この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
正規表現クラス マップで正規表現を識別するには、クラス マップ タイプ正規表現コンフィギュレーション モードで match regex コマンドを使用します。クラス マップから正規表現を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
regex コマンドは、テキスト照合が必要なさまざまな機能で使用できます。正規表現は正規表現クラス マップにグループ化できます。これを行うには、 class-map type regex コマンドの後に複数の match regex コマンドを使用します。
たとえば、インスペクション ポリシー マップを使用して、アプリケーション インスペクションの特別なアクションを設定できます( policy map type inspect コマンドを参照)。インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。
次の例では、HTTP インスペクション ポリシー マップとその関連クラス マップを示します。このポリシー マップは、サービス ポリシーがイネーブルにするレイヤ 3/4 ポリシー マップによってアクティブになります。
|
|
---|---|
HTTP 要求と HTTP 応答の両方に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match req-resp コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] req-resp content-type mismatch
no match [not] req-resp content-type mismatch
HTTP 応答の content-type フィールドが対応する HTTP 要求メッセージの accept フィールドと一致しないトラフィックを照合します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
上記のチェックに失敗した場合、ASA は設定されたアクションを実行します。
このリストのコンテンツ タイプの中には、メッセージの本文部分で確認できないように、対応する正規表現(magic number)がないものがあります。この場合、HTTP メッセージは許可されます。
次に、HTTP ポリシー マップで HTTP メッセージのコンテンツ タイプに基づいて HTTP トラフィックを制限する例を示します。
ciscoasa(config)#
policy-map type inspect http http_map
ciscoasa(config-pmap)#
match req-resp content-type mismatch
|
|
---|---|
特定の FTP コマンドを制限するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match request-command コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] request-command ftp_command [ ftp_command...]
no match [not] request-command ftp_command [ ftp_command...]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
次に、FTP インスペクション ポリシー マップに特定の FTP コマンドに関して一致条件を設定する例を示します。
|
|
---|---|
SIP メソッド タイプに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match request-method コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] request-method method_type
no match [not] request-method method_type
RFC 3261 およびサポートされている拡張に従って、メソッド タイプを指定します。サポートされているメソッド タイプには、ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update があります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
次の例では、SIP インスペクション クラス マップで SIP メッセージによって取得されるパスの一致条件を設定する方法を示します。
|
|
---|---|
HTTP 要求に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match request method コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] request { built-in-regex | regex { regex_name | class class_map_name }}
no match [not] request { built-in-regex | regex { regex_name | class class_map_name }}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、「GET」メソッドまたは「PUT」メソッドで「www\.example.com/.*\.asp」または「www\example[0-9][0-9]\.com」にアクセスしようとしている HTTP 接続を許可し、ロギングする HTTP インスペクション ポリシー マップを定義する例を示します。それ以外の URL/メソッドの組み合わせは、サイレントに許可されます。
|
|
---|---|
指定されたタイプのルートを再配布するには、ルート マップ コンフィギュレーション モードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。
match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
no match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドは、設定アクション( match コマンドが指定している基準を満たした場合に実行する特定の再配布アクション)を指定します。 no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートを再配布するには、すべての match コマンドで「一致」する必要があります。 match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルート マップは、いくつかの部分にわかれている可能性があります。ルートが route-map コマンドに関係のあるどの match 句とも一致しない場合、このルートは無視されます。一部のデータのみを修正するには、別のルート マップ セクションを設定して、正確に一致する基準を指定する必要があります。
OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートにのみ一致し、 external type-2 キーワードは type 2 外部ルートにのみ一致します。
|
|
---|---|
クラス マップに偶数ポートの UDP ポート範囲を指定するには、クラス マップ コンフィギュレーション モードで match rtp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no match rtp starting_port range
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
RTP ポート( starting_port から starting_port に range を加えた値の範囲の偶数 UDP ポート番号)とマッチングするには、 match rtp コマンドを使用します。
次に、クラス マップおよび match rtp コマンドを使用して、トラフィック クラスを定義する例を示します。
|
|
---|---|
Create PDP Context 要求の選択モード情報要素の一致を設定するには、ポリシー マップ コンフィギュレーション モードで match selection-mode コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] selection-mode mode_value
no match [ not ] selection-mode mode_value
Create PDP Context 要求の選択モード情報要素。選択モードでは、メッセージにアクセス ポイント名(APN)の発信元を指定しますが、次のいずれかになります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Create PDP Context 要求の選択モード情報要素をフィルタリングすることができます。選択モードでは、メッセージにアクセス ポイント名(APN)の発信元を指定します。これらのモードに基づいて、メッセージをドロップしたり、必要に応じてログに記録したりできます。選択モード フィルタリングは、GTPv1 および GTPv2 のみでサポートされています。
次の例では、選択モード 1 および 2 を照合し、それらのモードを持つ Create PDP Context メッセージをドロップしたり、ログに記録したりする方法を示しています。
|
|
---|---|
ESMTP 送信者電子メール アドレスに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match sender-address コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] sender-address [length gt bytes | regex regex ]
no match [not] sender-address [length gt bytes | regex regex ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップに長さが 320 文字を超える送信者電子メール アドレスに関して一致条件を設定する例を示します。
|
|
---|---|
FTP サーバに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match server コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] server regex [ regex_name | class regex_class_name ]
no match [not] server regex [ regex_name | class regex_class_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
ASA は、FTP サーバに接続するときにログイン プロンプトの上方に表示される初期 220 サーバ メッセージに基づいて、サーバ名とマッチングします。220 サーバ メッセージには、行が複数含まれることがあります。サーバとのマッチングは、DNS を介して解決されるサーバ名の FQDN に基づきません。
次に、FTP インスペクション ポリシー マップに FTP サーバに関して一致条件を設定する例を示します。
|
|
---|---|
特定のインスタント メッセージング サービスに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match service コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}
no match [not] service {chat | file-transfer | games | voice-chat | webcam | conference}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IM クラス マップまたは IM ポリシー マップ内で設定できます。IM クラス マップに入力できるエントリは 1 つのみです。
次に、インスタント メッセージング クラス マップにチャット サービスに関して一致条件を設定する例を示します。
|
|
---|---|
M3UA メッセージのサービス インジケータに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match service-indicator コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] service-indicator number
no match [ not ] service-indicator number
サービス インジケータ番号(0 ~ 15)。サポートされているインジケータのリストについては、「使用上のガイドライン」を参照してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは M3UA インスペクション ポリシー マップで設定できます。サービス インジケータに基づいてパケットをドロップできます。使用可能なサービス インジケータは次のとおりです。これらのサービス インジケータの詳細については、M3UA RFC およびドキュメントを参照してください。
次に、M3UA サービス インジケータに関して一致条件を設定する例を示します。
|
|
---|---|
第三者登録の要求者に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match third-party-registration コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] third-party-registration regex [ regex_name | class regex_class_name ]
no match [not] third-party-registration regex [ regex_name | class regex_class_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
third-party registration match コマンドは、SIP 登録または SIP プロキシで他のユーザを登録できるユーザを特定するために使用されます。From と To の値が一致しない場合には、REGISTER メッセージの From ヘッダー フィールドで識別されます。
次に、SIP インスペクション クラス マップに第三者登録に関して一致条件を設定する例を示します。
|
|
---|---|
以前に定義したトンネル グループに属するクラス マップのトラフィックとマッチングするには、クラス マップ コンフィギュレーション モードで match tunnel-group コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address コマンドおよび match tunnel-group コマンドを class-map 、 policy-map 、 service-policy の各コマンドと併用します。フローを定義する基準は、宛先 IP アドレスです。固有の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィックのクラス全体ではなく各フローに適用されます。QoS アクション ポリシーを適用するには、 police コマンドを使用します。トンネル グループ内の各トンネルを指定されたレートに規制するには、 match tunnel-group を match flow ip destination-address と併用します。
次の例では、トンネル グループ内でフローベースのポリシングをイネーブルにして、指定のレートに各トンネルを制限する方法を示します。
|
|
---|---|
SIP ヘッダーの URI に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match uri コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] uri {sip | tel} length gt gt_bytes
no match [not] uri {sip | tel} length gt gt_bytes
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、SIP クラス マップまたは SIP ポリシー マップ内で設定できます。SIP クラス マップに入力できるエントリは 1 つのみです。
次に、SIP メッセージの URI に関して一致条件を設定する例を示します。
|
|
---|---|
RTSP メッセージの URL フィルタリングに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match url-filter コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] url-filter regex [ regex_name | class regex_class_name ]
no match [not] url-filter regex [ regex_name | class regex_class_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、RTSP インスペクション ポリシー マップに URL フィルタリングに関して一致条件を設定する例を示します。
|
|
---|---|
クラウド Web セキュリティのホワイトリストに追加するユーザやグループを指定するには、クラス マップ コンフィギュレーション モードで match user group コマンドを使用します。この match 設定を削除するには、このコマンドの no 形式を使用します。
match [ not ] {[ user username ] [ group groupname ]}
no match [ not ] {[ user username ] [ group groupname ]}
(オプション)ユーザやグループをクラウド Web セキュリティを使用してフィルタリングするように指定します。たとえばグループ「cisco」をホワイトリストに記載し、ユーザ「johncrichton」および「aerynsun」からのトラフィックをスキャンする場合、これらのユーザに match not を指定できます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
AAA ルールまたは IDFW を使用する場合、その他の場合にはサービス ポリシー ルールに一致する特定のユーザまたはグループからの Web トラフィックがスキャンのためクラウド Web セキュリティ プロキシ サーバにリダイレクトされないように ASA を設定できます。クラウド Web セキュリティ スキャンをバイパスすると、ASA はプロキシ サーバに接続せず、最初に要求された Web サーバからコンテンツを直接取得します。Web サーバから応答を受け取ると、データをクライアントに送信します。このプロセスはトラフィックの「ホワイトリスト」といいます。
ACL を使用してクラウド Web セキュリティに送信するトラフィックのクラスを設定すると、ユーザまたはグループに基づいてトラフィックを免除する同じ結果を得ることができますが、ホワイトリストを使用した方がより簡単です。ホワイトリスト機能は、ユーザおよびグループだけに基づき、IP アドレスには基づかないことに注意してください。
ホワイトリストをインスペクション ポリシー マップ( policy-map type inspect scansafe )の一部として作成しておくことで、 inspect scansafe コマンドを使用してクラウド Web セキュリティのアクションを指定する際にそのマップを使用することができます。
次に、HTTP および HTTPS インスペクション ポリシー マップの同じユーザおよびグループをホワイトリストに記載する例を示します。
|
|
---|---|
インスペクション ポリシー マップを作成すると、ルールのために必要なパラメータを設定し、任意でホワイトリストを識別できます。 |
|
FTP ユーザ名に関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match username コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [not] username regex [ regex_name | class regex_class_name ]
no match [not] username regex [ regex_name | class regex_class_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、FTP クラス マップまたは FTP ポリシー マップ内で設定できます。FTP クラス マップに入力できるエントリは 1 つのみです。
次に、FTP インスペクション クラス マップに FTP ユーザ名に関して一致条件を設定する例を示します。
|
|
---|---|
DCERPC メッセージの汎用一意識別子(UUID)に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match uuid コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、DCERPC インスペクション クラス マップまたは DCERPC インスペクション ポリシー マップで設定できます。このコマンドを使用すると、DCERPC UUID に基づいてトラフィックをフィルタ処理できます。その後、リセットしたり、一致するトラフィックをログに記録したりすることができます。
次に、DCERPC メッセージに含まれる ms-rpc-isyustemactivator UUID に関して一致条件を設定する例を示します。
|
|
---|---|
GTP インスペクションで GTP バージョンに関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match version コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] version [ version_id | range lower_range upper_range ]
no match [ not ] version [ version_id | range lower_range upper_range ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、GTP インスペクション ポリシー マップにメッセージ バージョンに関して一致条件を設定する例を示します。
|
|
---|---|
IS-IS エリアの追加マニュアル アドレスを設定するには、ルータ ISIS コンフィギュレーション モードで max-area-addresses コマンドを使用します。マニュアル アドレスをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドにより、追加マニュアル アドレスを設定することでIS-IS エリアのサイズを最大化できるようになります。各マニュアル アドレスを作成するには、追加するアドレスの数を指定し、NET アドレスを割り当てます。
サーバ グループ内の所定のサーバが停止するまでに、サーバで許容される AAA トランザクション失敗の回数を指定するには、AAA サーバ グループ コンフィギュレーション モードで max-failed-attempts コマンドを使用します。この指定を削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。
前の aaa-server コマンドに指定されているサーバ グループの特定のサーバに対して許可されている AAA トランザクションの失敗数を指定する 1 ~ 5 の範囲の整数。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ciscoasa(config)# aaa-server svrgrp1 protocol tacacs+
ciscoasa(config-aaa-server-group)# max-failed-attempts 4
ciscoasa(config-aaa-server-group)#
|
|
AAA サーバ グループ コンフィギュレーション モードを開始して、グループ固有の AAA サーバ パラメータおよびグループ内のすべてのホストに共通の AAA サーバ パラメータを設定します。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
Max-forwards ヘッダー フィールドが 0 かどうかのチェックをイネーブルにするには、パラメータ コンフィギュレーション モードで max-forwards-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
max-forwards-validation action {drop | drop-connection | reset | log} [log}
no max-forwards-validation action {drop | drop-connection | reset | log} [log}
違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、SIP インスペクション ポリシー マップに最大転送数の検証をイネーブルにする例を示します。
|
|
---|---|
HTTP ヘッダーの長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-header-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
no max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
max-header-length コマンドをイネーブルにすると、ASA は設定された制限内の HTTP ヘッダーがあるメッセージのみを許可し、そのようなヘッダーがない場合には指定されたアクションを実行します。ASA が TCP 接続をリセットし、任意で syslog エントリを作成するようにするには、 action キーワードを使用します。
次に、HTTP 要求を HTTP ヘッダーが 100 バイトを超えない要求に制限する例を示します。ヘッダーが大きすぎる場合、ASA は TCP 接続をリセットし、syslog エントリを作成します。
|
|
---|---|
LSP を ASA のデータベースで更新されずに保持できる最大時間を設定するには、ルータ コンフィギュレーション モードで max-lsp-lifetime コマンドを使用します。デフォルトの有効期間に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
更新 LSP の着信前にライフタイムを超えると、LSP がデータベースからドロップされます。
lsp-refresh-interval コマンドを使用して LSP の更新間隔を変更する場合、LSP の最大有効期間を調整する必要がある場合があります。LSP は、ライフタイムが経過するまで定期的にリフレッシュされる必要があります。 lsp-refresh-interval コマンドに対して設定される値は max-lsp-lifetime コマンドに対して設定される値よりも小さな値である必要があり、そうでない場合、リフレッシュされる前に LSP がタイムアウトします。LSP 間隔と比べて LSP ライフタイムを大幅に少なくするという設定ミスをした場合、ソフトウェアが LSP リフレッシュ間隔を減らして、LSP がタイムアウトしないようにします。
各コマンドでより大きな値を使用して、制御トラフィックを削減することができます。この場合、クラッシュしたルータや到達不能のルータからの古い LSP がより長くデータベースで保持されるようになり(そのために無駄なコストが発生する)、未検出の不適切な LSP がアクティブなままとなる(非常にまれ)リスクも増大します。
次に、40 分間の LSP ライフタイムを設定する例を示します。
ルーティング テーブルにインストールできる並列 BGP ルートの最大数を制御するには、アドレス ファミリ コンフィギュレーション モードで maximum-paths コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
maximum-paths [ibgp] number-of-paths
no maximum-paths [ibgp] number-of-paths
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
maximum-paths コマンドは、BGP ピアリング セッションに等コストまたは非等コスト マルチパス ロード シェアリングを設定するために使用されます。ルートを BGP ルーティング テーブル内のマルチパスとして導入する場合、ルートはすでにある他のルートと同じネクスト ホップを持つことはできません。BGP ルーティング プロセスは、BGP マルチパス ロード シェアリングが設定されている場合、BGP ピアに最適パスをアドバタイズします。等コスト ルートの場合、最下位のルータ ID を持つネイバーからのパスは、ベストパスとしてアドバタイズされます。
BGP 等コスト マルチパス ロード シェアリングを設定するには、すべてのパス属性を同じにする必要があります。パスの属性には、重み値、ローカル プリファレンス、自律システム パス(長さだけでなく、属性全体)、オリジン コード、MED、および Interior Gateway Protocol(IGP)のディスタンスが含まれます。
次に、2 つの並列 iBGP パスをインストールする例を示します。
|
|
---|---|
IS-IS プロトコルのマルチパス ロード シェアリングを設定するには、ルータ ISIS コンフィギュレーション モードで maximum-paths コマンドを使用します。ISIS ルートのマルチパス ロード シェアリングをディセーブルにするには、このコマンドの no 形式を使用します。
no maximum-paths number-of-paths
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
maximum-paths コマンドは、ASA でECMP が設定されている場合に ISIS マルチパス ロード シェアリングを設定するために使用されます。
次に、ルーティング テーブルの最大パス数を 8 に設定する例を示します。
WebVPN セッションに対して ASA がキャッシュできるオブジェクトの最大サイズを設定するには、キャッシュ モードで max-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
最大オブジェクト サイズは、最小オブジェクト サイズよりも大きい値である必要があります。キャッシュ圧縮がイネーブルになっている場合、ASA は、オブジェクトを圧縮してからサイズを計算します。
次に、最大オブジェクト サイズを 4000 KB に設定する例を示します。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
cache
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
要求がタイムアウトされるまでに ASA が失敗した SSO 認証を再試行できる回数を設定するには、特定の SSO サーバ タイプの webvpn コンフィギュレーション モードで max-retry-attempts コマンドを使用します。
デフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ASA は、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
いったん SSO 認証をサポートするように ASA を設定すると、任意で 2 つのタイムアウト パラメータを調整できます。
次に、webvpn-sso-siteminder コンフィギュレーション モードを開始し、my-sso-server という名前の SiteMinder SSO サーバ名に対する認証再試行を 4 つ設定する例を示します。
|
|
---|---|
HTTP 要求メッセージの URI の長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-uri-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。
max-uri-length bytes action { allow | reset | drop } [ log ]
no max-uri-length bytes action { allow | reset | drop } [ log ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
max-uri-length コマンドをイネーブルにすると、ASA は設定された制限内の URI があるメッセージのみを許可し、そのような URI がない場合には指定されたアクションを実行します。ASA に TCP 接続をリセットさせて、Syslog エントリを作成させるには、 action キーワードを使用します。
次に、HTTP 要求を URI が 100 バイトを超えない要求に制限する例を示します。URI が大きすぎる場合、ASA は TCP 接続をリセットし、syslog エントリを作成します。
|
|
---|---|
VXLAN VNI インターフェイスのマルチキャスト グループを指定するには、インターフェイス コンフィギュレーション モードで mcast-group コマンドを使用します。グループを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA がピア VTEP の背後にあるデバイスにパケットを送信する場合、ASA には次の 2 つの重要な情報が必要です。
ASA が VXLAN カプセル化 ARP ブロードキャストを VTEP に送信し、エンド ノードの MAC アドレスを取得します。
ASA は、IP マルチキャスト パケット内の VXLAN カプセル化 ARP ブロードキャスト パケットを VTEP 送信元インターフェイスを経由して送信します。この ARP 要求への応答により、ASA はリモート VTEP の IP アドレスと、リモート エンド ノードの宛先 MAC アドレスの両方を取得することができます。
ASA は VNI インターフェイスのリモート VTEP IP アドレスに対する宛先 MAC アドレスのマッピングを維持します。
VNI インターフェイスに対してマルチキャスト グループを設定しない場合は、VTEP 送信元インターフェイス設定のデフォルト グループが使用されます(使用可能な場合)( default-mcast-group コマンド)。 peer ip コマンドを使用して VTEP 送信元インターフェイスに対して手動で VTEP ピア IP を設定した場合、VNI インターフェイスに対してマルチキャスト グループを指定することはできません。マルチキャストは、マルチ コンテキスト モードではサポートされていません。
次に、VNI 1 インターフェイスを設定し、マルチキャスト グループ 236.0.0.100 を指定する例を示します。
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# mcast-group 236.0.0.100
GTP インスペクションで IMSI プレフィックス フィルタリングのモバイル国コードおよびモバイル ネットワーク コードを識別するには、ポリシー マップ パラメータ コンフィギュレーション モードで mcc コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
mcc country_code mnc network_code
no mcc country_code mnc network_code
モバイル国コードを識別するゼロ以外の 3 桁の値。エントリが 1 桁または 2 桁の場合には、その先頭に 0 が付加されて 3 桁の値が作成されます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IMSI プレフィックス フィルタリングに使用されます。受信パケットの IMSI の MCC および MNC は、このコマンドで設定された MCC および MNC と比較され、一致しない場合はドロップされます。
このコマンドは、IMSI プレフィックス フィルタリングをイネーブルにするために使用する必要があります。複数のインスタンスを設定して許可する MCC と MNC の組み合わせを指定できます。デフォルトでは、ASA は MNC と MCC の組み合わせが有効であるかどうかをチェックしないため、設定した組み合わせが有効であるかどうかを確認する必要があります。MCC および MNC コードの詳細については、ITU E.212 勧告『 Identification Plan for Land Mobile Stations 』を参照してください。
次に、MCC を 111、MNC を 222 として、IMSI プレフィックス フィルタリングのトラフィックを識別する例を示します。
|
|
---|---|
電話プロキシ機能へのメディア接続に使用するメディア ターミネーション インスタンスを指定するには、電話プロキシ コンフィギュレーション モードで media-termination コマンドを使用します。
電話プロキシ コンフィギュレーションからメディア ターミネーション アドレスを削除するには、このコマンドの no 形式を使用します。
media-termination instance_name
no media-termination instance_name
メディア ターミネーション アドレスを使用するインターフェイスの名前を指定します。1 つのインターフェイスに設定できるメディア ターミネーション アドレスは 1 つだけです。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、メディア ターミネーション アドレスで NAT を使用できるように更新されました。 rtp-min-port キーワードおよび rtp-max-ports キーワードがコマンド構文から削除され、独立したコマンドとなりました。 |
|
ASA では、次の基準を満たすメディア ターミネーションの IP アドレスが設定されている必要があります。
メディア ターミネーション インスタンスでは、すべてのインターフェイスに対してグローバルなメディア ターミネーション アドレスを設定することも、インターフェイスごとにメディア ターミネーション アドレスを設定することもできます。しかし、グローバルなメディア ターミネーション アドレスと、インターフェイスごとに設定するメディア ターミネーション アドレスは同時に使用できません。
複数のインターフェイスに対してメディア ターミネーション アドレスを設定する場合、IP 電話との通信時に ASA で使用するアドレスを、インターフェイスごとに設定する必要があります。
IP アドレスは、そのインターフェイスのアドレス範囲内で使用されていない、パブリックにルーティング可能な IP アドレスです。
メディア ターミネーション インスタンスの作成時およびメディア ターミネーション アドレスの設定時に満たす必要がある前提条件の完全なリストについては、CLI 設定ガイドを参照してください。
次に、media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。
|
|
---|---|
メディア タイプを銅線またはファイバ ギガビット イーサネットに設定するには、インターフェイス コンフィギュレーション モードで media-type コマンドを使用します。ASA 5500 シリーズ適応型セキュリティ アプライアンスの 4GE SSM でファイバ SFP コネクタが使用可能になります。メディア タイプ設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
sfp 設定は、固定速度(1000 Mbps)を使用するため、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされません。
|
|
---|---|
コンテキストをリソース クラスに割り当てるには、コンテキスト コンフィギュレーション モードで member コマンドを使用します。コンテキストをリソース クラスから削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストが ASA のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。ASA では、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。
次に、コンテキスト テストをゴールド クラスに割り当てる例を示します。
|
|
---|---|
物理インターフェイスを冗長インターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで member-interface コマンドを使用します。このコマンドは、冗長インターフェイス タイプでのみ使用できます。2 つのメンバ インターフェイスを冗長インターフェイスに割り当てることができます。メンバ インターフェイスを削除するには、このコマンドの no 形式を使用します。冗長インターフェイスから両方のメンバ インターフェイスは削除できません。冗長インターフェイスには、少なくとも 1 つのメンバ インターフェイスが必要です。
member-interface physical_interface
no member-interface physical_interface
gigabit ethernet0/1 などのインターフェイス ID を識別します。有効値については、 interface コマンドを参照してください。両方のメンバー インターフェイスが同じ物理タイプである必要があります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
両方のメンバ インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。
名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず no nameif コマンドを使用して名前を削除する必要があります。
冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが物理パラメータ( speed コマンド、 duplex コマンド、 description コマンド、 shutdown コマンドなど)です。また、 default や help などの実行時コマンドを入力することもできます。
アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。
アクティブ インターフェイスを変更するには、 redundant-interface コマンドを入力します。
冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合は、同じ MAC アドレスが維持されるため、トラフィックが妨げられることはありません。
|
|
---|---|
このユーザがメンバであるグループ名のリストを指定するには、ユーザ名属性コンフィギュレーション モードで memberof コマンドを使用します。この属性をコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
memberof group_1 [,group_2, ... group_n ]
no memberof group_1 [,group_2, ... group_n ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、グローバル コンフィギュレーション モードを開始し、ユーザ名を newuser という名前で作成し、newuser が DevTest グループおよび管理グループのメンバであることを指定する例を示します。
|
|
---|---|
メモリ アプリケーション キャッシュのしきい値を有効にするには、コンフィギュレーション モードで memory appcache-threshold enable コマンドを使用します。 memory appcache-threshold を無効にするには、このコマンドの no 形式を使用します。
memory appcache-threshold enable
no memory appcache-threshold enable
この memory appcache-threshold enable コマンドは、Cisco ASA 5585-X FirePOWER SSP-60 (5585-60)でデフォルトで有効になっています。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
memory appcache-threshold を有効にすると、特定のメモリしきい値に達した後、アプリケーション キャッシュの割り当てが制限されるため、デバイスの管理性と安定性を維持するためのメモリが予約ができます。
ASA 9.10.1 リリースでは、memory appcache-threshold 機能が 5585-60 に実装され、through-the-box 接続のみに対して、アプリケーション キャッシュの割り当てが制限されていました。
このコマンドは、システム メモリの 85 % にアプリケーション キャッシュの割り当てしきい値を設定します。メモリ使用率がしきい値レベルに達すると、デバイスへの新しい through-the-box 接続がドロップされます。
このコマンドの no 形式を使用すると、検証なしの使用のために、すべてのメモリ割り当て制限が解放されます。現在の統計カウンタは、 clear memory appcache-threshold コマンドが実行されるまで、トラブルシューティング履歴を維持するために保持されます。
9.10.1 リリースでは、SNP Conn Core 00 アプリケーション キャッシュ タイプのみが管理されます。この名前は、「show mem app-cache」の出力と一致しています。
次に、appcache-memory しきい値を有効にする例を示します。
|
|
---|---|
delayed free-memory poisoner ツールをイネーブルにするには、特権 EXEC モードで memory delayed-free-poisoner enable コマンドを使用します。delayed free-memory poisoner ツールをディセーブルにするには、このコマンドの no 形式を使用します。delayed free-memory poisoner ツールを使用すると、アプリケーションによってメモリが解放された後、解放メモリの変化をモニタできます。
memory delayed-free-poisoner enable
no memory delayed-free-poisoner enable
memory delayed-free-poisoner enable コマンドは、デフォルトではディセーブルになっています。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
delayed free-memory poisoner ツールをイネーブルにすると、メモリ使用状況およびシステム パフォーマンスに大きな影響を及ぼします。このコマンドは、Cisco TAC の指導の下でのみ使用する必要があります。システムの使用率が高い間は、実働環境では実行しないでください。
このツールをイネーブルにすると、ASA で実行されているアプリケーションによるメモリ解放要求が FIFO キューに書き込まれます。要求がキューに書き込まれるたびに、それに伴うメモリ バイトのうち、下位メモリ管理には必要ないバイトが、値 0xcc で書き込まれて「改ざん」されます。
メモリ解放要求は、空きメモリ プールにある量よりも多くのメモリがアプリケーションで必要になるまで、キューに残ります。メモリが必要になると、最初のメモリ解放要求がキューから取り出され、改ざんされたメモリが検証されます。
メモリに変更がない場合、メモリは下位メモリ プールに返され、ツールは最初に要求を行ったアプリケーションからのメモリ要求を再発行します。この処理は、要求元のアプリケーションに十分なメモリが解放されるまで続きます。
改ざんされたメモリに変更があった場合、システムは強制的にクラッシュし、クラッシュの原因を突き止めるための診断出力を作成します。
delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。また、 memory delayed-free-poisoner validate コマンドを使用して、検証を手動で開始できます。
このコマンドの no 形式は、要求で参照されるキュー内のすべてのメモリを検証なしで空きメモリ プールに返し、統計カウンタをクリアします。
次に、delayed free-memory poisoner ツールをイネーブルにする例を示します。
次に、delayed free-memory poisoner ツールが不正なメモリ再利用を検出した場合の出力例を示します。
表 11-2 に、出力の重要な部分を示します。
|
|
---|---|
memory delayed-free-poisoner キューのすべての要素を強制的に検証するには、特権 EXEC モードで memory delayed-free-poisoner validate コマンドを使用します。
memory delayed-free-poisoner validate
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
memory delayed-free-poisoner validate コマンドを発行する場合は、事前に memory delayed-free-poisoner enable コマンドを使用して delayed free-memory poisoner ツールをイネーブルにする必要があります。
memory delayed-free-poisoner validate コマンドにより、 memory delayed-free-poisoner キューの各要素が検証されます。要素に予期しない値が含まれている場合、システムは強制的にクラッシュし、クラッシュの原因を突き止めるための診断出力を作成します。予期しない値がない場合、要素はキューに残り、ツールによって正常に処理されます。 memory delayed-free-poisoner validate コマンドを実行しても、キュー内のメモリはシステム メモリ プールに返されません。
(注) delayed free-memory poisoner ツールは、定期的にキューのすべての要素を自動的に検証します。
次に、 memory delayed-free-poisoner キューのすべての要素を検証する例を示します。
|
|
---|---|
コール トレースまたは発信元 PC 用にプログラム メモリの特定の範囲を設定して、メモリの問題を容易に特定できるようにするには、特権 EXEC モードで memory caller-address コマンドを使用します。発信元 PC は、メモリ割り当てプリミティブを呼び出したプログラムのアドレスです。アドレス範囲を削除するには、このコマンドの no 形式を使用します。
memory caller-address startPC endPC
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
メモリの問題を特定のメモリ ブロックに限定するには、 memory caller-address コマンドを使用します。
場合によっては、メモリ割り当てプリミティブの実際の発信元 PC が、プログラムの多くの場所で使用されている既知のライブラリ関数であることがあります。プログラムの個々の場所を特定するには、そのライブラリ関数の開始プログラム アドレスおよび終了プログラム アドレスを設定し、それによってライブラリ関数の呼び出し元のプログラム アドレスを記録します。
(注) 発信元アドレスの追跡をイネーブルにすると、ASA のパフォーマンスが一時的に低下することがあります。
次に、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドによる表示結果の例を示します。
|
|
---|---|
メモリ ロギングをイネーブルにするには、グローバル コンフィギュレーション モードで memory logging コマンドを使用します。メモリ ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
memory logging [1024-4194304] [ wrap ] [ size [1-2147483647]] [ process process-name ] [ context context-name ]
(注) Checkheaps プロセスは、非標準の方法でメモリ アロケータを使用するため、プロセスとして完全に無視されます。 |
|
バッファのラップ時にバッファを保存します。保存できるのは一度だけです。複数回ラップされると上書きされる可能性があります。バッファがラップすると、そのデータの保存をイネーブルにするトリガーがイベント マネージャに送信されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
(config)#
memory logging 202980
|
|
---|---|
メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにするには、特権 EXEC モードで memory profile enable コマンドを使用します。メモリのプロファイルリングをディセーブルにするには、このコマンドの no 形式を使用します。
memory profile enable peak peak_value
no memory profile enable peak peak_value
メモリ使用状況のスナップショットを使用率ピーク バッファに保存するメモリ使用状況しきい値を指定します。このバッファの内容を後で分析して、システムのピーク時のメモリ ニーズを判断できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
メモリ プロファイリングをイネーブルにする前に、 memory profile text コマンドを使用して、プロファイリングするメモリ テキスト範囲を設定する必要があります。
clear memory profile コマンドを入力するまで、一部のメモリはプロファイリング システムによって保持されます。 show memory status コマンドの出力を参照してください。
(注) メモリ プロファイリングをイネーブルにすると、ASA のパフォーマンスが一時的に低下する場合があります。
次に、メモリ プロファイリングをイネーブルにする例を示します。
|
|
---|---|
プロファイリングするメモリのプログラム テキスト範囲を設定するには、特権 EXEC モードで memory profile text コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
memory profile text { startPC endPC | all resolution }
no memory profile text { startPC endPC | all resolution }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
テキスト範囲が小さい場合、精度を「4」にすると、命令への呼び出しが正常に追跡されます。テキスト範囲が大きい場合、精度を粗くしても初回通過には十分であり、範囲は次回の通過でさらに小さな領域にまで絞り込むことができます。
メモリ プロファイリングを開始するには、 memory profile text コマンドでテキスト範囲を入力した後、続けて memory profile enable コマンドを入力する必要があります。デフォルトでは、メモリプロファイリングはディセーブルになっています。
(注) メモリ プロファイリングをイネーブルにすると、ASA のパフォーマンスが一時的に低下する場合があります。
次に、精度を 4 にして、プロファイリングするメモリのテキスト範囲を設定する例を示します。
次に、メモリ プロファイリングのテキスト範囲のコンフィギュレーションおよびステータス(OFF)を表示する例を示します。
(注) メモリプロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。デフォルトでは、メモリ プロファイリングはディセーブルになっています。
|
|
---|---|
WebVPN のさまざまなコンポーネントがアクセスできる ASA 上のメモリ容量を設定するには、webvpn モードで memory-size コマンドを使用します。設定されたメモリ容量(KB 単位)または合計メモリの割合として、メモリ容量を設定できます。設定されたメモリ サイズを削除するには、このコマンドの no 形式を使用します。
(注) 新しいメモリ サイズ設定を有効にするには、リブートが必要です。
memory-size { percent | kb } size
no memory-size [{ percent | kb } size ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
設定したメモリ容量は、ただちに割り当てられます。このコマンドを設定する前に、show memory を使用して、使用可能なメモリ容量を確認してください。設定に合計メモリの割合を使用する場合は、設定した値が使用可能な割合を下回っていることを確認してください。設定にキロバイトの値を使用する場合は、設定した値がキロバイト単位の使用可能なメモリ容量を下回っていることを確認してください。
次に、WebVPN メモリ サイズを 30 % に設定する例を示します。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
memory-size percent 30
|
|
---|---|
ヒープ メモリ要求の追跡をイネーブルにするには、特権 EXEC モードで memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ヒープメモリ要求を追跡するには、 memory tracking enable コマンドを使用します。メモリ追跡をディセーブルにするには、このコマンドの no 形式を使用します。
メモリ追跡をイネーブルにする前に、app-agent heartbeat コマンドのデフォルトの間隔とカウント値を次のように変更してください。
次に、ヒープ メモリ要求の追跡をイネーブルにする例を示します。
|
|
---|---|
システム メモリが事前に定義されたレベルまで使用されたときに、自動的にリブートするか、またはクラッシュするように ASA を設定するには、memory utilization コマンドを使用します。メモリ使用状況が設定されたしきい値の上限に到達すると、システムは自動的にリロードします。しきい値は 90 ~ 99 % の範囲です。
memory-utilization reload-threshold <%>
memory-utilization reload-threshold <%> [crashinfo]
reload-threshold |
|
crashinfo |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
一般にメモリ使用状況が極めて高くなる環境に遭遇することがわかっているシステム上にこの機能を設定しないことを推奨します。システム リロードの前にクラッシュ情報ファイルを生成するには、オプションの crashinfo 引数を使用します。
次に、ASA 上にメモリ使用状況機能を設定する例を示します。
|
|
---|---|
ダウンロード可能 ACL と、RADIUS パケットから Cisco AV ペアで受信した ACL をマージするには、AAA サーバ グループ コンフィギュレーション モードで merge-dacl コマンドを使用します。ダウンロード可能 ACL と、RADIUS パケットから Cisco AV ペアで受信した ACL のマージをディセーブルにするには、このコマンドの no 形式を使用します。
merge dacl { before_avpair | after_avpair }
デフォルト設定は no merge dacl で、ダウンロード可能な ACL は Cisco AV ペア ACL と結合されません。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、ダウンロード可能 ACL のエントリが Cisco AV ペアのエントリの前に配置されるように指定しています。
ciscoasa(config)# aaa-server servergroup1 protocol radius
|
|
---|---|
設定された最大の長さを満たさない DNS パケットをフィルタリングするには、パラメータ コンフィギュレーション モードで message-length コマンドを使用します。コマンドを削除するには、 no 形式を使用します。
message-length maximum { length | client { length | auto } | server { length | auto }}
no message-length maximum { length | client { length | auto } | server { length | auto }}
クライアント DNS メッセージの最大許容バイト数(512 ~ 65535)を指定します。最大長をリソース レコードと同じ値に設定する場合は、 auto を指定します。 |
|
サーバ DNS メッセージの最大許容バイト数(512 ~ 65535)を指定します。最大長をリソース レコードと同じ値に設定する場合は、 auto を指定します。 |
デフォルトのインスペクションでは、DNS メッセージの最大長は 512、クライアントの長さは auto に設定されます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、DNS インスペクション ポリシー マップで DNS メッセージの最大長を設定する例を示します。
|
|
---|---|
M3UA メッセージに含まれる特定のフィールドの内容を検証するには、パラメータ コンフィギュレーション モードで message-tag-validation コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect m3ua コマンドを入力します。設定を削除するには、コマンドの no 形式を入力します。
message-tag-validation { dupu | error | notify}
no message-tag-validation { dupu | error | notify}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
特定のフィールドの内容がチェックされ、指定された M3UA メッセージ タイプに関して検証されるようにするには、このコマンドを使用します。検証で合格しなかったメッセージはドロップされます。
次に、M3UA インスペクションでの DUPU、エラー、および通知メッセージの検証をイネーブルにする例を示します。
|
|
---|---|
すべての IS-IS インターフェイスのメトリック値をグローバルに変更するには、ルータ ISIS コンフィギュレーション モードで metric コマンドを使用します。メトリック値をディセーブルにして、デフォルト メトリック値の 10 にするには、このコマンドの no 形式を使用します。
metric default-value [ level-1 | level-2 ]
no metric default-value [ level-1 | level-2 ]
リンクに割り当てられ、宛先へのリンクを介したパス コストを計算するために使用されるメトリック値。指定できる範囲は 1 ~ 63 です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
すべての IS-IS インターフェイスのデフォルト メトリック値を変更する必要がある場合、すべてのインターフェイスをグローバルで設定するために metric コマンドを使用することを推奨します。メトリック値がグローバルに設定されている場合、新規値を設定せずに誤って設定済みのメトリックをインターフェイスから削除したり、デフォルト メトリック 10 に戻るよう誤ってインターフェイスに許可したりするなどの、ユーザのエラーを防ぐことができるため、ネットワーク内で優先度の高いインターフェイスとなります。
metric コマンドを入力して、デフォルトの IS-IS インターフェイス メトリック値を変更すると、イネーブルになっているインターフェイスでデフォルト値 10 ではなく新規値が使用されます。パッシブ インターフェイスでは、メトリック値 0 が引き続き使用されます。
次に、グローバル メトリック 111 で IS-IS インターフェイスを設定する例を示します。
新スタイルのタイプ、長さ、値(TLV)オブジェクトだけを生成して受け入れるように IS-IS が動作するルータを設定するには、ルータ ISIS コンフィギュレーション モードで metric-style コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
metric-style [narrow | transition | wide] [ level-1 | level-2 | level-1-2 ]
no metric [ level-1 | level-2 | level-1-2 ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
metric-style wide コマンドを入力する場合、ASA は新スタイル TLV だけを生成し、受け入れます。したがって、ASA で使用されるメモリやリソースは、旧スタイルと新スタイルの両方の TLV を生成した場合よりも少なくなります。
次に、レベル 1 で新スタイルの TLV を生成し、受け入れるように ASA を設定する例を示します。