Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

デフォルト

各キャッシュ アトリビュートのデフォルト設定でイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

キャッシングは頻繁に再利用されるオブジェクトをシステム キャッシュに保存します。キャッシュに保存しておくことにより、リライトやコンテンツの圧縮を繰り返し実行する必要が少なくなります。WebVPN とリモート サーバの間および WebVPN とエンドユーザのブラウザとの間の両方でトラフィックを削減します。その結果、多くのアプリケーションがさらに効率よく実行されます。

例

次の例は、キャッシュ モードに入る方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

圧縮コンテンツのキャッシングはデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

キャッシングでは、頻繁に再利用されるオブジェクトがシステム キャッシュに保存されます。圧縮コンテンツのキャッシングがイネーブルの場合、セキュリティ アプライアンスは圧縮されたオブジェクトを保存します。圧縮コンテンツのキャッシングをディセーブルにすると、セキュリティ アプライアンスは圧縮ルーチンを呼び出す前にオブジェクトを保存します。

例

次の例は、圧縮コンテンツのキャッシングをディセーブルにする方法と、それを再度イネーブルにする方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト設定は 60 分です。

 

コマンド履歴

例

次の例では、ca-crl コンフィギュレーション モードに入り、トラストポイント central に 10 分のキャッシュ時間のリフレッシュ値を指定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

call-agent コマンドは、1 つまたは複数のゲートウェイを管理できるコール エージェントのグループを指定するために使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の（ゲートウェイがコマンドを送信する先以外の）コール エージェントに接続を開くために使用されます。 group_id が同じコール エージェントは、同じグループに所属します。1 つのコール エージェントは複数のグループに所属できます。 group_id オプションは 0 ～ 4294967295 の数字です。 ip_address オプションでは、コール エージェントの IP アドレスを指定します。

例

次の例では、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようにし、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようにしています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、H.323 コール 1 回の制限時間を設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、H.323 コールのセットアップ時に発信側の番号の送信を必須にする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは次のとおりです。

• type は raw-data

• buffer size は 512 KB

• イーサネットのタイプは IP

• packet-length は 68 バイト

 

コマンド履歴

 

使用上のガイドライン

パケットのキャプチャは、接続上の問題のトラブルシューティングや疑わしいアクティビティのモニタリングを行う場合に役立ちます。複数のキャプチャを設定できます。パケットのキャプチャ情報を表示するには、 show capture name コマンドを使用します。キャプチャ情報をファイルに保存するには、 copy capture コマンドを使用します。パケットのキャプチャ情報を Web ブラウザで表示するには、 https:// security appliance-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。 pcap オプション キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされるので、Web ブラウザを使用してファイルを保存できます。libcap ファイルは、TCPDUMP または Ethereal で表示できます。

バッファの内容を TFTP サーバに ASCII 形式でコピーする場合は、パケットの詳細や 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細や 16 進ダンプを表示するには、バッファを PCAP 形式で伝送し、TCPDUMP または Ethereal を使用して読み取る必要があります。

WebVPN のキャプチャをイネーブルにすると、セキュリティ アプライアンスが
capture_name_ ORIGINAL.000 と capture_name_ MANGLED.000 というファイルのペアを作成します。後続のキャプチャごとに同様のペアを作成しますが、ファイル名の番号を順次増やしていきます。

（注） WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後は、キャプチャをディセーブルにしてください。

キャプチャが消去されないようにする場合は、 no capture に access-list オプション キーワードまたは interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセス リストが削除され、キャプチャは残されます。 interface キーワードを指定した場合は、指定したインターフェイスからキャプチャが分離され、そのまま残ります。

（注） capture コマンドはコンフィギュレーションには保存されず、フェールオーバー中にスタンバイ装置にコピーされることもありません。

例

パケット キャプチャをイネーブルにするには、次のように入力します。

「captest」というキャプチャの内容を Web ブラウザで表示するには、次のアドレスを入力します。

Internet Explorer や Netscape Navigator などの Web ブラウザで使用される libcap ファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。

次の例では、外部ホスト 171.71.69.234 からキャプチャしたトラフィックが内部 HTTP サーバに伝送されます。

次の例では、ARP パケットをキャプチャする方法を示します。

次の例では、wwwin.abcd.com/hr/people という Web サイトにアクセスする user2 の HTTP トラフィックをキャプチャする、 hr という WebVPN キャプチャを作成しています。

次の例では、データ ストリームにトレース パケットを 5 つ挿入します。 access-list 101 は、TCP プロトコルが FTP であるトラフィックを定義しています。

上の例で show capture ftptrace コマンドを使用すると、トレースされたパケットと、パケットの処理に関する情報がわかりやすく表示されます。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

ディレクトリを指定しない場合、ルート ディレクトリに移動します。

 

コマンド履歴

例

次の例では、「config」ディレクトリに移動する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

シンタックスの説明シンタックスの説明

 

デフォルト

このコマンドにデフォルト値はありません。

 

コマンド履歴

 

使用上のガイドライン

認証局（CA）は、ネットワークにおいてセキュリティ クレデンシャルおよびメッセージ暗号化用の公開キーを発行、管理する組織です。公開キー インフラストラクチャの一部として、CA では登録局（RA）と共に、デジタル証明書の要求者から提供された情報を確認するためにチェックを行います。RA で要求者の情報が確認されると、CA は証明書を発行します。

例

次の例では、central という名前のトラストポイントの CA トラストポイント モードに入り、次に central の暗号 CA 証明書チェーン モードに入り、シリアル番号 29573D5FF010FE25B45 の CA を追加します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトでは、このコマンドの設定はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

例

次の例では、トンネル グループ ipsec アトリビュート コンフィギュレーション モードに入り、ルート証明書およびすべての下位 CA 証明書を含む IP アドレス 209.165.200.225 の IPSec LAN-to-LAN トンネル グループのチェーンの送信をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインする場合は、各コンテキスト内でコンテキスト、実行コンフィギュレーション、モニタリング タスクを切り替えることができます。コンフィギュレーション モードで編集、あるいは copy または write コマンドで使用される「実行」コンフィギュレーションは、どの実行スペースにいるかによって異なります。システム実行スペースにいる場合、実行コンフィギュレーションはシステム コンフィギュレーションだけで構成されます。コンテキスト実行スペースにいる場合、実行コンフィギュレーションはそのコンテキストだけで構成されます。たとえば、 show running-config コマンドを入力することで、実行コンフィギュレーションをすべて（システムとすべてのコンテキスト）表示することはできません。現在のコンフィギュレーションだけが表示されます。

例

次の例では、特権 EXEC モードでコンテキストとシステム間の切り替えを行います。

次の例では、インターフェイス コンフィギュレーション モードでシステムと管理コンテキスト間の切り替えを行います。実行スペース間で切り替えを行い、コンフィギュレーション サブモードにいる場合、モードは新しい実行スペースでグローバル コンフィギュレーション モードに変わります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。このアトリビュートに値がない場合、リモート ブラウザに設定された符号化タイプによって WebVPN ポータル ページの文字セットが決定されます。

 

コマンド履歴

 

使用上のガイドライン

文字エンコーディング （「文字コーディング」または「文字セット」ともいいます）は、未加工のデータ（0 と 1 からなるデータなど）と、そのデータを表す文字をペアにする方式です。使用する文字エンコーディング方式は、言語によって決まります。1 つの方式を使用する言語も、そうではない言語もあります。通常、ブラウザによって使用されるデフォルトのエンコーディング方式は、地理的な地域によって決まりますが、ユーザはそれを変更できます。ブラウザは、ページで指定されているエンコーディングを検出し、それに応じて文書を表示することもできます。
character-encoding アトリビュートを使用すると、WebVPN ポータル ページ上に文字エンコーディング方式の値を指定し、ユーザがブラウザを使用している地域やブラウザに行った変更にかかわらず、ページがブラウザで適切に表示されるようにできます。

character-encoding アトリビュートは、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、character-encoding アトリビュートの値と異なる文字エンコーディングを使用する Common Internet File System サーバの file-encoding アトリビュートを上書きすることはできます。異なる文字エンコーディングを必要とする CIFS サーバ用に対して、異なる file-encoding 値を使用できます。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding アトリビュートの値を符号化します。符号化が行われなかった場合は、character-encoding アトリビュートの値を継承します。リモート ユーザのブラウザは、この値を文字エンコーディング セットのエントリにマッピングして、使用する適切な文字セットを決定します。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されてなく、character-encoding アトリビュートも設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自身のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding アトリビュートによって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。

（注） character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。日本語 Shift_JIS 文字エンコーディングを使用している場合、フォント ファミリを入れ替えるには、次の例で示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してこれらの値の設定を含めるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除する必要があります。

例

次の例では、日本語 Shift_JIS 文字をサポートするように character-encoding アトリビュートを設定し、フォント ファミリを削除し、デフォルトの背景色を保持しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの間隔はそれぞれ 60 秒です。

 

コマンド履歴

例

次の例では、バッファ割り当ての間隔を 200 秒に設定し、コード スペース チェックサムの間隔を 500 秒に設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。矛盾する再送信のエンド システムの解釈によって発生する TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

セキュリティ アプライアンスは、再送信内のデータが元のデータと同じであるかどうかを確認しようとします。データが一致しない場合、接続はセキュリティ アプライアンスによってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは、順番に許可されます。詳細については、 queue-limit コマンドを参照してください。

例

次の例では、すべての TCP フロー上で、TCP check-retransmission 機能をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

チェックサムの確認は、デフォルトではディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの確認をイネーブルにします。チェックが失敗した場合、パケットはドロップされます。

例

次の例では、10.0.0.0 ～ 20.0.0.0 の TCP 接続上で TPC チェックサムの確認をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストがセキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つまたは複数のコンテキストがリソースを大量に消費しているために、他のコンテキストで接続が拒否されていることが分かった場合などは、リソース管理を設定することによって、リソースの使用をコンテキストごとに制限できます。

セキュリティ アプライアンスでは、コンテキストをリソース クラスに割り当てることでリソースを管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。

クラスを作成すると、セキュリティ アプライアンスによって、そのクラスに割り当てるそれぞれのコンテキスト分のリソースを確保するのではなく、使用できるリソースの上限が設定されます。リソースをオーバーサブスクライブした場合や、一部のリソースを無制限に許可した場合は、いくつかのコンテキストがそれらのリソースを使い果たして、他のコンテキストへのサービスに影響を及ぼす可能性があります。クラス用のリソースの制限を設定する方法については、 limit-resource コマンドを参照してください。

すべてのコンテキストは、別のクラスに割り当てられていない場合、デフォルト クラスに属します。コンテキストをデフォルト クラスに割り当てる必要はありません。

コンテキストがデフォルト クラス以外に属している場合は、常にこのクラスの設定でデフォルト クラスの設定が上書きされます。ただし、そのデフォルト以外のクラスに一切の設定がない場合、そのクラスに属すコンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続についてリソースの上限を 2 パーセントとし、他の制限は設定しないでクラスを作成したとします。その他の制限についてはすべてデフォルト クラスから継承します。逆に、すべてのリソースの制限を設定したクラスを作成した場合は、デフォルト クラスの設定は何も使用されません。

デフォルトでは、次に示すコンテキストあたりの上限を除き、デフォルト クラスの全コンテキストからアクセスできるリソースに制限はありません。

• Telnet セッション：5 セッション。

• SSH セッション：5 セッション。

• MAC アドレス：65,535 エントリ。

例

次の例では、conns に関するデフォルト クラスの制限値を、無制限から 10% に設定し直しています。

他のリソースは、すべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

コンフィギュレーションは、すべてのトラフィックに一致する「class-default」というクラス マップを必ず含んでいます。どのレイヤ 3/4 ポリシー マップの末尾でも、アクションが何も定義されていない class-default クラス マップがコンフィギュレーションに含まれています。このマップは内部でのみ使用され、修正することはできません。

1 つのポリシー マップで、class-default を含め、 class コマンドと match コマンドを 63 個まで設定できます。

class コマンドでポリシー マップにクラス マップを追加したなら、トラフィックへのアクション（複数可）を定義します。レイヤ 3/4 ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は、次のとおりです。

• TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化

• CSC

• アプリケーション検査

• IPS

• QoS ポリシング

• QoS プライオリティ キュー

検査ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は、次のとおりです。

• パケットのドロップ

• 接続のドロップ

• 接続のリセット

• ロギング

• メッセージのレートの制限

• コンテンツのマスク

例

次に、 class コマンドを含む、接続ポリシーの policy-map コマンドの例を示します。ここでは、Web サーバ 10.1.1.1 にアクセスできる接続の数を制限しています。

次の例では、ポリシー マップで複数一致がどのように機能するかを示しています。

次の例では、使用可能な最初のクラス マップにトラフィックが一致し、同じ機能ドメインのアクションを指定している以降のどのクラス マップにも一致しない様子を示しています。

Telnet 接続を開始すると、 class telnet_traffic が照合されます。同様に、FTP 接続を開始すると、 class ftp_traffic が照合されます。Telnet と FTP 以外の TCP 接続では、 class tcp_traffic が照合されます。Telnet 接続や FTP 接続を class tcp_traffic と照合できますが、すでに他のクラスと照合されているので、セキュリティ アプライアンスはこれらの接続を照合しません。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 の通過トラフィック専用です。セキュリティ アプライアンス宛ての管理トラフィックのクラス マップについては、 class-map type management コマンドを参照してください。

コンフィギュレーションは、すべてのトラフィックに一致する「class-default」というクラス マップを必ず含んでいます。どのレイヤ 3/4 ポリシー マップの末尾でも、アクションが何も定義されていない class-default クラス マップがコンフィギュレーションに含まれています。このマップは内部でのみ使用され、修正することはできません。

レイヤ 3/4 クラス マップでは、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。すべてのタイプのクラス マップの最大数は、シングルモードでは 255 個、マルチモードではコンテキストごとに 255 個です。このコンフィギュレーションは、セキュリティ アプライアンスがデフォルト グローバル ポリシーで使用するデフォルトのレイヤ 3/4 クラス マップを含みます。このクラス マップは inspection_default といい、デフォルトの検査トラフィックを照合します。

各レイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップを作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. （アプリケーション検査のみ） policy-map type inspect コマンドを使用して、アプリケーション検査トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map コマンドを使用して、クラス マップ コンフィギュレーション モードに入ります。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、 match tunnel-group コマンドと match default-inspection-traffic コマンド以外に、クラス マップに含まれるトラフィックを特定する match コマンドを 1 つだけ指定できます。

例

次の例では、レイヤ 3/4 クラス マップを 4 つ作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにする場合は、 inspection policy map で定義するアクションをイネーブルにすることもできます（ policy-map type inspect コマンドを参照）。

検査ポリシー マップを設定するときに、検査クラス マップを作成することにより、処理の対象になるトラフィックを特定できます。クラス マップには、1 つまたは複数の match コマンドを含めます（1 つの検査ポリシー マップとアクションを対にする場合は、検査ポリシー マップ内で直接 match コマンドを使用します）。アプリケーションに固有の照合基準を指定できます。たとえば、DNS トラフィックでは、DNS クエリーのドメイン名を照合できます。

クラス マップは、トラフィックの複数の照合基準をグループにまとめたものです。トラフィックがクラス マップと一致するには、 すべて の match コマンドで指定した基準と一致しなければなりません。クラス マップを作成する場合と、検査ポリシー マップで直接トラフィックの照合を定義する場合の違いは、クラス マップでは複数の照合基準をグループにまとめられることと、クラス マップを再利用できることです。このクラス マップで特定されるトラフィックには、検査ポリシー マップで指定されている接続のドロップ、リセット、ログの記録などのアクションを指定できます。

例

次の例では、HTTP の検査クラス マップを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド（ type キーワードなし）を参照してください。

セキュリティ アプライアンスに対する管理トラフィックでは、この種類のトラフィック特有の処理が必要な場合があります。ポリシー マップの管理クラス マップに指定できるアクションは、管理トラフィック専用です。たとえば、RADIUS アカウンティング トラフィックを検査できます。

レイヤ 3/4 クラス マップでは、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。すべてのタイプのクラス マップの最大数は、シングルモードでは 255 個、マルチモードではコンテキストごとに 255 個です。

各レイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップ（管理トラフィックまたは通過トラフィック）を作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. （アプリケーション検査のみ） policy-map type inspect コマンドを使用して、アプリケーション検査トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map type management コマンドを使用して、クラス マップ コンフィギュレーション モードに入ります。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。TCP ポートまたは UDP ポートだけを照合する管理クラス マップを指定できます。レイヤ 3/4 クラス マップには、クラス マップに含めるトラフィックを特定する match コマンドを 1 つだけ指定できます。

例

次の例では、レイヤ 3/4 管理クラス マップを作成します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにする場合は、 inspection policy map で定義するアクションをイネーブルにすることもできます（ policy-map type inspect コマンドを参照）。

検査ポリシー マップでは、1 つ以上の match コマンドを含んだ検査クラス マップを作成することで、アクションの実行対象となるトラフィックを指定できます。または、 match コマンドを検査ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケットに含まれているテキストを正規表現を使用して識別できます。たとえば、HTTP パケットに含まれている URL 文字列と一致するかどうかを確認できます。正規表現は、正規表現クラス マップ内にグループにまとめます。

正規表現のクラス マップを作成する前に、 regex コマンドを使用して正規表現を作成します。次に、クラス マップ コンフィギュレーション モードで match regex コマンドを使用して、指定の正規表現を特定します。

例

次の例では、正規表現を 2 つ作成し、1 つの正規表現クラス マップに追加します。トラフィックに「example.com」か「example2.com」という文字列が含まれていると、このトラフィックはクラス マップと一致します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ユーザが数回認証に失敗した場合は、このコマンドを使用します。ただし、たとえば、コンフィギュレーションが最近変更された場合などは、カウンタを 0 にリセットします。

認証試行の失敗が設定された回数を超えると、ユーザはシステムからロックアウトされ、システム管理者がユーザ名をアンロックするか、システムをリブートするまで正常にログインできません。

ユーザが正常に認証された場合、またはセキュリティ アプライアンスがリブートした場合は、失敗試行回数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

特権レベル 15 のシステム管理者は、ロックアウトされません。

例

次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。

次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

username オプションを使用してユーザを 1 人だけ指定することも、 all オプションを使用してすべてのユーザを指定することもできます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響を及ぼします。

管理者は、デバイスからロックアウトされません。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

例

次の例では、 clear aaa local user lockout コマンドを使用してロックアウト状態を消去し、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

すべてのグループのすべての AAA サーバ統計情報を削除します。

 

コマンド履歴

例

次のコマンドは、グループ内の特定のサーバの AAA 統計情報をリセットする方法を示しています。

次のコマンドは、1 つのサーバ グループ全体の AAA 統計情報をリセットする方法を示しています。

次のコマンドは、すべてのサーバ グループの AAA 統計情報をリセットする方法を示しています。

次のコマンドは、特定のプロトコル（この場合は TACACS+）の AAA 統計情報をリセットする方法を示しています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、すべてのアクセス グループを削除する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

すべてのアクセス リスト カウンタが消去されます。

 

コマンド履歴

 

使用上のガイドライン

clear access-list コマンドを入力するときに id を指定しないと、すべてのアクセス リスト カウンタが消去されます。

例

次の例では、特定のアクセス リスト カウンタを消去する方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、ARP 統計情報をすべて消去します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、このコマンドはすべてのドロップ統計情報を消去します。

 

コマンド履歴

 

使用上のガイドライン

プロセス タイプには、次のものがあります。

例

次の例では、ドロップ統計情報をすべて消去します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

最低水準点カウンタを各プール内で現在使用可能なブロックにリセットします。また、前回のバッファ割り当ての失敗時に保存された履歴情報も消去します。

例

次の例では、ブロックを消去します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトのテキストは「Clear」です。

デフォルトのスタイルは border:1px solid black;background-color:white;font-weight:bold;font-size:80% です。

 

コマンド履歴

 

使用上のガイドライン

style オプションは、有効な Cascading Style Sheet（CSS）パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）について 0 ～ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。

例

次の例では、Clear ボタンのデフォルトの背景色を黒から青に変更しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドにデフォルト設定はありません。

 

コマンド履歴

 

使用上のガイドライン

誤ってすべてのパケット キャプチャを消去することがないように、 clear capture の短縮形（ cl cap や clear cap など）はサポートされていません。

例

次の例では、キャプチャ バッファ「trudy」のキャプチャ バッファを消去する方法を示します。

 

関連コマンド

 

デフォルト

このコマンドには、デフォルトの動作はありません。

 

コマンド履歴

例

次の例では、ユーザは圧縮コンフィギュレーションを消去します。

 

関連コマンド