tcp-map コマンド～ type echo コマンド

Transcription

1 CHAPTER

2 tcp-map 第 31 章 tcp-map 一連の TCP 正規化アクションを定義するには グローバルコンフィギュレーションモードで tcp-map コマンドを使用します TCP 正規化機能により 異常なパケットを識別する基準を指定できます これにより 異常なパケットが検出されると適応型セキュリティアプライアンスによってドロップされます TCP マップを削除するには このコマンドの no 形式を使用します tcp-map map_name no tcp-map map_name 構文の説明 map_name TCP マップ名を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン この機能では モジュラポリシーフレームワークを使用します 最初に tcp-map コマンドを使用して 実行する TCP 正規化アクションを定義します tcp-map コマンドを実行すると TCP マップコンフィギュレーションモードが開始されます このモードでは TCP 正規化アクションを定義する 1 つ以上のコマンドを入力できます 次に class-map コマンドを使用して TCP マップを適用するトラフィックを定義します policy-map コマンドを入力してポリシーを定義し class コマンドを入力してクラスマップを参照します クラスコンフィギュレーションモードで set connection advanced-options コマンドを入力して TCP マップを参照します 最後に service-policy コマンドを使用して インターフェイスにポリシーマップを適用します モジュラポリシーフレームワークの仕組みの詳細については Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください 次のコマンドを TCP マップコンフィギュレーションモードで使用できます check-retransmission checksum-verification exceed-mss 再転送データのチェックをイネーブルおよびディセーブルにします チェックサムの確認をイネーブルおよびディセーブルにします ピアにより設定された MSS を超過したパケットを許可またはドロップします 31-2

3 第 31 章 tcp-map queue-limit reserved-bits syn-data tcp-options ttl-evasion-protection urgent-flag window-variation TCP 接続のキューに入れることができる順序付けされていないパケットの最大数を設定します このコマンドは ASA 5500 シリーズ適応型セキュリティアプライアンスでのみ使用できます PIX 500 シリーズの適応型セキュリティアプライアンスでは キューに入れられるパケットは 3 つまでで この数は変更できません 適応型セキュリティアプライアンスに予約済みフラグポリシーを設定します データを持つ SYN パケットを許可またはドロップします selective-ack timestamp window-scale の各 TCP オプションを許可または消去します 適応型セキュリティアプライアンスにより提供された TTL 回避保護をイネーブルまたはディセーブルにします 適応型セキュリティアプライアンスを通して URG ポインタを許可または消去します 予想外にウィンドウサイズが変更された接続をドロップします 例 たとえば 既知の FTP データポートと Telnet ポート間の TCP ポートの範囲に送信されるトラフィックすべての緊急フラグおよび緊急オフセットパケットを許可するには 次のコマンドを入力します hostname(config)# tcp-map tmap hostname(config-tcp-map)# urgent-flag allow hostname(config-tcp-map)# class-map urg-class hostname(config-cmap)# match port tcp range ftp-data telnet hostname(config-cmap)# policy-map pmap hostname(config-pmap)# class urg-class hostname(config-pmap-c)# set connection advanced-options tmap hostname(config-pmap-c)# service-policy pmap global 関連コマンド コマンド class( ポリシーマップ ) clear configure tcp-map policy-map show running-config tcp-map tcp-options 説明 トラフィック分類に使用するクラスマップを指定します TCP マップのコンフィギュレーションをクリアします ポリシーを設定します これは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです TCP マップコンフィギュレーションに関する情報を表示します selective-ack timestamp window-scale の各 TCP オプションを許可または消去します 31-3

4 tcp-options 第 31 章 tcp-options 適応型セキュリティアプライアンスを通して TCP オプションを許可または消去するには TCP マップコンフィギュレーションモードで tcp-options コマンドを使用します この指定を削除するには このコマンドの no 形式を使用します tcp-options {selective-ack timestamp window-scale} {allow clear} no tcp-options {selective-ack timestamp window-scale} {allow clear} tcp-options range lower upper {allow clear drop} no tcp-options range lower upper {allow clear drop} 構文の説明 allow clear drop lower selective-ack timestamp upper window-scale TCP ノーマライザを通して TCP オプションを許可します TCP ノーマライザを通して TCP オプションを消去し パケットを許可します パケットをドロップします 下位バインド範囲 (6 ~ 7) および (9 ~ 255) です 選択的な確認応答メカニズム (SACK) オプションを設定します デフォルトでは SACK オプションを許可します timestamp オプションを設定します timestamp オプションを消去すると PAWS および RTT がディセーブルとなります デフォルトでは timestamp オプションを許可します 上位バインド範囲 (6 ~ 7) および (9 ~ 255) です window scale mechanism オプションを設定します デフォルトでは window scale mechanism オプションを許可します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています TCP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 31-4

5 第 31 章 tcp-options 使用上のガイドライン tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます class-map コマンドを使用してトラフィックのクラスを定義し tcp-map コマンドで TCP インスペクションをカスタマイズします policy-map コマンドを使用して 新しい TCP マップを適用します service-policy コマンドで TCP インスペクションをアクティブにします tcp-map コマンドを使用して TCP マップコンフィギュレーションモードを開始します TCP マップコンフィギュレーションモードで tcp-options コマンドを使用して selective-acknowledgement オプション window-scale オプション および timestamp TCP オプションをクリアします また 明確に定義されていないオプションを持つパケットも消去またはドロップできます 例 次の例では TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲にあるすべてのパケットをドロップする方法を示します hostname(config)# access-list TCP extended permit tcp any any hostname(config)# tcp-map tmap hostname(config-tcp-map)# tcp-options range 6 7 drop hostname(config-tcp-map)# tcp-options range drop hostname(config)# class-map cmap hostname(config-cmap)# match access-list TCP hostname(config)# policy-map pmap hostname(config-pmap)# class cmap hostname(config-pmap)# set connection advanced-options tmap hostname(config)# service-policy pmap global 関連コマンド コマンド 説明 class トラフィック分類に使用するクラスマップを指定します policy-map ポリシーを設定します これは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです set connection 接続値を設定します tcp-map TCP マップを作成して TCP マップコンフィギュレーションモードにア クセスできるようにします 31-5

6 telnet 第 31 章 telnet コンソールへの Telnet アクセスを追加して アイドルタイムアウトを設定するには グローバルコンフィギュレーションモードで telnet コマンドを使用します あらかじめ設定された IP アドレスから Telnet アクセスを削除するには このコマンドの no 形式を使用します telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} no telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} 構文の説明 hostname interface_name IP_address IPv6_address mask timeout number 適応型セキュリティアプライアンスの Telnet コンソールにアクセスできるホストの名前を指定します Telnet へのネットワークインターフェイスの名前を指定します 適応型セキュリティアプライアンスへのログインを認可されているホストまたはネットワークの IP アドレスを指定します 適応型セキュリティアプライアンスへのログインを認可されている IPv6 アドレスおよびプレフィクスを指定します IP アドレスに関連付けられているネットマスクを指定します Telnet セッションが適応型セキュリティアプライアンスによって停止されるまでにアイドル状態を維持する時間 ( 分 ) 有効な値は 1 ~ 1440 分です デフォルト デフォルトでは Telnet セッションのアイドル状態が 5 分間続くと 適応型セキュリティアプライアンスによって停止されます 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) 変数 IPv6_address が追加されました また no telnet timeout コマンドも 追加されました 使用上のガイドライン telnet コマンドでは Telnet で適応型セキュリティアプライアンスコンソールにアクセスできるホストを指定できます 適応型セキュリティアプライアンスへの Telnet 接続は すべてのインターフェイスでイネーブルにできます ただし 適応型セキュリティアプライアンスでは 外部インターフェイスへの Telnet トラフィックがすべて 必ず IPSec で保護されます 外部インターフェイスへの Telnet 31-6

7 第 31 章 telnet セッションをイネーブルにするには まず外部インターフェイス上で IPSec が適応型セキュリティアプライアンスの生成する IP トラフィックを含むように設定し 外部インターフェイスで Telnet をイネーブルにします no telnet コマンドを使用すると 以前に設定した IP アドレスから Telnet アクセスが削除されます telnet timeout コマンドを使用すると コンソールの Telnet セッションの最大アイドル時間を設定して その時間が経過すると 適応型セキュリティアプライアンスがログオフするようにできます no telnet コマンドは telnet timeout コマンドとは ともに使用できません IP アドレスを入力した場合 ネットマスクも入力する必要があります デフォルトのネットマスクはありません 内部ネットワークのサブネットワークマスクを使用しないでください netmask は IP アドレスの単なるビットマスクです アクセスを IP アドレス 1 つに制限するには のように各オクテットに 255 を使用します IPSec が動作中の場合に セキュアでないインターフェイス名 ( 通常 外部インターフェイス ) を指定できます telnet コマンドでインターフェイス名を指定するには 少なくとも crypto map コマンドを設定する必要があります passwd コマンドを使用して コンソールへの Telnet アクセスで使用するパスワードを設定します デフォルトは cisco です who コマンドを使用して 現在適応型セキュリティアプライアンスコンソールにアクセスしている IP アドレスを表示します kill コマンドを使用して アクティブな Telnet コンソールセッションを終了します aaa コマンドを console キーワードとともに使用する場合は Telnet コンソールアクセスを認証サーバで認証する必要があります ( 注 ) aaa コマンドを設定して 適応型セキュリティアプライアンス Telnet コンソールアクセスに認証を要求した場合に コンソールログイン要求がタイムアウトしたときは 適応型セキュリティアプライアンスのユーザ名と enable password コマンドで設定したパスワードを入力して シリアルコンソールから適応型セキュリティアプライアンスにアクセスできます 例 次の例では ホスト および が Telnet を通して適応型セキュリティアプライアンスコンソールへのアクセス許可を得る方法を示します さらに ネットワーク上のすべてのホストがアクセスを許可されます hostname(config)# telnet inside hostname(config)# telnet inside hostname(config)# telnet inside hostname(config)# show running-config telnet inside inside inside 次の例では セッションの最大アイドル継続時間を変更する方法を示します hostname(config)# telnet timeout 10 hostname(config)# show running-config telnet timeout telnet timeout 10 minutes 次の例では Telnet コンソールログインセッションを示します ( パスワードは入力時には表示されません ) hostname# passwd: cisco Welcome to the XXX Type help or? for a list of available commands. hostname> 31-7

8 telnet 第 31 章 no telnet コマンドを使用して個々のエントリを削除することも すべての telnet コマンドステートメントを clear configure telnet コマンドで削除することもできます hostname(config)# no telnet inside hostname(config)# show running-config telnet inside inside hostname(config)# clear configure telnet 関連コマンド コマンド 説明 clear configure telnet telnet コンフィギュレーションから Telnet 接続を削除します kill Telnet セッションを終了します show running-config telnet who 適応型セキュリティアプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します 適応型セキュリティアプライアンス上のアクティブな Telnet 管理セッションを表示します 31-8

9 第 31 章 terminal terminal 現在の Telnet セッションで syslog メッセージの表示を許可するには 特権 EXEC モードで terminal monitor コマンドを使用します syslog メッセージの表示をディセーブルにするには このコマンドの no 形式を使用します terminal {monitor no monitor} 構文の説明 monitor no monitor 現在の Telnet セッションで syslog メッセージの表示をイネーブルにします 現在の Telnet セッションで syslog メッセージの表示をディセーブルにします デフォルト Syslog メッセージは デフォルトではディセーブルになっています 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース既存 変更内容このコマンドは既存です 例 次の例は 現在のセッションで syslog メッセージの表示をイネーブルおよびディセーブルにする方法を示します hostname# terminal monitor hostname# terminal no monitor 関連コマンド コマンド clear configure terminal pager show running-config terminal terminal pager terminal width 説明端末の表示幅設定をクリアします Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されます 現在の端末設定を表示します Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されません グローバルコンフィギュレーションモードでの端末の表示幅を設定します 31-9

10 terminal pager 第 31 章 terminal pager Telnet セッションで ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定するには 特権 EXEC モードで terminal pager コマンドを使用します terminal pager [lines] lines 構文の説明 [lines] lines ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定します デフォルトは 24 行です 0 は ページの制限がないことを示します 指定できる範囲は 0 ~ 行です lines キーワードはオプションで 付けても付けなくてもコマンドは同じです デフォルト デフォルトは 24 行です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このコマンドは 現在の Telnet セッションに対してだけ pager line 設定を変更します 新しいデフォルトの pager 設定をコンフィギュレーションに保存するには pager コマンドを使用します 管理コンテキストに Telnet 接続する場合 ある特定のコンテキスト内の pager コマンドに異なる設定があっても 他のコンテキストに移ったときには pager line 設定はユーザのセッションに従います 現在の pager 設定を変更するには 新しい設定で terminal pager コマンドを入力するか pager コマンドを現在のコンテキストで入力します pager コマンドは コンテキストコンフィギュレーションに新しい pager 設定を保存する以外に 新しい設定を現在の Telnet セッションに適用します 例 次に 表示される行数を 20 に変更する例を示します hostname# terminal pager

11 第 31 章 terminal pager 関連コマンド コマンド 説明 clear configure terminal 端末の表示幅設定をクリアします pager Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定します このコマンドはコンフィギュレーションに保存されます show running-config terminal 現在の端末設定を表示します terminal syslog メッセージが Telnet セッションで表示されるようにします terminal width グローバルコンフィギュレーションモードでの端末の表示幅を設 定します 31-11

12 terminal width 第 31 章 terminal width コンソールセッション中に情報を表示する幅を設定するには グローバルコンフィギュレーションモードで terminal width コマンドを使用します ディセーブルにするには このコマンドの no 形式を使用します terminal width columns no terminal width columns 構文の説明 columns 端末の幅をカラム単位で指定します デフォルトは 80 です 指定できる範囲は 40 ~ 511 です デフォルト デフォルトの表示幅は 80 カラムです 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース既存 変更内容このコマンドは既存です 例 次の例では 端末の表示幅を 100 カラムにする方法を示します hostname# terminal width 100 関連コマンド コマンド clear configure terminal show running-config terminal terminal 説明端末の表示幅設定をクリアします 現在の端末設定を表示します 特権 EXEC モードで端末回線のパラメータを設定します 31-12

13 第 31 章 test aaa-server test aaa-server 適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには 特権 EXEC モードで test aaa-server コマンドを使用します AAA サーバへの到達に失敗する場合 適応型セキュリティアプライアンスのコンフィギュレーションが誤っているか 他の理由 ( ネットワークコンフィギュレーションの制限 またはサーバのダウンタイムなど ) で到達不能になっている可能性があります test aaa-server {authentication server_tag [host ip_address] [username username] [password password] authorization server_tag [host ip_address] [username username]} 構文の説明 authentication authorization host ip_address password password server_tag username username AAA サーバに認証機能があるかどうかをテストします AAA サーバに従来の VPN 認可機能があるかどうかをテストします サーバの IP アドレスを指定します コマンドで IP アドレスが指定されていない場合 入力を求めるプロンプトが表示されます ユーザパスワードを指定します コマンドでパスワードが指定されていない場合 入力を求めるプロンプトが表示されます aaa-server コマンドで設定した AAA サーバタグを指定します AAA サーバコンフィギュレーションのテストに使用されるアカウントのユーザ名を指定します AAA サーバ上にそのユーザ名が存在することを確認します 存在しない場合 テストは失敗します コマンドでユーザ名が指定されていない場合 入力を求めるプロンプトが表示されます デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.0(4) このコマンドが追加されました 使用上のガイドライン test aaa-server コマンドを使用して 適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証できるかどうか また従来の VPN 認可の場合は ユーザを認可できるかどうかを確認できます このコマンドでは 認証または認可を試みる実際のユーザがいなくても AAA サーバをテストできます また AAA が機能しなかった場合 AAA サーバパラメータの設定の誤り AAA サーバへの接続の問題 または適応型セキュリティアプライアンスでのその他のコンフィギュレーションエラーに起因するものかどうかを識別できます 31-13

14 test aaa-server 第 31 章 例 次の例では ホスト に srvgrp1 という名前の RADIUS AAA サーバを設定し タイムアウトを 9 秒に リトライ間隔を 7 秒に 認証ポートを 1650 に設定しています AAA サーバパラメータの設定に続く test aaa-server コマンドは 認証テストがサーバに到達できず失敗したことを示しています hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host hostname(config-aaa-server-host)# timeout 9 hostname(config-aaa-server-host)# retry-interval 7 hostname(config-aaa-server-host)# authentication-port 1650 hostname(config-aaa-server-host)# exit hostname(config)# test aaa-server authentication svrgrp1 Server IP Address or name: Username: bogus Password: mypassword INFO: Attempting Authentication test to IP address < > (timeout: 10 seconds) ERROR: Authentication Rejected: Unspecified 次に test aaa-server コマンドが成功した場合の出力例を示します hostname# test aaa-server authentication svrgrp1 host username bogus password mypassword INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful 関連コマンド コマンド 説明 aaa authentication console 管理トラフィックの認証を設定します aaa authentication match 通過トラフィックの認証を設定します aaa-server AAA サーバグループを作成します aaa-server host AAA サーバをサーバグループに追加します 31-14

15 第 31 章 test dynamic-access-policy attributes test dynamic-access-policy attributes dap アトリビュートモードを開始するには 特権 EXEC モードから test dynamic-access-policy attributes コマンドを入力します これで ユーザとエンドポイントのアトリビュート値ペアを指定できます dynamic-access-policy attributes デフォルト デフォルトの値や動作はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 使用上のガイドライン 通常 適応型セキュリティアプライアンスは AAA サーバからユーザ認可アトリビュートを取得し Cisco Secure Desktop Host Scan CNA または NAC からエンドポイントアトリビュートを取得します test コマンドの場合 ユーザ認可アトリビュートとエンドポイントアトリビュートをこのアトリビュートモードで指定します 適応型セキュリティアプライアンスは これらのアトリビュートを DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュートデータベースに書き込みます この機能を利用して DAP レコードの作成を実験できます 例 次に attributes コマンドの使用例を示します hostname # test dynamic-access-policy attributes hostname(config-dap-test-attr)# 関連コマンド コマンド dynamic-access-policy-record attributes display 説明 DAP レコードを作成します アトリビュートモードに入ります このモードでは ユーザアトリビュート値のペアを指定できます 現在のアトリビュートリストを表示します 31-15

16 test dynamic-access-policy execute 第 31 章 test dynamic-access-policy execute 31-16

17 第 31 章 test regex test regex 正規表現をテストするには 特権 EXEC モードで test regex コマンドを使用します test regex input_text regular_expression 構文の説明 input_text regular_expression 正規表現と照合するテキストを指定します 最大 100 文字の正規表現を指定します 正規表現で使用できるメタ文字のリストについては regex コマンドを参照してください デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン test regex コマンドは 正規表現が一致すべきものと一致するかどうかをテストします 入力したテキストと正規表現が一致すると 次のメッセージが表示されます INFO: Regular expression match succeeded. 入力したテキストと正規表現が一致しない場合は 次のメッセージが表示されます INFO: Regular expression match failed. 例 次の例は 入力したテキストと正規表現が一致するかどうかをテストします hostname# test regex farscape scape INFO: Regular expression match succeeded. hostname# test regex farscape scaper INFO: Regular expression match failed

18 test regex 第 31 章 関連コマンド コマンド 説明 class-map type inspect アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します policy-map トラフィッククラスを 1 つ以上のアクションと関連付けることによって ポリシーマップを作成します policy-map type inspect アプリケーションインスペクションの特別なアクションを定義します class-map type regex 正規表現クラスマップを作成します regex 正規表現を作成します 31-18

19 第 31 章 test sso-server test sso-server テスト認証要求で SSO サーバをテストするには 特権 EXEC モードで test sso-server コマンドを使用します test sso-server server-name username user-name 構文の説明 server-name user-name テストされる SSO サーバの名前を指定します テストされる SSO サーバ上のユーザ名を指定します デフォルト デフォルトの値や動作はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム config-webvpn config-webvpn-sso-saml config-webvpn-sso-siteminder グローバルコンフィギュレー ションモード 特権 EXEC コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 使用上のガイドライン シングルサインオンは WebVPN でのみサポートされています これにより ユーザはユーザ名とパスワードを一度だけ入力すれば 別のサーバでさまざまなセキュアなサービスにアクセスできます test sso-server コマンドは SSO サーバが認識されるかどうか および認証要求に応答するかどうかをテストします server-name 引数により指定された SSO サーバが検出されない場合は 次のエラーが表示されます ERROR: sso-server server-name does not exist SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合 認証は拒否されます 認証では 適応型セキュリティアプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します 適応型セキュリティアプライアンスは現在 SiteMinder SSO サーバ ( 以前の Netegrity SiteMinder) と SAML POST タイプの SSO サーバをサポートしています このコマンドは SSO サーバの両タイプに適用されます 31-19

20 test sso-server 第 31 章 例 特権 EXEC モードで入力された次の例では my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用してテストに成功しています hostname# test sso-server my-sso-server username Anyuser INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser INFO: STATUS: Success hostname# 次の例は同じサーバのテストを示していますが Anotheruser というユーザ名は認識されず 認証は失敗しています hostname# test sso-server my-sso-server username Anotheruser INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser INFO: STATUS: Failed hostname# 関連コマンド コマンド 説明 max-retry-attempts 適応型セキュリティアプライアンスが 失敗した SSO 認証を再試行する回数を設定します policy-server-secret SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します request-timeout SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します show webvpn sso-server セキュリティデバイスに設定されているすべての SSO サーバの運用統計情報を表示します sso-server シングルサインオンサーバを作成します web-agent-url 適応型セキュリティアプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します 31-20

21 第 31 章 text-color text-color ログインページ ホームページ およびファイルアクセスページの WebVPN タイトルバーのテキストに色を設定するには webvpn モードで text-color コマンドを使用します テキストの色をコンフィギュレーションから削除してデフォルトにリセットするには このコマンドの no 形式を使用します text-color [black white auto] no text-color 構文の説明 auto black white secondary-color コマンドの設定に基づいて黒または白を選択します つまり 2 番めの色が黒の場合 この値は白となります タイトルバーのテキストのデフォルト色は白です 色を黒に変更できます デフォルト タイトルバーのテキストのデフォルト色は白です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム webvpn コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 例 次の例では タイトルバーのテキストの色を黒に設定する方法を示します hostname(config)# webvpn hostname(config-webvpn)# text-color black 関連コマンド コマンド 説明 secondary-text-color WebVPN ログインページ ホームページ およびファイルアクセスペー ジの 2 番めのテキストの色を設定します 31-21

22 tftp-server 第 31 章 tftp-server configure net コマンド または write net コマンドで使用するデフォルトの TFTP サーバおよびパスとファイル名を指定するには グローバルコンフィギュレーションモードで tftp-server コマンドを使用します サーバコンフィギュレーションを削除するには このコマンドの no 形式を使用します このコマンドは IPv4 および IPv6 のアドレスをサポートします tftp-server interface_name server filename no tftp-server [interface_name server filename] 構文の説明 filename interface_name server パスとファイル名を指定します ゲートウェイインターフェイス名を指定します 最も安全なセキュリティインターフェイス以外のインターフェイスを指定した場合 このインターフェイスがセキュアでないことを示す警告メッセージが表示されます TFTP サーバの IP アドレスまたは名前を設定します IPv4 アドレスまたは IPv6 アドレスを入力できます デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) 現在ではゲートウェイインターフェイスが必要です 使用上のガイドライン tftp-server コマンドを使用すると configure net コマンドと write net コマンドの入力が容易になります configure net コマンドや write net コマンドを入力するとき tftp-server コマンドで指定した TFTP サーバを継承するか 独自の値を指定できます また tftp-server コマンドのパスをそのまま継承したり tftp-server コマンド値の末尾にパスとファイル名を追加したり tftp-server コマンド値を上書きすることもできます 適応型セキュリティアプライアンスがサポートする tftp-server コマンドは 1 つだけです 例 次の例では TFTP サーバを指定し コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します hostname(config)# tftp-server inside /temp/config/test_config hostname(config)# configure net 31-22

23 第 31 章 tftp-server 関連コマンド コマンド 説明 configure net 指定した TFTP サーバおよびパスから コンフィギュレーションをロードします show running-config tftp-server デフォルトの TFTP サーバアドレスとコンフィギュレーションファイルのディレクトリを表示します 31-23

24 tftp-server address 第 31 章 tftp-server address クラスタにある TFTP サーバを指定するには Phone-Proxy コンフィギュレーションモードで tftp-server address コマンドを使用します TFTP サーバを Phone Proxy コンフィギュレーションから削除するには このコマンドの no 形式を使用します tftp-server address ip_address [port] interface interface no tftp-server address ip_address [port] interface interface 構文の説明 ip_address interface interface port TFTP サーバのアドレスを指定します TFTP サーバを格納するインターフェイスを指定します TFTP サーバの実際のアドレスである必要があります ( 任意 )TFTP サーバが TFTP リクエストを受信するポートです デフォルトの TFTP ポート 69 を使用しない場合は このポートを設定する必要があります デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています Phone-Proxy コンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(4) このコマンドが追加されました 使用上のガイドライン Phone Proxy には 設定済みの CUCM TFTP サーバが少なくとも 1 台は必要です TFTP サーバは Phone Proxy に 5 台まで設定できます TFTP サーバは 信頼できるネットワークのファイアウォールの背後にあると見なされます そのため Phone Proxy は IP 電話と TFTP サーバ間のリクエストを代行受信します TFTP サーバは CUCM と同じインターフェイス上に存在する必要があります 内部 IP アドレスを使用して TFTP サーバを作成し TFTP サーバが存在するインターフェイスを指定します IP 電話で TFTP サーバの IP アドレスを次のように設定する必要があります NAT が TFTP サーバ用に設定されている場合は TFTP サーバのグローバル IP アドレスを使用します NAT が TFTP サーバ用に設定されていない場合は TFTP サーバの内部 IP アドレスを使用します 31-24

25 第 31 章 tftp-server address サービスポリシーがグローバルに適用されている場合は すべての入力インターフェイス上の TFTP サーバに到達する TFTP トラフィックの送信先を指定する分類ルールが作成されます ただし TFTP サーバが存在するインターフェイスは除きます サービスポリシーが特定のインターフェイスに適用されている場合は そのインターフェイス上の TFTP サーバに到達する TFTP トラフィックをすべて Phone-Proxy モジュールに送信する分類ルールが作成されます NAT を TFTP サーバ用に設定する場合 分類ルールのインストール時に TFTP サーバのグローバルアドレスを使用するためには その NAT の設定をサービスポリシーを適用する前に行う必要があります 例 次の例は 2 台の TFTP サーバを Phone Proxy 用に設定する tftp-server address コマンドの使用方法を示します hostname(config)# phone-proxy asa_phone_proxy hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# media-termination address interface inside hostname(config-phone-proxy)# media-termination address interface outside hostname(config-phone-proxy)# tls-proxy asa_tlsp hostname(config-phone-proxy)# ctl-file asactl hostname(config-phone-proxy)# cluster-mode nonsecure 関連コマンド コマンド 説明 phone-proxy Phone Proxy インスタンスを設定します 31-25

26 threat-detection basic-threat 第 31 章 threat-detection basic-threat 基本脅威検出をイネーブルにするには グローバルコンフィギュレーションモードで threat-detection basic-threat コマンドを使用します 基本脅威検出をディセーブルにするには このコマンドの no 形式を使用します threat-detection basic-threat no threat-detection basic-threat 構文の説明 このコマンドには 引数またはキーワードはありません デフォルト 基本脅威検出はデフォルトでイネーブルになっています 次のデフォルトレート制限が使用されます 表 31-1 基本脅威検出のデフォルト設定 パケットドロップの理由 DoS 攻撃を検出 パケット形式が不良 接続制限値を超過 疑わしい ICMP パケットを検出 トリガー設定平均レート 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 80 ドロップ / 秒 スキャン攻撃を検出直前の 600 秒間で 5 ドロップ / 秒 直前の 3600 秒間で 4 ドロップ / 秒 TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出 ( 複合 ) アクセスリストによる拒否 基本ファイアウォール検査に不合格 パケットがアプリケーションインスペクションに不合格インターフェイス過負荷 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 80 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 320 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 320 ドロップ / 秒 直前の 600 秒間で 2000 ドロップ / 秒 直前の 3600 秒間で 1600 ドロップ / 秒 バーストレート 直前の 10 秒間で 400 ドロップ / 秒 直前の 60 秒間で 320 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 60 秒間で 8 ドロップ / 秒 直前の 10 秒間で 200 ドロップ / 秒 直前の 60 秒間で 160 ドロップ / 秒 直前の 10 秒間で 800 ドロップ / 秒 直前の 60 秒間で 640 ドロップ / 秒 直前の 10 秒間で 1600 ドロップ / 秒 直前の 60 秒間で 1280 ドロップ / 秒 直前の 10 秒間で 8000 ドロップ / 秒 直前の 60 秒間で 6400 ドロップ / 秒 31-26

27 第 31 章 threat-detection basic-threat 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 使用上のガイドライン 基本脅威検出をイネーブルにすると 適応型セキュリティアプライアンスは次の理由により ドロップパケットとセキュリティイベントのレートをモニタします アクセスリストによる拒否 不良パケット形式 (invalid-ip-header や invalid-tcp-hdr-length など ) 接続制限超過 ( システム全体のリソース制限およびコンフィギュレーションで設定される制限の両方 ) DoS 攻撃を検出 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) 基本ファイアウォール検査に不合格 ( このオプションは ここで列挙するファイアウォールに関連したパケットドロップすべてを含む複合レートです インターフェイスの過負荷 アプリケーションインスペクションで不合格になったパケット および検出されたスキャン攻撃など ファイアウォールに関連しないドロップは含まれません ) 疑わしい ICMP パケットを検出 パケットがアプリケーションインスペクションに不合格 インターフェイス過負荷 スキャン攻撃を検出 ( このオプションでは たとえば最初の TCP パケットが SYN パケットでない またはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします 完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) では このスキャン攻撃レートの情報を取得し その情報に基づき たとえばホストを攻撃者に分類して自動的に遮断するなどの方法で対処します ) TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出適応型セキュリティアプライアンスは 脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します 基本脅威検出は ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します このようなシナリオでも パフォーマンスへの影響はわずかです デフォルト の項の表 31-1 に デフォルト設定の一覧を示します すべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できます イベントのタイプごとのデフォルト設定は threat-detection rate コマンドを使用して上書きできます 31-27

28 threat-detection basic-threat 第 31 章 イベントレートが超過すると 適応型セキュリティアプライアンスはシステムメッセージを送信します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します バーストイベントレートは 平均レート間隔の 30 分の 1 または 10 秒のうち いずれか大きい方の値です 受信するイベントごとに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします 両方のレートが超過している場合 適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します 例 次の例では 基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンド コマンド 説明 clear threat-detection rate 基本脅威検出の統計情報をクリアします show running-config all threat-detection show threat-detection rate threat-detection rate threat-detection scanning-threat 脅威検出コンフィギュレーションを表示します 個別にレート設定をしていない場合はデフォルトのレート設定も表示されます 基本脅威検出の統計情報を表示します イベントタイプごとの脅威検出レート制限を設定します 脅威検出のスキャンをイネーブルにします 31-28

29 第 31 章 threat-detection rate threat-detection rate threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は グローバルコンフィギュレーションモードで threat-detection rate コマンドを使用して 各イベントタイプのデフォルトレート制限を変更できます threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合 scanning-threat キーワードを指定してこのコマンドを使用し ホストを攻撃者またはターゲットと見なす時期を設定することもできます 設定しない場合 基本脅威検出およびスキャン脅威検出の両方でデフォルトの scanning-threat 値が使用されます デフォルト設定に戻すには このコマンドの no 形式を使用します threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate no threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate 構文の説明 acl-drop アクセスリストの拒否が原因でドロップされるパケットのレート制限を設定します average-rate av_rate 0 ~ の範囲で平均レート制限 ( ドロップ / 秒 ) を設定します bad-packet-drop 不良パケット形式 (invalid-ip-header または invalid-tcp-hdr-length など ) による拒否が原因でドロップされるパケットのレート制限を設定します burst-rate burst_rate 0 ~ の範囲でバーストレート制限 ( ドロップ / 秒 ) を設定します バーストレートは N 秒ごとの平均レートとして計算されます N はバーストレート間隔です バーストレート間隔は rate-interval rate_interval 値の 30 分の 1 または 10 秒のうち いずれか大きい方の値です conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop rate-interval rate_interval 接続制限 ( システム全体のリソース制限とコンフィギュレーションで設定された制限の両方 ) の超過が原因で ドロップされるパケットのレート制限を設定します DoS 攻撃 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) の検出が原因で ドロップされるパケットのレート制限を設定します 基本ファイアウォールチェックの失敗が原因で ドロップされるパケットのレート制限を設定します このオプションは このコマンドのファイアウォールに関連したパケットドロップをすべて含む複合レートです interface-drop inspect-drop scanning-threat など ファイアウォールに関連しないドロップレートは含まれません 疑わしい ICMP パケットの検出が原因で ドロップされるパケットのレート制限を設定します アプリケーションインスペクションでの不合格が原因でドロップされるパケットのレート制限を設定します インターフェイスの過負荷が原因で ドロップされるパケットのレート制限を設定します 600 秒 ~ 秒 (30 日 ) の範囲で平均レート間隔を設定します レート間隔は ドロップ数の平均値を求めるときの期間を決定するために使用されます また バーストしきい値レート間隔も決定します 31-29

30 threat-detection rate 第 31 章 scanning-threat syn-attack スキャン攻撃の検出が原因で ドロップされるパケットのレート制限を設定します このオプションでは たとえば最初の TCP パケットが SYN パケットでない またはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします 完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) では このスキャン攻撃レートの情報を取得し その情報をもとにして たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションが原因で ドロップされるパケットのレート制限を設定します デフォルト threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は 次のデフォルトレート制限が使用されます 表 31-2 基本脅威検出のデフォルト設定 トリガー設定 パケットドロップの理由 dos-drop bad-packet-drop conn-limit-drop icmp-drop 平均レート直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 100 ドロップ / 秒 scanning-threat 直前の 600 秒間で 5 ドロップ / 秒 直前の 3600 秒間で 5 ドロップ / 秒 syn-attack acl-drop fw-drop inspect-drop interface-drop 直前の 600 秒間で 100 ドロップ / 秒 直前の 3600 秒間で 100 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 400 ドロップ / 秒 直前の 600 秒間で 400 ドロップ / 秒 直前の 3600 秒間で 400 ドロップ / 秒 直前の 600 秒間で 2000 ドロップ / 秒 直前の 3600 秒間で 2000 ドロップ / 秒 バーストレート 直前の 10 秒間で 400 ドロップ / 秒 直前の 60 秒間で 400 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 60 秒間で 10 ドロップ / 秒 直前の 10 秒間で 200 ドロップ / 秒 直前の 60 秒間で 200 ドロップ / 秒 直前の 10 秒間で 800 ドロップ / 秒 直前の 60 秒間で 800 ドロップ / 秒 直前の 10 秒間で 1600 ドロップ / 秒 直前の 60 秒間で 1600 ドロップ / 秒 直前の 10 秒間で 8000 ドロップ / 秒 直前の 60 秒間で 8000 ドロップ / 秒 次の表は このコマンドを入力できるモードを示しています 31-30

31 第 31 章 threat-detection rate グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 使用上のガイドライン イベントタイプごとに異なるレート間隔を最大 3 つまで設定することができます 基本脅威検出をイネーブルにすると 適応型セキュリティアプライアンスは 構文の説明 の表に説明があるイベントタイプにより ドロップパケットとセキュリティイベントのレートをモニタします 適応型セキュリティアプライアンスは 脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します 基本脅威検出は ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します このようなシナリオでも パフォーマンスへの影響はわずかです デフォルト の項の表 31-2 に デフォルト設定の一覧を示します すべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できます イベントレートが超過すると 適応型セキュリティアプライアンスはシステムメッセージを送信します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します 受信するイベントごとに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします 両方のレートが超過している場合 適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します 例 次の例では 基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンド コマンド clear threat-detection rate show running-config all threat-detection show threat-detection rate threat-detection basic-threat threat-detection scanning-threat 説明基本脅威検出の統計情報をクリアします 脅威検出コンフィギュレーションを表示します 個別にレート設定をしていない場合はデフォルトのレート設定も表示されます 基本脅威検出の統計情報を表示します 基本脅威検出をイネーブルにします 脅威検出のスキャンをイネーブルにします 31-31

32 threat-detection scanning-threat 第 31 章 threat-detection scanning-threat スキャン脅威検出をイネーブルにする場合は グローバルコンフィギュレーションモードで threat-detection scanning-threat コマンドを使用します スキャン脅威検出をディセーブルにする場合は このコマンドの no 形式を使用します threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] no threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] 構文の説明 duration seconds except ip-address ip_address mask object-group network_object_group_id shun 攻撃元ホストに対する遮断の継続時間を 10 ~ 秒の範囲で設定します デフォルトは 3600 秒 (1 時間 ) です 排除対象から IP アドレスを除外します このコマンドを複数回入力して 排除対象から除外する複数の IP アドレスまたはネットワークオブジェクトグループを指定します 排除対象から除外する IP アドレスを指定します 排除対象から除外するネットワークオブジェクトグループを指定します オブジェクトグループを作成するには object-group network コマンドを参照してください 適応型セキュリティアプライアンスがホストを攻撃者であると識別すると syslog メッセージ を送信し さらにホスト接続を自動的に終了します デフォルト デフォルトの遮断の継続時間は 3600 秒 (1 時間 ) です スキャン攻撃イベントでは 次のデフォルトレート制限が適用されます 表 31-3 スキャン脅威検出のデフォルトレート制限 平均レート バーストレート 直前の 600 秒間で 5 ドロップ / 秒 直前の 10 秒間で 10 ドロップ / 秒 直前の 3600 秒間で 5 ドロップ / 秒 直前の 60 秒間で 10 ドロップ / 秒 31-32

33 第 31 章 threat-detection scanning-threat 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.0(4) duration キーワードが追加されました 使用上のガイドライン 一般的なスキャン攻撃は ( サブネット内の多くのホストを経由してスキャンするか ホストまたはサブネットの多くのポートを経由してスイープすることにより ) サブネット内のすべての IP アドレスのアクセス可能性をテストするホストで構成されています スキャン脅威検出機能では ホストがいつスキャンを実行するか判定します トラフィックシグニチャに基づく IPS スキャン検出とは異なり適応型セキュリティアプライアンスのスキャン脅威検出機能では スキャン作業用に分析可能なホストの統計情報を含む広範なデータベースを保持しています ホストのデータベースは 戻りアクティビティのない接続 閉じているサービスポートへのアクセス 非ランダム IPID などの危険な TCP 動作など 疑わしいアクティビティを追跡します 注意 スキャン脅威検出機能は ホストおよびサブネットベースのデータ構造と情報を作成し収集する間 適応型セキュリティアプライアンスのパフォーマンスとメモリに大きな影響を与える可能性があります 適応型セキュリティアプライアンスを設定して攻撃者に関するシステムログメッセージを送信するか またはホストを自動的に排除することができます デフォルトでは ホストが攻撃者として識別されると システムログメッセージ が生成されます 適応型セキュリティアプライアンスは スキャン脅威のイベントレートが超過したら 攻撃者およびターゲットを識別します 適応型セキュリティアプライアンスは 一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します スキャン攻撃の一部と考えられるイベントが検出されるたびに 適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします ホストから送信されたトラフィックでいずれかのレートが超過していると そのホストは攻撃者と見なされます ホストが受信したトラフィックでいずれかのレートが超過していると そのホストはターゲットと見なされます スキャン脅威イベントのレート制限は threat-detection rate scanning-threat コマンドを使用して変更できます 攻撃者またはターゲットに分類されたホストを表示するには show threat-detection scanning-threat コマンドを使用します 排除されたホストを表示するには show threat-detection shun コマンドを使用します 排除対象からホストを除外するには clear threat-detection shun コマンドを使用します 例 次の例では スキャン脅威検出をイネーブルにし 攻撃者として分類されたホストを自動的に排除します ( ネットワークのホストを除く ) スキャン脅威検出のデフォルトレート制限も変更されています 31-33

34 threat-detection scanning-threat 第 31 章 hostname(config)# threat-detection scanning-threat shun except ip-address hostname(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20 hostname(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20 関連コマンド コマンド 説明 clear threat-detection shun 排除対象からホストを除外します show threat-detection 攻撃者またはターゲットとして分類されたホストを表示します scanning-threat show threat-detection shun 現在排除されているホストを表示します threat-detection basic-threat 基本脅威検出をイネーブルにします threat-detection rate イベントタイプごとの脅威検出レート制限を設定します 31-34

35 第 31 章 threat-detection statistics threat-detection statistics 高度なスキャン脅威検出の統計情報をイネーブルにするには グローバルコンフィギュレーションモードで threat-detection statistics コマンドを使用します 高度なスキャン脅威検出の統計情報をディセーブルにするには このコマンドの no 形式を使用します 注意 統計情報をイネーブルにすると イネーブルにする統計情報のタイプに応じて 適応型セキュリティアプライアンスのパフォーマンスが影響を受けます threat-detection statistics host コマンドはパフォーマンスに著しく影響を与えるため トラフィックの負荷が高くなることがある場合は このタイプの統計情報を一時的にイネーブルすることを検討します 一方 threat-detection statistics port コマンドによる影響はそれほど大きくありません threat-detection statistics [access-list [host port protocol [number-of-rate {1 2 3}] tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] no threat-detection statistics [access-list host port protocol tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] 構文の説明 access-list ( 任意 ) アクセスリスト拒否の統計情報をイネーブルにします アク セスリスト統計情報は show threat-detection top access-list コマン ドを使用するときだけ表示されます average-rate attacks_per_sec burst-rate attacks_per_sec host number-of-rate {1 2 3} port protocol ( 任意 )TCP 代行受信の場合 syslog メッセージ生成の平均レートしきい値を 25 ~ の範囲で設定します デフォルトは 1 秒あたり 200 です 平均レートを超えると syslog メッセージ が生成されます ( 任意 )TCP 代行受信の場合 syslog メッセージ生成のしきい値を 25 ~ の範囲で設定します デフォルトは 1 秒あたり 400 です このバーストレートを超えると syslog メッセージ が生成されます ( 任意 ) ホスト統計情報をイネーブルにします ホスト統計情報は ホストがアクティブで スキャン脅威ホストデータベース内にある限り累積します ホストは 非アクティブな時間が 10 分を過ぎるとデータベースから削除されます ( 統計情報は消去されます ) ( 任意 ) ホスト ポート プロトコルの統計情報に対して維持されるレート間隔の数を設定します デフォルトのレート間隔の数は 1 で これによりメモリ使用量を少なく保ちます レート間隔をさらに表示するには 値を 2 または 3 に設定します たとえば 値を 3 に設定すると 直前の 1 時間 8 時間および 24 時間のデータが表示されます このキーワードを 1( デフォルト値 ) に設定すると 最短のレート間隔の統計情報だけが維持されます 値を 2 に設定すると 2 つの最短の間隔が保持されます ( 任意 ) ポート統計情報をイネーブルにします ( 任意 ) プロトコル統計情報をイネーブルにします 31-35

36 threat-detection statistics 第 31 章 rate-interval minutes tcp-intercept ( 任意 )TCP 代行受信の場合 履歴モニタリングウィンドウのサイズを 1 ~ 1440 分の範囲で設定します デフォルトは 30 分です この間に 適応型セキュリティアプライアンスが攻撃をサンプリングする回数は 30 回です ( 任意 )TCP 代行受信によって代行受信された攻撃に関する統計情報をイネーブルにします TCP 代行受信をイネーブルにするには set connection embryonic-conn-max command コマンド あるいは nat あるいは static コマンドを参照してください デフォルト アクセスリスト統計情報は デフォルトでイネーブルになっています このコマンドでオプションを何も指定しないと すべてのオプションがイネーブルになります デフォルトの tcp-intercept rate-interval は 30 分です デフォルトの burst-rate は 1 秒あたり 400 です デフォルトの average-rate は 1 秒あたり 200 です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト 1 1. マルチコンテキストモードでは TCP 代行受信の統計情報のみサポートされます システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 8.0(4)/8.1(2) tcp-intercept キーワードが追加されました 8.1(2) number-of-rates キーワードがホスト統計情報用に追加され レート数の デフォルト値が 3 から 1 に変更されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されま した 8.3(1) number-of-rates キーワードがポートとプロトコルの統計情報用に追加さ れ レート数のデフォルト値が 3 から 1 に変更されました 使用上のガイドライン このコマンドでオプションを何も指定しないと すべての統計情報がイネーブルになります 特定の統計情報のみイネーブルにするには 統計の種類ごとにこのコマンドを入力します また オプションなしでこのコマンドを入力しないでください threat-detection statistics を ( オプションなしで ) 入力し 次に統計情報固有のオプションを指定してコマンドを入力することで特定の統計情報をカスタマイズできます (threat-detection statistics host number-of-rate 2 など ) threat-detection statistics を ( オプションなしで ) 入力し 次に特定の統計情報用のコマンドを統計情報固有のオプションなしで入力した場合は すでにイネーブルになっているため そのコマンドは効果がないものとなります このコマンドの no 形式を入力した場合 threat-detection statistics コマンドはすべて削除されます その中には デフォルトでイネーブルとなっている threat-detection statistics access-list コマンドも含まれます 31-36

37 第 31 章 threat-detection statistics show threat-detection statistics コマンドを使用して 統計情報を表示します スキャン脅威検出は threat-detection scanning-threat コマンドを使用して イネーブルにする必要はありません 検出と統計情報は別々に設定できます 例 次の例では ホストを除くすべてのタイプで スキャン脅威検出とスキャン脅威統計情報をイネーブルにします hostname(config)# threat-detection scanning-threat shun except ip-address hostname(config)# threat-detection statistics access-list hostname(config)# threat-detection statistics port hostname(config)# threat-detection statistics protocol hostname(config)# threat-detection statistics tcp-intercept 関連コマンド コマンド 説明 threat-detection scanning-threat 脅威検出のスキャンをイネーブルにします show threat-detection statistics host ホストの統計情報を表示します show threat-detection memory 高度な脅威検出の統計情報のメモリ使用を表示します show threat-detection statistics port ポートの統計情報を表示します show threat-detection statistics protocol プロトコルの統計情報を表示します show threat-detection statistics top 上位 10 位までの統計情報を表示します 31-37

38 threshold 第 31 章 threshold SLA モニタリング動作のしきい値超過イベントの基準となるしきい値を設定するには SLA モニタコンフィギュレーションモードで threshold コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します threshold milliseconds no threshold 構文の説明 milliseconds 宣言する上限値をミリ秒で指定します 有効な値は 0 ~ です タイムアウト値に設定された値より大きな値を指定できません デフォルト デフォルトのしきい値は 5000 ミリ秒です 次の表は このコマンドを入力できるモードを示しています SLA モニタコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン しきい値は しきい値超過イベントを示すためだけに使われます このイベントは 到達可能性には影響しませんが timeout コマンドの設定が正しいかどうかを評価するために使用できます 例 次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています SLA 動作の頻度を 10 秒 しきい値を 2500 ミリ秒 タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-38

39 第 31 章 threshold 関連コマンド コマンド 説明 sla monitor SLA モニタリング動作を定義します timeout SLA 動作が応答を待機する期間を定義します 31-39

40 ticket 第 31 章 ticket Cisco Intercompany Media Engine プロキシ用にチケットエポックとパスワードを設定するには UC-IME コンフィギュレーションモードで ticket コマンドを使用します プロキシからコンフィギュレーションを削除するには このコマンドの no 形式を使用します ticket epoch n password password no ticket epoch n password password 構文の説明 n password パスワードの完全性チェックの時間間隔を設定します 1 ~ 255 の整数を入力します Cisco Intercompany Media Engine チケットのパスワードを設定します US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で 入力します 入力可能な文字は 0x21 ~ 0x73 までで 空白文字は含まれません 一度に設定できるパスワードは 1 つだけです デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています UC-IME コンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.3(1) このコマンドが追加されました 使用上のガイドライン Cisco Intercompany Media Engine 用にチケットエポックとパスワードを設定します エポックには パスワードを変更するたびに更新される整数が含まれます プロキシが初めて設定される場合で 最初のパスワードが入力されると エポックの整数に 1 が入力されます パスワードを変更するたびに エポックを増加させ新しいパスワードであることを示します パスワード更新時ごとに エポック値を増加する必要があります 一般的には エポックは連続的に増加させますが 適応型セキュリティアプライアンスでは エポック更新時に任意の値を選ぶことができます エポック値を変更する場合は 現在のパスワードが無効となり 新しいパスワードを入力する必要があります パスワードは 20 文字以上にすることを推奨します 一度に設定できるパスワードは 1 つだけです 31-40

41 第 31 章 ticket チケットパスワードはフラッシュに格納されます show running-config uc-ime コマンドの出力は パスワードの文字列の代わりに ***** と表示されます ( 注 ) 適応型セキュリティアプライアンスで設定したエポックとパスワードは Cisco Intercompany Media Engine サーバで設定したエポックとパスワードと一致する必要があります 情報は Cisco Intercompany Media Engine サーバマニュアルを参照してください 例 次の例は Cisco Intercompany Media Engine プロキシでチケットとエポックを設定する方法を示します hostname(config)# uc-ime local_uc-ime_proxy hostname(config-uc-ime)# media-termination ime-media-term hostname(config-uc-ime)# ucm address trunk-security-mode non-secure hostname(config-uc-ime)# ticket epoch 1 password password1234 hostname(config-uc-ime)# fallback monitoring timer 120 hostname(config-uc-ime)# fallback hold-down timer 30 関連コマンド コマンド 説明 show running-config uc-ime Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します uc-ime Cisco Intercompany Media Engine プロキシインスタンスを適応型セキュリティアプライアンスに作成します 31-41

42 timeout 第 31 章 timeout 各種機能にアイドル状態のグローバル最大継続時間を設定するには グローバルコンフィギュレーションモードで timeout コマンドを使用します すべてのタイムアウトをデフォルトに設定するには このコマンドの no 形式を使用します 単一の機能をデフォルト設定にリセットするには デフォルト値で timeout コマンドを再入力します timeout {xlate conn udp icmp rpc h225 h323 mgcp mgcp-pat sip sip-disconnect sip-invite sip_media sip-provisional-media tcp-proxy-reassembly} hh:mm:ss timeout uauth hh:mm:ss [absolute inactivity] no timeout 構文の説明 absolute ( 任意 )uauth タイムアウトになった場合 再認証を求めます デフォルトでは absolute キーワードがイネーブルになっています 無活動状態が一定時間継続した後にタイムアウトになるように uauth タイマーを設定するには このキーワードの代わりに inactivity キーワードを入力します conn ( 任意 ) 接続が終了するまでのアイドル時間を指定します 有効な値は 0:05:0 ~ 1193:0:0 です デフォルトは 1 時間 (1:0:0) です 接続がタイムアウトしないようにするには 0 を使用します hh:mm:ss タイムアウト値を時 分 秒で指定します 接続がタイムアウトにならないようにするには 0 を使用します ( 可能な場合 ) h225 ( 任意 )H.225 シグナリング接続が終了するまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 1 時間 (1:0:0) です タイムアウト値を 0:0:01 に設定すると タイマーがディセーブルになり すべてのコールが消去された後 TCP 接続がすぐに終了します h323 ( 任意 )H.245(TCP) および H.323(UDP) メディア接続が終了するまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため H.245(TCP) 接続は H.323(RTP および RTCP) メディア接続とアイドルタイムアウトを共有します half-closed ( 任意 )TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します 有効な値は 0:5:0 ~ 1193:0:0 です デフォルトは 10 分 (0:10:0) です 接続がタイムアウトしないようにするには 0 を使用します icmp ( 任意 )ICMP のアイドル時間を指定します 有効な値は 0:0:02 ~ 1193:0:0 です デフォルトは 2 秒 (0:0:02) です inactivity ( 任意 ) 無活動タイムアウトになった場合は uauth 再認証を求めます mgcp mgcp-pat rpc sip ( 任意 )MGCP メディア接続が削除されるまでのアイドル時間を設定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です ( 任意 )MGCP PAT 変換が削除されるまでの絶対間隔を設定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です ( 任意 )RPC スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:05:0) です ( 任意 )SIP 制御接続が閉じられるまでのアイドル時間を指定します 有効な値は 0:5:0 ~ 1193:0:0 です デフォルトは 30 分 (0:30:0) です 接続がタイムアウトしないようにするには 0 を使用します 31-42

43 第 31 章 timeout sip-disconnect sip-invite sip_media ( 任意 )CANCEL または BYE メッセージに対して 200 OK が受信されない場合 SIP セッションが削除されるまでのアイドル時間を指定します 有効な値は 0:0:1 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です ( 任意 )PROVISIONAL 応答およびメディア xlates のピンホールが閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 3 分 (0:3:0) です ( 任意 )SIP メディア接続が閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です 接続がタイムアウトしないようにするには 0 を使用します SIP メディアタイマーが UDP 非アクティビティタイムアウトの代わりに SIP UDP メディアパケットを扱う SIP RTP/RTCP で使用されます sip-provisional-media ( 任意 )SIP 暫定メディア接続のタイムアウト値を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です sunrpc ( 任意 )SUNRPC スロットが閉じられるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 10 分 (0:10:0) です 接続がタイムアウトしないようにするには 0 を使用します tcp-proxy-reassembly ( 任意 ) バッファに格納された再構成待ちのパケットがドロップするまでのアイドルタイムアウトを指定します 有効な値は 0:0:10 ~ 1193:0:0 です デフォルトは 1 分 (0:1:0) です uauth ( 任意 ) 認証および認可キャッシュがタイムアウトするまでの継続時間を指定します ユーザは 次回の接続時に再認証を必要とします 有効な値は 0:0:0 ~ 1193:0:0 です デフォルトは 5 分 (0:5:0) です デフォルトのタイマーは absolute です inactivity キーワードを入力すると 無活動の期間後にタイムアウトが発生するように設定できます uauth 継続時間は xlate 継続時間より短く設定する必要があります キャッシュをディセーブルにするには 0 に設定します 接続に受動 FTP を使用している場合 または Web 認証に virtual http コマンドを使用している場合は 0 を使用しないでください udp ( 任意 )UDP スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 2 分 (0:2:0) です 接続がタイムアウトしないようにするには 0 を使用します xlate ( 任意 ) 変換スロットが解放されるまでのアイドル時間を指定します 有効な値は 0:1:0 ~ 1193:0:0 です デフォルトは 3 時間 (3:0:0) です デフォルト デフォルトは次のとおりです conn hh:mm:ss は 1 時間 (1:0:0) です h225 hh:mm:ss は 1 時間 (1:0:0) です h323 hh:mm:ss は 5 分 (0:5:0) です half-closed hh:mm:ss は 10 分 (0:10:0) です icmp hh:mm:ss は 2 秒 (0:0:2) です mgcp hh:mm:ss は 5 分 (0:5:0) です mgcp-pat hh:mm:ss は 5 分 (0:5:0) です rpc hh:mm:ss は 5 分 (0:5:0) です sip hh:mm: は 30 分 (0:30:0) です sip-disconnect hh:mm:ss は 2 分 (0:2:0) です 31-43

44 timeout 第 31 章 sip-invite hh:mm:ss は 3 分 (0:3:0) です sip_media hh:mm:ss は 2 分 (0:2:0) です sip-provisional-media hh:mm:ss は 2 分 (0:2:0) です sunrpc hh:mm:ss は 10 分 (0:10:0) です tcp-proxy-reassembly hh:mm:ss は 1 分 (0:1:0) です uauth hh:mm:ss は 5 分 (00:5:00)absolute です udp hh:mm:ss は 2 分 (00:02:00) です xlate hh:mm:ss は 3 時間 (03:00:00) です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーションモード ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) mgcp-pat sip-disconnect および sip-invite キーワードが追加されま した 7.2(4)/8.0(4) sip-provisional-media キーワードが追加されました 7.2(5)/8.0(5)/8.1(2)/8.2(1) tcp-proxy-reassembly キーワードが追加されました 使用上のガイドライン timeout コマンドを使用すると グローバルタイムアウトを設定できます 一部の機能では set connection timeout コマンドを実行すると このコマンドで指定されたトラフィックを優先します timeout コマンドの後ろにキーワードと値を複数入力できます 接続タイマー (conn) は 変換タイマー (xlate) に優先します つまり 変換タイマーは すべての接続がタイムアウトした後に初めて動作します 例 次の例では アイドル状態の最大継続時間を設定する方法を示します hostname(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity hostname(config)# show running-config timeout timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity 31-44

45 第 31 章 timeout 関連コマンド コマンド 説明 clear configure timeout タイムアウトコンフィギュレーションを消去し デフォルトにリセットします set connection timeout モジュラポリシーフレームワークを使用して 接続タイムアウトを設定します show running-config timeout 指定されたプロトコルのタイムアウト値を表示します 31-45

46 timeout(aaa サーバホスト ) 第 31 章 timeout(aaa サーバホスト ) AAA サーバとの接続の確立を中止するまでの ホスト固有の最大応答時間を秒単位で設定するには aaa-server ホストモードで timeout コマンドを使用します タイムアウト値を削除して タイムアウト時間をデフォルト値の 10 秒にリセットするには このコマンドの no 形式を使用します timeout seconds no timeout 構文の説明 seconds 要求に対するタイムアウト間隔 (1 ~ 60 秒 ) を指定します この時間を超えると 適応型セキュリティアプライアンスはプライマリ AAA サーバへの要求を断念します スタンバイ AAA サーバが存在する場合 適応型セキュリティアプライアンスは要求をそのバックアップサーバに送信します デフォルト デフォルトのタイムアウト値は 10 秒です 次の表は このコマンドを入力できるモードを示しています AAA サーバホストコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このコマンドは すべての AAA サーバプロトコルタイプに有効です 適応型セキュリティアプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには timeout コマンドを使用します retry-interval コマンドを使用して 適応型セキュリティアプライアンスが接続を試行する間隔を指定します タイムアウトは 適応型セキュリティアプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です リトライ間隔は タイムアウト期間中に通信が再試行される頻度を決定します したがって リトライ間隔がタイムアウト値以上の場合 再試行されません 再試行する場合は リトライ間隔をタイムアウト値よりも小さくする必要があります 31-46

47 第 31 章 timeout(aaa サーバホスト ) 例 次の例では ホスト 上の svrgrp1 という名前の RADIUS AAA サーバに タイムアウト値 30 秒 リトライ間隔 10 秒を設定します したがって 適応型セキュリティアプライアンスは 30 秒後に中止するまで通信を 3 度試行します hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host hostname(config-aaa-server-host)# timeout 30 hostname(config-aaa-server-host)# retry-interval 10 hostname(config-aaa-server-host)# 関連コマンド コマンド 説明 aaa-server host AAA サーバホストコンフィギュレーションモードに入って ホスト固有の AAA サーバパラメータを設定できるようにします clear configure aaa-server すべての AAA コマンドステートメントをコンフィギュレーションから削除します show running-config aaa 現在の AAA コンフィギュレーション値を表示します 31-47

48 timeout(dns サーバグループコンフィギュレーションモード ) 第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 次の DNS サーバを試すまで待機する時間を指定するには DNS サーバグループコンフィギュレーションモードで timeout コマンドを使用します デフォルトのタイムアウトに戻すには このコマンドの no 形式を使用します timeout seconds no timeout [seconds] 構文の説明 seconds タイムアウトを秒単位で指定します (1 ~ 30 秒 ) デフォルトは 2 秒です 適応型セキュリティアプライアンスが一覧のサーバを試すたびに このタイムアウトは倍増します 再試行の回数を設定するには DNS サーバグループコンフィギュレーションモードで retries コマンドを使用します デフォルト デフォルトのタイムアウトは 2 秒です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 例 次の例では DNS サーバグループの dnsgroup1 に対してタイムアウトを 1 秒に設定しています hostname(config)# dns server-group dnsgroup1 hostname(config-dns-server-group)# dns timeout

49 第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 関連コマンド コマンド 説明 clear configure dns ユーザが作成したすべての DNS サーバグループを削除して デフォルトのサーバグループのアトリビュートをデフォルト値にリセットします domain-name デフォルトのドメイン名を設定します retries 適応型セキュリティアプライアンスが応答を受信しないときに DNS サーバのリストを再試行する回数を指定します show running-config dns server-group 現在の実行中の DNS サーバグループコンフィギュレーションを表示します 31-49

50 timeout(gtp マップ ) 第 31 章 timeout(gtp マップ ) GTP セッションの非アクティビティタイマーを変更するには GTP マップコンフィギュレーションモードで timeout コマンドを使用します このモードには gtp-map コマンドを使用してアクセスできます これらの間隔にデフォルト値を設定するには このコマンドの no 形式を使用します timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss no timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss 構文の説明 hh:mm:ss gsn pdp-context request signaling t3-response tunnel これはタイムアウトで hh は時間 mm は分 ss は秒を示し これら 3 つの要素はコロン (:) で分けられます 値 0 は すぐには絶対に終了しないことを意味します GSN が削除されるまでの非アクティビティの継続時間を指定します PDP コンテキストの受信を開始するまでの 許可される最大時間を指定します GTP メッセージの受信を開始するまでの 許可される最大時間を指定します GTP シグナリングが削除されるまでの非アクティビティの継続時間を指定します GTP 接続が削除されるまでに応答を待つ最長時間を指定します GTP トンネルが終了するまでの非アクティビティの継続時間を指定します デフォルト デフォルトは gsn pdp-context および signaling に対して 30 分です request のデフォルトは 1 分です tunnel のデフォルトは 1 時間です (Delete PDP Context Request を受信していない場合 ) 次の表は このコマンドを入力できるモードを示しています GTP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 31-50

51 第 31 章 timeout(gtp マップ ) 使用上のガイドライン Packet Data Protocol(PDP) コンテキストは IMSI と NSAPI の組み合わせである Tunnel Identifier (TID; トンネル識別子 ) によって識別されます 各 MS は最大 15 の NSAPI を持つことができ さまざまな QoS レベルのアプリケーション要件に基づいて それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます GTP トンネルは 異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され 1 つのトンネル ID によって識別されます GTP トンネルは 外部パケットデータネットワークとモバイルステーションユーザの間でパケットを転送するために必要です 例 次の例では 要求キューに対して 2 分のタイムアウト値を設定します hostname(config)# gtp-map gtp-policy hostname(config-gtpmap)# timeout request 00:02:00 関連コマンド コマンド 説明 clear service-policy グローバルな GTP 統計情報をクリアします inspect gtp debug gtp GTP インスペクションの詳細情報を表示します gtp-map GTP マップを定義し GTP マップコンフィギュレーションモードをイネーブルにします inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用します show service-policy inspect gtp GTP コンフィギュレーションを表示します 31-51

52 timeout(radius アカウンティング ) 第 31 章 timeout(radius アカウンティング ) RADIUS アカウンティングのユーザの非アクティビティタイマーを変更するには RADIUS アカウンティングパラメータコンフィギュレーションモードで timeout コマンドを使用します このモードには inspect radius-accounting コマンドを使用してアクセスできます これらの間隔にデフォルト値を設定するには このコマンドの no 形式を使用します timeout users hh:mm:ss no timeout users hh:mm:ss 構文の説明 hh:mm:ss users これはタイムアウトで hh は時間 mm は分 ss は秒を示し これら 3 つの要素はコロン (:) で分けられます 値 0 は すぐには絶対に終了しないことを意味します デフォルトは 1 時間です ユーザのタイムアウト値を指定します デフォルト ユーザのデフォルトのタイムアウト値は 1 時間です 次の表は このコマンドを入力できるモードを示しています RADIUS アカウンティングパラメータコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 例 次の例では ユーザのタイムアウト値を 10 分に設定します hostname(config)# policy-map type inspect radius-accounting ra hostname(config-pmap)# parameters hostname(config-pmap-p)# timeout user 00:10:00 関連コマンド コマンド inspect radius-accounting parameters 説明 RADIUS アカウンティングのインスペクションを設定します インスペクションポリシーマップのパラメータを設定します 31-52

53 第 31 章 timeout(sla モニタ ) timeout(sla モニタ ) SLA 動作で要求パケットへの応答を待つ時間を設定するには SLA モニタプロトコルコンフィギュレーションモードで timeout コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します timeout milliseconds no timeout 構文の説明 milliseconds 0 ~ デフォルト デフォルトのタイムアウト値の設定は 5000 ミリ秒です 次の表は このコマンドを入力できるモードを示しています SLA モニタプロトコルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン SLA 動作で要求パケットを送信する頻度を設定するには frequency コマンドを使用し この要求への応答を受信するために待機時間を設定するには timeout コマンドを使用します timeout コマンドで指定する値は frequency コマンドで指定する値より大きくすることはできません 例 次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています SLA 動作の頻度を 10 秒 しきい値を 2500 ミリ秒 タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-53

54 timeout(sla モニタ ) 第 31 章 関連コマンド コマンド 説明 frequency SLA 動作を繰り返す頻度を指定します sla monitor SLA モニタリング動作を定義します 31-54

55 第 31 章 timeout pinhole timeout pinhole DCERPC ピンホールのタイムアウト値を設定し グローバルなシステムピンホールタイムアウト値である 2 分を上書きするには パラメータコンフィギュレーションモードで timeout pinhole コマンドを使用します パラメータコンフィギュレーションモードには ポリシーマップコンフィギュレーションモードからアクセスできます この機能をディセーブルにするには このコマンドの no 形式を使用します timeout pinhole hh:mm:ss no timeout pinhole 構文の説明 hh:mm:ss ピンホール接続のタイムアウト値 0:0:1 ~ 1193:0:0 の値を指定できます デフォルト デフォルトでは このコマンドはディセーブルになっています 次の表は このコマンドを入力できるモードを示しています パラメータコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 例 次の例では DCERPC インスペクションポリシーマップのピンホール接続にピンホールタイムアウト値を設定する方法を示します hostname(config)# policy-map type inspect dcerpc dcerpc_map hostname(config-pmap)# parameters hostname(config-pmap-p)# timeout pinhole 0:10:00 関連コマンド コマンド class class-map type inspect policy-map show running-config policy-map 説明ポリシーマップのクラスマップ名を指定します アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します レイヤ 3/4 のポリシーマップを作成します 現在のポリシーマップコンフィギュレーションをすべて表示します 31-55

56 time-range 第 31 章 time-range 時間範囲コンフィギュレーションモードに入り トラフィックルール またはアクションに関連付ける時間範囲を定義するには グローバルコンフィギュレーションモードで time-range コマンドを使用します ディセーブルにするには このコマンドの no 形式を使用します time-range name no time-range name 構文の説明 name 時間範囲の名前 名前は 64 文字以下にする必要があります デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン 時間範囲を作成しても デバイスへのアクセスは制限されません time-range コマンドは 時間範囲のみ定義します 時間範囲を定義したら トラフィックルールかアクションに関連付けます 時間ベース ACL を実装するには time-range コマンドを使用して 週および 1 日の中の特定の時刻を定義します 次に access-list extended time-range コマンドとともに使用して 時間範囲を ACL にバインドします 時間範囲は 適応型セキュリティアプライアンスのシステムクロックによって決まりますが この機能は NTP 同期での動作が最善となります 例次の例では New_York_Minute という時間範囲を作成し 時間範囲コンフィギュレーションモードを開始します hostname(config)# time-range New_York_Minute hostname(config-time-range)# 31-56

57 第 31 章 time-range 時間範囲を作成し 時間範囲コンフィギュレーションモードに入ったら absolute コマンドと periodic コマンドを使用して時間範囲のパラメータを定義できます time-range コマンドの absolute キーワードおよび periodic キーワードの設定をデフォルトに戻すには 時間範囲コンフィギュレーションモードで default コマンドを使用します 時間ベース ACL を実装するには time-range コマンドを使用して 週および 1 日の中の特定の時刻を定義します 次に access-list extended コマンドとともに使用して 時間範囲を ACL にバインドします 次の例では Sales という ACL を New_York_Minute という時間範囲にバインドします hostname(config)# access-list Sales line 1 extended deny tcp host host time-range New_York_Minute hostname(config)# ACL の詳細については access-list extended コマンドを参照してください 関連コマンド コマンド 説明 absolute 時間範囲が有効になる絶対時間を定義します access-list extended 適応型セキュリティアプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します default periodic time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します 時間範囲機能をサポートする機能に対して 定期的な ( 週単位の ) 時間範囲を指定します 31-57

58 timeout secure-phones 第 31 章 timeout secure-phones セキュアフォンエントリが Phone Proxy データベースから削除されるまでのアイドルタイムアウトを設定するには Phone-Proxy コンフィギュレーションモードで timeout secure-phones コマンドを使用します タイムアウト値をデフォルトの 5 分に戻すには このコマンドの no 形式を使用します timeout secure-phones hh:mm:ss no timeout secure-phones hh:mm:ss 構文の説明 hh:mm:ss オブジェクトが削除されるまでのアイドルタイムアウトを設定します デフォルトは 5 分です デフォルト セキュアフォンタイムアウトのデフォルト値は 5 分です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(4) このコマンドが追加されました 使用上のガイドライン セキュアフォンは 起動時に CTL ファイルを必ず要求するため Phone Proxy がデータベースを作成して その電話は安全であるとマークします セキュアフォンデータベースのエントリは (timeout secure-phones コマンドで ) 指定されたタイムアウトの時間が経過すると削除されます エントリのタイムスタンプは Phone Proxy が SIP 電話用に登録更新を受信し KeepAlives が SCCP 電話用に登録更新を受信するたびに更新されます timeout secure-phones コマンドのデフォルト値は 5 分です SCCP KeepAlives と SIP Registration 更新の最大タイムアウト値より大きい値を指定します たとえば SCCP Keepalive が 1 分間隔で設定され SIP Register 更新が 3 分に設定されている場合 このタイムアウト値を 3 分より大きくなるよう設定します 例 次に セキュアフォンデータベースにあるエントリを 3 分後にタイムアウトするよう Phone Proxy を設定する timeout secure-phones コマンドの使用例を示します hostname(config)# phone-proxy asa_phone_proxy hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# tftp-server address in interface outside hostname(config-phone-proxy)# media-termination address

59 第 31 章 timeout secure-phones hostname(config-phone-proxy)# tls-proxy asa_tlsp hostname(config-phone-proxy)# ctl-file asactl hostname(config-phone-proxy)# timeout secure-phones 00:03:00 関連コマンド コマンド 説明 phone-proxy Phone Proxy インスタンスを設定します 31-59

60 timers lsa-group-pacing 第 31 章 timers lsa-group-pacing OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集され リフレッシュ チェックサム またはエージングされるときの間隔を指定するには ルータコンフィギュレーションモードで timers lsa-group-pacing コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します timers lsa-group-pacing seconds no timers lsa-group-pacing [seconds] 構文の説明 seconds OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集され リフレッシュ チェックサム またはエージングされる間隔 有効値は 10 ~ 1800 秒です デフォルト デフォルトの間隔は 240 秒です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム ルータコンフィギュレーション コマンド履歴 リリース既存 変更内容このコマンドは既存です 使用上のガイドライン OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集され リフレッシュ チェックサム またはエージングされるときの間隔を変更するには timers lsa-group-pacing seconds コマンドを使用します デフォルトのタイマー値に戻すには no timers lsa-group-pacing コマンドを使用します 例 次の例では LSA のグループ処理間隔を 500 秒に設定します hostname(config-router)# timers lsa-group-pacing 500 hostname(config-router)# 関連コマンド コマンド router ospf show ospf timers spf 説明ルータコンフィギュレーションモードを開始します OSPF ルーティングプロセスに関する一般情報を表示します Shortest Path First(SPF) 計算の遅延時間とホールドタイムを指定します 31-60

61 第 31 章 timers spf timers spf Shortest Path First(SPF) 計算の遅延時間とホールドタイムを指定するには ルータコンフィギュレーションモードで timers spf コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します timers spf delay holdtime no timers spf [delay holdtime] 構文の説明 delay holdtime OSPF によるトポロジ変更の受信と Shortest Path First(SPF) 計算の開始との間の遅延時間 (1 ~ 秒 ) を秒単位で指定します 2 つの連続した SPF 計算の間のホールドタイム ( 秒単位 ) で 有効な値は 1 ~ 秒です デフォルト デフォルトは次のとおりです delay は 5 秒です holdtime は 10 秒です 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム ルータコンフィギュレーション コマンド履歴 リリース既存 変更内容このコマンドは既存です 使用上のガイドライン OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間 および 2 つの連続した SPF 計算間のホールドタイムを設定するには timers spf コマンドを使用します デフォルトのタイマー値に戻すには no timers spf コマンドを使用します 例 次の例では SPF 計算の遅延時間に 10 秒 SPF 計算のホールドタイムに 20 秒を設定します hostname(config-router)# timers spf hostname(config-router)# 31-61

62 timers spf 第 31 章 関連コマンド コマンド 説明 router ospf ルータコンフィギュレーションモードを開始します show ospf OSPF ルーティングプロセスに関する一般情報を表示します timers lsa-group-pacing OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が収集されてリフレッシュ チェックサム またはエージングされる間隔を指定します 31-62

63 第 31 章 title title WebVPN ユーザがセキュリティアプライアンスに接続するときに WebVPN のページに表示されるタイトルをカスタマイズするには webvpn カスタマイゼーションモードから title コマンドを使用します title {text style} value [no] title {text style} value コンフィギュレーションからコマンドを削除して 値が継承されるようにするには このコマンドの no 形式を使用します 構文の説明 text style value テキストを変更することを指定します スタイルを変更することを指定します 実際に表示するテキスト ( 最大 256 文字 ) または Cascading Style Sheet(CSS) パラメータ ( 最大 256 文字 ) です デフォルト デフォルトのタイトルテキストは WebVPN Service です デフォルトのタイトルスタイルは 次のとおりです background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger; vertical-align:middle;text-align:left;font-weight:bold 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム WebVPN カスタマイゼーション コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 使用上のガイドライン タイトルを入れない場合は value の引数なしで title text コマンドを使用します style オプションは有効な Cascading Style Sheet(CSS) パラメータとして表されます これらのパラメータについては このマニュアルでは説明しません CSS パラメータの詳細については World Wide Web Consortium(W3C) の Web サイト ( の CSS 仕様を参照してください CSS 2.1 Specification の Appendix F には CSS パラメータの使いやすいリストがあります この付録は で入手できます 31-63

64 title 第 31 章 ここでは WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します カンマ区切りの RGB 値 HTML の色値 または色の名前 (HTML で認識される場合 ) を使用できます RGB 形式は 0,0,0 で 各色 ( 赤 緑 青 ) を 0 ~ 255 の範囲の 10 進値で入力します このカンマ区切りのエントリは 他の 2 色と組み合わせる各色の明度レベルを示します HTML 形式は # で 16 進形式の 6 桁の数値です 先頭と 2 番めは赤を 3 番めと 4 番めは緑を 5 番めと 6 番めは青を表しています ( 注 ) WebVPN ページを簡単にカスタマイズするには ASDM を使用することを推奨します ASDM には 色見本やプレビュー機能など スタイルの要素を設定するための便利な機能があります 例 次の例では タイトルを Cisco WebVPN Service というテキストでカスタマイズします hostname(config)# webvpn hostname(config-webvpn)# customization cisco hostname(config-webvpn-custom)# title text Cisco WebVPN Service 関連コマンド コマンド 説明 logo WebVPN ページのロゴをカスタマイズします page style Cascading Style Sheet(CSS) パラメータを使用して WebVPN ページをカスタマ イズします 31-64

65 第 31 章 tls-proxy tls-proxy TLS コンフィギュレーションモードで TLS プロキシインスタンスを設定するか または最大セッションを設定するには グローバルコンフィギュレーションモードで tls-proxy コマンドを使用します コンフィギュレーションを削除するには このコマンドの no 形式を使用します tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] no tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] 構文の説明 max_sessions max_sessions noconfirm proxy_name プラットフォームでサポートする TLS プロキシセッションの最大数を指定します 確認を要求することなしに tls-proxy コマンドを実行します TLS プロキシインスタンスの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 8.0(2) このコマンドが追加されました 使用上のガイドライン tls-proxy コマンドを使用して TLS プロキシコンフィギュレーションモードに入り TLS プロキシインスタンスを作成するか またはプラットフォームでサポートされる最大セッションを設定します 例 次の例では TLS プロキシインスタンスを作成する方法を示します hostname(config)# tls-proxy my_proxy hostname(config-tlsp)# server trust-point ccm_proxy hostname(config-tlsp)# client ldc issuer ldc_server hostname(config-tlsp)# client ldc keypair phone_common 31-65

66 tls-proxy 第 31 章 関連コマンド コマンド 説明 client 暗号スイートを定義し ローカルダイナミック証明書の発行者またはキーペアを設定します ctl-provider CTL プロバイダーインスタンスを定義し プロバイダーコンフィギュレーションモードを開始します server trust-point TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を指定します show tls-proxy TLS プロキシを表示します 31-66

67 第 31 章 tos tos SLA 動作の要求パケットの IP ヘッダーでタイプオブサービスバイトを定義するには SLA モニタプロトコルコンフィギュレーションモードで tos コマンドを使用します デフォルト値に戻すには このコマンドの no 形式を使用します tos number no tos 構文の説明 number IP ヘッダーで使用するサービスタイプの値 有効な値は 0 ~ 255 です デフォルト タイプオブサービスの値はデフォルトで 0 です 次の表は このコマンドを入力できるモードを示しています SLA モニタプロトコルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン このフィールドには 遅延 優先度 信頼性などの情報が含まれます ネットワークにある他のルータのポリシールーティングや 専用アクセスレートなどの機能で使用されます 例 次の例では ICMP エコー要求 / 応答時間プローブ動作を使用する ID が 123 の SLA 動作を設定しています また エコー要求パケットのペイロードサイズを 48 バイト SLA 動作中に送信するエコー要求の数を 5 タイプオブサービスバイトを 80 に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# num-packets 5 hostname(config-sla-monitor-echo)# request-data-size 48 hostname(config-sla-monitor-echo)# tos 80 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-67

68 tos 第 31 章 関連コマンド コマンド 説明 num-packets SLA 動作中に送信する要求パケットの数を指定します request-data-size 要求パケットのペイロードのサイズを指定します sla monitor SLA モニタリング動作を定義します type echo SLA 動作をエコー応答時間プローブ動作として設定します 31-68

69 第 31 章 traceroute traceroute パケットが宛先に到達するまでにたどるルートを調査するには traceroute コマンドを使用します traceroute destination_ip hostname [source source_ip source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp] 構文の説明 destination_ip hostname source source_ip source_interface numeric timeout timeout_value probe probe_num ttl min_ttl max-ttl port port_value use-icmp traceroute の宛先 IP アドレスを指定します ルートをトレースする先のホストのホスト名 ホスト名を指定する場合は name コマンドを使用して定義するか DNS サーバを設定して traceroute がホスト名を IP アドレスに名前解決できるようにします などの DNS ドメイン名がサポートされています トレースパケットの送信元となる IP アドレスまたはインターフェイスを指定します パケットトレースの送信元の IP アドレスを指定します この IP アドレスは 送信元インターフェイスの中の 1 つの IP アドレスでなければなりません トランスペアレントモードでは セキュリティアプライアンスの管理 IP アドレスを指定する必要があります パケットトレースの送信元インターフェイスを指定します 指定した場合は 送信元のインターフェイスの IP アドレスが使用されます このコマンドの出力に 中間ゲートウェイの IP アドレスだけが表示されるようにします このキーワードを指定しないと トレース中に到達したゲートウェイのホスト名が検索されます 使用するタイムアウト値を指定します 接続がタイムアウトになるまでに 応答を待つ時間を秒単位で指定します デフォルトは 3 秒です TTL の各レベルで送信するプローブの数 デフォルトの回数は 3 です プローブで使用する Time To Live(TTL; 存続可能時間 ) 値の範囲を指定するキーワード 最初のプローブの TTL の値 デフォルトは 1 ですが 高い値に設定して 既知のホップが表示されないようにすることもできます 使用できる TTL の最大値 デフォルトは 30 です トレースルートパケットが宛先に到達するか TTL がこの値になるとコマンドは終了します User Datagram Protocol(UDP; ユーザデータグラムプロトコル ) プローブメッセージで使用する宛先ポート デフォルトは です UDP プローブパケットではなく ICMP プローブパケットを使用することを指定します デフォルト このコマンドには デフォルト設定はありません 次の表は このコマンドを入力できるモードを示しています 31-69

70 traceroute 第 31 章 ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 特権 EXEC コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン traceroute コマンドは 送信された各プローブの結果を出力します 出力の各行が 1 つの TTL 値に対応します ( 昇順 ) 次に traceroute コマンドによって出力される出力記号を示します 出力記号 説明 * タイムアウトの期間内にプローブへの応答を受信しませんでした nn msec 各ノードで 指定した数のプローブのラウンドトリップ時間 ( ミリ秒単 位 )!N. ICMP ネットワークに到達できません!H ICMP ホストに到達できません!P ICMP プロトコルが見つかりません!A ICMP が設定によって禁止されています? ICMP の原因不明のエラーが発生しました 例 次の例では traceroute コマンドで宛先 IP アドレスを指定した場合の出力を示します hostname# traceroute Tracing the route to msec 10 msec 0 msec msec 0 msec 0 msec msec 10 msec 0 msec msec 0 msec 10 msec msec 10 msec 0 msec msec 10 msec 0 msec msec 70 msec 80 msec msec 70 msec 70 msec 関連コマンド コマンド capture show capture packet-tracer 説明 トレースパケットを含めて パケット情報をキャプチャします オプションが指定されていない場合は キャプチャコンフィギュレーションを表示します パケットトレース機能をイネーブルにします 31-70

71 第 31 章 track rtr track rtr SLA 動作の到達可能性を調べるには グローバルコンフィギュレーションモードで track rtr コマンドを使用します SLA トラッキングを削除するには このコマンドの no 形式を使用します track track-id rtr sla-id reachabilitity no track track-id rtr sla-id reachabilitity 構文の説明 reachability オブジェクトの到達可能性を追跡することを指定します sla-id トラッキングエントリで使用する SLA の ID track-id トラッキングエントリのオブジェクト ID を作成します 有効な値は 1 ~ 500 です デフォルト SLA トラッキングはディセーブルです 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン track rtr コマンドで トラッキングエントリのオブジェクト ID を作成し そのエントリで使用する SLA を指定します SLA 動作ごとに 動作戻りコード値が保持されます この値は トラッキングプロセスで解釈されます 戻りコードには OK Over Threshold およびその他の複数の戻りコードがあります 表 31-4 に 戻りコードが意味するオブジェクトの到達可能性の状態を示します 表 31-4 SLA トラッキングの戻りコード トラッキング 戻りコード トラッキング状態 到達可能性 OK または Over アップ Threshold その他のコード ダウン 31-71

72 track rtr 第 31 章 例 次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# timeout 1000 hostname(config-sla-monitor-echo)# frequency 3 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 関連コマンド コマンド 説明 route スタティックルートを設定します sla monitor SLA モニタリング動作を定義します 31-72

73 第 31 章 traffic-non-sip traffic-non-sip 既知の SIP シグナリングポートを使用して SIP 以外のトラフィックを許可するには パラメータコンフィギュレーションモードで traffic-non-sip コマンドを使用します パラメータコンフィギュレーションモードには ポリシーマップコンフィギュレーションモードからアクセスできます この機能をディセーブルにするには このコマンドの no 形式を使用します traffic-non-sip no traffic-non-sip 構文の説明 このコマンドには 引数またはキーワードはありません デフォルト このコマンドは デフォルトでイネーブルにされています 次の表は このコマンドを入力できるモードを示しています パラメータコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 例 次の例では SIP インスペクションポリシーマップで 既知の SIP シグナリングポートを使用した SIP 以外のトラフィックを許可する方法を示します hostname(config)# policy-map type inspect sip sip_map hostname(config-pmap)# parameters hostname(config-pmap-p)# traffic-non-sip 関連コマンド コマンド class class-map type inspect policy-map show running-config policy-map 説明ポリシーマップのクラスマップ名を指定します アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します レイヤ 3/4 のポリシーマップを作成します 現在のポリシーマップコンフィギュレーションをすべて表示します 31-73

74 transfer-encoding 第 31 章 transfer-encoding 転送符号化タイプを指定することで HTTP トラフィックを制限するには HTTP マップコンフィギュレーションモードで transfer-encoding コマンドを使用します このモードには http-map コマンドを使用してアクセスできます この機能をディセーブルにするには このコマンドの no 形式を使用します transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] no transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] 構文の説明 action allow chunked compress default deflate drop gzip identity log reset type 指定した転送符号化タイプを使用している接続が検出された場合に実行されるアクションを指定します メッセージを許可します メッセージ本文が一連のチャンクとして転送される転送符号化タイプを識別します UNIX ファイル圧縮を使用してメッセージ本文が転送される転送符号化タイプを識別します サポートされている要求メソッドがトラフィックに含まれていて そのメソッドが設定済みリストに記載されていない場合に 適応型セキュリティアプライアンスが実行するデフォルトアクションを指定します zlib 形式 (RFC 1950) およびデフレート圧縮 (RFC 1951) を使用して メッセージ本文が転送される転送符号化タイプを識別します 接続を閉じます GNU zip(rfc 1952) を使用してメッセージ本文が転送される転送符号化タイプを識別します 転送符号化が行われていないメッセージ本文の接続を識別します ( 任意 )syslog を生成します TCP リセットメッセージをクライアントおよびサーバに送信します HTTP アプリケーションインスペクションを通して制御される転送符号化タイプを指定します デフォルト デフォルトでは このコマンドはディセーブルになっています コマンドがイネーブルで サポートされる転送符号化タイプが指定されていない場合 デフォルトのアクションは接続をロギングなしで許可します デフォルトアクションを変更するには default キーワードを使用して別のデフォルトアクションを指定します 31-74

75 第 31 章 transfer-encoding 次の表は このコマンドを入力できるモードを示しています HTTP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン transfer-encoding コマンドをイネーブルにする場合 適応型セキュリティアプライアンスは サポートおよび設定された各転送符号化タイプの HTTP 接続に 指定したアクションを適用します 適応型セキュリティアプライアンスは 設定したリストの転送符号化タイプに一致しないすべてのトラフィックに デフォルトアクションを適用します 事前設定済みのデフォルトアクションでは 接続をロギングなしで許可します たとえば 事前設定済みのデフォルトアクションが与えられ drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合 適応型セキュリティアプライアンスは設定済みの符号化タイプを含む接続をドロップして 各接続のログを記録し サポートされるその他の符号化タイプに対してすべての接続を許可します より厳しいポリシーを設定する場合は デフォルトアクションを drop( または reset) および log に変更します ( イベントログに記録する場合 ) 次に allow アクションを使用して 許容される符号化タイプをそれぞれ設定します 適用する各設定に対して transfer-encoding コマンドを一度入力します transfer-encoding コマンドの 1 つのインスタンスはデフォルトアクションの変更に使用し もう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用します このコマンドの no 形式を使用して 設定済みのアプリケーションタイプのリストからアプリケーションカテゴリを削除する場合は コマンドラインに入力したアプリケーションカテゴリのキーワードより後の文字がすべて無視されます 例 次の例では 事前設定済みのデフォルトを使用して 緩やかなポリシーを指定しています サポートされているすべてのアプリケーションタイプを 個別に拒否されていない限り許可します hostname(config)# http-map inbound_http hostname(config-http-map)# transfer-encoding gzip drop log hostname(config-http-map)# この場合 GNU zip を使用した接続だけがドロップされ イベントのログが記録されます 次の例では 特に許可されていない任意の符号化タイプに対し 接続をリセットしてイベントをログに記録するようにデフォルトアクションを変更した厳しいポリシーを指定します hostname(config)# http-map inbound_http hostname(config-http-map)# port-misuse default action reset log hostname(config-http-map)# port-misuse identity allow hostname(config-http-map)# 31-75

76 transfer-encoding 第 31 章 この場合 転送符号化を使用していない接続だけが許可されます サポートされるその他の符号化タイプの HTTP トラフィックを受信した場合 適応型セキュリティアプライアンスは接続をリセットして syslog エントリを作成します 関連コマンド コマンド 説明 class-map セキュリティアクションを適用するトラフィッククラスを定義します debug appfw 拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します http-map 拡張 HTTP インスペクションを設定するための HTTP マップを定義します inspect http アプリケーションインスペクション用に特定の HTTP マップを適用します policy-map 特定のセキュリティアクションにクラスマップを関連付けます 31-76

77 第 31 章 trust-point trust-point IKE ピアに送信される証明書を識別するトラストポイントの名前を指定するには トンネルグループ IPSec-attributes モードで trust-point コマンドを使用します トラストポイントの指定を削除するには このコマンドの no 形式を使用します trust-point trust-point-name no trust-point trust-point-name 構文の説明 trust-point-name 使用するトラストポイントの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています トンネルグループ ipsec アトリビュート ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このアトリビュートは すべての IPSec トンネルグループタイプに適用できます 例 次の例は config-ipsec コンフィギュレーションモードで入力され という名前の IPSec LAN-to-LAN トンネルグループの IKE ピアに送られる証明書を識別するためのトラストポイントを設定します hostname(config)# tunnel-group type IPSec_L2L hostname(config)# tunnel-group ipsec-attributes hostname(config-tunnel-ipsec)# trust-point mytrustpoint 関連コマンド コマンド clear-configure tunnel-group show running-config tunnel-group tunnel-group ipsec-attributes 説明設定されているすべてのトンネルグループをクリアします すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します このグループのトンネルグループ ipsec アトリビュートを設定します 31-77

78 trustpoint(sso サーバ ) 第 31 章 trustpoint(sso サーバ ) SAML POST タイプの SSO サーバに送信する証明書を識別するトラストポイントの名前を指定するには config-webvpn-sso-saml モードで trustpoint コマンドを使用します トラストポイントの指定を削除するには このコマンドの no 形式を使用します trustpoint trustpoint-name no trustpoint trustpoint-name 構文の説明 trustpoint-name 使用するトラストポイントの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム Config webvpn sso saml コマンド履歴 リリース 変更内容 7.3 このコマンドが追加されました 使用上のガイドライン シングルサインオンは WebVPN でのみサポートされています これにより ユーザはユーザ名とパスワードを一度だけ入力すれば 別のサーバでさまざまなセキュアなサービスにアクセスできます 適応型セキュリティアプライアンスは現在 SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています このコマンドは SAML タイプの SSO サーバにだけ適用されます トラストポイントは認証局 ID を表し 特に認証パスで最初の公開キーを提供するために使用される公開キー証明書など 検証テストを行わなくても有効と見なされて信頼することができる CA-issued 証明書に基づいています 例 次の例では SAML POST タイプ SSO サーバに送信する証明書を識別するために config-webvpn-sso-saml モードでトラストポイントに名前を付けています hostname(config-webvpn)# sso server hostname(config-webvpn-sso-saml)# trustpoint mytrustpoint 31-78

79 第 31 章 trustpoint(sso サーバ ) 関連コマンド コマンド 説明 crypto ca trustpoint トラストポイント情報を管理します show webvpn sso server sso server セキュリティデバイスに設定されているすべての SSO サーバの運用統計情報を表示します SSO サーバのタイプを作成および指定し 名前を付けます 31-79

80 tsig enforced 第 31 章 tsig enforced TSIG リソースレコードを必須とするには パラメータコンフィギュレーションモードで tsig enforced コマンドを使用します この機能をディセーブルにするには このコマンドの no 形式を使用します tsig enforced action {drop [log] log} no tsig enforced [action {drop [log] log}] 構文の説明 drop log TSIG が存在しない場合に パケットをドロップします システムメッセージログを生成します デフォルト デフォルトでは このコマンドはディセーブルになっています 次の表は このコマンドを入力できるモードを示しています パラメータコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン このコマンドは DNS トランザクションにおいて TSIG のモニタリングをイネーブルにし TSIG が必ず存在するように強制します 例 次の例では DNS インスペクションポリシーマップで TSIG の強制をイネーブルにする方法を示します hostname(config)# policy-map type inspect dns preset_dns_map hostname(config-pmap)# parameters hostname(config-pmap-p)# tsig enforced action log 関連コマンド コマンド class class-map type inspect 説明ポリシーマップのクラスマップ名を指定します アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します 31-80

81 第 31 章 tsig enforced コマンド policy-map show running-config policy-map 説明 レイヤ 3/4 のポリシーマップを作成します 現在のポリシーマップコンフィギュレーションをすべて表示します 31-81

82 ttl-evasion-protection 第 31 章 ttl-evasion-protection Time-To-Live(TTL; 存続可能時間 ) 回避保護をディセーブルにするには TCP マップコンフィギュレーションモードで ttl-evasion-protection コマンドを使用します この指定を削除するには このコマンドの no 形式を使用します ttl-evasion-protection no ttl-evasion-protection 構文の説明 このコマンドには 引数またはキーワードはありません デフォルト 適応型セキュリティアプライアンスが提供する TTL 回避保護は デフォルトでイネーブルです 次の表は このコマンドを入力できるモードを示しています TCP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます class-map コマンドを使用してトラフィックのクラスを定義し tcp-map コマンドで TCP インスペクションをカスタマイズします policy-map コマンドを使用して 新しい TCP マップを適用します service-policy コマンドで TCP インスペクションをアクティブにします tcp-map コマンドを使用して TCP マップコンフィギュレーションモードを開始します TCP マップコンフィギュレーションモードで ttl-evasion-protection コマンドを使用して セキュリティポリシーを回避しようとした攻撃を防止します たとえば 攻撃者は非常に短い TTL でポリシーを通過するパケットを送信するとします TTL が 0 になると 適応型セキュリティアプライアンスとエンドポイントの間のルータはパケットをドロップします 攻撃者は この時点で長い TTL を持つ悪意のあるパケットを送信します 適応型セキュリティアプライアンスはこのパケットを再送信と見なし 通過させます ただし エンドポイントのホストでは このパケットが攻撃者より受信した最初のパケットとなります このような場合 攻撃を防ぐセキュリティがなく攻撃者は成功します この機能をイネーブルにすると このような攻撃を防ぐことができます 31-82

83 第 31 章 ttl-evasion-protection 例 次の例では ネットワーク から へのフローで TTL 回避保護をディセーブルにする方法を示します hostname(config)# access-list TCP1 extended permit tcp hostname(config)# tcp-map tmap hostname(config-tcp-map)# ttl-evasion-protection disable hostname(config)# class-map cmap hostname(config-cmap)# match access-list TCP1 hostname(config)# policy-map pmap hostname(config-pmap)# class cmap hostname(config-pmap)# set connection advanced-options tmap hostname(config)# service-policy pmap global 関連コマンド コマンド 説明 class トラフィック分類に使用するクラスマップを指定します policy-map ポリシーを設定します これは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです set connection 接続値を設定します tcp-map TCP マップを作成して TCP マップコンフィギュレーションモードにア クセスできるようにします 31-83

84 tunnel-group 第 31 章 tunnel-group IPSec および WebVPN トンネル用に接続固有のレコードのデータベースを作成し 管理するには グローバルコンフィギュレーションモードで tunnel-group コマンドを使用します トンネルグループを削除するには このコマンドの no 形式を使用します tunnel-group name type type no tunnel-group name 構文の説明 name type トンネルグループの名前を指定します これには 任意の文字列を選択できます 名前が IP アドレスの場合は 通常 ピアの IP アドレスとなります トンネルグループのタイプを次のように指定します remote-access: ユーザは IPSec リモートアクセス または WebVPN( ポータルまたはトンネルクライアント ) を使用して接続できます ipsec-l2l:ipsec LAN-to-LAN を指定し 2 つのサイトまたは LAN を インターネットのようなパブリックネットワーク全体で安全に接続できます ( 注 ) 次のトンネルグループタイプはリリース 8.0(2) で廃止されました ipsec-ra:ipsec リモートアクセス webvpn:webvpn 適応型セキュリティアプライアンスは これらのタイプをリモートアクセスタイプに変換します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム 注を参照し てください ( 注 ) tunnel-group コマンドは トランスペアレントファイアウォールモードで使用可能で LAN-to-LAN トンネルグループのコンフィギュレーションを許可できますが リモートアクセスグループまたは WebVPN グループは許可できません また LAN-to-LAN で使用できるすべての tunnel-group コマンドは トランスペアレントファイアウォールモードでも使用できます 31-84

85 第 31 章 tunnel-group コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 7.1(1) webvpn タイプが追加されました 8.0(2) リモートアクセスタイプが追加され ipsec-ra タイプと webvpn タイプが 廃止されました 8.3(1) name 引数は IPv6 アドレスに対応するために 変更されました 使用上のガイドライン 適応型セキュリティアプライアンスには 次のデフォルトトンネルグループがあります DefaultRAGroup: デフォルトの IPSec リモートアクセストンネルグループ DefaultL2LGroup: デフォルトの IPSec LAN-to-LAN トンネルグループ DefaultWEBVPNGroup: デフォルトの WebVPN トンネルグループ これらのグループの変更はできますが 削除はできません 適応型セキュリティアプライアンスは トンネルネゴシエーション中に特定のトンネルグループが識別されない場合 前述のグループを使用して リモートアクセスおよび LAN-to-LAN トンネルグループに対してデフォルトのトンネルパラメータを設定します tunnel-group コマンドを入力した後 特定のトンネルグループに特定のアトリビュートを設定するには 次のコマンドから適切なものを入力します それぞれのコマンドは トンネルグループアトリビュートを設定するためのコンフィギュレーションモードに入ります tunnel-group general-attributes tunnel-group ipsec-attributes tunnel-group webvpn-attributes tunnel-group ppp-attributes LAN-to-LAN 接続に対して 適応型セキュリティアプライアンスは トンネルグループを 暗号マップで設定されたピアアドレスを同名のトンネルグループと一致させることで 接続のためのトンネルグループの選択しようとします そのため IPv6 ピアに対し その IPv6 のアドレスと同様にトンネルグループ名を設定する必要があります トンネルグループ名は 短い表記または長い表記で設定できます CLI を使うと その名前を最短の表記にできます たとえば トンネルグループコマンドを次のように入力した場合 hostname(config)# tunnel-group 2001:0db8:0000:0000:0000:0000:1428:57ab type ipsec-l2l トンネルグループはコンフィギュレーションで次のように表示されます tunnel-group 2001:0db8::1428:57ab type ipsec-l2l 例 次の例は グローバルコンフィギュレーションモードで入力されています 最初のコマンドは リモートアクセストンネルグループを設定します グループ名は group1 です hostname(config)# tunnel-group group1 type remote-access hostname(config)# 次の例では group1 という名前の webvpn トンネルグループを設定する tunnel-group コマンドを示します このコマンドはグローバルコンフィギュレーションモードで入力します hostname(config)# tunnel-group group1 type webvpn hostname(config)# 31-85

86 tunnel-group 第 31 章 関連コマンド コマンド 説明 clear configure tunnel-group 設定されているすべてのトンネルグループをクリアします show running-config tunnel-group tunnel-group general-attributes tunnel-group ipsec-attributes tunnel-group ppp-attributes tunnel-group webvpn-attributes すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します 一般トンネルグループアトリビュートを設定する config-general モードに入ります IPSec トンネルグループアトリビュートを設定する config-ipsec モードに入ります L2TP 接続の PPP を設定する config-ppp モードに入ります WebVPN トンネルグループアトリビュートを設定する config-webvpn モードを開始します 31-86

87 第 31 章 tunnel-group general-attributes tunnel-group general-attributes 一般アトリビュートコンフィギュレーションモードに入るには グローバルコンフィギュレーションモードで tunnel-group general-attributes コマンドを使用します このモードは サポートされるすべてのトンネリングプロトコルに共通の値を設定するために使用されます 一般アトリビュートをすべて削除するには このコマンドの no 形式を使用します tunnel-group name general-attributes no tunnel-group name general-attributes 構文の説明 general-attributes name このトンネルグループのアトリビュートを指定します トンネルグループの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています トンネルグループ一般アトリビュートコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース変更内容 7.0(1) このコマンドが追加されました 7.1(1) さまざまなアトリビュートが他のトンネルグループタイプから一般トンネルグループアトリビュートリストに移され トンネルグループ一般アトリビュートモードのプロンプトが変更されました 例 次の例は グローバルコンフィギュレーションモードで入力され LAN-to-LAN ピアの IP アドレスを使用してリモートアクセス接続用のリモートアクセストンネルグループを作成してから 一般アトリビュートコンフィギュレーションモードに入ってトンネルグループ一般アトリビュートを設定します トンネルグループの名前は です hostname(config)# tunnel-group type remote-access hostname(config)# tunnel-group general-attributes hostname(config-tunnel-general)# 次の例はグローバルコンフィギュレーションモードで入力され IPSec リモートアクセス接続用の remotegrp という名前のトンネルグループを作成してから 一般コンフィギュレーションモードに入って remotegrp という名前のトンネルグループ用の一般アトリビュートを設定します hostname(config)# tunnel-group remotegrp type ipsec_ra 31-87

88 tunnel-group general-attributes 第 31 章 hostname(config)# tunnel-group remotegrp general hostname(config-tunnel-general) 関連コマンド コマンド 説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグルー プの現在実行されているトンネルグループコンフィギュレー ションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータ ベースを作成および管理します 31-88

89 第 31 章 tunnel-group ipsec-attributes tunnel-group ipsec-attributes ipsec-attribute コンフィギュレーションモードに入るには グローバルコンフィギュレーションモードで tunnel-group ipsec-attributes コマンドを使用します このモードは IPSec トンネリングプロトコルに限定される値を設定するために使用されます IPSec アトリビュートをすべて削除するには このコマンドの no 形式を使用します tunnel-group name ipsec-attributes no tunnel-group name ipsec-attributes 構文の説明 ipsec-attributes name このトンネルグループのアトリビュートを指定します トンネルグループの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース変更内容 7.0(1) このコマンドが追加されました 7.1(1) さまざまな IPSec トンネルグループアトリビュートが一般トンネルグループアトリビュートリストに移され トンネルグループ ipsec-attributes モードのプロンプトが変更されました 例 次の例はグローバルコンフィギュレーションで入力され remotegrp という名前の IPSec リモートアクセストンネルグループ用のトンネルグループを作成してから IPSec グループアトリビュートを指定します hostname(config)# tunnel-group remotegrp type ipsec_ra hostname(config)# tunnel-group remotegrp ipsec-attributes hostname(config-tunnel-ipsec) 関連コマンド コマンド clear configure tunnel-group 説明トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします 31-89

90 tunnel-group ipsec-attributes 第 31 章 コマンド show running-config tunnel-group tunnel-group 説明指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します 31-90

91 第 31 章 tunnel-group ppp-attributes tunnel-group ppp-attributes ppp-attributes コンフィギュレーションモードに入り L2TP over IPSec 接続で使用する PPP を設定するには グローバルコンフィギュレーションモードで tunnel-group ppp-attributes コマンドを使用します PPP アトリビュートをすべて削除するには このコマンドの no 形式を使用します tunnel-group name ppp-attributes no tunnel-group name ppp-attributes 構文の説明 name トンネルグループの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン PPP 設定は Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリングプロトコル ) で使用されます これは リモートクライアントがダイヤルアップ接続サービスのパブリック IP ネットワークを使用して 企業のプライベートネットワークサーバと安全に通信できるようにする VPN トンネリングプロトコルです L2TP は クライアント / サーバモデルに基づいており PPP over UDP( ポート 1701) を使用してデータをトンネリングします トンネルグループのすべての PPP コマンドは PPPoE トンネルグループタイプで使用できます 例 次の例では telecommuters というトンネルグループを作成し ppp-attributes コンフィギュレーションモードに入ります hostname(config)# tunnel-group telecommuters type pppoe hostname(config)# tunnel-group telecommuters ppp-attributes hostname(tunnel-group-ppp)# 31-91

92 tunnel-group ppp-attributes 第 31 章 関連コマンド コマンド 説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグルー プの現在実行されているトンネルグループコンフィギュレー ションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータ ベースを作成および管理します 31-92

93 第 31 章 tunnel-group webvpn-attributes tunnel-group webvpn-attributes webvpn-attribute コンフィギュレーションモードに入るには グローバルコンフィギュレーションモードで tunnel-group webvpn-attributes コマンドを使用します このモードでは WebVPN トンネリングでの共通の設定を行います WebVPN アトリビュートをすべて削除するには このコマンドの no 形式を使用します tunnel-group name webvpn-attributes no tunnel-group name webvpn-attributes 構文の説明 webvpn-attributes name このトンネルグループの WebVPN アトリビュートを指定します トンネルグループの名前を指定します デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.1(1) このコマンドが追加されました 例 次の例は グローバルコンフィギュレーションモードに入り LAN-to-LAN ピアの IP アドレスを使用して WebVPN 接続用のトンネルグループを作成してから webvpn コンフィギュレーションモードに入り WebVPN アトリビュートを設定します トンネルグループの名前は です hostname(config)# tunnel-group type webvpn hostname(config)# tunnel-group webvpn-attributes hostname(config-tunnel-webvpn)# 次の例は グローバルコンフィギュレーションモードに入り WebVPN 接続用の remotegrp という名前のトンネルグループを作成してから webvpn コンフィギュレーションモードに入って remotegrp という名前のトンネルグループ用の WebVPN アトリビュートを設定します hostname(config)# tunnel-group remotegrp type webvpn hostname(config)# tunnel-group remotegrp webvpn-attributes hostname(config-tunnel-webvpn)# 31-93

94 tunnel-group webvpn-attributes 第 31 章 関連コマンド コマンド 説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグルー プの現在実行されているトンネルグループコンフィギュレー ションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータ ベースを作成および管理します 31-94

95 第 31 章 tunnel-group-map tunnel-group-map 適応型セキュリティアプライアンスが IPSec 接続要求をクライアント証明書認証とともに受信すると 設定したポリシーに従って接続プロファイルをその接続に割り当てます そのポリシーは 設定したルールの使用 証明書の OU フィールドの使用 IKE ID( ホスト名 IP アドレス キー ID など ) の使用 クライアントの IP アドレス あるいは接続プロファイルを割り当てるデフォルトの接続プロファイルになります SSL 接続に対し 適応型セキュリティアプライアンスは 接続プロファイルを割り当てるように設定したルールを使用するだけです 既存のマップ名を接続プロファイルに関連付けて設定したルールに基づき tunnel-group-map コマンドにより 接続プロファイルが接続に割り当てられます 接続プロファイルとマップ名の関連を解消するには このコマンドの no 形式を使用します このコマンドの no 形式ではマップ名は削除されません マップ名と接続プロファイルとの関連が解消されるだけです コマンドの構文は次のとおりです tunnel-group-map [mapname] [rule-index] [connection-profile] no tunnel-group-map [mapname] [rule-index] ( 注 ) このコマンドで証明書マップ名を作成できます crypto ca certificate map [mapname] [rule-index] トンネルグループ は 現在 接続プロファイル と呼ばれている用語の旧称です tunnel-group-map コマンドは 接続プロファイルマップを作成するものと考えてください 構文の説明 mapname rule-index connection-profile 必須 既存の証明書マップの名前を指定します 必須 マップ名に関連付けられた rule-index を指定します rule-index パラメータは crypto ca certificate map コマンドを使用して定義されます 有効な値は 1 ~ です 証明書マップリストに対して接続プロファイル名を指定します デフォルト tunnel-group-map が未定義で ASA が IPsec 接続リストをクライアント証明書認証とともに受信した場合 ASA は証明書認証要求をこれらのポリシーの 1 つと次の順序で照合することで 接続プロファイルを割り当てます 証明書の ou フィールド : サブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit (OU; 組織ユニット ) フィールドの値に基づき 接続プロファイルを決定します IKE ID: フェーズ 1 IKE ID の内容に基づき 接続プロファイルを決定します peer-ip: 確立されたクライアント IP アドレスに基づき 接続プロファイルを決定します デフォルト接続プロファイル :ASA が上記 3 つのポリシーに一致しない場合は デフォルトの接続プロファイルを割り当てます デフォルトのプロファイルは DefaultRAGroup です そうでない場合は デフォルトの接続プロファイルは tunnel-group-map default-group コマンドを使用して設定されます 31-95

96 tunnel-group-map 第 31 章 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン 設定したマップ名は 接続プロファイルと関連付ける前に 存在している必要があります crypto ca certificate map コマンドを使用して マップ名を作成します 詳細については crypto ca certificate map コマンドの資料を参照してください マップ名を接続プロファイルに関連付けたら 前述のデフォルトのポリシーではなく設定したルールを使用するには tunnel-group-map をイネーブルにする必要があります これを行うには グローバルコンフィギュレーションモードで tunnel-group-map enable rules コマンドを実行する必要があります 例 次の例では rule index が 10 のマップ名 SalesGroup を SalesConnectionProfile 接続プロファイルに関連付けています hostname(config)# tunnel-group-map SalesGroup 10 SalesConnectionProfile hostname(config)# 関連コマンド コマンド crypto ca certificate map [map name] tunnel-group-map enable tunnel-group-map default-group 説明 CA 証明書マップモードに入り そのモードを使用して証明書マップ名を作成できます 確立されたルールに基づく証明書ベースの IKE セッションをイネーブルにします 既存のトンネルグループ名をデフォルトのトンネルグループとして指定します 31-96

97 第 31 章 tunnel-group-map default-group tunnel-group-map default-group tunnel-group-map default-group コマンドは 他の設定済みの方法でトンネルグループ名を判別できなかった場合に 使用するデフォルトのトンネルグループ名を指定します tunnel-group-map を削除するには このコマンドの no 形式を使用します tunnel-group-map [rule-index] default-group tunnel-group-name no tunnel-group-map 構文の説明 default-group tunnel-group-name rule index 他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します tunnel-group name はすでに存在している必要があります オプション crypto ca certificate map コマンドで指定したパラメータを参照します 有効な値は 1 ~ です デフォルト tunnel-group-map default-group のデフォルト値は DefaultRAGroup です 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン tunnel-group-map コマンドは 証明書ベースの IKE セッションをトンネルグループにマップするときのポリシーおよびルールを設定します crypto ca certificate map コマンドを使用して作成された証明書マップエントリをトンネルグループに関連付けるには グローバルコンフィギュレーションモードで tunnel-group-map コマンドを使用します 各呼び出しが一意であり マップインデックスを 2 回以上参照しない限り このコマンドを複数回実行できます crypto ca certificate map コマンドは 証明書マッピングルールの優先順位リストを保守します 設定できるマップは 1 つだけです ただし 個までのルールをそのマップに設定できます 詳細については crypto ca certificate map コマンドの資料を参照してください 証明書からトンネルグループ名を取得する処理は トンネルグループに関連付けられていない証明書マップのエントリを無視します ( どのマップルールもこのコマンドでは識別されません ) 31-97

98 tunnel-group-map default-group 第 31 章 例 次の例はグローバルコンフィギュレーションモードで入力され 他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します 使用するトンネルグループの名前は group1 です hostname(config)# tunnel-group-map default-group group1 hostname(config)# 関連コマンド コマンド 説明 crypto ca certificate map 暗号 CA 証明書マップモードを開始します subject-name( 暗号 CA 証明書マップ ) tunnel-group-map enable ルールエントリ文字列との比較対象となる CA 証明書に含まれている DN を指定します 証明書ベースの IKE セッションをトンネルグループにマップするポリシーとルールを設定します 31-98

99 第 31 章 tunnel-group-map enable tunnel-group-map enable tunnel-group-map enable コマンドは 証明書ベースの IKE セッションをトンネルグループにマップするポリシーとルールを設定します デフォルト値に戻すには このコマンドの no 形式を使用します tunnel-group-map [rule-index] enable policy no tunnel-group-map enable [rule-index] 構文の説明 policy rule index 証明書からトンネルグループ名を取得するポリシーを指定します Policy は 次のいずれかになります ike-id: トンネルグループがルールの検索に基づいて決定されない または ou から取得されない場合 証明書ベースの IKE セッションはフェーズ 1 IKE ID のコンテンツに基づいたトンネルグループにマップされることを示します ou: トンネルグループがルールの検索に基づいて決定されない場合 サブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit(OU; 組織ユニット ) の値を使用することを示します peer-ip: トンネルグループがルールの検索に基づいて決定されないか ou または ike-id メソッドから取得されない場合 確立されたピア IP アドレスを使用することを示します rules: 証明書ベースの IKE セッションは このコマンドで設定された証明書マップ結合に基づいてトンネルグループにマップされることを示します オプション crypto ca certificate map コマンドで指定したパラメータを参照します 有効な値は 1 ~ です デフォルト tunnel-group-map コマンドのデフォルト値は enable ou で default-group は DefaultRAGroup に設定されています 次の表は このコマンドを入力できるモードを示しています グローバルコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 31-99

100 tunnel-group-map enable 第 31 章 使用上のガイドライン crypto ca certificate map コマンドは 証明書マッピングルールの優先順位リストを保守します 設定できるマップは 1 つだけです ただし 個までのルールをそのマップに設定できます 詳細については crypto ca certificate map コマンドの資料を参照してください 例 次の例では フェーズ 1 IKE ID のコンテンツに基づいて トンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable ike-id hostname(config)# 次の例では 確立されたピアの IP アドレスに基づいて トンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable peer-ip hostname(config)# 次の例では サブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit(OU; 組織ユニット ) に基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable ou hostname(config)# 次の例では 確立したルールに基づいて 証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable rules hostname(config)# 関連コマンド コマンド 説明 crypto ca certificate map CA 証明書マップモードを開始します subject-name( 暗号 CA 証明書マップ ) tunnel-group-map default-group ルールエントリ文字列との比較対象となる CA 証明書に含まれている DN を指定します 既存のトンネルグループ名をデフォルトのトンネルグループとして指定します

101 第 31 章 tunnel-limit tunnel-limit 適応型セキュリティアプライアンスでアクティブになることを許可されている GTP トンネルの最大数を指定するには GTP マップコンフィギュレーションモードで tunnel limit コマンドを使用します このモードには gtp-map コマンドを使用してアクセスできます トンネル制限をデフォルトに戻すには no を使用します tunnel-limit max_tunnels no tunnel-limit max_tunnels 構文の説明 max_tunnels これは トンネルの許容最大数です グローバルなトンネル制限全体の範囲は 1 ~ です デフォルト トンネル制限のデフォルトは 500 です 次の表は このコマンドを入力できるモードを示しています GTP マップコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン このコマンドで指定されたトンネル数に到達すると 新しい要求はドロップされます 例 次の例では GTP トラフィックに最大 10,000 トンネルを指定します hostname(config)# gtp-map qtp-policy hostname(config-gtpmap)# tunnel-limit 関連コマンド コマンド clear service-policy inspect gtp debug gtp gtp-map 説明グローバルな GTP 統計情報をクリアします GTP インスペクションの詳細情報を表示します GTP マップを定義し GTP マップコンフィギュレーションモードをイネーブルにします

102 tunnel-limit 第 31 章 コマンド inspect gtp show service-policy inspect gtp 説明 アプリケーションインスペクションに使用する特定の GTP マップを適用します GTP コンフィギュレーションを表示します

103 第 31 章 tx-ring-limit tx-ring-limit プライオリティキューの深さを指定するには プライオリティキューモードで tx-ring-limit コマンドを使用します この指定を削除するには このコマンドの no 形式を使用します tx-ring-limit number-of-packets no tx-ring-limit number-of-packets 構文の説明 number-of-packets イーサネット送信ドライバが許容できる低遅延パケットまたは標準の優先順位のパケットの最大数を指定します この値を超えると イーサネット送信ドライバは輻輳が解消するまで インターフェイス上のキューにパケットを戻しバッファに格納させます tx-ring-limit の値の範囲は PIX プラットフォームでは 3 から 128 パケットで ASA プラットフォームでは 3 から 256 パケットです デフォルト デフォルトの tx-ring-limit は 128 パケットです 次の表は このコマンドを入力できるモードを示しています ファイアウォールモード セキュリティコンテキスト トランスペ マルチ ルーテッド アレント シングル コンテキスト システム プライオリティキュー コマンド履歴 リリース 変更内容 7.0(1) このコマンドが追加されました 使用上のガイドライン 適応型セキュリティアプライアンスでは 遅延の影響を受けやすい プライオリティの高いトラフィック ( 音声およびビデオなど ) 用の Low-Latency Queuing(LLQ; 低遅延キューイング ) と それ以外のすべてのトラフィック用のベストエフォート ( デフォルト ) の 2 つのトラフィッククラスを使用できます 適応型セキュリティアプライアンスは プライオリティトラフィックを認識し 適切な Quality of Service(QoS; サービス品質 ) ポリシーを実施します プライオリティキューのサイズと深さを設定して トラフィックフローを微調整できます プライオリティキューイングを有効にするには priority-queue コマンドを使用して インターフェイスのプライオリティキューをあらかじめ作成しておく必要があります 1 つの priority-queue コマンドを nameif コマンドで定義できるすべてのインターフェイスに対して適用できます priority-queue コマンドで プライオリティキューモードを開始します これはプロンプトに表示されます プライオリティキューモードでは 送信キューに任意のタイミングで入れることができるパケットの最大数 (tx-ring-limit コマンド ) パケットがドロップされるまで バッファできる両方のタイプ ( プライオリティまたはベストエフォート ) のパケット数を設定できます (queue-limit コマンド )

104 tx-ring-limit 第 31 章 ( 注 ) インターフェイスのプライオリティキューイングをイネーブルにするには priority-queue コマンドを設定する必要があります 指定する tx-ring-limit および queue-limit は プライオリティの高い低遅延キューとベストエフォートキューの両方に適用されます tx-ring-limit は ドライバが許容できる両方のタイプのパケットの数です このパケット数を超えると ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し 輻輳が解消するまでそのキューでパケットをバッファしておきます 通常 これらの 2 つのパラメータを調整することで 低遅延トラフィックのフローを最適化できます キューのサイズは無限大ではないため いっぱいになってオーバーフローすることがあります キューがいっぱいになると 以降のパケットはキューに入ることができず すべてドロップされます これが テールドロップ です キューがいっぱいになることを避けるには queue-limit コマンドを使用して キューのバッファサイズを大きくします ( 注 ) queue-limit コマンドと tx-ring-limit コマンドに対する値の範囲の上限は 実行時に動的に決定されます この上限を表示するには コマンドラインで help または? と入力します 主な決定要素は キューをサポートするために必要なメモリと デバイス上で使用可能なメモリです queue-limit の値の範囲は 0 ~ 2048 パケットです tx-ring-limit の値の範囲は PIX プラットフォームでは 3 から 128 パケットで ASA プラットフォームでは 3 から 256 パケットです ASA モデル 5505( のみ ) では 1 つのインターフェイスにプライオリティキューを設定すると 他のすべてのインターフェイスで同じコンフィギュレーションが上書きされます つまり 最後に適用されたコンフィギュレーションだけが すべてのインターフェイスに存在することになります さらに プライオリティキューコンフィギュレーションは 1 つのインターフェイスから削除すると すべてのインターフェイスからも削除されます この問題を回避するには priority-queue コマンドを 1 つのインターフェイスにのみ設定します queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を さまざまなインターフェイスで異なる設定にする必要がある場合 任意の 1 つのインターフェイスで すべての queue-limit のうちで最大の値と すべての tx-ring-limit のうちで最小の値を使用します (CSCsi13132) 例 次の例では test というインターフェイスにプライオリティキューを キュー制限を 2048 パケットに 送信キュー制限を 256 パケットに設定しています hostname(config)# priority-queue test hostname(priority-queue)# queue-limit 2048 hostname(priority-queue)# tx-ring-limit 256 関連コマンド コマンド 説明 clear configure priority-queue 指定したインターフェイスの現在のプライオリティキューコンフィギュレーションを削除します priority-queue インターフェイスにプライオリティキューイングを設定します queue-limit プライオリティキューに入れることができるパケットの最大数を指定しま す この数を超えると 以後のデータはドロップされます

105 第 31 章 tx-ring-limit コマンド show priority-queue statistics show running-config priority-queue 説明指定されたインターフェイスのプライオリティキュー統計情報を表示します 現在のプライオリティキューコンフィギュレーションを表示します all キーワードを指定した場合 このコマンドは現在のすべての priority-queue queue-limit および tx-ring-limit コマンド設定値を表示します

106 type echo 第 31 章 type echo SLA 動作をエコー応答時間プローブ動作として設定するには SLA モニタコンフィギュレーションモードで type echo コマンドを使用します このタイプの SLA 動作をコンフィギュレーションから削除するには このコマンドの no 形式を使用します type echo protocol ipicmpecho target interface if-name no type echoprotocol ipicmpecho target interface if-name 構文の説明 interface if-name protocol target nameif コマンドで指定したように エコー要求パケットを送信するインターフェイスの名前を指定します インターフェイスの送信元アドレスが エコー要求パケットで送信元アドレスとして使用されます プロトコルを指定するキーワード ipicmpecho という値しか指定できません この値は エコー動作で IP/ICMP エコー要求を使用することを指定します モニタされるオブジェクトの IP アドレスまたはホスト名 デフォルト デフォルトの動作や値はありません 次の表は このコマンドを入力できるモードを示しています SLA モニタコンフィギュレーション ファイアウォールモード セキュリティコンテキスト ルーテッド トランスペアレント シングル マルチコンテキスト システム コマンド履歴 リリース 変更内容 7.2(1) このコマンドが追加されました 使用上のガイドライン ICMP パケットのペイロードのデフォルトサイズは 28 バイトです ICMP パケットの合計サイズは 64 バイトになります ペイロードのサイズを変更するには request-data-size コマンドを使用します 例 次の例では ICMP エコー要求 / 応答時間プローブ動作を使用する ID が 123 の SLA 動作を設定しています ID が 1 のトラッキングエントリを作成し SLA の到達可能性を追跡します SLA 動作の頻度を 10 秒 しきい値を 2500 ミリ秒 タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency

107 第 31 章 type echo hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 関連コマンド コマンド 説明 num-packets SLA 動作中に送信する要求パケットの数を指定します request-data-size SLA 動作の要求パケットのペイロードのサイズを指定します sla monitor SLA モニタリング動作を定義します

108 type echo 第 31 章