- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: tcp-map コマンド~ type echo コマンド
- tcp-map
- tcp-options
- telnet
- terminal
- terminal pager
- terminal width
- test aaa-server
- test dynamic-access-policy attributes
- test dynamic-access-policy execute
- test regex
- test sso-server
- text-color
- tftp-server
- tftp-server address
- threat-detection basic-threat
- threat-detection rate
- threat-detection scanning-threat
- threat-detection statistics
- threshold
- timeout
- timeout(AAA サーバ ホスト)
- timeout(dns サーバ グループ コンフィギュレーション モード)
- timeout(gtp マップ)
- timeout(RADIUS アカウンティング)
- timeout(sla モニタ)
- timeout pinhole
- time-range
- timeout secure-phones
- timers lsa-group-pacing
- timers spf
- title
- tls-proxy
- tos
- traceroute
- track rtr
- traffic-non-sip
- transfer-encoding
- trust-point
- trustpoint(SSO サーバ)
- tsig enforced
- ttl-evasion-protection
- tunnel-group
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
- tunnel-group ppp-attributes
- tunnel-group webvpn-attributes
- tunnel-group-map default-group
- tunnel-group-map enable
- tunnel-limit
- tx-ring-limit
- type echo
tcp-map コマンド~ type echo コマンド
tcp-map
一連の TCP 正規化アクションを定義するには、グローバル コンフィギュレーション モードで tcp-map コマンドを使用します。TCP 正規化機能によって、異常なパケットを識別する基準を指定できます。セキュリティ アプライアンスは、異常なパケットが検出されるとそれらをドロップします。TCP マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能は モジュラ ポリシー フレームワーク を使用します。最初に、 tcp-map コマンドを使用して実行する TCP 正規化アクションを定義します。 tcp-map コマンドによって、tcp マップ コンフィギュレーション モードが開始されます。このモードで、1 つ以上のコマンドを入力して、TCP 正規化アクションを定義できます。その後、 class-map コマンドを使用して、TCP マップを適用するトラフィックを定義します。 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection advanced-options コマンドを入力して TCP マップを参照します。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。
次のコマンドは、tcp マップ コンフィギュレーション モードで使用可能です。
TCP 接続のキューに入れることができる順序が不正なパケットの最大数を設定します。このコマンドは、ASA 5500 シリーズセキュリティ アプライアンスでのみ使用可能です。PIX 500 シリーズセキュリティ アプライアンスではキュー制限は 3 で、この値は変更できません。 |
|
selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。 |
|
例
たとえば、既知の FTP データ ポートと Telnet ポートの間の TCP ポート範囲に送信されるすべてのトラフィックで緊急フラグと緊急オフセット パケットを許可するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。 |
tcp-options
セキュリティ アプライアンスを通じて TCP オプションを許可またはクリアするには、tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
tcp-options { selective-ack | timestamp | window-scale } { allow | clear }
no tcp-options { selective-ack | timestamp | window-scale } { allow | clear }
tcp-options range lower upper { allow | clear | drop }
no tcp-options range lower upper { allow | clear | drop }
構文の説明
タイムスタンプ オプションを設定します。タイムスタンプ オプションをクリアすると、PAWS と RTT がディセーブルになります。デフォルトでは、タイムスタンプ オプションを許可します。 |
|
ウィンドウ スケール メカニズム オプションを設定します。デフォルトでは、ウィンドウ スケール メカニズム オプションを許可します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。selective-acknowledgement、window-scale、および timestamp TCP オプションをクリアするには、tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用します。明確に定義されていないオプションを持つパケットをクリアまたはドロップすることもできます。
例
次に、6 ~ 7 および 9 ~ 255 の範囲内の TCP オプションを持つすべてのパケットをドロップする例を示します。
関連コマンド
|
|
|
|---|---|
telnet
コンソールへの Telnet アクセスを追加し、アイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで telnet コマンドを使用します。以前に設定した IP アドレスから Telnet アクセスを削除するには、このコマンドの no
形式を使用します。
telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number }}
no telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number } }
構文の説明
セキュリティ アプライアンスによって閉じられるまで、Telnet セッションのアイドル状態が保持される分数。有効な値は、1 ~ 1440 分です。 |
デフォルト
デフォルトでは、Telnet セッションは、アイドル状態のまま 5 分経過するとセキュリティ アプライアンスによって閉じられます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
telnet コマンドを使用すると、どのホストが Telnet を使用してセキュリティ アプライアンス コンソールにアクセスできるかを指定できます。すべてのインターフェイスでセキュリティ アプライアンスへの Telnet をイネーブルにすることができます。ただし、セキュリティ アプライアンスは、すべての Telnet トラフィックを IPSec で保護された外部インターフェイスへ強制的に転送します。外部インターフェイスへの Telnet セッションをイネーブルにするには、セキュリティ アプライアンスによって生成された IP トラフィックを外部インターフェイスの IPSec に含めるように設定し、外部インターフェイスの Telnet をイネーブルにします。
以前に設定した IP アドレスから Telnet アクセスを削除するには、 no telnet コマンドを使用します。telnet timeout コマンドを使用して、コンソール Telnet セッションが、セキュリティ アプライアンスによってログオフされるまでアイドル状態を継続できる最長時間を設定できます。no telnet コマンドは telnet timeout コマンドと一緒には使用できません。
IP アドレスを入力する場合は、ネットマスクも入力する必要があります。デフォルトのネットマスクはありません。内部ネットワークのサブネットワーク マスクは使用しないでください。netmask は IP アドレスのビット マスクのみです。単一の IP アドレスへのアクセスを制限するには、各オクテットで 255 を使用します。たとえば、255.255.255.255 です。
IPSec が動作している場合は、セキュアでないインターフェイス名(通常、これは外部インターフェイス)を指定できます。少なくとも、crypto map コマンドを設定して、telnet コマンドで使用するインターフェイス名を指定します。
passwd コマンドを使用して、コンソールへの Telnet アクセスのパスワードを設定できます。デフォルトは cisco です。who コマンドを使用して、現在、セキュリティ アプライアンス コンソールにアクセス中の IP アドレスを表示できます。kill コマンドを使用すると、アクティブ Telnet コンソール セッションを終了できます。
console キーワードを指定して aaa コマンドを使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。
(注) セキュリティ アプライアンス Telnet コンソール アクセスの認証を要求するための aaa コマンドが設定されているときに、コンソール ログイン要求がタイムアウトした場合は、enable password コマンドで設定したセキュリティ アプライアンスのユーザ名とパスワードを入力することで、シリアル コンソールからセキュリティ アプライアンスへアクセスできるようになります。
例
次に、ホスト 192.168.1.3 と 192.168.1.4 に Telnet を介したセキュリティ アプライアンス コンソールへのアクセスを許可する例を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストにアクセス権が付与されています。
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
次に、Telnet コンソール ログイン セッションの例を示します(パスワードは、入力時に表示されません)。
no telnet コマンドを使用して個々のエントリを、また、 clear configure telnet コマンドを使用してすべての telnet コマンド ステートメントを削除できます。
関連コマンド
|
|
|
|---|---|
terminal
現在の Telnet セッションでシステム ログ メッセージの表示を許可するには、特権 EXEC モードで terminal monitor コマンドを使用します。システム ログ メッセージをディセーブルにするには、 terminal no monitor コマンドを使用します。
terminal { monitor | no monitor }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、システム ログ メッセージを表示し、現在のセッションでシステム ログ メッセージをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
Telnet セッションで「 |
|
Telnet セッションで「 |
|
terminal pager
Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの 1 ページあたりの行数を設定するには、特権 EXEC モードで terminal pager コマンドを使用します。
構文の説明
「 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、現在の Telnet セッションのみを対象に、pager line 設定を変更します。新しいデフォルトの pager 設定をコンフィギュレーションに保存するには、 pager コマンドを使用します。
管理コンテキストに対して Telnet 接続し、他のコンテキストに変更した場合、そのコンテキストの pager コマンドで別の設定が使用される場合でも、pager line 設定はセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。
例
関連コマンド
|
|
|
|---|---|
Telnet セッションで「 |
|
terminal width
コンソール セッションで情報を表示する幅を設定するには、グローバル コンフィギュレーション モードで terminal width コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
test aaa-server
セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには、特権 EXEC モードで test aaa-server コマンドを使用します。セキュリティ アプライアンス上の不正なコンフィギュレーションが原因で AAA サーバに到達できない場合があります。また、限定されたネットワーク コンフィギュレーションやサーバのダウンタイムなどの他の理由で AAA サーバに到達できないこともあります。
test aaa-server { authentication server_tag [ host ip_address ] [ username username ] [ password password ] | authorization server_tag [ host ip_address ] [ username username ]}
構文の説明
AAA サーバの設定をテストするために使用するアカウントのユーザ名を指定します。ユーザ名が AAA サーバに存在することを確認してください。存在しないと、テストは失敗します。コマンドでユーザ名を指定しないと、入力を求めるプロンプトが表示されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
test aaa-server コマンドでは、セキュリティ アプライアンスが特定の AAA サーバを使用してユーザを認証できることと、ユーザを認可できる場合は、レガシー VPN 認可機能を確認できます。このコマンドを使用すると、認証または認可を試みる実際のユーザを持たない AAA サーバをテストできます。また、AAA 障害の原因が、AAA サーバ パラメータの設定ミス、AAA サーバへの接続問題、またはセキュリティ アプライアンス上のその他のコンフィギュレーション エラーのいずれによるものかを特定するうえで役立ちます。
例
次に、ホスト 192.168.3.4 に srvgrp1 という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、さらに認証ポートを 1650 に設定する例を示します。AAA サーバ パラメータのセットアップの後の test aaa-server コマンドによって、認証テストがサーバに到達できなかったことが示されます。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)# test aaa-server authentication svrgrp1
Server IP Address or name: 192.168.3.4
Username: bogus
Password: mypassword
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
次に、正常な結果となった test aaa-server コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
test dynamic-access-policy attributes
dap 属性モードを入力するには、特権 EXEC モードから
test dynamic-access-policy attributes コマンドを入力します。これにより、ユーザ属性とエンドポイント属性の値ペアを指定できます。
dynamic-access-policy attributes
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常、セキュリティ アプライアンスは AAA サーバからユーザ認可属性を取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント属性を取得します。test コマンドの場合、ユーザ認可属性とエンドポイント属性をこの属性モードで指定します。セキュリティ アプライアンスは、これらの属性を、DAP サブシステムが DAP レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに参照する属性データベースに書き込みます。
例
hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)#
関連コマンド
|
|
|
|---|---|
test dynamic-access-policy execute
test regex
正規表現をテストするには、特権 EXEC モードで test regex コマンドを使用します。
test regex input_text regular_expression
構文の説明
最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては、 regex コマンドを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
test regex コマンドは、正規表現が一致すべきものと一致するかどうかをテストします。
正規表現が入力テキストと一致する場合は、次のメッセージが表示されます。
正規表現が入力テキストと一致しない場合は、次のメッセージが表示されます。
例
次に、正規表現に対して入力テキストをテストする例を示します。
関連コマンド
|
|
|
|---|---|
test sso-server
テスト用の認証要求で SSO サーバをテストするには、特権 EXEC モードで test sso-server コマンドを使用します。
test sso-server server-name username user-name
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 test sso-server コマンドは、SSO サーバが認識されるかどうか、さらに、認証要求に応答しているかどうかをテストします。
server-name 引数で指定された SSO サーバが見つからない場合は、次のエラーが表示されます。
ERROR: sso-server server-name does not exist
SSO サーバが見つかったが、 user-name 引数で指定されたユーザが見つからない場合は、認証は拒否されます。
認証では、セキュリティ アプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します。セキュリティ アプライアンスは現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。このコマンドは SSO サーバの両タイプに適用されます。
例
次に、特権 EXEC モードを開始し、ユーザ名 Anyuser を使用して SSO サーバ my-sso-server をテストし、正常な結果を得た例を示します。
次に、同じサーバだが、ユーザ Anotheruser でテストし、認識されず、認証が失敗した例を示します。
関連コマンド
|
|
|
|---|---|
text-color
ログイン ページ、ホームページ、およびファイル アクセス ページの WebVPN タイトルバーのテキストに色を設定するには、webvpn モードで text-color コマンドを使用します。テキストの色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。
text-color [ black | white | auto ]
構文の説明
secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番めの色が黒の場合、この値は白となります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、タイトルバーのテキストの色を黒に設定する例を示します。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
tftp-server
configure net コマンドまたは write net コマンドで使用するデフォルトの TFTP サーバとパスおよびファイル名を指定するには、グローバル コンフィギュレーション モードで tftp-server コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。
tftp-server interface_name server filename
no tftp-server [ interface_name server filename ]
構文の説明
ゲートウェイ インターフェイス名を指定します。最高のセキュリティ インターフェイス以外のインターフェイスを指定した場合は、そのインターフェイスがセキュアではないことを示す警告メッセージが表示されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が容易になります。 configure net コマンドまたは write net コマンドを入力するときに、 tftp-server コマンドで指定した TFTP サーバを継承するか、または独自の値を指定できます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。
例
次の例では、TFTP サーバを指定し、コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します。
関連コマンド
|
|
|
|---|---|
tftp-server address
クラスタ内の TFTP サーバを指定するには、電話プロキシ コンフィギュレーション モードで tftp-server address コマンドを使用します。電話プロキシ コンフィギュレーションから TFTP サーバを削除するには、このコマンドの no 形式を使用します。
tftp-server address ip_address [ port ] interface interface
no tftp-server address ip_address [ port ] interface interface
構文の説明
(任意)これは、TFTP サーバが TFTP 要求をリッスンするポートです。デフォルトの TFTP ポート 69 でない場合に、設定する必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
電話プロキシには、少なくとも 1 つの CUCM TFTP サーバを設定する必要があります。電話プロキシに対して TFTP サーバを 5 つまで設定できます。
TFTP サーバは、信頼ネットワーク上のファイアウォールの背後に存在すると想定されます。そのため、電話プロキシは IP 電話と TFTP サーバの間の要求を代行受信します。TFTP サーバは、CUCM と同じインターフェイス上に存在している必要があります。
内部 IP アドレスを使用して TFTP サーバを作成し、TFTP サーバが存在するインターフェイスを指定します。
IP 電話で、TFTP サーバの IP アドレスを次のように設定する必要があります。
•
NAT が TFTP サーバ用に設定されている場合は、TFTP サーバのグローバル IP アドレスを使用します。
• NAT が TFTP サーバ用に設定されていない場合は、TFTP サーバの内部 IP アドレスを使用します。
サービス ポリシーがグローバルに適用されている場合は、TFTP サーバが存在するインターフェイスを除くすべての入力インターフェイスで、TFTP トラフィックを転送し TFTP サーバに到達させるための分類ルールが作成されます。サービス ポリシーが特定のインターフェイスに適用されている場合は、指定された電話プロキシ モジュールへのインターフェイスで、TFTP トラフィックを転送し TFTP サーバに到達させるための分類ルールが作成されます。
NAT ルールを TFTP サーバに設定する場合は、分類ルールのインストール時に TFTP サーバのグローバル アドレスが使用されるように、サービス ポリシーを適用する前に、NAT ルールを設定する必要があります。
例
次に、 tftp-server address コマンドを使用して、電話プロキシに対応する 2 つの TFTP サーバを設定する例を示します。
hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside
hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside
hostname(config-phone-proxy)# media-termination address 192.168.1.4
hostname(config-phone-proxy)# tls-proxy asa_tlsp
hostname(config-phone-proxy)# ctl-file asactl
hostname(config-phone-proxy)# cluster-mode nonsecure
関連コマンド
|
|
|
|---|---|
threat-detection basic-threat
基本的な脅威の検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection basic-threat コマンドを使用します。基本的な脅威の検出をディセーブルにするには、このコマンドの no 形式を使用します。
no threat-detection basic-threat
構文の説明
デフォルト
基本脅威検出は、デフォルトでイネーブルになっています。次のデフォルトのレート制限が使用されます。
|
|
|
|
|---|---|---|
|
|
|
|
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
基本的な脅威の検出をイネーブルにすると、セキュリティ アプライアンスは、次の理由によるドロップ パケットとセキュリティ イベントのレートをモニタします。
• 不正なパケット形式(invalid-ip-header や invalid-tcp-hdr-length など)
• 接続制限の超過(システム全体のリソース制限とコンフィギュレーションで設定されている制限の両方)
• DoS 攻撃の検出(無効な SPI、ステートフル ファイアウォール検査の不合格など)
• 基本ファイアウォール検査の不合格(このオプションは、ここに列挙されているファイアウォール関連のパケット ドロップすべてを含む総合レートです。インターフェイスの過負荷、アプリケーション インスペクションで不合格のパケット、スキャン攻撃の検出など、ファイアウォールに関連しないパケット ドロップは含まれていません)
• 検出されたスキャン攻撃(このオプションでは、スキャン攻撃をモニタします。たとえば、最初の TCP パケットが SYN パケットでないことや、TCP 接続で 3 ウェイ ハンドシェイクに失敗することなどです。完全なスキャンによる脅威の検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レート情報を使用し、ホストを攻撃者として分類してそれらのホストを自動的に回避するなどして対処します)。
• 不完全セッションの検出(TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出など)
セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。
基本脅威検出は、ドロップや潜在的な脅威があった場合に限りパフォーマンスに影響を与えます。この状況でも、パフォーマンスへの影響は大きくありません。
「デフォルト」の項の 表 32-1 に、デフォルト設定を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。 threat-detection rate コマンドを使用して、各イベント タイプのデフォルト設定を上書きできます。
イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。セキュリティ アプライアンスは、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。バースト イベント レートは、平均レート間隔の 60 分の 1 または 10 秒のうち、どちらか大きい方の値です。受信するイベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。
例
次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。
関連コマンド
|
|
|
|---|---|
threat-detection rate
threat-detection basic-threat コマンドを使用して基本的な脅威の検出をイネーブルにする場合は、グローバル コンフィギュレーション モードで threat-detection rate コマンドを使用して、各イベント タイプのデフォルトのレート制限を変更できます。 threat-detection scanning-threat コマンドを使用してスキャンによる脅威の検出をイネーブルにする場合は、このコマンドに scanning-threat キーワードを指定して、ホストを攻撃者またはターゲットと見なすタイミングを設定できます。設定しない場合は、基本的な脅威の検出とスキャンによる脅威の検出の両方で、デフォルトの scanning-threat 値が使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate
no threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate
構文の説明
デフォルト
threat-detection basic-threat コマンドを使用して基本的な脅威の検出をイネーブルにした場合は、次のデフォルトのレート制限が使用されます。
|
|
|
|
|---|---|---|
|
|
|
|
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
イベント タイプごとに、異なるレート間隔を 3 つまで設定できます。
基本的な脅威の検出をイネーブルにした場合、セキュリティ アプライアンスは、「構文の説明」の表で説明したイベント タイプによるドロップ パケットとセキュリティ イベントのレートをモニタします。
セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。
基本脅威検出は、ドロップや潜在的な脅威があった場合に限りパフォーマンスに影響を与えます。この状況でも、パフォーマンスへの影響は大きくありません。
「デフォルト」の項の 表 32-1 に、デフォルト設定を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。
イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。セキュリティ アプライアンスは、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。受信するイベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。
例
次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。
関連コマンド
|
|
|
|---|---|
threat-detection scanning-threat
スキャンによる脅威の検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection scanning-threat コマンドを使用します。スキャンによる脅威の検出をディセーブルにするには、このコマンドの no 形式を使用します。
threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]
no threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]
構文の説明
デフォルト
スキャン攻撃イベントでは、次のデフォルトのレート制限が使用されます。
|
|
|
|---|---|
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、セキュリティ アプライアンス のスキャンによる脅威の検出機能では、広範なデータベースが保持され、これに含まれるホスト統計情報をスキャン アクティビティに関する分析に使用できます。
ホスト データベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP 動作(非ランダム IPID など)、およびその他の多くの動作が含まれます。
攻撃者に関するシステム ログ メッセージを送信するように セキュリティ アプライアンス を設定したり、自動的にホストを排除したりできます。デフォルトでは、ホストが攻撃者であると識別されると、システム ログ メッセージ 733101 が生成されます。
セキュリティ アプライアンスは、スキャンによる脅威イベント レートを超過した時点で、攻撃者とターゲットを識別します。セキュリティ アプライアンスは、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。スキャン攻撃の一部と見なされるイベントが検出されるたびに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。ホストから送信されるトラフィックがどちらかのレートを超えると、そのホストは攻撃者と見なされます。ホストが受信したトラフィックがどちらかのレートを超えると、そのホストはターゲットと見なされます。スキャンによる脅威イベントのレート制限は threat-detection rate scanning-threat コマンドを使用して変更できます。
攻撃者またはターゲットとして分類されたホストを表示するには、 show threat-detection scanning-threat コマンドを使用します。
回避対象のホストを表示するには、 show threat-detection shun コマンドを使用します。排除対象からホストを除外するには、 clear threat-detection shun コマンドを使用します。
例
次に、スキャンによる脅威の検出をイネーブルにし、10.1.1.0 ネットワーク上のホストを除き、攻撃者として分類されたホストを自動的に回避する例を示します。スキャンによる脅威の検出のデフォルトのレート制限は変更することもできます。
関連コマンド
|
|
|
|---|---|
threat-detection statistics
スキャンによる脅威の検出の統計情報をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection statistics コマンドを使用します。スキャンによる脅威の検出の統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
threat-detection statistics [ access-list | host | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]
no threat-detection statistics [ access-list | host | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]
構文の説明
デフォルト
デフォルトでは、アクセス リスト統計情報はイネーブルです。このコマンドにオプションを指定しなかった場合は、すべてのオプションがイネーブルになります。
デフォルトの tcp-intercept rate-interval は 30 分です。デフォルトの burst-rate は 1 秒あたり 400 です。デフォルトの average-rate は 1 秒あたり 200 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
統計情報を表示するには、 show threat-detection statistics コマンドを使用します。
threat-detection scanning-threat コマンドを使用して、スキャンによる脅威の検出をイネーブルにする必要はありません。検出と統計情報は個別に設定できます。
例
次に、ホストを除くすべてのタイプのスキャンによる脅威の検出とスキャン脅威統計情報の例を示します。
関連コマンド
|
|
|
|---|---|
threshold
SLA モニタリング動作のしきい値超過イベントのしきい値を設定するには、SLA モニタ コンフィギュレーション モードで threshold コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
宣言する上昇しきい値をミリ秒で指定します。有効な値は、0 ~ 2147483647 です。この値は、タイムアウトに設定された値以下にする必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
しきい値は、しきい値超過イベントを示すためにだけ使用されます。到達可能性には影響しませんが、 timeout コマンドの適切な設定を評価するために使用できます。
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
関連コマンド
|
|
|
|---|---|
timeout
さまざまな機能に対応するグローバルな最大アイドル時間を設定するには、グローバル コンフィギュレーション モードで timeout コマンドを使用します。すべてのタイムアウトをデフォルトに戻すには、このコマンドの no 形式を使用します。単一の機能をデフォルトにリセットするには、 timeout コマンドにデフォルト値を指定して再度入力します。
timeout { xlate | conn | udp | icmp | rpc | h225 | h323 | mgcp | mgcp-pat | sip | sip-disconnect | sip-invite | sip_media | sip-provisional-media | tcp-proxy-reassembly } hh : mm : ss
timeout uauth hh : mm : ss [ absolute | inactivity ]
構文の説明
デフォルト
• conn hh : mm : ss は 1 時間( 1:0:0 )です。
• h225 hh : mm : ss は 1 時間( 1:0:0 )です。
• h323 hh : mm : ss は 5 分( 0:5:0 )です。
• half-closed hh : mm : ss は 10 分( 0:10:0 )です。
• icmp hh:mm:ss は 2 秒( 0:0:2 )です。
• mgcp hh:mm:ss は 5 分( 0:5:0 )です 。
• mgcp-pat hh:mm:ss は 5 分( 0:5:0 )です 。
• rpc hh : mm : ss は 5 分( 0:5:0 )です。
• sip hh:mm: は 30 分( 0:30:0 )です。
• sip-disconnect hh:mm:ss は 2 分( 0:2:0 )です。
• sip-invite hh:mm:ss は 3 分( 0:3:0 )です。
• sip_media hh:mm:ss は 2 分( 0:2:0 )です。
• sip-provisional-media hh:mm:ss は 2 分( 0:2:0 )です。
• sunrpc hh:mm:ss は、10 分( 0:10:0 )です。
• tcp-proxy-reassembly hh:mm:ss は 1 分( 0:1:0 )です。
• uauth hh:mm:ss は 5 分( 00:5:00 ) 絶対時間 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
timeout コマンドを使用すると、グローバルにタイムアウトを設定できます。一部の機能では、コマンドで指定されたトラフィックに対し、 set connection timeout コマンドが優先されます。
timeout コマンドの後に、キーワードと値を複数入力できます。
接続タイマー( conn )は変換タイマー( xlate )より優先されます。変換タイマーは、すべての接続がタイムアウトになった後にのみ動作します。
例
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
関連コマンド
|
|
|
|---|---|
timeout(AAA サーバ ホスト)
AAA サーバとの接続確立を中断するまでに許容される、ホスト固有の最大応答時間を秒単位で設定するには、aaa サーバ ホスト モードで timeout コマンドを使用します。タイムアウト値を削除し、タイムアウトをデフォルト値の 10 秒にリセットするには、このコマンドの no 形式を使用します。
構文の説明
要求のタイムアウト間隔(1 ~ 60 秒)を指定します。この時間を超えると、セキュリティ アプライアンスはプライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドはすべての AAA サーバ プロトコル タイプで有効です。
セキュリティ アプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。 retry-interval コマンドを使用して、セキュリティ アプライアンスが各接続試行の間で待機する時間を指定できます。
タイムアウトは、セキュリティ アプライアンスがサーバとのトランザクションの完了を試みて費やす時間の合計です。再試行間隔は、タイムアウト期間中に通信を再試行する頻度を決定します。そのため、再試行間隔をタイムアウト値以上にすると、再試行は行われません。再試行が実行されるようにするには、再試行間隔をタイムアウト値より小さくする必要があります。
例
次に、ホスト 1.2.3.4 の RADIUS AAA サーバ「svrgrp1」が 30 秒のタイムアウト値と 10 秒の再試行間隔を使用するように設定する例を示します。セキュリティ アプライアンスは、30 秒後に通信試行を中断するまでに 3 回試行を繰り返します。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 30
hostname(config-aaa-server-host)# retry-interval 10
hostname(config-aaa-server-host)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
timeout(dns サーバ グループ コンフィギュレーション モード)
次の DNS サーバを試行するまでの待機時間の合計を指定するには、dns サーバ グループ コンフィギュレーション モードで timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。
構文の説明
タイムアウトを 1 ~ 30 の範囲で指定します(秒単位)。デフォルトは 2 秒です。セキュリティ アプライアンスがサーバのリストを再試行するたびに、このタイムアウトは倍増します。dns サーバ グループ コンフィギュレーション モードで retries コマンドを使用して、再試行回数を設定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、DNS サーバ グループ「dnsgroup1」のタイムアウトを 1 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザが作成した DNS サーバ グループをすべて削除し、デフォルト サーバ グループの属性をデフォルト値にリセットします。 |
|
timeout(gtp マップ)
GTP セッションの非アクティブ タイマーを変更するには、 gtp-map コマンドを使用してアクセスする GTP マップ コンフィギュレーション モードで timeout コマンドを使用します。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss
no timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss
構文の説明
これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パケット データ プロトコル(PDP)コンテキストは、IMSI と NSAPI との組み合わせである Tunnel Identifier(TID; トンネル ID)によって識別されます。各 MS は最大 15 の NSAPI を保持できるため、多様な QoS レベルのアプリケーション要件に基づいて、それぞれ異なる NSAPI を持つ PDP コンテキストを複数作成できます。
GTP トンネルは、異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され、1 つのトンネル ID によって識別されます。GTP トンネルは、外部パケット データ ネットワークとモバイル ステーション ユーザの間でパケットを転送するために必要です。
例
次に、要求キューのタイムアウト値を 2 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
timeout(RADIUS アカウンティング)
RADIUS アカウンティング ユーザの非アクティブ タイマーを変更するには、 inspect radius-accounting コマンドを使用してアクセスする radius アカウンティング パラメータ コンフィギュレーション モードで timeout コマンドを使用します。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
構文の説明
これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。デフォルトは 1 時間です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ユーザのタイムアウト値を 10 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
timeout(sla モニタ)
SLA 動作が要求パケットへの応答を待機する時間を設定するには、SLA モニタ プロトコル コンフィギュレーション モードで、 timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
frequency コマンドを使用して、SLA 動作が要求パケットを送信する頻度を設定し、 timeout コマンドを使用して、SLA 動作がそれらの要求への応答の受信を待機する時間を設定できます。 timeout コマンドには、 frequency コマンドに指定する値より大きい値は指定できません。
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
関連コマンド
|
|
|
|---|---|
timeout pinhole
DCERPC ピンホールのタイムアウトを設定し、2 分のグローバル システム ピンホール タイムアウトを上書きするには、パラメータ コンフィギュレーション モードで timeout pinhole コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、DCERPC インスペクション ポリシー マップでピンホール接続のピンホール タイムアウトを設定する例を示します。
関連コマンド
|
|
|
|---|---|
time-range
時間範囲コンフィギュレーション モードを開始し、トラフィック ルールにアタッチできる時間範囲、またはアクションを定義するには、グローバル コンフィギュレーション モードで time-range コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間範囲を作成してもデバイスへのアクセスは制限されません。 time-range コマンドは時間範囲のみを定義します。時間範囲を定義した後、それをトラフィック ルールまたはアクションにアタッチできます。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。
時間範囲はセキュリティ アプライアンスのシステム クロックに依存しています。ただし、この機能は、NTP 同期化により最適に動作します。
例
次に、時間範囲「New_York_Minute」を作成し、時間範囲コンフィギュレーション モードを開始する例を示します。
時間範囲を作成し、時間範囲コンフィギュレーション モードを開始した後、 absolute コマンドと periodic コマンドを使用して時間範囲パラメータを定義できます。 time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻すには、時間範囲コンフィギュレーション モードで default コマンドを使用します。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended コマンドを使用して、時間範囲を ACL にバインドします。次に、ACL「Sales」を時間範囲「New_York_Minute」にバインドする例を示します。
関連コマンド
|
|
|
|---|---|
time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。 |
|
timeout secure-phones
電話プロキシ データベースからセキュア フォン エントリを削除するまでのアイドル タイムアウトを設定するには、電話プロキシ コンフィギュレーション モードで timeout secure-phones コマンドを使用します。タイムアウト値をデフォルトの 5 分に戻すには、このコマンドの no 形式を使用します。
timeout secure-phones hh:mm:ss
no timeout secure-phones hh:mm:ss
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュア フォンによって起動時に必ず CTL ファイルが要求されるため、電話プロキシは、電話をセキュアとしてマークするデータベースを作成します。セキュア フォン データベースのエントリは、設定された指定タイムアウト後に( timeout secure-phones コマンドを介して)削除されます。エントリのタイムスタンプは、電話プロキシが SIP 電話の登録更新および SCCP 電話のキープアライブを受信するたびに更新されます。
timeout secure-phones コマンドのデフォルト値は 5 分です。SCCP キープアライブおよび SIP レジスタ更新の最大タイムアウト値より大きい値を指定します。たとえば、SCCP キープアライブが 1 分間隔に指定され、SIP レジスタ更新が 3 分に設定されている場合は、このタイムアウト値には 3 分より大きい値を設定します。
例
次に、 timeout secure-phones コマンドを使用して、電話プロキシが 3 分後にセキュア フォン データベースのエントリをタイムアウトにするように設定する例を示します。
hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside
hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside
hostname(config-phone-proxy)# media-termination address 192.168.1.4
hostname(config-phone-proxy)# tls-proxy asa_tlsp
hostname(config-phone-proxy)# ctl-file asactl
関連コマンド
|
|
|
|---|---|
timers lsa-group-pacing
OSPF Link-State Advertisements(LSA; リンク ステート アドバタイズメント)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を指定するには、ルータ コンフィギュレーション モードで timers lsa-group-pacing コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers lsa-group-pacing seconds
no timers lsa-group-pacing [ seconds ]
構文の説明
OSPF Link-State Advertisements(LSA; リンク ステート アドバタイズメント)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔。有効な値は、10 ~ 1800 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF Link-State Advertisements(LSA; リンク ステート アドバタイズメント)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を変更するには timers lsa-group-pacing seconds コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing コマンドを使用します。
例
次に、LSA のグループ処理間隔を 500 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
timers spf
Shortest Path First(SPF; 最短パス優先)計算遅延とホールド タイムを指定するには、ルータ コンフィギュレーション モードで timers spf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no timers spf [ delay holdtime ]
構文の説明
OSPF がトポロジ変更を受信してから Shortest Path First(SPF; 最短パス優先)計算を開始するまでの遅延時間を 1 ~ 65535 の範囲(秒単位)で指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF プロトコルがトポロジ変更を受信してから計算を開始するまでの遅延時間と、2 つの連続する SPF 計算の間のホールド タイムを設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。
例
次に、SPF 計算遅延を 10 秒に設定し、SPF 計算ホールド タイムを 20 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
OSPF Link-State Advertisements(LSA; リンク ステート アドバタイズメント)を収集し、更新、チェックサム、または期限切れにする間隔を指定します。 |
title
WebVPN ユーザがセキュリティ アプライアンスに接続したときに表示する WebVPN ページのタイトルをカスタマイズするには、webvpn カスタマイゼーション モードで title コマンドを使用します。
[ no ] title { text | style } value
コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのタイトルのテキストは「WebVPN Service」です。
background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
タイトルを付けない場合は、 value 引数を指定せずに title text コマンドを使用します。
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次の例では、タイトルがテキスト「Cisco WebVPN Service」でカスタマイズされています。
関連コマンド
|
|
|
Cascading Style Sheet(CSS; カスケーディング スタイル シート)パラメータを使用して WebVPN ページをカスタマイズします。 |
tls-proxy
TLS コンフィギュレーション モードで TLS プロキシ インスタンスを設定したり、最大セッション数を設定したりするには、グローバル コンフィギュレーション モードで tls-proxy コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]
no tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tls-proxy コマンドを使用して TLS プロキシ コンフィギュレーション モードを開始し、TLS プロキシ インスタンスを作成したり、プラットフォームでサポートされる最大セッション数を設定したりできます。
例
次の例では、TLS プロキシ インスタンスを作成する方法を示します。
関連コマンド
|
|
|
|---|---|
tos
SLA 動作要求パケットの IP ヘッダー内のタイプ オブ サービス バイトを定義するには、SLA モニタ プロトコル コンフィギュレーション モードで tos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このフィールドには、遅延、優先順位、信頼性などの情報が含まれます。これは、専用アクセス レートなどのポリシー ルーティングおよび機能のために、ネットワーク上の他のルータによって使用されます。
例
次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。エコー要求パケットのペイロード サイズを 48 バイトに設定し、SLA 動作中に送信されるエコー要求数を 5 に、さらにタイプ オブ サービス バイトを 80 に設定します。
関連コマンド
|
|
|
|---|---|
traceroute
パケットが宛先に到達するまでにたどるルートを調査するには、 traceroute コマンドを使用します。
traceroute destination_ip | hostname [ source source_ip | source-interface ] [ numeric ] [ timeout timeout_value ] [ probe probe_num ] [ ttl min_ttl max_ttl ] [ port port_value ] [ use-icmp ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
traceroute コマンドは送信した各プローブの結果を示します。出力の各行が 1 つの TTL 値に対応します(昇順)。次に、 traceroute コマンドによって表示される出力記号を示します。
|
|
|
|---|---|
例
次に、宛先 IP アドレスを指定した場合の traceroute 出力の例を示します。
関連コマンド
|
|
|
|---|---|
track rtr
SLA 動作の到達可能性を追跡するには、グローバル コンフィギュレーション モードで track rtr コマンドを使用します。SLA 追跡を削除するには、このコマンドの no 形式を使用します。
track track-id rtr sla-id reachabilitity
no track track-id rtr sla-id reachabilitity
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
track rtr コマンドは、トラッキング エントリ オブジェクト ID を作成し、トラッキング エントリが使用する SLA を指定します。
各 SLA 動作が、トラッキング プロセスによって解釈される動作戻りコード値を維持します。戻りコードには、OK や Over Threshold などのいくつかの戻りコードがあります。 表 32-4 は、これらの戻りコードに関連するオブジェクトの到達可能性ステートを表示します。
|
|
|
|
|---|---|---|
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。
関連コマンド
|
|
|
|---|---|
traffic-non-sip
既知の SIP シグナリング ポートを使用する非 SIP トラフィックを許可するには、パラメータ コンフィギュレーション モードで traffic-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで既知の SIP シグナリング ポートを使用する非 SIP トラフィックを許可する例を示します。
関連コマンド
|
|
|
|---|---|
transfer-encoding
転送エンコーディング タイプを指定して HTTP トラフィックを制限するには、 http-map コマンドを使用してアクセス可能な HTTP マップ コンフィギュレーション モードで、 transfer-encoding コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
no transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
構文の説明
トラフィックが設定されたリストにないサポートされる要求方式を含む場合にセキュリティ アプライアンスが実行するデフォルトのアクションを指定します。 |
|
メッセージ本文を zlib 形式(RFC 1950)とデフレート圧縮(RFC 1951)を使用して転送する転送エンコーディング タイプを識別します。 |
|
デフォルト
このコマンドは、デフォルトでディセーブルになっています。コマンドがイネーブルで、サポートされる転送エンコーディング タイプが指定されていない場合、デフォルト アクションでは、ロギングなしで接続を許可します。デフォルトのアクションを変更するには、 default キーワードを使用して、別のデフォルト アクションを指定します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
transfer-encoding コマンドがイネーブルの場合、セキュリティ アプライアンスは、サポートされ設定されている各転送エンコーディング タイプの HTTP 接続に指定されたアクションを適用します。
セキュリティ アプライアンスは、設定されたリストの転送エンコーディング タイプに一致 しない すべてのトラフィックに デフォルト のアクションを適用します。設定済みの デフォルト のアクションでは、ロギングなしで接続を 許可 します。
たとえば、設定済みのデフォルトのアクションでは、 drop と log のアクションを伴う 1 つ以上のエンコーディング タイプを指定した場合、セキュリティ アプライアンスは、設定されたエンコーディング タイプを含む接続をドロップし、各接続をロギングし、その他のサポートされるエンコーディング タイプの接続をすべて許可します。
より限定的なポリシーを設定する場合は、デフォルトのアクションを drop (または reset )と log (イベントをロギングする場合)に変更します。その後、許可されたエンコーディング タイプそれぞれに allow アクションを設定します。
適用する各設定に対して 1 回ずつ transfer-encoding コマンドを入力します。デフォルト アクションを変更するために transfer-encoding コマンドの 1 つのインスタンスを使用し、設定された転送エンコーディング タイプのリストに各エンコーディング タイプを追加するために 1 つのインスタンスを使用します。
設定されたアプリケーション タイプのリストからアプリケーション カテゴリを削除するために、このコマンドの no 形式を使用する場合は、コマンドラインのアプリケーション カテゴリ キーワードの後ろの文字は無視されます。
例
次に、特に禁止されていないすべてのサポートされるアプリケーション タイプを許可する設定済みのデフォルトを使用して、許可ポリシーを提供する例を示します。
この場合、GNU zip を使用する接続だけがドロップされ、そのイベントがロギングされます。
次に、デフォルト アクションを、接続のリセットと、特に許可されていないすべてのエンコーディング タイプのロギングに変更した、限定的なポリシーを提供する例を示します。
この場合、転送エンコーディングを使用していない接続だけが許可されます。他のサポートされるエンコーディング タイプの HTTP トラフィックを受信した場合は、セキュリティ アプライアンスは接続をリセットして syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
trust-point
IKE ピアに送信する証明書を識別するトラストポイントの名前を指定するには、トンネル グループ ipsec 属性モードで、 trust-point コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。
no trust-point trust-point-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、設定 ipsec コンフィギュレーション モードを開始し、IPSec LAN-to-LAN トンネル グループ 209.165.200.225 の IKE ピアに送信される証明書を識別するためのトラストポイントを設定する例を示します。
関連コマンド
|
|
|
|---|---|
trustpoint(SSO サーバ)
SAML POST-type SSO サーバに送信される証明書を識別するトラストポイントの名前を指定するには、config-webvpn-sso-saml モードで trustpoint コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。
このコマンドは、SAML-type の SSO サーバのみに適用されます。
トラストポイントは、特に認証パスの最初の公開キーを提供するために使用される公開キー証明書をはじめ、検証テストの必要なく有効であることを信頼できる CA 発行の証明書に基づいて、認証局 ID を表します。
例
次に、config-webvpn-sso-saml モードを開始し、SAML POST-type SSO サーバに送信される証明書を識別するトラストポイントに名前を付ける例を示します。
関連コマンド
|
|
|
|---|---|
tsig enforced
TSIG リソース レコードの存在を必須とするには、パラメータ コンフィギュレーション モードで tsig enforced コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
tsig enforced action {drop [log] | log}
no tsig enforced [action {drop [log] | log}]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、DNS インスペクション ポリシー マップ内で TSIG 強制をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ttl-evasion-protection
存続可能時間回避保護をディセーブルにするには、tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとする攻撃を阻止できます。
たとえば、攻撃者は非常に短い TTL を持ち、ポリシーに合致するパケットを送信できます。TTL がゼロになると、セキュリティ アプライアンスとエンドポイントの間のルータはパケットをドロップします。この時点で、攻撃者は TTL を長くした悪意のあるパケットを送信できます。このパケットは、セキュリティ アプライアンスにとって再送信のように見えるため、通過します。一方、エンドポイント ホストにとっては、このパケットが攻撃者によって受信された最初のパケットになります。この場合、攻撃者はセキュリティによる攻撃の防止を受けず、攻撃に成功します。この機能をイネーブルにすると、このような攻撃を阻止します。
例
次に、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローに対して TTL 回避保護をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tunnel-group
IPSec および WebVPN トンネルの接続固有のデータベースを作成し管理するには、グローバル コンフィギュレーション モードで tunnel-group コマンドを使用します。トンネル グループを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
(注) tunnel-group コマンドは、トランスペアレント ファイアウォール モードで使用可能です。このモードでは、LAN-to-LAN トンネル グループのコンフィギュレーションは設定できますが、remote-access グループまたは WebVPN グループの設定はできません。LAN-to-LAN に対応する tunnel-group コマンドはすべてトランスペアレント ファイアウォール モードで使用できます。
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスには、次のデフォルト トンネル グループがあります。
• DefaultRAGroup、デフォルトの IPSec remote-access トンネル グループ
• DefaultL2LGroup、デフォルトの IPSec LAN-to-LAN トンネル グループ
• DefaultWEBVPNGroup、デフォルトの WebVPN トンネル グループ
これらのグループは変更できますが、削除はできません。トンネル ネゴシエーションで識別された特定のトンネル グループがない場合は、セキュリティ アプライアンスは、これらのグループを使用して、リモート アクセスおよび LAN-to-LAN トンネル グループのデフォルト トンネル パラメータを設定します。
tunnel-group コマンドを入力した後、適切な後続のコマンドを入力して、特定のトンネル グループの特定の属性を設定できます。これらのコマンドはそれぞれ、トンネル グループ属性を設定するためのコンフィギュレーション モードを開始します。
• tunnel-group general-attributes
• tunnel-group ipsec-attributes
例
次に、グローバル コンフィギュレーション モードを開始する例を示します。最初に、リモート アクセス トンネル グループを設定します。グループ名は group1 です。
次に、webvpn トンネル グループ「group1」を設定する tunnel-group コマンドの例を示します。このコマンドはグローバル コンフィギュレーション モードで入力します。
関連コマンド
|
|
|
|---|---|
tunnel-group general-attributes
一般属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group general-attributes コマンドを使用します。このモードは、すべてのサポートされるトンネリング プロトコルに共通の設定値を設定するために使用されます。
すべての一般属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name general-attributes
no tunnel-group name general- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
他のトンネル グループ タイプのさまざまな属性が、一般トンネル グループ属性リストに移行され、トンネル グループ一般属性モードのプロンプトが変更されました。 |
例
次に、グローバル コンフィギュレーション モードを開始し、LAN-to-LAN ピアの IP アドレスを使用してリモート アクセス接続のリモート アクセス トンネル グループを作成し、その後、トンネル グループ一般属性を設定するための一般属性コンフィギュレーション モードを開始する例を示します。トンネル グループの名前は、209.165.200.225 です。
次に、グローバル コンフィギュレーション モードを開始し、IPSec リモート アクセス接続用のトンネル グループ「remotegrp」を作成し、その後、トンネル グループ「remotegrp」の一般属性を設定するための一般コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group ipsec-attributes
ipsec 属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group ipsec-attributes コマンドを使用します。このモードは、IPSec トンネリング プロトコルに固有の設定値を設定するために使用されます。
すべての IPSec 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name ipsec-attributes
no tunnel-group name ipsec- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
さまざまな IPSec トンネル グループ属性が一般トンネル グループ属性リストに移行され、トンネル グループ ipsec 属性モードのプロンプトが変更されました。 |
例
次に、グローバル コンフィギュレーション モードを開始し、IPSec リモート アクセス トンネル グループ remotegrp のトンネル グループを作成し、その後、IPSec グループ属性を指定する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group ppp-attributes
ppp 属性コンフィギュレーション モードを開始し、IPSec を介した L2TP 接続によって使用される PPP 設定値を設定するには、グローバル コンフィギュレーション モードで tunnel-group ppp-attributes コマンドを使用します。
すべての PPP 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name ppp-attributes
no tunnel-group name ppp- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PPP 設定値は Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)によって使用されます。L2TP は、リモート クライアントがダイヤルアップ電話サービスのパブリック IP ネットワークを使用してプライベート社内ネットワーク サーバとセキュアに通信できるようにする VPN トンネリング プロトコルです。L2TP はクライアント/サーバ モデルに基づき、PPP over UDP(ポート 1701)を使用してデータをトンネルします。tunnel-group ppp コマンドはすべて、PPPoE トンネル グループ タイプで使用できます。
例
次に、トンネル グループ telecommuters を作成し、ppp 属性コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group webvpn-attributes
webvpn 属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group webvpn-attributes コマンドを使用します。このモードでは、WebVPN トンネリングに共通の設定値を設定します。
すべての WebVPN 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name webvpn-attributes
no tunnel-group name webvpn- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、グローバル コンフィギュレーション モードを開始し、LAN-to-LAN ピアの IP アドレスを使用して WebVPN 接続用のトンネル グループを作成し、その後、WebVPN 属性を設定するための webvpn コンフィギュレーション モードを開始する例を示します。トンネル グループの名前は、209.165.200.225 です。
次に、グローバル コンフィギュレーション モードを開始し、WebVPN 接続用のトンネル グループ「remotegrp」を作成し、その後、トンネル グループ「remotegrp」の WebVPN 属性を設定するための webvpn コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group-map default-group
tunnel-group-map default-group コマンドでは、他の設定された方式を使用して名前を判別できない場合に使用するデフォルトのトンネル グループを指定します。
tunnel-group-map を削除するには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] default-group tunnel-group-name
構文の説明
構文の説明構文の説明
他の設定された方式では名前を取得できない場合に使用するデフォルトのトンネル グループを指定します。 tunnel-group name はすでに存在している必要があります。 |
|
任意。 crypto ca certificate map コマンドで指定したパラメータを参照します。有効な値は 1 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tunnel-group-map コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするときのポリシーおよびルールを設定します。 crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けるには、グローバル コンフィギュレーション モードで tunnel-group-map コマンドを使用します。各呼び出しが一意であり、マップ インデックスを 2 回以上参照しない限り、このコマンドを複数回実行できます。
crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。
証明書からトンネル グループ名を取得する処理は、トンネル グループに関連付けられていない証明書マップのエントリを無視します(どのマップ ルールもこのコマンドでは識別されません)。
例
次の例はグローバル コンフィギュレーション モードで入力され、他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。使用するトンネル グループの名前は group1 です。
関連コマンド
|
|
|
|---|---|
tunnel-group-map enable
tunnel-group-map enable コマンドでは、証明書ベースの IKE セッションをトンネル グループにマッピングするためのポリシーとルールを設定します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] enable policy
no tunnel-group-map enable [ rule-index ]
構文の説明
構文の説明構文の説明
デフォルト
tunnel-group-map コマンドのデフォルト値は enable ou で、 default-group は DefaultRAGroup に設定されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。
例
次に、フェーズ 1 IKE ID の内容に基づく、証明書ベースの IKE セッションとトンネル グループとのマッピングをイネーブルにする例を示します。
次に、確立済みのピアの IP アドレスに基づく、証明書ベースの IKE セッションとトンネル グループとのマッピングをイネーブルにする例を示します。
次に、サブジェクト Distinguished Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)に基づく、証明書ベースの IKE セッションのマッピングをイネーブルにする例を示します。
次に、確立済みのルールに基づく証明書ベースの IKE セッションのマッピングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tunnel-limit
セキュリティ アプライアンス上でアクティブになることが許可される GTP トンネルの最大数を指定するには、 gtp-map コマンドを使用してアクセスする GTP マップ コンフィギュレーション モードで tunnel limit コマンドを使用します。トンネル制限をデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、GTP トラフィックの最大トンネル数を 10,000 に指定する例を示します。
関連コマンド
|
|
|
|---|---|
tx-ring-limit
プライオリティ キューの深さを指定するには、プライオリティ キュー モードで tx-ring-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
tx-ring-limit number-of-packets
no tx-ring-limit number-of-packets
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、遅延の影響を受けやすい、プライオリティの高いトラフィック(音声およびビデオなど)用の Low-Latency Queuing(LLQ; 低遅延キューイング)と、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)の 2 つのトラフィック クラスを使用できます。セキュリティ アプライアンスは、プライオリティ トラフィックを認識して、適切な Quality of Service(QoS)ポリシーを適用します。プライオリティ キューのサイズと深さを設定して、トラフィック フローを微調整できます。
プライオリティ キューイングを有効にする前に、 priority-queue コマンドを使用して、インターフェイスのプライオリティ キューを作成する必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。
priority-queue コマンドで、プライオリティ キュー モードを開始します。これはプロンプトに表示されます。プライオリティ キュー モードでは、いつでも送信キューに入れることができるパケットの最大数( tx-ring-limit コマンド)、およびパケットをドロップする前にバッファに入れることができる両タイプ(プライオリティまたはベストエフォート)のパケット数( queue-limit コマンド)を設定できます。
(注) インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります。
指定する tx-ring-limit および queue-limit は、プライオリティの高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両方のタイプのパケットの数です。このパケット数を超えると、ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し、輻輳が解消するまでそのキューでパケットをバッファしておきます。通常、これらの 2 つのパラメータを調整することで、低遅延トラフィックのフローを最適化できます。
キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが、 テール ドロップ です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。
(注) queue-limit コマンドと tx-ring-limit コマンドの値の範囲の上限は、実行時にダイナミックに決定されます。この制限を表示するには、コマンド ラインに help または ? と入力します。主な決定要素は、キューをサポートするために必要なメモリと、デバイス上で使用可能なメモリです。queue-limit の値の範囲は、0 ~ 2048 パケットです。tx-ring-limit の値の範囲は、PIX プラットフォームでは 3 から 128 パケットで、ASA プラットフォームでは 3 から 256 パケットです。
ASA モデル 5505(のみ)では、1 つのインターフェイスにプライオリティ キューを設定すると、他のすべてのインターフェイスで同じコンフィギュレーションが上書きされます。つまり、最後に適用されたコンフィギュレーションだけが、すべてのインターフェイスに存在することになります。さらに、プライオリティ キュー コンフィギュレーションは、1 つのインターフェイスから削除すると、すべてのインターフェイスからも削除されます。
この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなインターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで最大の値と、すべての tx-ring-limit のうちで最小の値を使用します(CSCsi13132)。
例
次の例では、test というインターフェイスにプライオリティ キューを、キュー制限を 2048 パケットに、送信キュー制限を 256 パケットに設定しています。
関連コマンド
type echo
SLA 動作をエコー応答時間プローブ動作として設定するには、SLA モニタ コンフィギュレーション モードで type echo コマンドを使用します。SLA コンフィギュレーションからタイプを削除するには、このコマンドの no 形式を使用します。
type echo protocol ipIcmpEcho target interface if-name
no type echo protocol ipIcmpEcho target interface if-name
構文の説明
エコー要求パケットを送信するために使用されるインターフェイスのインターフェイス名を、 nameif コマンドで指定されているとおりに指定します。インターフェイス送信元アドレスが、エコー要求パケットの送信元アドレスとして使用されます。 |
|
プロトコルのキーワード。サポートされる唯一の値が ipIcmpEcho で、エコー動作で IP/ICMP エコー要求を使用するように指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ICMP パケットのペイロードのデフォルト サイズは 28 バイトで、合計サイズが 64 バイトの ICMP パケットを作成します。ペイロード サイズは、 request-data-size コマンドを使用して変更できます。
例
次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。SLA の到達可能性を追跡するために、ID が 1 のトラッキング エントリを作成します。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
関連コマンド
|
|
|
|---|---|
フィードバック