- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: l2tp tunnel hello コマンド~ log-adj-changes コマンド
l2tp tunnel hello コマンド~ log-adj-changes コマンド
l2tp tunnel hello
L2TP over IPSec 接続における hello メッセージ間の間隔を指定するには、グローバル コンフィギュレーション モードで l2tp tunnel hello コマンドを使用します。この間隔をデフォルトにリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
l2tp tunnel hello コマンドは、セキュリティ アプライアンスによる L2TP 接続の物理層に関する問題の検出をイネーブルにします。デフォルトは 60 秒です。60 秒未満の値に設定すると、問題が発生している接続はより早く切断されます。
例
次に、hello メッセージ間の間隔を 30 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
show vpn-sessiondbdetail remote filter protocol L2TPOverIPSec |
|
ldap attribute-map
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために LDAP 属性マップを作成し、名前を付けるには、グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
no ldap attribute-map map-name
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ldap attribute-map コマンドを使用すると、ユーザ独自の属性名と値を Cisco 属性名にマッピングできます。その後、作成された属性マップを LDAP サーバにバインドできます。通常の手順は、次のとおりです。
1.
グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドは LDAP 属性マップ モードを開始します。
2. LDAP 属性マップ モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは、ldap の後にハイフンを入力してください。
(注) 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。
例
次に、グローバル コンフィギュレーション モードで、情報を入力したり LDAP サーバにバインドする前に myldapmap という名前の LDAP 属性マップを作成するコマンドの例を示します。
関連コマンド
|
|
|
|---|---|
ldap-attribute-map(AAA サーバ ホスト モード)
既存のマッピング コンフィギュレーションを LDAP ホストにバインドするには、AAA サーバ ホスト コンフィギュレーション モードで ldap-attribute-map コマンドを使用します。バインディングを削除するには、このコマンドの no 形式を使用します。
no ldap-attribute-map map-name
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シスコ定義の LDAP 属性名が使いやすさやその他の要件を満たしていない場合は、独自の属性名を作成し、それをシスコの属性にマッピングして、作成された属性コンフィギュレーションを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドにより、LDAP 属性マップ モードが開始されます。このコマンドでは、「ldap」の後にハイフンを入力しないでください。
2. LDAP 属性マップ モードで map-name コマンドと map-value コマンドを使用して、属性マッピング コンフィギュレーションに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、LDAP サーバに属性マップ コンフィギュレーションをバインドします。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、myldapmap という名前の既存の属性マップを ldapsvr1 という名前の LDAP サーバにバインドするコマンドの例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
|
特定の実行 LDAP 属性マッピング コンフィギュレーションまたはすべての実行属性マッピング コンフィギュレーションを表示します。 |
|
ldap-base-dn
サーバが認可要求を受信したときに検索を開始する、LDAP 階層内の位置を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-base-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除して、検索の開始位置をリストの先頭にリセットするには、このコマンドの no 形式を使用します。
構文の説明
サーバが認可要求を受信したときに検索を開始する LDAP 階層内の位置を指定する、最大 128 文字のストリング(たとえば、OU=Cisco)。大文字と小文字は区別されます。文字列でスペースは使用できませんが、他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ベース DN を starthere に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-defaults
LDAP デフォルト値を定義するには、crl 設定コンフィギュレーション モードで ldap-defaults コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのデフォルト値は、LDAP サーバが必要とする場合にのみ使用されます。LDAP デフォルト値を指定しない場合は、このコマンドの no 形式を使用します。
構文の説明
(任意)LDAP サーバ ポートを指定します。このパラメータが指定されていない場合、セキュリティ アプライアンスは標準の LDAP ポート(389)を使用します。 |
|
LDAP サーバの IP アドレスまたはドメイン名を指定します。CRL 配布ポイント内にサーバが存在する場合、この値はそのサーバによって上書きされます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、デフォルト ポート(389)に LDAP デフォルト値を定義する例を示します。
関連コマンド
|
|
|
|---|---|
ldap-dn
CRL 取得のために認証を要求する LDAP サーバに X.500 認定者名とパスワードを渡すには、crl 設定コンフィギュレーション モードで ldap-dn コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバで必要な場合のみ使用されます。LDAP DN を指定しない場合は、このコマンドの no 形式を使用します。
構文の説明
この CRL データベースにアクセスするためのディレクトリ パスを定義します(たとえば、cn=crl,ou=certs,o=CAName,c=US)。最大のフィールドの長さは 128 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central の X.500 名として CN=admin,OU=devtest,O=engineering、パスワードとして xxzzyy を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ldap-group-base-dn
ダイナミック アクセス ポリシーによってグループ検索に使用される Active Directory 階層の基本グループを指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-group-base-dn コマンドを使用します。このコマンドを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
no ldap-group-base-dn [ string ]
構文の説明
サーバが検索を開始する Active Directory 階層内の位置を指定する、最大 128 文字のストリング。大文字と小文字は区別されます。たとえば、ou=Employees を指定します。文字列でスペースは使用できませんが、他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ldap-group-base-dn コマンドは、LDAP を使用する Active Directory サーバにのみ適用され、 show ad-groups コマンドがグループ検索を開始するときに使用する Active Directory 階層レベルを指定します。検索で取得されたグループは、ダイナミック グループ ポリシーによって特定のポリシーの選択基準として使用されます。
例
次に、組織の部門(ou)レベルの Employees から検索を開始するようにグループ ベース DN を設定する例を示します。
関連コマンド
|
|
|
|---|---|
グループのリストについて Active Directory サーバからの応答をセキュリティ アプライアンスが待機する時間を調整します。 |
|
ldap-login-dn
システムがバインドするディレクトリ オブジェクトの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-login-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
LDAP 階層内のディレクトリ オブジェクトの名前を指定する、最大 128 文字のストリング。大文字と小文字は区別されます。文字列でスペースは使用できませんが、他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは LDAP サーバでのみ有効です。サポートされるストリングの最大長は 128 文字です。
Microsoft Active Directory サーバなどの一部の LDAP サーバでは、他の LDAP 動作の要求を受け入れる前に、セキュリティ アプライアンスが認証済みバインディングを介してハンドシェイクを確立している必要があります。セキュリティ アプライアンスは、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。ログイン DN フィールドには、セキュリティ アプライアンスの認証特性が記述されます。これらの特性は、管理者特権を持つユーザの特性に対応している必要があります。
string 変数には、VPN コンセントレータの認証済みバインディングのディレクトリ オブジェクト名を入力します(たとえば、cn=Administrator, cn=users, ou=people, dc=XYZ Corporation, dc=com)。匿名アクセスの場合は、このフィールドをブランクのままにします。
例
次に、ホスト 1.2.3.4 に svrgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン DN を myobjectname に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
-host)# ldap-login-dn myobjectname
-host)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-login-password
LDAP サーバのログイン パスワードを指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-login-password コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。このパスワードの指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン パスワードを obscurepassword に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server)# timeout 9
hostname(config-aaa-server)# retry 7
hostname(config-aaa-server)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-naming-attribute
相対認定者名属性を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-naming-attribute コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
LDAP サーバ上のエントリを一意に識別する、最大 128 文字の英数字の相対認定者名属性を指定します。大文字と小文字は区別されます。文字列でスペースは使用できませんが、他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LDAP サーバ上のエントリを一意に識別するための、相対認定者名属性を指定します。共通の命名属性は、一般名(cn)とユーザ ID(uid)です。
例
次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 命名属性を cn に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)#
関連コマンド
|
|
|
|---|---|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-over-ssl
セキュアな SSL 接続をセキュリティ アプライアンスと LDAP サーバの間で確立するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-over-ssl コマンドを使用します。接続の SSL をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、SSL でセキュリティ アプライアンスと LDAP サーバの間の接続を保護することを指定します。
(注) プレーン テキスト認証を使用している場合は、この機能をイネーブルにすることを推奨します。sasl-mechanism コマンドを参照してください。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、セキュリティ アプライアンスと LDAP サーバ ldapsvr1(IP アドレスは 10.10.0.1)の間の接続に対して SSL をイネーブルにするコマンドの例を示します。PLAIN SASL 認証メカニズムも設定します。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
ldap-scope
サーバが認可要求を受信したときに検索する LDAP 階層内の範囲を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-scope コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
サーバが認可要求を受信したときに検索する LDAP 階層内のレベルの数を指定します。次の値が有効です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
scope を onelevel と指定すると、ベース DN の 1 つ下のレベルのみが検索されるため、検索速度が向上します。 subtree を指定すると、ベース DN の下のレベルがすべて検索されるため、検索速度が低下します。
例
次に、ホスト 1.2.3.4 に svrgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 範囲を subtree に設定する例を示します。
hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
leap-bypass
LEAP バイパスをイネーブルにするには、グループ ポリシー コンフィギュレーション モードで leap-bypass enable コマンドを使用します。LEAP バイパスをディセーブルにするには、 leap-bypass disable コマンドを使用します。実行コンフィギュレーションから LEAP バイパス属性を削除するには、このコマンドの no 形式を使用します。このオプションにより、別のグループ ポリシーから LEAP バイパスの値を継承できます。
leap-bypass { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LEAP バイパスをイネーブルにすると、VPN ハードウェア クライアントの背後にある無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過できます。これにより、シスコ ワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。デバイスは、ユーザ認証ごとに認証を再実行できます。
インタラクティブ ハードウェア クライアント認証をイネーブルにした場合、この機能は正常に動作しません。
詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。
(注) 認証されていないトラフィックがトンネルを通過できるようにすると、セキュリティ リスクが発生する可能性があります。
例
次に、「FirstGroup」という名前のグループ ポリシーに LEAP バイパスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
VPN ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
lifetime(CA サーバ モード)
ローカル Certificate Authority(CA; 認証局)証明書、各発行済み証明書、または Certificate Revocation List(CRL; 証明書失効リスト)の有効期間を指定するには、CA サーバ コンフィギュレーション モードで lifetime コマンドを使用します。パラメータをデフォルト設定にリセットするには、このコマンドの no 形式を使用します。
lifetime {ca-certificate | certificate | crl} time
no lifetime {ca-certificate | certificate | crl}
構文の説明
CA 証明書およびすべての発行済み証明書の場合、 time はその証明書の有効日数を指定します。有効な範囲は、1 ~ 3650 日です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
証明書または CRL が有効である日数または時間数を指定すると、このコマンドは、証明書または CRL に含める有効期限を決定します。
例
次に、3 か月間有効な証明書を発行するように CA を設定する例を示します。
hostname(config-ca-server)# lifetime certificate 90
hostname(config-ca-server))#
次に、2 日間有効な CRL を発行するように CA を設定する例を示します。
hostname(config-ca-server)# lifetime crl 48
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
limit-resource
マルチ コンテキスト モードでクラスのリソース制限を指定するには、クラス コンフィギュレーション モードで limit-resource コマンドを使用します。制限をデフォルトに戻すには、このコマンドの no 形式を使用します。セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。
limit-resource { all 0 | [ rate ] resource_name number [ % ]}
no limit-resource { all | [ rate ] resource_name }
構文の説明
リソース制限を 1 以上の固定数、またはパーセント記号(%)付きのシステム制限のパーセンテージ(1 ~ 100)として指定します。無制限のリソースを指定するには、制限を 0 に設定します。システム制限がないリソースの場合は、パーセンテージ(%)を設定できません。絶対値のみを設定できます。 |
|
リソースの 1 秒あたりのレートを設定することを指定します。1 秒あたりのレートを設定できるリソースについては、 表 18-1 を参照してください。 |
|
デフォルト
すべてのリソースは無制限に設定されています。ただし、デフォルトでコンテキストごとに許可される最大値に設定される次の制限を除きます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラスのリソースを制限した場合、セキュリティ アプライアンスは、クラスに割り当てられた各コンテキストのためにリソースの一部を確保するのではなく、セキュリティ アプライアンスはコンテキストに上限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。
表 18-1 に、リソース タイプと制限を示します。 show resource types コマンドも参照してください。
(注) 「システム制限」カラムに「該当なし」と記述されている場合、そのリソースにはハード システム制限がないため、リソースのパーセンテージを設定できません。
例
次に、接続のデフォルト クラスの制限に、無制限ではなく 10 % を設定する例を示します。
gold というクラスを追加するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
lmfactor
最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再検証ポリシーを設定するには、キャッシュ コンフィギュレーション モードで lmfactor コマンドを使用します。このようなオブジェクトを再検証するための新しいポリシーを設定するには、このコマンドを再度使用します。属性をデフォルト値 20 にリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、lmfactor の値を使用して、キャッシュされたオブジェクトを変更なしと見なす時間の長さを推定します。これは有効期限と呼ばれます。セキュリティ アプライアンスは、最終変更後の経過時間に lmfactor をかけることによって有効期限を推定します。
lmfactor を 0 に設定すると、ただちに再検証が強制されます。100 に設定すると、再検証までの時間は可能な限り長くなります。
例
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
log
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで log コマンドを使用して、 match コマンドまたはクラス マップに一致するパケットをログに記録します。このログ アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用できます。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを特定した後( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを参照する)、 log コマンドを入力して、 match コマンドまたは class コマンドに一致するすべてのパケットをログに記録できます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。
例
次に、パケットが http-traffic クラス マップに一致する場合にログを送信する例を示します。
関連コマンド
|
|
|
|---|---|
log-adj-changes
OSPF ネイバーが起動または停止したときに syslog メッセージを送信するようにルータを設定するには、ルータ コンフィギュレーション モードで log-adj-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
log-adj-changes コマンドはデフォルトでイネーブルになっています。このコマンドの no 形式で削除しない限り、実行コンフィギュレーションに表示されます。
例
次に、OSPF ネイバーが起動または停止したときに syslog メッセージを送信しないようにする例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック