失敗します。
ファイル名にファイル拡張子は必要ありませんが、「.cfg」を使用することを推奨します。
管理コンテキスト ファイルは、内部フラッシュ メモリに保存する必要があります。
HTTP または HTTPS サーバからコンテキスト コンフィギュレーションをダウンロードした場合、 copy running-config startup-config コマンドを使用して変更内容をそれらのサーバに保存することはできません。ただし、 copy tftp コマンドを使用して実行コンフィギュレーションを TFTP サーバにコピーできます。
サーバが利用できない、またはファイルがまだ存在しないためにシステムがコンテキスト コンフィギュレーション ファイルを取得できない場合、システムは、コマンドライン インターフェイスでただちに設定できるブランクのコンテキストを作成します。
URL を変更するには、新しい URL で config-url コマンドを再入力します。
セキュリティ アプライアンスは、新しいコンフィギュレーションを現在の実行コンフィギュレーションとマージします。同じ URL を再入力しても、保存されたコンフィギュレーションが実行コンフィギュレーションとマージされます。マージにより、新しいコンフィギュレーションのすべての新しいコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同じ場合、変更は行われません。コマンドが競合する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの効果はコマンドによって異なります。エラーが発生したり、予期しない結果が生じたりすることがあります。実行コンフィギュレーションがブランクの場合(たとえば、サーバが利用不可能でコンフィギュレーションがダウンロードされなかった場合)は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションを消去してから、新しい URL からコンフィギュレーションをリロードすることができます。
例
次の例では、管理コンテキストを「administrator」と設定し、内部フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
console timeout
セキュリティ アプライアンスへのコンソール接続のアイドル タイムアウトを設定するには、
console timeout コマンドをグローバル コンフィギュレーション モードで使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
console timeout コマンドは、セキュリティ アプライアンスへの認証済みのすべてのイネーブル モード ユーザ セッションとコンフィギュレーション モード ユーザ セッションにタイムアウト値を設定します。 console timeout コマンドによって、Telnet タイムアウトや SSH タイムアウトが変更されることはありません。これらのアクセス方式については、それぞれ独自のタイムアウト値が保持されています。
no console timeout コマンドは、コンソール タイムアウト値をデフォルトのタイムアウトの 0 にリセットします。この値は、コンソールがタイムアウトしないことを意味します。
例
次の例では、コンソール タイムアウトを 15 分に設定する方法を示します。
関連コマンド
|
|
|
|---|---|
content-length
HTTP メッセージ本文の長さに基づいて HTTP トラフィックを制限するには、 http-map コマンドを使用してアクセスできる content-length コマンドを HTTP マップ コンフィギュレーション モードで使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。
content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
no content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
シンタックスの説明
バイト数を指定します。許容される範囲は、 min オプションでは 1 ~ 65,535、 max オプションでは 1 ~ 50,000,000 です。 |
|
デフォルト
このコマンドは、デフォルトではディセーブルになっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
content-length コマンドをイネーブルにすると、セキュリティ アプライアンスは設定された範囲内のメッセージだけを許可し、許可しない場合は指定されたアクションを実行します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリを作成するようにするには、 action キーワードを使用します。
例
次の例では、HTTP トラフィックを 100 バイト以上 2,000 バイト以下のメッセージに制限しています。メッセージがこの範囲外の場合、セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
content-type-verification
HTTP メッセージのコンテキスト タイプに基づいて HTTP トラフィックを制限するには、 http-map コマンドを使用してアクセスできる content-type-verification コマンドを HTTP マップ コンフィギュレーション モードで使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
content-type-verification [ match-req-rsp ] action { allow | reset | drop } [ log ]
no content-type-verification [ match-req-rsp ] action { allow | reset | drop } [ log ]
シンタックスの説明
(オプション)HTTP 応答の content-type フィールドが、対応する HTTP 要求メッセージの accept フィールドに一致するかどうかを確認します。 |
|
デフォルト
このコマンドは、デフォルトではディセーブルになっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• ヘッダーの content-type の値が、サポートされているコンテンツ タイプの内部リストにあることを確認します。
• ヘッダーの content-type が、データ内の実際のコンテンツまたはメッセージのエンティティ本体の部分と一致していることを確認します。
• match-req-rsp キーワードは、HTTP 応答の content-type フィールドが、対応する HTTP 要求メッセージの accept フィールドに一致することを確認する追加のチェックをイネーブルにします。
メッセージが上記のいずれかのチェックに合格しなかった場合、セキュリティ アプライアンスは設定されたアクションを実行します。
次に、サポートされているコンテンツ タイプのリストを示します。
このリストの一部のコンテンツ タイプは、対応する正規表現(マジック ナンバー)がないためにメッセージの本体部分で確認できない場合があります。その場合、HTTP メッセージが許可されます。
例
次の例では、HTTP メッセージのコンテンツ タイプに基づいて HTTP トラフィックを制限します。サポートされていないコンテンツ タイプがメッセージに含まれている場合、セキュリティ アプライアンスは TCP 接続を制限し、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
context
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入るには、 context コマンドをグローバル コンフィギュレーション モードで使用します。コンテキストを削除するには、このコマンドの no 形式を使用します。コンテキスト コンフィギュレーション モードでは、コンテキストで使用できるコンフィギュレーション ファイルの URL とインターフェイスを指定できます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
管理コンテキストがない場合(たとえば、コンフィギュレーションを消去した場合)、追加する最初のコンテキストは管理コンテキストである必要があります。管理コンテキストを追加するには、 admin-context コマンドを参照してください。管理コンテキストを指定した後、 context コマンドを入力して管理コンテキストを設定します。
コンテキストは、システム コンフィギュレーションを編集することによってのみ削除できます。現在の管理コンテキストはこのコマンドの no 形式を使用して削除できません。 clear configure context コマンドを使用してすべてのコンテキストを削除した場合のみ削除できます。
例
次の例では、管理コンテキストを「administrator」と設定し、内部フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。
関連コマンド
|
|
|
|---|---|
copy
ファイルをある場所から別の場所にコピーするには、 copy コマンドを使用します。
copy [/ options ] { url | local :[ path ] | running-config | startup-config } { running-config | startup-config | url | local :[ path ]}
no copy [/ options ] { url | local :[ path ] | running-config | startup-config } { running-config | startup-config | url | local :[ path ]}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、そのルーティング テーブル情報によって、( tftp_pathname 引数で指定された)目的の場所に 到達する方法を認識する必要があります。この情報は、コンフィギュレーションに応じて ip address コマンドまたは route コマンドによって決定されます(RIP も使用されることがあります)。 tftp_pathname には、サーバ上のファイル パスの最後の要素に加えて、任意のディレクトリ名を含むことができます。
pathname には、サーバ上のファイル パスの最後の要素に加えて、任意のディレクトリ名を含むことができます。ただし、パス名にスペースを含めることはできません。ディレクトリ名にスペースが含まれている場合は、 copy tftp flash コマンドを使用する代わりに、TFTP サーバのディレクトリを設定してください。
例
次の例では、ファイルをディスクから TFTP サーバにコピーする方法を示します。
次に、ファイルをディスク上のある場所からディスク上の別の場所にコピーする方法を示します。宛先ファイルの名前は、コピー元のファイルの名前にすることも、別の名前することもできます。
次に、イメージまたは ASDM ファイルをディスクからフラッシュ パーティションにコピーする方法を示します。
次に、ファイルをディスクからスタートアップ コンフィギュレーションまたは実行コンフィギュレーションにコピーする方法を示します。
関連コマンド
|
|
|
|---|---|
copy capture
キャプチャ ファイルを TFTP サーバにコピーするには、 copy capture コマンドをグローバル コンフィギュレーション モードで使用します。
copy [ / options ] capture: buffer_name url:// pathname
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、そのルーティング テーブル情報によって、( tftp_pathname 引数で指定された)目的の場所に 到達する方法を認識する必要があります。この情報は、コンフィギュレーションに応じて ip address コマンド、 route コマンド、RIP、または OSPF によって決定されます。 tftp_pathname には、サーバ上のファイル パスの最後の要素に加えて、任意のディレクトリ名を含むことができます。
pathname には、サーバ上のファイル パスの最後の要素に加えて、任意のディレクトリ名を含むことができます。ただし、パス名にスペースを含めることはできません。ディレクトリ名にスペースが含まれている場合は、 copy tftp flash コマンドを使用する代わりに、TFTP サーバのディレクトリを設定してください。HTTP または TFTP を使用して、セキュリティ アプライアンスからイメージを取得できます。
例
次の例では、フルパスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトを示します。
TFTP サーバを設定している場合は、次のようにファイルの位置や名前を省略できます。
hostname(config)# tftp-server outside 171.68.11.129 tftp/cdisk
hostname(config)# copy pcap capture:abc tftp:/tftp/abc.cap
次の例では、事前に設定した TFTP サーバのデフォルト値を copy capture コマンドで使用する方法を示します。
hostname(config)# copy /pcap capture:abc tftp
関連コマンド
|
|
|
|---|---|
crashinfo console disable
フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行うには、crashinfo console disable コマンドを使用します。
[no] crashinfo console disable
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、crashinfo がコンソールに出力されないようにすることができます。crashinfo には、装置に接続されたすべてのユーザに対して表示されるのにふさわしくない機密情報が含まれている場合があります。このコマンドとともに、crashinfo がフラッシュに書き込まれていることも確認する必要があります。これは装置のリブート後に確認できます。このコマンドは、crashinfo および checkheaps の出力に影響を与えます。この出力はフラッシュに保存され、トラブルシューティングに十分に役立ちます。
例
関連コマンド
|
|
|
|---|---|
システムまたはモジュールに対して FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。 |
|
crashinfo force
セキュリティ アプライアンスを強制的にクラッシュさせるには、 crashinfo force コマンドを特権 EXEC モードで使用します。
crashinfo force [ page-fault | watchdog ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crashinfo force コマンドを使用して、クラッシュ出力の生成をテストできます。クラッシュ出力では、本物のクラッシュと crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドによって発生したクラッシュは区別できません。これは、コマンドによって実際にクラッシュが発生しているためです。セキュリティ アプライアンスは、クラッシュのダンプが完了するとリロードします。
例
次の例では、 crashinfo force page-fault コマンドを入力したときに表示される警告を示します。
キーボードの Return キーまたは Enter キーを押して復帰改行を入力するか、 Y キーまたは y キーを押すと、セキュリティ アプライアンスがクラッシュしてリロードが実行されます。これらの応答は、いずれも操作に同意したものと解釈されます。その他の文字はすべて no と解釈され、セキュリティ アプライアンスはコマンドライン プロンプトに戻ります。
関連コマンド
crashinfo save disable
フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにするには、 crashinfo save コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
crashinfo save enable コマンドは廃止され、有効なオプションではなくなりました。代わりに、 no crashinfo save disable コマンドを使用します。 |
使用上のガイドライン
クラッシュ情報は、まずフラッシュ メモリに書き込まれ、次にコンソールに書き込まれます。
(注) セキュリティ アプライアンスが起動中にクラッシュした場合、クラッシュ情報ファイルは保存されません。クラッシュ情報をフラッシュ メモリに保存するには、セキュリティ アプライアンスは完全に初期化されて、動作を開始している必要があります。
クラッシュ情報のフラッシュ メモリへの保存をもう一度イネーブルにするには、no crashinfo save disable コマンドを使用します。
例
関連コマンド
crashinfo test
セキュリティ アプライアンスの機能をテストして、フラッシュ メモリ内のファイルにクラッシュ情報を保存するには、 crashinfo test コマンドをグローバル コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリ内に以前のクラッシュ情報ファイルがすでに存在する場合、そのファイルは上書きされます。
(注) crashinfo test コマンドを入力してもセキュリティ アプライアンスはクラッシュしません。
例
次の例では、クラッシュ情報ファイル テストの出力を示します。
関連コマンド
crl
CRL コンフィギュレーション オプションを指定するには、 crl コマンドを暗号 CA トラストポイント コンフィギュレーション モードで使用します。
crl { required | optional | nocheck }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、CRL がトラストポイント central の検証されるピア証明書に対して使用できることを要求します。
関連コマンド
|
|
|
|---|---|
crl configure
CRL 設定コンフィギュレーション モードに入るには、 crl configure コマンドを暗号 CA トラストポイント コンフィギュレーション モードで使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント central 内の crl コンフィギュレーション モードに入ります。
関連コマンド
|
|
|
|---|---|
crypto ca authenticate
トラストポイントに関連付けられた CA 証明書をインストールおよび認証するには、 crypto ca authenticate コマンドをグローバル コンフィギュレーション モードで使用します。CA 証明書を削除するには、このコマンドの no 形式を使用します。
crypto ca authenticate trustpoint [ fingerprint hexvalue ] [ nointeractive]
no crypto ca authenticate trustpoint
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラストポイントが SCEP 登録用に設定されている場合、CA 証明書は SCEP 経由でダウンロードされます。トラストポイントが SCEP 登録用に設定されていない場合、セキュリティ アプライアンスは Base-64 形式の CA 証明書を端末に貼り付けるように要求します。
例
次の例では、セキュリティ アプライアンスが CA の証明書を要求します。CA は証明書を送信し、セキュリティ アプライアンスは、管理者に CA 証明書のフィンガープリントをチェックして CA 証明書を確認するように要求します。セキュリティ アプライアンスの管理者は、表示されたフィンガープリントの値を既知の正しい値と照合する必要があります。セキュリティ アプライアンスによって表示されたフィンガープリントが正しい値と一致した場合は、その証明書を有効であるとして受け入れる必要があります。
次の例では、トラストポイント tp9 が端末ベース(手動)の登録用に設定されます。この場合、セキュリティ アプライアンスは管理者に CA 証明書を端末に貼り付けるように要求します。証明書のフィンガープリントを表示した後、セキュリティ アプライアンスは、管理者に証明書が保持されることを確認するように要求します。
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDjjCCAvegAwIBAgIQejIaQ3SJRIBMHcvDdgOsKTANBgkqhkiG9w0BAQUFADBA
MQswCQYDVQQGEwJVUzELMAkGA1UECBMCTUExETAPBgNVBAcTCEZyYW5rbGluMREw
DwYDVQQDEwhCcmlhbnNDQTAeFw0wMjEwMTcxODE5MTJaFw0wNjEwMjQxOTU3MDha
MEAxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJNQTERMA8GA1UEBxMIRnJhbmtsaW4x
ETAPBgNVBAMTCEJyaWFuc0NBMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCd
jXEPvNnkZD1bKzahbTHuRot1T8KRUbCP5aWKfqViKJENzI2GnAheArazsAcc4Eaz
LDnpuyyqa0j5LA3MI577MoN1/nll018fbpqOf9eVDPJDkYTvtZ/X3vJgnEjTOWyz
T0pXxhdU1b/jgqVE74OvKBzU7A2yoQ2hMYzwVbGkewIDAQABo4IBhzCCAYMwEwYJ
KwYBBAGCNxQCBAYeBABDAEEwCwYDVR0PBAQDAgFGMA8GA1UdEwEB/wQFMAMBAf8w
HQYDVR0OBBYEFBHr3holowFDmniI3FBwKpSEucdtMIIBGwYDVR0fBIIBEjCCAQ4w
gcaggcOggcCGgb1sZGFwOi8vL0NOPUJyaWFuc0NBLENOPWJyaWFuLXcyay1zdnIs
Q049Q0RQLENOPVB1YmxpYyUyMEtleSUyMFNlcnZpY2VzLENOPVNlcnZpY2VzLENO
PUNvbmZpZ3VyYXRpb24sREM9YnJpYW5wZGMsREM9YmRzLERDPWNvbT9jZXJ0aWZp
Y2F0ZVJldm9jYXRpb25MaXN0P2Jhc2U/b2JqZWN0Y2xhc3M9Y1JMRGlzdHJpYnV0
aW9uUG9pbnQwQ6BBoD+GPWh0dHA6Ly9icmlhbi13Mmstc3ZyLmJyaWFucGRjLmJk
cy5jb20vQ2VydEVucm9sbC9CcmlhbnNDQS5jcmwwEAYJKwYBBAGCNxUBBAMCAQEw
DQYJKoZIhvcNAQEFBQADgYEAdLhc4Za3AbMjRq66xH1qJWxKUzd4nE9wOrhGgA1r
j4B/Hv2K1gUie34xGqu9OpwqvJgp/vCU12Ciykb1YdSDy/PxN4KtR9Xd1JDQMbu5
f20AYqCG5vpPWavCgmgTLcdwKa3ps1YSWGkhWmScHHSiGg1a3tevYVwhHNPA4mWo
7sQ=
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
関連コマンド
|
|
|
|---|---|
手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートします。 |
|
crypto ca certificate chain
指定したトラストポイントの証明書チェーン コンフィギュレーション モードに入るには、 crypto ca certificate chain コマンドをグローバル コンフィギュレーション モードで使用します。グローバル コンフィギュレーション モードに戻るには、このコマンドの no 形式を使用するか、 exit コマンドを使用します。
crypto ca certificate chain trustpoint
シンタックスの説明
シンタックスの説明シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント central の CA 証明書チェーン サブモードに入ります。
hostname<config># crypto ca certificate chain central
hostname<config-cert-chain>#
関連コマンド
|
|
|
|---|---|
crypto ca certificate map
CA 証明書マップ モードに入るには、 crypto ca configuration map コマンドをグローバル コンフィギュレーション モードで使用します。このコマンドを実行すると、CA 証明書マップ モードに入ります。証明書マッピング規則の優先順位付きリストを管理するには、このコマンドのグループを使用します。マッピング規則の順序はシーケンス番号によって決まります。
暗号 CA 証明書マップ規則を削除するには、このコマンドの no 形式を使用します。
crypto ca certificate map sequence-number
no crypto ca certificate map [ sequence-number ]
シンタックスの説明
作成する証明書マップ規則の番号を指定します。範囲は 1 ~ 65535 です。トンネルグループを証明書マップ規則にマッピングする tunnel-group-map を作成するときに、この番号を使用できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを発行すると、セキュリティ アプライアンスは CA 証明書マップ コンフィギュレーション モードになります。このモードでは、証明書の発行者名およびサブジェクト認定者名(DN)に基づいて規則を設定できます。これらの規則の一般的な形式は次のとおりです。
DN は、 subject-name または issuer-name のいずれかです。DN は、ITU-T X.509 標準で定義されています。証明書フィールドのリストについては、関連コマンドを参照してください。
match-criteria は、次の表現または演算子で構成されます。
例
次の例では、シーケンス番号 1(規則番号 1)の CA 証明書マップ モードに入り、subject-name の通常名(CN)アトリビュートが Pat と一致する必要があることを指定します。
次の例では、シーケンス番号 1 の CA 証明書マップ モードに入り、subject-name 内のどこかに値 cisco が含まれることを指定します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
crypto ca crl request
指定したトラストポイントのコンフィギュレーション パラメータに基づいて CRL を要求するには、 crypto ca crl request コマンドを暗号 CA トラストポイント コンフィギュレーション モードで使用します。
crypto ca crl request trustpoint
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、central という名前のトラストポイントに基づいて CRL を要求します。
関連コマンド
|
|
|
|---|---|
crypto ca enroll
CA との登録プロセスを開始するには、 crypto ca enroll コマンドをグローバル コンフィギュレーション モードで使用します。このコマンドが正常に実行されるには、トラストポイントが正しく設定されている必要があります。
crypto ca enroll trustpoint [ noconfirm ]
シンタックスの説明
(オプション)すべてのプロンプトを表示しないようにします。要求されている場合がある登録オプションは、トラストポイントに事前設定されている必要があります。このオプションは、スクリプト、ASDM、または他の非対話型で使用するためのものです。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラストポイントが SCEP 登録用に設定されている場合、セキュリティ アプライアンスはただちに CLI プロンプトを表示し、コンソールへのステータス メッセージを非同期的に表示します。トラストポイントが手動登録用に設定されている場合、セキュリティ アプライアンスは Base-64 符号化 PKCS10 認証要求をコンソールに書き込んでから、CLI プロンプトを表示します。
例
次の例では、SCEP 登録を使用して、トラストポイント tp1 で識別証明書を登録します。セキュリティ アプライアンスは、トラストポイント コンフィギュレーションで保存されていない情報を要求します。
関連コマンド
|
|
|
|---|---|
手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートします。 |
|
crypto ca export
トラストポイント コンフィギュレーションに関連付けられたキーと証明書を PKCS12 形式でエクスポートするには、 crypto ca export コマンドをグローバル コンフィギュレーション モードで使用します。
crypto ca export trustpoint pkcs12 passphrase
シンタックスの説明
シンタックスの説明シンタックスの説明
証明書とキーをエクスポートするトラストポイントの名前を指定します。エクスポート時にトラストポイントが RSA キーを使用する場合、エクスポートされるキー ペアはトラストポイントと同じ名前を割り当てられます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの呼び出しは、アクティブなコンフィギュレーションの一部になりません。PKCS12 データは端末に書き込まれます。
例
次の例では、xxyyzz をパスコードとして使用して、トラストポイント central の PKCS12 データをエクスポートします。
hostname (config)# crypto ca export central pkcs12 xxyyzz
Exported pkcs12 follows:
hostname (config)#
関連コマンド
|
|
|
|---|---|
手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートします。 |
|
crypto ca import
手動登録要求への応答で CA から受信した証明書をインストール、または PKCS12 データを使用してトラストポイントの証明書とキー ペアをインポートするには、 crypto ca import コマンドをグローバル コンフィギュレーション モードで使用します。セキュリティ アプライアンスは、Base-64 形式で端末にテキストを貼り付けるように要求します。
crypto ca import trustpoint certificate [ nointeractive ]
crypto ca import trustpoint pkcs12 passphrase [ nointeractive ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント Main の証明書を手動でインポートします。
hostname (config)# crypto ca import Main certificate
hostname (config)#
次の例では、PKCS12 データをトラストポイント central に手動でインポートします。
hostname (config)# crypto ca import central pkcs12
hostname (config)#
関連コマンド
|
|
|
|---|---|
crypto ca trustpoint
指定したトラストポイントのトラストポイント サブモードに入るには、 crypto ca trustpoint コマンドをグローバル コンフィギュレーション モードで使用します。指定したトラストポイントを削除するには、このコマンドの no 形式を使用します。このコマンドはトラストポイント情報を管理します。トラストポイントは、CA によって発行された証明書に基づいて CA の識別情報を表し、また、装置の識別情報を表すことがあります。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。このパラメータでは、セキュリティ アプライアンスが CA 証明書を取得する方法、セキュリティ アプライアンスが CA から証明書を取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定します。
crypto ca trustpoint trustpoint-name
no crypto ca trustpoint trustpoint-name [ noconfirm ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CA を宣言するには、 crypto ca trustpoint コマンドを使用します。このコマンドを発行すると、暗号 CA トラストポイント コンフィギュレーション モードに入ります。
このマニュアルにアルファベット順に記載されている次のコマンドを使用して、トラストポイントの特性を指定できます。
• crl required | optional | nocheck :CRL コンフィギュレーション オプションを指定します。
• crl configure :CRL コンフィギュレーション サブモードに入ります( crl を参照)。
• default enrollment :すべての登録パラメータをシステム デフォルト値に戻します。このコマンドの呼び出しは、アクティブなコンフィギュレーションの一部になりません。
• enrollment retry period :自動(SCEP)登録のリトライ期間を分単位で指定します。
• enrollment retry count :自動(SCEP)登録の許可されるリトライの最大回数を指定します。
• enrollment terminal :このトラストポイントを使用したカット アンド ペースト登録を指定します。
• enrollment url url :このトラストポイントを使用して登録する自動登録(SCEP)を指定し、登録 URL( url )を設定します。
• fqdn fqdn :登録中に、指定した完全修飾認定者名(FQDN)を証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。
• email address :登録中に、指定した電子メール アドレスを証明書のサブジェクト代替名の拡張に含めるかどうかを CA に確認します。
• subject-name X.500 name :登録中に、指定したサブジェクト DN を証明書に含めるかどうかを CA に確認します。
• serial-number :登録中に、セキュリティ アプライアンスのシリアル番号を証明書に含めるかどうかを CA に確認します。
• ip-addr ip-address :登録中に、セキュリティ アプライアンスの IP アドレスを証明書に含めるかどうかを CA に確認します。
• password string :登録中に CA に登録されるチャレンジ フレーズを指定します。CA は、通常、このフレーズを使用して、その後の失効要求を認証します。
• keypair name :公開キーを認証するキー ペアを指定します。
• id-cert-issuer :このトラストポイントに関連付けられた CA によって発行されるピア証明書をシステムが受け入れるかどうかを指定します。
• accept-subordinates :トラストポイントに関連付けられた CA に従属する CA 証明書が、装置にインストールされていない場合にフェーズ 1 の IKE 交換中に提供されたときに受け入れるかどうかを指定します。
• support-user-cert-validation :イネーブルにした場合、トラストポイントがリモート証明書を発行した CA に対して認証されていれば、リモート ユーザ証明書を検証するコンフィギュレーション設定はこのトラストポイントから取得できます。このオプションは、サブコマンド crl required | optional | nocheck および CRL サブモードのすべての設定に関連付けられたコンフィギュレーション データに適用されます。
例
次の例では、central という名前のトラストポイントを管理するための CA トラストポイント モードに入ります。
関連コマンド
|
|
|
|---|---|
手動登録要求への応答として CA から受信した証明書をインストールします。また、PKS12 データをトラストポイントにインポートします。 |
crypto dynamic-map match address
このコマンドの詳細については、 crypto map match address コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name
no crypto dynamic-map dynamic-map-name dynamic-seq-num match address acl_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、aclist1 という名前のアクセスリストのアドレスに一致させる crypto dynamic-map コマンドの使用方法を示します。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set nat-t-disable
接続の NAT-T をこの暗号マップ エントリに基づいてディセーブルにするには、
crypto dynamic-map set nat-t-disable コマンドをグローバル コンフィギュレーション モードで使用します。この暗号マップ エントリの NAT-T をイネーブルにするには、このコマンドの no 形式を使用します。
crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable
no crypto dynamic-map dynamic-map-name dynamic-seq-num set nat-t-disable
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
NAT-T をグローバルにイネーブルにするには、 isakmp nat-traversal コマンドを使用します。その後、 crypto dynamic-map set nat-t-disable コマンドを使用して、特定の暗号マップ エントリの NAT-T をディセーブルにできます。
例
次のコマンドは、mymap という名前のダイナミック暗号マップの NAT-T をディセーブルにします。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set peer
このコマンドの詳細については、 crypto map set peer コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname
no crypto dynamic-map dynamic-map-name dynamic-seq-num set peer ip_address | hostname
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、mymap という名前のダイナミック マップのピアを IP アドレス 10.0.0.1 に設定します。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set pfs
このコマンドの詳細については、 crypto map set pfs コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5 | group 7 ]
no crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5 | group 7]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto dynamic-map コマンド( match address 、 set peer 、 s et pfs など)については、 crypto map コマンドの項で説明します。ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで PFS が指定されていない場合は、ピアからの PFS のオファーがすべて受け入れられます。
セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。
例
次の例では、ダイナミック暗号マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定します。指定されたグループはグループ 2 です。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set reverse route
このコマンドの詳細については、 crypto map set reverse-route コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route
no crypto dynamic-map dynamic-map-name dynamic-seq-num set reverse route
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次のコマンドは、mymap という名前のダイナミック暗号マップの RRI をイネーブルにします。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set security-association lifetime
このコマンドの詳細については、 crypto map set security-association lifetime コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set security-association lifetime seconds seconds | kilobytes kilobytes
no crypto dynamic-map dynamic-map-name dynamic-seq-num set security-association lifetime seconds seconds | kilobytes kilobytes
シンタックスの説明
所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してピア間を通過できるトラフィックの量を KB 単位で指定します。デフォルトは 4,608,000 KB です。 |
|
セキュリティ アソシエーションの有効期限が切れるまでの存続時間(秒数)を指定します。デフォルトは 28,800 秒(8 時間)です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次のコマンドは、ダイナミック暗号マップ mymap のセキュリティ アソシエーションのライフタイムを秒単位で指定します。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set transform-set
このコマンドの詳細については、 crypto map set transform-set コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1
[ ... transform-set-name9 ]
no crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [ ... transform-set-name9 ]
シンタックスの説明
ダイナミック暗号マップ エントリで使用するトランスフォーム セット( crypto ipsec コマンドを使用して定義されたトランスフォーム セットの名前)を指定します。 |
(注) crypto map set transform-set コマンドは、ダイナミック暗号マップ エントリを使用する場合に必須となるコマンドです。このエントリで必要なものは、トランスフォーム セットだけです。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次のコマンドは、ダイナミック暗号マップ mymap に 2 つのトランスフォーム セット(tfset1 および tfset2)を指定しています。
関連コマンド
|
|
|
|---|---|
crypto map set security-association lifetime
特定の暗号マップ エントリについて、IPSec セキュリティ アソシエーションをネゴシエートするときに使用されるグローバル ライフタイム値を上書きするには、グローバル コンフィギュレーション モードで crypto map set security-association lifetime コマンドを使用します。暗号マップ エントリのライフタイム値をグローバル値にリセットするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }
no crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }
シンタックスの説明
所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してピア間を通過できるトラフィックの量を KB 単位で指定します。 |
|
セキュリティ アソシエーションの有効期限が切れるまでの存続時間(秒数)を指定します。デフォルトは 28,800 秒(8 時間)です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
暗号マップのセキュリティ アソシエーションは、グローバル ライフタイム値に基づいてネゴシエートされます。
IPSec セキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。
個々の暗号マップ エントリでライフタイム値が設定されている場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、セキュリティ アプライアンスは、ピアへの要求の中でこの暗号マップ ライフタイム値を利用します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。
ライフタイムには、期間を指定するものとトラフィック量を指定するものの 2 つがあります。セッション キーとセキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。1 つのコマンドで両方を指定できます。
(注) セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定をその場で変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセスリスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセスリストを変更する場合は、関連する接続だけが停止させられます。アクセスリスト内の他のエントリに基づく接続は、影響を受けません。
期間ライフタイムを変更するには、 crypto map set security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用する場合は、指定した秒数が経過した時点でキーおよびセキュリティ アソシエーションがタイムアウトします。
例
グローバル コンフィギュレーション モードで次のコマンドを入力すると、暗号マップ mymap のセキュリティ アソシエーション ライフタイムが秒単位および KB 単位で指定されます。
関連コマンド
|
|
|
|---|---|
crypto dynamic-map set transform-set
このコマンドの詳細については、 crypto map set transform-set コマンドを参照してください。
crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1
[ ... transform-set-name9 ]
no crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [ ... transform-set-name9 ]
シンタックスの説明
ダイナミック暗号マップ エントリで使用するトランスフォーム セット( crypto ipsec コマンドを使用して定義されたトランスフォーム セットの名前)を指定します。 |
(注) crypto map set transform-set コマンドは、ダイナミック暗号マップ エントリを使用する場合に必須となるコマンドです。このエントリで必要なものは、トランスフォーム セットだけです。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次のコマンドは、ダイナミック暗号マップ mymap に 2 つのトランスフォーム セット(tfset1 および tfset2)を指定しています。
関連コマンド
|
|
|
|---|---|
crypto ipsec df-bit
IPSec パケットの DF ビット ポリシーを設定するには、 crypto ipsec df-bit コマンドをグローバル コンフィギュレーション モードで使用します。
crypto ipsec df-bit [ clear-df | copy-df | set-df ] interface
シンタックスの説明
デフォルト
このコマンドは、デフォルトではディセーブルになっています。設定を指定せずにこのコマンドをイネーブルにした場合、セキュリティ アプライアンスはデフォルトとして copy-df 設定を使用します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPSec トンネル機能がある DF ビットを使用すると、セキュリティ アプライアンスがカプセル化されたヘッダーから Don't Fragment(DF)ビットを消去、設定、またはコピーできるかどうかを指定できます。IP ヘッダー内の DF ビットにより、装置がパケットをフラグメント化できるかどうかが決定されます。
カプセル化されたヘッダー内の DF ビットを指定するようにセキュリティ アプライアンスを設定するには、 crypto ipsec df-bit コマンドをグローバル コンフィギュレーション モードで使用します。
トンネル モードの IPSec トラフィックをカプセル化する場合は、DF ビットの clear-df 設定を使用します。この設定を使用すると、装置は使用可能な MTU のサイズよりも大きなパケットを送信できます。また、この設定は、使用可能な MTU のサイズが不明な場合にも適しています。
例
グローバル コンフィギュレーション モードで入力した次の例では、IPSec DF ポリシーを clear-df に設定するよう指定します。
関連コマンド
|
|
|
|---|---|
crypto ipsec fragmentation
IPSec パケットのフラグメンテーション ポリシーを設定するには、 crypto ipsec fragmentation コマンドをグローバル コンフィギュレーション モードで使用します。
crypto ipsec fragmentation { after-encryption | before-encryption } interface
シンタックスの説明
暗号化の後で MTU の最大サイズに近い IPSec パケットをフラグメント化するようにセキュリティ アプライアンスに指定します(事前フラグメント化をディセーブルにします)。 |
|
暗号化の前に MTU の最大サイズに近い IPSec パケットをフラグメント化するようにセキュリティ アプライアンスに指定します(事前フラグメント化をイネーブルにします)。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
暗号化するセキュリティ アプライアンスの発信リンクの MTU のサイズにパケットのサイズが近く、IPSec ヘッダーでカプセル化される場合、発信リンクの MTU を超える可能性があります。MTU のサイズを超えると暗号化の後にパケットがフラグメント化され、このため暗号解除装置がプロセス パスで再組み立てされます。IPSec VPN の事前フラグメント化では、暗号解除装置はプロセス パスではなく高性能な CEF パスで動作するため、パフォーマンスが向上します。
IPSec VPN の事前フラグメント化では、暗号化装置は、IPSec SA の一部として設定されたトランスフォーム セットで使用可能な情報から、カプセル化されたパケット サイズを事前に設定します。装置でパケットが出力インターフェイスの MTU を超えることが事前に設定されている場合、装置は暗号化する前にそのパケットをフラグメント化します。これにより、暗号解除前のプロセス レベルの再組み立てが回避され、暗号解除のパフォーマンスおよび全体的な IPsec トラフィックのスループットの向上に役立ちます。
例
グローバル コンフィギュレーション モードで入力した次の例では、IPSec パケットの事前フラグメント化を装置上でグローバルにイネーブルにします。
グローバル コンフィギュレーション モードで入力した次の例では、IPSec パケットの事前フラグメント化をインターフェイス上でディセーブルにします。
関連コマンド
|
|
|
|---|---|
crypto ipsec security-association lifetime
グローバル ライフタイム値を設定するには、 crypto ipsec security-association lifetime コマンドをグローバル コンフィギュレーション モードで使用します。crypto ipsec エントリのライフタイム値をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }
no crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ipsec security-association lifetime コマンドは、IPSec セキュリティ アソシエーションのネゴシエート時に使用されるグローバル ライフタイム値を変更します。
IPSec セキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。
個々の暗号マップ エントリでライフタイム値が設定されていない場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、セキュリティ アプライアンスは、ピアへの要求の中でグローバル ライフタイム値を指定します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。
ライフタイムには、期間を指定するものとトラフィック量を指定するものの 2 つがあります。セキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。
セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定をその場で変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセスリスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセスリストを変更する場合は、関連する接続だけが停止させられます。アクセスリスト内の他のエントリに基づく接続は、影響を受けません。
グローバル期間ライフタイムを変更するには、 crypto ipsec security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用する場合は、指定した秒数が経過した時点でセキュリティ アソシエーションがタイムアウトします。
グローバル トラフィック量ライフタイムを変更するには、 crypto ipsec security-association lifetime kilobytes コマンドを使用します。トラフィック量ライフタイムを使用する場合は、指定した量のトラフィック(KB 単位)がセキュリティ アソシエーション キーによって保護された時点で、セキュリティ アソシエーションがタイムアウトします。
ライフタイムを短くするほど、攻撃者がキー再現攻撃を成功させることが困難になります。攻撃者にとっては、解析の対象となる、同じキーで暗号化されたデータの量が少なくなるためです。ただし、ライフタイムを短くするほど、新しいセキュリティ アソシエーションの確立にかかる CPU 処理時間が長くなります。
セキュリティ アソシエーション(およびそれに対応するキー)は、指定した秒数または指定したトラフィック量(KB 単位)のうち、どちらかを超えた時点で有効期限が切れます。
例
次の例では、セキュリティ アソシエーションのグローバル期間ライフタイムを指定します。
関連コマンド
|
|
|
|---|---|
すべての IPSec コンフィギュレーション(たとえば、グローバル ライフタイムやトランスフォーム セット)を消去します。 |
|
crypto ipsec transform-set
トランスフォーム セットを定義するには、 crypto ipsec transform-set コマンドをグローバル コンフィギュレーション モードで使用します。このコマンドを使用すると、トランスフォーム セットで使用される IPSec 暗号化およびハッシュ アルゴリズムを指定できます。トランスフォーム セットを削除するには、このコマンドの no 形式を使用します。
crypto ipsec map-name seq-num transform-set transform-set-name transform1 [transform2]
no crypto ipsec map-name seq-num transform-set transform-set-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トランスフォーム セットは、IPSec セキュリティ プロトコルを 1 つまたは 2 つ指定し、そのセキュリティ プロトコルで使用するアルゴリズムを指定します。特定のデータ フローを保護する場合、ピアは、IPSec セキュリティ アソシエーションのネゴシエート中に特定のトランスフォーム セットの使用に同意します。
IPSec メッセージを保護するには、128 ビット キー、192 ビット キー、または 256 ビット キーの AES を使用するトランスフォーム セットを使用します。
AES によって提供されるキーのサイズは非常に大きいため、ISAKMP ネゴシエーションでは、Diffie-Hellman グループ 1 およびグループ 2 ではなくグループ 5 を使用する必要があります。そのためには、 isakmp policy priority group 5 コマンドを使用します。
トランスフォーム セットを複数設定して、暗号マップ エントリでそれらのトランスフォーム セットを 1 つまたはそれ以上指定することもできます。IPSec セキュリティ アソシエーションのネゴシエーション内の暗号マップ エントリで定義したトランスフォーム セットは、その暗号マップ エントリのアクセスリストで指定されているデータ フローを保護します。ネゴシエート中、2 つのピアは、両方のピアで一致しているトランスフォーム セットがあるかどうかを検索します。セキュリティ アプライアンスは、そのようなトランスフォーム セットを検出すると、両方のピアの IPSec セキュリティ アソシエーションの一部として、保護対象のトラフィックに適用します。
各トランスフォーム セットは、暗号化または認証に使用するアルゴリズムを表します。IPSec セキュリティ アソシエーションのネゴシエート中に特定のトランスフォーム セットを使用するときは、トランスフォーム セット全体(プロトコル、アルゴリズム、およびその他の設定値の組み合せ)が、リモート ピアのトランスフォーム セットと一致する必要があります。
トランスフォーム セットで、ESP 暗号化トランスフォームのみ、または ESP 暗号化トランスフォームと ESP 認証トランスフォームの両方を指定できます。
指定できるトランスフォームの組み合せとしては、たとえば次のものがあります。
既存のトランスフォーム セットに対して、 crypto ipsec transform-set コマンドで 1 つまたはそれ以上のトランスフォームを指定すると、指定したトランスフォームによってそのトランスフォーム セットのトランスフォームが置き換えられます。
例
次の例では、2 つのトランスフォーム セットを設定します。1 つは t1 という名前で、暗号化に DES を使用し、ハッシュ アルゴリズムとして SHA/HMAC-160 を使用します。もう 1 つは standard という名前で、暗号化に AES 192 を使用し、ハッシュ アルゴリズムとして MD5/HMAC-128 を使用します。
関連コマンド
|
|
|
|---|---|
すべての ipsec コンフィギュレーション(たとえば、グローバル ライフタイムやトランスフォーム セット)を消去します。 |
|
crypto ipsec transform-set mode transport
トランスフォーム セットの IPSec トランスポート モードを指定するには、 crypto ipsec transport-set mode transport コマンドをグローバル コンフィギュレーション モードで使用します。トランスフォーム セットから IPSec トランスポート モードを削除するには、このコマンドの no 形式を使用します。
crypto ipsec transform-set transform-set-name mode transport
no crypto ipsec transform-set transform-set-name mode transport
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、トランスフォーム セットに対して IPSec トランスポート モードを指定します。デフォルトはトンネル モードです。
例
次の例では、暗号化に Triple DES を使用し、ハッシュ アルゴリズムに MD5/HMAC-128 を使用する transet5 という名前のトランスフォーム セットを設定してから、トランスフォーム セット transet5 に IPSec トランスポート モードを指定します。
関連コマンド
|
|
|
|---|---|
すべての ipsec コンフィギュレーション(たとえば、グローバル ライフタイムやトランスフォーム セット)を消去します。 |
|
crypto key generate dsa
識別証明書用の DSA キー ペアを生成するには、 crypto key generate dsa コマンドをグローバル コンフィギュレーション モードで使用します。
crypto key generate dsa { label key-pair-label } [ modulus size ] [ noconfirm ]
シンタックスの説明
キー ペアのモジュール サイズ 512、768、または 1024 を指定します。デフォルトのモジュール サイズは 1024 です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSL、SSH、および IPSec 接続をサポートする DSA キー ペアを生成するには、 crypto key generate dsa コマンドを使用します。生成されたキー ペアは、コマンド シンタックスの一部として指定したラベルで識別します。ラベルを指定しない場合、セキュリティ アプライアンスはエラー メッセージを表示します。
(注) DSA キーを生成するとき、遅延が発生する場合があります。Cisco PIX 515E Firewall では、この遅延が最大数分にわたることがあります。
例
グローバル コンフィギュレーション モードで入力した次の例では、mypubkey というラベルの DSA キー ペアを生成します。
グローバル コンフィギュレーション モードで入力した次の例では、誤って mypubkey というラベルの重複した DSA キー ペアを生成しようとしています。
関連コマンド
|
|
|
|---|---|
crypto key generate rsa
識別証明書用の RSA キー ペアを生成するには、 crypto key generate rsa コマンドをグローバル コンフィギュレーション モードで使用します。
crypto key generate rsa [ usage-keys | general-keys ] [ label key-pair-label ] [ modulus size ] [ noconfirm ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSL、SSH、および IPSec 接続をサポートする RSA キー ペアを生成するには、 crypto key generate rsa コマンドを使用します。生成されたキー ペアは、コマンド シンタックスの一部として指定できるラベルで識別します。キー ペアを参照しないトラストポイントは、デフォルトの
<Default-RSA-Key> を使用できます。SSH 接続では常にこのキーが使用されます。SSL は独自の証明書やキーをダイナミックに生成するため、トラストポイントに設定されていない限り、このことは SSL に影響を与えません。
例
グローバル コンフィギュレーション モードで入力した次の例では、mypubkey というラベルの RSA キー ペアを生成します。
グローバル コンフィギュレーション モードで入力した次の例では、誤って mypubkey というラベルの重複した RSA キー ペアを生成しようとしています。
グローバル コンフィギュレーション モードで入力した次の例では、デフォルト ラベルの RSA キー ペアを生成します。
関連コマンド
|
|
|
|---|---|
crypto key zeroize
指定したタイプ(rsa または dsa)のキー ペアを削除するには、 crypto key zeroize コマンドをグローバル コンフィギュレーション モードで使用します。
crypto key zeroize { rsa | dsa } [ label key-pair-label ] [ default ] [ noconfirm ]
シンタックスの説明
指定したタイプ(rsa または dsa)のキー ペアを削除します。ラベルを指定しない場合、セキュリティ アプライアンスは指定したタイプのキー ペアをすべて削除します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、すべての RSA キー ペアを削除します。
関連コマンド
|
|
|
|---|---|
crypto map interface
以前に定義した暗号マップ セットをインターフェイスに適用するには、 crypto map interface コマンドをグローバル コンフィギュレーション モードで使用します。インターフェイスから暗号マップ セットを削除するには、このコマンドの no 形式を使用します。
crypto map map-name interface interface-name
no crypto map map-name interface interface-name
シンタックスの説明
シンタックスの説明シンタックスの説明
VPN ピアでトンネルの確立に使用するセキュリティ アプライアンスのインターフェイスを指定します。ISAKMP をイネーブルにしていて、認証局(CA)を使用して証明書を取得する場合には、CA 証明書内で指定されているアドレスを持つインターフェイスにする必要があります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、暗号マップ セットをアクティブなセキュリティ アプライアンスのインターフェイスに割り当てるために使用します。セキュリティ アプライアンスでは、任意のアクティブ インターフェイスを IPSec の終端にできます。インターフェイスで IPSec サービスを提供するには、そのインターフェイスにまず暗号マップ セットを割り当てる必要があります。
インターフェイスに割り当てることができる暗号マップ セットは 1 つだけです。同じ map-name で seq-num が異なる暗号マップ エントリが複数ある場合、それらのエントリは同じセットの一部であり、インターフェイスにすべて適用されます。セキュリティ アプライアンスは、 seq-num が最も小さい暗号マップ エントリを最初に評価します。
(注) セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定をその場で変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセスリスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセスリストを変更する場合は、関連する接続だけが停止させられます。アクセスリスト内の他のエントリに基づく接続は、影響を受けません。
(注) すべてのスタティック暗号マップは、アクセスリスト、トランスフォーム セット、および IPsec ピアの 3 つの部分を定義する必要があります。これらの 1 つが欠けている場合、暗号マップは不完全で、セキュリティ アプライアンスは次のエントリに進みます。ただし、暗号マップがアクセスリストでは一致するが、他の 2 つの要件のいずれかまたは両方で一致しない場合、このセキュリティ アプライアンスはトラフィックをドロップします。
すべての暗号マップが完全であることを確認するには、show running-config crypto map コマンドを使用します。不完全な暗号マップを修正するには、暗号マップを削除し、欠けているエントリを追加して再び適用します。
例
グローバル コンフィギュレーション モードで入力した次の例では、mymap という名前の暗号マップ セットを外部インターフェイスに割り当てます。トラフィックがこの外部インターフェイスを通過するときは、トラフィックがセキュリティ アプライアンスによって mymap セット内のすべての暗号マップ エントリと対照され、評価されます。発信トラフィックが mymap 暗号マップ エントリの 1 つのアクセスリストと一致する場合、セキュリティ アプライアンスはその暗号マップ エントリのコンフィギュレーションを使用して、セキュリティ アソシエーションを形成します。
次の例は、必要な最小限の暗号マップ コンフィギュレーションを示しています。
関連コマンド
|
|
|
|---|---|
crypto map ipsec-isakmp dynamic
所定の暗号マップ エントリが既存のダイナミック暗号マップを参照することを要求するには、 crypto map ipsec-isakmp dynamic コマンドをグローバル コンフィギュレーション モードで使用します。相互参照を削除するには、このコマンドの no 形式を使用します。
ダイナミック暗号マップ エントリを作成するには、 crypto dynamic-map コマンドを使用します。ダイナミック暗号マップ セットを作成したら、 crypto map ipsec-isakmp dynamic コマンドを使用して、ダイナミック暗号マップ セットをスタティック暗号マップに追加します。
crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
no crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
暗号マップ エントリを作成したら、 crypto map interface コマンドを使用して、ダイナミック暗号マップ セットをインターフェイスに割り当てることができます。
ダイナミック暗号マップを使用することで、保護の対象となるトラフィックのフィルタリングと分類、そのトラフィックに適用するポリシーの定義という 2 つの機能を利用できます。最初の機能はインターフェイス上のトラフィック フローが対象となり、2 番目の機能は(IKE を通じた)そのトラフィックのためのネゴシエーションが対象となります。
IPSec ダイナミック暗号マップは次の 4 つを指定します。
• セキュリティ アソシエーションを確立する IPSec ピア
• 保護対象のトラフィックとともに使用するトランスフォーム セット
• キーおよびセキュリティ アソシエーションの使用方法または管理方法
暗号マップ セットは、それぞれ異なるシーケンス番号(seq-num)を持ち、マップ名が共通している暗号マップ エントリの集合です。たとえば、所定のインターフェイスを介して、あるトラフィックには所定のセキュリティを適用してピアに転送し、その他のトラフィックには別の IPSec セキュリティを適用して同じまたは別個のピアに転送するとします。このような構成をセットアップするには、2 つの暗号マップ エントリを作成します。マップ名は同じ名前にし、シーケンス番号をそれぞれ別の番号にします。
シーケンス番号引数として割り当てる番号は、任意に決定しないようにしてください。この番号は、暗号マップ セットに含まれている複数の暗号マップ エントリにランクを付けます。シーケンス番号の小さい暗号マップ エントリが番号の大きいエントリよりも先に評価されます。つまり、番号の小さいマップ エントリは優先順位が高くなります。
(注) 暗号マップをダイナミック暗号マップにリンクする場合は、ダイナミック暗号マップを指定する必要があります。指定すると、crypto dynamic-map コマンドを使用して以前に定義した既存のダイナミック暗号マップに暗号マップがリンクされます。暗号マップ エントリが変換された後に加えた変更は、有効になりません。たとえば、set peer 設定への変更は有効になりません。ただし、セキュリティ アプライアンスは起動中に変更を保存します。ダイナミック暗号マップを暗号マップに変換して戻す場合、変更は有効で、show running-config crypto map コマンドの出力に表示されます。セキュリティ アプライアンスは、リブートされるまでこれらの設定を維持します。
例
グローバル コンフィギュレーション モードで入力した次のコマンドでは、暗号マップ mymap を test という名前のダイナミック暗号マップを参照するように設定します。
関連コマンド
|
|
|
|---|---|
crypto map match address
アクセスリストを暗号マップ エントリに割り当てるには、 crypto map match address コマンドをグローバル コンフィギュレーション モードで使用します。暗号マップ エントリからアクセスリストを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num match address acl_name
no crypto map map-name seq-num match address acl_name
シンタックスの説明
暗号化アクセスリストの名前を指定します。この名前は、一致対象となる名前付き暗号化アクセスリストの名前引数と一致している必要があります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべてのスタティック暗号マップに対して指定必須となるコマンドです。 crypto dynamic-map コマンドでダイナミック暗号マップを定義する場合は、このコマンドは必須ではありませんが、使用することを強く推奨します。
アクセスリストを定義するには、 access-list コマンドを使用します。
セキュリティ アプライアンスはアクセスリストを利用して、保護を必要としないトラフィックと IPSec 暗号で保護するトラフィックを区別します。また、許可 ACE に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが保護されるようにします。
セキュリティ アプライアンスが deny 文へのパケットと一致する場合、暗号マップ内の残りのアクセス コントロール エントリ(ACE)に対するパケットの評価を省略し、順番に次の暗号マップ内の ACE に対するパケットの評価を再開します。 Cascading ACL は、ACL 内の残りの ACE の評価をバイパスする拒否 ACE の使用および暗号マップ セット内の次の暗号マップに割り当てられた ACL に対するトラフィックの評価の再開に関係します。各暗号マップを別の IPSec 設定に関連付けることができるため、拒否 ACE を使用して対応する暗号マップの詳細な評価から特別なトラフィックを除外し、特別なトラフィックを別の暗号マップの permit 文と一致させて別のセキュリティを提供または要求できます。
(注) 暗号化用のアクセスリストは、インターフェイスを通過するトラフィックを許可するかどうかを判定しません。このような判定には、access-group コマンドで作成する、インターフェイスに直接適用されるアクセスリストが使用されます。
(注) 透過モードでは、宛先アドレスはセキュリティ アプライアンスの IP アドレス、管理アドレスである必要があります。透過モードでは、セキュリティ アプライアンスへのトンネルだけが許可されます。
関連コマンド
|
|
|
|---|---|
crypto map set connection-type
この暗号マップ エントリのバックアップ サイトツーサイト機能の接続タイプを指定するには、 crypto map set connection-type コマンドをグローバル コンフィギュレーション モードで使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
crypto map m ap-name seq-num set connection-type {answer-only | originate-only | bidirectional}
no crypto map map-name seq-num set connection-type {answer-only | originate-only | bidirectional}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
* 透過ファイアウォール モードでは、このコマンドは表示されますが、インターフェイスに対応付けられた暗号マップに含まれる暗号マップ エントリでは、answer-only 値は answer-only 以外の値に設定できません。
コマンド履歴
|
|
|
|---|---|
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap を設定し、接続タイプを bidirectional に設定します。
関連コマンド
|
|
|
|---|---|
crypto map set inheritance
この暗号マップ エントリ用に生成されるセキュリティ アソシエーションの精度(シングルまたはマルチ)を設定するには、 set inheritance コマンドをグローバル コンフィギュレーション モードで使用します。この暗号マップ エントリの継承の設定を削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set inheritance {data| rule}
no crypto map map-name seq-num set inheritance {data | rule}
シンタックスの説明
継承のタイプ data または rule を指定します。継承では、各セキュリティ ポリシー データベース(SPD)規則に対して 1 つのセキュリティ アソシエーション(SA)を生成したり、範囲内の各アドレス ペアに対して複数のセキュリティ SA を生成したりすることができます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ アプライアンスがトンネルに応答しているときではなく、トンネルを開始しているときのみ動作します。データ設定を使用すると、多数の IPSec SA が作成される場合があります。それによりメモリが消費され、全体的なトンネルが少なくなります。データ設定は、セキュリティ依存型のアプリケーションに対してのみ使用する必要があります。
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap を設定し、継承タイプを data に設定します。
関連コマンド
|
|
|
|---|---|
crypto map set nat-t-disable
接続の NAT-T をこの暗号マップ エントリに基づいてディセーブルにするには、 crypto map set nat-t-disable コマンドをグローバル コンフィギュレーション モードで使用します。この暗号マップ エントリの NAT-T をイネーブルにするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set nat-t-disable
no crypto map map-name seq-num set nat-t-disable
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
NAT-T をグローバルにイネーブルにするには、 isakmp nat-traversal コマンドを使用します。その後、 crypto map set nat-t-disable コマンドを使用して、特定の暗号マップ エントリの NAT-T をディセーブルにできます。
例
グローバル コンフィギュレーション モードで入力した次のコマンドは、mymap という名前の暗号マップ エントリの NAT-T をディセーブルにします。
関連コマンド
|
|
|
|---|---|
crypto map set peer
暗号マップ エントリの IPSec ピアを指定するには、 crypto map set peer コマンドをグローバル コンフィギュレーション モードで使用します。暗号マップ エントリから IPSec ピアを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address | hostname10 }
no crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address | hostname10 }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべてのスタティック暗号マップに対して指定必須となるコマンドです。 crypto dynamic-map コマンドでダイナミック暗号マップ エントリを定義する場合には、このコマンドは必須ではなく、ほとんど使用しません。これは、ピアが通常は未知のものであるためです。
LAN-to-LAN 接続では、複数のピアを originate-only 接続タイプでのみ使用できます。複数のピアを設定することは、フォールバック リストを指定することと同じです。トンネルごとに、セキュリティ アプライアンスはリストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、セキュリティ アプライアンスはピアが応答するか、リストにピアがなくなるまでリストを検索します。バックアップ LAN-to-LAN 機能を使用している場合(つまり暗号マップが originate-only タイプの場合)にのみ複数のピアを設定できます。
例
グローバル コンフィギュレーション モードで入力した次の例は、IKE を使用してセキュリティ アソシエーションを確立する暗号マップ コンフィギュレーションを示します。この例では、ピア 10.0.0.1 またはピア 10.0.0.2 に対するセキュリティ アソシエーションをセットアップできます。
関連コマンド
|
|
|
|---|---|
crypto map set pfs
この暗号マップ エントリ用の新しいセキュリティ アソシエーションを要求するときに、完全転送秘密(PFS)を要求するように IPSec を設定、または新しいセキュリティ アソシエーションの要求を受信したときに IPSec が PFS を要求するように設定するには、 crypto map set pfs コマンドをグローバル コンフィギュレーション モードで使用します。IPSec が PFS を要求しないことを指定するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set pfs [group1 | group2 | group5 | group7]
no crypto map map-name seq-num set pfs [group1 | group2 | group5 | group7]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PFS を使用すると、新しいセキュリティ アソシエーションをネゴシエートするたびに新しい Diffie-Hellman 交換が発生します。この交換によって、処理にかかる時間が長くなります。PFS を使用すると、セキュリティがいっそう向上します。1 つのキーが攻撃者によってクラックされた場合でも、信頼性が損なわれるのはそのキーで送信されたデータだけになるためです。
このコマンドを使用すると、暗号マップ エントリ用の新しいセキュリティ アソシエーションを要求するとき、ネゴシエート中に IPSec が PFS を要求します。 set pfs 文でグループが指定されていない場合、セキュリティ アプライアンスはデフォルト(group2)を送信します。
ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合は、ネゴシエーションに失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、セキュリティ アプライアンスはデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションで group2、group5、または group7 が指定されている場合は、そのグループがピアのオファーに含まれている必要があります。含まれていない場合は、ネゴシエーションに失敗します。
ネゴシエーションが成功するには、両端に PFS が設定されている必要があります。設定されている場合、グループは完全に一致する必要があります。セキュリティ アプライアンスは、ピアからの PFS のオファーをすべて受け入れません。
1536 ビットの Diffie-Hellman プライム モジュラス グループ group5 は、group1 や group2 よりも強固なセキュリティを提供します。ただし、他のグループの場合よりも多くの処理時間が必要になります。
楕円曲線フィールドのサイズが 163 ビットである Diffie-Hellman Group 7 では、IPSec SA キーが生成されます。このオプションは、任意の暗号化アルゴリズムとともに使用できます。これは、
movianVPN クライアントで使用するためのオプションですが、Group 7(ECC)をサポートしている任意のピアで使用できます。
セキュリティ アプライアンスは、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ「mymap 10」用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定します。
関連コマンド
|
|
|
|---|---|
crypto map set phase1 mode
メインまたはアグレッシブへの接続を開始する場合にフェーズ 1 の IKE モードを指定するには、 crypto map set phase1mode コマンドをグローバル コンフィギュレーション モードで使用します。フェーズ 1 IKE ネゴシエーションの設定を削除するには、このコマンドの no 形式を使用します。アグレッシブ モードの Diffie-Hellman グループを含めることはオプションです。含めない場合、セキュリティ アプライアンスは group 2 を使用します。
crypto map map-name seq-num set phase1mode {main | aggressive [group1 | group2 | group5 | group7]}
no crypto map map-name seq-num set phase1mode {main | aggressive [group1 | group2 | group5 | group7]}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap を設定し、group2 を使用してフェーズ 1 のモードをアグレッシブに設定します。
関連コマンド
|
|
|
|---|---|
crypto map set reverse-route
この暗号マップ エントリに基づいて任意の接続の RRI をイネーブルにするには、 crypto map set reverse-route コマンドをグローバル コンフィギュレーション モードで使用します。この暗号マップ エントリに基づいた任意の接続の逆ルート注入をディセーブルにするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set reverse-route
no crypto map map-name seq-num s et reverse-route
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、ルーティング テーブルにスタティック ルートを自動的に追加し、OSPF を使用してそれらのルートをプライベート ネットワークまたは境界ルータに通知できます。
例
グローバル コンフィギュレーション モードで入力した次の例では、mymap という名前の暗号マップの RRI をイネーブルにします。
関連コマンド
|
|
|
|---|---|
crypto map set security-association lifetime
特定の暗号マップ エントリについて、IPSec セキュリティ アソシエーションをネゴシエートするときに使用されるグローバル ライフタイム値を上書きするには、グローバル コンフィギュレーション モードで crypto map set security-association lifetime コマンドを使用します。暗号マップ エントリのライフタイム値をグローバル値にリセットするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }
no crypto map map-name seq-num set security-association lifetime { seconds seconds | kilobytes kilobytes }
シンタックスの説明
所定のセキュリティ アソシエーションの有効期限が切れるまでに、そのセキュリティ アソシエーションを使用してピア間を通過できるトラフィックの量を KB 単位で指定します。 |
|
セキュリティ アソシエーションの有効期限が切れるまでの存続時間(秒数)を指定します。デフォルトは 28,800 秒(8 時間)です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
暗号マップのセキュリティ アソシエーションは、グローバル ライフタイム値に基づいてネゴシエートされます。
IPSec セキュリティ アソシエーションでは、共有秘密鍵を使用します。これらの鍵とセキュリティ アソシエーションは、両方同時にタイムアウトします。
個々の暗号マップ エントリでライフタイム値が設定されている場合は、セキュリティ アソシエーションのネゴシエート中に新しいセキュリティ アソシエーションを要求するとき、セキュリティ アプライアンスは、ピアへの要求の中でこの暗号マップ ライフタイム値を利用します。この値を、新しいセキュリティ アソシエーションのライフタイムとして使用します。セキュリティ アプライアンスは、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定済みのライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します。
ライフタイムには、期間を指定するものとトラフィック量を指定するものの 2 つがあります。セッション キーとセキュリティ アソシエーションは、いずれかのライフタイムに最初に到達した時点で期限切れになります。1 つのコマンドで両方を指定できます。
(注) セキュリティ アプライアンスでは、暗号マップ、ダイナミック マップ、および ipsec 設定をその場で変更できます。これを行う場合は、変更によって影響を受ける接続だけがセキュリティ アプライアンスによって停止させられます。特に、アクセスリスト内のエントリを削除することによって、暗号マップに関連付けられている既存のアクセスリストを変更する場合は、関連する接続だけが停止させられます。アクセスリスト内の他のエントリに基づく接続は、影響を受けません。
期間ライフタイムを変更するには、 crypto map set security-association lifetime seconds コマンドを使用します。期間ライフタイムを使用する場合は、指定した秒数が経過した時点でキーおよびセキュリティ アソシエーションがタイムアウトします。
例
グローバル コンフィギュレーション モードで次のコマンドを入力すると、暗号マップ mymap のセキュリティ アソシエーション ライフタイムが秒単位および KB 単位で指定されます。
関連コマンド
|
|
|
|---|---|
crypto map set transform-set
暗号マップ エントリで使用するトランスフォーム セットを指定するには、 crypto map set transform-set コマンドをグローバル コンフィギュレーション モードで使用します。暗号マップ エントリから指定したトランスフォーム セットを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set transform-set transform-set-name1 [ ... transform-set-name9 ]
no crypto map map-name seq-num set transform-se t transform-set-name1 [ ... transform-set-name9 ]
シンタックスの説明
暗号マップに使用する、 crypto ipsec transform-set コマンドを使用して定義したトランスフォーム セットの名前を指定します。ipsec-isakmp 暗号マップ エントリまたはダイナミック暗号マップ エントリの場合には、トランスフォーム セットを 9 つまで指定できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべての暗号マップ エントリに対して指定必須となるコマンドです。
ローカル セキュリティ アプライアンスがネゴシエーションを開始する場合、トランスフォーム セットは crypto map コマンド文に指定した順序でピアに提示されます。ピアがネゴシエーションを開始する場合、ローカル セキュリティ アプライアンスは、暗号マップ エントリで指定されているトランスフォーム セットのいずれかに最初に一致したトランスフォーム セットを受け入れます。
両方のピアで最初に一致したトランスフォーム セットが、セキュリティ アソシエーションに使用されます。一致するトランスフォーム セットが検出されない場合、IPSec はセキュリティ アソシエーションを確立しません。トラフィックを保護するセキュリティ アソシエーションが存在しないため、トラフィックはドロップされます。
トランスフォーム セットのリストを変更する場合は、新しいトランスフォーム セット リストを再指定して、古いリストを置き換えます。この変更が適用されるのは、このトランスフォーム セットを参照している crypto map コマンド文だけです。
crypto map コマンド文の中で指定するトランスフォーム セットは、 crypto ipsec transform-set コマンドを使用して事前に定義しておく必要があります。
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap に 2 つのトランスフォーム セット(tfset1 および tfset2)を指定します。
グローバル コンフィギュレーション モードで入力した次の例は、セキュリティ アプライアンスが IKE を使用してセキュリティ アソシエーションを確立する場合に必要となる、最小限の暗号マップ コンフィギュレーションを示しています。
関連コマンド
|
|
|
|---|---|
crypto map set trustpoint
暗号マップ エントリのフェーズ 1 ネゴシエーション中に、認証用に送信する証明書を指定するトラストポイントを指定するには、 crypto map set trustpoint コマンドをグローバル コンフィギュレーション モードで使用します。暗号マップ エントリからトラストポイントを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set trustpoint trustpoint-name [ chain]
nocrypto map map-name seq-num set trustpoint trustpoint-name [chain]
シンタックスの説明
(オプション)証明書チェーンを送信します。CA 証明書チェーンには、ルート証明書から識別証明書まで、証明書の階層内のすべての CA 証明書が含まれています。デフォルト値はディセーブル(チェーンなし)です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この暗号マップ コマンドは、接続の開始に限り有効です。応答側の情報については、 tunnel-group コマンドを参照してください。
例
グローバル コンフィギュレーション モードで入力した次の例では、暗号マップ mymap に tpoint1 という名前のトラストポイントを指定し、証明書のチェーンを指定します。
関連コマンド
|
|
|
|---|---|
フィードバック