この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ESMTP ehlo reply パラメータに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match ehlo-reply-parameter コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] ehlo-reply-parameter parameter
no match [not] ehlo-reply-parameter parameter
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップに ehlo reply パラメータに関して一致条件を設定する例を示します。
ciscoasa(config)#
policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)#
match ehlo-reply-parameter auth
|
|
---|---|
FTP 転送のファイル名に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filename コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] filename regex [regex_name | class regex_class_name]
no match [not] filename regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
次に、FTP インスペクション クラス マップに FTP 転送ファイル名に関して一致条件を設定する例を示します。
|
|
---|---|
FTP 転送のファイル タイプに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match filetype コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] filetype regex [regex_name | class regex_class_name]
no match [not] filetype regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
次に、FTP インスペクション ポリシー マップに FTP 転送ファイルタイプに関して一致条件を設定する例を示します。
|
|
---|---|
クラス マップにフロー IP 宛先アドレスを指定するには、クラス マップ コンフィギュレーション モードで match flow ip destination-address コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match flow ip destination-address
no match flow ip destination-address
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
トンネル グループに対するフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address および match tunnel-group コマンドを class-map 、 policy-map 、および service-policy コマンドと併用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシーを適用するには、 match flow ip destination-address コマンドを使用します。トンネル グループ内の各トンネルを指定されたレートに規制するには、 match tunnel-group を使用します。
次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。
|
|
---|---|
ESMTP ヘッダーに関して一致条件を設定するには、ポリシー マップ タイプ インスペクション ESMTP コンフィギュレーション モードで match header コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]
no match [not] header [[length | line length] gt bytes | to-fields count gt to_fields_number]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップにヘッダーに関して一致条件を設定する例を示します。
ciscoasa(config)#
policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)#
match header length gt 512
|
|
---|---|
IPv6 ヘッダーに関して一致条件を設定するには、ポリシー マップ タイプ インスペクション IPv6 コンフィギュレーション モードで match header コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [ not ] header { ah | count gt number | destination-option | esp | fragment | hop-by-hop | routing-address count gt number | routing-type { eq | range } number }
no match [ not ] header { ah | count gt number | destination-option | esp | fragment | hop-by-hop | routing-address count gt number | routing-type { eq | range } number }
IPv6 ルーティング ヘッダー タイプ 0 のアドレスの最大数として、0 ~ 255 の数値よりも大きい値を設定します。 |
|
IPv6 ルーティング ヘッダー タイプ(0 ~ 255)を照合します。範囲を指定するには、値をスペースで区切ります(例: 30 40 ) |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
照合するヘッダーを指定します。デフォルトでは、パケットはログに記録されます( log )。パケットを破棄する場合は、一致コンフィギュレーション モードで drop コマンドを入力します(必要に応じて、 log コマンドも入力することでログに記録することも可能です)。
次に、ヘッダーが hop-by-hop、destination-option、routing-address、および routing type 0 であるすべての IPv6 パケットを破棄してログに記録するインスペクション ポリシー マップを作成する例を示します。
|
|
---|---|
DNS ヘッダー フラグに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match header-flag コマンドを使用します。設定されたヘッダー フラグを削除するには、このコマンドの no 形式を使用します。
match [not] header-flag [eq] {f_well_known | f_value}
no match [not] header-flag [eq] {f_well_known | f_value}
既知の名前で DNS ヘッダー フラグ ビットを指定します。複数のフラグ ビットを入力し、論理 OR を適用することもできます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、DNS クラス マップまたは DNS ポリシー マップで設定できます。DNS クラス マップでは、入力できるエントリは 1 つのみです。
次に、DNS インスペクション ポリシー マップに DNS ヘッダー フラグに関して一致条件を設定する例を示します。
|
|
---|---|
SIP IM 加入者に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match im-subscriber コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] im-subscriber regex [regex_name | class regex_class_name]
no match [not] im-subscriber regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
次に、SIP インスペクション クラス マップに SIP IM 加入者に関して一致条件を設定する例を示します。
|
|
---|---|
指定されたインターフェイスのいずれかを起点とするネクスト ホップが存在するルートを配布するには、ルート マップ コンフィギュレーション モードで match interface コマンドを使用します。match interface エントリを削除するには、このコマンドの no 形式を使用します。
match interface interface-name
no match interface interface-name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド構文内の省略記号(...)は、コマンドを入力するときに、interface-type interface-number 引数に対応する値を複数指定できることを意味します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順番で指定できます。 set コマンドで指定された set アクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。 match コマンドで複数のインターフェイスが指定されている場合は、 no match interface interface-name を使用して 1 つのインターフェイスを削除できます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータだけを変更する場合は、別のルート マップ セクションを設定し、明示的な一致を指定します。
次に、ネクスト ホップが外部のルートを配布する例を示します。
|
|
---|---|
ESMTP 無効受信者アドレスに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match invalid-recipients コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] invalid-recipients count gt number
no match [not] invalid-recipients count gt number
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップに無効な受信者数に関して一致条件を設定する例を示します。
ciscoasa(config)#
policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)#
match invalid-recipients count gt 1000
|
|
---|---|
指定されたいずれかのアクセス リストによって渡されるルート アドレスまたはマッチ パケットがあるルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
match ip address { acl... } prefix-list
no match ip address { acl... } prefix-list
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
|
|
---|---|
指定したいずれかのアクセス リストによって渡される IPv6 ルート アドレスまたはマッチ パケットがあるルートを再配布します。 |
|
指定されたいずれかのアクセス リストによって渡されるネクストホップ ルータ アドレスがあるルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip next-hop コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip next-hop { acl... } | prefix-list prefix_list
no match ip next-hop { acl... } | prefix-list prefix_list
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド構文に含まれる省略符号(...)は、コマンド入力に acl 引数の値を複数含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルートがルート マップを通過するようにするときには、ルート マップに複数の要素を持たせることができます。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。
次に、アクセス リスト acl_dmz1 または acl_dmz2 によって渡されるネクストホップ ルータ アドレスがあるルートを配布する例を示します。
|
|
---|---|
ACL に指定されているアドレスにあるルータおよびアクセス サーバによってアドバタイズされたルートを再配布するには、ルート マップ コンフィギュレーション モードで match ip route-source コマンドを使用します。ネクスト ホップ エントリを削除するには、このコマンドの no 形式を使用します。
match ip route-source { acl... } | prefix-list prefix_list
no match ip route-source { acl... }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド構文に含まれる省略符号(...)は、コマンド入力に access-list-name 引数の値を複数含めることができることを示します。
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。ルートのネクストホップ アドレスと送信元ルータ アドレスが同じではない場合があります。
次に、acl_dmz1 および acl_dmz2 という ACL で指定されたアドレスにあるルータおよびアクセス サーバによってアドバタイズされたルートを配布する例を示します。
|
|
---|---|
指定したいずれかのアクセス リストによって渡される IPv6 ルート アドレスまたはマッチ パケットがあるルートを再配布するには、ルート マップ コンフィギュレーション モードで match ipv6 address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
match ipv6 address { acl... } prefix-list
no match ipv6 address { acl... } prefix-list
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
次に、内部ルートを再配布する例を示します。access-list acl_dmz1 extended permit ipv6 any <net> <mask>
|
|
---|---|
インスタント メッセージング用のクライアント ログイン名に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] login-name regex [regex_name | class regex_class_name]
no match [not] login-name regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
次に、インスタント メッセージング クラス マップにクライアント ログイン名に関して一致条件を設定する例を示します。
|
|
---|---|
H.323 メディア タイプに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match media-type コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] media-type [audio | data | video]
no match [not] media-type [audio | data | video]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、H.323 インスペクション クラス マップにオーディオ メディア タイプに関して一致条件を設定する例を示します。
|
|
---|---|
M3UA メッセージのメッセージ クラスおよびタイプに対して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match message class コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] message class class_id [ id message_id ]
no match [ not ] message class class_id [ id message_id ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは M3UA インスペクション ポリシー マップで設定できます。メッセージ クラスおよびタイプに基づいてパケットをドロップまたはレート制限できます。次の表に、使用可能な値を示します。これらのメッセージの詳細については、M3UA の RFC およびドキュメンテーションを参照してください。
|
|
---|---|
次に、M3UA メッセージに関して一致条件を設定する例を示します。
|
|
---|---|
GTP メッセージ ID に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match message id コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] message { v1 | v2 } id [ message_id | range lower_range upper_range ]
no match [ not ] message { v1 | v2 } id [ message_id | range lower_range upper_range ]
(9.5(1) 以降)GTP のバージョンを示します。GTPv0 ~ 1 の場合は v1 、GTPv2 の場合は v2 を使用します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、GTP インスペクション ポリシー マップにメッセージ ID に関して一致条件を設定する例を示します。
リリース 9.5(1) 以降では、{ v1 | v2 } キーワードを追加する必要があります。
|
|
---|---|
GTP メッセージ ID に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match message length コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] message length min min_length max max_length
no match [ not ] message length min min_length max max_length
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、GTP インスペクション ポリシー マップにメッセージの長さに関して一致条件を設定する例を示します。
|
|
---|---|
Via ヘッダー フィールドの指定に従って SIP メッセージがたどるパスに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match message-path コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] message-path regex [regex_name | class regex_class_name]
no match [not] message-path regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。
|
|
---|---|
指定されたメトリックを持つルートを再配布するには、ルート マップ コンフィギュレーション モードで match metric コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドの順序は任意に指定できます。すべての match コマンドが満たされないと、set コマンドで指定した set 処理に従ってルートの再配布が行われません。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。
|
|
---|---|
ESMTP MIME エンコーディング タイプ、MIME ファイル名の長さ、または MIME ファイル タイプに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match mime コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] mime [encoding type | filename length gt bytes | filetype regex]
no match [not] mime [encoding type | filename length gt bytes | filetype regex]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップに MIME ファイル名の長さに関して一致条件を設定する例を示します。
ciscoasa(config)#
policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)#
match mime filename length gt 255
|
|
---|---|
Create PDP Context 要求、Create Session 要求、および Modify Bearer Response メッセージの GTP モバイル ステーション国際サブスクライバ ディレクトリ番号(MSISDN)情報要素の一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match msisdn コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] msisdn regex { regex_name | class class_name }
no match [ not ] msisdn regex { regex_name | class class_name }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Create PDP Context 要求のモバイル ステーション国際サブスクライバ ディレクトリ番号(MSISDN)情報要素をフィルタリングできます。特定の MSISDN に基づいて、または最初の x 桁数に応じた MSISDN の範囲に基づいて、メッセージをドロップしたり、必要に応じてログに記録したりできます。MSISDN を指定するには、正規表現を使用します。MSISDN フィルタリングは GTPv1 および GTPv2 のみでサポートされています。
次に、正規表現オブジェクトを使用して MSISDN 一致条件を設定する例を示します。
次に、正規表現クラスを使用して MSISDN 一致条件を設定する例を示します。
|
|
---|---|
M3UA データ メッセージの発信ポイント コード(OPC)に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match opc コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは M3UA インスペクション ポリシー マップで設定できます。発信ポイント コードに基づいてパケットをドロップできます。ポイント コード は zone - region - sp 形式で、各要素に使用できる値は SS7 バリアントによって異なります。バリアントは ポリシー マップの ss7 variant コマンドで定義できます。
次に、ITU の特定の発信ポイント コードに関して一致条件を設定する例を示します。
|
|
---|---|
インスタント メッセージングのピア IP アドレスに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match peer-ip-address コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] peer-ip-address ip_address ip_address_mask
no match [not] peer-ip-address ip_address ip_address_mask
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
次に、インスタント メッセージング クラス マップにピア IP アドレスに関して一致条件を設定する例を示します。
|
|
---|---|
インスタント メッセージングのピア ログイン名に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match peer-login-name コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] peer-login-name regex [regex_name | class regex_class_name]
no match [not] peer-login-name regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
次に、インスタント メッセージング クラス マップにピア ログイン名に関して一致条件を設定する例を示します。
|
|
---|---|
モジュラ ポリシー フレームワークを使用する場合、クラス マップ コンフィギュレーション モードで match port コマンドを使用して、アクションを適用するポートを照合します。 match port コマンドを削除するには、このコマンドの no 形式を使用します。
match port { tcp | udp | sctp } { eq port | range beg_port end_port }
no match port { tcp | udp | sctp } { eq port | range beg_port end_port }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドの入力後に、 match port コマンドを入力してトラフィックを指定します。また、 match access-list コマンドなど match コマンドの別のタイプを入力できます( class-map type management コマンドだけが match port コマンドを許可します)。クラス マップには match port コマンドを 1 つだけ含めることができ、他のタイプの match コマンドとは組み合わせることができません。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
次に、クラス マップおよび match port コマンドを使用して、トラフィック クラスを定義する例を示します。
|
|
---|---|
SCTP インスペクションのためにペイロード プロトコル ID(PPID)に関して一致条件を設定するには、インスペクション ポリシー マップ コンフィギュレーション モードで match ppid コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] ppid ppid_1 [ ppid_2 ]
no match [ not ] ppid ppid_1 [ ppid_2 ]
PPID 番号(0 ~ 4294967295)または名前で SCTP PPID を指定します(使用可能な名前については、CLI ヘルプを参照)。範囲を指定するための 2 つ目の(より大きな) PPID を含めることができます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SCTP インスペクション ポリシー マップで設定できます。このコマンドを使用すると、PPID に対してフィルタ処理を行い、それらの ID に特別なアクション(ドロップ、ログ、レート制限など)を適用できます。
PPID に対してフィルタ処理を行う場合は、次の点に注意してください。
次に、未割り当ての PPID (この例の作成時点で未割り当て)をドロップし、PPID 32 ~ 40 にレート制限を適用し、Diameter PPID をログに記録する SCTP インスペクション ポリシー マップを作成する例を示します。
|
|
---|---|
クラス マップに precedence 値を指定するには、クラス マップ コンフィギュレーション モードで match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
次に、クラス マップおよび match precedence コマンドを使用して、トラフィック クラスを定義する例を示します。
|
|
---|---|
MSN や Yahoo などの特定のインスタント メッセージング プロトコルに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match protocol コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] protocol {msn-im | yahoo-im}
no match [not] protocol {msn-im | yahoo-im}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
次に、インスタント メッセージング クラス マップに Yahoo インスタント メッセージング プロトコルに関して一致条件を設定する例を示します。
|
|
---|---|
DNS の質問またはリソース レコードに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match question コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match {question | {resource-record answer | authority | additional}}
no match {question | {resource-record answer | authority | additional}}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトでは、このコマンドは DNS ヘッダーを調べ、指定されたフィールドとマッチングします。また、他の DNS match コマンドと併用して、特定の質問または RR タイプのインスペクションを定義できます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
次に、DNS インスペクション ポリシー マップに DNS 質問に関して一致条件を設定する例を示します。
|
|
---|---|