- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: mac address コマンド~ multicast-routing コマンド
- mac address
- mac-address
- mac-address auto
- mac-address-table aging-time
- mac-address-table static
- mac-learn
- mac-list
- mail-relay
- management-access
- management-only
- map-name
- map-value
- mask
- mask-banner
- mask-syst-reply
- match access-list
- match any
- match apn
- match body
- match called-party
- match calling-party
- match certificate
- match cmd
- match default-inspection-traffic
- match dns-class
- match dns-type
- match domain-name
- match dscp
- match ehlo-reply-parameter
- match filename
- match filetype
- match flow ip destination-address
- match header
- match header-flag
- match im-subscriber
- match invalid-recipients
- match ip address
- match ip next-hop
- match ip route-source
- match login-name
- match media-type
- match message id
- match message length
- match message-path
- match mime
- match peer-ip-address
- match peer-login-name
- match port
- match precedence
- match protocol
- match question
- match req-resp
- match request-command
- match request-method
- match request method
- match route-type
- match rtp
- match sender-address
- match server
- match service
- match third-party-registration
- match tunnel-group
- match uri
- match url-filter
- match username
- match version
- max-failed-attempts
- max-forwards-validation
- max-header-length
- max-object-size
- max-retry-attempts
- max-uri-length
- mcc
- media-termination address
- media-type
- member
- member-interface
- memberof
- memory delayed-free-poisoner enable
- memory delayed-free-poisoner validate
- memory caller-address
- memory profile enable
- memory profile text
- memory-size
- memory tracking enable
- merge-dacl
- message-length
- mfib forwarding
- min-object-size
- mkdir
- mode
- monitor-interface
- more
- mount(CIFS)
- mount(FTP)
- mroute
- msie-proxy except-list
- msie-proxy local-bypass
- msie-proxy method
- msie-proxy pac-url
- msie-proxy server
- mtu
- multicast boundary
- multicast-routing
mac address コマンド~ multicast-routing コマンド
mac address
アクティブ ユニットおよびスタンバイ ユニットの仮想 MAC アドレスを指定するには、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用します。デフォルトの仮想 MAC アドレスに戻すには、このコマンドの no 形式を使用します。
mac address phy_if [ active_mac ] [ standby_mac ]
no mac address phy_if [ active_mac ] [ standby_mac ]
構文の説明
アクティブ ユニットの仮想 MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
|
スタンバイ ユニットの仮想 MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
デフォルト
•
アクティブ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01
• スタンバイ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
仮想 MAC アドレスがフェールオーバー グループに対して定義されていない場合は、デフォルト値が使用されます。
同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。
例
次の部分的な例では、フェールオーバー グループで可能な設定を示します。
関連コマンド
|
|
|
|---|---|
mac-address
プライベート MAC アドレスをインターフェイスまたはサブインターフェイスに手動で割り当てるには、インターフェイス コンフィギュレーション モードで mac-address コマンドを使用します。マルチ コンテキスト モードでは、このコマンドは各コンテキストでそれぞれ別の MAC アドレスをインターフェイスに割り当てることができます。MAC アドレスをデフォルトに戻すには、このコマンドの no 形式を使用します。
mac-address mac_address [ standby mac_address ]
no mac-address [ mac_address [ standby mac_address ]]
構文の説明
デフォルト
デフォルトの MAC アドレスは、物理インターフェイスのバーンドイン MAC アドレスです。サブインターフェイスは、物理インターフェイスの MAC アドレスを継承します。一部のコマンド(シングル モードでのこのコマンドを含む)は物理インターフェイスの MAC アドレスを設定するため、継承されるアドレスはその設定によって異なります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
mac-address auto コマンドと併用するときには、MAC アドレスを開始する A2 の使用が制限されました。 |
使用上のガイドライン
マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有した場合、各コンテキストでそれぞれ固有の MAC アドレスをインターフェイスに割り当てることができます。この機能を使用すると、セキュリティ アプライアンスはパケットを適切なコンテキストに容易に分類できます。固有の MAC アドレスがなくても共有インターフェイスを使用できますが、制限があります。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。
このコマンドで各 MAC アドレスを手動で割り当てることができます。あるいは mac-address auto コマンドを使用して、コンテキストで共有インターフェイスの MAC アドレスを自動的に生成できます。MAC アドレスを自動的に生成する場合、 mac-address コマンドを使用して、生成されたアドレスを上書きできます。
シングル コンテキスト モード、またはマルチ コンテキスト モードで共有されないインターフェイスの場合は、固有の MAC アドレスをサブインターフェイスに割り当てることを推奨します。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。
他のコマンドまたは方式で MAC アドレスを設定することもできます。MAC アドレスの設定方法には次の優先順位があります。
1. インターフェイス コンフィギュレーション モードの mac-address コマンド。
このコマンドは、物理インターフェイスとサブインターフェイスに対して使用します。マルチ コンテキスト モードでは、MAC アドレスを各コンテキスト内で設定します。この機能を使用すると、複数のコンテキストの同じインターフェイスに異なる MAC アドレスを設定できます。
2. グローバル コンフィギュレーション モードでの Active/Standby フェールオーバーのための failover mac address コマンド。
このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
3. フェールオーバー グループ コンフィギュレーション モードでの Active/Active フェールオーバーのための mac address コマンド。
このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
4. グローバル コンフィギュレーション モードでの mac-address auto コマンド(マルチ コンテキスト モードのみ)。
このコマンドは、コンテキストの共有インターフェイスに適用されます。
5. Active/Active フェールオーバーの場合の物理インターフェイスのためのアクティブ MAC アドレスおよびスタンバイ MAC アドレスの自動生成。
この方法は、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
6. バーンドイン MAC アドレス。この方法は、物理インターフェイスに適用されます。
サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
例
次に、GigabitEthernet 0/1.1 の MAC アドレスを設定する例を示します。
関連コマンド
mac-address auto
プライベート MAC アドレスを各コンテキスト インターフェイスに自動的に割り当てるには、グローバル コンフィギュレーション モードで mac-address auto コマンドを使用します。自動 MAC アドレスをディセーブルにするには、このコマンドの no 形式を使用します。
mac-address auto prefix prefix
構文の説明
MAC アドレスの一部として使用されるプレフィックスを設定します。 prefix は、0 ~ 65535 の 10 進数です。このプレフィックスは、4 桁の 16 進数値に変換されます。プレフィックスにより、各セキュリティ アプライアンスはそれぞれ固有の MAC アドレスを使用するようになるため、次のように 1 つのネットワーク セグメントに複数のセキュリティ アプライアンスを配置できます。プレフィックスの使用方法の詳細については、「MAC Address Format」を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
インターフェイスを共有するコンテキストを許可するには、固有の MAC アドレスを各共有コンテキスト インターフェイスに割り当てることを推奨します。MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。インターフェイスを共有するものの、各コンテキストにインターフェイスの固有の MAC アドレスがない場合は、宛先 IP アドレスがパケットの分類に使用されます。宛先アドレスは、コンテキスト NAT コンフィギュレーションと照合されます。この方法には、MAC アドレスの方法に比べるといくつか制限があります。パケットの分類の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。
生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスを手動で設定するには、 mac-address コマンドを参照してください。
デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。
自動生成された MAC アドレスはすべて、A2 で始まります。自動生成された MAC アドレスは、リロード間で持続されます。
MAC アドレスを手動で割り当てた場合、自動生成がイネーブルになっていても、手動で割り当てた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。
自動生成されたアドレスは A2 で始まるため、手動 MAC アドレスを A2 で始めることはできません。たとえ自動生成も使用する予定であってもそれは同じです。
フェールオーバーで使用できるように、セキュリティ アプライアンスはインターフェイスごとにアクティブとスタンバイの両方の MAC アドレスを生成します。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。詳細については、「MAC Address Format」を参照してください。
prefix キーワードが導入される前に従来のバージョンの mac-address auto コマンドを使用してフェールオーバー ユニットをアップグレードする場合は、「prefix キーワードを使用しない従来の MAC アドレス形式」の項を参照してください。
セキュリティ アプライアンスは、次の形式を使用して MAC アドレスを生成します。
xx.yy はユーザ定義のプレフィックスで、zz.zzzz はセキュリティ アプライアンスが生成した内部カウンタです。スタンバイ MAC アドレスの場合、内部カウンタが 1 増えることを除けばアドレスは同じです。
プレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、セキュリティ アプライアンスは 77 を 16 進数値 004D(yyxx)に変換します。MAC アドレスで使用すると、プレフィックスはセキュリティ アプライアンスネイティブ形式に一致するように逆にされます(xxyy)。
プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。
コンテキストでインターフェイスの nameif コマンドを設定すると、ただちに新規 MAC アドレスが生成されます。コンテキスト インターフェイスを設定した後でこのコマンドをイネーブルにした場合、コマンドを入力するとただちにすべてのインターフェイスの MAC アドレスが生成されます。 no mac-address auto コマンドを使用すると、各インターフェイスの MAC アドレスはデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは GigabitEthernet 0/1 の MAC アドレスを使用するようになります。
他のコマンドまたは方式で MAC アドレスを設定することもできます。MAC アドレスの設定方法には次の優先順位があります。
1. インターフェイス コンフィギュレーション モードの mac-address コマンド。
このコマンドは、物理インターフェイスとサブインターフェイスに対して使用します。マルチ コンテキスト モードでは、MAC アドレスを各コンテキスト内で設定します。この機能を使用すると、複数のコンテキストの同じインターフェイスに異なる MAC アドレスを設定できます。
2. グローバル コンフィギュレーション モードでの Active/Standby フェールオーバーのための failover mac address コマンド。
このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
3. フェールオーバー グループ コンフィギュレーション モードでの Active/Active フェールオーバーのための mac address コマンド。
このコマンドは、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
4. グローバル コンフィギュレーション モードでの mac-address auto コマンド(マルチ コンテキスト モードのみ)。
このコマンドは、コンテキストの共有インターフェイスに適用されます。
5. Active/Active フェールオーバーの場合の物理インターフェイスのためのアクティブ MAC アドレスおよびスタンバイ MAC アドレスの自動生成。
この方法は、物理インターフェイスに適用されます。サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
6. バーンドイン MAC アドレス。この方法は、物理インターフェイスに適用されます。
サブインターフェイスは、 mac-address または mac-address auto コマンドを使用して個別に設定しない限り、物理インターフェイスの MAC アドレスを継承します。
システム コンフィギュレーションでの MAC アドレスの表示
システム実行スペースから割り当てられた MAC アドレスを表示するには、 show running-config all context コマンドを入力します。
割り当てられた MAC アドレスを表示するには、 all オプションが必要です。このコマンドはグローバル コンフィギュレーション モードでのみユーザによる設定が可能ですが、 mac-address auto コマンドは割り当てられた MAC アドレスとともに各コンテキストのコンフィギュレーションに読み取り専用エントリとして表示されます。コンテキスト内で nameif コマンドで設定される割り当て済みのインターフェイスだけに MAC アドレスが割り当てられます。
(注) MAC アドレスをインターフェイスに手動で割り当てるものの、その際に自動生成がイネーブルになっていると、手動 MAC アドレスが使用中のアドレスとなりますが、コンフィギュレーションには自動生成されたアドレスが引き続き表示されます。後で手動 MAC アドレスを削除すると、表示されている自動生成アドレスが使用されます。
コンテキスト内の各インターフェイスで使用されている MAC アドレスを表示するには、 show interface | include (Interface)|(MAC) コマンドを入力します。
(注) show interface コマンドは、使用中の MAC アドレスを表示します。MAC アドレスを手動で割り当てた場合に、自動生成がイネーブルになっていたときは、システム コンフィギュレーション内の未使用の自動生成アドレスのみを表示できます。
prefix キーワードを使用しない従来の MAC アドレス形式
バージョン 8.0(5) 以前、 mac-address auto コマンドには prefix キーワードが含まれていませんでした。この旧バージョンのコマンドは引き続き使用できるため、フェールオーバー ペア間でアップグレードを実行できます。アップグレードしても自動的に変換されないため、このコマンドはアップグレードしたフェールオーバー ユニットとアップグレードしなかったフェールオーバー ユニット間でこれまでどおり一致したものとなります。両ユニットを新しいソフトウェア バージョンにアップグレードした後には、 prefix キーワードを使用するようにこのコマンドを変更する必要があります。
prefix キーワードがないと、MAC アドレスは次の形式で生成されます。
• アクティブ ユニットの MAC アドレス:12_ slot . port _ subid . contextid .
• スタンバイ ユニットの MAC アドレス:02_ slot . port _ subid . contextid .
インターフェイス スロットがないプラットフォームの場合、スロットは常に 0 です。 port はインターフェイス ポートです。 subid は、表示不可能なサブインターフェイスの内部 ID です。 contextid は、 show context detail コマンドで表示可能なコンテキストの内部 ID です。たとえば、ID 1 のコンテキスト内のインターフェイス GigabitEthernet 0/1.200 には、次の生成済み MAC アドレスがあります。サブインターフェイス 200 の内部 ID は 31 です。
この従来の MAC アドレス生成方法では、リロード間で MAC アドレスが持続されず、同じネットワーク セグメントに複数のセキュリティ アプライアンスを配置できず(固有の MAC アドレスが保証されないため)、手動で割り当てた MAC アドレスとの MAC アドレスの重複が回避されません。
例
次に、プレフィックス 78 で自動 MAC アドレス生成をイネーブルにする例を示します。
show running-config all context admin コマンドからの次の出力には、Management0/0 インターフェイスに割り当てられたプライマリおよびスタンバイ MAC アドレスが表示されます。
show running-config all context コマンドからの次の出力には、すべてのコンテキスト インターフェイスのすべての MAC アドレス(プライマリおよびスタンバイ)が表示されます。GigabitEthernet0/0 と GigabitEthernet0/1 の各メイン インターフェイスはコンテキスト内部に nameif コマンドで設定されないため、それらのインターフェイスの MAC アドレスは生成されていないことに注意してください。
関連コマンド
mac-address-table aging-time
MAC アドレス テーブルのエントリにタイムアウトを設定するには、グローバル コンフィギュレーション モードで mac-address-table aging-time コマンドを使用します。デフォルト値の 5 分に戻すには、このコマンドの no 形式を使用します。
mac-address-table aging-time timeout_value
no mac-address-table aging-time
構文の説明
タイムアウトするまで MAC アドレス エントリが MAC アドレス テーブルにとどまることができる時間。有効な値は、5 ~ 720 分(12 時間)です。5 分がデフォルトです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、MAC アドレスのタイムアウトを 10 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
mac-address-table static
MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。MAC アドレスは通常、特定の MAC アドレスからのトラフィックがインターフェイスに入るときに MAC アドレス テーブルにダイナミックに追加されます。スタティック MAC アドレスは、必要に応じて MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、そのスタティック エントリに一致しないインターフェイスにトラフィックを送信しようとした場合、セキュリティ アプライアンスはトラフィックをドロップし、システム メッセージを生成します。
mac-address-table static interface_name mac_address
no mac-address-table static interface_name mac_address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、スタティック MAC アドレスのエントリを MAC アドレス テーブルに追加する例を示します。
関連コマンド
|
|
|
|---|---|
mac-learn
インターフェイスの MAC アドレス ラーニングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-learn コマンドを使用します。MAC アドレス ラーニングを再びイネーブルにするには、このコマンドの no 形式を使用します。デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、セキュリティ アプライアンスは対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできます。
mac-learn interface_name disable
no mac-learn interface_name disable
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、外部インターフェイスでの MAC アドレス学習をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
mac-list
認証や許可から MAC アドレスを削除するのに使用される MAC アドレスのリストを指定するには、グローバル コンフィギュレーション モードで mac- list コマンドを使用します。MAC アドレス リストのエントリを削除するには、このコマンドの no 形式を使用します。
mac-list id { deny | permit } mac macmask
no mac-list id { deny | permit } mac macmask
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
認証および許可からの MAC アドレスの削除をイネーブルにするには、 aaa mac-exempt コマンドを使用します。1 つの aaa mac-exempt コマンドのみを追加できるため、削除するすべての MAC アドレスが MAC アドレス リストに含まれていることを確認してください。複数の MAC リストを作成できますが、一度に使用できるのは 1 つだけです。
例
次の例では、1 個の MAC アドレスに対する認証をバイパスします。
次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。
次の例では、00a0.c95d.02b2 以外の MAC アドレス グループの認証をバイパスします。00a0.c95d.02b2 は permit ステートメントとも一致するため、permit ステートメントよりも前に deny ステートメントを入力します。permit ステートメントが前にある場合、deny ステートメントとは一致しません。
関連コマンド
|
|
|
mail-relay
ローカル ドメイン名を設定するには、パラメータ コンフィギュレーション モードで mail-relay コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
mail-relay domain_name action {drop-connection | log}
no mail-relay domain_name action {drop-connection | log}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
management-access
VPN の使用時にセキュリティ アプライアンスへの通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスを許可するには、グローバル コンフィギュレーション モードで management-access コマンドを使用します。管理アクセスをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、フル トンネル IPSec VPN または SSL VPN クライアント(AnyConnect 2.x クライアント、SVC 1.x)を使用するときや、サイトツーサイト IPSec トンネルを横断するときには、セキュリティ アプライアンスへの通過ルートとなるインターフェイス以外のインターフェイスに接続できます。たとえば、外部インターフェイスからセキュリティ アプライアンスに入る場合、このコマンドを使用すると、Telnet で内部インターフェイスに接続できます。あるいは、外部インターフェイスから入るときには、内部インターフェイスに ping を実行できます。
(注) 管理アクセス インターフェイスにスタティック NAT ステートメントは適用されません。適用した場合、リモート VPN ユーザが管理インターフェイスにアクセスできなくなります。
例
次に、ファイアウォール インターフェイスを管理アクセス インターフェイスとして「inside」という名前で設定する例を示します。
関連コマンド
|
|
|
|---|---|
management-only
管理トラフィックのみを受け付けるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで management-only コマンドを使用します。通過トラフィックを許可するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
ASA 5510 以降の適応型セキュリティ アプライアンス上の Management 0/0 インターフェイスは、デフォルトでは管理専用モードに設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 5510 以降の適応型セキュリティ アプライアンスには、Management 0/0 という専用の管理インターフェイスが含まれ、セキュリティ アプライアンスへのトラフィックをサポートするようになっています。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の場合、管理専用モードをディセーブルにできるため、このインターフェイスは他のインターフェイスと同じくトラフィックを通過させることができます。
トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスの場合、Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を管理トラフィック用に 3 つめのインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。セキュリティ アプライアンスまたはコンテキストには割り当てられ、個々のインターフェイスには割り当てられない管理 IP アドレスとは別のサブネットにこのインターフェイスを配置する場合、トランスペアレント モードでこのインターフェイスの IP アドレスを設定することもできます。
例
次に、管理インターフェイスで管理専用モードをディセーブルにする例を示します。
次に、サブインターフェイスで管理専用モードをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
map-name
ユーザ定義の属性名をシスコ属性名にマッピングするには、LDAP 属性マップ コンフィギュレーション モードで map-name コマンドを使用します。
このマッピングを削除するには、このコマンドの no 形式を使用します。
map-name user-attribute-name Cisco-attribute-name
no map-name user-attribute-name Cisco-attribute-name
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
map-name コマンドでは、ユーザ定義の属性名をシスコ属性名にマッピングできます。その後、作成された属性マップを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドは LDAP 属性マップ モードを開始します。
2. LDAP 属性マップ モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは「ldap」の後にハイフンを付けます。
(注) 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。
例
次に、LDAP 属性マップ myldapmap でユーザ定義の属性名 Hours をシスコ属性名 cVPN3000-Access-Hours にマッピングする例を示します。
LDAP 属性マップ モードでは、次の例に示すように、「?」を入力してシスコ LDAP 属性名の詳細なリストを表示できます。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
|
map-value
ユーザ定義の値をシスコ LDAP 属性にマッピングするには、LDAP 属性マップ コンフィギュレーション モードで map-value コマンドを使用します。マップ内のエントリを削除するには、このコマンドの no 形式を使用します。
map-value user-attribute-name user-value-string Cisco-value-string
no map-value user-attribute-name user-value-string Cisco-value-string
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
map-value コマンドでは、ユーザ定義の属性値をシスコ属性名および属性値にマッピングできます。作成された属性マップは、LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドは LDAP 属性マップ モードを開始します。
2. LDAP 属性マップ モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは「ldap」の後にハイフンを付けます。
(注) 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。
例
次に、LDAP 属性マップ モードを開始し、ユーザ定義の属性 Hours のユーザ定義の値をユーザ定義の時間ポリシー workDay とシスコ定義の時間ポリシー Daytime に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
|
mask
モジュラ ポリシー フレームワークを使用する場合、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで mask コマンドを使用して、 match コマンドと一致するパケットの一部またはクラス マップをマスクして除外します。この mask アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションでこのアクションが許可されているわけではありません。たとえば、セキュリティ アプライアンスでのトラフィックの通過を許可する前に、DNS アプリケーション インスペクションに mask コマンドを使用してヘッダー フラグをマスクします。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力して、アプリケーション トラフィック( class コマンドは、 match コマンドが含まれている既存の class-map type inspect コマンドを参照します)を識別した後、 mask コマンドを入力して、 match コマンドまたは class コマンドに一致するパケットの一部をマスクできます。
レイヤ 3/4 のポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。ここで dns_policy_map はインスペクション ポリシー マップの名前です。
例
次に、セキュリティ アプライアンスでのトラフィックの通過を許可する前に、DNS ヘッダーで RD フラグおよび RA フラグをマスクする例を示します。
関連コマンド
|
|
|
|---|---|
mask-banner
サーバ バナーを難読化するには、パラメータ コンフィギュレーション モードで mask-banner コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
mask-syst-reply
FTP サーバ応答をクライアントから見えないようにするには、 ftp-map コマンドを使用してアクセスできる FTP マップ コンフィギュレーション モードで mask-syst-reply コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クライアントから FTP サーバ システムを保護するには、厳格な FTP インスペクションで mask-syst-reply コマンドを使用します。このコマンドをイネーブルにすると、 syst コマンドに対するサーバからの応答は一連の X に置き換えられます。
例
次に、セキュリティ アプライアンスで syst コマンドに対する FTP サーバの応答を一連の X に置き換える例を示します。
|
|
|
|---|---|
match access-list
モジュラ ポリシー フレームワーク を使用するときは、クラス マップ コンフィギュレーション モードで match access-list コマンドを使用して、アクセス リストに基づいてアクションを適用するトラフィックを特定します。 match access-list コマンドを削除するには、このコマンドの no 形式を使用します。
match access-list access_list_name
no match access-list access_list_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドを入力した後、 match access-list コマンドを入力してトラフィックを識別できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。クラス マップには 1 つの match access-list コマンドのみを含めることができ、他のタイプの match コマンドとは組み合わせることができません。セキュリティ アプライアンスでインスペクトできるすべてのアプリケーションが使用するデフォルトの TCP ポートおよび UDP ポートを照合する match default-inspection-traffic コマンドを定義する場合は、例外として match access-list コマンドを使用して照合するトラフィックの範囲を絞り込めます。 match default-inspection-traffic コマンドによって照合するポートが指定されるため、アクセス リストのポートはすべて無視されます。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
例
次に、3 つのアクセス リストに一致する 3 つのレイヤ 3/4 クラス マップを作成する例を示します。
関連コマンド
|
|
|
|---|---|
match any
モジュラ ポリシー フレームワーク を使用するときは、クラス マップ コンフィギュレーション モードで match any コマンドを使用して、アクションを適用するすべてのトラフィックを一致させます。 match any コマンドを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドを入力した後、 match any コマンドを入力してすべてのトラフィックを識別できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。 match any コマンドは、他のタイプの match コマンドとは組み合わせることができません。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
例
次に、クラス マップおよび match any コマンドを使用して、トラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match apn
GTP メッセージのアクセス ポイント名に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match apn コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] apn regex [regex_name | class regex_class_name]
no match [not] apn regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、GTP インスペクション クラス マップのアクセス ポイント名に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match body
ESMTP 本文メッセージの長さまたは 1 行の長さに対して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match body コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match [not] body [length | line length] gt bytes
no match [not] body [length | line length] gt bytes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップで本文 1 行の長さに関して一致条件を設定する例を示します。
hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# match body line length gt 1000
関連コマンド
|
|
|
|---|---|
match called-party
H.323 着信側に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match called-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] called-party [regex regex]
no match [not] match [not] called-party [regex regex]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション クラス マップで着信側に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match calling-party
H.323 発信側に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match calling-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] calling-party [regex regex]
no match [not] match [not] calling-party [regex regex]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション クラス マップで発信側に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match certificate
PKI 証明書検証プロセス中、セキュリティ アプライアンスは証明書失効ステータスを確認してセキュリティを確保します。また、CRL チェックまたは Online Certificate Status Protocol(OCSP)を使用してこのタスクを完了できます。CRL チェックでは、セキュリティ アプライアンスは失効した証明書の詳細なリストである証明書失効リストを取得、解析、およびキャッシュします。OCSP は失効ステータスを確認する拡張性の高い方法であり、検証局で証明書ステータスをローカライズします。この検証局が特定の証明書のステータスを問い合わせます。
証明書一致ルールには、OCSP URL オーバーライドを設定できます。このオーバーライドには、リモート ユーザ証明書の AIA フィールドの URL ではなく、失効ステータスを確認するための URL を指定します。一致ルールには、OCSP 応答側証明書の検証に使用するトラストポイントも設定できます。これにより、セキュリティ アプライアンスは自己署名証明書やクライアント証明書の検証パスの外部にある証明書など任意の CA からの応答側証明書を検証できます。
証明書一致ルールを設定するには、クリプト CA トラストポイント モードで match certificate コマンドを使用します。コンフィギュレーションからルールを削除するには、このコマンドの no 形式を使用します。
match certificate map-name override ocsp [trustpoint trustpoint-name ] seq-num url URL
no match certificate map-name override ocsp
構文の説明
このルールに一致する証明書マップの名前を指定します。一致ルールを設定する前に、証明書マップを設定する必要があります。最大 65 文字です。 |
|
この一致ルールのプライオリティを設定します。指定できる範囲は、1 ~ 10000 です。セキュリティ アプライアンスは、まずシーケンス番号が最も小さな一致ルールを評価し、それから順に一致が見つかるまで高い番号の一致ルールを評価していきます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• 1 つのトラストポイント コンフィギュレーション内に複数の一致ルールを設定できますが、各クリプト CA 証明書マップに指定できる一致ルールは 1 つだけです。ただし、複数のクリプト CA 証明書マップを設定し、それらを同じトラストポイントに関連付けることができます。
• 一致ルールを設定する前に、証明書マップを設定する必要があります。
• 自己署名 OCSP 応答側証明書を検証するようにトラストポイントを設定するには、自己署名応答側証明書を信頼できる CA 証明書として独自のトラストポイントにインポートします。次に、自己署名 OCSP 応答側証明書が含まれているトラストポイントを使用して応答側証明書を検証するように、トラストポイントを検証するクライアント証明書の match certificate コマンドを設定します。同じことが、クライアント証明書の検証パスの外部にある応答側証明書の検証にも当てはまります。
• クライアント証明書と応答側証明書の両方を同じ CA が発行している場合には、1 つのトラストポイントでどちらも検証できます。しかし、クライアント証明書と応答側証明書を発行している CA が異なる場合は、トラストポイントを証明書ごとに 1 つずつ計 2 つ設定する必要があります。
• OCSP サーバ(応答側)証明書は一般に、OCSP 応答に署名します。セキュリティ アプライアンスが応答を受け取ると、応答側の証明書を検証しようとします。CA は通常、自身の OCSP 応答側証明書のライフタイムを比較的短い期間に設定して、証明書が侵害される可能性を最小限に抑えます。CA は一般に、応答側証明書に ocsp-no-check 拡張を含めて、この証明書では失効ステータス チェックが必要ないことを示します。しかし、この拡張が含まれていない場合、セキュリティ アプライアンスはトラストポイントに指定されているものと同じ方法で自身の失効ステータスをチェックしようとします。応答側証明書が検証可能でない場合、失効チェックは失敗します。このような失敗を回避するには、トラストポイントを検証する応答側証明書には revocation-check none を設定し、クライアント証明書には revocation-check ocsp を設定します。
• セキュリティ アプライアンスは、一致が見つからない場合、 ocsp url コマンドの URL を使用します。 ocsp url コマンドを設定しなかった場合は、リモート ユーザ証明書の AIA フィールドが使用されます。証明書に AIA 拡張がない場合、失効ステータスのチェックは失敗します。
例
次に、newtrust という名前のトラストポイントの証明書一致ルールを作成する例を示します。ルールには、マップ名 mymap、シーケンス番号 4、トラストポイント mytrust があり、URL として 10.22.184.22 が指定されています。
その次に、クリプト CA 証明書マップを段階的に設定し、CA 証明書が含まれているトラストポイントを識別して応答側証明書を検証するための一致証明書ルールを設定する例を示します。これが必要になるのは、newtrust トラストポイントで識別した CA が OCSP 応答側証明書を発行していない場合です。
ステップ 1 マップ ルールの適用先のクライアント証明書を識別する証明書マップを設定します。この例では、証明書マップの名前は mymap で、シーケンス番号は 1 です。サブジェクト名に mycert という CN 属性が含まれているクライアント証明書はどれも、mymap エントリに一致します。
ステップ 2 OCSP 応答側証明書の検証に使用する CA 証明書が含まれているトラストポイントを設定します。自己署名証明書の場合、これは自己署名証明書自体であり、インポートされてローカルに信頼できるようになっています。この目的で外部の CA 登録を介して証明書を取得することもできます。CA 証明書に貼り付けるように求められたら貼り付けます。
NzIuMTg4MB4XDTA2MDExODIwMjYyMloXDTA5MDExNzIwMjYyMlowFzEVMBMGA1UE
AxQMNjMuNjcuNzIuMTg4MIGdMA0GCSqGSIb3DQEBAQUAA4GLADCBhwKBgQDnXUHv
7//x1xEAOYfUzJmH5sr/NuxAbA5gTUbYA3pcE0KZHt761N+/8xGxC3DIVB8u7T/b
v8RqzqpmZYguveV9cLQK5tsxqW3DysMU/4/qUGPfkVZ0iKPCgpIAWmq2ojhCFPyx
ywsDsjl6YamF8mpMoruvwOuaUOsAK6KO54vy0QIBAzANBgkqhkiG9w0BAQQFAAOB
gQCSOihb2NH6mga2eLqEsFP1oVbBteSkEAm+NRCDK7ud1l3D6UC01EgtkJ81QtCk
tvX2T2Y/5sdNW4gfueavbyqYDbk4yxCKaofPp1ffAD9rrUFQJM1uQX14wclPCcAN
e7kR+rscOKYBSgVHrseqdB8+6QW5NF7f2dd+tSMvHtUMNw==
quit
ステップ 3 OCSP を失効チェック方法にして、元のトラストポイント newtrust を設定します。次に、ステップ 2 で設定した証明書マップ mymap および自己署名トラストポイント mytrust を含めた一致ルールを設定します。
gQCSOihb2NH6mga2eLqEsFP1oVbBteSkEAm+NRCDK7ud1l3D6UC01EgtkJ81QtCk
AxQMNjMuNjcuNzIuMTg4MIGdMA0GCSqGSIb3DQEBAQUAA4GLADCBhwKBgQDnXUHv
7//x1xEAOYfUzJmH5sr/NuxAbA5gTUbYA3pcE0KZHt761N+/8xGxC3DIVB8u7T/b
tvX2T2Y/5sdNW4gfueavbyqYDbk4yxCKaofPp1ffAD9rrUFQJM1uQX14wclPCcAN
NzIuMTg4MB4XDTA2MDExODIwMjYyMloXDTA5MDExNzIwMjYyMlowFzEVMBMGA1UE
OPIBnjCCAQcCBEPOpG4wDQYJKoZIhvcNAQEEBQAwFzEVMBMGA1UEAxQMNjMuNjcu
e7kR+rscOKYBSgVHrseqdB8+6QW5NF7f2dd+tSMvHtUMNw==
quit
クライアント証明書認証に newtrust トラストポイントを使用する接続はどれも、mymap 証明書マップに指定されている属性ルールにクライアント証明書が一致するかどうかを確認します。一致する場合、セキュリティ アプライアンスは 10.22.184.22 にある OCSP 応答側にアクセスして証明書失効ステータスを確認します。次に、mytrust トラストポイントを使用して、応答側証明書を検証します。
(注) newtrust トラストポイントは、OCSP 経由でクライアント証明書の失効チェックを実行するように設定されます。ただし、mytrust トラストポイントにはデフォルトの失効チェック方法が設定されています。デフォルトは none であるため、OCSP 応答側証明書に対して失効チェックは実行されません。
関連コマンド
|
|
|
|---|---|
暗号 CA トラストポイント モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。 |
|
match cmd
ESMTP コマンド verb に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match cmd コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]
no match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP トランザクションで交換される verb(メソッド)NOOP に関して一致条件を ESMTP インスペクション ポリシー マップに設定する例を示します。
関連コマンド
|
|
|
|---|---|
match default-inspection-traffic
クラス マップに inspect コマンドのデフォルトのトラフィックを指定するには、クラス マップ コンフィギュレーション モードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match default-inspection-traffic
no match default-inspection-traffic
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルトのトラフィックを照合できます。 match default-inspection-traffic コマンドは、一般に permit ip src-ip dst-ip という形式のアクセス リストであるもう 1 つの match コマンドと併用できます。
match default-inspection-traffic コマンドともう 1 つの match コマンドを組み合わせるためのルールは、 match default-inspection-traffic コマンドを使用してプロトコルおよびポート情報を指定し、別の match コマンドを使用して他のすべての情報(IP アドレスなど)を指定するというものです。もう 1 つの match コマンドに指定されているプロトコルやポート情報は、 inspect コマンドでは無視されます。
たとえば、次の例に指定されているポート 65535 は無視されます。
インスペクション用のデフォルトのトラフィックは、次のようになります。
例
次に、クラス マップおよび match default-inspection-traffic コマンドを使用してトラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match dns-class
DNS Resource Record or Question セクションの Domain System Class に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match dns-class コマンドを使用します。設定済みのクラスを削除するには、このコマンドの no 形式を使用します。
match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}
no match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、このコマンドは DNS メッセージのすべてのフィールド(質問および RR)を調べ、指定されたクラスを照合します。DNS クエリーと応答の両方が検査されます。
一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
例
次に、DNS インスペクション ポリシー マップに DNS クラスに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match dns-type
クエリー タイプや RR タイプなど DNS タイプに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match dns-type コマンドを使用します。設定された DNS タイプを削除するには、このコマンドの no 形式を使用します。
match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}
no match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、このコマンドは DNS メッセージのすべてのセクション(質問および RR)を調べ、指定されたタイプを照合します。DNS クエリーと応答の両方が検査されます。
一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
例
次に、DNS インスペクション ポリシー マップに DNS タイプに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match domain-name
DNS メッセージ ドメイン名リストに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match domain-name コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match [not] domain-name regex regex_id
match [not] domain-name regex class class_id
no match [not] domain-name regex regex_id
no match [not] domain-name regex class class_id
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、定義済みのリストと DNS メッセージのドメイン名を照合します。圧縮されたドメイン名は、照合の前に展開されます。一致条件は、他の DNS match コマンドと併用して、特定のフィールドにまで絞り込むことができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
例
次に、DNS インスペクション ポリシー マップで DNS ドメイン名を照合する例を示します。
関連コマンド
|
|
|
|---|---|
match dscp
クラス マップの(IP ヘッダーの)IETF-defined DSCP 値を識別するには、クラス マップ コンフィギュレーション モードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
IP ヘッダーに最大 8 種類の IETF-defined DSCP 値を指定します。指定できる範囲は、0 ~ 63 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
例
次に、クラス マップおよび match dscp コマンドを使用して、トラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match ehlo-reply-parameter
ESMTP ehlo reply パラメータに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match ehlo-reply-parameter コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] ehlo-reply-parameter parameter
no match [not] ehlo-reply-parameter parameter
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップに ehlo reply パラメータに関して一致条件を設定する例を示します。
hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# match ehlo-reply-parameter auth
関連コマンド
|
|
|
|---|---|
match filename
FTP 転送のファイル名に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filename コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] filename regex [regex_name | class regex_class_name]
no match [not] filename regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、FTP インスペクション クラス マップに FTP 転送ファイル名に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match filetype
FTP 転送のファイル タイプに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filetype コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] filetype regex [regex_name | class regex_class_name]
no match [not] filetype regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、FTP インスペクション ポリシー マップに FTP 転送ファイルタイプに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match flow ip destination-address
クラス マップにフロー IP 宛先アドレスを指定するには、クラス マップ コンフィギュレーション モードで match flow ip destination-address コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match flow ip destination-address
no match flow ip destination-address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
トンネル グループに対するフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address および match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシーを適用するには、 match flow ip destination-address コマンドを使用します。トンネル グループ内の各トンネルを指定されたレートに規制するには、 match tunnel-group を使用します。
例
次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。
関連コマンド
|
|
|
|---|---|
match header
ESMTP ヘッダーに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match header コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]
no match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップにヘッダーに関して一致条件を設定する例を示します。
hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# match header length gt 512
関連コマンド
|
|
|
|---|---|
match header-flag
DNS ヘッダー フラグに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match header-flag コマンドを使用します。設定されたヘッダー フラグを削除するには、このコマンドの no 形式を使用します。
match [not] header-flag [eq] {f_well_known | f_value}
no match [not] header-flag [eq] {f_well_known | f_value}
構文の説明
既知の名前で DNS ヘッダー フラグ ビットを指定します。複数のフラグ ビットを入力し、論理 OR を適用することもできます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、DNS クラス マップまたは DNS ポリシー マップで設定できます。DNS クラス マップでは、入力できるエントリは 1 つのみです。
例
次に、DNS インスペクション ポリシー マップに DNS ヘッダー フラグに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match im-subscriber
SIP IM 加入者に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match im-subscriber コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] im-subscriber regex [regex_name | class regex_class_name]
no match [not] im-subscriber regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
例
次に、SIP インスペクション クラス マップに SIP IM 加入者に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match invalid-recipients
ESMTP 無効受信者アドレスに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match invalid-recipients コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] invalid-recipients count gt number
no match [not] invalid-recipients count gt number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップに無効な受信者数に関して一致条件を設定する例を示します。
hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# match invalid-recipients count gt 1000
関連コマンド
|
|
|
|---|---|
match ip address
指定されたいずれかのアクセス リストによって渡されるルート アドレスまたはマッチ パケットがあるルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no match ip address { acl... }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
例
関連コマンド
|
|
|
|---|---|
match ip next-hop
指定されたいずれかのアクセス リストによって渡されるネクストホップ ルータ アドレスがあるルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip next-hop コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip next-hop { acl... } | prefix-list prefix_list
no match ip next-hop { acl... } | prefix-list prefix_list
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンド構文に含まれる省略符号(...)は、コマンド入力に acl 引数の値を複数含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルートがルート マップを通過するようにするときには、ルート マップに複数の要素を持たせることができます。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。
例
次に、アクセス リスト acl_dmz1 または acl_dmz2 によって渡されるネクストホップ ルータ アドレスがあるルートを配布する例を示します。
関連コマンド
|
|
|
|---|---|
match ip route-source
ACL に指定されているアドレスにあるルータおよびアクセス サーバによってアドバタイズされたルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip route-source コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip route-source { acl... } | prefix-list prefix_list
no match ip route-source { acl... }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンド構文に含まれる省略符号(...)は、コマンド入力に access-list-name 引数の値を複数含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。ルートのネクストホップ アドレスと送信元ルータ アドレスが同じではない場合があります。
例
次に、acl_dmz1 および acl_dmz2 という ACL で指定されたアドレスにあるルータおよびアクセス サーバによってアドバタイズされたルートを配布する例を示します。
関連コマンド
|
|
|
|---|---|
match login-name
インスタント メッセージング用のクライアント ログイン名に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] login-name regex [regex_name | class regex_class_name]
no match [not] login-name regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
例
次に、インスタント メッセージング クラス マップにクライアント ログイン名に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match media-type
H.323 メディア タイプに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match media-type コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] media-type [audio | data | video]
no match [not] media-type [audio | data | video]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション クラス マップにオーディオ メディア タイプに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match message id
GTP メッセージ ID に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message id コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] message id [message_id | range lower_range upper_range]
no match [not] message id [message_id | range lower_range upper_range]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、GTP インスペクション クラス マップにメッセージ ID に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match message length
GTP メッセージ ID の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message length コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] message length min min_length max max_length
no match [not] message length min min_length max max_length
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、GTP インスペクション クラス マップにメッセージの長さに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match message-path
Via ヘッダー フィールドの指定に従って SIP メッセージがたどるパスに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match message-path コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] message-path regex [regex_name | class regex_class_name]
no match [not] message-path regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
例
次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。
関連コマンド
|
|
|
|---|---|
match mime
ESMTP MIME エンコーディング タイプ、MIME ファイル名の長さ、または MIME ファイル タイプに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match mime コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] mime [encoding type | filename length gt bytes | filetype regex]
no match [not] mime [encoding type | filename length gt bytes | filetype regex]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップに MIME ファイル名の長さに関して一致条件を設定する例を示します。
hostname(config)# policy-map type inspect esmtp esmtp_map
hostname(config-pmap)# match mime filename length gt 255
関連コマンド
|
|
|
|---|---|
match peer-ip-address
インスタント メッセージングのピア IP アドレスに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match peer-ip-address コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] peer-ip-address ip_address ip_address_mask
no match [not] peer-ip-address ip_address ip_address_mask
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
例
次に、インスタント メッセージング クラス マップにピア IP アドレスに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match peer-login-name
インスタント メッセージングのピア ログイン名に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match peer-login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] peer-login-name regex [regex_name | class regex_class_name]
no match [not] peer-login-name regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
例
次に、インスタント メッセージング クラス マップにピア ログイン名に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match port
モジュラ ポリシー フレームワークを使用する場合、クラス マップ コンフィギュレーション モードで match port コマンドを使用して、アクションを適用する TCP ポートまたは UDP ポートを照合します。 match port コマンドを削除するには、このコマンドの no 形式を使用します。
match port { tcp | udp } { eq port | range beg_port end_port }
no match port { tcp | udp } { eq port | range beg_port end_port }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドを入力した後、 matchport コマンドを入力してトラフィックを識別できます。また、 match access-list コマンドなど match コマンドの別のタイプを入力できます( class-map type management コマンドだけが match port コマンドを許可します)。クラス マップには match port コマンドを 1 つだけ含めることができ、他のタイプの match コマンドとは組み合わせることができません。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
例
次に、クラス マップおよび match port コマンドを使用して、トラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match precedence
クラス マップに precedence 値を指定するには、クラス マップ コンフィギュレーション モードで match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
例
次に、クラス マップおよび match precedence コマンドを使用して、トラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match protocol
MSN や Yahoo などの特定のインスタント メッセージング プロトコルに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match protocol コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] protocol {msn-im | yahoo-im}
no match [not] protocol {msn-im | yahoo-im}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
例
次に、インスタント メッセージング クラス マップに Yahoo インスタント メッセージング プロトコルに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match question
DNS の質問またはリソース レコードに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match question コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match {question | {resource-record answer | authority | additional}}
no match {question | {resource-record answer | authority | additional}}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、このコマンドは DNS ヘッダーを調べ、指定されたフィールドとマッチングします。また、他の DNS match コマンドと併用して、特定の質問または RR タイプのインスペクションを定義できます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
例
次に、DNS インスペクション ポリシー マップに DNS 質問に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match req-resp
HTTP 要求と HTTP 応答の両方に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match req-resp コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] req-resp content-type mismatch
no match [not] req-resp content-type mismatch
構文の説明
応答の content type フィールドが、要求の accept フィールドのいずれかの MIME タイプに一致する必要があることを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• content-type ヘッダーの値がサポート対象コンテンツ タイプの内部リストにあることを確認します。
• ヘッダー content-type が、メッセージのデータまたはエンティティ本文の実際のコンテンツに一致することを確認します。
• HTTP 応答の content type フィールドが、対応する HTTP 要求メッセージの accept フィールドと一致することを確認します。
上記のチェックに失敗した場合、セキュリティ アプライアンスは設定されたアクションを実行します。
このリストのコンテンツ タイプの中には、メッセージの本文部分で確認できないように、対応する正規表現(magic number)がないものがあります。この場合、HTTP メッセージは許可されます。
例
次に、HTTP ポリシー マップで HTTP メッセージのコンテンツ タイプに基づいて HTTP トラフィックを制限する例を示します。
hostname(config)# policy-map type inspect http http_map
hostname(config-pmap)# match req-resp content-type mismatch
関連コマンド
|
|
|
|---|---|
match request-command
特定の FTP コマンドを制限するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match request-command コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] request-command ftp_command [ftp_command...]
no match [not] request-command ftp_command [ftp_command...]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、FTP インスペクション ポリシー マップに特定の FTP コマンドに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match request-method
SIP メソッド タイプに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match request-method コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] request-method method_type
no match [not] request-method method_type
構文の説明
RFC 3261 およびサポートされている拡張に従って、メソッド タイプを指定します。サポートされているメソッド タイプには、ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
例
次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。
関連コマンド
|
|
|
|---|---|
match request method
HTTP 要求に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match request method コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] request {built-in-regex | regex {regex_name | class class_map_name}}
no match [not] request {built-in-regex | regex {regex_name | class class_map_name}}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、「GET」メソッドまたは「PUT」メソッドで「www\.xyz.com/.*\.asp」または「www\.xyz[0-9][0-9]\.com」にアクセスしようとしている HTTP 接続を許可し、ロギングする HTTP インスペクション ポリシー マップを定義する例を示します。それ以外の URL/メソッドの組み合わせは、サイレントに許可されます。
関連コマンド
|
|
|
|---|---|
match route-type
指定されたタイプのルートを再配布するには、ルート マップ コンフィギュレーション モードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。
match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
no match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。
OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートにのみ一致し、 external type-2 キーワードは type 2 外部ルートにのみ一致します。
例
関連コマンド
|
|
|
|---|---|
match rtp
クラス マップに偶数ポートの UDP ポート範囲を指定するには、クラス マップ コンフィギュレーション モードで match rtp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no match rtp starting_port range
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
RTP ポート( starting_port から starting_port に range を加えた値の範囲の偶数 UDP ポート番号)とマッチングするには、 match rtp コマンドを使用します。
例
次に、クラス マップおよび match rtp コマンドを使用して、トラフィック クラスを定義する例を示します。
関連コマンド
|
|
|
|---|---|
match sender-address
ESMTP 送信者電子メール アドレスに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match sender-address コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] sender-address [length gt bytes | regex regex]
no match [not] sender-address [length gt bytes | regex regex]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ESMTP インスペクション ポリシー マップに長さが 320 文字を超える送信者電子メール アドレスに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match server
FTP サーバに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match server コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] server regex [regex_name | class regex_class_name]
no match [not] server regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
セキュリティ アプライアンスは、FTP サーバに接続するときにログイン プロンプトの上方に表示される初期 220 サーバ メッセージに基づいて、サーバ名とマッチングします。220 サーバ メッセージには、行が複数含まれることがあります。サーバとのマッチングは、DNS を介して解決されるサーバ名の FQDN に基づきません。
例
次に、FTP インスペクション ポリシー マップに FTP サーバに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match service
特定のインスタント メッセージング サービスに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match service コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}
no match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
例
次に、インスタント メッセージング クラス マップにチャット サービスに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match third-party-registration
第三者登録の要求者に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match third-party-registration コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] third-party-registration regex [regex_name | class regex_class_name]
no match [not] third-party-registration regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
third-party registration match コマンドは、SIP 登録または SIP プロキシで他のユーザを登録できるユーザを特定するために使用されます。From と To の値が一致しない場合には、REGISTER メッセージの From ヘッダー フィールドで識別されます。
例
次に、SIP インスペクション クラス マップに第三者登録に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match tunnel-group
以前に定義したトンネル グループに属するクラス マップのトラフィックとマッチングするには、クラス マップ コンフィギュレーション モードで match tunnel-group コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address コマンドおよび match tunnel-group コマンドを class-map 、 policy-map 、 service-policy の各コマンドと併用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシーを適用するには、 police コマンドを使用します。トンネル グループ内の各トンネルを指定されたレートに規制するには、 match tunnel-group を match flow ip destination-address と併用します。
例
次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。
関連コマンド
|
|
|
|---|---|
match uri
SIP ヘッダーの URI に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match uri コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] uri {sip | tel} length gt gt_bytes
no match [not] uri {sip | tel} length gt gt_bytes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
例
次に、SIP メッセージの URI に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match url-filter
RTSP メッセージの URL フィルタリングに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match url-filter コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] url-filter regex [regex_name | class regex_class_name]
no match [not] url-filter regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、RTSP インスペクション ポリシー マップに URL フィルタリングに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match username
FTP ユーザ名に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match username コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] username regex [regex_name | class regex_class_name]
no match [not] username regex [regex_name | class regex_class_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、FTP インスペクション クラス マップに FTP ユーザ名に関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
match version
GTP メッセージ ID の一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match message length コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] version [version_id | range lower_range upper_range]
no match [not] version [version_id | range lower_range upper_range]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、GTP クラス マップまたは GTP ポリシー マップで設定できます。GTP クラス マップに入力できるエントリは 1 つのみです。
例
次に、GTP インスペクション クラス マップにメッセージ バージョンに関して一致条件を設定する例を示します。
関連コマンド
|
|
|
|---|---|
max-failed-attempts
サーバ グループの特定のサーバが非アクティブ化されるまでに、そのサーバに対して許可されている試行の失敗数を指定するには、AAA サーバ グループ コンフィギュレーション モードで max-failed-attempts コマンドを使用します。この指定を削除し、デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
前述の aaa-server コマンドに指定されているサーバ グループの特定のサーバに対して許可されている接続試行の失敗数を指定する 1 ~ 5 の範囲の整数。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 4
hostname(config-aaa-server-group)#
関連コマンド
|
|
|
AAA サーバ グループ コンフィギュレーション モードを開始して、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
max-forwards-validation
Max-forwards ヘッダー フィールドが 0 かどうかのチェックをイネーブルにするには、パラメータ コンフィギュレーション モードで max-forwards-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
max-forwards-validation action {drop | drop-connection | reset | log} [log}
no max-forwards-validation action {drop | drop-connection | reset | log} [log}
構文の説明
違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、SIP インスペクション ポリシー マップに最大転送数の検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
max-header-length
HTTP ヘッダーの長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-header-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
no max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
max-header-length コマンドをイネーブルにすると、セキュリティ アプライアンスは設定された制限内の HTTP ヘッダーがあるメッセージのみを許可し、そのようなヘッダーがない場合には指定されたアクションを実行します。セキュリティ アプライアンスが TCP 接続をリセットし、任意で syslog エントリを作成するようにするには、 action キーワードを使用します。
例
次に、HTTP 要求を HTTP ヘッダーが 100 バイトを超えない要求に制限する例を示します。ヘッダーが大きすぎる場合、セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
max-object-size
WebVPN セッションに対してセキュリティ アプライアンスがキャッシュできるオブジェクトの最大サイズを設定するには、キャッシュ モードで max-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大オブジェクト サイズは、最小オブジェクト サイズよりも大きい値である必要があります。キャッシュ圧縮がイネーブルになっている場合、セキュリティ アプライアンスは、オブジェクトを圧縮してからサイズを計算します。
例
次に、最大オブジェクト サイズを 4000 KB に設定する例を示します。
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
max-retry-attempts
要求がタイムアウトされるまでにセキュリティ アプライアンスが失敗した SSO 認証を再試行できる回数を設定するには、特定の SSO サーバ タイプの webvpn コンフィギュレーション モードで max-retry-attempts コマンドを使用します。
デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
構文の説明構文の説明
失敗した SSO 認証に対して、セキュリティ アプライアンスが認証を再試行する回数 指定できる範囲は 1 ~ 5 回です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
いったん SSO 認証をサポートするようにセキュリティ アプライアンスを設定すると、任意で 2 つのタイムアウト パラメータを調整できます。
• max-retry-attempts コマンド を使用してセキュリティ アプライアンスが失敗した SSO 認証を再試行できる回数。
例
次に、webvpn-sso-siteminder コンフィギュレーション モードを開始し、my-sso-server という名前の SiteMinder SSO サーバ名に対する認証再試行を 4 つ設定する例を示します。
関連コマンド
|
|
|
|---|---|
max-uri-length
HTTP 要求メッセージの URI の長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-uri-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-uri-length bytes action { allow | reset | drop } [ log ]
no max-uri-length bytes action { allow | reset | drop } [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
max-uri-length コマンドをイネーブルにすると、セキュリティ アプライアンスは設定された制限内の URI があるメッセージのみを許可し、そのような URI がない場合には指定されたアクションを実行します。セキュリティ アプライアンスに TCP 接続をリセットさせて、Syslog エントリを作成させるには、 action キーワードを使用します。
例
次に、HTTP 要求を URI が 100 バイトを超えない要求に制限する例を示します。URI が大きすぎる場合、セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
mcc
IMSI プレフィックス フィルタリングのモバイル国コードおよびモバイル ネットワーク コードを識別するには、GTP マップ コンフィギュレーション モードで mcc コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
mcc country_code mnc network_code
no mcc country_code mnc network_code
構文の説明
モバイル国コードを識別するゼロ以外の 3 桁の値。エントリが 1 桁または 2 桁の場合には、その先頭に 0 が付加されて 3 桁の値が作成されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IMSI プレフィックス フィルタリングに使用されます。受信パケットの IMSI の MCC および MNC は、このコマンドで設定された MCC および MNC と比較され、一致しない場合はドロップされます。
このコマンドは、IMSI プレフィックス フィルタリングをイネーブルにするために使用する必要があります。複数のインスタンスを設定して許可する MCC と MNC の組み合わせを指定できます。デフォルトでは、セキュリティ アプライアンスは MNC と MCC の組み合わせが有効であるかどうかをチェックしないため、設定した組み合わせが有効であるかどうかを確認する必要があります。MCC および MNC コードの詳細については、ITU E.212 勧告『 Identification Plan for Land Mobile Stations 』を参照してください。
例
次に、MCC を 111、MNC を 222 として、IMSI プレフィックス フィルタリングのトラフィックを識別する例を示します。
関連コマンド
|
|
|
|---|---|
media-termination address
IP アドレスを電話プロキシ機能へのメディア接続に使用するように指定するには、電話プロキシ コンフィギュレーション モードで media-termination address コマンドを使用します。
電話プロキシ コンフィギュレーションからメディア ターミネーション アドレスを削除するには、このコマンドの no 形式を使用します。
media-termination address ip_address [ rtp-min-port port1 rtp-maxport port2 ]
no media-termination address ip_address [ rtp-min-port port1 rtp-maxport port2 ]
構文の説明
デフォルト
デフォルトで、 rtp-min-port キーワードの port1 の値は 16384、 rtp-max-port キーワードの port2 の値は 32767 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスには、次の基準を満たすメディア終端の IP アドレスが必要です。
• IP アドレスは、ネットワーク上の別のデバイスによって使用されることがなく、セキュリティ アプライアンスインターフェイスに接続されたネットワーク上にある未使用の IP アドレスである、パブリックにルーティング可能な IP アドレスです。
• セキュリティ アプライアンスインターフェイス IP アドレスと同じ IP アドレスを指定することはできません。特に、セキュリティ アプライアンスでセキュリティ レベルが最も低いインターフェイスと同じにすることはできません。
• IP アドレスは、既存のスタティック NAT 規則と重複できません。
• IP アドレスは、CUCM または TFTP サーバの IP アドレスと同じにはできません。
• 他のインターフェイスの IP 電話がメディア終端アドレスに到達できるように、他のインターフェイスにルートを追加します。
電話プロキシでサポートするコール数の規模を調整する必要がある場合は、メディア ターミネーション ポイントの RTP ポート範囲を設定します。
例
次に、 media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。
hostname(config-phone-proxy)# media-termination address 192.168.1.4
関連コマンド
|
|
|
|---|---|
media-type
メディア タイプを銅線またはファイバ ギガビット イーサネットに設定するには、インターフェイス コンフィギュレーション モードで media-type コマンドを使用します。ASA 5500 シリーズ適応型セキュリティ アプライアンスの 4GE SSM でファイバ SFP コネクタが使用可能になります。メディア タイプ設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
sfp 設定は、固定速度(1000 Mbps)を使用するため、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされません。
例
関連コマンド
|
|
|
|---|---|
member
コンテキストをリソース クラスに割り当てるには、コンテキスト コンフィギュレーション モードで member コマンドを使用します。コンテキストをリソース クラスから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストがセキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。
例
次に、コンテキスト テストをゴールド クラスに割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
member-interface
物理インターフェイスを冗長インターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで member-interface コマンドを使用します。このコマンドは、冗長インターフェイス タイプでのみ使用できます。2 つのメンバ インターフェイスを冗長インターフェイスに割り当てることができます。メンバ インターフェイスを削除するには、このコマンドの no 形式を使用します。冗長インターフェイスから両方のメンバ インターフェイスは削除できません。冗長インターフェイスには、少なくとも 1 つのメンバ インターフェイスが必要です。
member-interface physical_interface
no member-interface physical_interface
構文の説明
gigabit ethernet0/1 などのインターフェイス ID を識別します。有効値については、 interface コマンドを参照してください。両方のメンバー インターフェイスが同じ物理タイプである必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
両方のメンバ インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。
名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず no nameif コマンドを使用して名前を削除する必要があります。
冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが物理パラメータ( speed コマンド、 duplex コマンド、 description コマンド、 shutdown コマンドなど)です。また、 default や help などの実行時コマンドを入力することもできます。
アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。
アクティブ インターフェイスを変更するには、 redundant-interface コマンドを入力します。
冗長インターフェイスは、最初に追加された物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合は、同じ MAC アドレスが維持されるため、トラフィックが妨げられることはありません。
例
関連コマンド
|
|
|
|---|---|
memberof
このユーザがメンバであるグループ名のリストを指定するには、ユーザ名属性コンフィギュレーション モードで memberof コマンドを使用します。この属性をコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
memberof group_1 [ ,group_2, ... group_n ]
[ no ] memberof group_1 [ ,group_2, ... group_n ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、グローバル コンフィギュレーション モードを開始し、ユーザ名を newuser という名前で作成し、newuser が DevTest グループおよび管理グループのメンバであることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
memory delayed-free-poisoner enable
delayed free-memory poisoner ツールをイネーブルにするには、特権 EXEC モードで memory delayed-free-poisoner enable コマンドを使用します。delayed free-memory poisoner ツールをディセーブルにするには、このコマンドの no 形式を使用します。delayed free-memory poisoner ツールを使用すると、アプリケーションによってメモリが解放された後、解放メモリの変化をモニタできます。
memory delayed-free-poisoner enable
no memory delayed-free-poisoner enable
構文の説明
デフォルト
memory delayed-free-poisoner enable コマンドは、デフォルトではディセーブルになっています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
delayed free-memory poisoner ツールをイネーブルにすると、メモリ使用状況およびシステム パフォーマンスに大きな影響を及ぼします。このコマンドは、Cisco TAC の指導の下でのみ使用する必要があります。システムの使用率が高い間は、実働環境では実行しないでください。
このツールをイネーブルにすると、セキュリティ アプライアンスで実行されているアプリケーションによるメモリ解放要求が FIFO キューに書き込まれます。要求がキューに書き込まれるたびに、それに伴うメモリ バイトのうち、下位メモリ管理には必要ないバイトが、値 0xcc で書き込まれて「改ざん」されます。
メモリ解放要求は、空きメモリ プールにある量よりも多くのメモリがアプリケーションで必要になるまで、キューに残ります。メモリが必要になると、最初のメモリ解放要求がキューから取り出され、改ざんされたメモリが検証されます。
メモリに変更がない場合、メモリは下位メモリ プールに返され、ツールは最初に要求を行ったアプリケーションからのメモリ要求を再発行します。この処理は、要求元のアプリケーションに十分なメモリが解放されるまで続きます。
改ざんされたメモリに変更があった場合、システムは強制的にクラッシュし、クラッシュの原因を突き止めるための診断出力を作成します。
delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。また、 memory delayed-free-poisoner validate コマンドを使用して、検証を手動で開始できます。
このコマンドの no 形式は、要求で参照されるキュー内のすべてのメモリを検証なしで空きメモリ プールに返し、統計カウンタをクリアします。
例
次に、delayed free-memory poisoner ツールをイネーブルにする例を示します。
次に、delayed free-memory poisoner ツールが不正なメモリ再利用を検出した場合の出力例を示します。
表 20-2 に、出力の重要な部分を示します。
関連コマンド
|
|
|
|---|---|
memory delayed-free-poisoner validate
memory delayed-free-poisoner キューのすべての要素を強制的に検証するには、特権 EXEC モードで memory delayed-free-poisoner validate コマンドを使用します。
memory delayed-free-poisoner validate
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
memory delayed-free-poisoner validate コマンドを発行する場合は、事前に memory delayed-free-poisoner enable コマンドを使用して delayed free-memory poisoner ツールをイネーブルにする必要があります。
memory delayed-free-poisoner validate コマンドにより、 memory delayed-free-poisoner キューの各要素が検証されます。要素に予期しない値が含まれている場合、システムは強制的にクラッシュし、クラッシュの原因を突き止めるための診断出力を作成します。予期しない値がない場合、要素はキューに残り、ツールによって正常に処理されます。 memory delayed-free-poisoner validate コマンドを実行しても、キュー内のメモリはシステム メモリ プールに返されません。
(注) delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。
例
次に、 memory delayed-free-poisoner キューのすべての要素を検証する例を示します。
関連コマンド
|
|
|
|---|---|
memory caller-address
コール トレースまたは発信元 PC 用にプログラム メモリの特定の範囲を設定して、メモリの問題を容易に特定できるようにするには、特権 EXEC モードで memory caller-address コマンドを使用します。発信元 PC は、メモリ割り当てプリミティブを呼び出したプログラムのアドレスです。アドレス範囲を削除するには、このコマンドの no 形式を使用します。
memory caller-address startPC endPC
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
メモリの問題を特定のメモリ ブロックに限定するには、 memory caller-address コマンドを使用します。
場合によっては、メモリ割り当てプリミティブの実際の発信元 PC が、プログラムの多くの場所で使用されている既知のライブラリ関数であることがあります。プログラムの個々の場所を特定するには、そのライブラリ関数の開始プログラム アドレスおよび終了プログラム アドレスを設定し、それによってライブラリ関数の呼び出し元のプログラム アドレスを記録します。
(注) 発信元アドレスの追跡をイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。
例
次に、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドによる表示結果の例を示します。
関連コマンド
|
|
|
|---|---|
memory profile enable
メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにするには、特権 EXEC モードで memory profile enable コマンドを使用します。メモリのプロファイルリングをディセーブルにするには、このコマンドの no 形式を使用します。
memory profile enable peak peak_value
no memory profile enable peak peak_value
構文の説明
メモリ使用状況のスナップショットを使用率ピーク バッファに保存するメモリ使用状況しきい値を指定します。このバッファの内容を後で分析して、システムのピーク時のメモリ ニーズを判断できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
メモリ プロファイリングをイネーブルにする前に、 memory profile text コマンドを使用して、プロファイリングするメモリ テキスト範囲を設定する必要があります。
clear memory profile コマンドを入力するまで、一部のメモリはプロファイリング システムによって保持されます。 show memory status コマンドの出力を参照してください。
(注) メモリ プロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下する場合があります。
次に、メモリ プロファイリングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
memory profile text
プロファイリングするメモリのプログラム テキスト範囲を設定するには、特権 EXEC モードで memory profile text コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
memory profile text { startPC endPC | all resolution }
no memory profile text { startPC endPC | all resolution }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
テキスト範囲が小さい場合、精度を「4」にすると、命令への呼び出しが正常に追跡されます。テキスト範囲が大きい場合、精度を粗くしても初回通過には十分であり、範囲は次回の通過でさらに小さな領域にまで絞り込むことができます。
メモリ プロファイリングを開始するには、 memory profile text コマンドでテキスト範囲を入力した後、続けて memory profile enable コマンドを入力する必要があります。デフォルトでは、メモリ プロファイリングはディセーブルになっています。
(注) メモリ プロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下する場合があります。
例
次に、精度を 4 にして、プロファイリングするメモリのテキスト範囲を設定する例を示します。
次に、メモリ プロファイリングのテキスト範囲のコンフィギュレーションおよびステータス(OFF)を表示する例を示します。
InUse profiling: OFF
Peak profiling: OFF
Profile:
0x004018b4-0x004169d0(00000004)
(注) メモリ プロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。デフォルトでは、メモリ プロファイリングはディセーブルになっています。
関連コマンド
|
|
|
|---|---|
memory-size
WebVPN のさまざまなコンポーネントがアクセスできるセキュリティ アプライアンス上のメモリ容量を設定するには、webvpn モードで memory-size コマンドを使用します。設定されたメモリ容量(KB 単位)または合計メモリの割合として、メモリ容量を設定できます。設定されたメモリ サイズを削除するには、このコマンドの no 形式を使用します。
(注) 新しいメモリ サイズ設定を有効にするには、リブートが必要です。
memory-size { percent | kb } size
no memory-size [{ percent | kb } size ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
設定したメモリ容量は、ただちに割り当てられます。このコマンドを設定する前に、show memory を使用して、使用可能なメモリ容量を確認してください。設定に合計メモリの割合を使用する場合は、設定した値が使用可能な割合を下回っていることを確認してください。設定にキロバイトの値を使用する場合は、設定した値がキロバイト単位の使用可能なメモリ容量を下回っていることを確認してください。
例
次に、WebVPN メモリ サイズを 30 % に設定する例を示します。
hostname(config)# webvpn
hostname(config-webvpn)# memory-size percent 30
|
|
|
|---|---|
memory tracking enable
ヒープ メモリ要求の追跡をイネーブルにするには、特権 EXEC モードで memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ヒープ メモリ要求を追跡するには、 memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。
例
次に、ヒープ メモリ要求の追跡をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
merge-dacl
ダウンロード可能 ACL と、RADIUS パケットから Cisco AV ペアで受信した ACL をマージするには、AAA サーバ グループ コンフィギュレーション モードで merge-dacl コマンドを使用します。ダウンロード可能 ACL と、RADIUS パケットから Cisco AV ペアで受信した ACL のマージをディセーブルにするには、このコマンドの no 形式を使用します。
merge dacl { before_avpair | after_avpair }
構文の説明
デフォルト
デフォルト設定は no merge dacl で、ダウンロード可能な ACL は Cisco AV ペア ACL と結合されません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ダウンロード可能 ACL のエントリが Cisco AV ペアのエントリの前に配置されるように指定しています。
hostname(config)# aaa-server servergroup1 protocol radius
関連コマンド
|
|
|
|---|---|
message-length
設定された最大および最小の長さを満たさない GTP パケットをフィルタリングするには、GTP マップ コンフィギュレーション モードで message-length コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。コマンドを削除するには、 no 形式を使用します。
message-length min min_bytes max max_bytes
no message-length min min_bytes max max_bytes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、長さが 20 ~ 300 バイトのメッセージを許可する例を示します。
関連コマンド
|
|
|
|---|---|
mfib forwarding
インターフェイスで MFIB 転送を再びイネーブルにするには、インターフェイス コンフィギュレーション モードで mfib forwarding を使用します。インターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
multicast-routing コマンドは、デフォルトではすべてのインターフェイスの MFIB 転送をイネーブルにします
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチキャスト ルーティングをイネーブルにすると、デフォルトではすべてのインターフェイスで MFIB 転送がイネーブルになります。特定のインターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。実行コンフィギュレーションには、このコマンドの no 形式だけが表示されます。
インターフェイスで MFIB 転送がディセーブルになっている場合、特に他の方法を設定しない限り、そのインターフェイスはマルチキャスト パケットを受け付けません。MFIB 転送がディセーブルになっていると、IGMP パケットも阻止されます。
例
次に、指定されたインターフェイスで MFIB 転送をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
min-object-size
WebVPN セッションに対してセキュリティ アプライアンスがキャッシュできるオブジェクトの最小サイズを設定するには、キャッシュ モードで min-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。最小オブジェクト サイズを設定しないようにするには、値にゼロ(0)を入力します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最小オブジェクト サイズは、最大オブジェクト サイズよりも小さい値である必要があります。キャッシュ圧縮がイネーブルになっている場合、セキュリティ アプライアンスは、オブジェクトを圧縮してからサイズを計算します。
例
次に、最大オブジェクト サイズを 40 KB に設定する例を示します。
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
mkdir
新規ディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。
mkdir [/noconfirm] [disk0: | disk1: | flash:] path
構文の説明
(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、「backup」という新しいディレクトリを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
mode
セキュリティ コンテキスト モードを single または multiple に設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。1 つの セキュリティ アプライアンス をいくつかのパーティションに分けて複数の仮想デバイス(セキュリティ コンテキストと呼びます)に配置できます。各コンテキストは独立したデバイスとして動作し、独自のセキュリティ ポリシー、インターフェイス、および管理者で構成されています。複数のコンテキストが存在することは、複数のスタンドアロン アプライアンスが設置されていることと同じです。シングル モードでは、セキュリティ アプライアンスはシングル コンフィギュレーションを備え、単一デバイスとして動作します。マルチ モードでは、複数のコンテキストを作成し、それぞれに独自のコンフィギュレーションを設定できます。許可されるコンテキストの数は、保有するライセンスによって異なります。
mode { single | multiple } [ noconfirm ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードでは、セキュリティ アプライアンスに各コンテキストのコンフィギュレーションが含まれ、それぞれのコンフィギュレーションでは、スタンドアロン デバイスに設定できるセキュリティ ポリシー、インターフェイス、およびほぼすべてのオプションが識別されます(コンテキスト コンフィギュレーションの場所を識別するには、 config-url コマンドを参照してください)。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、セキュリティ アプライアンス の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。
mode コマンドを使用してコンテキスト モードを変更すると、再起動するように求められます。
コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、 mode コマンドを使用して、新規デバイスのモードを match に設定します。
シングル モードからマルチ モードに変換すると、セキュリティ アプライアンスは実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーションと、(内部フラッシュ メモリのルート ディレクトリの)管理コンテキストで構成される admin.cfg です。元の実行コンフィギュレーションは、old_running.cfg として(内部フラッシュ メモリのルート ディレクトリに)保存されます。元のスタートアップ コンフィギュレーションは保存されません。セキュリティ アプライアンス は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。
マルチ モードからシングル モードに変換する場合は、先にスタートアップ コンフィギュレーション全体(使用可能な場合)をセキュリティ アプライアンスにコピーすることを推奨します。マルチ モードから継承されるシステム コンフィギュレーションは、シングル モード デバイスで完全に機能するコンフィギュレーションではありません。
マルチ コンテキスト モードのすべての機能がサポートされるわけではありません。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。
例
関連コマンド
|
|
|
|---|---|
monitor-interface
特定のインターフェイスでヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイスのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンス用にモニタできるインターフェイスの数は 250 です。インターフェイス ポーリング頻度ごとに、セキュリティ アプライアンス フェールオーバー ペア間で hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。
モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。
• Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。
• Normal:インターフェイスはトラフィックを受信しています。
• Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。
• Link Down:インターフェイスまたは VLAN は管理のためにダウンしています。
• No Link:インターフェイスの物理リンクがダウンしています。
• Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。
例
次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
モニタするインターフェイスの数または割合を指定します。モニタの対象となるのは、障害が発生すると、フェールオーバーが発生するインターフェイスです。 |
|
more
ファイルの内容を表示するには、 more コマンドを使用します。
more { /ascii | /binary| /ebcdic | disk0: | disk1: | flash: | ftp: | http: | https: | system: | tftp: }filename
構文の説明
(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスを入力するように求めます。
例
次の例は、「test.cfg」という名前のローカル ファイルの内容を表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
mount(CIFS)
セキュリティ アプライアンスから Common Internet File System(CIFS; 共通インターネット ファイル システム)にアクセスできるようにするには、グローバル コンフィギュレーション モードで mount コマンドを使用します。このコマンドを使用すると、設定マウント cifs コンフィギュレーション モードを開始できます。CIFS ネットワーク ファイル システムをマウント解除するには、このコマンドの no 形式を使用します。
mount name type cifs server server-name share share status enable | status disable [domain domain-name ] username username password password
[ no ] mount name type cifs server server-name share share status enable | status disable [domain domain-name ] username username password password
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
mount コマンドは、Installable File System(IFS)を使用して、CIFS ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。
mount コマンドは、セキュリティ アプライアンス上の CIFS ファイル システムを UNIX ファイル ツリーにアタッチします。逆に、 no mount コマンドはそのアタッチを解除します。
mount コマンドに指定されている mount-name は、セキュリティ アプライアンスにすでにマウントされているファイル システムを参照するために、他の CLI コマンドで使用されます。たとえば、ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。
CIFS リモート ファイル アクセス プロトコルは、アプリケーションがローカル ディスクおよびネットワーク ファイル サーバ上のデータを共有する方法と互換性があります。TCP/IP を運用し、インターネットのグローバル DNS を使用する CIFS は、Windows オペレーティング システムにネイティブのファイル共有プロトコルである Microsoft のオープンでクロス プラットフォームの Server Message Block(SMB; サーバ メッセージ ブロック)プロトコルを拡張したものです。
mount コマンドを使用した後は、必ずルート シェルを終了してください。mount-cifs-config モードの exit キーワードは、ユーザをグローバル コンフィギュレーション モードに戻します。
(注) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています (mount name type ftp コマンドを参照)。Network File System(NFS; ネットワーク ファイル システム)ボリュームのマウントは、このリリースではサポートされていません。
例
次に、 cifs://amer;chief:big-boy@myfiler02/my_share を cifs_share というラベルとしてマウントする例を示します。
関連コマンド
|
|
|
|---|---|
mount(FTP)
セキュリティ アプライアンスからファイル転送プロトコル(FTP)ファイル システムにアクセスできるようにするには、グローバル コンフィギュレーション モードで mount name type ftp コマンドを使用して、マウント FTP コンフィギュレーション モードを開始します。 no mount name type ftp コマンドは、FTP ネットワーク ファイル システムをマウント解除するために使用されます。
[ no ] mount name type FTP server server-name path pathname status enable | status disable mode active | mode passive username username password password
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
mount name type ftp コマンドは、Installable File System(IFS)を使用して、指定されたネットワーク ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。
FTP ファイル システムが実際にマウントされていることを確認するには、 dir all-filesystems 命令を使用します。
mount コマンドに指定されているマウント名は、他の CLI コマンドがセキュリティ アプライアンスですでにマウントされているファイル システムを参照するときに使用されます。ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。
(注) FTP-type マウントの作成時に mount コマンドを使用するには、FTP サーバに UNIX ディレクトリ リスト スタイルが必要です。Microsoft FTP サーバには、デフォルトで MS-DOS ディレクトリ リスト スタイルがあります。
(注) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています (mount name type ftp コマンドを参照)。Network File System(NFS; ネットワーク ファイル システム)ボリュームのマウントは、このリリースではサポートされていません。
例
次に、 ftp://amor;chief:big-kid@myfiler02 を my ftp: というラベルとしてマウントする例を示します。
hostname(config)# mount myftp type ftp server myfiler02a path status enable username chief password big-kid
関連コマンド
|
|
|
|---|---|
mroute
スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。
mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]
no mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、マルチキャスト送信元の検索場所をスタティックに設定できます。セキュリティ アプライアンスは、特定の送信元にユニキャスト パケットを送信する際に使用したものと同じインターフェイスでマルチキャスト パケットを受信するものと想定します。場合によっては、マルチキャスト ルーティングをサポートしないルートをバイパスするなど、マルチキャスト パケットがユニキャスト パケットとは別のパスをたどることがあります。
スタティック マルチキャスト ルートはアドバタイズも再配布もされません。
マルチキャスト ルート テーブルの内容を表示するには、 show mroute コマンドを使用します。実行コンフィギュレーションで mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。
例
次に、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
msie-proxy except-list
クライアント PC でローカル バイパスを対象に Microsoft Internet Explorer のブラウザ プロキシ例外リスト設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy except-list {value server [ :port ] | none}
構文の説明
IP アドレスまたは MSIE サーバの名前、およびこのクライアント PC に適用されるポートを指定します。ポート番号は任意です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。
例
次に、Microsoft Internet Explorer のプロキシ例外リストを設定する例を示します。IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象とします。
関連コマンド
|
|
|
|---|---|
msie-proxy local-bypass
クライアント PC の Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy local-bypass {enable | disable}
no msie-proxy local-bypass {enable | disable}
構文の説明
クライアント PC の Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定をディセーブルにします。 |
|
クライアント PC の Microsoft Internet Explorer のブラウザ プロキシ ローカル バイパス設定をイネーブルにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer のプロキシ ローカル バイパスをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
msie-proxy method
クライアント PC のブラウザ プロキシ アクション(「メソッド」)を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]
no msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]
(注) この構文に適用される条件については、「使用上のガイドライン」を参照してください。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行には、最大 100 文字含めることができます。
Safari ブラウザは、auto-detect をサポートしません。Firefox ブラウザおよび Safari ブラウザでは、これらのコマンド オプションを一度に 1 つだけ使用できます。Microsoft Internet Explorer は、このコマンド オプションの次の組み合わせをサポートします。
[no] msie-proxy method no-proxy
[no] msie-proxy method no-modify
[no] msie-proxy method [auto-detect] [use-server] [use-pac-url]
テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルは、Web サーバにあります。 use-pac-url を指定すると、Internet Explorer は .pac ファイルを使用してプロキシ設定を判別します。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。
例
次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定として自動検出を設定する例を示します。
次に、クライアント PC のサーバとしてサーバ QASERVER、ポート 1001 を使用するように、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定を設定する例を示します。
関連コマンド
|
|
|
|---|---|
クライアント PC に対して、Microsoft Internet Explorer のブラウザ プロキシ サーバおよびポートを設定します。 |
|
msie-proxy pac-url
プロキシ情報の検索場所をブラウザに指示するには、グループ ポリシー コンフィギュレーション モードで msie-proxy pac-url コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy pac-url { none | value url }
構文の説明
使用するプロキシ サーバが 1 つ以上定義されているプロキシ自動コンフィギュレーション ファイルをブラウザが取得できる Web サイトの URL を指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プロキシ自動コンフィギュレーション機能を使用するには、リモート ユーザは Cisco AnyConnect VPN クライアントを使用する必要があります。プロキシ自動コンフィギュレーション URL の使用をイネーブルにするには、 msie-proxy method コマンドを use-pac-url オプションとともに設定する必要があります。
多くのネットワーク環境が、Web ブラウザを特定のネットワーク リソースに接続する HTTP プロキシを定義しています。HTTP トラフィックがネットワーク リソースに到達できるのは、プロキシがブラウザに指定され、クライアントが HTTP トラフィックをプロキシにルーティングする場合だけです。SSLVPN トンネルにより、HTTP プロキシの定義が複雑になります。企業ネットワークにトンネリングするときに必要なプロキシが、ブロードバンド接続経由でインターネットに接続されるときや、サード パーティ ネットワーク上にあるときに必要なものとは異なることがあるためです。
また、大規模ネットワークを構築している企業では、複数のプロキシ サーバを設定し、一時的な状態に基づいてユーザがその中からプロキシ サーバを選択できるようにすることが必要になる場合があります。.pac ファイルを使用すると、管理者は数多くのプロキシからどのプロキシを社内のすべてのクライアント コンピュータに使用するかを決定する単一のスクリプト ファイルを作成できます。
• ロード バランシングのためリストからプロキシをランダムに選択します。
• サーバのメンテナンス スケジュールに対応するために、時刻または曜日別にプロキシを交代で使用します。
• プライマリ プロキシで障害が発生した場合に備えて、使用するバックアップ プロキシ サーバを指定します。
• ローカル サブネットを元に、ローミング ユーザ用に最も近いプロキシを指定します。
テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。次に、 msie-proxy method コマンドに use-pac-url を指定すると、ブラウザは .pac ファイルを使用してプロキシ設定を判別します。
例
次に、FirstGroup というグループ ポリシーのプロキシ設定を www.mycompanyserver.com という URL から取得するように、ブラウザを設定する例を示します。
次に、FirstGroup というグループ ポリシーのプロキシ自動コンフィギュレーション機能をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
クライアント PC に対して、Microsoft Internet Explorer のブラウザ プロキシ サーバおよびポートを設定します。 |
|
msie-proxy server
クライアント PC 用に Microsoft Internet Explorer のブラウザ プロキシ サーバおよびポートを設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy server {value server [ :port ] | none}
構文の説明
IP アドレスまたは MSIE サーバの名前、およびこのクライアント PC に適用されるポートを指定します。ポート番号は任意です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。
例
次に、Microsoft Internet Explorer プロキシ サーバとして IP アドレス 192.168.10.1 を設定し、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象にする例を示します。
関連コマンド
|
|
|
|---|---|
mtu
インターフェイスの最大伝送単位を指定するには、グローバル コンフィギュレーション モードで mtu コマンドを使用します。イーサネット インターフェイスの MTU ブロック サイズを 1500 にリセットするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
mtu コマンドを使用すると、接続で送信されるデータ サイズを設定できます。MTU 値よりも大きいデータは、送信前にフラグメント化されます。
セキュリティ アプライアンスは、IP パス MTU ディスカバリを(RFC 1191 での規定に従って)サポートします。これにより、ホストはパスに沿ったさまざまなリンクで許容される最大 MTU サイズをダイナミックに検出し、各サイズの差に対処できます。パケットがインターフェイスに対して設定されている MTU よりも大きくなっているものの、「Don't Fragment」(DF)ビットが設定されているために、セキュリティ アプライアンスがデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、メッセージを送信ホストに送信して、問題を警告します。送信ホストは、パスに沿ったすべてのリンクのうち最小のパケット サイズに適合するように、宛先へのパケットをフラグメント化する必要があります。
イーサネット インターフェイスのブロックのデフォルトの MTU は 1500 バイトです(最大値でもあります)。ほとんどのアプリケーションではこの値で十分ですが、ネットワーク状況によってはこれよりも小さい値にすることもできます。
Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)を使用するときは、L2TP ヘッダーと IPSec ヘッダーの長さを踏まえて MTU サイズを 1380 に設定することを推奨します。
例
関連コマンド
|
|
|
|---|---|
multicast boundary
管理用スコープのマルチキャスト アドレスのマルチキャスト境界を設定するには、インターフェイス コンフィギュレーション モードで multicast boundary コマンドを使用します。境界を削除するには、このコマンドの no 形式を使用します。マルチキャスト境界により、マルチキャスト データ パケット フローが制限され、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できるようになります。
multicast boundary acl [ filter-autorp ]
no multicast boundary acl [ filter-autorp ]
構文の説明
アクセス リストの名前または番号を指定します。アクセス リストには、境界の影響を受けるアドレスの範囲を定義します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。 |
|
境界 ACL によって拒否された Auto-RP メッセージをフィルタリングします。指定されていない場合、すべての Auto-RP メッセージが通過します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 acl 引数によって定義されている範囲でマルチキャスト グループ アドレスをフィルタリングするようにインターフェイスに管理用スコープの境界を設定するために使用されます。影響を受けるアドレス範囲は、標準アクセス リストによって定義されます。このコマンドが設定されている場合、マルチキャスト データ パケットはいずれの方向であっても境界を通過できません。マルチキャスト データ パケット フローを制限すると、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できます。
filter-autorp キーワードを設定した場合、管理用スコープの境界は Auto-RP 検出メッセージおよびアナウンス メッセージを調べ、境界 ACL によって拒否される Auto-RP パケットから Auto-RP グループ範囲アナウンスメントを削除します。Auto-RP グループ範囲通知は、Auto-RP グループ範囲のすべてのアドレスが境界 ACL によって許可される場合に限り境界を通過できます。許可されないアドレスがある場合は、グループ範囲全体がフィルタリングされ、Auto-RP メッセージが転送される前に Auto-RP メッセージから削除されます。
例
次に、すべての管理用スコープのアドレスの境界を設定し、Auto-RP メッセージをフィルタリングする例を示します。
関連コマンド
|
|
|
|---|---|
multicast-routing
セキュリティ アプライアンスの IP マルチキャスト ルーティングをイネーブルにするには、グローバル コンフィギュレーション モードで multicast routing コマンドを使用します。IP マルチキャスト ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
multicast-routing コマンドは、デフォルトですべてのインターフェイスで PIM および IGMP をイネーブルにします。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
multicast-routing コマンドは、すべてのインターフェイスで PIM および IGMP をイネーブルにします。
(注) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。
セキュリティ アプライアンスが PIM RP である場合は、セキュリティ アプライアンスの未変換の外部アドレスを RP アドレスとして使用します。
マルチキャスト ルーティング テーブルのエントリの数は、システムに搭載されているメモリの量によって制限されます。 表 20-3 に、セキュリティ アプライアンス上のメモリの量に基づく特定のマルチキャスト テーブルのエントリの最大数を示します。この上限に達すると、新しいエントリは廃棄されます。
|
|
|
|
|
|---|---|---|---|
|
|
|||
|
|
|||
|
|
例
次に、セキュリティ アプライアンスで IP マルチキャスト ルーティングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック