Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: G ~ L のコマンド
- gateway
- global
- group-delimiter
- group-lock
- group-object
- group-policy
- group-policy attributes
- gtp-map
- help
- homepage
- hostname
- html-content-filter
- http
- http authentication-certificate
- http redirect
- http server enable
- http-map
- http-proxy
- https-proxy
- hw-module module recover
- hw-module module reload
- hw-module module reset
- hw-module module shutdown
- icmp
- icmp-object
- id-cert-issuer
- igmp
- igmp access-group
- igmp forward interface
- igmp join-group
- igmp limit
- igmp query-interval
- igmp query-max-response-time
- igmp query-timeout
- igmp static-group
- igmp version
- ignore lsa mospf
- imap4s
- inspect ctiqbe
- inspect cuseeme
- inspect dns
- inspect esmtp
- inspect ftp
- inspect gtp
- inspect h323
- inspect http
- inspect icmp
- inspect icmp error
- inspect ils
- inspect mgcp
- inspect netbios
- inspect pptp
- inspect rsh
- inspect rtsp
- inspect sip
- inspect skinny
- inspect snmp
- inspect sqlnet
- inspect sunrpc
- inspect tftp
- inspect xdmcp
- intercept-dhcp
- interface
- interface (vpn load-balancing)
- interface-policy
- ip-address
- ip address
- ip address dhcp
- ip audit attack
- ip audit info
- ip audit interface
- ip audit name
- ip audit signature
- ip local pool
- ip-comp
- ip-phone-bypass
- ips
- ipsec-udp
- ipsec-udp-port
- ip verify reverse-path
- ipv6 access-list
- ipv6 address
- ipv6 enable
- ipv6 icmp
- ipv6 nd dad attempts
- ipv6 nd ns-interval
- ipv6 nd prefix
- ipv6 nd ra-interval
- ipv6 nd ra-lifetime
- ipv6 nd reachable-time
- ipv6 nd suppress-ra
- ipv6 neighbor
- ipv6 route
- isakmp am-disable
- isakmp disconnect-notify
- isakmp enable
- isakmp identity
- isakmp ipsec-over-tcp
- isakmp keepalive
- isakmp nat-traversal
- isakmp policy authentication
- isakmp policy encryption
- isakmp policy group
- isakmp policy hash
- isakmp policy lifetime
- isakmp reload-wait
- issuer-name
- join-failover-group
- kerberos-realm
- key
- keypair
- kill
- ldap-base-dn
- ldap-defaults
- ldap-dn
- ldap-login-dn
- ldap-login-password
- ldap-naming-attribute
- ldap-scope
- leap-bypass
- log-adj-changes
- login
- logging asdm
- logging asdm-buffer-size
- logging buffered
- logging buffer-size
- logging class
- logging console
- logging debug-trace
- logging device-id
- logging emblem
- logging enable
- logging facility
- logging flash-bufferwrap
- logging flash-maximum-allocation
- logging flash-minimum-free
- logging from-address
- logging ftp-bufferwrap
- logging ftp-server
- logging history
- logging host
- logging list
- logging mail
- logging message
- logging monitor
- logging permit-hostdown
- logging queue
- logging rate-limit
- logging recipient-address
- logging savelog
- logging standby
- logging timestamp
- logging trap
- login-message
- logo
- logout
- logout-message
G ~ L のコマンド
gateway
特定のゲートウェイを管理しているコール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで gateway コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
gateway ip_address [ group_id ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
gateway コマンドは、特定のゲートウェイを管理しているコール エージェントのグループを指定するために使用します。 ip_address オプションを使用して、ゲートウェイの IP アドレスを指定します。 group_id オプションは 0 ~ 4294967295 の数字です。この数字は、ゲートウェイを管理しているコール エージェントの group_id に対応している必要があります。1 つのゲートウェイは 1 つのグループだけに所属できます。
例
次の例では、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようにし、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようにしています。
関連コマンド
|
|
|
|---|---|
global
NAT 用のマッピング アドレスのプールを作成するには、グローバル コンフィギュレーション モードで global コマンドを使用します。アドレスのプールを削除するには、このコマンドの no 形式を使用します。
global ( mapped_ifc) nat_id { mapped_ip [ - mapped_ip ] [ netmask mask ] | interface }
no global ( mapped_ifc) nat_id { mapped_ip [- mapped_ip ] [ netmask mask ] | interface }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ダイナミック NAT および PAT の場合は、最初に、変換対象となるインターフェイス上の実際のアドレスを指定する nat コマンドを設定します。次に、別のインターフェイスの終了時にマッピング アドレスを指定するための global コマンドを別途設定します(PAT の場合、マッピング アドレスは 1 つです)。各 nat コマンドは、各コマンドに割り当てられた番号である NAT ID の比較によって、 global コマンドと一致します。
ダイナミック NAT および PAT の詳細については、 nat コマンドを参照してください。
NAT コンフィギュレーションを変更する場合、既存の変換がタイムアウトするのを待たずに新しい NAT 情報を使用するときは、clear xlate コマンドを使用して変換テーブルを消去してもかまいません。ただし、変換テーブルを消去すると現在の接続がすべて切断されます。
例
たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力します。
ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスとともに指定するには、次のコマンドを入力します。
ルーティングの簡略化などのために、セキュリティの低い DMZ(非武装地帯)のネットワーク アドレスを変換して内部ネットワーク(10.1.1.0)と同じネットワーク上に表示するには、次のコマンドを入力します。
ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次のコマンドを入力します。
ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレスのペアを指定するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
group-delimiter
グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定するには、グローバル コンフィギュレーション モードで group-delimiter コマンドを使用します。このグループ名の解析をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、グループ デリミタを番号記号(#)に変更するための group-delimiter コマンドを示しています。
関連コマンド
|
|
|
group-lock
リモート ユーザがトンネルグループだけからアクセスできるようにするには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで group-lock コマンドを発行します。
group-lock アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。group-lock をディセーブルにするには、 group-lock none コマンドを使用します。
group-lock はユーザを制限するときに、VPN Client に設定されているグループが、ユーザの割り当て先のトンネルグループと同じかどうかを確認します。同じでない場合、セキュリティ アプライアンスは、ユーザが接続できないようにします。group-lock を設定しない場合、セキュリティ アプライアンスは割り当てグループを考慮せずにユーザを認証します。
group-lock { value tunnel-grp-name | none }
シンタックスの説明
group-lock をヌル値に設定して、group-lock の制限を拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから group-lock の値を継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、FirstGroup というグループポリシーにグループ ロックを設定する方法を示しています。
group-object
ネットワーク オブジェクト グループを追加するには、プロトコル、ネットワーク、サービス、および icmp-type コンフィギュレーション モードで group-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
オブジェクト グループ(1 ~ 64 文字)を指定します。アルファベット、数字、アンダースコア(_)、ハイフン(-)、およびピリオド(.)を任意に組み合せることができます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
group-object コマンドは、 object-group コマンドと組み合せることで、自身がオブジェクト グループであるオブジェクトを定義します。このコマンドは、プロトコル、ネットワーク、サービス、および icmp-type コンフィギュレーション モードで使用されます。このサブコマンドを使用すると、同じタイプのオブジェクトを論理的にグループ化することや、構造化コンフィギュレーションの階層型オブジェクト グループを構築することができます。
グループ オブジェクトに限り、オブジェクトをオブジェクト グループ内で重複させることができます。たとえば、オブジェクト 1 がグループ A とグループ B の両方にある場合、A と B を両方含むグループ C を定義できます。ただし、グループ オブジェクトに含めることによってグループ階層が循環型になる場合は、含めることができません。たとえば、グループ A をグループ B に含め、同時にグループ B をグループ A に含めることはできません。
例
次の例は、ホストを重複させる必要がなくなるように、ネットワーク コンフィギュレーション モードで group-object コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
group-policy
グループポリシーを作成または編集するには、グローバル コンフィギュレーション モードで group-policy コマンドを使用します。グループポリシーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
group-policy name { internal [from group-policy_name ] | external server-group serve r_ group password server _ password }
シンタックスの説明
グループポリシーを外部として指定し、セキュリティ アプライアンスがアトリビュートをクエリーするための AAA サーバ グループを指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
「DefaultGroupPolicy」というデフォルトのグループポリシーは、常にセキュリティ アプライアンス上に存在します。ただし、このデフォルトのグループポリシーを有効にするには、このポリシーを使用するようにセキュリティ アプライアンスを設定する必要があります。設定方法については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
DefaultGroupPolicy には、次の AVP が含まれています。
|
|
|
|---|---|
例
次の例は、「FirstGroup」という内部グループポリシーを作成する方法を示しています。
hostname(config)# group-policy FirstGroup internal
次の例は、「ExternalGroup」という外部グループポリシー、「BostonAAA」という AAA サーバ グループ、および「12345678」というパスワードを作成する方法を示しています。
hostname(config)# group-policy ExternalGroup external server-group BostonAAA password 12345678
関連コマンド
|
|
|
|---|---|
group-policy attributes
グループポリシー アトリビュート モードに入るには、グローバル コンフィギュレーション モードで group-policy attributes コマンドを使用します。グループポリシーからすべてのアトリビュートを削除するには、このコマンドの no 形式を使用します。アトリビュート モードでは、指定したグループポリシーの AVP を設定できます。
no group-policy name attributes
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アトリビュート モードのコマンドのシンタックスには、共通する次の特性があります。
•
no 形式は、アトリビュートを実行コンフィギュレーションから削除し、値を別のグループポリシーから継承できるようにします。
• none キーワードは、実行コンフィギュレーションのアトリビュートをヌル値に設定して、値を継承できないようにします。
例
次の例は、「FirstGroup」というグループポリシーのグループポリシー アトリビュート モードに入る方法を示しています。
関連コマンド
|
|
|
|---|---|
gtp-map
GTP のパラメータの定義に使用する特定のマップを指定するには、グローバル コンフィギュレーション モードで gtp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
(注) GTP 検査には、特別なライセンスが必要です。セキュリティ アプライアンス上で gtp-map コマンドを入力する場合、必要なライセンスを持っていないときは、セキュリティ アプライアンス上にエラー メッセージが表示されます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
GPRS は、既存の GSM ネットワークを統合するために設計されたデータ ネットワーク アーキテクチャです。モバイル ユーザに対して、企業ネットワークとインターネットにアクセスするためのパケット スイッチ データ サービスを中断なく提供します。GTP の概要や、セキュリティ アプライアンスがワイヤレス ネットワーク上でセキュアなアクセスを保証する仕組みについては、
『 Cisco Security Appliance Command Line Configuration Guide 』の「Applying Application Layer Protocol Inspection」の章を参照してください。
gtp-map コマンドを使用して、GTP のパラメータの定義に使用する特定のマップを指定します。このコマンドを入力すると、システムがコンフィギュレーション モードに入って、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。GTP マップを定義したら、 inspect gtp コマンドを使用してマップをイネーブルにします。 class-map 、 policy-map 、および service-policy の各コマンドを使用して、トラフィックのクラスを定義し、inspect コマンドをクラスに適用し、ポリシーを 1 つまたはそれ以上のインターフェイスに適用します。
|
|
|
|---|---|
3 桁の Mobile Country Code(000 ~ 999)を指定します。1 桁または 2 桁の値を入力した場合は、先頭に 00 または 0 が付加されます。 |
|
例
次の例は、gtp-map コマンドを使用して、GTP のパラメータの定義に使用する特定のマップ(gtp-policy)を指定する方法を示しています。
次の例は、アクセスリストを使用して GTP トラフィックを識別し、GTP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
関連コマンド
|
|
|
|---|---|
help
指定したコマンドのヘルプ情報を表示するには、ユーザ EXEC モードで help コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
help コマンドは、すべてのコマンドについてヘルプ情報を表示します。個々のコマンドについてのヘルプは、 help コマンドの後にコマンド名を入力することで、表示できます。コマンド名を指定しないで ? を代わりに入力を入力すると、現在の特権レベルとモードで使用可能なコマンドがすべて表示されます。
pager コマンドがイネーブルになっている場合は、24 行が表示されたときに、表示が一時停止して次のプロンプトが表示されます。
More プロンプトは UNIX の more コマンドと同様のシンタックスを使用します。このシンタックスを次に示します。
例
次の例は、 rename コマンドのヘルプを表示する方法を示しています。
hostname# help rename
USAGE:
rename /noconfirm [{disk0:|disk1:|flash:}] <source path> [{disk0:|disk1:
|flash:}] <destination path>
DESCRIPTION:
rename Rename a file
SYNTAX:
/noconfirm No confirmation
{disk0:|disk1:|flash:} Optional parameter that specifies the filesystem
<source path> Source file path
<destination path> Destination file path
hostname#
次の例は、コマンド名と疑問符を入力してヘルプを表示する方法を示しています。
usage: enable password <pwd> [encrypted]
コア コマンド(show、no、clear 以外のコマンド)についてのヘルプは、コマンド プロンプトで ? を入力します。
aaa Enable, disable, or view TACACS+ or RADIUS
user authentication, authorization and accounting
関連コマンド
|
|
|
|---|---|
homepage
この WebVPN ユーザまたはグループポリシーに対して、ログイン後すぐに表示する Web ページの URL を指定するには、WebVPN モードで homepage コマンドを使用します。WebVPN モードには、グループポリシー モードまたはユーザ名モードから入ります。設定済みのホーム ページ( homepage none コマンドを発行して作成されたヌル値を含む)を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。ホーム ページを継承しないようにするには、 homepage none コマンドを使用します。
homepage {value url-string | none}
シンタックスの説明
WebVPN ホーム ページを使用しないことを指定します。ヌル値を設定して、ホーム ページを拒否します。ホーム ページを継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、FirstGroup というグループポリシーのホーム ページとして www.example.com を指定する方法を示しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。WebVPN モードに入って、グループポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
hostname
セキュリティ アプライアンスのホスト名を設定するには、グローバル コンフィギュレーション モードで hostname コマンドを使用します。デフォルトのホスト名に戻すには、このコマンドの no 形式を使用します。ホスト名はコマンドライン プロンプトとして表示されます。複数のデバイスに対してセッションを確立している場合は、ホスト名を見ることでコマンドの入力場所を把握できます。
シンタックスの説明
最大 63 文字のホスト名を指定します。ホスト名の先頭と末尾はアルファベットまたは数字にする必要があります。それ以外の部分に使用できる文字はアルファベット、数字、またはハイフンのみです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードの場合、システム実行スペースに設定したホスト名は、すべてのコンテキストのコマンドライン プロンプトに表示されます。
コンテキスト内にオプションで設定したホスト名は、コマンドラインに表示されませんが、 banner コマンドの $(hostname) トークンに使用できます。
例
関連コマンド
|
|
|
|---|---|
html-content-filter
このユーザまたはグループポリシーに対して、WebVPN セッションの Java、ActiveX、イメージ、スクリプト、クッキーをフィルタリングするには、WebVPN モードで html-content-filter コマンドを使用します。WebVPN モードには、グループポリシー モードまたはユーザ名モードから入ります。コンテンツ フィルタを削除するには、このコマンドの no 形式を使用します。すべてのコンテンツ フィルタ( html-content-filter none コマンドを発行して作成されたヌル値を含む)を削除するには、引数を指定しないでこのコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。html コンテンツ フィルタを継承しないようにするには、 html-content-filter none コマンドを使用します。
html-content-filter { java | images | scripts | cookies | none }
no html-content-filter [ java | images | scripts | cookies | none ]
シンタックスの説明
Java と ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> タグを削除します)。 |
|
フィルタリングを実行しないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリングの値を継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、FirstGroup というグループポリシーに対して、JAVA、ActiveX、クッキー、およびイメージのフィルタリングを設定する方法を示しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。WebVPN モードに入って、グループポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル コンフィギュレーション値を設定できます。 |
http
セキュリティ アプライアンスの内部にある HTTP サーバにアクセスできるホストを指定するには、グローバル コンフィギュレーション モードで http コマンドを使用します。1 つまたは複数のホストを削除するには、このコマンドの no 形式を使用します。このアトリビュートをコンフィギュレーションから削除するには、引数を指定しないでこのコマンドの no 形式を使用します。
http ip_address subnet_mask interface_name
シンタックスの説明
ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスの名前を指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、IP アドレス 10.10.99.1 およびサブネット マスク 255.255.255.255 のホストが外部インターフェイス経由で HTTP サーバにアクセスできるようにする方法を示しています。
次の例は、すべてのホストが外部インターフェイス経由で HTTP サーバにアクセスできるようにする方法を示しています。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
http authentication-certificate
HTTPS 接続を確立しようとするユーザに、証明書による認証を要求するには、グローバル コンフィギュレーション モードで http authentication-certificate コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。コンフィギュレーションからすべての http authentication-certificate コマンドを削除するには、引数を指定しないで no 形式を使用します。
セキュリティ アプライアンスは、PKI トラスト ポイントに対して証明書を検証します。証明書が検証に合格しなかった場合、セキュリティ アプライアンスは SSL 接続を閉じます。
http authentication-certificate interface
no http authentication-certificate [ interface ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
証明書認証はインターフェイスごとに設定できます。その結果、信頼できるインターフェイスまたは内部インターフェイス上の接続については証明書の提示が不要になります。コマンドを複数回使用すれば、複数のインターフェイス上で証明書認証をイネーブルにできます。
URL は検証後に判明します。そのため、検証は WebVPN と ASDM アクセスの両方に影響します。
ASDM は、この値のほかに、独自の認証方式を使用します。つまり、証明書認証とユーザ名/パスワード認証の両方が設定されている場合は、両方の認証を要求し、証明書認証がディセーブルの場合は、ユーザ名/パスワード認証のみを要求します。
例
次の例は、outside と external というインターフェイスに接続しようとするクライアントに証明書認証を要求する方法を示しています。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスを指定します。 |
|
http redirect
セキュリティ アプライアンスが HTTP 接続を HTTPS にリダイレクトするように指定するには、グローバル コンフィギュレーション モードで http redirect コマンドを使用します。指定した http redirect コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。すべての http redirect コマンドをコンフィギュレーションから削除するには、引数を指定しないでこのコマンドの no 形式を使用します。
http redirect interface [ port ]
no http redirect [ interface ]
シンタックスの説明
セキュリティ アプライアンスが HTTP 要求を HTTPS にリダイレクトする対象となるインターフェイスを指定します。 |
|
セキュリティ アプライアンスが HTTP 要求をリスンするポートを指定します。HTTP 要求は後で HTTPS にリダイレクトされます。デフォルトでは、ポート 80 上でリスンします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスが、HTTP を許可するアクセスリストを要求します。要求がない場合、セキュリティ アプライアンスは、ポート 80 または HTTP 用に設定した他のポートすべてをリスンしません。
例
次の例は、デフォルト ポート 80 のままで、内部インターフェイスの HTTP リダイレクトを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスを指定します。 |
|
http server enable
セキュリティ アプライアンスの HTTP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで http server enable コマンドを使用します。HTTP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、HTTP サーバをイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバにアクセスするときに通過するセキュリティ アプライアンス インターフェイスを指定します。 |
|
http-map
高度な HTTP 検査のパラメータを適用するための HTTP マップを作成するには、グローバル コンフィギュレーション モードで http-map コマンドを使用します。コマンドを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アプリケーション ファイアウォールとしても知られる高度な HTTP 検査機能は、HTTP メッセージが RFC 2616 に準拠していること、RFC で定義およびサポートされている拡張方式を使用していること、および他のさまざまな基準を満たしていることを確認します。この機能を使用すると、攻撃者が HTTP メッセージを使用してネットワーク セキュリティ ポリシーを回避することを防止できます。
(注) HTTP マップを使用して HTTP 検査をイネーブルにすると、デフォルトでは、アクション reset および log を使用した厳密な HTTP 検査がイネーブルになります。検査に合格しない場合に実行されるアクションは変更できますが、HTTP マップがイネーブルのままである限り、厳密な検査をディセーブルにすることはできません。
多くの場合、基準と、その基準が満たされないときのセキュリティ アプライアンスの応答を設定できます。HTTP メッセージに適用できる基準には、次のものがあります。
• リスト(設定可能)に挙げられているメソッドを含んでいない。
• メッセージ本文のサイズが、制限値(設定可能)以下である。
• 要求と応答のメッセージ ヘッダーのサイズが、制限値(設定可能)以下である。
• メッセージ本文の content-type が、ヘッダーと一致している。
• 応答メッセージの content-type が、要求メッセージの accept-type フィールドと一致している。
• メッセージの content-type が、事前定義済みの内部リストに挙げられている。
• メッセージが、RFC による HTTP 形式の基準を満たしている。
• 選択したサポート可能アプリケーションが存在している(または、存在していない)。
• 選択した符号化タイプが存在している(または、存在していない)。
(注) 基準を満たさないメッセージに対して指定できるアクションは、allow、reset、drop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。
表 5-2 は、HTTP マップ コンフィギュレーション モードで使用可能なコンフィギュレーション コマンドを要約しています。エントリをクリックするとコマンドのページが開き、各コマンドの詳細なシンタックスが表示されます。
|
|
|
|---|---|
例
次の出力例は、HTTP トラフィックを識別し、HTTP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
この例では、次のコンテンツを含んでいるトラフィックをセキュリティ アプライアンスが検出したときに、接続をリセットして syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
http-proxy
HTTP プロキシ サーバを設定するには、WebVPN モードで http-proxy コマンドを使用します。HTTP プロキシ サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
このプロキシ サーバは、セキュリティ アプライアンスが HTTP 要求に使用する外部プロキシ サーバです。
シンタックスの説明
HTTP プロキシ サーバが使用するポートを指定します。デフォルト ポートは 80 です。値を指定しない場合、セキュリティ アプライアンスはこのポートを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、ポート 80 を使用する IP アドレス 10.10.10.7 の HTTP プロキシ サーバを設定する方法を示しています。
hostname(config)# webvpn
https-proxy
HTTPS プロキシ サーバを設定するには、WebVPN モードで https-proxy コマンドを使用します。HTTPS プロキシ サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
このプロキシ サーバは、セキュリティ アプライアンスが HTTPS 要求に使用する外部プロキシ サーバです。
シンタックスの説明
HTTPS プロキシ サーバが使用するポートを指定します。デフォルト ポートは 443 です。値を指定しない場合、セキュリティ アプライアンスはこのポートを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、ポート 443 を使用する IP アドレス 10.10.10.1 の HTTPS プロキシ サーバを設定する方法を示しています。
hostname(config)# webvpn
hw-module module recover
TFTP サーバからインテリジェント SSM(たとえば、AIP SSM)にリカバリ ソフトウェア イメージをロードする場合や、TFTP サーバにアクセスするためのネットワーク設定値を設定する場合は、特権 EXEC モードで hw-module module recover コマンドを使用します。SSM でローカル イメージをロードできないような場合は、このコマンドを使用して SSM を回復することが必要となる場合があります。このコマンドは、インターフェイスの SSM(4GE SSM など)に対しては使用できません。
hw-module module 1 recover { boot | stop | configure [ url tfp_url | ip port_ip_address | gateway gateway_ip_address | vlan vlan_id ]}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用できるのは、SSM が Up、Down、Unresponsive、または Recovery 状態にある場合のみです。状態については、 show module コマンドを参照してください。
例
次の例では、TFTP サーバからイメージをダウンロードするように SSM を設定します。
関連コマンド
|
|
|
|---|---|
hw-module module reload
インテリジェント SSM ソフトウェア(たとえば、AIP SSM)をリロードするには、特権 EXEC モードで hw-module module reload コマンドを使用します。このコマンドは、インターフェイスの SSM(4GE SSM など)に対しては使用できません。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドが有効となるのは、SSM の状態が Up の場合のみです。状態については、 show module コマンドを参照してください。
このコマンドは、同じくハードウェア リセットを実行する hw-module module reset コマンドとは異なります。
例
関連コマンド
|
|
|
|---|---|
hw-module module reset
SSM ハードウェアをシャットダウンし、リセットするには、特権 EXEC モードで hw-module module reset コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドが有効となるのは、SSM の状態が Up、Down、Unresponsive、または Recover の場合のみです。状態については、 show module コマンドを参照してください。
SSM が Up 状態にある場合、 hw-module module reset コマンドを使用すると、リセットする前にソフトウェアをシャットダウンするよう求められます。
インテリジェント SSM(たとえば、AIP SSM)を回復するには、 hw-module module recover コマンドを使用します。SSM が Recover 状態にあるときに hw-module module reset を入力しても、SSM はリカバリ プロセスを中断しません。 hw-module module reset コマンドは、SSM のハードウェア リセットを実行します。ハードウェア リセット後に、SSM のリカバリが続行されます。SSM がハングした場合は、リカバリ中でも SSM をリセットできます。ハードウェア リセットにより、問題が解決する場合があります。
このコマンドは、ソフトウェアのリロードのみを行いハードウェア リセットを行わない hw-module module reload コマンドとは異なります。
例
次の例では、Up 状態にあるスロット 1 の SSM をリセットします。
関連コマンド
|
|
|
|---|---|
hw-module module shutdown
SSM ソフトウェアをシャットダウンするには、特権 EXEC モードで hw-module module shutdown コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSM ソフトウェアをシャットダウンすると、コンフィギュレーション データを失わずに SSM の電源を安全にオフにできる状態になります。
このコマンドが有効となるのは、SSM の状態が Up または Unresponsive の場合のみです。状態については、 show module コマンドを参照してください。
例
次の例では、スロット 1 の SSM をシャットダウンします。
関連コマンド
|
|
|
|---|---|
icmp
セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対してアクセス規則を設定するには、 icmp コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
シンタックスの説明
デフォルト
デフォルトでは、セキュリティ アプライアンスは、セキュリティ アプライアンス インターフェイス への ICMP トラフィックをすべて許可します。ただし、デフォルトでは、セキュリティ アプライアンスはブロードキャスト アドレス宛ての ICMP エコー要求には応答しません。また、セキュリティ アプライアンスは、保護されたインターフェイス上の宛先に対する、外部インターフェイスで受信した ICMP メッセージを拒否します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp コマンドは、すべてのセキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、セキュリティ アプライアンスは、すべてのインターフェイス(外部インターフェイスを含む)で終端する ICMP トラフィックをすべて受け入れます。ただし、デフォルトでは、セキュリティ アプライアンスはブロードキャスト アドレス宛ての ICMP エコー要求には応答しません。
icmp deny コマンドは、インターフェイスへの ping をディセーブルにし、icmp permit コマンドは、インターフェイスへの ping をイネーブルにします。ping をディセーブルにすると、セキュリティ アプライアンスがネットワーク上で検出できなくなります。これは、設定可能なプロキシ ping とも呼ばれます。
保護されたインターフェイス上の宛先に向けてセキュリティ アプライアンス 経由で ルーティングされる ICMP トラフィックについては、 access-list extended コマンドまたは access-group コマンドを使用します。
ICMP 到達不能メッセージ タイプ(タイプ 3)は、許可することを推奨します。ICMP 到達不能メッセージを拒否すると、Path MTU Discovery がディセーブルになるため、IPSec トラフィックと PPTP のトラフィックが停止される場合があります。Path MTU Discovery の詳細については、RFC 1195 と RFC 1435 を参照してください。
ICMP コントロール リストがインターフェイスに設定されている場合、セキュリティ アプライアンスは、指定された ICMP トラフィックと最初に一致したエントリを使用し、それ以外の当該インターフェイス上の ICMP トラフィックをすべて暗黙的に拒否します。つまり、最初に一致したエントリが許可エントリの場合、その ICMP パケットは処理が続けられます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合は、セキュリティ アプライアンスがその ICMP パケットを廃棄し、syslog メッセージを生成します。例外は、ICMP コントロール リストが設定されていない場合で、その場合は、 permit ステートメントがあるものとみなされます。
表 5-3 に、サポートされている ICMP タイプの値を示します。
|
|
|
|---|---|
例
次の例では、外部インターフェイスで、すべての ping 要求を拒否し、すべての到達不能メッセージを許可します。
次の例では、ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 上のホストに、外部インターフェイスへの ping を許可します。
関連コマンド
|
|
|
|---|---|
icmp-object
icmp-type オブジェクト グループを追加するには、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp-object コマンドは、 object-group コマンドと組み合せることで、icmp-type オブジェクトを定義します。このコマンドは、icmp-type コンフィギュレーション モードで使用されます。
|
|
|
|---|---|
例
次の例は、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用する方法を示しています。
関連コマンド
|
|
|
|---|---|
id-cert-issuer
このトラストポイントに関連付けられている CA から発行されたピア証明書をシステムで受け入れるかどうかを示すには、暗号 CA トラストポイント コンフィギュレーション モードで id-cert-issuer コマンドを使用します。トラストポイントに関連付けられている CA から発行された証明書を拒否するには、このコマンドの no 形式を使用します。このコマンドは、広く使用されるルート CA を表すトラストポイントに対して有用です。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、広く使用されるルート CA の下位 CA から発行された証明書のみを受け入れるようにする場合に使用します。この機能を使用可能にしない場合は、セキュリティ アプライアンスが、この発行者によって署名された IKE ピア証明書をすべて拒否します。
例
次の例では、central トラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入り、central トラストポイントの発行者によって署名された ID 証明書の受け入れを管理者に許可します。
関連コマンド
|
|
|
|---|---|
igmp
インターフェイス上で IGMP 処理を初期化するには、インターフェイス コンフィギュレーション モードで igmp コマンドを使用します。インターフェイス上で IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、選択したインターフェイス上で IGMP 処理をディセーブルにします。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスに直接接続される受信者を保持していて、IGMP を通じてラーニングされたマルチキャスト グループを表示します。 |
|
igmp access-group
インターフェイスを利用するサブネット上のホストが加入できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで igmp access-group コマンドを使用します。インターフェイス上でグループをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
IP アクセスリストの名前。標準アクセスリスト、拡張アクセスリスト、またはその両方を指定できます。ただし、拡張アクセスリストを指定した場合、一致するのは宛先アドレスのみです。そのため、送信元には any を指定する必要があります。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
例
次の例では、アクセスリスト 1 で許可されたホストだけがグループに加入できるようにします。
関連コマンド
|
|
|
|---|---|
igmp forward interface
すべての IGMP ホスト レポートの転送をイネーブルにし、指定したインターフェイスでメッセージが受信される状態にするには、インターフェイス コンフィギュレーション モードで igmp forward interface コマンドを使用します。転送を解除するには、このコマンドの no 形式を使用します。
igmp forward interface if-name
no igmp forward interface if-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドを入力インターフェイス上で入力します。このコマンドはスタブ マルチキャスト ルーティング用であるため、このコマンドに PIM を同時に設定することはできません。
例
次の例では、IGMP ホスト レポートを現在のインターフェイスから指定のインターフェイスに転送します。
関連コマンド
|
|
|
|---|---|
igmp join-group
インターフェイスを、指定したグループのローカルに接続されたメンバーとして設定するには、インターフェイス コンフィギュレーション モードで igmp join-group コマンドを使用します。グループのメンバーシップをキャンセルするには、このコマンドの no 形式を使用します。
no igmp join-group group-address
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドは、セキュリティ アプライアンス インターフェイスをマルチキャスト グループのメンバーとして設定します。 igmp join-group コマンドを使用すると、セキュリティ アプライアンスは、指定されたマルチキャスト グループ宛てのマルチキャスト パケットを受け入れて、転送します。
マルチキャスト グループのメンバーにしないで、セキュリティ アプライアンスがマルチキャスト トラフィックを転送するように設定するには、 igmp static-group コマンドを使用します。
例
次の例では、選択したインターフェイスが IGMP グループ 255.2.2.2 に加入するように設定します。
関連コマンド
|
|
|
|---|---|
igmp limit
IGMP の状態の数をインターフェイスごとに制限するには、インターフェイス コンフィギュレーション モードで igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
インターフェイス上で許可する IGMP の状態の数。有効値の範囲は 0 ~ 500 です。デフォルト値は 500 です。値を 0 に設定すると、ラーニングされたグループが追加されなくなります。ただし、メンバーシップを手動で定義することは引き続き可能です( igmp join-group コマンドと igmp static-group コマンドを使用します)。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、インターフェイス上で加入できるホストの数を 250 に制限します。
関連コマンド
|
|
|
|---|---|
igmp query-interval
インターフェイスが IGMP ホスト クエリー メッセージを送信する頻度を設定するには、インターフェイス コンフィギュレーション モードで igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。
no igmp query-interval seconds
シンタックスの説明
IGMP ホスト クエリー メッセージを送信する頻度(秒単位)。有効となる値の範囲は、1 ~ 3,600 秒です。デフォルトは 125 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
マルチキャスト ルータは、ホスト クエリー メッセージを送信して、インターフェイスに接続されたネットワーク上のメンバーを含むマルチキャスト グループを検出します。ホストは、特定のグループ宛てのマルチキャスト パケットを受信する必要があることを示す IGMP レポート メッセージを使用して応答します。ホスト クエリー メッセージは、アドレス 224.0.0.1 および TTL 値 1 の all-hosts マルチキャスト グループに宛先指定されます。
IGMP ホスト クエリー メッセージを送信するルータは、LAN の指定ルータのみです。
• IGMP バージョン 1 の場合、指定ルータは、LAN 上で動作するマルチキャスト ルーティング プロトコルに応じて選定されます。
• IGMP バージョン 2 の場合、指定ルータは、サブネット上で最も低い IP アドレスを持つマルチキャスト ルータになります。
ルータがタイムアウト期間(期間は igmp query-timeout コマンドで制御される)にクエリーを受信しなかった場合は、そのルータがクエリー発行者になります。
例
次の例では、IGMP クエリー間隔を 120 秒に変更します。
関連コマンド
|
|
|
|---|---|
前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-max-response-time
IGMP クエリーでアドバタイズされる最長応答期間を指定するには、インターフェイス コンフィギュレーション モードで igmp query-max-response-time コマンドを使用します。応答期間をデフォルト値に戻すには、このコマンドの no 形式を使用します。
igmp query-max-response-time seconds
no igmp query-max-response-time [ seconds ]
シンタックスの説明
IGMP クエリーでアドバタイズされる最長応答期間(秒単位)。有効な値は 1 ~ 25 秒です。デフォルト値は 10 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドが有効となるのは、IGMP バージョン 2 または 3 が動作している場合のみです。
このコマンドは、応答者が IGMP クエリー メッセージに応答できる期間を制御します。この期間を過ぎると、ルータがグループを削除します。
例
関連コマンド
|
|
|
|---|---|
前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-timeout
前のクエリー発行者がクエリーを停止してから、インターフェイスがクエリー発行者を引き継ぐまでのタイムアウト期間を設定するには、インターフェイス コンフィギュレーション モードで igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no igmp query-timeout [ seconds ]
シンタックスの説明
前のクエリー発行者がクエリーを停止してから、ルータがクエリー発行者を引き継ぐまで待機する秒数。有効な値は 60 ~ 300 秒です。デフォルト値は 255 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、最後にクエリーを受信してから、インターフェイスのクエリー発行者を引き継ぐまで 200 秒待機するようルータを設定します。
関連コマンド
|
|
|
|---|---|
igmp static-group
インターフェイスを、指定したマルチキャスト グループのスタティックに接続されたメンバーとして設定するには、インターフェイス コンフィギュレーション モードで igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
igmp static-group コマンドを使用して設定すると、セキュリティ アプライアンス インターフェイスは、指定されたグループそのものを宛先とするマルチキャスト パケットを受け入れずに、転送します。指定されたマルチキャスト グループ宛てのマルチキャスト パケットを受け入れて、転送するようにセキュリティ アプライアンスを設定するには、 igmp join-group コマンドを使用します。 igmp join-group コマンドに igmp static-group コマンドと同じグループ アドレスを設定した場合は、 igmp join-group コマンドが優先され、グループはローカルに加入しているグループのように動作します。
例
次の例では、選択したインターフェイスをマルチキャスト グループ 239.100.100.101 に追加します。
関連コマンド
|
|
|
|---|---|
igmp version
インターフェイスが使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで igmp version コマンドを使用します。バージョンをデフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
サブネット上のルータはすべて、同じバージョンの IGMP をサポートする必要があります。ホストは任意の IGMP バージョン(1 または 2)を使用できます。また、セキュリティ アプライアンスは、ホストの存在を検出して、適切にクエリーします。
igmp query-max-response-time コマンドや igmp query-timeout コマンドなど、一部のコマンドでは IGMP バージョン 2 が必要です。
例
次の例では、選択したインターフェイスが IGMP バージョン 1 を使用するように設定します。
関連コマンド
|
|
|
|---|---|
前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。 |
ignore lsa mospf
ルータが link-state advertisement(LSA; リンクステート アドバタイズメント)のタイプ 6 Multicast OSPF(MOSPF)パケットを受信した際に、syslog メッセージを送信しないようにするには、ルータ コンフィギュレーション モードで ignore lsa mospf コマンドを使用します。syslog メッセージを送信する設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、LSA タイプ 6 MOSPF パケットが無視されるようにします。
関連コマンド
|
|
|
|---|---|
imap4s
IMAP4S コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで imap4s コマンドを使用します。IMAP4S コマンド モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。
IMAP4 は、インターネット サーバがユーザ宛ての電子メールを受信および保管するためのクライアント/サーバ プロトコルです。ユーザ(または電子メール クライアント)は、メールのヘッダーおよび送信者のみを表示して、メールをダウンロードするかどうかを決めることができます。また、サーバ上に複数のフォルダやメールボックスを作成して操作する、メッセージを削除する、または特定部分やメッセージ全体を検索することもできます。メールを操作する間、IMAP はサーバに継続的にアクセスする必要があります。IMAP4S を使用すると、SSL 接続上で電子メールを受信できます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、IMAP4S コンフィギュレーション モードに入る方法を示しています。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
inspect ctiqbe
CTIQBE プロトコル検査をイネーブルにするには、クラス コンフィギュレーション モードで inspect ctiqbe コマンド を使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。検査をディセーブルにするには、このコマンドの no 形式を使用します。
デフォルト
このコマンドは、デフォルトではディセーブルになっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは 7.0(1) で導入されました。このコマンドにより、既存の fixup コマンドは置き換えられて廃止されました。 |
使用上のガイドライン
inspect ctiqbe コマンドは、NAT、PAT、および双方向 NAT をサポートする CTIQBE プロトコル検査をイネーブルにします。これにより、Cisco IP SoftPhone と他の Cisco TAPI/JTAPI アプリケーションが Cisco CallManager と正常に連携動作して、 セキュリティ アプライアンスを通じてコール セットアップを実行できるようになります。
Telephony Application Programming Interface(TAPI)と Java Telephony Application Programming Interface(JTAPI)は、多くの Cisco VoIP アプリケーションで使用されます。Computer Telephony Interface Quick Buffer Encoding(CTIQBE)は、Cisco TAPI Service Provider(TSP)が Cisco CallManager と通信するために使用します。
次に、CTIQBE アプリケーション検査を使用するときに適用される制限を要約します。
• CTIQBE アプリケーション検査では、alias コマンドを使用したコンフィギュレーションはサポートされません。
• CTIQBE コールのステートフル フェールオーバーはサポートされません。
• debug ctiqbe コマンドを使用すると、メッセージ伝送が遅延する場合があります。その結果、リアルタイム環境ではパフォーマンスに影響が及ぶ場合があります。このデバッグまたはロギングをイネーブルにした結果、Cisco IP SoftPhone においてセキュリティ アプライアンスからのコール セットアップを完了できなくなったと思われる場合は、Cisco IP SoftPhone を実行するシステム上で Cisco TSP 設定のタイムアウト値を増やします。
• CTIQBE アプリケーション検査では、複数の TCP パケットにフラグメント化された CTIQBE メッセージはサポートされません。
次に、特定のシナリオで CTIQBE アプリケーション検査を使用する場合に特に考慮が必要な事項を要約します。
• 2 つの Cisco IP SoftPhone が別々の Cisco CallManager に登録されている場合、各 Cisco CallManager はセキュリティ アプライアンスの別々のインターフェイスに接続されているため、これら 2 つの電話間のコールは失敗します。
• Cisco CallManager が Cisco IP SoftPhone よりもセキュリティの高いインターフェイス上にあり、Cisco CallManager IP アドレスの NAT または外部 NAT が必要になる場合、Cisco IP SoftPhone では、Cisco CallManager IP アドレスを PC 上の Cisco TSP コンフィギュレーションで明示的に指定する必要があるため、マッピングはスタティックにする必要があります。
• PAT または外部 PAT を使用して、Cisco CallManager IP アドレスを変換する場合、Cisco IP SoftPhone の登録を成功させるには、その TCP ポート 2748 を PAT(インターフェイス)アドレスの同じポートにスタティックにマッピングする必要があります。CTIQBE リスニング ポート(TCP 2748)は固定されており、Cisco CallManager、Cisco IP SoftPhone、または Cisco TSP 上でユーザが設定変更することはできません。
シグナリング メッセージを検査する場合、 inspect ctiqbe コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect ctiqbe コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect ctiqbe コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例に示すように、CTIQBE 検査エンジンをイネーブルにします。この例では、デフォルト ポート(2748)上の CTIQBE トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して CTIQBE 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスを越えて確立された CTIQBE セッションに関する情報を表示します。CTIQBE 検査エンジンによって割り当てられたメディア接続に関する情報を表示します。 |
|
inspect cuseeme
CU-SeeMe アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect cuseeme コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect cuseeme コマンドを使用すると、CU-SeeMe アプリケーションに対してアプリケーション検査を実行できます。
port オプションを使用して、デフォルトのポート割り当てを 389 から変更します。- port オプションを使用して、ILS 検査を一定範囲のポート番号に適用します。
CU-SeeMe クライアントを使用すると、ユーザは別のユーザ(CU-SeeMe または他の H.323 クライアント)に直接接続して、両ユーザ間でオーディオ、ビデオ、およびデータのコラボレーションを行うことができます。CU-SeeMe クライアントは、CU-SeeMe クライアントおよび他のベンダーの H.323 準拠クライアントを両方含む混合クライアント環境で会議を行うことができます。
バックグラウンドでは、CU-SeeMe クライアントは、2 つの異なるモードで動作します。別の
CU-SeeMe クライアントまたは CU-SeeMe Conference Server に接続された場合、クライアントは CU-SeeMe モードで情報を送信します。
異なるベンダーの H.323 準拠ビデオ会議クライアントに接続された場合、CU-SeeMe クライアントは H.323 モードで H.323 標準の形式を使用して通信します。
CU-SeeMe は、H.323 検査でサポートされるほか、UDP ポート 7648 上で動作する CU-SeeMe 制御ストリーム上で NAT を実行します。
例
次の例に示すように、CU-SeeMe 検査エンジンをイネーブルにします。この例では、デフォルト ポート(7648)上の CU-SeeMe トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して CU-SeeMe 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect dns
DNS 検査をイネーブルにするには(以前にディセーブルにした場合)、クラス コンフィギュレーション モードで inspect dns コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。DNS パケットの最大長を指定するには、inspect dns コマンドを使用します。DNS 検査をディセーブルにするには、このコマンドの no 形式を使用します。
inspect dns [ maximum-length max_pkt_length ]
no inspect dns [ maximum-length max_pkt_length ]
シンタックスの説明
(オプション)DNS パケットの最大長を指定します。デフォルトは 512 です。 inspect dns コマンドを入力するときに maximum-length オプションを指定しない場合、DNS パケット サイズはチェックされません。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS guard は、DNS 応答がセキュリティ アプライアンスによって転送されると、DNS クエリーに関連付けられた DNS セッションをただちに停止します。DNS guard は、また、DNS 応答の ID が DNS クエリーの ID と一致していることを確認するために、メッセージ交換を監視します。
DNS 検査がイネーブルの場合(デフォルト)、セキュリティ アプライアンスは次の追加タスクを実行します。
• alias 、 static 、および nat コマンドを使用して完成したコンフィギュレーションに基づいて、DNS レコードを変換する(DNS リライト)。変換が適用されるのは、DNS 応答の A レコードのみです。そのため、PTR レコードを要求する逆ルックアップは、DNS リライトの影響を受けません。
(注) DNS リライトは PAT には適用できません。これは、A レコードごとに複数の PAT 規則が適用可能であり、使用される PAT 規則があいまいになるためです。
• DNS メッセージの最大長を適用する(デフォルトは 512 バイト、最大長は 65,535 バイト)。必要に応じて再構成が実行され、パケット長が設定した最大長を超えていないことが確認されます。最大長を超えている場合、そのパケットはドロップされます。
(注) inspect dns コマンドを入力するときに maximum-length オプションを指定しない場合、DNS パケット サイズはチェックされません。
• ドメイン名の長さとして 255 バイトを、ラベルの長さとして 63 バイトを適用する。
• DNS メッセージに圧縮ポインタが出現する場合、ポインタによって参照されるドメイン名の完全性を確認する。
複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、それらのセッションに対しては接続が 1 つのみ作成されます。DNS の ID は app_id によって追跡されます。また、各 app_id のアイドル タイマーは独立して動作します。
app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内のみであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力すると、DNS 接続のアイドル タイマーが新しい DNS セッションによってリセットされることが示されます。これは共有 DNS 接続の性質によるものであり、仕様です。
DNS 検査がイネーブルの場合、DNS リライトは、任意のインターフェイスから発信される DNS メッセージの NAT をフル サポートします。
内部ネットワーク上のクライアントが内部アドレスの DNS 解決を外部インターフェイス上の DNS サーバに要求した場合、DNS A レコードは正しく変換されます。DNS 検査エンジンがディセーブルの場合、A レコードは変換されません。
• DNS クライアントがプライベート インターフェイス上にある場合、 DNS 応答 内のパブリック アドレス(ルーティング可能なアドレスまたは「マッピングされた」アドレス)を、プライベート アドレス(「実際の」アドレス)に変換する。
• DNS クライアントがパブリック インターフェイス上にある場合、プライベート アドレスをパブリック アドレスに変換する。
DNS 検査がイネーブルであれば、 alias 、static、または nat コマンドを使用して DNS リライトを設定できます。これらのコマンドのシンタックスや機能の詳細については、該当するコマンドのページを参照してください。
例
次の例では、DNS パケットの最大長を 1,500 バイトに変更します。DNS 検査はデフォルトではイネーブルになっていますが、DNS トラフィックを識別するトラフィック マップを作成し、ポリシーマップを該当するインターフェイスに適用する必要があります。
すべてのインターフェイスに対して DNS パケットの最大長を変更するには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect esmtp
SMTP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect e smtp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ESMTP アプリケーション検査では、SMTP ベースの攻撃からの保護を強化するため、セキュリティ アプライアンスを通過できる SMTP コマンドのタイプを制限し、モニタリング機能を追加しています。
ESMTP は SMTP プロトコルの機能拡張であり、あらゆる点で SMTP と類似しています。便宜上、このドキュメントでは、SMTP という用語は SMTP と ESMTP の両方を指します。拡張 SMTP のアプリケーション検査プロセスは、SMTP アプリケーション検査と類似しており、SMTP セッションのサポートを備えています。拡張 SMTP セッションで使用されるコマンドのほとんどは、SMTP セッションで使用されるものと同じですが、ESMTP セッションは、動作がはるかに高速で、配信通知ステータスなど、信頼性とセキュリティに関するオプションをより多く備えています。
inspect esmtp コマンドには、 fixup smtp コマンドで提供されていた機能が含まれています。また、一部の拡張 SMTP コマンドに対する追加サポートも含まれています。拡張 SMTP アプリケーション検査では、8 つの拡張 SMTP コマンド(AUTH、EHLO、ETRN、HELP、SAML、SEND、SOML、および VRFY)に対するサポートが追加されています。7 つの RFC 821 コマンド(DATA、HELO、MAIL、NOOP、QUIT、RCPT、および RSET)に対するサポートを合わせると、セキュリティ アプライアンスは合計 15 の SMTP コマンドをサポートしています。
他の拡張 SMTP コマンド(ATRN、STARTLS、ONEX、VERB、CHUNKING など)やプライベート拡張はサポートされていません。サポート対象外のコマンドは、内部サーバにより拒否される X に変換されます。この結果は、「500 Command unknown: 'XXX'」のようなメッセージで表示されます。不完全なコマンドは、廃棄されます。
inspect smtp コマンドを入力した場合、セキュリティ アプライアンスはコマンドを inspect esmtp に自動的に変換します。このコンフィギュレーションは、 show running-config コマンドを入力すると表示されます。
inspect esmtp コマンドは、SMTP バナーの文字を、「2」、「0」、「0」の文字を除いて、アスタリスクに変更します。復帰(CR)と改行(LF)は、無視されます。
SMTP 検査がイネーブルの場合、次の規則が順守されていないときは、対話型の SMTP に使用される Telnet セッションがハングする場合があります。この規則とは、SMTP コマンドは少なくとも 4 文字の長さが必要である、SMTP コマンドは改行と復帰で終了する必要がある、次の返信を発行する前に応答を待つ必要がある、というものです。
SMTP サーバは、数値の応答コードと任意の読み取り可能な文字によって、クライアントの要求に応答します。SMTP アプリケーション検査は、ユーザが使用できるコマンドや、サーバが返すメッセージを制御および削減します。SMTP 検査は、次の 3 つの主要なタスクを実行します。
• SMTP 要求を 7 つの基本的な SMTP コマンドと 8 つの拡張コマンドに制限する。
• 監査証跡を生成する。メール アドレスに埋め込まれていた無効な文字が置き換えられた場合、監査レコード 108002 が生成されます。詳細については、RFC 821 を参照してください。
SMTP 検査は、コマンドと応答のシーケンスを監視して、次の異常なシグニチャを検出します。
• コマンドの不正な終了(<CR><LR> で終了していない)。
• MAIL コマンドと RCPT コマンドには、メールの送信者と受信者が指定されています。不正な文字が含まれているかどうか、メール アドレスがスキャンされます。パイプライン文字 | は削除されます(スペースに変更されます)。ただし、 | はメール アドレスの定義に使用されている場合にのみ許可されます( | の前に「<」があることが条件です)。
• 未知のコマンドがあると、セキュリティ アプライアンスはパケット内のすべての文字を X に変更します。この場合、サーバは、クライアントに対するエラー コードを生成します。パケット内が変更されるため、TCP チェックサムの再計算または調整が必要になります。
例
次の例に示すように、SMTP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(25)上の SMTP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して SMTP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect ftp
FTP 検査用のポートを設定する場合や、高度な検査をイネーブルにする場合は、クラス コンフィギュレーション モードで inspect ftp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
inspect ftp [ strict [ map_name ]]
no inspect ftp [ strict [ map_name ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが導入され、 fixup コマンドは置き換えられて廃止されました。 map_name オプションが追加されました。 |
使用上のガイドライン
FTP アプリケーション検査は、FTP セッションを検査し、次の 4 つのタスクを実行します。
FTP アプリケーション検査は、FTP データ転送用にセカンダリ チャネルを準備します。チャネルは、ファイルのアップロード、ファイルのダウンロード、またはディレクトリ一覧イベントの応答として割り当てられます。ただし、事前にネゴシエートされている必要があります。ポートは、PORT コマンドまたは PASV コマンドによってネゴシエートされます。
(注) no inspect ftp コマンドを使用して、FTP 検査エンジンをディセーブルにすると、発信ユーザはパッシブ モードだけで接続を開始でき、着信 FTP はすべてディセーブルになります。
strict オプションは、Web ブラウザが FTP 要求内の埋め込みコマンドを送信しないようにします。各 ftp コマンドは、新しいコマンドが許可される前に確認される必要があります。埋め込みコマンドを送信する接続は、ドロップされます。strict オプションは、FTP サーバが 227 コマンドを生成することだけを許可し、FTP クライアントが PORT コマンドを生成することだけを許可します。227 コマンドと PORT コマンドはチェックして、エラー文字列内に表示されないようにします。
strict オプションがイネーブルの場合、次の異常なアクティビティについて、各 ftp コマンドと応答シーケンスが追跡されます。
• 不完全なコマンド:PORT および PASV 応答コマンド内のカンマの数が 5 つかどうかが確認されます。5 つ以外の場合、PORT コマンドは不完全であると見なされ、TCP 接続は終了します。
• 不正なコマンド:RFC に規定されているように、 ftp コマンドが <CR><LF> 文字で終了しているかどうかが確認されます。異なっている場合、接続は終了します。
• RETR コマンドと STOR コマンドのサイズ:固定値になっているかどうかが確認されます。サイズが固定値より大きい場合、エラー メッセージがログに記録され、接続は終了します。
• コマンド スプーフィング:PORT コマンドは常にクライアントから送信される必要があります。PORT コマンドがサーバから送信されている場合、TCP 接続は拒否されます。
• 応答スプーフィング:PASV 応答コマンド(227)は常にサーバから送信される必要があります。PASV 応答コマンドがクライアントから送信されている場合、TCP 接続は拒否されます。この拒否により、ユーザが「227 xxxxx a1, a2, a3, a4, p1, p2」を実行した場合のセキュリティ ホールが防止されます。
• 無効なポートのネゴシエーション:ネゴシエートされたダイナミック ポートの値が 1024 未満かどうかが確認されます。1 ~ 1024 の範囲のポート番号は既知の接続用に予約されているため、ネゴシエートされたポートがこの範囲内の場合は、TCP 接続は開放されます。
• コマンドのパイプライン化:PORT および PASV 応答コマンド内のポート番号の後にある文字数が定数の 8 であるかどうかが相互確認されます。9 以上の場合、TCP 接続は終了します。
• セキュリティ アプライアンスが、SYST コマンドに対する FTP サーバの応答を一連の X に置き換え、サーバのシステム タイプが FTP クライアントに知られることを防止します。このデフォルト動作を無効にするには、FTP マップ コンフィギュレーション モードで no mask-syst-reply コマンドを使用します。
(注) セキュリティ アプライアンスを通過させない特定の FTP コマンドを指定するには、FTP マップを指定し、request-command deny コマンドを使用します。詳細については、ftp-map コマンドと request-command deny コマンドのページを参照してください。
FTP アプリケーション検査は、次のログ メッセージを生成します。
• 取得またはアップロードされた各ファイルについて、監査レコード 302002 が生成されます。
• ftp コマンドが RETR または STOR であるかが確認され、取得コマンドと格納コマンドがログに記録されます。
• ユーザ名は、IP アドレスを提供するテーブルを検索することで取得されます。
• ユーザ名、送信元 IP アドレス、宛先 IP アドレス、NAT アドレス、およびファイル操作がログに記録されます。
• メモリ不足によってセカンダリ ダイナミック チャネルの準備に失敗した場合、監査レコード 201005 が生成されます。
FTP アプリケーション検査は、NAT と連携して、アプリケーション ペイロード内の IP アドレスを変換します。詳細については、RFC 959 を参照してください。
例
次の例では、FTP トラフィックを識別し、FTP マップを定義し、ポリシーを定義し、厳密な FTP 検査をイネーブルにして、そのポリシーを外部インターフェイスに適用します。
すべてのインターフェイスに対して厳密な FTP アプリケーション検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
(注) FTP 制御接続用のポートだけを指定して、データ接続用は指定しません。セキュリティ アプライアンス ステートフル検査は、必要に応じて、ダイナミックにデータ接続を用意します。
関連コマンド
|
|
|
|---|---|
inspect gtp
GTP 検査をイネーブルまたはディセーブルにする場合や、GTP トラフィックまたはトンネルを制御するための GTP マップを定義する場合は、クラス コンフィギュレーション モードで inspect gtp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。コマンドを削除するには、このコマンドの no 形式を使用します。
(注) GTP 検査には、特別なライセンスが必要です。セキュリティ アプライアンス上で inspect gtp コマンドを入力する場合、必要なライセンスを持っていないときは、セキュリティ アプライアンス上にエラー メッセージが表示されます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
GTP は、GPRS 用のトンネリング プロトコルで、ワイヤレス ネットワーク上のセキュアなアクセスを可能にします。GPRS は、既存の GSM ネットワークを統合するために設計されたデータ ネットワーク アーキテクチャです。モバイル ユーザに対して、企業ネットワークとインターネットにアクセスするためのパケット スイッチ データ サービスを中断なく提供します。GTP の概要については、『 Cisco Security Appliance Command Line Configuration Guide 』の「Applying Application Layer Protocol Inspection」の章を参照してください。
GTP のパラメータの定義に使用する特定のマップを指定するには、 gtp-map コマンドを使用します。このコマンドを入力すると、システムがコンフィギュレーション モードに入って、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。基準を満たさないメッセージに対して指定できるアクションは、 allow 、 reset 、 drop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。
GTP マップを定義したら、 inspect gtp コマンドを使用してマップをイネーブルにします。 class-map 、 policy-map 、および service-policy の各コマンドを使用して、トラフィックのクラスを定義し、inspect コマンドをクラスに適用し、ポリシーを 1 つまたはそれ以上のインターフェイスに適用します。
ポート値として使用される gtp という文字列は、ポート値 3386 に自動的に変換されます。GTP 用の既知ポートは次のとおりです。
• NAT、PAT、外部 NAT、エイリアス、およびポリシー NAT
シグナリング メッセージを検査する場合、 inspect gtp コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect gtp コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect gtp コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例は、アクセスリストを使用して GTP トラフィックを識別し、GTP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
(注) 次の例では、デフォルト値を使用して GTP 検査をイネーブルにします。デフォルト値を変更するには、gtp-map コマンドのページと、GTP マップ コンフィギュレーション モードから入力する各コマンドのページを参照してください。
関連コマンド
|
|
|
|---|---|
inspect h323
H.323 アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect h323 コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
no inspect h323 { h225 | ras }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect h323 コマンドは、Cisco CallManager および VocalTec Gatekeeper などの H.323 に準拠したアプリケーションをサポートしています。H.323 は、International Telecommunication Union(ITU; 国際電気通信連合)が定義した LAN 上のマルチメディア会議用のプロトコル スイートです。セキュリティ アプライアンスは、One Call Signaling Channel 上の Multiple Calls の H.323 v3 機能など、Version 4 までの H.323 をサポートしています。
H.323 検査がイネーブルの場合、セキュリティ アプライアンスは、H.323 Version 3 で導入された機能である、同一のコール シグナリング チャネル上の複数のコールをサポートします。この機能を使用すると、コール セットアップ時間が短縮され、セキュリティ アプライアンス上のポートの使用も削減されます。
• H.225 および H.245 メッセージ内の必要な埋め込み IPv4 アドレスの NAT を実行する。H.323 メッセージは PER 符号化フォーマットで符号化されているため、セキュリティ アプライアンスは、ASN.1 デコーダを使用して H.323 メッセージをデコードします。
• ネゴシエートされた H.245 接続および RTP/RTCP 接続をダイナミックに割り当てる。
H.323 のプロトコル コレクションでは、集合的に、2 つまでの TCP 接続と 4 ~ 6 の UDP 接続を使用できます。FastStart は TCP 接続を 1 つだけ使用し、RAS は登録、許可、およびステータス用に 1 つの UDP 接続を使用します。
H.323 クライアントでは、最初に、TCP ポート 1720 を使用して H.323 サーバへの TCP 接続を確立し、Q.931 コールのセットアップを要求できます。コール セットアップ プロセスの一部として、H.323 端末は、H.245 TCP 接続に使用するポート番号をクライアントに提供します。H.245 接続は、コール ネゴシエーションとメディア チャネルのセットアップに使用されます。H.323 ゲートキーパーを使用している環境では、最初のパケットは UDP を使用して送信されます。
H.323 検査は、Q.931 TCP 接続を監視して、H.245 ポート番号を判別します。H.323 端末が FastStart を使用していない場合、セキュリティ アプライアンスは、H.225 メッセージの検査に基づいて、H.245 接続をダイナミックに割り当てます。
(注) H.225 接続は、RAS を使用してダイナミックに割り当てることもできます。
各 H.245 メッセージ内で、H.323 エンドポイントは、以降の UDP データ ストリームに使用するポート番号を交換します。H.323 検査は、H.245 メッセージを検査してこれらのポートを識別し、メディア交換用の接続をダイナミックに作成します。Real-Time Transport Protocol(RTP)は、ネゴシエートされたポート番号を使用しますが、RTP Control Protocol(RTCP)は、次の上位ポート番号を使用します。
H.323 コントロール チャネルは、H.225、H.245、および H.323 RAS を処理します。H.323 検査は、次のポートを使用します。
• 1718:ゲートキーパー検出に使用される UDP ポート
• 1719:RAS およびゲートキーパー検出に使用される UDP ポート
ゲートキーパーからの ACF メッセージがセキュリティ アプライアンスを通過する場合は、H.225 接続用のピンホールが空けられます。H.245 シグナリング ポートは、H.225 シグナリングのエンドポイント間でネゴシエートされます。H.323 ゲートキーパーが使用される場合、セキュリティ アプライアンスは、ACF メッセージの検査に基づいて、H.225 接続を開きます。セキュリティ アプライアンスに ACF メッセージが表示されない場合は、H.225 コール シグナリング用に既知の H.323 ポート 1720 のアクセスリストを開くことが必要となる場合があります。
セキュリティ アプライアンスは、H.225 メッセージを検査した後で、H.245 チャネルをダイナミックに割り当て、同様にフィックスアップする H.245 チャネルに接続します。これは、セキュリティ アプライアンスを通過した H.245 メッセージはすべて、H.245 アプリケーション検査を通過し、埋め込み IP アドレスの NAT が実行され、ネゴシエートされたメディア チャネルが開かれることを意味します。
H.323 ITU 標準では、信頼できる接続に送信する前に、メッセージ長を定義する TPKT ヘッダーを H.225 および H.245 の前に配置することが規定されています。TPKT ヘッダーは H.225/H.245 メッセージと同じ TCP パケットで送信されない場合もあるため、メッセージを正しく処理およびデコードするには、セキュリティ アプライアンスで TPKT 長を保持しておく必要があります。セキュリティ アプライアンスは、各接続のデータ構造を保持し、このデータ構造には、次に受信されるメッセージの TPKT 長が含まれます。
セキュリティ アプライアンスで任意の IP アドレスの NAT を実行する必要がある場合は、チェックサム、UUIE(user-user information element)の長さ、および TPKT(H.225 メッセージの TCP パケットに含まれている場合)を変更する必要があります。TPKT が別の TCP パケットで送信される場合、セキュリティ アプライアンスは TPKT のプロキシ ACK を実行し、H.245 メッセージに新しい長さの新しい TPKT を付加します。
(注) セキュリティ アプライアンスによる TPKT のプロキシ ACK では、TCP オプションはサポートされません。
H.323 検査を通過するパケットを使用する各 UDP 接続は、H.323 接続としてマークされ、 timeout コマンドを使用して設定された H.323 タイムアウトでタイムアウトします。
次に、H.323 アプリケーション検査を使用する上での既知の問題および制限の一部を示します。
• スタティック PAT は、H.323 メッセージ内のオプション フィールドに埋め込まれた IP アドレスを正しく変換しない場合があります。この種の問題が発生した場合は、H.323 に対してスタティック PAT を使用しないでください。
• NetMeeting クライアントが、H.323 ゲートキーパーに登録されている状態で、同じく H.323 ゲートキーパーに登録されている H.323 ゲートウェイにコールを発信しようとする場合、接続は確立されますが、音声が双方向で聞こえない現象が報告されています。この問題は、セキュリティ アプライアンスとは無関係です。
• ネットワーク スタティックを設定する場合、そのネットワーク スタティックがサードパーティのネットマスクおよびアドレスと同じであるときは、すべての発信 H.323 接続が失敗します。
シグナリング メッセージを検査する場合、 inspect h323 コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect h323 コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect h323 コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例に示すように、H.323 検査エンジンをイネーブルにします。この例では、デフォルト ポート(1720)上の H.323 トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して H.323 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。 |
|
inspect http
HTTP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect http コマンド を使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect http コマンドは、HTTP トラフィックに関連する可能性のある特定の攻撃やその他の脅威から保護します。HTTP 検査は、いくつかの機能を実行します。
• N2H2 または Websense を使用する URL のスクリーニング
後の 2 つの機能は、 filter コマンドと共に設定されます。
高度な HTTP 検査は、HTTP メッセージが RFC 2616 に準拠していること、RFC で定義されている方式やサポートされている拡張方式を使用していること、および他のさまざまな基準を満たしていることを確認します。多くの場合、これらの基準と、その基準が満たされないときのシステムの応答を設定できます。基準を満たさないメッセージに対して指定できるアクションは、 allow 、 reset 、 drop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。
HTTP メッセージに適用できる基準には、次のものがあります。
• リスト(設定可能)に挙げられているメソッドを含んでいない。
• HTTP トランザクションが RFC 仕様に沿っている。
• メッセージ本文のサイズが、制限値(設定可能)以下である。
• 要求と応答のメッセージ ヘッダーのサイズが、制限値(設定可能)以下である。
• メッセージ本文の content-type が、ヘッダーと一致している。
• 応答メッセージの content-type が、要求メッセージの accept-type フィールドと一致している。
• メッセージの content-type が、事前定義済みの内部リストに挙げられている。
• メッセージが、RFC による HTTP 形式の基準を満たしている。
• 選択したサポート可能アプリケーションが存在している(または、存在していない)。
• 選択した符号化タイプが存在している(または、存在していない)。
(注) 基準を満たさないメッセージに対して指定できるアクションは、allow、reset、drop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。
高度な HTTP 検査をイネーブルにするには、 inspect http http-map コマンドを使用します。このコマンドが HTTP トラフィックに適用する規則は、特定の HTTP マップで定義されます。この HTTP マップを設定するには、 http-map コマンドと HTTP マップ コンフィギュレーション モードのコマンドを入力します。
(注) HTTP マップを使用して HTTP 検査をイネーブルにすると、デフォルトでは、アクション reset および log を使用した厳密な HTTP 検査がイネーブルになります。検査に合格しない場合に実行されるアクションは変更できますが、HTTP マップがイネーブルのままである限り、厳密な検査をディセーブルにすることはできません。
例
次の例は、HTTP トラフィックを識別し、HTTP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。
この例では、次のコンテンツを含んでいるトラフィックをセキュリティ アプライアンスが検出したときに、接続をリセットして syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
inspect icmp
ICMP 検査エンジンを設定するには、クラス コンフィギュレーション モードで inspect icmp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ICMP 検査エンジンを使用すると、ICMP トラフィックを TCP および UDP トラフィックと同様に検査できます。ICMP 検査エンジンを使用しない場合は、ACL により ICMP にセキュリティ アプライアンスを通過させないことをお勧めします。ステートフル検査が実行されない場合、ICMP はネットワークの攻撃に利用されることがあります。ICMP 検査エンジンは、各要求に対する応答が 1 つだけであり、シーケンス番号が正しいことを確認します。
ICMP 検査エンジンがディセーブルの場合(デフォルト設定)、低セキュリティ インターフェイスから高セキュリティ インターフェイスへの ICMP エコー応答メッセージは拒否されます。このメッセージが ICMP エコー要求への応答である場合も同様です。
例
次の例に示すように、ICMP アプリケーション検査をイネーブルにします。この例では、ICMP プロトコル ID(IPv4 は 1、IPv6 は 58)を使用して、ICMP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して ICMP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect icmp error
ICMP エラー メッセージに対するアプリケーション検査をイネーブルにするには、クラス コンフィギュレーション モードで inspect icmp error コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp error コマンドは、スタティック/NAT のコンフィギュレーションに基づいて、ICMP エラー メッセージを送信する中間ホップの xlate を作成する場合に使用します。セキュリティ アプライアンスは、パケットを変換後の IP アドレスで上書きします。
イネーブルの場合、ICMP エラー検査エンジンは、ICMP パケットに次の変更を加えます。
• IP ヘッダーで、NAT IP が Client IP(宛先アドレス)に変更され、IP チェックサムが変更されます。
• ICMP ヘッダーで、ICMP チェックサムが ICMP パケットの変更に応じて変更されます。
–元のパケットの NAT IP が Client IP に変更されます。
–元のパケットの NAT ポートが Client Port に変更されます。
ICMP エラー メッセージが取得されると、ICMP エラー検査がイネーブルかどうかに関係なく、ICMP ペイロードがスキャンされ、元のパケットから 5 つのタプル(src ip、dest ip、src port、dest port、および ip プロトコル)が取得されます。取得された 5 つのタプルを使用して検索が実行され、クライアントの元のアドレスが判別され、特定の 5 つのタプルに関連付けられた既存のセッションが検出されます。セッションが検出されない場合、ICMP エラー メッセージはドロップされます。
例
次の例に示すように、ICMP エラー アプリケーション検査をイネーブルにします。この例では、ICMP プロトコル ID(IPv4 は 1、IPv6 は 58)を使用して、ICMP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して ICMP エラー検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect ils
ILS アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect ils コマンド を使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect ils コマンドは、LDAP を使用して ILS サーバとディレクトリ情報を交換する Microsoft NetMeeting、SiteServer、および Active Directory 製品の NAT をサポートします。
port オプションを使用して、デフォルトのポート割り当てを 389 から変更します。- port オプションを使用して、ILS 検査を一定範囲のポート番号に適用します。
セキュリティ アプライアンスは ILS の NAT をサポートしています。ILS は、ILS または SiteServer Directory のエンドポイントの登録および検出に使用されます。LDAP データベースには IP アドレスだけが保管されるため、PAT はサポートできません。
LDAP サーバが外部にある場合、検索応答を実行するには、NAT を使用して、外部 LDAP サーバに登録されている内部ピア間のローカル通信を可能にすることを考慮する必要があります。このような検索応答では、xlate、DNAT エントリの順に検索され、正しいアドレスが取得されます。両方の検索に失敗した場合、アドレスは変更されません。NAT 0 を使用している(NAT を使用していない)サイトや、DNAT 対話を想定していないサイトについては、パフォーマンスを向上させるために、検査エンジンをオフにすることをお勧めします。
ILS サーバがセキュリティ アプライアンス境界の内側にある場合は、追加の設定が必要になることがあります。この場合は、指定ポート(通常は TCP 389)上で LDAP サーバにアクセスする外部クライアント用のホールが必要です。
ILS トラフィックはセカンダリ UDP チャネルだけで発生するため、TCP 接続は、TCP 非アクティビティ間隔が経過すると切断されます。デフォルトでは、この間隔は 60 分です。間隔を調整するには、 timeout コマンドを使用します。
ILS/LDAP は、クライアント/サーバ モデルに基づいて、単一 TCP 接続上のセッションを処理します。これらのセッションの一部は、クライアントのアクションに応じて作成される場合があります。
接続のネゴシエーション中に、クライアントからサーバに対して BIND PDU が送信されます。サーバから BIND RESPONSE を正常に受信すると、他の操作メッセージ(ADD、DEL、SEARCH、または MODIFY など)が交換され、ILS Directory 上で処理が実行されます。ADD REQUEST および SEARCH RESPONSE PDU には、NetMeeting セッションを確立するために H.323(SETUP および CONNECT メッセージ)によって使用される NetMeeting ピアの IP アドレスが含まれる場合があります。Microsoft NetMeeting v2.X および v3.X では、ILS がサポートされています。
• BER デコード機能を使用して、LDAP REQUEST/RESPONSE PDU をデコードする
• BER 符号化機能を使用して、変換後のアドレスで PDU を符号化する
• 新しく符号化した PDU を TCP パケットにコピーする
• 複数のディレクトリに別々の ID を持つ単一ユーザは、NAT では認識できません。
(注) H225 コール シグナリング トラフィックはセカンダリ UDP チャネルだけで発生するため、TCP 接続は、TCP timeout コマンドで指定された間隔が経過すると切断されます。この間隔は、デフォルトでは 60 分に設定されています。
例
次の例に示すように、ILS 検査エンジンをイネーブルにします。この例では、デフォルト ポート(389)上の ILS トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して ILS 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect mgcp
MGCP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect mgcp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
MGCP を使用する場合、通常、少なくとも 2 つの inspect コマンドを設定する必要があります。1 つはゲートウェイがコマンドを受信するポート用で、もう 1 つは Call Agent がコマンドを受信するポート用です。通常、Call Agent は、ゲートウェイのデフォルトの MGCP ポート 2427 にコマンドを送信し、ゲートウェイは、Call Agents のデフォルトの MGCP ポート 2727 にコマンドを送信します。
MGCP は、メディア ゲートウェイ コントローラまたはコール エージェントと呼ばれる外部のコール制御要素からメディア ゲートウェイを制御するために使用されます。メディア ゲートウェイは、一般的に、電話回線上で伝送されるオーディオ信号と、インターネットまたは他のパケット ネットワーク上で伝送されるデータ パケットとの変換を行うネットワーク要素です。MGCP で NAT および PAT を使用すると、限られた数の外部(グローバル)アドレスで、内部ネットワーク上の多数のデバイスをサポートできます。
• トランキング ゲートウェイ。これは、電話網と Voice over IP ネットワーク間のインターフェイスです。このゲートウェイは、一般的に、多数のデジタル回線を管理します。
• レジデンシャル ゲートウェイ。これは、Voice over IP ネットワークに従来のアナログ(RJ11)インターフェイスを提供します。レジデンシャル ゲートウェイの例には、ケーブル モデム/ケーブル セットトップ ボックス、xDSL デバイス、ブロードバンド ワイヤレス デバイスなどがあります。
• ビジネス ゲートウェイ。これは、Voice over IP ネットワークに従来のデジタル PBX インターフェイスまたは統合 soft PBX インターフェイスを提供します。
MGCP メッセージは、UDP 上で転送されます。応答は、コマンドの送信元アドレス(IP アドレスおよび UDP ポート番号)に返送されますが、コマンドの宛先と同じアドレスから返送されない場合があります。この状況が発生するのは、複数のコール エージェントがフェールオーバー コンフィギュレーションで使用され、コマンドを受信したコール エージェントからバックアップ コール エージェントに制御が渡された後で、バックアップ コール エージェントが応答を返送する場合です。
(注) MGCP コール エージェントは、AUEP メッセージを送信して、MGCP エンドポイントが存在するかどうかを判別します。この結果、セキュリティ アプライアンスからのフローが確立され、MGCP エンドポイントがコール エージェントに登録できるようになります。
1 つ以上のコール エージェントおよびゲートウェイの IP アドレスを設定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドと gateway コマンドを使用します。コマンド キューに一度に入れることができる MGCP コマンドの最大数を指定するには、MGCP マップ コンフィギュレーション モードで command-queue コマンドを使用します。
シグナリング メッセージを検査する場合、 inspect mgcp コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect mgcp コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect mgcp コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例は、MGCP トラフィックを識別し、MGCP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。この例では、デフォルト ポート(2427 および 2727)上の MGCP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
このコンフィギュレーションにより、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようになり、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようになります。キューに入れることができる MGCP コマンドの最大数は、150 です。
関連コマンド
|
|
|
|---|---|
inspect netbios
NetBIOS アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect netbios コマンド を使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
シンタックスの説明
アプリケーション検査をイネーブルにするポート。ポート番号またはサポートされているポート リテラルが使用できます。有効なポートのリテラル名の一覧については、『 Cisco Security Appliance Command Line Configuration Guide 』の付録 D「Addresses, Protocols, and Ports」を参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect netbios コマンドは、NetBIOS プロトコルのアプリケーション検査をイネーブルまたはディセーブルにします。
例
次の例に示すように、NetBIOS 検査エンジンをイネーブルにします。この例では、デフォルト ポート(139)上の NetBIOS トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して NetBIOS 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect pptp
PPTP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect pptp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Point-to-Point Tunneling Protocol(PPTP)は、PPP トラフィックをトンネリングするためのプロトコルです。PPTP セッションを構成するのは、1 つの TCP チャネルと、通常 2 つの PPTP GRE トンネルです。TCP チャネルは、PPTP GRE トンネルをネゴシエートおよび管理するためのコントロール チャネルです。GRE トンネルは、2 つのホスト間で PPP セッションを伝送します。
イネーブルの場合、PPTP アプリケーション検査は、PPTP プロトコル パケットを検査し、PPTP トラフィックを許可するのに必要な GRE 接続と xlate をダイナミックに作成します。RFC 2637 に定義されている Version 1 だけがサポートされます。
PAT は、PPTP TCP コントロール チャネルを越えてネゴシエートされる場合、GRE [RFC 2637] の修正版に対してだけ実行されます。PAT は、修正前のバージョンの GRE [RFC 1701、RFC 1702] に対しては実行されません。
特に、 セキュリティ アプライアンス は、PPTP バージョンのアナウンスメントと発信コールの要求/応答シーケンスを検査します。RFC 2637 に定義されている PPTP Version 1 だけが検査されます。どちらかの側でアナウンスされたバージョンが Version 1 でなければ、TCP コントロール チャネルはそれ以上検査されません。さらに、発信コール要求と応答シーケンスが追跡されます。接続と xlate は、必要に応じてダイナミックに割り当てられて、それ以後のセカンダリ GRE データ トラフィックを送ることが可能になります。
PPTP 検査エンジンは、PPTP トラフィックを PAT で変換するためにイネーブルにする必要があります。さらに、PAT は、GRE(RFC2637)の修正版に対してだけで実行されます。これは、PPTP TCP コントロール チャネルを越えてネゴシエートされる場合だけです。PAT は、修正前のバージョンの GRE(RFC 1701 と RFC 1702)に対しては実行されません。
RFC 2637 で規定されているように、PPTP プロトコルは、主に、モデム バンク PAC(PPTP Access Concentrator)から開始された PPP セッションをヘッドエンド PNS(PPTP Network Server)へトンネリングするために使用されます。この使用方法では、PAC はリモート クライアントとなり、PNS はサーバとなります。
ただし、Windows によって VPN 用に使用される場合、対話関係は逆になります。PNS は、ヘッドエンド PAC への接続を開始して中央ネットワークにアクセスするリモート シングルユーザ PC です。
例
次の例に示すように、PPTP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(1723)上の PPTP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して PPTP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect rsh
RSH アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect rsh コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RSH プロトコルは、TCP ポート 514 上で、RSH クライアントから RSH サーバへの TCP 接続を使用します。クライアントとサーバは、クライアントが STDERR 出力ストリームをリスンする TCP ポート番号をネゴシエートします。RSH 検査は、必要に応じて、ネゴシエートされたポート番号の NAT をサポートします。
例
次の例に示すように、RSH 検査エンジンをイネーブルにします。この例では、デフォルト ポート(514)上の RSH トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して RSH 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect rtsp
RTSP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect rtsp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect rtsp コマンドを使用すると、セキュリティ アプライアンスが RTSP パケットを通過させることができます。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV 接続が使用します。
(注) Cisco IP/TV の場合は、RTSP TCP ポート 554 と TCP 8554 を使用します。
RTSP アプリケーションは、コントロール チャネルとして、既知ポート 554 と TCP(まれに UDP)を使用します。セキュリティ アプライアンスは、RFC 2326 に準拠して、TCP だけをサポートしています。この TCP コントロール チャネルは、クライアント上で設定された転送モードに応じて、オーディオ/ビデオ トラフィックの伝送に使用するデータ チャネルをネゴシエートするために使用されます。
サポートされる RDT 転送は、rtp/avp、rtp/avp/udp、x-real-rdt、x-real-rdt/udp、および x-pn-tng/udp です。
セキュリティ アプライアンスは、Setup 応答メッセージをステータス コード 200 によって解析します。応答メッセージが着信の場合、サーバはセキュリティ アプライアンスの外側にあるため、サーバからの着信接続用にダイナミック チャネルを開く必要があります。応答メッセージが発信の場合、セキュリティ アプライアンスでダイナミック チャネルを開く必要はありません。
RFC 2326 では、SETUP 応答メッセージにクライアントとサーバのポートを含めることを規定していないため、セキュリティ アプライアンスで状態を保持し、SETUP メッセージ内のクライアント ポートを記憶しておく必要があります。QuickTime では、SETUP メッセージにクライアント ポートが設定され、サーバはサーバ ポートでのみ応答します。
RealPlayer を使用している場合、転送モードを正しく設定することが重要です。セキュリティ アプライアンスでは、 access-list コマンド文は、サーバからクライアントへと、またはその逆で追加されます。RealPlayer の場合、 Options > Preferences > Transport > RTSP Settings をクリックすることで、転送モードを変更します。
RealPlayer 上で TCP モードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use TCP for all content チェックボックスをオンにします。セキュリティ アプライアンス上では、検査エンジンを設定する必要はありません。
RealPlayer 上で UDP モードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use UDP for all content チェックボックスをオンにします。 Multicast 経由で入手できないライブ コンテンツに対しても同様です。 セキュリティ アプライアンス上で、 inspect rtsp port コマンド文を追加します。
inspect rtsp コマンドには、次の制約事項が適用されます。
• セキュリティ アプライアンスは、UDP を介したマルチキャスト RTSP または RTSP メッセージをサポートしていません。
• inspect rtsp コマンドは、PAT をサポートしていません。
• セキュリティ アプライアンスには、RTSP メッセージが HTTP メッセージ内に隠されている HTTP クローキングを認識する機能はありません。
• セキュリティ アプライアンスは、RTSP メッセージについて NAT は実行できません。その理由は、埋め込み IP アドレスが HTTP または RTSP メッセージの一部として、SDP ファイルに含まれているからです。パケットはフラグメント化される可能性があり、セキュリティ アプライアンスは、フラグメント化されたパケットについて NAT は実行できません。
• Cisco IP/TV では、メッセージの SDP 部分についてセキュリティ アプライアンスが実行する NAT の数は、Content Manager にあるプログラム リストの数に比例します(各プログラム リストには、少なくとも 6 個の埋め込み IP アドレスを含めることができます)。
• Apple QuickTime 4 または RealPlayer 用の NAT を設定できます。Viewer と Content Manager が外部ネットワークに、サーバが内部ネットワークにある場合、Cisco IP/TV は、NAT が使用できる場合に限り動作します。
• HTTP を介して配信されるメディア ストリームは、RTSP アプリケーション検査ではサポートされません。これは、RTSP 検査が HTTP クローキング(HTTP でラップされた RTSP)をサポートしていないためです。
例
次の例に示すように、RTSP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(554 および 8554)上の RTSP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して RTSP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect sip
SIP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect sip コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SIP は、IETF で定義されているように、VoIP コールをイネーブルにします。SIP は SDP と連携して、コール シグナリングを処理します。SDP は、メディア ストリームの詳細を指定します。SIP を使用すると、セキュリティ アプライアンスは、あらゆる SIP Voice over IP(VoIP)ゲートウェイおよび VoIP プロキシ サーバをサポートできます。SIP と SDP は、次の RFC に定義されています。
• SIP:Session Initiation Protocol、RFC 2543
• SDP:Session Description Protocol、RFC 2327
セキュリティ アプライアンス経由の SIP コールをサポートするには、メディア接続アドレスのシグナリング メッセージ、メディア ポート、およびメディアの初期接続を検査する必要があります。これは、シグナリングが既知の宛先ポート(UDP/TCP 5060)上で送信される間に、メディア ストリームがダイナミックに割り当てられるためです。また、SIP は、IP パケットのユーザデータ部分に IP アドレスを埋め込みます。SIP 検査は、これらの埋め込み IP アドレスに NAT を適用します。
(注) リモート エンドポイントから、セキュリティ アプライアンスによって保護されたネットワーク上の SIP プロキシに登録する場合、ごく特殊な条件に合致すると登録が失敗します。この条件とは、PAT がリモート エンドポイントに対して設定されている場合、SIP レジストラ サーバが外部ネットワーク上にある場合、およびエンドポイントからプロキシ サーバに送信される REGISTER メッセージの contact フィールドにポートが指定されていない場合です。
インスタント メッセージとは、ほぼリアルタイムで行われるユーザ間のメッセージ転送を指します。MESSAGE/INFO 方式と 202 Accept 応答は、次の RFC で定義されている IM をサポートするために使用されます。
• Session Initiation Protocol (SIP)-Specific Event Notification、RFC 3265
• Session Initiation Protocol (SIP) Extension for Instant Messaging、RFC 3428
MESSAGE/INFO 要求は、登録/加入が完了するといつでも受信できます。たとえば、2 つのユーザはいつでもオンラインにできますが、何時間もチャットすることはできません。そのため、SIP 検査エンジンは、設定された SIP タイムアウト値に従ってタイムアウトするピンホールを空けます。この値には、加入期間より 5 分以上長い値を設定する必要があります。加入期間は、Contact Expires 値で定義されます。通常は、30 分にします。
MESSAGE/INFO 要求は、通常、ダイナミックに割り当てられたポート(ポート 5060 を除く)を使用して送信されるため、SIP 検査エンジンを通過する必要があります。
(注) 現在サポートされているのは、チャット機能のみです。ホワイトボード、ファイル転送、およびアプリケーション共有はサポートされていません。RTC Client 5.0 はサポートされていません。
SIP 検査は、SIP のテキストベースのメッセージについて NAT を実行し、メッセージの SDP 部分に関するコンテンツの長さを再計算し、パケット長とチェックサムを再計算します。また、エンドポイントがリスンするアドレス/ポートとして SIP メッセージの SDP 部分で指定されたポートに対して、メディア接続をダイナミックに開きます。
SIP 検査には、コールや送信元/宛先を識別する SIP ペイロードからの CALL_ID/FROM/TO インデックスに関するデータベースがあります。このデータベースには、SDP メディア情報フィールドに含まれていたメディア アドレスとメディア ポート、およびメディア タイプが保管されます。1 つのセッションに対して複数のメディア アドレスとポートを指定できます。RTP/RTCP 接続は、これらのメディア アドレス/ポートを使用して 2 つのエンドポイント間で開かれます。
初回のコール セットアップ(INVITE)メッセージには、既知ポート 5060 を使用する必要があります。ただし、以降のメッセージには、このポート番号を使用しなくてもかまいません。SIP 検査エンジンは、シグナリング接続のピンホールを空け、これらの接続を SIP 接続としてマークします。これは、メッセージを SIP アプリケーションに到達させ、メッセージに NAT を適用するためです。
コールがセットアップされると、SIP セッションは「一時的な」状態にあると見なされます。この状態は、宛先エンドポイントがリスンしている RTP メディア アドレスおよびポートを示す Response メッセージが受信されるまで維持されます。1 分以内に応答メッセージが受信されなかった場合、シグナリング接続は切断されます。
最後のハンドシェイクが完了すると、コールの状態がアクティブに移行し、BYE メッセージを受信するまでシグナリング接続が維持されます。
内部エンドポイントから外部エンドポイントにコールを開始する場合は、内部エンドポイントからの INVITE メッセージに指定される内部エンドポイントのメディア アドレスおよびメディア ポートに RTP/RTCP UDP パケットが転送されるように、外部インターフェイスに対してメディア ホールが空けられます。内部インターフェイスへの非送信請求 RTP/RTCP UDP パケットは、セキュリティ アプライアンス コンフィギュレーションで特別に許可されている場合を除き、セキュリティ アプライアンスを通過しません。
メディア接続は、接続がアイドル状態になってから 2 分以内に切断されます。ただし、このタイムアウトは設定変更できるため、期間を増減して設定できます。
シグナリング メッセージを検査する場合、 inspect sip コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect sip コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect sip コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例に示すように、SIP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(5060)上の SIP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して SIP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect skinny
SCCP(Skinny)アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect skinny コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Skinny(または Simple)Client Control Protocol(SCCP)は、VoIP ネットワークで使用される簡易プロトコルです。SCCP を使用する Cisco IP Phone は、H.323 環境で共存できます。Cisco CallManager を併用することで、SCCP クライアントは、H.323 準拠端末と相互運用できます。セキュリティ アプライアンスのアプリケーション レイヤ機能は、SCCP Version 3.3 を認識します。アプリケーション レイヤ ソフトウェアの機能により、SCCP シグナリング パケットの NAT を実行して、すべての SCCP シグナリングおよびメディア パケットがセキュリティ アプライアンスを通過できることが保証されます。
SCCP プロトコルのバージョンには、2.4、3.0.4、3.1.1、3.2、および 3.3.2 の 5 つがあります。セキュリティ アプライアンスは、Version 3.3.2 までのバージョンをすべてサポートします。また、SCCP の PAT および NAT を両方サポートします。IP Phone で使用するグローバル IP アドレスの数を制限している場合は、PAT が必要です。
Cisco CallManager と Cisco IP Phone 間の通常のトラフィックは、SCCP を使用します。また、特に設定しない限り、SCCP 検査によって処理されます。セキュリティ アプライアンスは、また、DHCP オプション 150 および 66 をサポートしているため、TFTP サーバの場所を Cisco IP Phone や他の DHCP クライアントに送信できます。詳細については、 dhcp-server コマンドを参照してください。
Cisco CallManager が Cisco IP Phone よりもセキュリティの高いインターフェイス上にあるトポロジにおいて、Cisco CallManager IP アドレスの NAT が必要になる場合、Cisco IP Phone では Cisco CallManager IP アドレスをそのコンフィギュレーションで明示的に指定する必要があるため、マッピングはスタティックにする必要があります。ID スタティック エントリを使用した場合、高セキュリティ インターフェイス上の Cisco CallManager は Cisco IP Phone からの登録を受け入れることができます。
Cisco IP Phone は、TFTP サーバにアクセスして、Cisco CallManager サーバへの接続時に必要となるコンフィギュレーション情報ダウンロードする必要があります。
Cisco IP Phone が TFTP サーバよりもセキュリティの低いインターフェイス上にある場合は、アクセスリストを使用して、UDP ポート 69 上で保護された TFTP サーバに接続する必要があります。TFTP サーバにはスタティック エントリが必要ですが、「ID」スタティック エントリにする必要はありません。NAT を使用する場合、ID スタティック エントリは同じ IP アドレスにマッピングされます。PAT を使用する場合は、同じ IP アドレスおよびポートにマッピングされます。
Cisco IP Phone が TFTP サーバおよび Cisco CallManager よりもセキュリティの高いインターフェイス上にある場合、Cisco IP Phone で接続を開始できるようにするためのアクセスリストまたはスタティック エントリは必要ありません。
次に、SCCP に対する現行バージョンの PAT および NAT サポートに適用される制限を示します。
• PAT は、 alias コマンドを使用すると、コンフィギュレーションとは連携動作しません。
(注) 現在、SCCP コールのステートフル フェールオーバーは、コール セットアップ中のコールを除いて、サポートされています。
内部の Cisco CallManager のアドレスが NAT または PAT 用に別の IP アドレスかポートを設定している場合、セキュリティ アプライアンスは、現在のところ TFTP を経由して転送するファイルの内容に対して NAT または PAT をサポートしていないため、外部の Cisco IP Phone 用の登録は失敗します。セキュリティ アプライアンスは、TFTP メッセージの NAT をサポートしており、TFTP ファイル用のピンホールを空けて、セキュリティ アプライアンスを通過させますが、電話機の登録中に TFTP を使用して転送される Cisco IP Phone のコンフィギュレーション ファイルに埋め込まれている Cisco CallManager IP アドレスとポートは変換できません。
シグナリング メッセージを検査する場合、 inspect skinny コマンドでは、多くの場合、メディア エンドポイント(たとえば、IP 電話)の場所を判別する必要があります。
この情報は、メディア トラフィックのためのアクセス制御と NAT 状態を準備して、手作業での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。
この場所を判別する場合、 inspect skinny コマンドは、トンネル デフォルト ゲートウェイのルートを使用し ません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect skinny コマンドが必要となる場合は、トンネル デフォルト ゲートウェイのルートを設定しないでください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。
例
次の例に示すように、SCCP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(2000)上の SCCP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して SCCP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect snmp
SNMP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect snmp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect snmp コマンドは、SNMP マップに関する設定値を使用して SNMP 検査をイネーブルにするために使用します。SNMP マップを作成するには、 snmp-map コマンドを使用します。SNMP トラフィックを特定のバージョンの SNMP に制限するには、SNMP マップ コンフィギュレーション モードで deny version コマンドを使用します。
以前のバージョンの SNMP はセキュリティ レベルが低いため、セキュリティ ポリシーで SNMP トラフィックを Version 2 に制限することが必要となる場合があります。特定のバージョンの SNMP を拒否するには、SNMP マップ内で deny version コマンドを使用します。SNMP マップを作成するには、 snmp-map コマンドを使用します。SNMP マップを設定したら、 inspect snmp コマンドを使用してマップをイネーブルにします。次に、 service-policy コマンドを使用して、1 つまたは複数のインターフェイスにマップを適用します。
例
次の例では、SNMP トラフィックを識別し、SNMP マップを定義し、ポリシーを定義し、SNMP 検査をイネーブルにして、そのポリシーを外部インターフェイスに適用します。
すべてのインターフェイスに対して厳密な SNMP アプリケーション検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect sqlnet
Oracle SQL*Net アプリケーション検査をイネーブルにするには、クラス コンフィギュレーション モードで inspect sqlnet コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SQL*Net プロトコルは種々のパケット タイプで構成されています。セキュリティ アプライアンスは、セキュリティ アプライアンスの両側でデータ ストリームが Oracle アプリケーションと一致して見えるように、これらのパケット タイプを処理します。
SQL*Net のデフォルトのポート割り当ては 1521 です。この値は、Oracle for SQL*Net で使用されるものですが、Structured Query Language(SQL; 構造化照会言語)の IANA ポート割り当てとは一致しません。 class-map コマンドを使用して、ポート番号の範囲に SQL*Net 検査を適用します。
セキュリティ アプライアンスは、すべてのアドレスの NAT を実行し、パケット内の埋め込みポートをすべて検索して、SQL*Net Version 1 用に開きます。
SQL*Net Version 2 では、データ長が 0 の REDIRECT パケットの直後に続くすべての DATA または REDIRECT パケットがフィックスアップされます。
フィックスアップを必要とするパケットには、埋め込みホスト/ポート アドレスが次の形式で含まれています。
SQL*Net Version 2 TNSFrame タイプ(Connect、Accept、Refuse、Resend、および Marker)では、NAT 対象のアドレスを検出するためのスキャンは実行されません。また、検査によってパケット内の埋め込みポートに対してダイナミック接続が開かれることもありません。
SQL*Net Version 2 TNSFrames、Redirect、および Data パケットの直前に、ペイロードのデータ長が 0 である REDIRECT TNSFrame タイプがある場合は、開くポートおよび NAT 対象のアドレスを検出するためにスキャンが実行されます。データ長が 0 の Redirect メッセージがセキュリティ アプライアンスを通過すると、次に到着する Data または Redirect メッセージが NAT 対象で、ポートがダイナミックに開かれることを示すために、接続データ構造にフラグが設定されます。前述の TNS フレームのいずれかが Redirect メッセージの後に到着した場合、フラグはリセットされます。
SQL*Net 検査エンジンは、新しいメッセージと古いメッセージの長さのデータを使用して、チェックサムを再計算し、IP/TCP の長さを変更し、シーケンス番号と確認応答番号を再調整します。
その他すべてのケースでは、SQL*Net Version 1 の使用が前提となっています。TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker、Redirect、および Data)とすべてのパケットがスキャンされ、ポートとアドレスが検出されます。アドレスに NAT が適用され、ポート接続が開かれます。
例
次の例に示すように、SQL*Net 検査エンジンをイネーブルにします。この例では、デフォルト ポート(1521)上の SQL*Net トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して SQL*Net 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect sunrpc
Sun RPC アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect sunrpc コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Sun RPC アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、ポリシーマップ クラス コンフィギュレーション モードで inspect sunrpc コマンドを使用します。ポリシーマップ クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードで class コマンドを使用することでアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
inspect sunrpc コマンドは、Sun RPC プロトコルのアプリケーション検査をイネーブルまたはディセーブルにします。Sun RPC は、NFS および NIS で使用されます。Sun RPC サービスは、システム上のどのポートでも動作可能です。クライアントからサーバ上の Sun RPC サービスにアクセスする場合は、サービスが動作しているポートを検出する必要があります。検出するには、既知ポート 111 上のポートマッパー プロセスにクエリーします。
クライアントは、サービスの Sun RPC プログラム番号を送信して、ポート番号を取得します。この時点で、クライアント プログラムはその新しいポートに Sun RPC クエリーを送信します。サーバから応答が送信されると、セキュリティ アプライアンスはこのパケットを代行受信し、そのポート上で TCP および UDP の両方の初期接続を開きます。
(注) Sun RPC ペイロード情報の NAT または PAT はサポートされません。
例
次の例に示すように、RPC 検査エンジンをイネーブルにします。この例では、デフォルト ポート(111)上の RPC トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して RPC 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
NFS や NIS などの Sun RPC サービスに対して、タイムアウトを指定してピンホールを作成できるようにします。 |
|
inspect tftp
TFTP アプリケーション検査をディセーブルにする場合や、ディセーブルの状態からイネーブルにする場合は、クラス コンフィギュレーション モードで inspect tftp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RFC 1350 で規定されている Trivial File Transfer Protocol(TFTP)は、TFTP サーバとクライアント間でファイルの読み書きを行うための簡易プロトコルです。
セキュリティ アプライアンスは、TFTP トラフィックを検査し、必要に応じて接続と変換をダイナミックに作成して、TFTP クライアントとサーバ間のファイル転送を許可します。特に、検査エンジンは、TFTP 読み取り要求(RRQ)、書き込み要求(WRQ)およびエラー通知(ERROR)を検査します。
有効な読み取り(RRQ)要求または書き込み(WRQ)要求が受信されると、必要に応じて、ダイナミック セカンダリ チャネルと PAT 変換が割り当てられます。このセカンダリ チャネルは、後で TFTP によってファイル転送またはエラー通知に使用されます。
セカンダリ チャネル上でトラフィックを開始できるのは、TFTP サーバのみです。また、TFTP クライアントとサーバ間に存在できる不完全なセカンダリ チャネルは最大で 1 つです。サーバからエラー通知が送信されると、セカンダリ チャネルは閉じられます。
TFTP トラフィックのリダイレクトにスタティック PAT が使用される場合は、TFTP 検査をイネーブルにする必要があります。
例
次の例に示すように、TFTP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(69)上の TFTP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して TFTP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
inspect xdmcp
XDMCP アプリケーション検査をイネーブルにする場合や、セキュリティ アプライアンスがリスンするポートを変更する場合は、クラス コンフィギュレーション モードで inspect xdmcp コマンド を使用します。クラス コンフィギュレーション モードには、ポリシーマップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
inspect xdmcp コマンドは、XDMCP プロトコルのアプリケーション検査をイネーブルまたはディセーブルにします。
XDMCP は、UDP ポート 177 を使用して X セッションをネゴシエートするプロトコルです。X セッションは、確立後は TCP を使用します。
ネゴシエーションを成功させ、XWindows セッションを正常に起動するには、セキュリティ アプライアンスは、Xhosted コンピュータからの TCP バック接続を許可する必要があります。バック接続を許可するには、セキュリティ アプライアンス上で established コマンドを使用します。XDMCP がディスプレイ送信用ポートをネゴシエートすると、 established コマンドが参照され、このバック接続を許可する必要があるかどうかが確認されます。
XWindows セッション中は、管理者は既知ポート 6000 | n 上で Xserver ディスプレイと通信します。次の端末設定を行うと、各ディスプレイが Xserver に個別に接続されます。
XDMCP を使用すると、ディスプレイが IP アドレスを使用してネゴシエートされます。この IP アドレスは、セキュリティ アプライアンスが必要に応じて NAT を実行できるものです。XDCMP 検査は、PAT をサポートしていません。
例
次の例に示すように、XDMCP 検査エンジンをイネーブルにします。この例では、デフォルト ポート(177)上の XDMCP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。
すべてのインターフェイスに対して XDMCP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。
関連コマンド
|
|
|
|---|---|
intercept-dhcp
DHCP 代行受信をイネーブルにするには、グループポリシー コンフィギュレーション モードで intercept-dhcp enable コマンドを使用します。DHCP 代行受信をディセーブルにするには、 intercept-dhcp disable コマンドを使用します。
intercept-dhcp アトリビュートを実行コンフィギュレーションから削除するには、 no intercept-dhcp コマンドを使用します。このコマンドを使用すると、ユーザは、デフォルト グループポリシーまたは他のグループポリシーから DHCP 代行受信コンフィギュレーションを継承できます。
DHCP 代行受信を使用すると、Microsoft XP クライアントは、セキュリティ アプライアンスに対してスプリット トンネリングを使用できます。セキュリティ アプライアンスは、Microsoft Windows XP クライアントの DHCP Inform メッセージに直接応答し、そのクライアントにトンネル IP アドレスのサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。XP 以前の Windows クライアントに対しては、DHCP 代行受信は、ドメイン名とサブネット マスクを提供します。この機能は、DHCP サーバを使用することに利点がない環境に有用です。
intercept-dhcp netmask { enable | disable }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スプリット トンネル オプションが 225 バイトを超えていると、Microsoft XP に異常が発生し、ドメイン名が破損します。この問題を回避するには、セキュリティ アプライアンスで送信ルートの数を 27 ~ 40 ルートに制限します。ルートの数は、ルートのクラスによって異なります。
例
次の例は、FirstGroup というグループポリシーに DHCP 代行受信を設定する方法を示しています。
interface
インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで interface コマンドを使用します。論理サブインターフェイスを作成するには、 subinterface 引数を使用します。サブインターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスは削除できません。インターフェイス コンフィギュレーション モードでは、ハードウェア設定値を設定し、名前、VLAN、および IP アドレスを割り当て、それ以外の多数の設定値を設定することができます。
interface { physical_interface [ . subinterface ] | mapped_name }
no interface physical_interface . subinterface
シンタックスの説明
デフォルト
デフォルトでは、セキュリティ アプライアンスは、すべての物理インターフェイスに対して interface コマンドを自動的に生成します。
マルチ コンテキスト モードでは、セキュリティ アプライアンスは、 allocate-interface コマンドを使用してコンテキストに割り当てられたインターフェイスすべてに対して、 interface コマンドを自動的に生成します。
物理インターフェイスは、デフォルトではすべてシャットダウンされます。コンフィギュレーションでは、コンテキスト内の割り当て済みインターフェイスはシャットダウンされません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、新しいサブインターフェイスの命名規則が適用できるように、また、インターフェイス コンフィギュレーション モードで引数が独立したコマンドとなるように変更されました。 |
使用上のガイドライン
デフォルトでは、物理インターフェイスはすべてシャットダウンされます。イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。
イネーブルになっているインターフェイスをトラフィックが通過できるようにするには、インターフェイス コンフィギュレーション モードのコマンドである nameif および(ルーテッド モード用の) ip address を設定します。サブインターフェイスの場合は、 vlan コマンドを設定します。セキュリティ レベルは、デフォルトでは 0(最低レベル)になっています。インターフェイスのデフォルト レベルについて調べる場合や、インターフェイスの相互通信を可能にするためにデフォルトの 0 から変更する場合は、 security-level コマンドを参照してください。
ASA 適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。
(注) 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。
インターフェイス設定を変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するときは、 clear local-host コマンドを使用して接続を消去してもかまいません。
interface コマンドの no 形式を使用して物理インターフェイスを削除することも、コンテキスト内の割り当て済みインターフェイスを削除することもできません。
マルチ コンテキスト モードでは、物理パラメータ、サブインターフェイス、および VLAN 割り当ては、システム コンフィギュレーションのみに設定します。それ以外のパラメータは、コンテキスト コンフィギュレーションのみに設定します。
例
次の例では、シングルモードで、物理インターフェイスのパラメータを設定します。
次の例では、シングルモードで、サブインターフェイスのパラメータを設定します。
次の例では、マルチ コンテキスト モードで、システム コンフィギュレーションのインターフェイス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。
次の例では、マルチ コンテキスト モードで、コンテキスト コンフィギュレーションのパラメータを設定します。
関連コマンド
|
|
|
|---|---|
interface (vpn load-balancing)
VPN ロードバランシング仮想クラスタで VPN ロードバランシングのデフォルト以外のパブリックまたはプライベート インターフェイスを指定するには、VPN ロードバランシング モードで interface コマンドを使用します。インターフェイスの指定を削除して、デフォルト インターフェイスに戻すには、このコマンドの no 形式を使用します。
interface { lbprivate | lbpublic} interface-name ]
no interface { lbprivate | lbpublic }
シンタックスの説明
VPN ロードバランシング クラスタのパブリックまたはプライベート インターフェイスとして設定するインターフェイスの名前。 |
|
デフォルト
interface コマンドを省略した場合、デフォルトでは、 lbprivate インターフェイスは 内部 に、 lbpublic インターフェイスは 外部 に設定されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。
また、事前に interface 、 ip address 、および nameif コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。
例
次に、 vpn load-balancing コマンド シーケンスの例を示します。このコマンド シーケンスには、クラスタのパブリック インターフェイスを「test」として指定する interface コマンドと、クラスタのプライベート インターフェイスをデフォルト(内部)に戻す interface コマンドが含まれています。
関連コマンド
|
|
|
|---|---|
interface-policy
監視中にインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
1 ~ 100 の数を指定するか(パーセンテージとして使用する場合)、または 1 からインターフェイスの最大数までの数を指定します。 |
|
デフォルト
装置に対して failover interface-policy コマンドが設定されている場合は、その値が interface-policy フェールオーバー グループ コマンドのデフォルトと見なされます。設定されていなければ、 num は 1 になっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
num 引数とオプションの % キーワードの間にスペースを含めないでください。
障害が発生したインターフェイスの数が設定済みポリシーの基準を満たした場合、他のセキュリティ アプライアンスが正常に機能しているときは、セキュリティ アプライアンスは自身を障害としてマークし、場合によってはフェールオーバーが発生します(アクティブなセキュリティ アプライアンスに障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドで監視対象として指定したインターフェイスのみです。
例
次の例(抜粋)は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。
関連コマンド
|
|
|
|---|---|
ip-address
登録中にセキュリティ アプライアンスの IP アドレスを証明書に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで ip-address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、central トラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入り、central トラストポイントの登録要求にセキュリティ アプライアンスの IP アドレスを含めます。
関連コマンド
|
|
|
|---|---|
ip address
インターフェイスの IP アドレス(ルーテッド モード)または管理アドレスの IP アドレス(透過モード)を設定するには、 ip address コマンドを使用します。ルーテッド モードの場合は、インターフェイス コンフィギュレーション モードでこのコマンドを入力します。透過モードの場合は、グローバル コンフィギュレーション モードでこのコマンドを入力します。IP アドレスを削除するには、このコマンドの no 形式を使用します。このコマンドは、また、フェールオーバー用のスタンバイ アドレスを設定します。
ip address ip_address [ mask ] [ standby ip_address ]
シンタックスの説明
(オプション)IP アドレスのサブネット マスク。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスのデフォルト マスクを使用します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ルーテッド モードに関して、このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスは一意のサブネット上にある必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイス上にある場合、各 IP アドレスは一意で、同じサブネット上にある必要があります。インターフェイスが一意の場合、この IP アドレスは、必要に応じて他のコンテキストで使用することができます。
透過ファイアウォールは、IP ルーティングには参加しません。セキュリティ アプライアンスに必要な唯一の IP コンフィギュレーションは、管理 IP アドレスを設定することです。このアドレスが必要な理由は、セキュリティ アプライアンスが セキュリティ アプライアンス上で発信するトラフィック(システム メッセージや AAA サーバとの通信など)の送信元アドレスとして、このアドレスを使用するためです。また、このアドレスは、リモート管理アクセスに使用することもできます。このアドレスは、アップストリーム ルータおよびダウンストリーム ルータと同じサブネット上にある必要があります。マルチ コンテキスト モードの場合は、各コンテキスト内で管理 IP アドレスを設定します。
例
次の例では、2 つのインターフェイスの IP アドレスとスタンバイ アドレスを設定します。
次の例では、透過ファイアウォールの管理アドレスとスタンバイ アドレスを設定します。
関連コマンド
|
|
|
|---|---|
ip address dhcp
DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイス コンフィギュレーション モードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。また、このコマンドが、外部インターフェイスだけでなく、すべてのインターフェイス上でイネーブルにできるようになりました。 |
使用上のガイドライン
DHCP リースをリセットして新しいリースを要求するには、このコマンドを再入力します。
このコマンドは、 ip address コマンドと同時には設定できません。
setroute オプションをイネーブルにする場合は、 route コマンドを使用してデフォルト ルートを設定しないでください。
no shutdown コマンドを使用してインターフェイスをイネーブルにしないで ip address dhcp コマンドを入力すると、一部の DHCP 要求が送信されない場合があります。
例
次の例では、gigabitethernet0/1 インターフェイス上で DHCP をイネーブルにします。
関連コマンド
|
|
|
|---|---|
ip audit attack
攻撃シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit attack コマンドを使用します。デフォルト アクションに戻す(接続をリセットする)には、このコマンドの no 形式を使用します。アクションは複数指定することも、一切指定しないこともできます。
ip audit attack [ action [ alarm ] [ drop ] [ reset ]]
シンタックスの説明
(オプション)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドにアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次の例では、攻撃シグニチャに一致するパケットに対するデフォルト アクションを、alarm および reset に設定します。内部インターフェイスの監査ポリシーは、このデフォルトを無効にして alarm のみに設定します。一方、外部インターフェイスのポリシーは、 ip audit attack コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit info
情報シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit info コマンドを使用します。デフォルト アクションに戻す(アラームを生成する)には、このコマンドの no 形式を使用します。アクションは複数指定することも、一切指定しないこともできます。
ip audit info [ action [ alarm ] [ drop ] [ reset ]]
シンタックスの説明
(オプション)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドにアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次の例では、情報シグニチャに一致するパケットに対するデフォルト アクションを、alarm および reset に設定します。内部インターフェイスの監査ポリシーは、このデフォルトを無効にして alarm および drop に設定します。一方、外部インターフェイスのポリシーは、 ip audit info コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit interface
インターフェイスに監査ポリシーを割り当てるには、グローバル コンフィギュレーション モードで ip audit interface コマンドを使用します。ポリシーをインターフェイスから削除するには、このコマンドの no 形式を使用します。
ip audit interface interface_name policy_name
no ip audit interface interface_name policy_name
シンタックスの説明
ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーと attack ポリシーを割り当てることができます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、監査ポリシーを内部インターフェイスと外部インターフェイスに適用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit name
パケットが定義済みの攻撃シグニチャまたは情報シグニチャに一致する場合に実行するアクションを識別する、名前付き監査ポリシーを作成するには、グローバル コンフィギュレーション モードで ip audit name コマンドを使用します。シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあります。ポリシーを削除するには、このコマンドの no 形式を使用します。
ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
シンタックスの説明
デフォルト
ip audit attack コマンドと ip audit info コマンドを使用してデフォルト アクションを変更していなければ、攻撃シグニチャと情報シグニチャに対するデフォルト アクションは、アラームの生成になっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ポリシーを適用するには、 ip audit interface コマンドを使用してインターフェイスにポリシーを割り当てます。各インターフェイスに info ポリシーと attack ポリシーを割り当てることができます。
シグニチャのリストについては、 ip audit signature コマンドを参照してください。
トラフィックがシグニチャに一致する場合、そのトラフィックに対してアクションを実行するときは、 shun コマンドを使用して、攻撃ホストからの新しい接続を防止し、既存の接続からのパケットを拒否します。
例
次の例では、攻撃シグニチャと情報シグニチャに対してアラームを生成するように、内部インターフェイスの監査ポリシーを設定します。一方、外部インターフェイスのポリシーでは、攻撃の接続をリセットします。
関連コマンド
|
|
|
|---|---|
ip audit signature
監査ポリシーのシグニチャをディセーブルにするには、グローバル コンフィギュレーション モードで ip audit signature コマンドを使用します。シグニチャを再度イネーブルにするには、このコマンドの no 形式を使用します。正当なトラフィックがシグニチャに継続的に一致する場合、シグニチャをディセーブルにするリスクがあっても多数のアラームを回避することを考えているときは、ディセーブルにしてもかまいません。
ip audit signature signature_number disable
no ip audit signature signature_number
シンタックスの説明
ディセーブルにするシグニチャの番号を指定します。サポートされているシグニチャのリストについては、 表 5-4 を参照してください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
表 5-4 に、サポートされているシグニチャとシステム メッセージ番号を示します。
例
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip local pool
VPN リモートアクセス トンネルに使用する IP アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。
ip local pool poolname first-address--last-address [ mask mask ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPN クライアントに割り当てられた IP アドレスが非標準のネットワークに属する場合は、マスク値を指定する必要があります。デフォルト マスクを使用すると、データが誤ってルーティングされる可能性があります。一般的な例として、デフォルトでクラス A ネットワークになっている IP ローカル プールに 10.10.10.0/255.255.255.0 のアドレスが含まれている場合を考えます。この場合、VPN クライアントが複数のインターフェイス上で 10 ネットワーク内の複数のサブネットにアクセスしようとすると、ルーティングの問題が発生する可能性があります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 経由で使用可能で、10.10.10.0 ネットワークが VPN トンネル上およびインターフェイス 1 経由で使用可能な場合、VPN クライアントでは、プリンタ宛のデータのルーティング先について混乱が生じます。10.10.10.0 と 10.10.100.0 のサブネットは両方とも 10.0.0.0 クラス A ネットワークに該当するため、プリンタのデータは VPN トンネル上で送信される場合があります。
例
次の例では、firstpool という IP アドレス プールを設定します。開始アドレスは 10.20.30.40 で、終了アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。
関連コマンド
|
|
|
|---|---|
ip プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。 |
ip-comp
LZS IP 圧縮をイネーブルにするには、グループポリシー コンフィギュレーション モードで ip-comp enable コマンドを使用します。IP 圧縮をディセーブルにするには、 ip-comp disable コマンドを使用します。
ip-comp アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
データ圧縮をイネーブルにすると、モデムで接続しているリモート ダイヤルイン ユーザのデータ伝送速度が向上する場合があります。
例
次の例は、「FirstGroup」というグループポリシーに対して IP 圧縮をイネーブルにする方法を示しています。
ip-phone-bypass
IP Phone Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで ip-phone-bypass enable コマンドを使用します。IP Phone Bypass をディセーブルにするには、 ip-phone-bypass disable コマンドを使用します。IP phone Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、IP Phone Bypass の値を別のグループポリシーから継承できます。
IP Phone Bypass を使用すると、ハードウェア クライアントの背後にある IP 電話を接続するときに、ユーザ認証プロセスが不要になります。イネーブルの場合、Secure Unit Authentication は有効なままになります。
ip-phone-bypass { enable | disable }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、FirstGroup というグループポリシーに対して IP Phone Bypass をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
ips
ASA 5500 シリーズ適応型セキュリティ アプライアンスは、AIP SSM をサポートしています。AIP SSM は拡張 IPS ソフトウェアを実行して、インライン モードまたはプロミスキャス モードで詳細なセキュリティ検査を実行します。セキュリティ アプライアンスが AIP SSM にパケットを転送するのは、パケットが出力インターフェイスを通過する直前(または VPN 暗号化が設定されている場合は暗号化が行われる前)と、他のファイアウォール ポリシーが適用された後です。たとえば、アクセスリストによってブロックされたパケットは、AIP SSM に転送されません。
セキュリティ アプライアンスからのトラフィックを AIP SSM に割り当てるには、クラス コンフィギュレーション モードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。
ips { inline | promiscuous } { fail-close | fail-open }
no ips { inline | promiscuous } { fail-close | fail-open }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ips コマンドを設定するには、最初に、 class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。
AIP SSM にトラフィックを転送するようにセキュリティ アプライアンスを設定したら、AIP SSM の検査と保護ポリシーを設定します。このポリシーは、トラフィックの検査方法と、進入が検知されたときの処理を判別します。セキュリティ アプライアンスから AIP SSM へのセッションを確立するか( session コマンド)、または管理インターフェイス上で SSH や Telnet を使用して AIP SSM に直接接続することができます。別の方法として、ASDM を使用することもできます。AIP SSM の設定の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。
例
次の例では、プロミスキャス モードですべての IP トラフィックを AIP SSM に転送し、何らかの理由で AIP SSM カードに障害が発生した場合には、すべての IP トラフィックをブロックします。
関連コマンド
|
|
|
|---|---|
すべての ポリシーマップ コンフィギュレーションを削除します。ただし、ポリシーマップが service-policy コマンド内で使用されている場合、そのポリシーマップは削除されません。 |
|
ipsec-udp
IPSec over UDP をイネーブルにするには、グループポリシー コンフィギュレーション モードで ipsec-udp enable コマンドを使用します。IPSec over UDP をディセーブルにするには、 ipsec-udp disable コマンドを使用します。IPSec over UDP アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、IPSec over UDP の値を別のグループポリシーから継承できます。
IPSec over UDP(IPSec through NAT と呼ばれる場合もある)を使用すると、Cisco VPN Client またはハードウェア クライアントから、NAT を実行しているセキュリティ アプライアンスに UDP を介して接続できます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPSec over UDP を使用するには、 ipsec-udp-port コマンドを設定する必要もあります。
また、Cisco VPN Client でも、IPSec over UDP を使用するように設定する必要があります(デフォルトでは、使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するように設定する必要はありません。
IPSec over UDP は独自の方式で、リモートアクセス接続のみに適用され、モード コンフィギュレーションを必要とします。これは、SA のネゴシエート中にセキュリティ アプライアンスがクライアントとコンフィギュレーション パラメータを交換することを意味します。
例
次の例は、FirstGroup というグループポリシーに IPSec over UDP を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
ipsec-udp-port
IPSec over UDP の UDP ポート番号を設定するには、グループポリシー コンフィギュレーション モードで ipsec-udp-port コマンドを使用します。UDP ポートをディセーブルにするには、このコマンドの no 形式を使用します。このオプションを使用すると、IPSec over UDP ポートの値を別のグループポリシーから継承できます。
IPSec ネゴシエーションでは、セキュリティ アプライアンスは、設定済みのポート上でリスンし、そのポートに対する UDP トラフィックを転送します。これは、他のフィルタ規則によって UDP トラフィックがドロップされる場合でも同様です。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能をイネーブルにした複数のグループポリシーを設定できます。グループポリシーごとに、別々のポート番号を使用できます。
例
次の例は、FirstGroup というグループポリシーの IPSec over UDP ポートをポート 4025 に設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
Cisco VPN Client またはハードウェア クライアントから、NAT を実行しているセキュリティ アプライアンスに UDP を介して接続できるようにします。 |
ip verify reverse-path
Unicast RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。Unicast RPF は、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用して実際の送信元を隠す)から保護します。この機能により、すべてのパケットの送信元 IP アドレスが、ルーティング テーブルに従って、正しい送信元インターフェイスに一致することが保証されます。
ip verify reverse-path interface interface_name
no ip verify reverse-path interface interface_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常、セキュリティ アプライアンスは、パケットの転送先を判別するときは宛先アドレスだけを参照します。Unicast RPF は、送信元アドレスも参照するようにセキュリティ アプライアンスに指示します。この機能が Reverse Path Forwarding(RPF)と呼ばれるのはこのためです。セキュリティ アプライアンスを通過できるようにするすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティ アプライアンス ルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックについては、セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護を機能させることができます。外部インターフェイスからトラフィックが着信した場合、送信元アドレスがルーティング テーブルにおいて未知のときは、セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。
ルーティング テーブルにおいて既知のアドレスから外部インターフェイスにトラフィックが着信した場合、そのアドレスが内部インターフェイスに関連付けられているときは、セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが着信した場合、一致したルート(デフォルト ルート)は外部インターフェイスを示すため、セキュリティ アプライアンスはパケットをドロップします。
• ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
• UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。
例
次の例では、外部インターフェイス上で Unicast RPF をイネーブルにします。
関連コマンド
|
|
|
|---|---|
ipv6 access-list
IPv6 アクセスリストを設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。ACE を削除するには、このコマンドの no 形式を使用します。アクセスリストは、セキュリティ アプライアンスが通過させる、またはブロックするトラフィックを定義します。
ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]
no ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]
ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]
no ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 access-list コマンドを使用すると、IPv6 アドレスがポートまたはプロトコルにアクセスすることを許可または拒否するかどうかを指定できます。各コマンドは、ACE と呼ばれます。同じアクセスリスト名を持つ 1 つまたは複数の ACE は、アクセスリストと呼ばれます。アクセスリストをインターフェイスに適用するには、 access-group コマンドを使用します。
アクセスリストを使用してアクセスを特別に許可しない限り、セキュリティ アプライアンスは、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部インターフェイスから外部インターフェイスへのすべてのパケットは、特にアクセスを拒否しない限り、デフォルトで許可されます。
ipv6 access-list コマンドは、IPv6 専用であるという点を除き、 access-list コマンドと類似しています。アクセスリストの詳細については、 access-list extended コマンドを参照してください。
ipv6 access-list icmp コマンドは、セキュリティ アプライアンスを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および終端を許可する ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。
例
次の例では、TCP を使用するすべてのホストが 3001:1::203:A0FF:FED6:162D のサーバにアクセスできるようにします。
次の例では、eq とポートを使用して、FTP へのアクセスのみを拒否します。
次の例では、lt を使用して、ポート 2025 より小さいすべてのポートへのアクセスを許可します。その結果、既知ポート(1 ~ 1024)へのアクセスが許可されます。
関連コマンド
|
|
|
|---|---|
ipv6 address
IPv6 をイネーブルにし、インターフェイス上で IPv6 アドレスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }
no ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }
シンタックスの説明
アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス上で IPv6 アドレスを設定すると、IPv6 がそのインターフェイス上でイネーブルになります。IPv6 アドレスの指定後に ipv6 enable コマンドを使用する必要はありません。
ipv6 address autoconfig コマンドは、ステートレス自動設定を使用して、インターフェイス上で IPv6 アドレスの自動設定をイネーブルにするために使用されます。アドレスは、ルータ アドバタイズメント メッセージで受信されたプレフィックスに基づいて設定されます。リンク ローカル アドレスが設定されていなければ、このインターフェイス用に自動的に生成されます。そのリンク ローカル アドレスを別のホストが使用している場合は、エラー メッセージが表示されます。
ipv6 address eui-64 コマンドは、インターフェイスの IPv6 アドレスを設定するために使用されます。オプションの eui-64 が指定されている場合は、アドレスの下位 64 ビットに EUI-64 インターフェイス ID が使用されます。 prefix-length 引数に指定した値が 64 ビットより大きい場合は、プレフィックス ビットがインターフェイス ID に優先します。指定されたアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。
Modified EUI-64 形式のインターフェイス ID は、リンク レイヤ アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク レイヤ(MAC)アドレスから生成されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番目のビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。
ipv6 address link-local コマンドは、インターフェイスの IPv6 リンク ローカル アドレスを設定するために使用されます。このコマンドで指定する ipv6-address は、インターフェイス用に自動的に生成されるリンク ローカル アドレスを上書きします。リンク ローカル アドレスは、リンク ローカル プレフィックス FE80::/64 と、Modified EUI-64 形式のインターフェイス ID で構成されます。MAC アドレス 00E0.B601.3B7A のインターフェイスには、リンク ローカル アドレス
FE80::2E0:B6FF:FE01:3B7A が指定されます。指定されたアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。
例
次の例では、選択したインターフェイスのグローバル アドレスとして 3FFE:C00:0:1::576/64 を割り当てます。
次の例では、選択したインターフェイスに IPv6 アドレスを自動的に割り当てます。
次の例では、選択したインターフェイスに IPv6 アドレス 3FFE:C00:0:1::/64 を割り当て、アドバイザーの下位 64 ビットに EUI-64 インターフェイス ID を指定します。
次の例では、選択したインターフェイスのリンク レベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てます。
関連コマンド
|
|
|
|---|---|
ipv6 enable
明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 enable コマンドは、インターフェイス上で IPv6 リンク ローカル ユニキャスト アドレスを自動的に設定し、インターフェイスの IPv6 処理をイネーブルにします。
no ipv6 enable コマンドは、明示的な IPv6 アドレスが指定されているインターフェイス上では IPv6 処理をディセーブルにしません。
例
次の例では、選択したインターフェイス上で IPv6 処理をイネーブルにします。
関連コマンド
|
|
|
|---|---|
ipv6 icmp
インターフェイスの ICMP アクセス規則を設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス規則を削除するには、このコマンドの no 形式を使用します。
ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 機能の ICMP は、IPv4 の ICMP と同じです。ICMPv6 は、ICMP エコー要求メッセージおよび応答メッセージに類似した ICMP 宛先到達不能メッセージおよび情報メッセージなどのエラー メッセージを生成します。また、IPv6 の ICMP パケットは、IPv6 近隣探索プロセスとパス MTU 探索で使用されます。
インターフェイスに ICMP 規則が定義されていない場合、IPv6 ICMP トラフィックはすべて許可されます。
インターフェイスに ICMP 規則が定義されている場合は、最初に一致した規則が処理され、それ以降の規則はすべて暗黙的に拒否されます。たとえば、最初に一致した規則が許可規則の場合、その ICMP パケットは処理されます。最初に一致した規則が拒否規則の場合や、ICMP パケットがそのインターフェイス上のどの規則にも一致しなかった場合、セキュリティ アプライアンスはその ICMP パケットを廃棄し、syslog メッセージを生成します。
このため、ICMP 規則に入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否する規則を入力してから、そのネットワーク上にある特定のホストからの ICMP トラフィックを許可する規則を入力した場合、そのホスト規則が処理されることはありません。ICMP トラフィックは、ネットワーク規則によってブロックされます。ただし、ホスト規則を入力してから、ネットワーク規則を入力した場合、ホストの ICMP トラフィックは許可されますが、それ以外の当該ネットワークからの ICMP トラフィックはすべてブロックされます。
ipv6 icmp コマンドは、セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックのアクセス規則を設定します。パススルー ICMP トラフィックのアクセス規則を設定するには、 ipv6 access-list コマンドを参照してください。
例
次の例では、外部インターフェイスで、すべての ping 要求を拒否し、すべての Packet Too Big メッセージを許可します(パス MTU 探索をサポートするため)。
次の例では、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに、外部インターフェイスへの ping を許可します。
関連コマンド
|
|
|
|---|---|
ipv6 nd dad attempts
重複アドレスの検出中にインターフェイス上で送信される連続的なネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信される重複アドレス検出メッセージの数をデフォルトに戻すには、このコマンドの no 形式を使用します。
no ipv6 nd dad [ attempts value ]
シンタックスの説明
0 ~ 600 の数。0 を入力すると、指定されたインターフェイス上で重複アドレス検出がディセーブルになります。1 を入力すると、1 回だけ送信するように設定されます。デフォルト値は 1 つのメッセージです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。
管理上のダウン状態にあるインターフェイスでは、重複アドレス検出は一時停止されます。インターフェイスが管理上のダウン状態にある場合、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。
インターフェイスが管理上のアップ状態に戻ると、インターフェイス上で重複アドレス検出が自動的に再開されます。管理上のアップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスに対して重複アドレス検出が再開されます。
(注) インターフェイスのリンク ローカル アドレスに対して重複アドレス検出が実行されている間、他の IPv6 アドレスは引き続き一時的な状態に設定されます。リンク ローカル アドレスに対する重複アドレス検出が完了すると、残りの IPv6 アドレスに対して重複アドレス検出が実行されます。
重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンク ローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。
重複アドレスがインターフェイスのグローバル アドレスの場合、そのアドレスは使用されなくなり、次のようなエラー メッセージが発行されます。
重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。
インターフェイスのリンク ローカル アドレスが変更された場合は、新しいリンク ローカル アドレスに対して重複アドレス検出が実行され、そのインターフェイスに関連付けられている他の IPv6 アドレスがすべて再生成されます(重複アドレス検出は新しいリンク ローカル アドレスに対してのみ実行されます)。
例
次の例では、インターフェイスの一時的なユニキャスト IPv6 アドレスに対して重複アドレス検出が実行されている間に 5 つの連続したネイバー送信要求メッセージが送信されるように設定します。
次の例では、選択したインターフェイス上で重複アドレス検出をディセーブルにします。
関連コマンド
|
|
|
|---|---|
ipv6 nd ns-interval
インターフェイス上で IPv6 ネイバー送信要求メッセージの再送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ns-interval [ value ]
シンタックスの説明
IPv6 ネイバー送信要求メッセージの送信間隔(ミリ秒単位)。有効となる値の範囲は 1,000 ~ 3,600,000 ミリ秒です。デフォルト値は 1,000 ミリ秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、Gigabitethernet 0/0 に対して IPv6 ネイバー送信要求メッセージの送信間隔を 9,000 ミリ秒に設定します。
関連コマンド
|
|
|
|---|---|
ipv6 nd prefix
IPv6 ルータ アドバタイズメントに含める IPv6 プレフィックスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
シンタックスの説明
デフォルト
IPv6 ルータ アドバタイズメントを発信するインターフェイス上で設定されたすべてのプレフィックスがアドバタイズされる場合、有効ライフタイム 2,592,000 秒(30 日)と優先ライフタイム 604,800 秒(7 日)が使用され、「onlink」フラグと「autoconfig」フラグの両方が設定されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、個別のパラメータをプレフィックスごとに制御できます。
デフォルトでは、 ipv6 address コマンドを使用してインターフェイス上のアドレスとして設定されたプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメントのプレフィックスを設定すると、そのプレフィックスだけがアドバタイズされます。
default キーワードを使用すると、すべてのプレフィックスのデフォルト パラメータを設定できます。
日付を設定してプレフィックスの有効期限を指定することができます。有効ライフタイムと優先ライフタイムは、リアルタイムでカウントダウンされます。有効期限に到達すると、プレフィックスはアドバタイズされなくなります。
onlink が「オン」(デフォルト)の場合、指定されたプレフィックスはリンクに割り当てられます。指定されたプレフィックスを含むアドレスにトラフィックを送信するノードでは、宛先をリンク上でローカルに到達可能なものと見なします。
autoconfig が「オン」(デフォルト)の場合、ローカル リンク上のホストには、指定されたプレフィックスが IPv6 自動設定に使用可能であることが示されます。
例
次の例では、指定されたインターフェイスから送信されるルータ アドバタイズメントに、IPv6 プレフィックス 2001:200::/35、有効ライフタイム 1,000 秒、および優先ライフタイム 900 秒を含めます。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-interval
インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。
ipv6 nd ra-interval [ msec ] value
no ipv6 nd ra-interval [[ msec ] value ]
シンタックスの説明
IPv6 ルータ アドバタイズメントの送信間隔。有効値の範囲は 3 ~ 1,800 秒ですが、 msec キーワードが指定されている場合は 500 ~ 1,800,000 ミリ秒となります。デフォルトは、200 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 nd ra-lifetime コマンドを使用して セキュリティ アプライアンスをデフォルト ルータとして設定した場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードと同期させないようにするには、使用する実際の値を、指定された値の 20% 以内でランダムに調整します。
例
次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントの送信間隔を 201 秒に設定します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-lifetime
インターフェイス上で IPv6 ルータ アドバタイズメントの「ルータ ライフタイム」を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ra-lifetime [ seconds ]
シンタックスの説明
このインターフェイスにおけるデフォルト ルータとしてのセキュリティ アプライアンスの有効期間。有効となる値の範囲は、0 ~ 9000 秒です。デフォルトは、1,800 秒です。0 は、セキュリティ アプライアンスを、選択したインターフェイス上のデフォルト ルータと見なさない必要があることを示します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
「ルータ ライフタイム」値は、インターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。この値は、このインターフェイスにおけるデフォルト ルータとしてのセキュリティ アプライアンスの有効期間を示します。
値を 0 以外の値に設定することは、セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なす必要があることを示します。「ルータ ライフタイム」値を 0 以外の値に設定する場合は、ルータ アドバタイズメントの送信間隔より小さくしないでください。
値を 0 に設定することは、セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なさない必要があることを示します。
例
次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントのライフタイムを 1,801 秒に設定します。
関連コマンド
|
|
|
|---|---|
ipv6 nd reachable-time
到達可能性の確認イベントが発生した後でリモート IPv6 ノードを到達可能と見なす期間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルト期間に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd reachable-time [ value ]
シンタックスの説明
リモート IPv6 ノードを到達可能と見なす期間(ミリ秒単位)。有効となる値の範囲は 0 ~ 3,600,000 ミリ秒です。デフォルトは 0 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
期間を設定すると、使用不可能なネイバーを検出できます。設定期間を短くすると、使用不可能なネイバーをより迅速に検出できます。ただし、期間を短くするほど、IPv6 ネットワークの帯域幅の消費量と、IPv6 ネットワーク デバイスすべての処理リソースの消費量が増加します。通常の IPv6 動作において、設定期間を大幅に短くすることはお勧めできません。
例
次の例では、選択したインターフェイスに対して IPv6 到達可能期間を 1,700,000 ミリ秒に設定します。
関連コマンド
|
|
|
|---|---|
ipv6 nd suppress-ra
LAN インターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにするには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイス上で IPv6 ルータ アドバタイズメントの送信を再度イネーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
IPv6 ユニキャスト ルーティングがイネーブルの場合は、LAN インターフェイス上でルータ アドバタイズメントが自動的に送信されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LAN 以外のタイプのインターフェイス(たとえば、シリアル インターフェイスやトンネル インターフェイス)上で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。
例
次の例では、選択したインターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにします。
関連コマンド
|
|
|
|---|---|
ipv6 neighbor
IPv6 近隣探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。近隣探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 neighbor ipv6_address if_name mac_address
no ipv6 neighbor ipv6_address if_name [ mac_address ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 neighbor コマンドは、 arp コマンドと類似しています。指定された IPv6 アドレスのエントリが近隣探索キャッシュにすでに存在する(IPv6 近隣探索プロセスからラーニングされた)場合、そのエントリはスタティック エントリに自動的に変換されます。 copy コマンドを使用してコンフィギュレーションを格納すると、このエントリがコンフィギュレーションに格納されます。
IPv6 近隣探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。
clear ipv6 neighbors コマンドは、IPv6 近隣探索キャッシュのすべてのエントリを、スタティック エントリを除いて削除します。 no ipv6 neighbor コマンドは、指定したスタティック エントリを近隣探索キャッシュから削除します。このコマンドによってダイナミック エントリ(IPv6 近隣探索プロセスからラーニングされたエントリ)がキャッシュから削除されることはありません。 no ipv6 enable コマンドを使用してインターフェイス上で IPv6 をディセーブルにすると、そのインターフェイスに設定された IPv6 近隣探索キャッシュのすべてのエントリが、スタティック エントリを除いて削除されます(エントリの状態は INCMP [Incomplete] に変更されます)。
例
次の例では、IPv6 アドレス 3001:1::45A および MAC アドレス 0002.7D1A.9472 の内部ホストのスタティック エントリを近隣探索キャッシュに追加します。
関連コマンド
|
|
|
|---|---|
ipv6 route
IPv6 ルーティング テーブルに IPv6 ルートを追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。
ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance ]
no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ネットワーク 7fff::0/32 に対するパケットを、管理ディスタンス 110 で、
3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングします。
関連コマンド
|
|
|
|---|---|
IPv6 のルーティング テーブル アップデートおよびルート キャッシュ アップデートに関するデバッグ情報を表示します。 |
|
isakmp am-disable
アグレッシブ モードの着信接続をディセーブルにするには、グローバル コンフィギュレーション モードで isakmp am-disable コマンドを使用します。アグレッシブ モードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、アグレッシブ モードの着信接続をディセーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp disconnect-notify
ピアに対する切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp enable
IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上で ISAKMP ネゴシエーションをイネーブルにするには、グローバル コンフィギュレーション モードで isakmp enable コマンドを使用します。インターフェイス上で ISAKMP ディセーブルにするには、このコマンドの no 形式を使用します。
no isakmp enable interface-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
isakmp identity
フェーズ 2 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
isakmp identity {address | hostname | key-id key-id-string | auto }
no isakmp identity {address | hostname | key-id key-id-string | auto }
シンタックスの説明
ISKMP ネゴシエーションを、接続タイプよって判別します(事前共有キーの IP アドレス、または証明書認証用の証明書 DN)。 |
|
ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションを、接続タイプに応じてイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp ipsec-over-tcp
IPSec over TCP をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp ipsec-over-tcp コマンドを使用します。IPSec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。
isakmp ipsec-over-tcp [ port port1...port10 ]
no isakmp ipsec-over-tcp [ port port1...port10 ]
シンタックスの説明
(オプション)デバイスが IPSec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号の範囲は 1 ~ 65535 です。デフォルトのポート番号は 10000 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、ポート 45 上で IPSec over TCP をイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp keepalive
IKE DPD を設定するには、トンネルグループ ipsec アトリビュート コンフィギュレーション モードで isakmp keepalive コマンドを使用します。デフォルトでは、すべてのトンネルグループで IKE キープアライブが、デフォルトのしきい値およびリトライ値を使用してイネーブルになっています。キープアライブ パラメータを、デフォルトのしきい値およびリトライ値を使用してイネーブルにした状態に戻すには、このコマンドの no 形式を使用します。
isakmp keepalive [ threshold seconds ] [ retry seconds ] [ disable ]
シンタックスの説明
キープアライブ応答が受信されなくなった後のリトライ間の間隔を秒単位で指定します。範囲は 2 ~ 10 秒です。デフォルトは、2 秒です。 |
|
キープアライブのモニタリングを開始するまでピアがアイドル状態を維持できる秒数を指定します。範囲は 10 ~ 3,600 秒です。LAN-to-LAN グループのデフォルトは 10 秒で、リモートアクセス グループのデフォルトは 300 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このアトリビュートは、IPSec リモートアクセスおよび IPSec LAN-to-LAN トンネルグループ タイプだけに適用できます。
例
次の例では、config-ipsec コンフィギュレーション モードで、209.165.200.225 という IPSec
LAN-to-LAN トンネルグループに対して、IKE DPD を設定し、しきい値を 15 に設定し、リトライ間隔を 10 に指定します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
isakmp nat-traversal
NAT Traversal をグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP をイネーブルにしたことを確認し(イネーブルにするには isakmp enable コマンドを使用します)、次に isakmp nat-traversal コマンドを使用します。NAT Traversal がイネーブルのときに、これをディセーブルにするには、このコマンドの no 形式を使用します。
isakmp nat-traversal natkeepalive
no isakmp nat-traversal natkeepalive
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
NAT は、PAT も含め、IPSec も使用している多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを問題なく通過することを妨げる非互換性が数多くあります。
NAT Traversal を使用すると、ESP パケットが 1 つまたは複数の NAT デバイスを通過できるようになります。
セキュリティ アプライアンスは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおり NAT Traversal をサポートしています。NAT Traversal は、ダイナミックとスタティックの両方の暗号マップについてサポートされています。
このコマンドは、セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。暗号マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。
例
次の例では、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、30 秒間隔で NAT Traversal をイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp policy authentication
IKE ポリシー内の認証方式を指定するには、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。認証方式をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority authentication { pre-share | dsa-sig | rsa-sig }
no isakmp policy priority authentication
シンタックスの説明
IKE ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。 |
|
| RSA シグニチャは、IKE ネゴシエーションに対する否認防止ができます。これは、基本的にユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RSA シグニチャを指定する場合は、認証局(CA)から証明書を取得するようにセキュリティ アプライアンスとそのピアを設定する必要があります。事前共有キーを指定する場合は、セキュリティ アプライアンスとそのピアに、事前共有キーを別々に設定する必要があります。
例
次の例は、グローバル コンフィギュレーション モードで、 isakmp policy authentication コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに RSA シグニチャの認証方式を使用するように設定します。
関連コマンド
|
|
|
|---|---|
isakmp policy encryption
IKE ポリシー内の暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }
no isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }
シンタックスの説明
Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、グローバル コンフィギュレーション モードで、 isakmp policy encryption コマンドを使用する方法を示しています。この例では、優先順位番号 25 の IKE ポリシーに 128 ビット キーの AES 暗号化アルゴリズムを使用するように設定します。
次の例では、グローバル コンフィギュレーション モードで、優先順位番号 40 の IKE ポリシーに 3DES アルゴリズムを使用するように設定します。
関連コマンド
|
|
|
|---|---|
isakmp policy group
IKE ポリシーの Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority group { 1 | 2 | 5 | 7 }
no isakmp policy priority group
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ オプションには、768 ビット(DH Group 1)、1,024 ビット(DH Group 2)、1,536 ビット(DH Group 5)、および DH Group 7 の 4 つがあります。1,024 ビットと 1,536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。
(注) Cisco VPN Client Version 3.x 以降では、isakmp policy で DH group 2 を設定する必要があります(DH group 1 を設定した場合、Cisco VPN Client は接続できません)。
AES は、VPN-3DES のライセンスがあるセキュリティ アプライアンスに限りサポートされます。AES が提供するキーはサイズが大きいため、ISAKMP ネゴシエーションには、group 1 や group 2 ではなく、Diffie-Hellman(DH)group 5 を使用する必要があります。この設定には、isakmp policy priority group 5 コマンドを使用します。
例
次の例は、グローバル コンフィギュレーション モードで、 isakmp policy group コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに、グループ 2、1024 ビット Diffie Hellman を使用するように設定します。
関連コマンド
|
|
|
|---|---|
isakmp policy hash
IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。
ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority hash { md5 | sha }
no isakmp policy priority hash
シンタックスの説明
Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 は、SHA-1 よりもダイジェストが小さく、わずかに速いとされています。
例
次の例は、グローバル コンフィギュレーション モードで、 isakmp policy hash コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに MD5 ハッシュ アルゴリズムを使用することを指定します。
関連コマンド
|
|
|
|---|---|
isakmp policy lifetime
IKE セキュリティ アソシエーションの期限が満了するまでのライフタイムを指定するには、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用します。ピアがライフタイムを提示していなければ、無限のライフタイムを指定できます。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority lifetime seconds
no isakmp policy priority lifetime
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータを合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限満了するまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限満了するまでその後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限満了する前に、新しいセキュリティ アソシエーションをネゴシエートします。
ライフタイムを長くするほど、セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することをお勧めします。
(注) IKE セキュリティ アソシエーションが無限のライフタイムに設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからのネゴシエートされた有限のライフタイムが使用されます。
次の例は、グローバル コンフィギュレーション モードで、isakmp policy lifetime コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。
例
この例では、グローバル コンフィギュレーション モードで、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。
次の例では、グローバル コンフィギュレーション モードで、IKE セキュリティ アソシエーションを無限のライフタイムに設定します。
関連コマンド
isakmp reload-wait
すべてのアクティブなセッションが自主的に終了するまで待機してからセキュリティ アプライアンスをリブートできるようにするには、グローバル コンフィギュレーション モードで isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するまで待機しないでセキュリティ アプライアンスのリブートを続行するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してからリブートするように、セキュリティ アプライアンスに通知します。
関連コマンド
|
|
|
|---|---|
issuer-name
規則エントリ文字列との比較対象となる CA 証明書の DN を指定するには、CA 証明書マップ コンフィギュレーション モードで issuer-name コマンドを使用します。発行者名を削除するには、コマンドの no 形式を使用します。
issuer-name [ attr tag ] { eq | ne | co | nc } string
no issuer-name [ attr tag ] { eq | ne | co | nc } string
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、証明書マップ 4 の CA 証明書マップ モードに入り、発行者名を O = central として設定します。
関連コマンド
|
|
|
|---|---|
join-failover-group
コンテキストをフェールオーバー グループに割り当てるには、コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no join-failover-group group_num
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
管理コンテキストは、常にフェールオーバー グループ 1 に割り当てられます。フェールオーバー グループとコンテキストの関連付けを表示するには、 show context detail コマンドを使用します。
コンテキストをフェールオーバー グループに割り当てる前に、 failover group コマンドを使用して、フェールオーバー グループをシステム コンテキスト内に作成する必要があります。このコマンドは、コンテキストがアクティブな状態になっている装置上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバー グループ 1 のメンバーになっています。そのため、コンテキストがまだフェールオーバー グループに割り当てられていない場合は、フェールオーバー グループ 1 がアクティブ状態になっている装置上で、このコマンドを入力する必要があります。
システムからフェールオーバー グループを削除するには、事前に no join-failover-group コマンドを使用して、フェールオーバー グループからコンテキストをすべて削除しておく必要があります。
例
次の例では、ctx1 というコンテキストをフェールオーバー グループ 2 に割り当てます。
関連コマンド
|
|
|
|---|---|
コンテキストの詳細情報(名前、クラス、インターフェイス、フェールオーバー グループの関連付け、およびコンフィギュレーション ファイルの URL など)を表示します。 |
kerberos-realm
この Kerberos サーバのレルム名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
大文字と小文字が区別される最大 64 文字の英数字の文字列。文字列にスペースは使用できません。
(注) Kerberos レルム名に使用できるのは、数字と大文字のアルファベットのみです。セキュリティ アプライアンスでは、string 引数に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。必ず大文字のアルファベットだけを使用してください。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Kerberos サーバに対してのみ有効です。
Microsoft Windows の set USERDNSDOMAIN コマンドを Kerberos レルムの Windows 2000 Active Directory サーバ上で実行する場合は、 string 引数の値をこのコマンドの出力と一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。
string 引数には、数字と大文字のアルファベットのみを使用する必要があります。 kerberos-realm コマンドでは、大文字と小文字が区別されます。また、セキュリティ アプライアンスでは、小文字は大文字に変換されません。
例
次のシーケンスは、AAA サーバ ホストの設定に関するコンテキストで Kerberos レルムを「EXAMPLE.COM」に設定するための kerberos-realm コマンドを示しています。
hostname(config)# aaa-server svrgrp1 protocol kerberos
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション サブモードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
key
AAA サーバに対して NAS を認証するために使用されるサーバ シークレットの値を指定するには、AAA サーバ ホスト モードで key コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。キー(サーバ シークレット)の値によって、セキュリティ アプライアンスが AAA サーバに対して認証されます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
key の値は、127 文字までの英数字で構成されているキーワードで、TACACS+ サーバ上のキーと同じ値にします。アルファベットの大文字と小文字は区別されます。128 文字以降に入力された文字は、すべて無視されます。このキーは、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。キーは、クライアント システムとサーバ システムの両方で同一である必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。
このコマンドは、RADIUS サーバと TACACS+ サーバに対してのみ有効です。
以前の PIX Firewall のバージョンで使用されていた aaa-server コマンドの key パラメータは、対応する key コマンドに自動的に変換されます。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という TACACS+ AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、キーを「myexclusivemumblekey」として設定します。
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# key myexclusivemumblekey
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
keypair
証明する公開キーのキー ペアを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、central トラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入り、central トラストポイント用に証明するキー ペアを指定します。
関連コマンド
|
|
|
|---|---|
kill
Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
kill コマンドを使用すると、Telnet セッションを終了できます。Telnet セッションの ID を表示するには、 who コマンドを使用します。Telnet セッションを終了すると、セキュリティ アプライアンスは、警告することなく、すべてのアクティブなコマンドを終了して接続をドロップします。
例
次の例は、ID「2」の Telnet セッションを終了する方法を示しています。最初に、アクティブな Telnet セッションのリストを表示するため、 who コマンドを入力します。次に、ID「2」の Telnet セッションを終了するため、 kill 2 コマンドを入力します。
2: From 10.10.54.0
関連コマンド
|
|
|
|---|---|
ldap-base-dn
認可要求を受信したときに、サーバが検索を開始する LDAP 階層内の位置を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-base-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除して、検索の開始位置をリストの先頭にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
認可要求を受信したときに、サーバが検索を開始する LDAP 階層内の位置を指定する最大 128 文字の文字列で、大文字と小文字が区別されます(たとえば、OU=Cisco)。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ベース DN を「starthere」として設定します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-defaults
LDAP のデフォルト値を定義するには、crl 設定コンフィギュレーション モードで ldap-defaults コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのデフォルト値は、LDAP サーバが必要とする場合にだけ使用されます。LDAP デフォルトを指定しない場合は、このコマンドの no 形式を使用します。
シンタックスの説明
(オプション)LDAP サーバ ポートを指定します。このパラメータが指定されていない場合、セキュリティ アプライアンスは標準の LDAP ポート(389)を使用します。 |
|
LDAP サーバの IP アドレスまたはドメイン名を指定します。CRL 配布ポイント内にサーバが存在する場合、この値はそのサーバによって上書きされます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、デフォルト ポート(389)上で LDAP デフォルト値を定義します。
関連コマンド
|
|
|
|---|---|
ldap-dn
CRL の取得時に認証を要求する LDAP サーバに X.500 認定者名とパスワードを渡すには、crl 設定コンフィギュレーション モードで ldap-dn コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバが必要とする場合にだけ使用されます。
LDAP DN を指定しない場合は、このコマンドの no 形式を使用します。
シンタックスの説明
この CRL データベースにアクセスするためのディレクトリ パスを定義します(たとえば、cn=crl,ou=certs,o=CAName,c=US)。フィールドの最大長は 128 文字です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、X.500 の名前に CN=admin,OU=devtest,O=engineering を指定し、central トラストポイントのパスワードに xxzzyy を指定します。
関連コマンド
|
|
|
|---|---|
ldap-login-dn
システムがバインドするディレクトリ オブジェクトの名前を指定するには、AAA サーバ ホスト モードで ldap-login-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
LDAP 階層内のディレクトリ オブジェクトの名前を指定する最大 128 文字の文字列で、大文字と小文字が区別されます。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、LDAP サーバに対してのみ有効です。サポートされる文字列の最大長は 128 文字です。
Microsoft Active Directory サーバなどの LDAP サーバでは、他のすべての LDAP 動作に関する要求を受け入れる前に、セキュリティ アプライアンスが認証済みバインディングを介してハンドシェイクを確立することを要求します。セキュリティ アプライアンスは、認証済みバインディングに対して識別情報を示すときに、ユーザ認証要求に Login DN フィールドを付加します。Login DN フィールドは、セキュリティ アプライアンスの認証特性を説明します。この特性は、管理者特権を持つユーザの特性に対応している必要があります。
string 変数には、VPN コンセントレータの認証済みバインディングに関するディレクトリ オブジェクトの名前を入力します(たとえば、cn=Administrator、cn=users、ou=people、dc=XYZ Corporation、dc=com)。匿名アクセスの場合、このフィールドはブランクのままにします。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ログイン DN を「myobjectname」として設定します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host))# retry 7
-host))# ldap-login-dn myobjectname
hostname(config-aaa-server-host))# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-login-password
LDAP サーバのログイン パスワードを指定するには、AAA サーバ ホスト モードで
ldap-login-password コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。このパスワード指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ログイン パスワードを「obscurepassword」として設定します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server)# timeout 9
hostname(config-aaa-server)# retry 7
hostname(config-aaa-server)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-naming-attribute
相対認定者名アトリビュート(複数可)を指定するには、AAA サーバ ホスト モードで
ldap-naming-attribute コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
LDAP サーバ上のエントリを一意に識別するための相対認定者名アトリビュート(複数可)で、大文字と小文字が区別される最大 128 文字の英数字です。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LDAP サーバ上のエントリを一意に識別するための、相対認定者名アトリビュート(複数可)を入力します。共通の命名アトリビュートは、通常名(cn)とユーザ ID(uid)です。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP 命名アトリビュートを「cn」として設定します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
|---|---|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-scope
認可要求を受信したときに、サーバが検索する LDAP 階層内の範囲を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-scope コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
認可要求を受信したときに、サーバが検索する LDAP 階層のレベル番号を指定します。有効値は、次のとおりです。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スコープを onelevel として指定すると、検索速度が向上します。これは、ベース DN の 1 つ下のレベルだけが検索されるためです。 subtree を指定すると速度が低下します。これは、ベース DN の下にあるすべてのレベルが検索されるためです。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP スコープがサブツリー レベルを含むように設定します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
leap-bypass
LEAP Bypass をイネーブルにするには、グループポリシー コンフィギュレーション モードで
leap-bypass enable コマンドを使用します。LEAP Bypass をディセーブルにするには、 leap-bypass disable コマンドを使用します。LEAP Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、LEAP Bypass の値を別のグループポリシーから継承できます。
LEAP Bypass をイネーブルにすると、VPN ハードウェア クライアントの背後にあるワイヤレス デバイスからの LEAP パケットが、ユーザ認証の前に VPN トンネルを通過できるようになります。これにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。確立後、ワークステーションはユーザごとの認証をもう一度実行します。
leap-bypass { enable | disable }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
対話型のハードウェア クライアント認証がイネーブルになっていると、この機能は正常に動作しません。
詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
(注) 認証されていないトラフィックがトンネルを通過できるようにすると、セキュリティ リスクが生じる場合があります。
例
次の例は、「FirstGroup」というグループポリシーに LEAP Bypass を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
VPN ハードウェア クライアントがトンネルを開始するたびに、クライアントにユーザ名とパスワードによる認証を要求します。 |
|
VPN ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
log-adj-changes
OSPF 隣接ルータがアップ状態またはダウン状態になると syslog メッセージを送信するようにルータを設定するには、ルータ コンフィギュレーション モードで log-adj-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
シンタックスの説明
(オプション)隣接ルータがアップ状態またはダウン状態になるときだけでなく、状態が変化するたびに syslog メッセージを送信します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
log-adj-changes コマンドは、デフォルトでイネーブルになっており、コマンドの no 形式を使用して削除しない限り、実行コンフィギュレーションに表示されます。
例
次の例では、OSPF 隣接ルータがアップ状態またはダウン状態になったときに syslog メッセージを送信しないようにします。
関連コマンド
|
|
|
|---|---|
login
ローカル ユーザ データベースを使用して特権 EXEC モードに入る場合や、ユーザ名を変更する場合は、ユーザ EXEC モードで login コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
login コマンドを使用すると、ユーザ EXEC モードから特権 EXEC モードに、ローカル データベース内の任意のユーザ名としてログインできます。イネーブル認証をオンにした場合、 login コマンドは enable コマンドと類似したものになります( aaa authentication console コマンドを参照)。ただし、イネーブル認証とは異なり、 login コマンドはローカル ユーザ名データベースのみを使用できます。このコマンドでは、常に認証が要求されます。また、 login コマンドを使用すると、任意の CLI モードからユーザを変更できます。
ユーザがログイン時に特権 EXEC モード(およびすべてのコマンド)にアクセスできるようにするには、ユーザの特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場合、ユーザは、その特権レベル以下のレベルに割り当てられているコマンドのみを入力できます。詳細については、 aaa authorization コマンド を参照してください。
例
次の例では、 login コマンドを入力した後のプロンプトを示します。
関連コマンド
|
|
|
|---|---|
logging asdm
ASDM ログ バッファに syslog メッセージを送信するには、グローバル コンフィギュレーション モードで logging asdm コマンドを使用します。ASDM ログ バッファへのロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging asdm [ logging_list | level]
no logging asdm [ logging_list | level]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM ログ バッファにメッセージが送信される前に、 logging enable コマンドを使用して、ロギングをイネーブルにしておく必要があります。
ASDM のログ バッファがいっぱいである場合、セキュリティ アプライアンスは最も古いメッセージを削除して、新しいメッセージ用の空き領域をバッファ内に確保します。ASDM のログ バッファに保持される syslog メッセージの数を制御するには、 logging asdm-buffer-size コマンドを使用します。
ASDM のログ バッファは、 logging buffered コマンドでイネーブルにするログ バッファとは別のバッファです。
例
次の例は、ロギングをイネーブルにして、ASDM ログ バッファに重大度 0、1、および 2 のメッセージを送信する方法を示しています。また、ASDM ログ バッファのサイズを 200 メッセージに設定する方法も示しています。
関連コマンド
|
|
|
|---|---|
logging asdm-buffer-size
ASDM のログ バッファに保持される syslog メッセージの数を指定するには、グローバル コンフィギュレーション モードで logging asdm-buffer-size コマンドを使用します。ASDM ログ バッファをデフォルト サイズの 100 メッセージにリセットするには、このコマンドの no 形式を使用します。
logging asdm-buffer-size num_of_msgs
no logging asdm-buffer-size num_of_msgs
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM のログ バッファがいっぱいである場合、セキュリティ アプライアンスは最も古いメッセージを削除して、新しいメッセージ用の空き領域をバッファ内に確保します。ASDM ログ バッファへのロギングをイネーブルにするかどうかを制御する場合や、ASDM ログ バッファに保持される syslog メッセージの種類を制御する場合は、 logging asdm コマンドを使用します。
ASDM のログ バッファは、 logging buffered コマンドでイネーブルにするログ バッファとは別のバッファです。
例
次の例は、ロギングをイネーブルにして、ASDM ログ バッファに重大度 0、1、および 2 のメッセージを送信する方法を示しています。また、ASDM ログ バッファのサイズを 200 メッセージに設定する方法も示しています。
関連コマンド
|
|
|
|---|---|
logging buffered
セキュリティ アプライアンスが syslog メッセージをログ バッファに送信できるようにするには、グローバル コンフィギュレーション モードで logging buffered コマンドを使用します。ログ バッファへのロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging buffered [ logging_list | level]
no logging buffered [ logging_list | level]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ログ バッファにメッセージが送信される前に、 logging enable コマンドを使用してロギングをイネーブルにしておく必要があります。
新しいメッセージは、バッファの最後に追加されます。バッファがいっぱいになると、セキュリティ アプライアンスはバッファを消去してから、メッセージの追加を続行します。ログ バッファがいっぱいである場合、セキュリティ アプライアンスは最も古いメッセージを削除して、新しいメッセージ用の空き領域をバッファ内に確保します。バッファの内容が「ラップ」されるたびにバッファの内容を自動的に保存することができます。これは、最後に保存されてから追加されたすべてのメッセージが新しいメッセージに置き換えられることを意味します。詳細については、 logging flash-bufferwrap コマンドと logging ftp-bufferwrap コマンドを参照してください。
バッファの内容は、いつでもフラッシュ メモリに保存できます。詳細については、 logging savelog コマンドを参照してください。
例
次の例では、レベル 0 およびレベル 1 のイベントに対して、バッファへのロギングを設定します。
次の例では、最大ロギング レベル 7 の notif-list というリストを作成し、notif-list リストで識別される syslog メッセージに対して、バッファへのロギングを設定します。
関連コマンド
|
|
|
|---|---|
logging buffer-size
ログ バッファのサイズを指定するには、グローバル コンフィギュレーション モードで logging buffer-size コマンドを使用します。ログ バッファをデフォルト サイズの 4 KB にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
ログ バッファに使用するメモリ量をバイト単位で設定します。たとえば、8,192 を指定した場合、セキュリティ アプライアンスはログ バッファに 8 KB のメモリを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが使用しているログ バッファのサイズがデフォルトのバッファ サイズと異なっているかどうかを確認するには、 show running-config logging コマンドを使用します。 logging buffer-size コマンドが表示されない場合、セキュリティ アプライアンスが使用するログ バッファのサイズは 4 KB です。
セキュリティ アプライアンスによるバッファの使用方法の詳細については、 logging buffered コマンドを参照してください。
例
次の例では、ロギングとロギング バッファをイネーブルにし、セキュリティ アプライアンスがログ バッファ用に 16 KB のメモリを使用するように指定します。
関連コマンド
|
|
|
|---|---|
logging class
メッセージ クラスに対して、ロギング先ごとの最大ロギング レベルを設定するには、グローバル コンフィギュレーション モードで logging class コマンドを使用します。メッセージ クラスのロギング レベル コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
logging class class destination level [ destination level . . .]
シンタックスの説明
デフォルト
デフォルトでは、セキュリティ アプライアンスは、ロギング先およびメッセージ クラスごとにロギング レベルを適用しないようになっています。代わりに、イネーブルになっている各ロギング先は、ロギング リストで指定されたロギング レベル、またはロギング先をイネーブルにするときに指定されたレベルで、すべてのクラスに対するメッセージを受信します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• asdm :このロギング先については、 logging asdm コマンドを参照してください。
• buffered :このロギング先については、 logging buffered コマンドを参照してください。
• console :このロギング先については、 logging console コマンドを参照してください。
• history :このロギング先については、 logging history コマンドを参照してください。
• mail :このロギング先については、 logging mail コマンドを参照してください。
例
次の例では、フェールオーバー関連のメッセージに対して、ASDM ログ バッファの最大ロギング レベルが 2 で、システム ログ バッファの最大ロギング レベルが 7 であることを指定します。
関連コマンド
|
|
|
|---|---|
logging console
セキュリティ アプライアンスが syslog メッセージをコンソール セッションに表示できるようにするには、グローバル コンフィギュレーション モードで logging console コマンドを使用します。syslog メッセージをコンソール セッションに表示しないようにするには、このコマンドの no 形式を使用します。
logging console [ logging_list | level]
(注) このコマンドを使用すると、バッファ オーバーフローによって多数の syslog メッセージがドロップされる可能性があるため、このコマンドの使用はお勧めできません。詳細については、後述する「使用上のガイドライン」の項を参照してください。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンソールにメッセージが送信される前に、 logging enable コマンドを使用してロギングをイネーブルにしておく必要があります。
例
次の例は、レベル 0、1、2、および 3 の syslog メッセージをコンソール セッションに表示できるようにする方法を示しています。
関連コマンド
|
|
|
|---|---|
logging debug-trace
デバッグ メッセージを、重大度 7 で発行された syslog メッセージ 711011 としてログにリダイレクトするには、グローバル コンフィギュレーション モードで logging debug-trace コマンドを使用します。ログへのデバッグ メッセージの送信を停止するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デバッグ メッセージは、重大度 7 のメッセージとして生成されます。このメッセージは、syslog メッセージ番号 711011 と一緒にログに表示されます。
例
次の例は、ロギングをイネーブルにし、ログ メッセージをシステム ログ バッファに送信し、デバッグ出力をログにリダイレクトし、ディスク アクティビティのデバッグをオンにする方法を示しています。
関連コマンド
|
|
|
|---|---|
logging device-id
EMBLEM 形式でない syslog メッセージにデバイス ID を含めるようにセキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで logging device-id コマンドを使用します。デバイス ID の使用をディセーブルにするには、このコマンドの no 形式を使用します。
logging device-id { context-name | hostname | ipaddress interface_name | string text }
no logging device-id { context-name | hostname | ipaddress interface_name | string text }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipaddress キーワードを使用すると、デバイス ID は、メッセージが送信されたインターフェイスに関係なく、指定したセキュリティ アプライアンス インターフェイスの IP アドレスとなります。このキーワードの使用により、そのデバイスから送信されるメッセージすべてに、1 つの同じデバイス ID が割り当てられます。
例
次の例は、secappl-1 というホストを設定する方法を示しています。
syslog メッセージでは、ホスト名 secappl-1 はメッセージの先頭に表示されます。メッセージの例を次に示します。
関連コマンド
|
|
|
|---|---|
logging emblem
syslog サーバ以外のロギング先に送信される syslog メッセージに EMBLEM 形式を使用するには、グローバル コンフィギュレーション モードで logging emblem コマンドを使用します。EMBLEM 形式の使用をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging emblem コマンドを使用すると、syslog サーバを除くすべてのロギング先に対して、EMBLEM 形式のロギングをイネーブルにできます。 logging timestamp キーワードもイネーブルにすると、タイムスタンプ付きのメッセージが送信されます。
syslog サーバに対して EMBLEM 形式のロギングをイネーブルにするには、 logging host コマンドに format emblem オプションを使用します。
例
次の例は、ロギングをイネーブルにし、syslog サーバを除くすべてのロギング先へのロギングに対して、EMBLEM 形式の使用をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
logging enable
設定済みの出力場所すべてに対してロギングをイネーブルにするには、グローバル コンフィギュレーション モードで logging enable コマンドを使用します。ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging enable コマンドを使用すると、サポートされている任意のロギング先に対する syslog メッセージの送信をイネーブルまたはディセーブルにできます。すべてのロギングを停止するには、no logging enable コマンドを使用します。
例
次の例は、ロギングをイネーブルにする方法を示しています。 show logging コマンドの出力は、使用可能な各ロギング先を個別にイネーブルにする必要がある状況を示しています。
hostname(config)# logging enable
hostname(config)# show logging
関連コマンド
|
|
|
|---|---|
logging facility
syslog サーバに送信されるメッセージに使用するロギング ファシリティを指定するには、グローバル コンフィギュレーション モードで logging facility コマンドを使用します。ロギング ファシリティをデフォルトの 20 にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
次の表は、コマンドを入力できるモードを示しています。例外については、上記の「シンタックスの説明」の項を参照してください。
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
syslog サーバは、メッセージの facility 番号をもとに、メッセージをファイルします。使用可能なファシリティには、16(LOCAL0)~ 23(LOCAL7)の 8 つがあります。
例
次の例は、セキュリティ アプライアンスがロギング ファシリティを 16 として syslog メッセージに指定するように設定する方法を示しています。 show logging コマンドの出力には、セキュリティ アプライアンスによって使用されているファシリティが含まれます。
関連コマンド
|
|
|
|---|---|
logging flash-bufferwrap
バッファが未保存のメッセージでいっぱいになるたびに、セキュリティ アプライアンスがログ バッファをフラッシュ メモリに書き込めるようにするには、グローバル コンフィギュレーション モードで logging flash-bufferwrap コマンドを使用します。ログ バッファをフラッシュ メモリに書き込めないようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスがログ バッファをフラッシュ メモリに書き込めるようにするには、バッファへのロギングをイネーブルにする必要があります。このようにしないと、フラッシュ メモリに書き込むデータがログ バッファに保持されません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
セキュリティ アプライアンスは、ログ バッファの内容をフラッシュ メモリに書き込む間も、新しいイベント メッセージをログ バッファに継続的に格納します。
セキュリティ アプライアンスは、次のように、デフォルトのタイムスタンプ形式を使用した名前でログ ファイルを作成します。
YYYY は西暦年、 MM は月、 DD は日、 HHMMSS は時刻の時、分、秒です。
フラッシュ メモリの可用性により、セキュリティ アプライアンスが logging flash-bufferwrap コマンドを使用して syslog メッセージを保存するときの方法が異なります。詳細については、 logging flash-maximum-allocation コマンドと logging flash-minimum-free コマンドを参照してください。
例
次の例は、ロギングとログ バッファをイネーブルにし、セキュリティ アプライアンスがログ バッファをフラッシュ メモリに書き込めるようにする方法を示しています。
関連コマンド
|
|
|
|---|---|
フラッシュ メモリへのログ バッファの書き込みを許可するときに、セキュリティ アプライアンスが使用できるようにしておく必要のある最小限のフラッシュ メモリ量を指定します。 |
|
logging flash-maximum-allocation
セキュリティ アプライアンスがログ データの格納に使用するフラッシュ メモリの最大量を指定するには、グローバル コンフィギュレーション モードで logging flash-maximum-allocation コマンドを使用します。このコマンドにより、 logging savelog コマンドと logging flash-bufferwrap コマンドで使用できるフラッシュ メモリの最大量が決まります。この用途に使用するフラッシュ メモリの最大量をデフォルト サイズの 1 MB にリセットするには、このコマンドの no 形式を使用します。
logging flash-maximum-allocation kbytes
no logging flash-maximum-allocation kbytes
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging savelog または logging flash-bufferwrap によって保存されるログ ファイルが原因で、ログ ファイル用のフラッシュ メモリの使用量が、 logging flash-maximum-allocation コマンドで指定された最大量を超える場合、セキュリティ アプライアンスは最も古いログ ファイルを削除して、新しいログ ファイル用に十分な量のメモリを開放します。削除するファイルがない場合や、古いファイルをすべて削除してもメモリの空き容量が新しいログ ファイル用には小さすぎる場合、セキュリティ アプライアンスは新しいログ ファイルを保存できません。
セキュリティ アプライアンスによるフラッシュ メモリの最大割当量がデフォルト サイズと異なっているかどうかを確認するには、 show running-config logging コマンドを使用します。 logging flash-maximum-allocation コマンドが表示されない場合、セキュリティ アプライアンスがログ バッファ データの保存に使用する最大サイズは 1 MB です。割り当てられたメモリは、 logging savelog コマンドと logging flash-bufferwrap コマンドの両方に使用されます。
セキュリティ アプライアンスによるログ バッファの使用方法の詳細については、 logging buffered コマンドを参照してください。
例
次の例は、ロギングとログ バッファをイネーブルにし、セキュリティ アプライアンスがログ バッファをフラッシュ メモリに書き込めるようにし、ログ ファイルの書き込みに使用するフラッシュ メモリの最大量を約 1.2 MB に設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
フラッシュ メモリへのログ バッファの書き込みを許可するときに、セキュリティ アプライアンスが使用できるようにしておく必要のある最小限のフラッシュ メモリ量を指定します。 |
|
logging flash-minimum-free
セキュリティ アプライアンスが新しいログ ファイルを保存する前に確保しておく必要のあるフラッシュ メモリの最小空き容量を指定するには、グローバル コンフィギュレーション モードで logging flash-minimum-free コマンドを使用します。このコマンドにより、 logging savelog コマンドと logging flash-bufferwrap コマンドで作成されたログファイルをセキュリティ アプライアンスが保存する前に確保しておく必要のあるフラッシュ メモリの空き容量が異なります。フラッシュ メモリの必要最小限の空き容量をデフォルト サイズの 3 MB にリセットするには、このコマンドの no 形式を使用します。
logging flash-minimum-free kbytes
no logging flash-minimum-free kbytes
シンタックスの説明
セキュリティ アプライアンスが新しいログ ファイルを保存する前に使用可能にしておく必要のあるフラッシュ メモリの最小量(KB 単位)。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging flash-minimum-free コマンドは、 logging savelog コマンドと logging flash-bufferwrap コマンド用に常に確保しておく必要のあるフラッシュ メモリ量を指定します。
logging savelog または logging flash-bufferwrap によって保存されるログ ファイルが原因で、フラッシュ メモリの空き容量が、 logging flash-minimum-free コマンドで指定された限度を下回る場合、セキュリティ アプライアンスは最も古いログ ファイルを削除して、新しいログ ファイルの保存後もメモリの最小空き容量が保持されることを保証します。削除するファイルがない場合や、古いファイルをすべて削除してもメモリの空き容量が限度を下回る場合、セキュリティ アプライアンスは新しいログ ファイルを保存できません。
例
次の例は、ロギングとログ バッファをイネーブルにし、セキュリティ アプライアンスがログ バッファをフラッシュ メモリに書き込めるようにし、フラッシュ メモリの最小空き容量を 4,000 KB にする必要があることを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging from-address
セキュリティ アプライアンスによって電子メールで送信される syslog メッセージの送信者の電子メール アドレスを指定するには、グローバル コンフィギュレーション モードで
logging from-address コマンドを使用します。syslog メッセージ電子メールはすべて、指定したアドレスから送信されたように表示されます。送信者の電子メール アドレスを削除するには、このコマンドの no 形式を使用します。
logging from-address from-email-address
no logging from-address from-email-address
シンタックスの説明
送信元の電子メール アドレス(syslog 電子メールの送信元として表示される電子メール アドレス)。たとえば、cdb@example.com です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の基準に従って、ロギングをイネーブルにし、syslog メッセージを電子メールで送信するようにセキュリティ アプライアンスを設定します。
• critical、alerts、および emergencies のメッセージを送信する。
• メッセージを送信するときに、ciscosecurityappliance@example.com を送信者のアドレスとして使用する。
• メッセージを admin@example.com に送信する。
• SMTP を使用して、メッセージをプライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host に送信する。
hostname(config)# logging enable
hostname(config)# logging mail critical
hostname(config)# logging from-address ciscosecurityappliance@example.com
hostname(config)# logging recipient-address admin@example.com
hostname(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが syslog メッセージを電子メールで送信できるようにし、どのメッセージを電子メールで送信するかを決定します。 |
|
logging ftp-bufferwrap
バッファが未保存のメッセージでいっぱいになるたびに、セキュリティ アプライアンスがログ バッファを FTP サーバに送信できるようにするには、グローバル コンフィギュレーション モードで logging ftp-bufferwrap コマンドを使用します。ログ バッファを FTP サーバに送信しないようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging ftp-bufferwrap がイネーブルの場合、セキュリティ アプライアンスは、 logging ftp-server コマンドで指定された FTP サーバにログ バッファ データを送信します。セキュリティ アプライアンスは、ログ データを FTP サーバに送信する間も、新しいイベント メッセージをログ バッファに継続的に格納します。
セキュリティ アプライアンスがログ バッファの内容を FTP サーバに送信できるようにするには、バッファへのロギングをイネーブルにする必要があります。このようにしないと、フラッシュ メモリに書き込むデータがログ バッファに保持されません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
セキュリティ アプライアンスは、次のように、デフォルトのタイムスタンプ形式を使用した名前でログ ファイルを作成します。
例
次の例は、ロギングとログ バッファをイネーブルにし、FTP サーバを指定し、セキュリティ アプライアンスがログ バッファを FTP サーバに書き込めるようにする方法を示しています。この例では、logserver-352 というホスト名の FTP サーバを指定しています。このサーバには、ユーザ名 logsupervisor とパスワード 1luvMy10gs を使用してアクセスできます。ログ ファイルは、/syslogs ディレクトリに保存されます。
関連コマンド
|
|
|
|---|---|
logging ftp-server
logging ftp-bufferwrap がイネーブルの場合にセキュリティ アプライアンスがログ バッファ データを送信する FTP サーバについての詳細を指定するには、グローバル コンフィギュレーション モードで logging ftp-server コマンドを使用します。FTP サーバについての詳細をすべて削除するには、このコマンドの no 形式を使用します。
logging ftp-server ftp-server ftp_server path username password
no logging ftp-server ftp-server ftp_server path username password
シンタックスの説明
|
(注) ホスト名を指定する場合は、ネットワーク上で DNS が正しく動作していることを確認してください。 |
|
ログ バッファ データの保存先となる FTP サーバ上のディレクトリ パス。このパスは、FTP ルート ディレクトリに対する相対パスです。次の例を参考にしてください。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定できる FTP サーバは 1 つのみです。ロギング FTP サーバがすでに指定されている場合、 logging ftp-server コマンドを使用すると、その FTP サーバ コンフィギュレーションが、入力した新しいコンフィギュレーションに置き換えられます。
セキュリティ アプライアンスは、指定された FTP サーバ情報を確認しません。詳細を誤って設定した場合、セキュリティ アプライアンスはログ バッファ データを FTP サーバに送信できません。
例
次の例は、ロギングとログ バッファをイネーブルにし、FTP サーバを指定し、セキュリティ アプライアンスがログ バッファを FTP サーバに書き込めるようにする方法を示しています。この例では、logserver-352 というホスト名の FTP サーバを指定しています。このサーバには、ユーザ名 logsupervisor とパスワード 1luvMy10gs を使用してアクセスできます。ログ ファイルは、/syslogs ディレクトリに保存されます。
関連コマンド
|
|
|
|---|---|
logging history
SNMP ロギングをイネーブルにし、SNMP サーバに送信されるメッセージを指定するには、グローバル コンフィギュレーション モードで logging history コマンドを使用します。SNMP ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
logging history [ logging_list | level]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging history コマンドを使用すると、SNMP サーバへのロギングをイネーブルにし、SNMP メッセージ レベルまたはイベント リストを設定することができます。
例
次の例は、SNMP ロギングをイネーブルにし、レベル 0、1、2、および 3 のメッセージが設定済みの SNMP サーバに送信されるよう指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging host
syslog サーバを定義するには、グローバル コンフィギュレーション モードで logging host コマンドを使用します。syslog サーバの定義を削除するには、このコマンドの no 形式を使用します。
logging host interface_name syslog_ip [ tcp/ port | udp/ port ] [ format emblem ]
logging host interface_name syslog_ip
シンタックスの説明
メッセージを syslog サーバに送信するときに、セキュリティ アプライアンスが TCP を使用することを指定します。 |
|
メッセージを syslog サーバに送信するときに、セキュリティ アプライアンスが TCP を使用することを指定します。 |
|
syslog サーバがメッセージをリスンするポート。有効となるポート値の範囲は、どちらのプロトコルの場合も 1025 ~ 65535 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging host ip_address format emblem コマンドを使用すると、各 syslog サーバに対して EMBLEM 形式のロギングをイネーブルにできます。EMBLEM 形式のロギングは、UDP syslog メッセージに対してだけ利用できます。EMBLEM 形式のロギングを特定の syslog ホストに対してイネーブルにすると、メッセージがそのホストに送信されます。 logging timestamp キーワードもイネーブルにすると、タイムスタンプ付きのメッセージが送信されます。
複数の logging host コマンドを使用して複数の追加サーバを指定すると、追加したサーバすべてが syslogs メッセージを受信します。ただし、サーバは UDP か TCP のどちらか一方を受信するように指定でき、両方を受信するようには指定できません。
以前入力した port と protocol の値のみを表示するには、 show running-config logging コマンドを使用して、リストでコマンドを見つけます(TCP プロトコルは 6、UDP プロトコルは 17 として示されます)。TCP ポートは、セキュリティ アプライアンス syslog サーバに対してのみ動作します。 port は、syslog サーバがリスンするポートと一致している必要があります。
例
次の例は、内部インターフェイス上にあってデフォルトのプロトコルとポート番号を使用する syslog サーバに対して、レベル 0、1、2、および 3 の syslog メッセージを送信する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging list
各種の基準(ロギング レベル、イベント クラス、およびメッセージ ID)でメッセージを指定するため、他のコマンドで使用するロギング リストを作成するには、グローバル コンフィギュレーション モードで logging list コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
logging list name { level level [ class event_class ] | message start_id [ - end_id ]}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、logging list コマンドを使用する方法を示しています。
上記の例は、指定された基準に一致する syslog メッセージがロギング バッファに送信されることを示しています。この例で指定されている基準は、次のとおりです。
1. 100100 ~ 100110 の範囲内にある syslog メッセージ ID
2. critical レベル以上(emergency、alert、または critical)にあるすべての syslog メッセージ
3. warning レベル以上(emergency、alert、critical、error、または warning)にある VPN クラスのすべての syslog メッセージ
syslog メッセージがこれらの条件のいずれかを満たしている場合、そのメッセージはバッファにロギングされます。
(注) リストの基準を設計する場合、メッセージを重複して指定する基準にしてもかまいません。複数の基準に一致する syslog メッセージも正常にロギングされます。
関連コマンド
|
|
|
|---|---|
logging mail
セキュリティ アプライアンスが syslog メッセージを電子メールで送信したり、電子メールで送信するメッセージを判別したりできるようにするには、グローバル コンフィギュレーション モードで logging mail コマンドを使用します。syslog メッセージを電子メールで送信しないようにするには、このコマンドの no 形式を使用します。
logging mail [ logging_list | level ]
no logging mail [ logging_list | level ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の基準に従って、syslog メッセージを電子メールで送信するようにセキュリティ アプライアンスを設定します。
• critical、alerts、および emergencies のメッセージを送信する。
• メッセージを送信するときに、ciscosecurityappliance@example.com を送信者のアドレスとして使用する。
• メッセージを admin@example.com に送信する。
• SMTP を使用して、メッセージをプライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host に送信する。
hostname(config)# logging mail critical
hostname(config)# logging from-address ciscosecurityappliance@example.com
hostname(config)# logging recipient-address admin@example.com
hostname(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
logging message
syslog メッセージのロギング レベルを指定するには、グローバル コンフィギュレーション モードで logging message コマンドを level キーワードと組み合せて使用します。メッセージのロギング レベルをデフォルト レベルにリセットするには、このコマンドの no 形式を使用します。セキュリティ アプライアンスが特定の syslog メッセージを生成しないようにするには、グローバル コンフィギュレーション モードで logging message コマンドの no 形式を使用します( level キーワードは指定しません)。セキュリティ アプライアンスが特定の syslog メッセージを生成できるようにするには、 logging message コマンドを使用します( level キーワードは指定しません)。これら 2 つの用途の logging message コマンドは、並行して実行できます。後述する「例」の項を参照してください。
logging message syslog_id level level
no logging message syslog_id level level
シンタックスの説明
デフォルト
デフォルトでは、syslog メッセージはすべてイネーブルになっており、すべてのメッセージの重大度はデフォルト レベルに設定されています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging message コマンドは、次の 2 つの用途に使用できます。
• メッセージをイネーブルとディセーブルのどちらにするかを制御する。
メッセージに現在割り当てられているレベルや、メッセージがイネーブルになっているかどうかを判別するには、 show logging コマンドを使用します。
例
次の例にある一連のコマンドは、 logging message コマンドを使用して、メッセージをイネーブルにするかどうか、およびメッセージの重大度の両方を制御する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging monitor
セキュリティ アプライアンスが syslog メッセージを SSH および Telnet セッションに表示できるようにするには、グローバル コンフィギュレーション モードで logging monitor コマンドを使用します。syslog メッセージを SSH および Telnet セッションに表示しないようにするには、このコマンドの no 形式を使用します。
logging monitor [ logging_list | level]
シンタックスの説明
デフォルト
セキュリティ アプライアンスは、デフォルトでは、syslog メッセージを SSH および Telnet セッションに表示しません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging monitor コマンドを使用すると、現在のコンテキスト内のセッションすべてに対して syslog メッセージをイネーブルにできます。ただし、セッションに syslog メッセージを表示するかどうかは、セッションごとに terminal コマンドで制御します。
例
次の例は、syslog メッセージをコンソール セッションに表示できるようにする方法を示しています。 errors キーワードを使用することは、レベル 0、1、2、および 3 のメッセージを SSH および Telnet セッションに表示する必要があることを示しています。 terminal コマンドを使用すると、現在のセッションにメッセージを表示できます。
関連コマンド
|
|
|
|---|---|
logging permit-hostdown
TCP ベースの syslog サーバの状態が新しいユーザ セッションとは無関係になるように指定するには、グローバル コンフィギュレーション モードで logging permit-hostdown コマンドを使用します。TCP ベースの syslog サーバが使用不能のときにセキュリティ アプライアンスが新しいユーザ セッションを拒否するように設定するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
デフォルトでは、TCP 接続を使用する syslog サーバへのロギングをイネーブルにした場合、何らかの理由で syslog サーバが使用不能になったときは、セキュリティ アプライアンスは新しいネットワーク アクセス セッションを許可しません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
syslog サーバにメッセージを送信するためのロギング転送プロトコルとして TCP を使用する場合、セキュリティ アプライアンスは、syslog サーバに到達できないときは、セキュリティ保護手段として、新しいネットワーク アクセス セッションを拒否します。この制限を削除するには、 logging permit-hostdown コマンドを使用します。
例
次の例では、TCP ベースの syslog サーバの状態が、セキュリティ アプライアンスが新しいセッションを許可するかどうかとは無関係になるように指定します。show running-config logging コマンドの出力に show running-config logging コマンドが含まれている場合、TCP ベースの syslog サーバの状態は新しいネットワーク アクセス セッションとは無関係になっています。
関連コマンド
|
|
|
|---|---|
logging queue
セキュリティ アプライアンスがロギング コンフィギュレーションに従って処理する前に syslog キューに保持できる syslog メッセージの数を指定するには、グローバル コンフィギュレーション モードで logging queue コマンドを使用します。ロギング キューのサイズをデフォルトの 512 メッセージにリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
処理前に格納するためのキューに入れることができる syslog メッセージの数。有効な値は 0 ~ 8,192 メッセージです。0 は、キューがブロック メモリの可用性による制限のみを受けることを意味します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラフィックが重いためにキューがいっぱいになった場合、セキュリティ アプライアンスはメッセージを廃棄することがあります。
例
次の例は、logging queue コマンドと show logging queue コマンドの出力を表示する方法を示しています。
この例では、logging queue コマンドは 0 に設定されています。これは、キューがブロック メモリの可用性によって許容されるだけのメッセージを保持できることを意味します。キュー内の syslog メッセージは、セキュリティ アプライアンスによって、ロギング コンフィギュレーションで示される方法で処理されます。この方法には、syslog メッセージを電子メール受信者に送信することや、フラッシュ メモリに保存することなどがあります。
この例における show logging queue コマンドの出力は、キューにあるメッセージが 5 つ、セキュリティ アプライアンスが最後にブートされてから同時にキューに存在したメッセージの最大数が 3,513、廃棄されたメッセージが 1 つであることを表示しています。キューは無制限になるように設定されていましたが、メッセージをキューに追加するためのブロック メモリが使用できなかったため、メッセージは廃棄されました。
関連コマンド
|
|
|
|---|---|
logging rate-limit
システム ログ メッセージの生成レートを制限するには、 logging rate-limit コマンドを使用します。レート制限をディセーブルにするには、このコマンドの no 形式を使用します。
logging rate-limit { unlimited | { num [ interval ]}} message syslog_id | level severity_level
[no] logging rate-limit [ unlimited | { num [ interval ]}} message syslog_id ] level severity_level
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、システム ログ メッセージの生成レートを制限する方法を示しています。
関連コマンド
|
|
|
|---|---|
logging recipient-address
セキュリティ アプライアンスによって電子メールで送信される syslog メッセージの受信者の電子メール アドレスを指定するには、グローバル コンフィギュレーション モードで
logging recipient-address コマンドを使用します。受信者の電子メール アドレスを削除するには、このコマンドの no 形式を使用します。受信者のアドレスは最大 5 つまで設定できます。必要に応じて、受信者のアドレスごとに、 logging mail コマンドで指定されたメッセージ レベルとは別のレベルを指定できます。
logging recipient-address address [ level level ]
no logging recipient-address address [ level level ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
syslog メッセージを電子メールで送信できるようにするには、 logging mail コマンドを使用します。
logging recipient-address コマンドは最大 5 つまで設定できます。コマンドごとに、別々のロギング レベルを指定できます。この方法は、緊急性の高いメッセージを緊急性の低いメッセージよりも多くの受信者に送信する場合に便利です。
例
次の基準に従って、syslog メッセージを電子メールで送信するようにセキュリティ アプライアンスを設定します。
• critical、alerts、および emergencies のメッセージを送信する。
• メッセージを送信するときに、ciscosecurityappliance@example.com を送信者のアドレスとして使用する。
• メッセージを admin@example.com に送信する。
• SMTP を使用して、メッセージをプライマリ サーバ pri-smtp-host およびセカンダリ サーバ sec-smtp-host に送信する。
hostname(config)# logging mail critical
hostname(config)# logging from-address ciscosecurityappliance@example.com
hostname(config)# logging recipient-address admin@example.com
hostname(config)# smtp-server pri-smtp-host sec-smtp-host
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが syslog メッセージを電子メールで送信できるようにし、どのメッセージを電子メールで送信するかを決定します。 |
|
logging savelog
ログ バッファをフラッシュ メモリに保存するには、特権 EXEC モードで logging savelog コマンドを使用します。
シンタックスの説明
(オプション)保存するフラッシュ メモリ ファイルの名前。ファイル名が指定されない場合、セキュリティ アプライアンスは、次のように、デフォルトのタイムスタンプ形式を使用してファイルを保存します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ログ バッファをフラッシュ メモリに保存するには、事前にバッファへのロギングをイネーブルにしておく必要があります。このようにしないと、フラッシュ メモリに保存するデータがログ バッファに保持されません。バッファへのロギングをイネーブルにするには、 logging buffered コマンドを使用します。
(注) logging savelog コマンドは、バッファを消去しません。バッファを消去するには、clear logging buffer コマンドを使用します。
例
次の例では、ロギングとログ バッファをイネーブルにし、グローバル コンフィギュレーション モードを終了し、latest-logfile.txt というファイル名を使用してログ バッファをフラッシュ メモリに保存します。
関連コマンド
|
|
|
|---|---|
logging standby
フェールオーバー スタンバイ セキュリティ アプライアンスがこのセキュリティ アプライアンスの syslog メッセージをロギング先に送信できるようにするには、グローバル コンフィギュレーション モードで logging standby コマンドを使用します。syslog および SNMP ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging standby をイネーブルにすると、フェールオーバーが発生しても、フェールオーバー スタンバイ セキュリティ アプライアンスの syslog メッセージが同期されたままになることが保証されます。
(注) logging standby コマンドを使用すると、syslog サーバ、SNMP サーバ、および FTP サーバなどの共有ロギング先に対するトラフィックが 2 倍になります。
例
次の例では、セキュリティ アプライアンスが syslog メッセージをフェールオーバー スタンバイ セキュリティ アプライアンスに送信できるようにします。 show logging コマンドの出力は、この機能がイネーブルになっていることを示しています。
関連コマンド
|
|
|
|---|---|
logging timestamp
syslog メッセージにメッセージの生成日時を含めるよう指定するには、グローバル コンフィギュレーション モードで logging timestamp コマンドを使用します。syslog メッセージから日時を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logging timestamp コマンドは、セキュリティ アプライアンスがすべての syslog メッセージにタイムスタンプを含めるように指定します。
例
次の例では、すべての syslog メッセージにタイムスタンプ情報を含めることをイネーブルにします。
関連コマンド
|
|
|
|---|---|
logging trap
セキュリティ アプライアンスが syslog サーバに送信する syslog メッセージを指定するには、グローバル コンフィギュレーション モードで logging trap コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
logging trap [ logging_list | level]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ロギング転送プロトコルとして TCP を使用する場合、セキュリティ アプライアンスが syslog サーバに到達できないとき、syslog サーバが誤って設定されているとき、またはディスクがいっぱいのときは、セキュリティ アプライアンスはセキュリティ保護手段として、新しいネットワーク アクセス セッションを拒否します。
UDP ベースのロギングは、syslog サーバに障害が発生しても、セキュリティ アプライアンスによるトラフィックの送信を妨げません。
例
次の例は、内部インターフェイス上にあってデフォルトのプロトコルとポート番号を使用する syslog サーバに対して、レベル 0、1、2、および 3 の syslog メッセージを送信する方法を示しています。
関連コマンド
|
|
|
|---|---|
login-message
WebVPN ユーザにログインを求めるメッセージを作成するには、WebVPN モードで login-message コマンドを使用します。ログイン メッセージをコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。ログイン メッセージを削除するには、引数を指定しないで login-message コマンドを使用します。
シンタックスの説明
(オプション)ログイン メッセージの HTML 文字列を指定します。最大 255 文字です。7 ビットの ASCII 値、HTML タグ、およびエスケープ シーケンスを含めることができます。 |
デフォルト
デフォルトのログイン メッセージは「Please enter your username and password」です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、「Welcome to Our Company. Please enter your username and password」という WebVPN メッセージを作成する方法を示しています。
hostname(config)# webvpn
logo
WebVPN ログイン ページおよびホーム ページに表示するロゴを指定するには、WebVPN モードで logo コマンドを使用します。ロゴをコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。ロゴを削除するには、 logo none コマンドを使用します。指定したファイル名が存在しない場合は、エラーが発生します。ロゴ ファイルを削除した場合、コンフィギュレーションが引き続きそのファイルを指していても、ロゴは表示されません。
シンタックスの説明
ロゴ イメージのファイル名を指定します。最大長は 255 文字です。ファイル タイプには JPG、PNG、または GIF を指定し、サイズは 100 KB 未満にする必要があります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
管理者がこのファイルをセキュリティ ゲートウェイにアップロードします。指定したファイルが存在しない場合、セキュリティ アプライアンスはエラーを生成します。
例
次の例は、MyCompanylogo.gif というファイル名で WebVPN ロゴを設定する方法を示しています。
hostname(config)# webvpn
logout
CLI を終了するには、ユーザ EXEC モードで logout コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
logout コマンドを使用すると、セキュリティ アプライアンスからログアウトできます。ユーザ モードに戻るには、 exit コマンドまたは quit コマンドを使用します。
例
次の例は、セキュリティ アプライアンスからログアウトする方法を示しています。
関連コマンド
|
|
|
|---|---|
logout-message
ログアウトするユーザに WebVPN が示すログアウト メッセージを作成するには、WebVPN モードで logout-message コマンドを使用します。ログアウト メッセージをコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。ログアウト メッセージを削除するには、引数を指定しないで logout-message コマンドを使用します。
シンタックスの説明
(オプション)ログアウト メッセージの HTML 文字列を指定します。最大 255 文字です。7 ビットの ASCII 値、HTML タグ、およびエスケープ シーケンスを含めることができます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、「Farewell! Be careful crossing the street!」という WebVPN ログアウト メッセージを作成する方法を示しています。
hostname(config)# logout-message Farewell!Be careful crossing the street!
フィードバック