- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: l2tp tunnel hello コマンド~ log-adj-changes コマンド
l2tp tunnel hello コマンド~ log-adj-changes コマンド
l2tp tunnel hello
L2TP over IPSec 接続の hello メッセージ間の間隔を指定するには、グローバル コンフィギュレーション モードで l2tp tunnel hello コマンドを使用します。コマンドをコンフィギュレーションから削除してデフォルトを設定するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
l2tp tunnel hello コマンドは、セキュリティ アプライアンスによる L2TP 接続の物理レイヤに関する問題の検出をイネーブルにします。デフォルトは 60 秒です。それをより低い値に設定すると、問題の発生した接続はより早く解除されます。
例
次の例では、hello メッセージ間の間隔を 30 秒に設定します。
関連コマンド
|
|
|
|---|---|
show vpn-sessiondbdetail remote filter protocol L2TPOverIPSec |
|
ldap-attribute-map(AAA サーバ ホスト モード)
既存のマッピング コンフィギュレーションを LDAP ホストにバインドするには、AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用します。
バインディングを削除するには、このコマンドの no 形式を使用します。
no ldap-attribute-map map-name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シスコ定義の LDAP アトリビュート名が使い勝手が悪い、または他の要件に合致しない場合は、独自のアトリビュート名を作成し、Cisco アトリビュートにマッピングしてから、得られたアトリビュート コンフィギュレーションを LDAP サーバにバインドすることができます。通常の手順は、次のとおりです。
1.
グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用して、何も入力されていないアトリビュート マップを作成します。このコマンドにより、ldap-attribute-map モードに入ります。このコマンドでは、「ldap」の後にハイフンがないことに注意してください。
2. ldap-attribute-map モードで map-name コマンドおよび map-value コマンドを使用して、アトリビュート マッピング コンフィギュレーションに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、アトリビュート マップ コンフィギュレーションを LDAP サーバにバインドします。
例
次のコマンド例では、AAA サーバ ホスト コンフィギュレーション モードに入り、myldapmap という名前の既存のアトリビュート マップを ldapsvr1 という名前の LDAP サーバにバインドします。
関連コマンド
|
|
|
|---|---|
ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。 |
|
特定の実行 ldap アトリビュート マッピング コンフィギュレーション、またはすべての実行アトリビュート マッピング コンフィギュレーションを表示します。 |
|
ldap attribute-map(グローバル コンフィギュレーション モード)
ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために LDAP アトリビュート マップを作成して名前をつけるには、グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用します。
マップを削除するには、このコマンドの no 形式を使用します。
no ldap attribute-map map-name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ldap attribute-map コマンドを使用すると、独自のアトリビュート名と値を Cisco アトリビュート名にマッピングできます。作成されたアトリビュート マップは、LDAP サーバにバインドすることができます。通常の手順は、次のとおりです。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用して、何も入力されていないアトリビュート マップを作成します。このコマンドにより、LDAP アトリビュート マップ コンフィギュレーション モードに入ります。
2. LDAP アトリビュート マップ コンフィギュレーション モードで map-name コマンドおよび map-value コマンドを使用して、アトリビュート マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、LDAP サーバにアトリビュート マップをバインドします。このコマンドでは、「ldap」の後にハイフンを入力してください。
(注) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュートの名前と値、およびユーザ定義アトリビュートの名前と値を理解しておく必要があります。
例
次の例では、コマンドをグローバル コンフィギュレーション モードで入力し、myldapmap という名前の LDAP アトリビュート マップを作成してから、情報の入力、または LDAP サーバへのバインドを行います。
関連コマンド
|
|
|
|---|---|
ldap-base-dn
認可要求を受信したときに、サーバが検索を開始する LDAP 階層内の位置を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-base-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除して、検索の開始位置をリストの先頭にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
認可要求を受信したときに、サーバが検索を開始する LDAP 階層内の位置を指定する最大 128 文字の文字列で、大文字と小文字が区別されます(たとえば、OU=Cisco)。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ベース DN を「starthere」として設定します。
aaa-server svrgrp1 protocol ldap
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry 7
exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-defaults
LDAP のデフォルト値を定義するには、crl 設定コンフィギュレーション モードで ldap-defaults コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのデフォルト値は、LDAP サーバが必要とする場合にだけ使用されます。LDAP デフォルトを指定しない場合は、このコマンドの no 形式を使用します。
シンタックスの説明
(オプション)LDAP サーバ ポートを指定します。このパラメータが指定されていない場合、セキュリティ アプライアンスは標準の LDAP ポート(389)を使用します。 |
|
LDAP サーバの IP アドレスまたはドメイン名を指定します。CRL 配布ポイント内にサーバが存在する場合、この値はそのサーバによって上書きされます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、デフォルト ポート(389)上で LDAP デフォルト値を定義します。
関連コマンド
|
|
|
|---|---|
ldap-dn
CRL の取得時に認証を要求する LDAP サーバに X.500 認定者名とパスワードを渡すには、crl 設定コンフィギュレーション モードで ldap-dn コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバが必要とする場合にだけ使用されます。
LDAP DN を指定しない場合は、このコマンドの no 形式を使用します。
シンタックスの説明
この CRL データベースにアクセスするためのディレクトリ パスを定義します(たとえば、cn=crl,ou=certs,o=CAName,c=US)。フィールドの最大長は 128 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、X.500 の名前に CN=admin,OU=devtest,O=engineering を指定し、central トラストポイントのパスワードに xxzzyy を指定します。
関連コマンド
|
|
|
|---|---|
ldap-login-dn
システムがバインドするディレクトリ オブジェクトの名前を指定するには、AAA サーバ ホスト モードで ldap-login-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
LDAP 階層内のディレクトリ オブジェクトの名前を指定する最大 128 文字の文字列で、大文字と小文字が区別されます。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、LDAP サーバに対してのみ有効です。サポートされる文字列の最大長は 128 文字です。
Microsoft Active Directory サーバなどの LDAP サーバでは、他のすべての LDAP 動作に関する要求を受け入れる前に、セキュリティ アプライアンスが認証済みバインディングを介してハンドシェイクを確立している必要があります。セキュリティ アプライアンスは、認証済みバインディングに対して識別情報を示すときに、ユーザ認証要求に Login DN フィールドを付加します。Login DN フィールドは、セキュリティ アプライアンスの認証特性を説明します。この特性は、管理者特権を持つユーザの特性に対応している必要があります。
string 変数には、VPN コンセントレータの認証済みバインディングに関するディレクトリ オブジェクトの名前を入力します(たとえば、cn=Administrator、cn=users、ou=people、dc=XYZ Corporation、dc=com)。匿名アクセスの場合、このフィールドはブランクのままにします。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ログイン DN を「myobjectname」として設定します。
aaa-server svrgrp1 protocol ldap
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry 7
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-login-password
LDAP サーバのログイン パスワードを指定するには、AAA サーバ ホスト モードで
ldap-login-password コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。このパスワード指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP ログイン パスワードを「obscurepassword」として設定します。
aaa-server svrgrp1 protocol ldap
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry 7
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-naming-attribute
相対認定者名アトリビュートを指定するには、AAA サーバ ホスト モードで ldap-naming-attribute コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
LDAP サーバ上のエントリを一意に識別するための相対認定者名アトリビュートで、大文字と小文字が区別される最大 128 文字の英数字です。文字列にスペースは使用できませんが、その他の特殊文字は使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LDAP サーバ上のエントリを一意に識別するための、相対認定者名アトリビュートを入力します。共通の命名アトリビュートは、通常名(cn)とユーザ ID(uid)です。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP 命名アトリビュートを「cn」として設定します。
aaa-server svrgrp1 protocol ldap
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry 7
関連コマンド
|
|
|
|---|---|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
ldap-over-ssl
セキュリティ アプライアンスと LDAP サーバの間にセキュアな SSL 接続を確立するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-over-ssl コマンドを使用します。
接続に対して SSL をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ アプライアンスと LDAP サーバ間の接続を SSL で保護することを指定するために使用します。
(注) 平文認証を使用している場合は、この機能をイネーブルにすることを推奨します。sasl-mechanism コマンドを参照してください。
例
次のコマンドを、AAA サーバ ホスト コンフィギュレーション モードで入力して、セキュリティ アプライアンスと、IP アドレスが 10.10.0.1 の ldapsvr1 という LDAP サーバとの間の接続に対して SSL をイネーブルにします。また、PLAIN SASL 認証メカニズムも設定します。
関連コマンド
|
|
|
|---|---|
ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。 |
ldap-scope
認可要求を受信したときに、サーバが検索する LDAP 階層内の範囲を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-scope コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
認可要求を受信したときに、サーバが検索する LDAP 階層のレベル番号を指定します。有効値は、次のとおりです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スコープを onelevel として指定すると、検索速度が向上します。これは、ベース DN の 1 つ下のレベルだけが検索されるためです。 subtree を指定すると速度が低下します。これは、ベース DN の下にあるすべてのレベルが検索されるためです。
例
次の例では、ホスト「1.2.3.4」上で「srvgrp1」という LDAP AAA サーバを設定し、タイムアウトを 9 秒に設定し、リトライ間隔を 7 秒に設定し、LDAP スコープがサブツリー レベルを含むように設定します。
# aaa-server svrgrp1 protocol ldap
# aaa-server svrgrp1 host 1.2.3.4
# timeout 9
retry 7
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
leap-bypass
LEAP Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで leap-bypass enable コマンドを使用します。LEAP Bypass をディセーブルにするには、 leap-bypass disable コマンドを使用します。LEAP Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、LEAP Bypass の値を別のグループ ポリシーから継承できます。
LEAP Bypass をイネーブルにすると、VPN ハードウェア クライアントの背後にある無線デバイスからの LEAP パケットが、ユーザ認証の前に VPN トンネルを通過できるようになります。これにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。確立後、ワークステーションはユーザごとの認証をもう一度実行します。
leap-bypass { enable | disable }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
対話型のハードウェア クライアント認証がイネーブルになっていると、この機能は正常に動作しません。
詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
(注) 認証されていないトラフィックがトンネルを通過できるようにすると、セキュリティ リスクが生じる場合があります。
例
次の例は、「FirstGroup」というグループ ポリシーに LEAP Bypass を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
VPN ハードウェア クライアントがトンネルを開始するたびに、クライアントにユーザ名とパスワードによる認証を要求します。 |
|
VPN ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
lifetime
IKE セキュリティ アソシエーションの期限が切れるまでのライフタイムを指定するには、暗号 isakmp ポリシー コンフィギュレーション モードで lifetime コマンドを使用します。ピアがライフタイムを提示していなければ、無限のライフタイムを指定できます。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータを合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限満了するまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限満了するまでその後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限満了する前に、新しいセキュリティ アソシエーションをネゴシエートします。
ライフタイムを長くするほど、セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することをお勧めします。
(注) IKE セキュリティ アソシエーションが無限のライフタイムに設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからのネゴシエートされた有限のライフタイムが使用されます。
例
この例では、グローバル コンフィギュレーション モードで、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。
次の例では、グローバル コンフィギュレーション モードで、IKE セキュリティ アソシエーションを無限のライフタイムに設定します。
関連コマンド
limit-resource
マルチ コンテキスト モードでクラスにリソース制限を指定するには、クラス コンフィギュレーション モードで limit-resource コマンドを使用します。制限をデフォルトに戻すには、このコマンドの no 形式を使用します。セキュリティ アプライアンスでは、コンテキストをリソース クラスに割り当てることでリソースを管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。
limit-resource { all 0 | [ rate ] resource_name number [ % ]}
no limit-resource { all | [ rate ] resource_name }
シンタックスの説明
リソース制限を 1 以上の固定数として指定します。あるいは、パーセント記号(%)を使用して、1 ~ 100 までのシステム制限のパーセンテージとして指定します。無制限のリソースを示す場合は、制限を 0 に設定します。システム制限を持たないリソースの場合はパーセンテージ(%)を設定できません。絶対値のみ設定できます。 |
|
リソースに対して秒単位でレートを設定することを指定します。秒単位でレートを設定可能なリソースについては、 表18-1 を参照してください。 |
|
デフォルト
すべてのリソースは、次に示す制限を除いて無制限に設定されています。これらの制限は、デフォルトではコンテキストごとに許可される最上限に設定されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラスに対してリソース制限を設定する場合、セキュリティ アプライアンスはクラスに割り当てられた各コンテキストにリソースの一部を確保するのではなく、セキュリティ アプライアンスはコンテキストに上限を設定します。リソースをオーバーサブスクライブした場合や、一部のリソースを無制限に許可した場合は、いくつかのコンテキストがそれらのリソースを使い果たして、他のコンテキストへのサービスに影響を及ぼす可能性があります。
表18-1 には、リソースのタイプと制限がリストされています。 show resource types コマンドも参照してください。
|
|
|
|
|
|
|---|---|---|---|---|
同時接続数:プラットフォームの接続制限については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。 |
||||
|
(注) ASDM セッションでは 2 つの |
||||
例
次の例では、conns に関するデフォルト クラスの制限値を、無制限から 10% に設定し直しています。
gold というクラスを追加するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
lmfactor
他のサーバによって設定された有効期限値ではなく、最後に変更されたタイムスタンプのみを持つオブジェクトをキャッシュするように再検証ポリシーを設定するには、キャッシュ モードで lmfactor コマンドを使用します。このようなオブジェクトを再検証するために新しいポリシーを設定するには、このコマンドを再度使用します。このアトリビュートをデフォルト値の 20 にリセットするには、このコマンドの no 形式を入力します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、lmfactor の値を使用して、キャッシュされたオブジェクトに変化がないと見なす時間の長さを推定します。これが有効期限として認識されます。セキュリティ アプライアンスは有効期限を、最後の変更から経過した時間に lmfactor を乗算して推定します。
lmfactor をゼロに設定すると、再検証をただちに強制することになります。またこれを 100 に設定すると、再検証が強制されるまでの許容時間が最長になります。
例
次の例は、lmfactor を 30 に設定する方法を示しています。
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
log
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで log コマンドを使用して match コマンドまたはクラス マップに一致するパケットをログに記録します。このログ アクションは、アプリケーション トラフィックの検査ポリシー マップで使用できます( policy-map type inspect コマンド)。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
検査ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。検査ポリシー マップで使用できるコマンド自体は、アプリケーションによって異なります。 match または class コマンドを入力してアプリケーション トラフィックを識別してから( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを指す)、 log コマンドを入力し、 match コマンドまたは class コマンドに一致するパケットをすべてログに記録します。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション検査をイネーブルにするときは、このアクションを含んでいる検査ポリシー マップをイネーブルにします。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は検査ポリシー マップの名前です。
例
次の例では、パケットが http-traffic クラス マップに一致する場合にログを送信します。
関連コマンド
|
|
|
|---|---|
log-adj-changes
OSPF 隣接ルータがアップ状態またはダウン状態になると syslog メッセージを送信するようにルータを設定するには、ルータ コンフィギュレーション モードで log-adj-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
シンタックスの説明
(オプション)隣接ルータがアップ状態またはダウン状態になるときだけでなく、状態が変化するたびに syslog メッセージを送信します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
log-adj-changes コマンドは、デフォルトでイネーブルになっており、コマンドの no 形式を使用して削除しない限り、実行コンフィギュレーションに表示されます。
例
次の例では、OSPF 隣接ルータがアップ状態またはダウン状態になったときに syslog メッセージを送信しないようにします。
関連コマンド
|
|
|
|---|---|
フィードバック