tcp-map コマンド～ type echo コマンド - PDF 無料ダウンロード

CHAPTER 31 31-1

tcp-map 第 31 章 tcp-map 一連の TCP 正規化アクションを定義するにはグローバルコンフィギュレーションモードで tcp-map コマンドを使用します TCP 正規化機能により異常なパケットを識別する基準を指定できますこれにより異常なパケットが検出されると適応型セキュリティアプライアンスによってドロップされます TCP マップを削除するにはこのコマンドの no 形式を使用します tcp-map map_name no tcp-map map_name 構文の説明 map_name TCP マップ名を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドラインこの機能ではモジュラポリシーフレームワークを使用します最初に tcp-map コマンドを使用して実行する TCP 正規化アクションを定義します tcp-map コマンドを実行すると TCP マップコンフィギュレーションモードが開始されますこのモードでは TCP 正規化アクションを定義する 1 つ以上のコマンドを入力できます次に class-map コマンドを使用して TCP マップを適用するトラフィックを定義します policy-map コマンドを入力してポリシーを定義し class コマンドを入力してクラスマップを参照しますクラスコンフィギュレーションモードで set connection advanced-options コマンドを入力して TCP マップを参照します最後に service-policy コマンドを使用してインターフェイスにポリシーマップを適用しますモジュラポリシーフレームワークの仕組みの詳細については Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください次のコマンドを TCP マップコンフィギュレーションモードで使用できます check-retransmission checksum-verification exceed-mss 再転送データのチェックをイネーブルおよびディセーブルにしますチェックサムの確認をイネーブルおよびディセーブルにしますピアにより設定された MSS を超過したパケットを許可またはドロップします 31-2

第 31 章 tcp-map queue-limit reserved-bits syn-data tcp-options ttl-evasion-protection urgent-flag window-variation TCP 接続のキューに入れることができる順序付けされていないパケットの最大数を設定しますこのコマンドは ASA 5500 シリーズ適応型セキュリティアプライアンスでのみ使用できます PIX 500 シリーズの適応型セキュリティアプライアンスではキューに入れられるパケットは 3 つまででこの数は変更できません適応型セキュリティアプライアンスに予約済みフラグポリシーを設定しますデータを持つ SYN パケットを許可またはドロップします selective-ack timestamp window-scale の各 TCP オプションを許可または消去します適応型セキュリティアプライアンスにより提供された TTL 回避保護をイネーブルまたはディセーブルにします適応型セキュリティアプライアンスを通して URG ポインタを許可または消去します予想外にウィンドウサイズが変更された接続をドロップします例たとえば既知の FTP データポートと Telnet ポート間の TCP ポートの範囲に送信されるトラフィックすべての緊急フラグおよび緊急オフセットパケットを許可するには次のコマンドを入力します hostname(config)# tcp-map tmap hostname(config-tcp-map)# urgent-flag allow hostname(config-tcp-map)# class-map urg-class hostname(config-cmap)# match port tcp range ftp-data telnet hostname(config-cmap)# policy-map pmap hostname(config-pmap)# class urg-class hostname(config-pmap-c)# set connection advanced-options tmap hostname(config-pmap-c)# service-policy pmap global 関連コマンドコマンド class( ポリシーマップ ) clear configure tcp-map policy-map show running-config tcp-map tcp-options 説明トラフィック分類に使用するクラスマップを指定します TCP マップのコンフィギュレーションをクリアしますポリシーを設定しますこれは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです TCP マップコンフィギュレーションに関する情報を表示します selective-ack timestamp window-scale の各 TCP オプションを許可または消去します 31-3

tcp-options 第 31 章 tcp-options 適応型セキュリティアプライアンスを通して TCP オプションを許可または消去するには TCP マップコンフィギュレーションモードで tcp-options コマンドを使用しますこの指定を削除するにはこのコマンドの no 形式を使用します tcp-options {selective-ack timestamp window-scale} {allow clear} no tcp-options {selective-ack timestamp window-scale} {allow clear} tcp-options range lower upper {allow clear drop} no tcp-options range lower upper {allow clear drop} 構文の説明 allow clear drop lower selective-ack timestamp upper window-scale TCP ノーマライザを通して TCP オプションを許可します TCP ノーマライザを通して TCP オプションを消去しパケットを許可しますパケットをドロップします下位バインド範囲 (6 ~ 7) および (9 ~ 255) です選択的な確認応答メカニズム (SACK) オプションを設定しますデフォルトでは SACK オプションを許可します timestamp オプションを設定します timestamp オプションを消去すると PAWS および RTT がディセーブルとなりますデフォルトでは timestamp オプションを許可します上位バインド範囲 (6 ~ 7) および (9 ~ 255) です window scale mechanism オプションを設定しますデフォルトでは window scale mechanism オプションを許可しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示しています TCP マップコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 31-4

第 31 章 tcp-options 使用上のガイドライン tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます class-map コマンドを使用してトラフィックのクラスを定義し tcp-map コマンドで TCP インスペクションをカスタマイズします policy-map コマンドを使用して新しい TCP マップを適用します service-policy コマンドで TCP インスペクションをアクティブにします tcp-map コマンドを使用して TCP マップコンフィギュレーションモードを開始します TCP マップコンフィギュレーションモードで tcp-options コマンドを使用して selective-acknowledgement オプション window-scale オプションおよび timestamp TCP オプションをクリアしますまた明確に定義されていないオプションを持つパケットも消去またはドロップできます例次の例では TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲にあるすべてのパケットをドロップする方法を示します hostname(config)# access-list TCP extended permit tcp any any hostname(config)# tcp-map tmap hostname(config-tcp-map)# tcp-options range 6 7 drop hostname(config-tcp-map)# tcp-options range 9 255 drop hostname(config)# class-map cmap hostname(config-cmap)# match access-list TCP hostname(config)# policy-map pmap hostname(config-pmap)# class cmap hostname(config-pmap)# set connection advanced-options tmap hostname(config)# service-policy pmap global 関連コマンドコマンド説明 class トラフィック分類に使用するクラスマップを指定します policy-map ポリシーを設定しますこれは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです set connection 接続値を設定します tcp-map TCP マップを作成して TCP マップコンフィギュレーションモードにアクセスできるようにします 31-5

telnet 第 31 章 telnet コンソールへの Telnet アクセスを追加してアイドルタイムアウトを設定するにはグローバルコンフィギュレーションモードで telnet コマンドを使用しますあらかじめ設定された IP アドレスから Telnet アクセスを削除するにはこのコマンドの no 形式を使用します telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} no telnet {{hostname IP_address mask interface_name} {IPv6_address interface_name} {timeout number}} 構文の説明 hostname interface_name IP_address IPv6_address mask timeout number 適応型セキュリティアプライアンスの Telnet コンソールにアクセスできるホストの名前を指定します Telnet へのネットワークインターフェイスの名前を指定します適応型セキュリティアプライアンスへのログインを認可されているホストまたはネットワークの IP アドレスを指定します適応型セキュリティアプライアンスへのログインを認可されている IPv6 アドレスおよびプレフィクスを指定します IP アドレスに関連付けられているネットマスクを指定します Telnet セッションが適応型セキュリティアプライアンスによって停止されるまでにアイドル状態を維持する時間 ( 分 ) 有効な値は 1 ~ 1440 分ですデフォルトデフォルトでは Telnet セッションのアイドル状態が 5 分間続くと適応型セキュリティアプライアンスによって停止されます次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) 変数 IPv6_address が追加されましたまた no telnet timeout コマンドも追加されました使用上のガイドライン telnet コマンドでは Telnet で適応型セキュリティアプライアンスコンソールにアクセスできるホストを指定できます適応型セキュリティアプライアンスへの Telnet 接続はすべてのインターフェイスでイネーブルにできますただし適応型セキュリティアプライアンスでは外部インターフェイスへの Telnet トラフィックがすべて必ず IPSec で保護されます外部インターフェイスへの Telnet 31-6

第 31 章 telnet セッションをイネーブルにするにはまず外部インターフェイス上で IPSec が適応型セキュリティアプライアンスの生成する IP トラフィックを含むように設定し外部インターフェイスで Telnet をイネーブルにします no telnet コマンドを使用すると以前に設定した IP アドレスから Telnet アクセスが削除されます telnet timeout コマンドを使用するとコンソールの Telnet セッションの最大アイドル時間を設定してその時間が経過すると適応型セキュリティアプライアンスがログオフするようにできます no telnet コマンドは telnet timeout コマンドとはともに使用できません IP アドレスを入力した場合ネットマスクも入力する必要がありますデフォルトのネットマスクはありません内部ネットワークのサブネットワークマスクを使用しないでください netmask は IP アドレスの単なるビットマスクですアクセスを IP アドレス 1 つに制限するには 255.255.255.255 のように各オクテットに 255 を使用します IPSec が動作中の場合にセキュアでないインターフェイス名 ( 通常外部インターフェイス ) を指定できます telnet コマンドでインターフェイス名を指定するには少なくとも crypto map コマンドを設定する必要があります passwd コマンドを使用してコンソールへの Telnet アクセスで使用するパスワードを設定しますデフォルトは cisco です who コマンドを使用して現在適応型セキュリティアプライアンスコンソールにアクセスしている IP アドレスを表示します kill コマンドを使用してアクティブな Telnet コンソールセッションを終了します aaa コマンドを console キーワードとともに使用する場合は Telnet コンソールアクセスを認証サーバで認証する必要があります ( 注 ) aaa コマンドを設定して適応型セキュリティアプライアンス Telnet コンソールアクセスに認証を要求した場合にコンソールログイン要求がタイムアウトしたときは適応型セキュリティアプライアンスのユーザ名と enable password コマンドで設定したパスワードを入力してシリアルコンソールから適応型セキュリティアプライアンスにアクセスできます例次の例ではホスト 192.168.1.3 および 192.168.1.4 が Telnet を通して適応型セキュリティアプライアンスコンソールへのアクセス許可を得る方法を示しますさらに 192.168.2.0 ネットワーク上のすべてのホストがアクセスを許可されます hostname(config)# telnet 192.168.1.3 255.255.255.255 inside hostname(config)# telnet 192.168.1.4 255.255.255.255 inside hostname(config)# telnet 192.168.2.0 255.255.255.0 inside hostname(config)# show running-config telnet 192.168.1.3 255.255.255.255 inside 192.168.1.4 255.255.255.255 inside 192.168.2.0 255.255.255.0 inside 次の例ではセッションの最大アイドル継続時間を変更する方法を示します hostname(config)# telnet timeout 10 hostname(config)# show running-config telnet timeout telnet timeout 10 minutes 次の例では Telnet コンソールログインセッションを示します ( パスワードは入力時には表示されません ) hostname# passwd: cisco Welcome to the XXX Type help or? for a list of available commands. hostname> 31-7

telnet 第 31 章 no telnet コマンドを使用して個々のエントリを削除することもすべての telnet コマンドステートメントを clear configure telnet コマンドで削除することもできます hostname(config)# no telnet 192.168.1.3 255.255.255.255 inside hostname(config)# show running-config telnet 192.168.1.4 255.255.255.255 inside 192.168.2.0 255.255.255.0 inside hostname(config)# clear configure telnet 関連コマンドコマンド説明 clear configure telnet telnet コンフィギュレーションから Telnet 接続を削除します kill Telnet セッションを終了します show running-config telnet who 適応型セキュリティアプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します適応型セキュリティアプライアンス上のアクティブな Telnet 管理セッションを表示します 31-8

第 31 章 terminal terminal 現在の Telnet セッションで syslog メッセージの表示を許可するには特権 EXEC モードで terminal monitor コマンドを使用します syslog メッセージの表示をディセーブルにするにはこのコマンドの no 形式を使用します terminal {monitor no monitor} 構文の説明 monitor no monitor 現在の Telnet セッションで syslog メッセージの表示をイネーブルにします現在の Telnet セッションで syslog メッセージの表示をディセーブルにしますデフォルト Syslog メッセージはデフォルトではディセーブルになっています次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース既存変更内容このコマンドは既存です例次の例は現在のセッションで syslog メッセージの表示をイネーブルおよびディセーブルにする方法を示します hostname# terminal monitor hostname# terminal no monitor 関連コマンドコマンド clear configure terminal pager show running-config terminal terminal pager terminal width 説明端末の表示幅設定をクリアします Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定しますこのコマンドはコンフィギュレーションに保存されます現在の端末設定を表示します Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定しますこのコマンドはコンフィギュレーションに保存されませんグローバルコンフィギュレーションモードでの端末の表示幅を設定します 31-9

terminal pager 第 31 章 terminal pager Telnet セッションで ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定するには特権 EXEC モードで terminal pager コマンドを使用します terminal pager [lines] lines 構文の説明 [lines] lines ---more--- プロンプトが表示されるまでの 1 ページあたりの行数を設定しますデフォルトは 24 行です 0 はページの制限がないことを示します指定できる範囲は 0 ~ 2147483647 行です lines キーワードはオプションで付けても付けなくてもコマンドは同じですデフォルトデフォルトは 24 行です次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドラインこのコマンドは現在の Telnet セッションに対してだけ pager line 設定を変更します新しいデフォルトの pager 設定をコンフィギュレーションに保存するには pager コマンドを使用します管理コンテキストに Telnet 接続する場合ある特定のコンテキスト内の pager コマンドに異なる設定があっても他のコンテキストに移ったときには pager line 設定はユーザのセッションに従います現在の pager 設定を変更するには新しい設定で terminal pager コマンドを入力するか pager コマンドを現在のコンテキストで入力します pager コマンドはコンテキストコンフィギュレーションに新しい pager 設定を保存する以外に新しい設定を現在の Telnet セッションに適用します例次に表示される行数を 20 に変更する例を示します hostname# terminal pager 20 31-10

第 31 章 terminal pager 関連コマンドコマンド説明 clear configure terminal 端末の表示幅設定をクリアします pager Telnet セッションで ---more--- プロンプトが表示されるまでの行数を設定しますこのコマンドはコンフィギュレーションに保存されます show running-config terminal 現在の端末設定を表示します terminal syslog メッセージが Telnet セッションで表示されるようにします terminal width グローバルコンフィギュレーションモードでの端末の表示幅を設定します 31-11

terminal width 第 31 章 terminal width コンソールセッション中に情報を表示する幅を設定するにはグローバルコンフィギュレーションモードで terminal width コマンドを使用しますディセーブルにするにはこのコマンドの no 形式を使用します terminal width columns no terminal width columns 構文の説明 columns 端末の幅をカラム単位で指定しますデフォルトは 80 です指定できる範囲は 40 ~ 511 ですデフォルトデフォルトの表示幅は 80 カラムです次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース既存変更内容このコマンドは既存です例次の例では端末の表示幅を 100 カラムにする方法を示します hostname# terminal width 100 関連コマンドコマンド clear configure terminal show running-config terminal terminal 説明端末の表示幅設定をクリアします現在の端末設定を表示します特権 EXEC モードで端末回線のパラメータを設定します 31-12

第 31 章 test aaa-server test aaa-server 適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには特権 EXEC モードで test aaa-server コマンドを使用します AAA サーバへの到達に失敗する場合適応型セキュリティアプライアンスのコンフィギュレーションが誤っているか他の理由 ( ネットワークコンフィギュレーションの制限またはサーバのダウンタイムなど ) で到達不能になっている可能性があります test aaa-server {authentication server_tag [host ip_address] [username username] [password password] authorization server_tag [host ip_address] [username username]} 構文の説明 authentication authorization host ip_address password password server_tag username username AAA サーバに認証機能があるかどうかをテストします AAA サーバに従来の VPN 認可機能があるかどうかをテストしますサーバの IP アドレスを指定しますコマンドで IP アドレスが指定されていない場合入力を求めるプロンプトが表示されますユーザパスワードを指定しますコマンドでパスワードが指定されていない場合入力を求めるプロンプトが表示されます aaa-server コマンドで設定した AAA サーバタグを指定します AAA サーバコンフィギュレーションのテストに使用されるアカウントのユーザ名を指定します AAA サーバ上にそのユーザ名が存在することを確認します存在しない場合テストは失敗しますコマンドでユーザ名が指定されていない場合入力を求めるプロンプトが表示されますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース変更内容 7.0(4) このコマンドが追加されました使用上のガイドライン test aaa-server コマンドを使用して適応型セキュリティアプライアンスが特定の AAA サーバでユーザを認証できるかどうかまた従来の VPN 認可の場合はユーザを認可できるかどうかを確認できますこのコマンドでは認証または認可を試みる実際のユーザがいなくても AAA サーバをテストできますまた AAA が機能しなかった場合 AAA サーバパラメータの設定の誤り AAA サーバへの接続の問題または適応型セキュリティアプライアンスでのその他のコンフィギュレーションエラーに起因するものかどうかを識別できます 31-13

test aaa-server 第 31 章例次の例ではホスト 192.168.3.4 に srvgrp1 という名前の RADIUS AAA サーバを設定しタイムアウトを 9 秒にリトライ間隔を 7 秒に認証ポートを 1650 に設定しています AAA サーバパラメータの設定に続く test aaa-server コマンドは認証テストがサーバに到達できず失敗したことを示しています hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4 hostname(config-aaa-server-host)# timeout 9 hostname(config-aaa-server-host)# retry-interval 7 hostname(config-aaa-server-host)# authentication-port 1650 hostname(config-aaa-server-host)# exit hostname(config)# test aaa-server authentication svrgrp1 Server IP Address or name: 192.168.3.4 Username: bogus Password: mypassword INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds) ERROR: Authentication Rejected: Unspecified 次に test aaa-server コマンドが成功した場合の出力例を示します hostname# test aaa-server authentication svrgrp1 host 192.168.3.4 username bogus password mypassword INFO: Attempting Authentication test to IP address <10.77.152.85> (timeout: 12 seconds) INFO: Authentication Successful 関連コマンドコマンド説明 aaa authentication console 管理トラフィックの認証を設定します aaa authentication match 通過トラフィックの認証を設定します aaa-server AAA サーバグループを作成します aaa-server host AAA サーバをサーバグループに追加します 31-14

第 31 章 test dynamic-access-policy attributes test dynamic-access-policy attributes dap アトリビュートモードを開始するには特権 EXEC モードから test dynamic-access-policy attributes コマンドを入力しますこれでユーザとエンドポイントのアトリビュート値ペアを指定できます dynamic-access-policy attributes デフォルトデフォルトの値や動作はありません次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました使用上のガイドライン通常適応型セキュリティアプライアンスは AAA サーバからユーザ認可アトリビュートを取得し Cisco Secure Desktop Host Scan CNA または NAC からエンドポイントアトリビュートを取得します test コマンドの場合ユーザ認可アトリビュートとエンドポイントアトリビュートをこのアトリビュートモードで指定します適応型セキュリティアプライアンスはこれらのアトリビュートを DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュートデータベースに書き込みますこの機能を利用して DAP レコードの作成を実験できます例次に attributes コマンドの使用例を示します hostname # test dynamic-access-policy attributes hostname(config-dap-test-attr)# 関連コマンドコマンド dynamic-access-policy-record attributes display 説明 DAP レコードを作成しますアトリビュートモードに入りますこのモードではユーザアトリビュート値のペアを指定できます現在のアトリビュートリストを表示します 31-15

test dynamic-access-policy execute 第 31 章 test dynamic-access-policy execute 31-16

第 31 章 test regex test regex 正規表現をテストするには特権 EXEC モードで test regex コマンドを使用します test regex input_text regular_expression 構文の説明 input_text regular_expression 正規表現と照合するテキストを指定します最大 100 文字の正規表現を指定します正規表現で使用できるメタ文字のリストについては regex コマンドを参照してくださいデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン test regex コマンドは正規表現が一致すべきものと一致するかどうかをテストします入力したテキストと正規表現が一致すると次のメッセージが表示されます INFO: Regular expression match succeeded. 入力したテキストと正規表現が一致しない場合は次のメッセージが表示されます INFO: Regular expression match failed. 例次の例は入力したテキストと正規表現が一致するかどうかをテストします hostname# test regex farscape scape INFO: Regular expression match succeeded. hostname# test regex farscape scaper INFO: Regular expression match failed. 31-17

test regex 第 31 章関連コマンドコマンド説明 class-map type inspect アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します policy-map トラフィッククラスを 1 つ以上のアクションと関連付けることによってポリシーマップを作成します policy-map type inspect アプリケーションインスペクションの特別なアクションを定義します class-map type regex 正規表現クラスマップを作成します regex 正規表現を作成します 31-18

第 31 章 test sso-server test sso-server テスト認証要求で SSO サーバをテストするには特権 EXEC モードで test sso-server コマンドを使用します test sso-server server-name username user-name 構文の説明 server-name user-name テストされる SSO サーバの名前を指定しますテストされる SSO サーバ上のユーザ名を指定しますデフォルトデフォルトの値や動作はありません次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム config-webvpn config-webvpn-sso-saml config-webvpn-sso-siteminder グローバルコンフィギュレーションモード特権 EXEC コマンド履歴リリース変更内容 7.1(1) このコマンドが追加されました使用上のガイドラインシングルサインオンは WebVPN でのみサポートされていますこれによりユーザはユーザ名とパスワードを一度だけ入力すれば別のサーバでさまざまなセキュアなサービスにアクセスできます test sso-server コマンドは SSO サーバが認識されるかどうかおよび認証要求に応答するかどうかをテストします server-name 引数により指定された SSO サーバが検出されない場合は次のエラーが表示されます ERROR: sso-server server-name does not exist SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合認証は拒否されます認証では適応型セキュリティアプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します適応型セキュリティアプライアンスは現在 SiteMinder SSO サーバ ( 以前の Netegrity SiteMinder) と SAML POST タイプの SSO サーバをサポートしていますこのコマンドは SSO サーバの両タイプに適用されます 31-19

test sso-server 第 31 章例特権 EXEC モードで入力された次の例では my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用してテストに成功しています hostname# test sso-server my-sso-server username Anyuser INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser INFO: STATUS: Success hostname# 次の例は同じサーバのテストを示していますが Anotheruser というユーザ名は認識されず認証は失敗しています hostname# test sso-server my-sso-server username Anotheruser INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser INFO: STATUS: Failed hostname# 関連コマンドコマンド説明 max-retry-attempts 適応型セキュリティアプライアンスが失敗した SSO 認証を再試行する回数を設定します policy-server-secret SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します request-timeout SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します show webvpn sso-server セキュリティデバイスに設定されているすべての SSO サーバの運用統計情報を表示します sso-server シングルサインオンサーバを作成します web-agent-url 適応型セキュリティアプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します 31-20

第 31 章 text-color text-color ログインページホームページおよびファイルアクセスページの WebVPN タイトルバーのテキストに色を設定するには webvpn モードで text-color コマンドを使用しますテキストの色をコンフィギュレーションから削除してデフォルトにリセットするにはこのコマンドの no 形式を使用します text-color [black white auto] no text-color 構文の説明 auto black white secondary-color コマンドの設定に基づいて黒または白を選択しますつまり 2 番めの色が黒の場合この値は白となりますタイトルバーのテキストのデフォルト色は白です色を黒に変更できますデフォルトタイトルバーのテキストのデフォルト色は白です次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム webvpn コマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました例次の例ではタイトルバーのテキストの色を黒に設定する方法を示します hostname(config)# webvpn hostname(config-webvpn)# text-color black 関連コマンドコマンド説明 secondary-text-color WebVPN ログインページホームページおよびファイルアクセスページの 2 番めのテキストの色を設定します 31-21

tftp-server 第 31 章 tftp-server configure net コマンドまたは write net コマンドで使用するデフォルトの TFTP サーバおよびパスとファイル名を指定するにはグローバルコンフィギュレーションモードで tftp-server コマンドを使用しますサーバコンフィギュレーションを削除するにはこのコマンドの no 形式を使用しますこのコマンドは IPv4 および IPv6 のアドレスをサポートします tftp-server interface_name server filename no tftp-server [interface_name server filename] 構文の説明 filename interface_name server パスとファイル名を指定しますゲートウェイインターフェイス名を指定します最も安全なセキュリティインターフェイス以外のインターフェイスを指定した場合このインターフェイスがセキュアでないことを示す警告メッセージが表示されます TFTP サーバの IP アドレスまたは名前を設定します IPv4 アドレスまたは IPv6 アドレスを入力できますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) 現在ではゲートウェイインターフェイスが必要です使用上のガイドライン tftp-server コマンドを使用すると configure net コマンドと write net コマンドの入力が容易になります configure net コマンドや write net コマンドを入力するとき tftp-server コマンドで指定した TFTP サーバを継承するか独自の値を指定できますまた tftp-server コマンドのパスをそのまま継承したり tftp-server コマンド値の末尾にパスとファイル名を追加したり tftp-server コマンド値を上書きすることもできます適応型セキュリティアプライアンスがサポートする tftp-server コマンドは 1 つだけです例次の例では TFTP サーバを指定しコンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します hostname(config)# tftp-server inside 10.1.1.42 /temp/config/test_config hostname(config)# configure net 31-22

第 31 章 tftp-server 関連コマンドコマンド説明 configure net 指定した TFTP サーバおよびパスからコンフィギュレーションをロードします show running-config tftp-server デフォルトの TFTP サーバアドレスとコンフィギュレーションファイルのディレクトリを表示します 31-23

tftp-server address 第 31 章 tftp-server address クラスタにある TFTP サーバを指定するには Phone-Proxy コンフィギュレーションモードで tftp-server address コマンドを使用します TFTP サーバを Phone Proxy コンフィギュレーションから削除するにはこのコマンドの no 形式を使用します tftp-server address ip_address [port] interface interface no tftp-server address ip_address [port] interface interface 構文の説明 ip_address interface interface port TFTP サーバのアドレスを指定します TFTP サーバを格納するインターフェイスを指定します TFTP サーバの実際のアドレスである必要があります ( 任意 )TFTP サーバが TFTP リクエストを受信するポートですデフォルトの TFTP ポート 69 を使用しない場合はこのポートを設定する必要がありますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示しています Phone-Proxy コンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(4) このコマンドが追加されました使用上のガイドライン Phone Proxy には設定済みの CUCM TFTP サーバが少なくとも 1 台は必要です TFTP サーバは Phone Proxy に 5 台まで設定できます TFTP サーバは信頼できるネットワークのファイアウォールの背後にあると見なされますそのため Phone Proxy は IP 電話と TFTP サーバ間のリクエストを代行受信します TFTP サーバは CUCM と同じインターフェイス上に存在する必要があります内部 IP アドレスを使用して TFTP サーバを作成し TFTP サーバが存在するインターフェイスを指定します IP 電話で TFTP サーバの IP アドレスを次のように設定する必要があります NAT が TFTP サーバ用に設定されている場合は TFTP サーバのグローバル IP アドレスを使用します NAT が TFTP サーバ用に設定されていない場合は TFTP サーバの内部 IP アドレスを使用します 31-24

第 31 章 tftp-server address サービスポリシーがグローバルに適用されている場合はすべての入力インターフェイス上の TFTP サーバに到達する TFTP トラフィックの送信先を指定する分類ルールが作成されますただし TFTP サーバが存在するインターフェイスは除きますサービスポリシーが特定のインターフェイスに適用されている場合はそのインターフェイス上の TFTP サーバに到達する TFTP トラフィックをすべて Phone-Proxy モジュールに送信する分類ルールが作成されます NAT を TFTP サーバ用に設定する場合分類ルールのインストール時に TFTP サーバのグローバルアドレスを使用するためにはその NAT の設定をサービスポリシーを適用する前に行う必要があります例次の例は 2 台の TFTP サーバを Phone Proxy 用に設定する tftp-server address コマンドの使用方法を示します hostname(config)# phone-proxy asa_phone_proxy hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside hostname(config-phone-proxy)# media-termination address 192.168.1.4 interface inside hostname(config-phone-proxy)# media-termination address 192.168.1.25 interface outside hostname(config-phone-proxy)# tls-proxy asa_tlsp hostname(config-phone-proxy)# ctl-file asactl hostname(config-phone-proxy)# cluster-mode nonsecure 関連コマンドコマンド説明 phone-proxy Phone Proxy インスタンスを設定します 31-25

threat-detection basic-threat 第 31 章 threat-detection basic-threat 基本脅威検出をイネーブルにするにはグローバルコンフィギュレーションモードで threat-detection basic-threat コマンドを使用します基本脅威検出をディセーブルにするにはこのコマンドの no 形式を使用します threat-detection basic-threat no threat-detection basic-threat 構文の説明このコマンドには引数またはキーワードはありませんデフォルト基本脅威検出はデフォルトでイネーブルになっています次のデフォルトレート制限が使用されます表 31-1 基本脅威検出のデフォルト設定パケットドロップの理由 DoS 攻撃を検出パケット形式が不良接続制限値を超過疑わしい ICMP パケットを検出トリガー設定平均レート直前の 600 秒間で 100 ドロップ / 秒直前の 3600 秒間で 80 ドロップ / 秒スキャン攻撃を検出直前の 600 秒間で 5 ドロップ / 秒直前の 3600 秒間で 4 ドロップ / 秒 TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出 ( 複合 ) アクセスリストによる拒否基本ファイアウォール検査に不合格パケットがアプリケーションインスペクションに不合格インターフェイス過負荷直前の 600 秒間で 100 ドロップ / 秒直前の 3600 秒間で 80 ドロップ / 秒直前の 600 秒間で 400 ドロップ / 秒直前の 3600 秒間で 320 ドロップ / 秒直前の 600 秒間で 400 ドロップ / 秒直前の 3600 秒間で 320 ドロップ / 秒直前の 600 秒間で 2000 ドロップ / 秒直前の 3600 秒間で 1600 ドロップ / 秒バーストレート直前の 10 秒間で 400 ドロップ / 秒直前の 60 秒間で 320 ドロップ / 秒直前の 10 秒間で 10 ドロップ / 秒直前の 60 秒間で 8 ドロップ / 秒直前の 10 秒間で 200 ドロップ / 秒直前の 60 秒間で 160 ドロップ / 秒直前の 10 秒間で 800 ドロップ / 秒直前の 60 秒間で 640 ドロップ / 秒直前の 10 秒間で 1600 ドロップ / 秒直前の 60 秒間で 1280 ドロップ / 秒直前の 10 秒間で 8000 ドロップ / 秒直前の 60 秒間で 6400 ドロップ / 秒 31-26

第 31 章 threat-detection basic-threat 次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました使用上のガイドライン基本脅威検出をイネーブルにすると適応型セキュリティアプライアンスは次の理由によりドロップパケットとセキュリティイベントのレートをモニタしますアクセスリストによる拒否不良パケット形式 (invalid-ip-header や invalid-tcp-hdr-length など ) 接続制限超過 ( システム全体のリソース制限およびコンフィギュレーションで設定される制限の両方 ) DoS 攻撃を検出 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) 基本ファイアウォール検査に不合格 ( このオプションはここで列挙するファイアウォールに関連したパケットドロップすべてを含む複合レートですインターフェイスの過負荷アプリケーションインスペクションで不合格になったパケットおよび検出されたスキャン攻撃などファイアウォールに関連しないドロップは含まれません ) 疑わしい ICMP パケットを検出パケットがアプリケーションインスペクションに不合格インターフェイス過負荷スキャン攻撃を検出 ( このオプションではたとえば最初の TCP パケットが SYN パケットでないまたはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) ではこのスキャン攻撃レートの情報を取得しその情報に基づきたとえばホストを攻撃者に分類して自動的に遮断するなどの方法で対処します ) TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出適応型セキュリティアプライアンスは脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します基本脅威検出はドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響しますこのようなシナリオでもパフォーマンスへの影響はわずかですデフォルトの項の表 31-1 にデフォルト設定の一覧を示しますすべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できますイベントのタイプごとのデフォルト設定は threat-detection rate コマンドを使用して上書きできます 31-27

threat-detection basic-threat 第 31 章イベントレートが超過すると適応型セキュリティアプライアンスはシステムメッセージを送信します適応型セキュリティアプライアンスは一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡しますバーストイベントレートは平均レート間隔の 30 分の 1 または 10 秒のうちいずれか大きい方の値です受信するイベントごとに適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします両方のレートが超過している場合適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します例次の例では基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンドコマンド説明 clear threat-detection rate 基本脅威検出の統計情報をクリアします show running-config all threat-detection show threat-detection rate threat-detection rate threat-detection scanning-threat 脅威検出コンフィギュレーションを表示します個別にレート設定をしていない場合はデフォルトのレート設定も表示されます基本脅威検出の統計情報を表示しますイベントタイプごとの脅威検出レート制限を設定します脅威検出のスキャンをイネーブルにします 31-28

第 31 章 threat-detection rate threat-detection rate threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合はグローバルコンフィギュレーションモードで threat-detection rate コマンドを使用して各イベントタイプのデフォルトレート制限を変更できます threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合 scanning-threat キーワードを指定してこのコマンドを使用しホストを攻撃者またはターゲットと見なす時期を設定することもできます設定しない場合基本脅威検出およびスキャン脅威検出の両方でデフォルトの scanning-threat 値が使用されますデフォルト設定に戻すにはこのコマンドの no 形式を使用します threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate no threat-detection rate {acl-drop bad-packet-drop conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop scanning-threat syn-attack} rate-interval rate_interval average-rate av_rate burst-rate burst_rate 構文の説明 acl-drop アクセスリストの拒否が原因でドロップされるパケットのレート制限を設定します average-rate av_rate 0 ~ 2147483647 の範囲で平均レート制限 ( ドロップ / 秒 ) を設定します bad-packet-drop 不良パケット形式 (invalid-ip-header または invalid-tcp-hdr-length など ) による拒否が原因でドロップされるパケットのレート制限を設定します burst-rate burst_rate 0 ~ 2147483647 の範囲でバーストレート制限 ( ドロップ / 秒 ) を設定しますバーストレートは N 秒ごとの平均レートとして計算されます N はバーストレート間隔ですバーストレート間隔は rate-interval rate_interval 値の 30 分の 1 または 10 秒のうちいずれか大きい方の値です conn-limit-drop dos-drop fw-drop icmp-drop inspect-drop interface-drop rate-interval rate_interval 接続制限 ( システム全体のリソース制限とコンフィギュレーションで設定された制限の両方 ) の超過が原因でドロップされるパケットのレート制限を設定します DoS 攻撃 ( 無効な SPI ステートフルファイアウォールチェックの失敗など ) の検出が原因でドロップされるパケットのレート制限を設定します基本ファイアウォールチェックの失敗が原因でドロップされるパケットのレート制限を設定しますこのオプションはこのコマンドのファイアウォールに関連したパケットドロップをすべて含む複合レートです interface-drop inspect-drop scanning-threat などファイアウォールに関連しないドロップレートは含まれません疑わしい ICMP パケットの検出が原因でドロップされるパケットのレート制限を設定しますアプリケーションインスペクションでの不合格が原因でドロップされるパケットのレート制限を設定しますインターフェイスの過負荷が原因でドロップされるパケットのレート制限を設定します 600 秒 ~ 2592000 秒 (30 日 ) の範囲で平均レート間隔を設定しますレート間隔はドロップ数の平均値を求めるときの期間を決定するために使用されますまたバーストしきい値レート間隔も決定します 31-29

threat-detection rate 第 31 章 scanning-threat syn-attack スキャン攻撃の検出が原因でドロップされるパケットのレート制限を設定しますこのオプションではたとえば最初の TCP パケットが SYN パケットでないまたはスリーウェイハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします完全スキャン脅威検出 (threat-detection scanning-threat コマンドを参照 ) ではこのスキャン攻撃レートの情報を取得しその情報をもとにしてたとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションが原因でドロップされるパケットのレート制限を設定しますデフォルト threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は次のデフォルトレート制限が使用されます表 31-2 基本脅威検出のデフォルト設定トリガー設定パケットドロップの理由 dos-drop bad-packet-drop conn-limit-drop icmp-drop 平均レート直前の 600 秒間で 100 ドロップ / 秒直前の 3600 秒間で 100 ドロップ / 秒 scanning-threat 直前の 600 秒間で 5 ドロップ / 秒直前の 3600 秒間で 5 ドロップ / 秒 syn-attack acl-drop fw-drop inspect-drop interface-drop 直前の 600 秒間で 100 ドロップ / 秒直前の 3600 秒間で 100 ドロップ / 秒直前の 600 秒間で 400 ドロップ / 秒直前の 3600 秒間で 400 ドロップ / 秒直前の 600 秒間で 400 ドロップ / 秒直前の 3600 秒間で 400 ドロップ / 秒直前の 600 秒間で 2000 ドロップ / 秒直前の 3600 秒間で 2000 ドロップ / 秒バーストレート直前の 10 秒間で 400 ドロップ / 秒直前の 60 秒間で 400 ドロップ / 秒直前の 10 秒間で 10 ドロップ / 秒直前の 60 秒間で 10 ドロップ / 秒直前の 10 秒間で 200 ドロップ / 秒直前の 60 秒間で 200 ドロップ / 秒直前の 10 秒間で 800 ドロップ / 秒直前の 60 秒間で 800 ドロップ / 秒直前の 10 秒間で 1600 ドロップ / 秒直前の 60 秒間で 1600 ドロップ / 秒直前の 10 秒間で 8000 ドロップ / 秒直前の 60 秒間で 8000 ドロップ / 秒次の表はこのコマンドを入力できるモードを示しています 31-30

第 31 章 threat-detection rate グローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました使用上のガイドラインイベントタイプごとに異なるレート間隔を最大 3 つまで設定することができます基本脅威検出をイネーブルにすると適応型セキュリティアプライアンスは構文の説明の表に説明があるイベントタイプによりドロップパケットとセキュリティイベントのレートをモニタします適応型セキュリティアプライアンスは脅威を検出するとすぐにシステムログメッセージ (733100) を送信し ASDM に警告します基本脅威検出はドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響しますこのようなシナリオでもパフォーマンスへの影響はわずかですデフォルトの項の表 31-2 にデフォルト設定の一覧を示しますすべてのデフォルト設定は show running-config all threat-detection コマンドを使用して表示できますイベントレートが超過すると適応型セキュリティアプライアンスはシステムメッセージを送信します適応型セキュリティアプライアンスは一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡します受信するイベントごとに適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックします両方のレートが超過している場合適応型セキュリティアプライアンスはバースト期間あたりのレートタイプごとに最大 1 つのメッセージを生成して 2 つの異なるシステムメッセージを送信します例次の例では基本脅威検出をイネーブルにし DoS 攻撃のトリガーを変更しています hostname(config)# threat-detection basic-threat hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100 関連コマンドコマンド clear threat-detection rate show running-config all threat-detection show threat-detection rate threat-detection basic-threat threat-detection scanning-threat 説明基本脅威検出の統計情報をクリアします脅威検出コンフィギュレーションを表示します個別にレート設定をしていない場合はデフォルトのレート設定も表示されます基本脅威検出の統計情報を表示します基本脅威検出をイネーブルにします脅威検出のスキャンをイネーブルにします 31-31

threat-detection scanning-threat 第 31 章 threat-detection scanning-threat スキャン脅威検出をイネーブルにする場合はグローバルコンフィギュレーションモードで threat-detection scanning-threat コマンドを使用しますスキャン脅威検出をディセーブルにする場合はこのコマンドの no 形式を使用します threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] no threat-detection scanning-threat [shun [except {ip-address ip_address mask object-group network_object_group_id} duration seconds]] 構文の説明 duration seconds except ip-address ip_address mask object-group network_object_group_id shun 攻撃元ホストに対する遮断の継続時間を 10 ~ 2592000 秒の範囲で設定しますデフォルトは 3600 秒 (1 時間 ) です排除対象から IP アドレスを除外しますこのコマンドを複数回入力して排除対象から除外する複数の IP アドレスまたはネットワークオブジェクトグループを指定します排除対象から除外する IP アドレスを指定します排除対象から除外するネットワークオブジェクトグループを指定しますオブジェクトグループを作成するには object-group network コマンドを参照してください適応型セキュリティアプライアンスがホストを攻撃者であると識別すると syslog メッセージ 733101 を送信しさらにホスト接続を自動的に終了しますデフォルトデフォルトの遮断の継続時間は 3600 秒 (1 時間 ) ですスキャン攻撃イベントでは次のデフォルトレート制限が適用されます表 31-3 スキャン脅威検出のデフォルトレート制限平均レートバーストレート直前の 600 秒間で 5 ドロップ / 秒直前の 10 秒間で 10 ドロップ / 秒直前の 3600 秒間で 5 ドロップ / 秒直前の 60 秒間で 10 ドロップ / 秒 31-32

第 31 章 threat-detection scanning-threat 次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました 8.0(4) duration キーワードが追加されました使用上のガイドライン一般的なスキャン攻撃は ( サブネット内の多くのホストを経由してスキャンするかホストまたはサブネットの多くのポートを経由してスイープすることにより ) サブネット内のすべての IP アドレスのアクセス可能性をテストするホストで構成されていますスキャン脅威検出機能ではホストがいつスキャンを実行するか判定しますトラフィックシグニチャに基づく IPS スキャン検出とは異なり適応型セキュリティアプライアンスのスキャン脅威検出機能ではスキャン作業用に分析可能なホストの統計情報を含む広範なデータベースを保持していますホストのデータベースは戻りアクティビティのない接続閉じているサービスポートへのアクセス非ランダム IPID などの危険な TCP 動作など疑わしいアクティビティを追跡します注意スキャン脅威検出機能はホストおよびサブネットベースのデータ構造と情報を作成し収集する間適応型セキュリティアプライアンスのパフォーマンスとメモリに大きな影響を与える可能性があります適応型セキュリティアプライアンスを設定して攻撃者に関するシステムログメッセージを送信するかまたはホストを自動的に排除することができますデフォルトではホストが攻撃者として識別されるとシステムログメッセージ 730101 が生成されます適応型セキュリティアプライアンスはスキャン脅威のイベントレートが超過したら攻撃者およびターゲットを識別します適応型セキュリティアプライアンスは一定間隔での平均イベントレートと短いバースト間隔でのバーストイベントレートという 2 つのタイプのレートを追跡しますスキャン攻撃の一部と考えられるイベントが検出されるたびに適応型セキュリティアプライアンスは平均レート制限とバーストレート制限をチェックしますホストから送信されたトラフィックでいずれかのレートが超過しているとそのホストは攻撃者と見なされますホストが受信したトラフィックでいずれかのレートが超過しているとそのホストはターゲットと見なされますスキャン脅威イベントのレート制限は threat-detection rate scanning-threat コマンドを使用して変更できます攻撃者またはターゲットに分類されたホストを表示するには show threat-detection scanning-threat コマンドを使用します排除されたホストを表示するには show threat-detection shun コマンドを使用します排除対象からホストを除外するには clear threat-detection shun コマンドを使用します例次の例ではスキャン脅威検出をイネーブルにし攻撃者として分類されたホストを自動的に排除します (10.1.1.0 ネットワークのホストを除く ) スキャン脅威検出のデフォルトレート制限も変更されています 31-33

threat-detection scanning-threat 第 31 章 hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0 hostname(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20 hostname(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20 関連コマンドコマンド説明 clear threat-detection shun 排除対象からホストを除外します show threat-detection 攻撃者またはターゲットとして分類されたホストを表示します scanning-threat show threat-detection shun 現在排除されているホストを表示します threat-detection basic-threat 基本脅威検出をイネーブルにします threat-detection rate イベントタイプごとの脅威検出レート制限を設定します 31-34

第 31 章 threat-detection statistics threat-detection statistics 高度なスキャン脅威検出の統計情報をイネーブルにするにはグローバルコンフィギュレーションモードで threat-detection statistics コマンドを使用します高度なスキャン脅威検出の統計情報をディセーブルにするにはこのコマンドの no 形式を使用します注意統計情報をイネーブルにするとイネーブルにする統計情報のタイプに応じて適応型セキュリティアプライアンスのパフォーマンスが影響を受けます threat-detection statistics host コマンドはパフォーマンスに著しく影響を与えるためトラフィックの負荷が高くなることがある場合はこのタイプの統計情報を一時的にイネーブルすることを検討します一方 threat-detection statistics port コマンドによる影響はそれほど大きくありません threat-detection statistics [access-list [host port protocol [number-of-rate {1 2 3}] tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] no threat-detection statistics [access-list host port protocol tcp-intercept [rate-interval minutes] [burst-rate attacks_per_sec] [average-rate attacks_per_sec]] 構文の説明 access-list ( 任意 ) アクセスリスト拒否の統計情報をイネーブルにしますアクセスリスト統計情報は show threat-detection top access-list コマンドを使用するときだけ表示されます average-rate attacks_per_sec burst-rate attacks_per_sec host number-of-rate {1 2 3} port protocol ( 任意 )TCP 代行受信の場合 syslog メッセージ生成の平均レートしきい値を 25 ~ 2147483647 の範囲で設定しますデフォルトは 1 秒あたり 200 です平均レートを超えると syslog メッセージ 733105 が生成されます ( 任意 )TCP 代行受信の場合 syslog メッセージ生成のしきい値を 25 ~ 2147483647 の範囲で設定しますデフォルトは 1 秒あたり 400 ですこのバーストレートを超えると syslog メッセージ 733104 が生成されます ( 任意 ) ホスト統計情報をイネーブルにしますホスト統計情報はホストがアクティブでスキャン脅威ホストデータベース内にある限り累積しますホストは非アクティブな時間が 10 分を過ぎるとデータベースから削除されます ( 統計情報は消去されます ) ( 任意 ) ホストポートプロトコルの統計情報に対して維持されるレート間隔の数を設定しますデフォルトのレート間隔の数は 1 でこれによりメモリ使用量を少なく保ちますレート間隔をさらに表示するには値を 2 または 3 に設定しますたとえば値を 3 に設定すると直前の 1 時間 8 時間および 24 時間のデータが表示されますこのキーワードを 1( デフォルト値 ) に設定すると最短のレート間隔の統計情報だけが維持されます値を 2 に設定すると 2 つの最短の間隔が保持されます ( 任意 ) ポート統計情報をイネーブルにします ( 任意 ) プロトコル統計情報をイネーブルにします 31-35

threat-detection statistics 第 31 章 rate-interval minutes tcp-intercept ( 任意 )TCP 代行受信の場合履歴モニタリングウィンドウのサイズを 1 ~ 1440 分の範囲で設定しますデフォルトは 30 分ですこの間に適応型セキュリティアプライアンスが攻撃をサンプリングする回数は 30 回です ( 任意 )TCP 代行受信によって代行受信された攻撃に関する統計情報をイネーブルにします TCP 代行受信をイネーブルにするには set connection embryonic-conn-max command コマンドあるいは nat あるいは static コマンドを参照してくださいデフォルトアクセスリスト統計情報はデフォルトでイネーブルになっていますこのコマンドでオプションを何も指定しないとすべてのオプションがイネーブルになりますデフォルトの tcp-intercept rate-interval は 30 分ですデフォルトの burst-rate は 1 秒あたり 400 ですデフォルトの average-rate は 1 秒あたり 200 です次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキスト 1 1. マルチコンテキストモードでは TCP 代行受信の統計情報のみサポートされますシステムコマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました 8.0(4)/8.1(2) tcp-intercept キーワードが追加されました 8.1(2) number-of-rates キーワードがホスト統計情報用に追加されレート数のデフォルト値が 3 から 1 に変更されました 8.2(1) バーストレート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました 8.3(1) number-of-rates キーワードがポートとプロトコルの統計情報用に追加されレート数のデフォルト値が 3 から 1 に変更されました使用上のガイドラインこのコマンドでオプションを何も指定しないとすべての統計情報がイネーブルになります特定の統計情報のみイネーブルにするには統計の種類ごとにこのコマンドを入力しますまたオプションなしでこのコマンドを入力しないでください threat-detection statistics を ( オプションなしで ) 入力し次に統計情報固有のオプションを指定してコマンドを入力することで特定の統計情報をカスタマイズできます (threat-detection statistics host number-of-rate 2 など ) threat-detection statistics を ( オプションなしで ) 入力し次に特定の統計情報用のコマンドを統計情報固有のオプションなしで入力した場合はすでにイネーブルになっているためそのコマンドは効果がないものとなりますこのコマンドの no 形式を入力した場合 threat-detection statistics コマンドはすべて削除されますその中にはデフォルトでイネーブルとなっている threat-detection statistics access-list コマンドも含まれます 31-36

第 31 章 threat-detection statistics show threat-detection statistics コマンドを使用して統計情報を表示しますスキャン脅威検出は threat-detection scanning-threat コマンドを使用してイネーブルにする必要はありません検出と統計情報は別々に設定できます例次の例ではホストを除くすべてのタイプでスキャン脅威検出とスキャン脅威統計情報をイネーブルにします hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0 hostname(config)# threat-detection statistics access-list hostname(config)# threat-detection statistics port hostname(config)# threat-detection statistics protocol hostname(config)# threat-detection statistics tcp-intercept 関連コマンドコマンド説明 threat-detection scanning-threat 脅威検出のスキャンをイネーブルにします show threat-detection statistics host ホストの統計情報を表示します show threat-detection memory 高度な脅威検出の統計情報のメモリ使用を表示します show threat-detection statistics port ポートの統計情報を表示します show threat-detection statistics protocol プロトコルの統計情報を表示します show threat-detection statistics top 上位 10 位までの統計情報を表示します 31-37

threshold 第 31 章 threshold SLA モニタリング動作のしきい値超過イベントの基準となるしきい値を設定するには SLA モニタコンフィギュレーションモードで threshold コマンドを使用しますデフォルト値に戻すにはこのコマンドの no 形式を使用します threshold milliseconds no threshold 構文の説明 milliseconds 宣言する上限値をミリ秒で指定します有効な値は 0 ~ 2147483647 ですタイムアウト値に設定された値より大きな値を指定できませんデフォルトデフォルトのしきい値は 5000 ミリ秒です次の表はこのコマンドを入力できるモードを示しています SLA モニタコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドラインしきい値はしきい値超過イベントを示すためだけに使われますこのイベントは到達可能性には影響しませんが timeout コマンドの設定が正しいかどうかを評価するために使用できます例次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています SLA 動作の頻度を 10 秒しきい値を 2500 ミリ秒タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-38

第 31 章 threshold 関連コマンドコマンド説明 sla monitor SLA モニタリング動作を定義します timeout SLA 動作が応答を待機する期間を定義します 31-39

ticket 第 31 章 ticket Cisco Intercompany Media Engine プロキシ用にチケットエポックとパスワードを設定するには UC-IME コンフィギュレーションモードで ticket コマンドを使用しますプロキシからコンフィギュレーションを削除するにはこのコマンドの no 形式を使用します ticket epoch n password password no ticket epoch n password password 構文の説明 n password パスワードの完全性チェックの時間間隔を設定します 1 ~ 255 の整数を入力します Cisco Intercompany Media Engine チケットのパスワードを設定します US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で入力します入力可能な文字は 0x21 ~ 0x73 までで空白文字は含まれません一度に設定できるパスワードは 1 つだけですデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示しています UC-IME コンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.3(1) このコマンドが追加されました使用上のガイドライン Cisco Intercompany Media Engine 用にチケットエポックとパスワードを設定しますエポックにはパスワードを変更するたびに更新される整数が含まれますプロキシが初めて設定される場合で最初のパスワードが入力されるとエポックの整数に 1 が入力されますパスワードを変更するたびにエポックを増加させ新しいパスワードであることを示しますパスワード更新時ごとにエポック値を増加する必要があります一般的にはエポックは連続的に増加させますが適応型セキュリティアプライアンスではエポック更新時に任意の値を選ぶことができますエポック値を変更する場合は現在のパスワードが無効となり新しいパスワードを入力する必要がありますパスワードは 20 文字以上にすることを推奨します一度に設定できるパスワードは 1 つだけです 31-40

第 31 章 ticket チケットパスワードはフラッシュに格納されます show running-config uc-ime コマンドの出力はパスワードの文字列の代わりに ***** と表示されます ( 注 ) 適応型セキュリティアプライアンスで設定したエポックとパスワードは Cisco Intercompany Media Engine サーバで設定したエポックとパスワードと一致する必要があります情報は Cisco Intercompany Media Engine サーバマニュアルを参照してください例次の例は Cisco Intercompany Media Engine プロキシでチケットとエポックを設定する方法を示します hostname(config)# uc-ime local_uc-ime_proxy hostname(config-uc-ime)# media-termination ime-media-term hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure hostname(config-uc-ime)# ticket epoch 1 password password1234 hostname(config-uc-ime)# fallback monitoring timer 120 hostname(config-uc-ime)# fallback hold-down timer 30 関連コマンドコマンド説明 show running-config uc-ime Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します uc-ime Cisco Intercompany Media Engine プロキシインスタンスを適応型セキュリティアプライアンスに作成します 31-41

timeout 第 31 章 timeout 各種機能にアイドル状態のグローバル最大継続時間を設定するにはグローバルコンフィギュレーションモードで timeout コマンドを使用しますすべてのタイムアウトをデフォルトに設定するにはこのコマンドの no 形式を使用します単一の機能をデフォルト設定にリセットするにはデフォルト値で timeout コマンドを再入力します timeout {xlate conn udp icmp rpc h225 h323 mgcp mgcp-pat sip sip-disconnect sip-invite sip_media sip-provisional-media tcp-proxy-reassembly} hh:mm:ss timeout uauth hh:mm:ss [absolute inactivity] no timeout 構文の説明 absolute ( 任意 )uauth タイムアウトになった場合再認証を求めますデフォルトでは absolute キーワードがイネーブルになっています無活動状態が一定時間継続した後にタイムアウトになるように uauth タイマーを設定するにはこのキーワードの代わりに inactivity キーワードを入力します conn ( 任意 ) 接続が終了するまでのアイドル時間を指定します有効な値は 0:05:0 ~ 1193:0:0 ですデフォルトは 1 時間 (1:0:0) です接続がタイムアウトしないようにするには 0 を使用します hh:mm:ss タイムアウト値を時分秒で指定します接続がタイムアウトにならないようにするには 0 を使用します ( 可能な場合 ) h225 ( 任意 )H.225 シグナリング接続が終了するまでのアイドル時間を指定します有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 1 時間 (1:0:0) ですタイムアウト値を 0:0:01 に設定するとタイマーがディセーブルになりすべてのコールが消去された後 TCP 接続がすぐに終了します h323 ( 任意 )H.245(TCP) および H.323(UDP) メディア接続が終了するまでのアイドル時間を指定します有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 5 分 (0:5:0) です H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため H.245(TCP) 接続は H.323(RTP および RTCP) メディア接続とアイドルタイムアウトを共有します half-closed ( 任意 )TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します有効な値は 0:5:0 ~ 1193:0:0 ですデフォルトは 10 分 (0:10:0) です接続がタイムアウトしないようにするには 0 を使用します icmp ( 任意 )ICMP のアイドル時間を指定します有効な値は 0:0:02 ~ 1193:0:0 ですデフォルトは 2 秒 (0:0:02) です inactivity ( 任意 ) 無活動タイムアウトになった場合は uauth 再認証を求めます mgcp mgcp-pat rpc sip ( 任意 )MGCP メディア接続が削除されるまでのアイドル時間を設定します有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 5 分 (0:5:0) です ( 任意 )MGCP PAT 変換が削除されるまでの絶対間隔を設定します有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 5 分 (0:5:0) です ( 任意 )RPC スロットが解放されるまでのアイドル時間を指定します有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 5 分 (0:05:0) です ( 任意 )SIP 制御接続が閉じられるまでのアイドル時間を指定します有効な値は 0:5:0 ~ 1193:0:0 ですデフォルトは 30 分 (0:30:0) です接続がタイムアウトしないようにするには 0 を使用します 31-42

第 31 章 timeout sip-disconnect sip-invite sip_media ( 任意 )CANCEL または BYE メッセージに対して 200 OK が受信されない場合 SIP セッションが削除されるまでのアイドル時間を指定します有効な値は 0:0:1 ~ 1193:0:0 ですデフォルトは 2 分 (0:2:0) です ( 任意 )PROVISIONAL 応答およびメディア xlates のピンホールが閉じられるまでのアイドル時間を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 3 分 (0:3:0) です ( 任意 )SIP メディア接続が閉じられるまでのアイドル時間を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 2 分 (0:2:0) です接続がタイムアウトしないようにするには 0 を使用します SIP メディアタイマーが UDP 非アクティビティタイムアウトの代わりに SIP UDP メディアパケットを扱う SIP RTP/RTCP で使用されます sip-provisional-media ( 任意 )SIP 暫定メディア接続のタイムアウト値を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 2 分 (0:2:0) です sunrpc ( 任意 )SUNRPC スロットが閉じられるまでのアイドル時間を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 10 分 (0:10:0) です接続がタイムアウトしないようにするには 0 を使用します tcp-proxy-reassembly ( 任意 ) バッファに格納された再構成待ちのパケットがドロップするまでのアイドルタイムアウトを指定します有効な値は 0:0:10 ~ 1193:0:0 ですデフォルトは 1 分 (0:1:0) です uauth ( 任意 ) 認証および認可キャッシュがタイムアウトするまでの継続時間を指定しますユーザは次回の接続時に再認証を必要とします有効な値は 0:0:0 ~ 1193:0:0 ですデフォルトは 5 分 (0:5:0) ですデフォルトのタイマーは absolute です inactivity キーワードを入力すると無活動の期間後にタイムアウトが発生するように設定できます uauth 継続時間は xlate 継続時間より短く設定する必要がありますキャッシュをディセーブルにするには 0 に設定します接続に受動 FTP を使用している場合または Web 認証に virtual http コマンドを使用している場合は 0 を使用しないでください udp ( 任意 )UDP スロットが解放されるまでのアイドル時間を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 2 分 (0:2:0) です接続がタイムアウトしないようにするには 0 を使用します xlate ( 任意 ) 変換スロットが解放されるまでのアイドル時間を指定します有効な値は 0:1:0 ~ 1193:0:0 ですデフォルトは 3 時間 (3:0:0) ですデフォルトデフォルトは次のとおりです conn hh:mm:ss は 1 時間 (1:0:0) です h225 hh:mm:ss は 1 時間 (1:0:0) です h323 hh:mm:ss は 5 分 (0:5:0) です half-closed hh:mm:ss は 10 分 (0:10:0) です icmp hh:mm:ss は 2 秒 (0:0:2) です mgcp hh:mm:ss は 5 分 (0:5:0) です mgcp-pat hh:mm:ss は 5 分 (0:5:0) です rpc hh:mm:ss は 5 分 (0:5:0) です sip hh:mm: は 30 分 (0:30:0) です sip-disconnect hh:mm:ss は 2 分 (0:2:0) です 31-43

timeout 第 31 章 sip-invite hh:mm:ss は 3 分 (0:3:0) です sip_media hh:mm:ss は 2 分 (0:2:0) です sip-provisional-media hh:mm:ss は 2 分 (0:2:0) です sunrpc hh:mm:ss は 10 分 (0:10:0) です tcp-proxy-reassembly hh:mm:ss は 1 分 (0:1:0) です uauth hh:mm:ss は 5 分 (00:5:00)absolute です udp hh:mm:ss は 2 分 (00:02:00) です xlate hh:mm:ss は 3 時間 (03:00:00) です次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) mgcp-pat sip-disconnect および sip-invite キーワードが追加されました 7.2(4)/8.0(4) sip-provisional-media キーワードが追加されました 7.2(5)/8.0(5)/8.1(2)/8.2(1) tcp-proxy-reassembly キーワードが追加されました使用上のガイドライン timeout コマンドを使用するとグローバルタイムアウトを設定できます一部の機能では set connection timeout コマンドを実行するとこのコマンドで指定されたトラフィックを優先します timeout コマンドの後ろにキーワードと値を複数入力できます接続タイマー (conn) は変換タイマー (xlate) に優先しますつまり変換タイマーはすべての接続がタイムアウトした後に初めて動作します例次の例ではアイドル状態の最大継続時間を設定する方法を示します hostname(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity hostname(config)# show running-config timeout timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity 31-44

第 31 章 timeout 関連コマンドコマンド説明 clear configure timeout タイムアウトコンフィギュレーションを消去しデフォルトにリセットします set connection timeout モジュラポリシーフレームワークを使用して接続タイムアウトを設定します show running-config timeout 指定されたプロトコルのタイムアウト値を表示します 31-45

timeout(aaa サーバホスト ) 第 31 章 timeout(aaa サーバホスト ) AAA サーバとの接続の確立を中止するまでのホスト固有の最大応答時間を秒単位で設定するには aaa-server ホストモードで timeout コマンドを使用しますタイムアウト値を削除してタイムアウト時間をデフォルト値の 10 秒にリセットするにはこのコマンドの no 形式を使用します timeout seconds no timeout 構文の説明 seconds 要求に対するタイムアウト間隔 (1 ~ 60 秒 ) を指定しますこの時間を超えると適応型セキュリティアプライアンスはプライマリ AAA サーバへの要求を断念しますスタンバイ AAA サーバが存在する場合適応型セキュリティアプライアンスは要求をそのバックアップサーバに送信しますデフォルトデフォルトのタイムアウト値は 10 秒です次の表はこのコマンドを入力できるモードを示しています AAA サーバホストコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドラインこのコマンドはすべての AAA サーバプロトコルタイプに有効です適応型セキュリティアプライアンスが AAA サーバへの接続を試行する時間の長さを指定するには timeout コマンドを使用します retry-interval コマンドを使用して適応型セキュリティアプライアンスが接続を試行する間隔を指定しますタイムアウトは適応型セキュリティアプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間ですリトライ間隔はタイムアウト期間中に通信が再試行される頻度を決定しますしたがってリトライ間隔がタイムアウト値以上の場合再試行されません再試行する場合はリトライ間隔をタイムアウト値よりも小さくする必要があります 31-46

第 31 章 timeout(aaa サーバホスト ) 例次の例ではホスト 1.2.3.4 上の svrgrp1 という名前の RADIUS AAA サーバにタイムアウト値 30 秒リトライ間隔 10 秒を設定しますしたがって適応型セキュリティアプライアンスは 30 秒後に中止するまで通信を 3 度試行します hostname(config)# aaa-server svrgrp1 protocol radius hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4 hostname(config-aaa-server-host)# timeout 30 hostname(config-aaa-server-host)# retry-interval 10 hostname(config-aaa-server-host)# 関連コマンドコマンド説明 aaa-server host AAA サーバホストコンフィギュレーションモードに入ってホスト固有の AAA サーバパラメータを設定できるようにします clear configure aaa-server すべての AAA コマンドステートメントをコンフィギュレーションから削除します show running-config aaa 現在の AAA コンフィギュレーション値を表示します 31-47

timeout(dns サーバグループコンフィギュレーションモード ) 第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 次の DNS サーバを試すまで待機する時間を指定するには DNS サーバグループコンフィギュレーションモードで timeout コマンドを使用しますデフォルトのタイムアウトに戻すにはこのコマンドの no 形式を使用します timeout seconds no timeout [seconds] 構文の説明 seconds タイムアウトを秒単位で指定します (1 ~ 30 秒 ) デフォルトは 2 秒です適応型セキュリティアプライアンスが一覧のサーバを試すたびにこのタイムアウトは倍増します再試行の回数を設定するには DNS サーバグループコンフィギュレーションモードで retries コマンドを使用しますデフォルトデフォルトのタイムアウトは 2 秒です次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.1(1) このコマンドが追加されました例次の例では DNS サーバグループの dnsgroup1 に対してタイムアウトを 1 秒に設定しています hostname(config)# dns server-group dnsgroup1 hostname(config-dns-server-group)# dns timeout 1 31-48

第 31 章 timeout(dns サーバグループコンフィギュレーションモード ) 関連コマンドコマンド説明 clear configure dns ユーザが作成したすべての DNS サーバグループを削除してデフォルトのサーバグループのアトリビュートをデフォルト値にリセットします domain-name デフォルトのドメイン名を設定します retries 適応型セキュリティアプライアンスが応答を受信しないときに DNS サーバのリストを再試行する回数を指定します show running-config dns server-group 現在の実行中の DNS サーバグループコンフィギュレーションを表示します 31-49

timeout(gtp マップ ) 第 31 章 timeout(gtp マップ ) GTP セッションの非アクティビティタイマーを変更するには GTP マップコンフィギュレーションモードで timeout コマンドを使用しますこのモードには gtp-map コマンドを使用してアクセスできますこれらの間隔にデフォルト値を設定するにはこのコマンドの no 形式を使用します timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss no timeout {gsn pdp-context request signaling t3-response tunnel } hh:mm:ss 構文の説明 hh:mm:ss gsn pdp-context request signaling t3-response tunnel これはタイムアウトで hh は時間 mm は分 ss は秒を示しこれら 3 つの要素はコロン (:) で分けられます値 0 はすぐには絶対に終了しないことを意味します GSN が削除されるまでの非アクティビティの継続時間を指定します PDP コンテキストの受信を開始するまでの許可される最大時間を指定します GTP メッセージの受信を開始するまでの許可される最大時間を指定します GTP シグナリングが削除されるまでの非アクティビティの継続時間を指定します GTP 接続が削除されるまでに応答を待つ最長時間を指定します GTP トンネルが終了するまでの非アクティビティの継続時間を指定しますデフォルトデフォルトは gsn pdp-context および signaling に対して 30 分です request のデフォルトは 1 分です tunnel のデフォルトは 1 時間です (Delete PDP Context Request を受信していない場合 ) 次の表はこのコマンドを入力できるモードを示しています GTP マップコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 31-50

第 31 章 timeout(gtp マップ ) 使用上のガイドライン Packet Data Protocol(PDP) コンテキストは IMSI と NSAPI の組み合わせである Tunnel Identifier (TID; トンネル識別子 ) によって識別されます各 MS は最大 15 の NSAPI を持つことができさまざまな QoS レベルのアプリケーション要件に基づいてそれぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます GTP トンネルは異なる GSN ノードにある 2 個の関連する PDP コンテキストによって定義され 1 つのトンネル ID によって識別されます GTP トンネルは外部パケットデータネットワークとモバイルステーションユーザの間でパケットを転送するために必要です例次の例では要求キューに対して 2 分のタイムアウト値を設定します hostname(config)# gtp-map gtp-policy hostname(config-gtpmap)# timeout request 00:02:00 関連コマンドコマンド説明 clear service-policy グローバルな GTP 統計情報をクリアします inspect gtp debug gtp GTP インスペクションの詳細情報を表示します gtp-map GTP マップを定義し GTP マップコンフィギュレーションモードをイネーブルにします inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用します show service-policy inspect gtp GTP コンフィギュレーションを表示します 31-51

timeout(radius アカウンティング ) 第 31 章 timeout(radius アカウンティング ) RADIUS アカウンティングのユーザの非アクティビティタイマーを変更するには RADIUS アカウンティングパラメータコンフィギュレーションモードで timeout コマンドを使用しますこのモードには inspect radius-accounting コマンドを使用してアクセスできますこれらの間隔にデフォルト値を設定するにはこのコマンドの no 形式を使用します timeout users hh:mm:ss no timeout users hh:mm:ss 構文の説明 hh:mm:ss users これはタイムアウトで hh は時間 mm は分 ss は秒を示しこれら 3 つの要素はコロン (:) で分けられます値 0 はすぐには絶対に終了しないことを意味しますデフォルトは 1 時間ですユーザのタイムアウト値を指定しますデフォルトユーザのデフォルトのタイムアウト値は 1 時間です次の表はこのコマンドを入力できるモードを示しています RADIUS アカウンティングパラメータコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました例次の例ではユーザのタイムアウト値を 10 分に設定します hostname(config)# policy-map type inspect radius-accounting ra hostname(config-pmap)# parameters hostname(config-pmap-p)# timeout user 00:10:00 関連コマンドコマンド inspect radius-accounting parameters 説明 RADIUS アカウンティングのインスペクションを設定しますインスペクションポリシーマップのパラメータを設定します 31-52

第 31 章 timeout(sla モニタ ) timeout(sla モニタ ) SLA 動作で要求パケットへの応答を待つ時間を設定するには SLA モニタプロトコルコンフィギュレーションモードで timeout コマンドを使用しますデフォルト値に戻すにはこのコマンドの no 形式を使用します timeout milliseconds no timeout 構文の説明 milliseconds 0 ~ 604800000 デフォルトデフォルトのタイムアウト値の設定は 5000 ミリ秒です次の表はこのコマンドを入力できるモードを示しています SLA モニタプロトコルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン SLA 動作で要求パケットを送信する頻度を設定するには frequency コマンドを使用しこの要求への応答を受信するために待機時間を設定するには timeout コマンドを使用します timeout コマンドで指定する値は frequency コマンドで指定する値より大きくすることはできません例次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています SLA 動作の頻度を 10 秒しきい値を 2500 ミリ秒タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-53

timeout(sla モニタ ) 第 31 章関連コマンドコマンド説明 frequency SLA 動作を繰り返す頻度を指定します sla monitor SLA モニタリング動作を定義します 31-54

第 31 章 timeout pinhole timeout pinhole DCERPC ピンホールのタイムアウト値を設定しグローバルなシステムピンホールタイムアウト値である 2 分を上書きするにはパラメータコンフィギュレーションモードで timeout pinhole コマンドを使用しますパラメータコンフィギュレーションモードにはポリシーマップコンフィギュレーションモードからアクセスできますこの機能をディセーブルにするにはこのコマンドの no 形式を使用します timeout pinhole hh:mm:ss no timeout pinhole 構文の説明 hh:mm:ss ピンホール接続のタイムアウト値 0:0:1 ~ 1193:0:0 の値を指定できますデフォルトデフォルトではこのコマンドはディセーブルになっています次の表はこのコマンドを入力できるモードを示していますパラメータコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました例次の例では DCERPC インスペクションポリシーマップのピンホール接続にピンホールタイムアウト値を設定する方法を示します hostname(config)# policy-map type inspect dcerpc dcerpc_map hostname(config-pmap)# parameters hostname(config-pmap-p)# timeout pinhole 0:10:00 関連コマンドコマンド class class-map type inspect policy-map show running-config policy-map 説明ポリシーマップのクラスマップ名を指定しますアプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成しますレイヤ 3/4 のポリシーマップを作成します現在のポリシーマップコンフィギュレーションをすべて表示します 31-55

time-range 第 31 章 time-range 時間範囲コンフィギュレーションモードに入りトラフィックルールまたはアクションに関連付ける時間範囲を定義するにはグローバルコンフィギュレーションモードで time-range コマンドを使用しますディセーブルにするにはこのコマンドの no 形式を使用します time-range name no time-range name 構文の説明 name 時間範囲の名前名前は 64 文字以下にする必要がありますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン時間範囲を作成してもデバイスへのアクセスは制限されません time-range コマンドは時間範囲のみ定義します時間範囲を定義したらトラフィックルールかアクションに関連付けます時間ベース ACL を実装するには time-range コマンドを使用して週および 1 日の中の特定の時刻を定義します次に access-list extended time-range コマンドとともに使用して時間範囲を ACL にバインドします時間範囲は適応型セキュリティアプライアンスのシステムクロックによって決まりますがこの機能は NTP 同期での動作が最善となります例次の例では New_York_Minute という時間範囲を作成し時間範囲コンフィギュレーションモードを開始します hostname(config)# time-range New_York_Minute hostname(config-time-range)# 31-56

第 31 章 time-range 時間範囲を作成し時間範囲コンフィギュレーションモードに入ったら absolute コマンドと periodic コマンドを使用して時間範囲のパラメータを定義できます time-range コマンドの absolute キーワードおよび periodic キーワードの設定をデフォルトに戻すには時間範囲コンフィギュレーションモードで default コマンドを使用します時間ベース ACL を実装するには time-range コマンドを使用して週および 1 日の中の特定の時刻を定義します次に access-list extended コマンドとともに使用して時間範囲を ACL にバインドします次の例では Sales という ACL を New_York_Minute という時間範囲にバインドします hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute hostname(config)# ACL の詳細については access-list extended コマンドを参照してください関連コマンドコマンド説明 absolute 時間範囲が有効になる絶対時間を定義します access-list extended 適応型セキュリティアプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します default periodic time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します時間範囲機能をサポートする機能に対して定期的な ( 週単位の ) 時間範囲を指定します 31-57

timeout secure-phones 第 31 章 timeout secure-phones セキュアフォンエントリが Phone Proxy データベースから削除されるまでのアイドルタイムアウトを設定するには Phone-Proxy コンフィギュレーションモードで timeout secure-phones コマンドを使用しますタイムアウト値をデフォルトの 5 分に戻すにはこのコマンドの no 形式を使用します timeout secure-phones hh:mm:ss no timeout secure-phones hh:mm:ss 構文の説明 hh:mm:ss オブジェクトが削除されるまでのアイドルタイムアウトを設定しますデフォルトは 5 分ですデフォルトセキュアフォンタイムアウトのデフォルト値は 5 分です次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(4) このコマンドが追加されました使用上のガイドラインセキュアフォンは起動時に CTL ファイルを必ず要求するため Phone Proxy がデータベースを作成してその電話は安全であるとマークしますセキュアフォンデータベースのエントリは (timeout secure-phones コマンドで ) 指定されたタイムアウトの時間が経過すると削除されますエントリのタイムスタンプは Phone Proxy が SIP 電話用に登録更新を受信し KeepAlives が SCCP 電話用に登録更新を受信するたびに更新されます timeout secure-phones コマンドのデフォルト値は 5 分です SCCP KeepAlives と SIP Registration 更新の最大タイムアウト値より大きい値を指定しますたとえば SCCP Keepalive が 1 分間隔で設定され SIP Register 更新が 3 分に設定されている場合このタイムアウト値を 3 分より大きくなるよう設定します例次にセキュアフォンデータベースにあるエントリを 3 分後にタイムアウトするよう Phone Proxy を設定する timeout secure-phones コマンドの使用例を示します hostname(config)# phone-proxy asa_phone_proxy hostname(config-phone-proxy)# tftp-server address 192.168.1.2 in interface outside hostname(config-phone-proxy)# tftp-server address 192.168.1.3 in interface outside hostname(config-phone-proxy)# media-termination address 192.168.1.4 31-58

第 31 章 timeout secure-phones hostname(config-phone-proxy)# tls-proxy asa_tlsp hostname(config-phone-proxy)# ctl-file asactl hostname(config-phone-proxy)# timeout secure-phones 00:03:00 関連コマンドコマンド説明 phone-proxy Phone Proxy インスタンスを設定します 31-59

timers lsa-group-pacing 第 31 章 timers lsa-group-pacing OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集されリフレッシュチェックサムまたはエージングされるときの間隔を指定するにはルータコンフィギュレーションモードで timers lsa-group-pacing コマンドを使用しますデフォルト値に戻すにはこのコマンドの no 形式を使用します timers lsa-group-pacing seconds no timers lsa-group-pacing [seconds] 構文の説明 seconds OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集されリフレッシュチェックサムまたはエージングされる間隔有効値は 10 ~ 1800 秒ですデフォルトデフォルトの間隔は 240 秒です次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステムルータコンフィギュレーションコマンド履歴リリース既存変更内容このコマンドは既存です使用上のガイドライン OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が 1 つのグループに収集されリフレッシュチェックサムまたはエージングされるときの間隔を変更するには timers lsa-group-pacing seconds コマンドを使用しますデフォルトのタイマー値に戻すには no timers lsa-group-pacing コマンドを使用します例次の例では LSA のグループ処理間隔を 500 秒に設定します hostname(config-router)# timers lsa-group-pacing 500 hostname(config-router)# 関連コマンドコマンド router ospf show ospf timers spf 説明ルータコンフィギュレーションモードを開始します OSPF ルーティングプロセスに関する一般情報を表示します Shortest Path First(SPF) 計算の遅延時間とホールドタイムを指定します 31-60

第 31 章 timers spf timers spf Shortest Path First(SPF) 計算の遅延時間とホールドタイムを指定するにはルータコンフィギュレーションモードで timers spf コマンドを使用しますデフォルト値に戻すにはこのコマンドの no 形式を使用します timers spf delay holdtime no timers spf [delay holdtime] 構文の説明 delay holdtime OSPF によるトポロジ変更の受信と Shortest Path First(SPF) 計算の開始との間の遅延時間 (1 ~ 65535 秒 ) を秒単位で指定します 2 つの連続した SPF 計算の間のホールドタイム ( 秒単位 ) で有効な値は 1 ~ 65535 秒ですデフォルトデフォルトは次のとおりです delay は 5 秒です holdtime は 10 秒です次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステムルータコンフィギュレーションコマンド履歴リリース既存変更内容このコマンドは既存です使用上のガイドライン OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間および 2 つの連続した SPF 計算間のホールドタイムを設定するには timers spf コマンドを使用しますデフォルトのタイマー値に戻すには no timers spf コマンドを使用します例次の例では SPF 計算の遅延時間に 10 秒 SPF 計算のホールドタイムに 20 秒を設定します hostname(config-router)# timers spf 10 20 hostname(config-router)# 31-61

timers spf 第 31 章関連コマンドコマンド説明 router ospf ルータコンフィギュレーションモードを開始します show ospf OSPF ルーティングプロセスに関する一般情報を表示します timers lsa-group-pacing OSPF Link-State Advertisement(LSA; リンクステートアドバタイズメント ) が収集されてリフレッシュチェックサムまたはエージングされる間隔を指定します 31-62

第 31 章 title title WebVPN ユーザがセキュリティアプライアンスに接続するときに WebVPN のページに表示されるタイトルをカスタマイズするには webvpn カスタマイゼーションモードから title コマンドを使用します title {text style} value [no] title {text style} value コンフィギュレーションからコマンドを削除して値が継承されるようにするにはこのコマンドの no 形式を使用します構文の説明 text style value テキストを変更することを指定しますスタイルを変更することを指定します実際に表示するテキスト ( 最大 256 文字 ) または Cascading Style Sheet(CSS) パラメータ ( 最大 256 文字 ) ですデフォルトデフォルトのタイトルテキストは WebVPN Service ですデフォルトのタイトルスタイルは次のとおりです background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger; vertical-align:middle;text-align:left;font-weight:bold 次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム WebVPN カスタマイゼーションコマンド履歴リリース変更内容 7.1(1) このコマンドが追加されました使用上のガイドラインタイトルを入れない場合は value の引数なしで title text コマンドを使用します style オプションは有効な Cascading Style Sheet(CSS) パラメータとして表されますこれらのパラメータについてはこのマニュアルでは説明しません CSS パラメータの詳細については World Wide Web Consortium(W3C) の Web サイト (www.w3.org) の CSS 仕様を参照してください CSS 2.1 Specification の Appendix F には CSS パラメータの使いやすいリストがありますこの付録は www.w3.org/tr/css21/propidx.html で入手できます 31-63

title 第 31 章ここでは WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介しますカンマ区切りの RGB 値 HTML の色値または色の名前 (HTML で認識される場合 ) を使用できます RGB 形式は 0,0,0 で各色 ( 赤緑青 ) を 0 ~ 255 の範囲の 10 進値で入力しますこのカンマ区切りのエントリは他の 2 色と組み合わせる各色の明度レベルを示します HTML 形式は #000000 で 16 進形式の 6 桁の数値です先頭と 2 番めは赤を 3 番めと 4 番めは緑を 5 番めと 6 番めは青を表しています ( 注 ) WebVPN ページを簡単にカスタマイズするには ASDM を使用することを推奨します ASDM には色見本やプレビュー機能などスタイルの要素を設定するための便利な機能があります例次の例ではタイトルを Cisco WebVPN Service というテキストでカスタマイズします hostname(config)# webvpn hostname(config-webvpn)# customization cisco hostname(config-webvpn-custom)# title text Cisco WebVPN Service 関連コマンドコマンド説明 logo WebVPN ページのロゴをカスタマイズします page style Cascading Style Sheet(CSS) パラメータを使用して WebVPN ページをカスタマイズします 31-64

第 31 章 tls-proxy tls-proxy TLS コンフィギュレーションモードで TLS プロキシインスタンスを設定するかまたは最大セッションを設定するにはグローバルコンフィギュレーションモードで tls-proxy コマンドを使用しますコンフィギュレーションを削除するにはこのコマンドの no 形式を使用します tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] no tls-proxy [maximum-sessions max_sessions proxy_name] [noconfirm] 構文の説明 max_sessions max_sessions noconfirm proxy_name プラットフォームでサポートする TLS プロキシセッションの最大数を指定します確認を要求することなしに tls-proxy コマンドを実行します TLS プロキシインスタンスの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 8.0(2) このコマンドが追加されました使用上のガイドライン tls-proxy コマンドを使用して TLS プロキシコンフィギュレーションモードに入り TLS プロキシインスタンスを作成するかまたはプラットフォームでサポートされる最大セッションを設定します例次の例では TLS プロキシインスタンスを作成する方法を示します hostname(config)# tls-proxy my_proxy hostname(config-tlsp)# server trust-point ccm_proxy hostname(config-tlsp)# client ldc issuer ldc_server hostname(config-tlsp)# client ldc keypair phone_common 31-65

tls-proxy 第 31 章関連コマンドコマンド説明 client 暗号スイートを定義しローカルダイナミック証明書の発行者またはキーペアを設定します ctl-provider CTL プロバイダーインスタンスを定義しプロバイダーコンフィギュレーションモードを開始します server trust-point TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を指定します show tls-proxy TLS プロキシを表示します 31-66

第 31 章 tos tos SLA 動作の要求パケットの IP ヘッダーでタイプオブサービスバイトを定義するには SLA モニタプロトコルコンフィギュレーションモードで tos コマンドを使用しますデフォルト値に戻すにはこのコマンドの no 形式を使用します tos number no tos 構文の説明 number IP ヘッダーで使用するサービスタイプの値有効な値は 0 ~ 255 ですデフォルトタイプオブサービスの値はデフォルトで 0 です次の表はこのコマンドを入力できるモードを示しています SLA モニタプロトコルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドラインこのフィールドには遅延優先度信頼性などの情報が含まれますネットワークにある他のルータのポリシールーティングや専用アクセスレートなどの機能で使用されます例次の例では ICMP エコー要求 / 応答時間プローブ動作を使用する ID が 123 の SLA 動作を設定していますまたエコー要求パケットのペイロードサイズを 48 バイト SLA 動作中に送信するエコー要求の数を 5 タイプオブサービスバイトを 80 に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# num-packets 5 hostname(config-sla-monitor-echo)# request-data-size 48 hostname(config-sla-monitor-echo)# tos 80 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# frequency 10 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 31-67

tos 第 31 章関連コマンドコマンド説明 num-packets SLA 動作中に送信する要求パケットの数を指定します request-data-size 要求パケットのペイロードのサイズを指定します sla monitor SLA モニタリング動作を定義します type echo SLA 動作をエコー応答時間プローブ動作として設定します 31-68

第 31 章 traceroute traceroute パケットが宛先に到達するまでにたどるルートを調査するには traceroute コマンドを使用します traceroute destination_ip hostname [source source_ip source-interface] [numeric] [timeout timeout_value] [probe probe_num] [ttl min_ttl max_ttl] [port port_value] [use-icmp] 構文の説明 destination_ip hostname source source_ip source_interface numeric timeout timeout_value probe probe_num ttl min_ttl max-ttl port port_value use-icmp traceroute の宛先 IP アドレスを指定しますルートをトレースする先のホストのホスト名ホスト名を指定する場合は name コマンドを使用して定義するか DNS サーバを設定して traceroute がホスト名を IP アドレスに名前解決できるようにします www.example.com などの DNS ドメイン名がサポートされていますトレースパケットの送信元となる IP アドレスまたはインターフェイスを指定しますパケットトレースの送信元の IP アドレスを指定しますこの IP アドレスは送信元インターフェイスの中の 1 つの IP アドレスでなければなりませんトランスペアレントモードではセキュリティアプライアンスの管理 IP アドレスを指定する必要がありますパケットトレースの送信元インターフェイスを指定します指定した場合は送信元のインターフェイスの IP アドレスが使用されますこのコマンドの出力に中間ゲートウェイの IP アドレスだけが表示されるようにしますこのキーワードを指定しないとトレース中に到達したゲートウェイのホスト名が検索されます使用するタイムアウト値を指定します接続がタイムアウトになるまでに応答を待つ時間を秒単位で指定しますデフォルトは 3 秒です TTL の各レベルで送信するプローブの数デフォルトの回数は 3 ですプローブで使用する Time To Live(TTL; 存続可能時間 ) 値の範囲を指定するキーワード最初のプローブの TTL の値デフォルトは 1 ですが高い値に設定して既知のホップが表示されないようにすることもできます使用できる TTL の最大値デフォルトは 30 ですトレースルートパケットが宛先に到達するか TTL がこの値になるとコマンドは終了します User Datagram Protocol(UDP; ユーザデータグラムプロトコル ) プローブメッセージで使用する宛先ポートデフォルトは 33434 です UDP プローブパケットではなく ICMP プローブパケットを使用することを指定しますデフォルトこのコマンドにはデフォルト設定はありません次の表はこのコマンドを入力できるモードを示しています 31-69

traceroute 第 31 章ファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム特権 EXEC コマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン traceroute コマンドは送信された各プローブの結果を出力します出力の各行が 1 つの TTL 値に対応します ( 昇順 ) 次に traceroute コマンドによって出力される出力記号を示します出力記号説明 * タイムアウトの期間内にプローブへの応答を受信しませんでした nn msec 各ノードで指定した数のプローブのラウンドトリップ時間 ( ミリ秒単位 )!N. ICMP ネットワークに到達できません!H ICMP ホストに到達できません!P ICMP プロトコルが見つかりません!A ICMP が設定によって禁止されています? ICMP の原因不明のエラーが発生しました例次の例では traceroute コマンドで宛先 IP アドレスを指定した場合の出力を示します hostname# traceroute 209.165.200.225 Tracing the route to 209.165.200.225 1 10.83.194.1 0 msec 10 msec 0 msec 2 10.83.193.65 0 msec 0 msec 0 msec 3 10.88.193.101 0 msec 10 msec 0 msec 4 10.88.193.97 0 msec 0 msec 10 msec 5 10.88.239.9 0 msec 10 msec 0 msec 6 10.88.238.65 10 msec 10 msec 0 msec 7 172.16.7.221 70 msec 70 msec 80 msec 8 209.165.200.225 70 msec 70 msec 70 msec 関連コマンドコマンド capture show capture packet-tracer 説明トレースパケットを含めてパケット情報をキャプチャしますオプションが指定されていない場合はキャプチャコンフィギュレーションを表示しますパケットトレース機能をイネーブルにします 31-70

第 31 章 track rtr track rtr SLA 動作の到達可能性を調べるにはグローバルコンフィギュレーションモードで track rtr コマンドを使用します SLA トラッキングを削除するにはこのコマンドの no 形式を使用します track track-id rtr sla-id reachabilitity no track track-id rtr sla-id reachabilitity 構文の説明 reachability オブジェクトの到達可能性を追跡することを指定します sla-id トラッキングエントリで使用する SLA の ID track-id トラッキングエントリのオブジェクト ID を作成します有効な値は 1 ~ 500 ですデフォルト SLA トラッキングはディセーブルです次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン track rtr コマンドでトラッキングエントリのオブジェクト ID を作成しそのエントリで使用する SLA を指定します SLA 動作ごとに動作戻りコード値が保持されますこの値はトラッキングプロセスで解釈されます戻りコードには OK Over Threshold およびその他の複数の戻りコードがあります表 31-4 に戻りコードが意味するオブジェクトの到達可能性の状態を示します表 31-4 SLA トラッキングの戻りコードトラッキング戻りコードトラッキング状態到達可能性 OK または Over アップ Threshold その他のコードダウン 31-71

track rtr 第 31 章例次の例では ID が 123 の SLA 動作を設定し ID が 1 のトラッキングエントリを作成して SLA の到達可能性を追跡しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# timeout 1000 hostname(config-sla-monitor-echo)# frequency 3 hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 関連コマンドコマンド説明 route スタティックルートを設定します sla monitor SLA モニタリング動作を定義します 31-72

第 31 章 traffic-non-sip traffic-non-sip 既知の SIP シグナリングポートを使用して SIP 以外のトラフィックを許可するにはパラメータコンフィギュレーションモードで traffic-non-sip コマンドを使用しますパラメータコンフィギュレーションモードにはポリシーマップコンフィギュレーションモードからアクセスできますこの機能をディセーブルにするにはこのコマンドの no 形式を使用します traffic-non-sip no traffic-non-sip 構文の説明このコマンドには引数またはキーワードはありませんデフォルトこのコマンドはデフォルトでイネーブルにされています次の表はこのコマンドを入力できるモードを示していますパラメータコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました例次の例では SIP インスペクションポリシーマップで既知の SIP シグナリングポートを使用した SIP 以外のトラフィックを許可する方法を示します hostname(config)# policy-map type inspect sip sip_map hostname(config-pmap)# parameters hostname(config-pmap-p)# traffic-non-sip 関連コマンドコマンド class class-map type inspect policy-map show running-config policy-map 説明ポリシーマップのクラスマップ名を指定しますアプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成しますレイヤ 3/4 のポリシーマップを作成します現在のポリシーマップコンフィギュレーションをすべて表示します 31-73

transfer-encoding 第 31 章 transfer-encoding 転送符号化タイプを指定することで HTTP トラフィックを制限するには HTTP マップコンフィギュレーションモードで transfer-encoding コマンドを使用しますこのモードには http-map コマンドを使用してアクセスできますこの機能をディセーブルにするにはこのコマンドの no 形式を使用します transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] no transfer-encoding type {chunked compress deflate gzip identity default} action {allow reset drop} [log] 構文の説明 action allow chunked compress default deflate drop gzip identity log reset type 指定した転送符号化タイプを使用している接続が検出された場合に実行されるアクションを指定しますメッセージを許可しますメッセージ本文が一連のチャンクとして転送される転送符号化タイプを識別します UNIX ファイル圧縮を使用してメッセージ本文が転送される転送符号化タイプを識別しますサポートされている要求メソッドがトラフィックに含まれていてそのメソッドが設定済みリストに記載されていない場合に適応型セキュリティアプライアンスが実行するデフォルトアクションを指定します zlib 形式 (RFC 1950) およびデフレート圧縮 (RFC 1951) を使用してメッセージ本文が転送される転送符号化タイプを識別します接続を閉じます GNU zip(rfc 1952) を使用してメッセージ本文が転送される転送符号化タイプを識別します転送符号化が行われていないメッセージ本文の接続を識別します ( 任意 )syslog を生成します TCP リセットメッセージをクライアントおよびサーバに送信します HTTP アプリケーションインスペクションを通して制御される転送符号化タイプを指定しますデフォルトデフォルトではこのコマンドはディセーブルになっていますコマンドがイネーブルでサポートされる転送符号化タイプが指定されていない場合デフォルトのアクションは接続をロギングなしで許可しますデフォルトアクションを変更するには default キーワードを使用して別のデフォルトアクションを指定します 31-74

第 31 章 transfer-encoding 次の表はこのコマンドを入力できるモードを示しています HTTP マップコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン transfer-encoding コマンドをイネーブルにする場合適応型セキュリティアプライアンスはサポートおよび設定された各転送符号化タイプの HTTP 接続に指定したアクションを適用します適応型セキュリティアプライアンスは設定したリストの転送符号化タイプに一致しないすべてのトラフィックにデフォルトアクションを適用します事前設定済みのデフォルトアクションでは接続をロギングなしで許可しますたとえば事前設定済みのデフォルトアクションが与えられ drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合適応型セキュリティアプライアンスは設定済みの符号化タイプを含む接続をドロップして各接続のログを記録しサポートされるその他の符号化タイプに対してすべての接続を許可しますより厳しいポリシーを設定する場合はデフォルトアクションを drop( または reset) および log に変更します ( イベントログに記録する場合 ) 次に allow アクションを使用して許容される符号化タイプをそれぞれ設定します適用する各設定に対して transfer-encoding コマンドを一度入力します transfer-encoding コマンドの 1 つのインスタンスはデフォルトアクションの変更に使用しもう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用しますこのコマンドの no 形式を使用して設定済みのアプリケーションタイプのリストからアプリケーションカテゴリを削除する場合はコマンドラインに入力したアプリケーションカテゴリのキーワードより後の文字がすべて無視されます例次の例では事前設定済みのデフォルトを使用して緩やかなポリシーを指定していますサポートされているすべてのアプリケーションタイプを個別に拒否されていない限り許可します hostname(config)# http-map inbound_http hostname(config-http-map)# transfer-encoding gzip drop log hostname(config-http-map)# この場合 GNU zip を使用した接続だけがドロップされイベントのログが記録されます次の例では特に許可されていない任意の符号化タイプに対し接続をリセットしてイベントをログに記録するようにデフォルトアクションを変更した厳しいポリシーを指定します hostname(config)# http-map inbound_http hostname(config-http-map)# port-misuse default action reset log hostname(config-http-map)# port-misuse identity allow hostname(config-http-map)# 31-75

transfer-encoding 第 31 章この場合転送符号化を使用していない接続だけが許可されますサポートされるその他の符号化タイプの HTTP トラフィックを受信した場合適応型セキュリティアプライアンスは接続をリセットして syslog エントリを作成します関連コマンドコマンド説明 class-map セキュリティアクションを適用するトラフィッククラスを定義します debug appfw 拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します http-map 拡張 HTTP インスペクションを設定するための HTTP マップを定義します inspect http アプリケーションインスペクション用に特定の HTTP マップを適用します policy-map 特定のセキュリティアクションにクラスマップを関連付けます 31-76

第 31 章 trust-point trust-point IKE ピアに送信される証明書を識別するトラストポイントの名前を指定するにはトンネルグループ IPSec-attributes モードで trust-point コマンドを使用しますトラストポイントの指定を削除するにはこのコマンドの no 形式を使用します trust-point trust-point-name no trust-point trust-point-name 構文の説明 trust-point-name 使用するトラストポイントの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますトンネルグループ ipsec アトリビュートファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドラインこのアトリビュートはすべての IPSec トンネルグループタイプに適用できます例次の例は config-ipsec コンフィギュレーションモードで入力され 209.165.200.225 という名前の IPSec LAN-to-LAN トンネルグループの IKE ピアに送られる証明書を識別するためのトラストポイントを設定します hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes hostname(config-tunnel-ipsec)# trust-point mytrustpoint 関連コマンドコマンド clear-configure tunnel-group show running-config tunnel-group tunnel-group ipsec-attributes 説明設定されているすべてのトンネルグループをクリアしますすべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示しますこのグループのトンネルグループ ipsec アトリビュートを設定します 31-77

trustpoint(sso サーバ ) 第 31 章 trustpoint(sso サーバ ) SAML POST タイプの SSO サーバに送信する証明書を識別するトラストポイントの名前を指定するには config-webvpn-sso-saml モードで trustpoint コマンドを使用しますトラストポイントの指定を削除するにはこのコマンドの no 形式を使用します trustpoint trustpoint-name no trustpoint trustpoint-name 構文の説明 trustpoint-name 使用するトラストポイントの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム Config webvpn sso saml コマンド履歴リリース変更内容 7.3 このコマンドが追加されました使用上のガイドラインシングルサインオンは WebVPN でのみサポートされていますこれによりユーザはユーザ名とパスワードを一度だけ入力すれば別のサーバでさまざまなセキュアなサービスにアクセスできます適応型セキュリティアプライアンスは現在 SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしていますこのコマンドは SAML タイプの SSO サーバにだけ適用されますトラストポイントは認証局 ID を表し特に認証パスで最初の公開キーを提供するために使用される公開キー証明書など検証テストを行わなくても有効と見なされて信頼することができる CA-issued 証明書に基づいています例次の例では SAML POST タイプ SSO サーバに送信する証明書を識別するために config-webvpn-sso-saml モードでトラストポイントに名前を付けています hostname(config-webvpn)# sso server hostname(config-webvpn-sso-saml)# trustpoint mytrustpoint 31-78

第 31 章 trustpoint(sso サーバ ) 関連コマンドコマンド説明 crypto ca trustpoint トラストポイント情報を管理します show webvpn sso server sso server セキュリティデバイスに設定されているすべての SSO サーバの運用統計情報を表示します SSO サーバのタイプを作成および指定し名前を付けます 31-79

tsig enforced 第 31 章 tsig enforced TSIG リソースレコードを必須とするにはパラメータコンフィギュレーションモードで tsig enforced コマンドを使用しますこの機能をディセーブルにするにはこのコマンドの no 形式を使用します tsig enforced action {drop [log] log} no tsig enforced [action {drop [log] log}] 構文の説明 drop log TSIG が存在しない場合にパケットをドロップしますシステムメッセージログを生成しますデフォルトデフォルトではこのコマンドはディセーブルになっています次の表はこのコマンドを入力できるモードを示していますパラメータコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドラインこのコマンドは DNS トランザクションにおいて TSIG のモニタリングをイネーブルにし TSIG が必ず存在するように強制します例次の例では DNS インスペクションポリシーマップで TSIG の強制をイネーブルにする方法を示します hostname(config)# policy-map type inspect dns preset_dns_map hostname(config-pmap)# parameters hostname(config-pmap-p)# tsig enforced action log 関連コマンドコマンド class class-map type inspect 説明ポリシーマップのクラスマップ名を指定しますアプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します 31-80

第 31 章 tsig enforced コマンド policy-map show running-config policy-map 説明レイヤ 3/4 のポリシーマップを作成します現在のポリシーマップコンフィギュレーションをすべて表示します 31-81

ttl-evasion-protection 第 31 章 ttl-evasion-protection Time-To-Live(TTL; 存続可能時間 ) 回避保護をディセーブルにするには TCP マップコンフィギュレーションモードで ttl-evasion-protection コマンドを使用しますこの指定を削除するにはこのコマンドの no 形式を使用します ttl-evasion-protection no ttl-evasion-protection 構文の説明このコマンドには引数またはキーワードはありませんデフォルト適応型セキュリティアプライアンスが提供する TTL 回避保護はデフォルトでイネーブルです次の表はこのコマンドを入力できるモードを示しています TCP マップコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます class-map コマンドを使用してトラフィックのクラスを定義し tcp-map コマンドで TCP インスペクションをカスタマイズします policy-map コマンドを使用して新しい TCP マップを適用します service-policy コマンドで TCP インスペクションをアクティブにします tcp-map コマンドを使用して TCP マップコンフィギュレーションモードを開始します TCP マップコンフィギュレーションモードで ttl-evasion-protection コマンドを使用してセキュリティポリシーを回避しようとした攻撃を防止しますたとえば攻撃者は非常に短い TTL でポリシーを通過するパケットを送信するとします TTL が 0 になると適応型セキュリティアプライアンスとエンドポイントの間のルータはパケットをドロップします攻撃者はこの時点で長い TTL を持つ悪意のあるパケットを送信します適応型セキュリティアプライアンスはこのパケットを再送信と見なし通過させますただしエンドポイントのホストではこのパケットが攻撃者より受信した最初のパケットとなりますこのような場合攻撃を防ぐセキュリティがなく攻撃者は成功しますこの機能をイネーブルにするとこのような攻撃を防ぐことができます 31-82

第 31 章 ttl-evasion-protection 例次の例ではネットワーク 10.0.0.0 から 20.0.0.0 へのフローで TTL 回避保護をディセーブルにする方法を示します hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0 hostname(config)# tcp-map tmap hostname(config-tcp-map)# ttl-evasion-protection disable hostname(config)# class-map cmap hostname(config-cmap)# match access-list TCP1 hostname(config)# policy-map pmap hostname(config-pmap)# class cmap hostname(config-pmap)# set connection advanced-options tmap hostname(config)# service-policy pmap global 関連コマンドコマンド説明 class トラフィック分類に使用するクラスマップを指定します policy-map ポリシーを設定しますこれは 1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです set connection 接続値を設定します tcp-map TCP マップを作成して TCP マップコンフィギュレーションモードにアクセスできるようにします 31-83

tunnel-group 第 31 章 tunnel-group IPSec および WebVPN トンネル用に接続固有のレコードのデータベースを作成し管理するにはグローバルコンフィギュレーションモードで tunnel-group コマンドを使用しますトンネルグループを削除するにはこのコマンドの no 形式を使用します tunnel-group name type type no tunnel-group name 構文の説明 name type トンネルグループの名前を指定しますこれには任意の文字列を選択できます名前が IP アドレスの場合は通常ピアの IP アドレスとなりますトンネルグループのタイプを次のように指定します remote-access: ユーザは IPSec リモートアクセスまたは WebVPN( ポータルまたはトンネルクライアント ) を使用して接続できます ipsec-l2l:ipsec LAN-to-LAN を指定し 2 つのサイトまたは LAN をインターネットのようなパブリックネットワーク全体で安全に接続できます ( 注 ) 次のトンネルグループタイプはリリース 8.0(2) で廃止されました ipsec-ra:ipsec リモートアクセス webvpn:webvpn 適応型セキュリティアプライアンスはこれらのタイプをリモートアクセスタイプに変換しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステム注を参照してください ( 注 ) tunnel-group コマンドはトランスペアレントファイアウォールモードで使用可能で LAN-to-LAN トンネルグループのコンフィギュレーションを許可できますがリモートアクセスグループまたは WebVPN グループは許可できませんまた LAN-to-LAN で使用できるすべての tunnel-group コマンドはトランスペアレントファイアウォールモードでも使用できます 31-84

第 31 章 tunnel-group コマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 7.1(1) webvpn タイプが追加されました 8.0(2) リモートアクセスタイプが追加され ipsec-ra タイプと webvpn タイプが廃止されました 8.3(1) name 引数は IPv6 アドレスに対応するために変更されました使用上のガイドライン適応型セキュリティアプライアンスには次のデフォルトトンネルグループがあります DefaultRAGroup: デフォルトの IPSec リモートアクセストンネルグループ DefaultL2LGroup: デフォルトの IPSec LAN-to-LAN トンネルグループ DefaultWEBVPNGroup: デフォルトの WebVPN トンネルグループこれらのグループの変更はできますが削除はできません適応型セキュリティアプライアンスはトンネルネゴシエーション中に特定のトンネルグループが識別されない場合前述のグループを使用してリモートアクセスおよび LAN-to-LAN トンネルグループに対してデフォルトのトンネルパラメータを設定します tunnel-group コマンドを入力した後特定のトンネルグループに特定のアトリビュートを設定するには次のコマンドから適切なものを入力しますそれぞれのコマンドはトンネルグループアトリビュートを設定するためのコンフィギュレーションモードに入ります tunnel-group general-attributes tunnel-group ipsec-attributes tunnel-group webvpn-attributes tunnel-group ppp-attributes LAN-to-LAN 接続に対して適応型セキュリティアプライアンスはトンネルグループを暗号マップで設定されたピアアドレスを同名のトンネルグループと一致させることで接続のためのトンネルグループの選択しようとしますそのため IPv6 ピアに対しその IPv6 のアドレスと同様にトンネルグループ名を設定する必要がありますトンネルグループ名は短い表記または長い表記で設定できます CLI を使うとその名前を最短の表記にできますたとえばトンネルグループコマンドを次のように入力した場合 hostname(config)# tunnel-group 2001:0db8:0000:0000:0000:0000:1428:57ab type ipsec-l2l トンネルグループはコンフィギュレーションで次のように表示されます tunnel-group 2001:0db8::1428:57ab type ipsec-l2l 例次の例はグローバルコンフィギュレーションモードで入力されています最初のコマンドはリモートアクセストンネルグループを設定しますグループ名は group1 です hostname(config)# tunnel-group group1 type remote-access hostname(config)# 次の例では group1 という名前の webvpn トンネルグループを設定する tunnel-group コマンドを示しますこのコマンドはグローバルコンフィギュレーションモードで入力します hostname(config)# tunnel-group group1 type webvpn hostname(config)# 31-85

tunnel-group 第 31 章関連コマンドコマンド説明 clear configure tunnel-group 設定されているすべてのトンネルグループをクリアします show running-config tunnel-group tunnel-group general-attributes tunnel-group ipsec-attributes tunnel-group ppp-attributes tunnel-group webvpn-attributes すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します一般トンネルグループアトリビュートを設定する config-general モードに入ります IPSec トンネルグループアトリビュートを設定する config-ipsec モードに入ります L2TP 接続の PPP を設定する config-ppp モードに入ります WebVPN トンネルグループアトリビュートを設定する config-webvpn モードを開始します 31-86

第 31 章 tunnel-group general-attributes tunnel-group general-attributes 一般アトリビュートコンフィギュレーションモードに入るにはグローバルコンフィギュレーションモードで tunnel-group general-attributes コマンドを使用しますこのモードはサポートされるすべてのトンネリングプロトコルに共通の値を設定するために使用されます一般アトリビュートをすべて削除するにはこのコマンドの no 形式を使用します tunnel-group name general-attributes no tunnel-group name general-attributes 構文の説明 general-attributes name このトンネルグループのアトリビュートを指定しますトンネルグループの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますトンネルグループ一般アトリビュートコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 7.1(1) さまざまなアトリビュートが他のトンネルグループタイプから一般トンネルグループアトリビュートリストに移されトンネルグループ一般アトリビュートモードのプロンプトが変更されました例次の例はグローバルコンフィギュレーションモードで入力され LAN-to-LAN ピアの IP アドレスを使用してリモートアクセス接続用のリモートアクセストンネルグループを作成してから一般アトリビュートコンフィギュレーションモードに入ってトンネルグループ一般アトリビュートを設定しますトンネルグループの名前は 209.165.200.225 です hostname(config)# tunnel-group 209.165.200.225 type remote-access hostname(config)# tunnel-group 209.165.200.225 general-attributes hostname(config-tunnel-general)# 次の例はグローバルコンフィギュレーションモードで入力され IPSec リモートアクセス接続用の remotegrp という名前のトンネルグループを作成してから一般コンフィギュレーションモードに入って remotegrp という名前のトンネルグループ用の一般アトリビュートを設定します hostname(config)# tunnel-group remotegrp type ipsec_ra 31-87

tunnel-group general-attributes 第 31 章 hostname(config)# tunnel-group remotegrp general hostname(config-tunnel-general) 関連コマンドコマンド説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します 31-88

第 31 章 tunnel-group ipsec-attributes tunnel-group ipsec-attributes ipsec-attribute コンフィギュレーションモードに入るにはグローバルコンフィギュレーションモードで tunnel-group ipsec-attributes コマンドを使用しますこのモードは IPSec トンネリングプロトコルに限定される値を設定するために使用されます IPSec アトリビュートをすべて削除するにはこのコマンドの no 形式を使用します tunnel-group name ipsec-attributes no tunnel-group name ipsec-attributes 構文の説明 ipsec-attributes name このトンネルグループのアトリビュートを指定しますトンネルグループの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 7.1(1) さまざまな IPSec トンネルグループアトリビュートが一般トンネルグループアトリビュートリストに移されトンネルグループ ipsec-attributes モードのプロンプトが変更されました例次の例はグローバルコンフィギュレーションで入力され remotegrp という名前の IPSec リモートアクセストンネルグループ用のトンネルグループを作成してから IPSec グループアトリビュートを指定します hostname(config)# tunnel-group remotegrp type ipsec_ra hostname(config)# tunnel-group remotegrp ipsec-attributes hostname(config-tunnel-ipsec) 関連コマンドコマンド clear configure tunnel-group 説明トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします 31-89

tunnel-group ipsec-attributes 第 31 章コマンド show running-config tunnel-group tunnel-group 説明指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します 31-90

第 31 章 tunnel-group ppp-attributes tunnel-group ppp-attributes ppp-attributes コンフィギュレーションモードに入り L2TP over IPSec 接続で使用する PPP を設定するにはグローバルコンフィギュレーションモードで tunnel-group ppp-attributes コマンドを使用します PPP アトリビュートをすべて削除するにはこのコマンドの no 形式を使用します tunnel-group name ppp-attributes no tunnel-group name ppp-attributes 構文の説明 name トンネルグループの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン PPP 設定は Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリングプロトコル ) で使用されますこれはリモートクライアントがダイヤルアップ接続サービスのパブリック IP ネットワークを使用して企業のプライベートネットワークサーバと安全に通信できるようにする VPN トンネリングプロトコルです L2TP はクライアント / サーバモデルに基づいており PPP over UDP( ポート 1701) を使用してデータをトンネリングしますトンネルグループのすべての PPP コマンドは PPPoE トンネルグループタイプで使用できます例次の例では telecommuters というトンネルグループを作成し ppp-attributes コンフィギュレーションモードに入ります hostname(config)# tunnel-group telecommuters type pppoe hostname(config)# tunnel-group telecommuters ppp-attributes hostname(tunnel-group-ppp)# 31-91

tunnel-group ppp-attributes 第 31 章関連コマンドコマンド説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します 31-92

第 31 章 tunnel-group webvpn-attributes tunnel-group webvpn-attributes webvpn-attribute コンフィギュレーションモードに入るにはグローバルコンフィギュレーションモードで tunnel-group webvpn-attributes コマンドを使用しますこのモードでは WebVPN トンネリングでの共通の設定を行います WebVPN アトリビュートをすべて削除するにはこのコマンドの no 形式を使用します tunnel-group name webvpn-attributes no tunnel-group name webvpn-attributes 構文の説明 webvpn-attributes name このトンネルグループの WebVPN アトリビュートを指定しますトンネルグループの名前を指定しますデフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.1(1) このコマンドが追加されました例次の例はグローバルコンフィギュレーションモードに入り LAN-to-LAN ピアの IP アドレスを使用して WebVPN 接続用のトンネルグループを作成してから webvpn コンフィギュレーションモードに入り WebVPN アトリビュートを設定しますトンネルグループの名前は 209.165.200.225 です hostname(config)# tunnel-group 209.165.200.225 type webvpn hostname(config)# tunnel-group 209.165.200.225 webvpn-attributes hostname(config-tunnel-webvpn)# 次の例はグローバルコンフィギュレーションモードに入り WebVPN 接続用の remotegrp という名前のトンネルグループを作成してから webvpn コンフィギュレーションモードに入って remotegrp という名前のトンネルグループ用の WebVPN アトリビュートを設定します hostname(config)# tunnel-group remotegrp type webvpn hostname(config)# tunnel-group remotegrp webvpn-attributes hostname(config-tunnel-webvpn)# 31-93

tunnel-group webvpn-attributes 第 31 章関連コマンドコマンド説明 clear configure tunnel-group トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします show running-config tunnel-group 指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します tunnel-group IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します 31-94

第 31 章 tunnel-group-map tunnel-group-map 適応型セキュリティアプライアンスが IPSec 接続要求をクライアント証明書認証とともに受信すると設定したポリシーに従って接続プロファイルをその接続に割り当てますそのポリシーは設定したルールの使用証明書の OU フィールドの使用 IKE ID( ホスト名 IP アドレスキー ID など ) の使用クライアントの IP アドレスあるいは接続プロファイルを割り当てるデフォルトの接続プロファイルになります SSL 接続に対し適応型セキュリティアプライアンスは接続プロファイルを割り当てるように設定したルールを使用するだけです既存のマップ名を接続プロファイルに関連付けて設定したルールに基づき tunnel-group-map コマンドにより接続プロファイルが接続に割り当てられます接続プロファイルとマップ名の関連を解消するにはこのコマンドの no 形式を使用しますこのコマンドの no 形式ではマップ名は削除されませんマップ名と接続プロファイルとの関連が解消されるだけですコマンドの構文は次のとおりです tunnel-group-map [mapname] [rule-index] [connection-profile] no tunnel-group-map [mapname] [rule-index] ( 注 ) このコマンドで証明書マップ名を作成できます crypto ca certificate map [mapname] [rule-index] トンネルグループは現在接続プロファイルと呼ばれている用語の旧称です tunnel-group-map コマンドは接続プロファイルマップを作成するものと考えてください構文の説明 mapname rule-index connection-profile 必須既存の証明書マップの名前を指定します必須マップ名に関連付けられた rule-index を指定します rule-index パラメータは crypto ca certificate map コマンドを使用して定義されます有効な値は 1 ~ 65535 です証明書マップリストに対して接続プロファイル名を指定しますデフォルト tunnel-group-map が未定義で ASA が IPsec 接続リストをクライアント証明書認証とともに受信した場合 ASA は証明書認証要求をこれらのポリシーの 1 つと次の順序で照合することで接続プロファイルを割り当てます証明書の ou フィールド : サブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit (OU; 組織ユニット ) フィールドの値に基づき接続プロファイルを決定します IKE ID: フェーズ 1 IKE ID の内容に基づき接続プロファイルを決定します peer-ip: 確立されたクライアント IP アドレスに基づき接続プロファイルを決定しますデフォルト接続プロファイル :ASA が上記 3 つのポリシーに一致しない場合はデフォルトの接続プロファイルを割り当てますデフォルトのプロファイルは DefaultRAGroup ですそうでない場合はデフォルトの接続プロファイルは tunnel-group-map default-group コマンドを使用して設定されます 31-95

tunnel-group-map 第 31 章次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン設定したマップ名は接続プロファイルと関連付ける前に存在している必要があります crypto ca certificate map コマンドを使用してマップ名を作成します詳細については crypto ca certificate map コマンドの資料を参照してくださいマップ名を接続プロファイルに関連付けたら前述のデフォルトのポリシーではなく設定したルールを使用するには tunnel-group-map をイネーブルにする必要がありますこれを行うにはグローバルコンフィギュレーションモードで tunnel-group-map enable rules コマンドを実行する必要があります例次の例では rule index が 10 のマップ名 SalesGroup を SalesConnectionProfile 接続プロファイルに関連付けています hostname(config)# tunnel-group-map SalesGroup 10 SalesConnectionProfile hostname(config)# 関連コマンドコマンド crypto ca certificate map [map name] tunnel-group-map enable tunnel-group-map default-group 説明 CA 証明書マップモードに入りそのモードを使用して証明書マップ名を作成できます確立されたルールに基づく証明書ベースの IKE セッションをイネーブルにします既存のトンネルグループ名をデフォルトのトンネルグループとして指定します 31-96

第 31 章 tunnel-group-map default-group tunnel-group-map default-group tunnel-group-map default-group コマンドは他の設定済みの方法でトンネルグループ名を判別できなかった場合に使用するデフォルトのトンネルグループ名を指定します tunnel-group-map を削除するにはこのコマンドの no 形式を使用します tunnel-group-map [rule-index] default-group tunnel-group-name no tunnel-group-map 構文の説明 default-group tunnel-group-name rule index 他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します tunnel-group name はすでに存在している必要がありますオプション crypto ca certificate map コマンドで指定したパラメータを参照します有効な値は 1 ~ 65535 ですデフォルト tunnel-group-map default-group のデフォルト値は DefaultRAGroup です次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン tunnel-group-map コマンドは証明書ベースの IKE セッションをトンネルグループにマップするときのポリシーおよびルールを設定します crypto ca certificate map コマンドを使用して作成された証明書マップエントリをトンネルグループに関連付けるにはグローバルコンフィギュレーションモードで tunnel-group-map コマンドを使用します各呼び出しが一意でありマップインデックスを 2 回以上参照しない限りこのコマンドを複数回実行できます crypto ca certificate map コマンドは証明書マッピングルールの優先順位リストを保守します設定できるマップは 1 つだけですただし 65535 個までのルールをそのマップに設定できます詳細については crypto ca certificate map コマンドの資料を参照してください証明書からトンネルグループ名を取得する処理はトンネルグループに関連付けられていない証明書マップのエントリを無視します ( どのマップルールもこのコマンドでは識別されません ) 31-97

tunnel-group-map default-group 第 31 章例次の例はグローバルコンフィギュレーションモードで入力され他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します使用するトンネルグループの名前は group1 です hostname(config)# tunnel-group-map default-group group1 hostname(config)# 関連コマンドコマンド説明 crypto ca certificate map 暗号 CA 証明書マップモードを開始します subject-name( 暗号 CA 証明書マップ ) tunnel-group-map enable ルールエントリ文字列との比較対象となる CA 証明書に含まれている DN を指定します証明書ベースの IKE セッションをトンネルグループにマップするポリシーとルールを設定します 31-98

第 31 章 tunnel-group-map enable tunnel-group-map enable tunnel-group-map enable コマンドは証明書ベースの IKE セッションをトンネルグループにマップするポリシーとルールを設定しますデフォルト値に戻すにはこのコマンドの no 形式を使用します tunnel-group-map [rule-index] enable policy no tunnel-group-map enable [rule-index] 構文の説明 policy rule index 証明書からトンネルグループ名を取得するポリシーを指定します Policy は次のいずれかになります ike-id: トンネルグループがルールの検索に基づいて決定されないまたは ou から取得されない場合証明書ベースの IKE セッションはフェーズ 1 IKE ID のコンテンツに基づいたトンネルグループにマップされることを示します ou: トンネルグループがルールの検索に基づいて決定されない場合サブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit(OU; 組織ユニット ) の値を使用することを示します peer-ip: トンネルグループがルールの検索に基づいて決定されないか ou または ike-id メソッドから取得されない場合確立されたピア IP アドレスを使用することを示します rules: 証明書ベースの IKE セッションはこのコマンドで設定された証明書マップ結合に基づいてトンネルグループにマップされることを示しますオプション crypto ca certificate map コマンドで指定したパラメータを参照します有効な値は 1 ~ 65535 ですデフォルト tunnel-group-map コマンドのデフォルト値は enable ou で default-group は DefaultRAGroup に設定されています次の表はこのコマンドを入力できるモードを示していますグローバルコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました 31-99

tunnel-group-map enable 第 31 章使用上のガイドライン crypto ca certificate map コマンドは証明書マッピングルールの優先順位リストを保守します設定できるマップは 1 つだけですただし 65535 個までのルールをそのマップに設定できます詳細については crypto ca certificate map コマンドの資料を参照してください例次の例ではフェーズ 1 IKE ID のコンテンツに基づいてトンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable ike-id hostname(config)# 次の例では確立されたピアの IP アドレスに基づいてトンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable peer-ip hostname(config)# 次の例ではサブジェクト Distinguish Name(DN; 認定者名 ) の Organizational Unit(OU; 組織ユニット ) に基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable ou hostname(config)# 次の例では確立したルールに基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします hostname(config)# tunnel-group-map enable rules hostname(config)# 関連コマンドコマンド説明 crypto ca certificate map CA 証明書マップモードを開始します subject-name( 暗号 CA 証明書マップ ) tunnel-group-map default-group ルールエントリ文字列との比較対象となる CA 証明書に含まれている DN を指定します既存のトンネルグループ名をデフォルトのトンネルグループとして指定します 31-100

第 31 章 tunnel-limit tunnel-limit 適応型セキュリティアプライアンスでアクティブになることを許可されている GTP トンネルの最大数を指定するには GTP マップコンフィギュレーションモードで tunnel limit コマンドを使用しますこのモードには gtp-map コマンドを使用してアクセスできますトンネル制限をデフォルトに戻すには no を使用します tunnel-limit max_tunnels no tunnel-limit max_tunnels 構文の説明 max_tunnels これはトンネルの許容最大数ですグローバルなトンネル制限全体の範囲は 1 ~ 4294967295 ですデフォルトトンネル制限のデフォルトは 500 です次の表はこのコマンドを入力できるモードを示しています GTP マップコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドラインこのコマンドで指定されたトンネル数に到達すると新しい要求はドロップされます例次の例では GTP トラフィックに最大 10,000 トンネルを指定します hostname(config)# gtp-map qtp-policy hostname(config-gtpmap)# tunnel-limit 10000 関連コマンドコマンド clear service-policy inspect gtp debug gtp gtp-map 説明グローバルな GTP 統計情報をクリアします GTP インスペクションの詳細情報を表示します GTP マップを定義し GTP マップコンフィギュレーションモードをイネーブルにします 31-101

tunnel-limit 第 31 章コマンド inspect gtp show service-policy inspect gtp 説明アプリケーションインスペクションに使用する特定の GTP マップを適用します GTP コンフィギュレーションを表示します 31-102

第 31 章 tx-ring-limit tx-ring-limit プライオリティキューの深さを指定するにはプライオリティキューモードで tx-ring-limit コマンドを使用しますこの指定を削除するにはこのコマンドの no 形式を使用します tx-ring-limit number-of-packets no tx-ring-limit number-of-packets 構文の説明 number-of-packets イーサネット送信ドライバが許容できる低遅延パケットまたは標準の優先順位のパケットの最大数を指定しますこの値を超えるとイーサネット送信ドライバは輻輳が解消するまでインターフェイス上のキューにパケットを戻しバッファに格納させます tx-ring-limit の値の範囲は PIX プラットフォームでは 3 から 128 パケットで ASA プラットフォームでは 3 から 256 パケットですデフォルトデフォルトの tx-ring-limit は 128 パケットです次の表はこのコマンドを入力できるモードを示していますファイアウォールモードセキュリティコンテキストトランスペマルチルーテッドアレントシングルコンテキストシステムプライオリティキューコマンド履歴リリース変更内容 7.0(1) このコマンドが追加されました使用上のガイドライン適応型セキュリティアプライアンスでは遅延の影響を受けやすいプライオリティの高いトラフィック ( 音声およびビデオなど ) 用の Low-Latency Queuing(LLQ; 低遅延キューイング ) とそれ以外のすべてのトラフィック用のベストエフォート ( デフォルト ) の 2 つのトラフィッククラスを使用できます適応型セキュリティアプライアンスはプライオリティトラフィックを認識し適切な Quality of Service(QoS; サービス品質 ) ポリシーを実施しますプライオリティキューのサイズと深さを設定してトラフィックフローを微調整できますプライオリティキューイングを有効にするには priority-queue コマンドを使用してインターフェイスのプライオリティキューをあらかじめ作成しておく必要があります 1 つの priority-queue コマンドを nameif コマンドで定義できるすべてのインターフェイスに対して適用できます priority-queue コマンドでプライオリティキューモードを開始しますこれはプロンプトに表示されますプライオリティキューモードでは送信キューに任意のタイミングで入れることができるパケットの最大数 (tx-ring-limit コマンド ) パケットがドロップされるまでバッファできる両方のタイプ ( プライオリティまたはベストエフォート ) のパケット数を設定できます (queue-limit コマンド ) 31-103

tx-ring-limit 第 31 章 ( 注 ) インターフェイスのプライオリティキューイングをイネーブルにするには priority-queue コマンドを設定する必要があります指定する tx-ring-limit および queue-limit はプライオリティの高い低遅延キューとベストエフォートキューの両方に適用されます tx-ring-limit はドライバが許容できる両方のタイプのパケットの数ですこのパケット数を超えるとドライバはインターフェイスの先頭にある複数のキューにパケットを戻し輻輳が解消するまでそのキューでパケットをバッファしておきます通常これらの 2 つのパラメータを調整することで低遅延トラフィックのフローを最適化できますキューのサイズは無限大ではないためいっぱいになってオーバーフローすることがありますキューがいっぱいになると以降のパケットはキューに入ることができずすべてドロップされますこれがテールドロップですキューがいっぱいになることを避けるには queue-limit コマンドを使用してキューのバッファサイズを大きくします ( 注 ) queue-limit コマンドと tx-ring-limit コマンドに対する値の範囲の上限は実行時に動的に決定されますこの上限を表示するにはコマンドラインで help または? と入力します主な決定要素はキューをサポートするために必要なメモリとデバイス上で使用可能なメモリです queue-limit の値の範囲は 0 ~ 2048 パケットです tx-ring-limit の値の範囲は PIX プラットフォームでは 3 から 128 パケットで ASA プラットフォームでは 3 から 256 パケットです ASA モデル 5505( のみ ) では 1 つのインターフェイスにプライオリティキューを設定すると他のすべてのインターフェイスで同じコンフィギュレーションが上書きされますつまり最後に適用されたコンフィギュレーションだけがすべてのインターフェイスに存在することになりますさらにプライオリティキューコンフィギュレーションは 1 つのインターフェイスから削除するとすべてのインターフェイスからも削除されますこの問題を回避するには priority-queue コマンドを 1 つのインターフェイスにのみ設定します queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定をさまざまなインターフェイスで異なる設定にする必要がある場合任意の 1 つのインターフェイスですべての queue-limit のうちで最大の値とすべての tx-ring-limit のうちで最小の値を使用します (CSCsi13132) 例次の例では test というインターフェイスにプライオリティキューをキュー制限を 2048 パケットに送信キュー制限を 256 パケットに設定しています hostname(config)# priority-queue test hostname(priority-queue)# queue-limit 2048 hostname(priority-queue)# tx-ring-limit 256 関連コマンドコマンド説明 clear configure priority-queue 指定したインターフェイスの現在のプライオリティキューコンフィギュレーションを削除します priority-queue インターフェイスにプライオリティキューイングを設定します queue-limit プライオリティキューに入れることができるパケットの最大数を指定しますこの数を超えると以後のデータはドロップされます 31-104

第 31 章 tx-ring-limit コマンド show priority-queue statistics show running-config priority-queue 説明指定されたインターフェイスのプライオリティキュー統計情報を表示します現在のプライオリティキューコンフィギュレーションを表示します all キーワードを指定した場合このコマンドは現在のすべての priority-queue queue-limit および tx-ring-limit コマンド設定値を表示します 31-105

type echo 第 31 章 type echo SLA 動作をエコー応答時間プローブ動作として設定するには SLA モニタコンフィギュレーションモードで type echo コマンドを使用しますこのタイプの SLA 動作をコンフィギュレーションから削除するにはこのコマンドの no 形式を使用します type echo protocol ipicmpecho target interface if-name no type echoprotocol ipicmpecho target interface if-name 構文の説明 interface if-name protocol target nameif コマンドで指定したようにエコー要求パケットを送信するインターフェイスの名前を指定しますインターフェイスの送信元アドレスがエコー要求パケットで送信元アドレスとして使用されますプロトコルを指定するキーワード ipicmpecho という値しか指定できませんこの値はエコー動作で IP/ICMP エコー要求を使用することを指定しますモニタされるオブジェクトの IP アドレスまたはホスト名デフォルトデフォルトの動作や値はありません次の表はこのコマンドを入力できるモードを示しています SLA モニタコンフィギュレーションファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムコマンド履歴リリース変更内容 7.2(1) このコマンドが追加されました使用上のガイドライン ICMP パケットのペイロードのデフォルトサイズは 28 バイトです ICMP パケットの合計サイズは 64 バイトになりますペイロードのサイズを変更するには request-data-size コマンドを使用します例次の例では ICMP エコー要求 / 応答時間プローブ動作を使用する ID が 123 の SLA 動作を設定しています ID が 1 のトラッキングエントリを作成し SLA の到達可能性を追跡します SLA 動作の頻度を 10 秒しきい値を 2500 ミリ秒タイムアウト値を 4000 ミリ秒に設定しています hostname(config)# sla monitor 123 hostname(config-sla-monitor)# type echo protocol ipicmpecho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# threshold 2500 hostname(config-sla-monitor-echo)# timeout 4000 hostname(config-sla-monitor-echo)# frequency 10 31-106

第 31 章 type echo hostname(config)# sla monitor schedule 123 life forever start-time now hostname(config)# track 1 rtr 123 reachability 関連コマンドコマンド説明 num-packets SLA 動作中に送信する要求パケットの数を指定します request-data-size SLA 動作の要求パケットのペイロードのサイズを指定します sla monitor SLA モニタリング動作を定義します 31-107

type echo 第 31 章 31-108