Cisco ASA シ リ ーズ コ マン ド リ フ ァ レ ンス、 T ～ Z コ マン ド および ASASM 用 IOS コ マン ド

map_name

BGP ルーティングテーブル（RIB）に追加する内容を制御する必要があるルートマップの名前。

filter

（オプション）ルートマップが BGP ルートのメトリックだけでなく、そのルートが RIB にダウンロードされるかどうかも制御することを指定します。BGP ルートは、ルート マップで拒否されている場合、RIB にダウンロードされません。

9.2(1)

このコマンドが追加されました。

address-family

アドレス ファミリ コンフィギュレーション モードを開始します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義します。

9.6(2)

このコマンドが追加されました。

inspect dns

DNS インスペクションをイネーブルにします。

policy-map type inspect dns

DNS インスペクション ポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

map_name

TCP マップ名を指定します。

7.0(1)

このコマンドが追加されました。

7.2(4)/8.0(4)

invalid-ack 、 seq-past-window 、および synack-data サブコマンドが追加されました。

check-retransmission

再送信データのチェックをイネーブルまたはディセーブルにします。

checksum-verification

チェックサムの検証をイネーブルまたはディセーブルにします。

exceed-mss

ピアによって設定された MSS を超えるパケットを許可またはドロップします。

invalid-ack

無効な ACK を含むパケットに対するアクションを設定します。

queue-limit

TCP 接続のキューに入れることができる順序が不正なパケットの最大数を設定します。このコマンドは、ASA 5500 シリーズ ASA でのみ使用可能です。PIX 500 シリーズ ASA ではキュー制限は 3 で、この値は変更できません。

reserved-bits

ASA に予約済みフラグ ポリシーを設定します。

seq-past-window

パストウィンドウ シーケンス番号を含むパケットに対するアクションを設定します。つまり、受信した TCP パケットのシーケンス番号が、TCP 受信ウィンドウの右端より大きい場合です。

synack-data

データを含む TCP SYNACK パケットに対するアクションを設定します。

syn-data

データを持つ SYN パケットを許可またはドロップします。

tcp-options

TCP ヘッダーの TCP オプション フィールドの内容に基づいて、パケットのアクションを設定します。

ttl-evasion-protection

ASA によって提供された TTL 回避保護をイネーブルまたはディセーブルにします。

urgent-flag

ASA を通じて URG ポインタを許可またはクリアします。

window-variation

予期せずウィンドウ サイズが変更された接続をドロップします。

class（ポリシー マップ）

トラフィック分類に使用するクラス マップを指定します。

clear configure tcp-map

TCP マップのコンフィギュレーションをクリアします。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config tcp-map

TCP マップ コンフィギュレーションに関する情報を表示します。

tcp-options

selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。

アクション

オプションのために実行するアクションです。アクションは次のとおりです。

• allow [ multiple ]：オプションを含むパケットを許可します。9.6(2) 以降では、 allow はこのタイプの単一のオプションを含むパケットを許可することを意味します。これは、すべての名前付きオプションのデフォルトです。オプションのインスタンスが複数含まれていてもパケットを許可する場合は、 multiple キーワードを追加します。 multiple キーワードは、 range と一緒には使用できません。
• maximum limit ： mss 専用。最大セグメント サイズを、示された制限（68 ～ 65535）に設定します。デフォルトの TCP MSS は、 sysopt connection tcpmss コマンドで定義されます。
• clear ：このタイプのオプションをヘッダーから削除して、パケットを許可します。これは、 range キーワードで設定できるすべての番号付きオプションのデフォルトです。タイムスタンプ オプションを消去すると、PAWS と RTT がディセーブルになります。
• drop ：このオプションを含むパケットをドロップします。このアクションは、 md5 および range だけで利用可能です。

md5

MD5 オプションのアクションを設定します。

mss

最大セグメント サイズ オプションのアクションを設定します。

range lower upper

範囲の下限および上限内の番号付きオプションのアクションで設定します。単一の番号付きオプションのアクションを設定するには、範囲の下限と上限に同じ数値を入力します。

（9.6(2) 以降）有効範囲は、6 ～ 7、9 ～ 18、および 20 ～ 255 以内です。

（9.6(1) 以降）有効範囲は、6 ～ 7 および 9 ～ 255 以内です。

selective-ack

選択的確認応答メカニズム（SACK）オプションのアクションを設定します。

timestamp

タイムスタンプ オプションのアクションを設定します。タイムスタンプ オプションをクリアすると、PAWS と RTT がディセーブルになります。

window-scale

ウィンドウ スケール メカニズム オプションのアクションを設定します。

7.0(1)

このコマンドが追加されました。

9.6(2)

名前付きオプションのデフォルト処理は、指定されたタイプのオプションを 1 つ含む場合はパケットを許可し、そのタイプのオプションが複数ある場合はパケットをドロップするように変更されました。また、 md5 、 mss 、 allow multiple 、および mss maximum キーワードが追加されました。MD5 オプションのデフォルトは、クリアから許可に変更されました。

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

interface_name

Telnet を許可するインターフェイスの名前を指定します。VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスで Telnet をイネーブルにできません。物理または仮想インターフェイスを指定できます。

ipv4_address mask

ASA への Telnet が認可されているホストまたはネットワークの IPv4 アドレス、およびサブネット マスクを指定します。

ipv6_address / prefix

ASA への Telnet が認可されている IPv6 アドレスおよびプレフィックスを指定します。

7.0(1)

このコマンドが追加されました。

9.0(2)、9.1(2)

デフォルト パスワードの「cisco」は削除されました。 password コマンドを使用して能動的にログイン パスワードを設定する必要があります。

9.9.(2)

仮想インターフェイスが指定可能になりました。

clear configure telnet

コンフィギュレーションから Telnet 接続を削除します。

kill

Telnet セッションを終了します。

show running-config telnet

ASA への Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します。

telnet timeout

Telnet タイムアウトを設定します。

who

ASA 上のアクティブ Telnet 管理セッションを表示します。

minutes

Telnet セッションがアイドルになってから、ASA がセッションを閉じるまでの分数。有効な値は、1 ～ 1440 分です。デフォルトは 5 分です。

7.0(1)

このコマンドが追加されました。

clear configure telnet

コンフィギュレーションから Telnet 接続を削除します。

kill

Telnet セッションを終了します。

show running-config telnet

ASA への Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します。

telnet

ASA への Telnet アクセスをイネーブルにします。

who

ASA 上のアクティブ Telnet 管理セッションを表示します。

9.4(1)

このコマンドが追加されました。

clear configure terminal

端末の表示幅設定をクリアします。

pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

モニタ

現在の CLI セッションでの syslog メッセージの表示をイネーブルにします。

no monitor

現在の CLI セッションでの syslog メッセージの表示をディセーブルにします。

7.0(1)

このコマンドが追加されました。

clear configure terminal

端末の表示幅設定をクリアします。

pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal pager

Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

[ lines ] lines

「---More---」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。デフォルトは 24 行です。0 は、ページの制限がないことを示します。指定できる範囲は 0 ～ 2147483647 行です。 lines キーワードは任意であり、このキーワードの有無にかかわらずコマンドは同一です。

7.0(1)

このコマンドが追加されました。

clear configure terminal

端末の表示幅設定をクリアします。

pager

Telnet セッションで「---More---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal

Telnet セッションでの syslog メッセージの表示を許可します。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

columns

端末の幅をカラム数で指定します。デフォルトは 80 です。指定できる範囲は 40 ～ 511 です。

7.0(1)

このコマンドが追加されました。

clear configure terminal

端末の表示幅設定をクリアします。

show running-config terminal

現在の端末設定を表示します。

terminal

端末回線パラメータを特権 EXEC モードで設定します。

ad-agent

AAA AD エージェント サーバへの接続をテストします。

authentication

AAA サーバの認証機能をテストします。

authorization

AAA サーバのレガシー VPN 認可機能をテストします。

host ip_address

サーバの IP アドレスを指定します。コマンドで IP アドレスを指定しないと、入力を求めるプロンプトが表示されます。

password password

ユーザ パスワードを指定します。コマンドでパスワードを指定しないと、入力を求めるプロンプトが表示されます。

server_tag

aaa-server コマンドで設定した AAA サーバ タグを指定します。

username username

AAA サーバの設定をテストするために使用するアカウントのユーザ名を指定します。ユーザ名が AAA サーバに存在することを確認してください。存在しないと、テストは失敗します。コマンドでユーザ名を指定しないと、入力を求めるプロンプトが表示されます。

7.0(4)

このコマンドが追加されました。

8.4(2)

ad-agent キーワードが追加されました。

aaa authentication console

管理トラフィックの認証を設定します。

aaa authentication match

通過するトラフィックの認証を設定します。

aaa-server

AAA サーバ グループを作成します。

aaa-server host

AAA サーバをサーバ グループに追加します。

8.4(2)

このコマンドが追加されました。

aaa-server

AAA サーバ グループを作成し、グループ固有の AAA サーバ パラメータとすべてのグループ ホストに共通の AAA サーバ パラメータを設定します。

clear configure user-identity

アイデンティティ ファイアウォール機能の設定をクリアします。

8.0(2)

このコマンドが追加されました。

dynamic-access-policy-record

DAP レコードを作成します。

attributes

ユーザ属性値ペアを指定できる属性モードを開始します。

display

現在の属性リストを表示します。

AAA attribute value

デバイスの DAP サブシステムは、各レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに、これらの値を参照します。

– [AAA Attribute]：AAA 属性を特定します。

– [Operation Value]：属性を指定された値に対して =/!= として指定します。

endpoint attribute value

エンドポイント属性を指定します。

– [Endpoint ID]：エンドポイント属性 ID を入力します。

– [Name/Operation/Value]：

8.4(4)

このコマンドが追加されました。

input_text

正規表現と一致させるテキストを指定します。

regular_expression

最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては、 regex コマンドを参照してください。

7.2(1)

このコマンドが追加されました。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

class-map type regex

正規表現クラス マップを作成します。

regex

正規表現を作成します。

server-name

テストする SSO サーバの名前を指定します。

user-name

テストする SSO サーバのユーザの名前を指定します。

7.1(1)

このコマンドが追加されました。

9.5(2)

SAML 2.0 がサポートされたため、このコマンドは廃止されました。

max-retry-attempts

ASA が、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

web-agent-url

ASA が SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

auto

secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番めの色が黒の場合、この値は白となります。

black

タイトルバーのテキストのデフォルト色は白です。

white

色を黒に変更できます。

7.0(1)

このコマンドが追加されました。

secondary-text-color

WebVPN ログイン ページ、ホームページ、およびファイル アクセス ページのセカンダリ テキストの色を設定します。

number

設定するブロックサイズの値を指定します。この値は、513 ～ 8192 オクテットの範囲で指定できます。ブロックサイズの新しいデフォルト設定は、1456 オクテットです。

9.13(1)

このコマンドが追加されました。

show running-config tftp blocksize

設定したブロックサイズの値（デフォルト値を除く）を表示します。

filename

パスとファイル名を指定します。

interface_name

ゲートウェイ インターフェイス名を指定します。最高のセキュリティ インターフェイス以外のインターフェイスを指定した場合は、そのインターフェイスがセキュアではないことを示す警告メッセージが表示されます。

サーバ

TFTP サーバの IP アドレスまたは名前を設定します。IPv4 アドレスまたは IPv6 アドレスを入力できます。

7.0(1)

現在ではゲートウェイ インターフェイスが必要です。

configure net

指定した TFTP サーバとパスからコンフィギュレーションをロードします。

show running-config tftp-server

デフォルトの TFTP サーバ アドレスとコンフィギュレーション ファイルのディレクトリを表示します。

ip_address

TFTP サーバのアドレスを指定します。

interface interface

TFTP サーバが存在するインターフェイスを指定します。これは、TFTP サーバの実アドレスにする必要があります。

port

（任意）これは、TFTP サーバが TFTP 要求をリッスンするポートです。デフォルトの TFTP ポート 69 でない場合に、設定する必要があります。

8.0(4)

このコマンドが追加されました。

9.4(1)

このコマンドは、すべての phone-proxy モード コマンドとともに廃止されました。

phone-proxy

Phone Proxy インスタンスを設定します。

• DoS 攻撃の検出
• 不正なパケット形式
• 接続制限の超過
• 疑わしい ICMP パケットの検出

直前の 600 秒間で 100 ドロップ/秒。

直近の 20 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直近の 120 秒間で 320 ドロップ/秒。

スキャン攻撃の検出

直前の 600 秒間で 5 ドロップ/秒。

直近の 20 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 4 ドロップ/秒。

直近の 120 秒間で 8 ドロップ/秒。

不完全セッションの検出（TCP SYN 攻撃の検出や戻りデータなし UDP セッション攻撃の検出など）（複合）

直前の 600 秒間で 100 ドロップ/秒。

直近の 20 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直近の 120 秒間で 160 ドロップ/秒。

アクセス リストによる拒否

直前の 600 秒間で 400 ドロップ/秒。

直近の 20 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直近の 120 秒間で 640 ドロップ/秒。

• 基本ファイアウォール検査に不合格
• アプリケーション インスペクションに不合格のパケット

直前の 600 秒間で 400 ドロップ/秒。

直近の 20 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直近の 120 秒間で 1280 ドロップ/秒。

インターフェイスの過負荷

直前の 600 秒間で 2000 ドロップ/秒。

直近の 20 秒間で 8000 ドロップ/秒。

直前の 3600 秒間で 1600 ドロップ/秒。

直近の 120 秒間で 6400 ドロップ/秒。

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

clear threat-detection rate

基本脅威検出の統計情報をクリアします。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出の統計情報を表示します。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

acl-drop

アクセス リストによる拒否のためにドロップされたパケットのレート制限を設定します。

average-rate av_rate

平均レート制限を 0 ～ 2147483647 ドロップ/秒の範囲で設定します。

bad-packet-drop

パケット形式に誤りがあって（invalid-ip-header や invalid-tcp-hdr-length など）拒否されたためにドロップされたパケットのレート制限を設定します。

burst-rate burst_rate

バースト レート制限を 0 ～ 2147483647 ドロップ/秒の範囲で設定します。バースト レートは、 N 秒ごとの平均レートとして計算されます。 N はバースト レート間隔です。バースト レート間隔は、 rate-interval rate_interval 値の 1/30 または 10 秒のうち大きい方の値になります。

conn-limit-drop

接続制限（システム全体のリソース制限とコンフィギュレーションで設定される制限の両方）を超えたためにドロップされたパケットのレート制限を設定します。

dos-drop

DoS 攻撃（無効な SPI、ステートフル ファイアウォール チェック不合格など）を検出したためにドロップされたパケットのレート制限を設定します。

fw-drop

基本ファイアウォール チェックに不合格だったためにドロップされたパケットのレート制限を設定します。このオプションは、このコマンドのファイアウォールに関連したパケット ドロップをすべて含む複合レートです。 interface-drop 、 inspect-drop 、 scanning-threat など、ファイアウォールに関連しないドロップ レートは含まれません。

icmp-drop

不審な ICMP パケットが検出されたためにドロップされたパケットのレート制限を設定します。

inspect-drop

パケットがアプリケーション インスペクションに失敗したためにドロップされたパケットのレート制限を設定します。

interface-drop

インターフェイスの過負荷が原因でドロップされたパケットのレート制限を設定します。

rate-interval rate_interval

平均レート間隔を 600 ～ 2592000 秒（30 日）の範囲で設定します。レート間隔は、ドロップ数の平均値を求める期間を決定するために使用されます。また、バーストしきい値レート間隔を決定します。

scanning-threat

スキャン攻撃が検出されたためにドロップされたパケットのレート制限を設定します。このオプションでは、たとえば最初の TCP パケットが SYN パケットでない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃をモニタします。完全スキャン脅威検出（ threat-detection scanning-threat コマンドを参照）では、このスキャン攻撃レートの情報を取得し、その情報をもとにして、たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します。

syn-attack

TCP SYN 攻撃や戻りデータなし UDP セッション攻撃など、不完全なセッションが原因でドロップされたパケットのレート制限を設定します。

• dos-drop
• bad-packet-drop
• conn-limit-drop
• icmp-drop

直前の 600 秒間で 100 ドロップ/秒。

直近の 20 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直近の 120 秒間で 400 ドロップ/秒。

scanning-threat

直前の 600 秒間で 5 ドロップ/秒。

直近の 20 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直近の 120 秒間で 10 ドロップ/秒。

syn-attack

直前の 600 秒間で 100 ドロップ/秒。

直近の 20 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直近の 120 秒間で 200 ドロップ/秒。

acl-drop

直前の 600 秒間で 400 ドロップ/秒。

直近の 20 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直近の 120 秒間で 800 ドロップ/秒。

• fw-drop
• inspect-drop

直前の 600 秒間で 400 ドロップ/秒。

直近の 20 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直近の 120 秒間で 1600 ドロップ/秒。

interface-drop

直前の 600 秒間で 2000 ドロップ/秒。

直近の 20 秒間で 8000 ドロップ/秒。

直近の 3600 秒間で 2000 ドロップ/秒

直近の 120 秒間で 8000 ドロップ/秒。

8.0(2)

このコマンドが追加されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

clear threat-detection rate

基本脅威検出の統計情報をクリアします。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出の統計情報を表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

duration seconds

攻撃元ホストの回避期間を 10 ～ 2592000 秒の範囲で設定します。デフォルトの期間は 3600 秒（1 時間）です。

except

IP アドレスを回避対象から除外します。このコマンドを複数回入力し、複数の IP アドレスまたはネットワーク オブジェクト グループを特定して遮断対象から除外できます。

ip-address ip_address mask

回避対象から除外する IP アドレスを指定します。

object-group network_object_group_id

回避対象から除外するネットワーク オブジェクト グループを指定します。オブジェクト グループを作成するには、 object-group network コマンドを参照してください。

shun

ASA がホストを攻撃者であると識別すると、syslog メッセージ 733101 を送信し、さらにホスト接続を自動的に終了します。

直前の 600 秒間で 5 ドロップ/秒。

直近の 20 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直近の 120 秒間で 10 ドロップ/秒。

8.0(2)

このコマンドが追加されました。

8.0(4)

duration キーワードが追加されました。

clear threat-detection shun

ホストを回避対象から解除します。

show threat-detection scanning-threat

攻撃者およびターゲットとして分類されたホストを表示します。

show threat-detection shun

現在回避されているホストを表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

access-list

（任意）アクセス リストによる拒否の統計情報をイネーブルにします。アクセス リスト統計情報は、 show threat-detection top access-list コマンドを使用した場合にだけ表示されます。

average-rate attacks_per_sec

（任意）TCP 代行受信について、syslog メッセージ生成の平均レートしきい値を 25 ～ 2147483647 の範囲で指定します。デフォルトは 1 秒間に 200 回です。平均レートがこれを超えると、syslog メッセージ 733105 が生成されます。

burst-rate attacks_per_sec

（任意）TCP 代行受信について、syslog メッセージ生成のしきい値を 25 ～ 2147483647 の範囲で指定します。デフォルトは 1 秒間に 400 です。バースト レートがこれを超えると、syslog メッセージ 733104 が生成されます。

host

（任意）ホスト統計情報をイネーブルにします。ホストがアクティブで、スキャン脅威ホスト データベース内に存在する限り、ホスト統計情報は累積されます。ホストは、非アクティブになってから 10 分後にデータベースから削除されます（統計情報もクリアされます）。

number-of-rate { 1 | 2 | 3 }

（任意）ホスト、ポート、プロトコルの統計情報に対して維持されるレート間隔の数を設定します。デフォルトのレート間隔の数は 1 です。メモリの使用量を低く抑えます。より多くのレート間隔を表示するには、値を 2 または 3 に設定します。たとえば、値を 3 に設定すると、直前の 1 時間、8 時間、および 24 時間のデータが表示されます。このキーワードを 1 に設定した場合（デフォルト）、最も短いレート間隔統計情報だけが保持されます。値を 2 に設定すると、短い方から 2 つの間隔が保持されます。

port

（任意）ポート統計情報をイネーブルにします。

protocol

（任意）プロトコル統計情報をイネーブルにします。

rate-interval minutes

（任意）TCP 代行受信について、履歴モニタリング ウィンドウのサイズを、1 ～ 1440 分の範囲で設定します。デフォルトは 30 分です。この間隔の間に、ASA は攻撃の数を 30 回サンプリングします。

tcp-intercept

（任意）TCP 代行受信によって代行受信される攻撃の統計情報をイネーブルにします。TCP 代行受信をイネーブルにするには、 set connection embryonic-conn-max コマンド 、 nat コマンド、または static コマンドを参照してください。

8.0(2)

このコマンドが追加されました。

8.0(4)/8.1(2)

tcp-intercept キーワードが追加されました。

8.1(2)

number-of-rates キーワードがホスト統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。

8.2(1)

バースト レート間隔の平均レートが 60 分の 1 から 30 分の 1 に変更されました。

8.3(1)

number-of-rates キーワードがポートとプロトコルの統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection memory

高度な脅威検出の統計情報のメモリ使用を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

milliseconds

宣言する上昇しきい値をミリ秒で指定します。有効な値は、0 ～ 2147483647 です。この値は、タイムアウトに設定された値以下にする必要があります。

7.2(1)

このコマンドが追加されました。

sla monitor

SLA モニタリング動作を定義します。

timeout

SLA 動作が応答を待機する期間を定義します。

100M

100 Mbps のスループット レベルを設定します。

1G

1 Gbps のスループット レベルを設定します。

2G

2 Gbps のスループット レベルを設定します。

9.3(2)

このコマンドが追加されました。

call-home

Smart Call Home を設定します。スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。

clear configure license

スマート ライセンス設定をクリアします。

feature tier

スマート ライセンスの機能層を設定します。

http-proxy

スマート ライセンスおよび Smart Call Home の HTTP(S) プロキシを設定します。

license smart

スマート ライセンスのライセンス権限付与を要求できます。

license smart deregister

ライセンス認証局からデバイスを登録解除します。

license smart register

デバイスをライセンス認証局に登録します。

license smart renew

登録またはライセンス権限を更新します。

service call-home

Smart Call Home をイネーブルにします。

show license

スマート ライセンスのステータスを表示します。

show running-config license

スマート ライセンスの設定を表示します。

n

パスワードの完全性チェックの時間間隔を設定します。1 ～ 255 の整数を入力します。

password

Cisco Intercompany Media Engine チケットのパスワードを設定します。US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で、入力します。使用可能な文字は 0x21 ～ 0x73 であり、空白文字は除外されます。

パスワードは一度に 1 つしか設定できません。

8.3(1)

このコマンドが追加されました。

9.4(1)

このコマンドは、すべての uc-ime モード コマンドとともに廃止されました。

show running-config uc-ime

Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します。

uc-ime

Cisco Intercompany Media Engine プロキシ インスタンスを ASA に作成します。

seconds

サーバのタイムアウト間隔（1 ～ 300 秒）を指定します。各 AAA トランザクションに対して、ASA により、タイムアウトに達するまで（ retry interval コマンドで定義された間隔に基づいて）接続の再試行が行われます。連続して失敗したトランザクションの数が AAA サーバ グループ内の max-failed-attempts コマンドで指定された制限に達すると、AAA サーバは非アクティブ化され、ASA は（設定されている場合は）別の AAA サーバへの要求の送信を開始します。

7.0(1)

このコマンドが追加されました。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa

現在の AAA コンフィギュレーションの値を表示します。

seconds

タイムアウトを 1 ～ 30 の範囲で指定します（秒単位）。デフォルト値は 2 秒です。ASA がサーバのリストを再試行するたびに、このタイムアウトは倍増します。dns サーバ グループ コンフィギュレーション モードで retries コマンドを使用して、再試行回数を設定できます。

7.1(1)

このコマンドが追加されました。

clear configure dns

ユーザが作成した DNS サーバ グループをすべて削除し、デフォルト サーバ グループの属性をデフォルト値にリセットします。

domain-name

デフォルトのドメイン名を設定します。

retries

ASA が応答を受信しないときに、DNS サーバのリストを再試行する回数を指定します。

show running-config dns server-group

現在の実行中の DNS サーバ グループ コンフィギュレーションを表示します。

絶対

（ uauth のオプション）uauth timeout が期限切れになった後、再認証を要求します。デフォルトでは、 absolute キーワードはイネーブルです。非アクティブな状態が一定時間経過した後 uauth タイマーがタイムアウトするように設定するには、代わりに inactivity キーワードを入力します。

conn

接続を閉じるまでのアイドル時間を 0:5:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 1 時間（1:0:0）です。接続がタイムアウトしないようにするには、0 を使用します。

conn-holddown

接続に使用されるルートが存在しなくなったり非アクティブな場合に、接続を維持する必要がある時間。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。接続ホールドダウン タイマーの目的は、ルートが発生してすぐにダウンする可能性がある場合に、ルート フラッピングの影響を減らすことです。ルートの収束がもっと早く発生するようにホールドダウン タイマーを減らすことができます。デフォルトは 15 秒です。指定できる範囲は 00:00:00 ～ 00:00:15 です。

floating-conn

同じネットワークへの複数のルートが存在しており、それぞれメトリックが異なる場合、ASA は接続確立時点でメトリックが最良のルートを使用します。より適切なルートが使用可能になった場合は、このタイムアウトによって接続が閉じられるので、その適切なルートを使用して接続を再確立できます。デフォルトは 0 です（接続はタイムアウトしません）。より良いルートを使用できるようにするには、タイムアウト値を 0:0:30 ～ 1193:0:0 の間で設定します。

hh : mm : ss

タイムアウトを、時間、分、秒で指定します。接続をタイムアウトしない場合は、0 を使用します（可能な場合）。

h225

H.225 シグナリング接続を閉じるまでのアイドル時間を 0:0:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 1 時間（1:0:0）です。タイムアウト値を 0:0:1 に指定すると、タイマーはディセーブルになり、TCP 接続はすべてのコールがクリアされるとすぐに切断されます。

h323

H.245（TCP）および H.323（UDP）メディア接続を閉じるまでのアイドル時間を 0:0:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 5 分（0:5:0）です。H.245 と H.323 のいずれのメディア接続にも同じ接続フラグが設定されているため、H.245（TCP）接続は H.323（RTP および RTCP）メディア接続とアイドル タイムアウトを共有します。

half-closed

TCP half-closed 接続が解放されるまでのアイドル時間を 0:5:0（9.1(1) 以前の場合）または 0:0:30（9.1(2) 以降の場合）～ 1193:0:0 の範囲で指定します。デフォルトは 10 分（0:10:0）です。接続がタイムアウトしないようにするには、0 を使用します。

icmp

ICMP のアイドル時間を 0:0:2 ～ 1193:0:0 の範囲で指定します。デフォルトは 2 秒（0:0:2）です。

icmp-error

ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間に、0:0:0 ～ 0:1:0 の値、または timeout icmp 値のいずれか低い方を指定します。デフォルトは 0 （ディセーブル）です。このタイムアウトが無効で、ICMP インスペクションを有効にすると、ASA では、エコー応答が受信されるとすぐに ICMP 接続を削除します。したがってその（すでに閉じられた）接続用に生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。

igp stale-route

古いルートをルータの情報ベースから削除する前に保持するアイドル時間を指定します。これらのルートは OSPF などの内部ゲートウェイ プロトコル用です。デフォルトは 70 秒（00:01:10）です。指定できる範囲は 00:00:10 ～ 00:01:40 です。

inactivity

（ uauth のオプション）非アクティブ タイムアウトが期限切れになった後、uauth 再認証を要求します。

mgcp

MGCP メディア接続を削除するまでのアイドル時間を 0:0:0 ～ 1193:0:0 の範囲で設定します。デフォルトは、5 分（0:5:0）です。

mgcp-pat

MGCP PAT 変換を削除するまでの絶対間隔を 0:0:0 ～ 1193:0:0 の範囲で設定します。デフォルトは 5 分（0:5:0）です。

pat-xlate

PAT 変換スロットが解放されるまでのアイドル時間を 0:0:30 ～ 0:5:0 の範囲で指定します。デフォルトは 30 秒です。前の接続がアップストリーム デバイスで引き続き開いている可能性があるため、開放された PAT ポートを使用する新しい接続をアップストリーム ルータが拒否する場合、このタイムアウトを増やすことができます。

sctp

Stream Control Transmission Protocol（SCTP）の接続が閉じるまでのアイドル時間を 0:1:0 ～ 1193:0:0 の間で指定します。デフォルトは 2 分（0:2:0）です。

sip

SIP 制御接続を閉じるまでのアイドル時間を 0:5:0 ～ 1193:0:0 の範囲で指定します。デフォルトは、30 分（0:30:0）です。接続がタイムアウトしないようにするには、0 を使用します。

sip-disconnect

CANCEL メッセージまたは BYE メッセージで 200 OK を受信しなかった場合に、SIP セッションを削除するまでのアイドル時間を 0:0:1 ～ 00:10:0 の範囲で指定します。デフォルトは 2 分（0:2:0）です。

sip-invite

（任意）暫定応答のピンホールとメディア xlate を閉じるまでのアイドル時間を 0:1:0 ～ 1193:0:0 の範囲で指定します。デフォルトは、3 分（0:3:0）です。

sip_media

SIP メディア接続を閉じるまでのアイドル時間を 0:1:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 2 分（0:2:0）です。接続がタイムアウトしないようにするには、0 を使用します。

SIP メディア タイマーは、SIP UDP メディア パケットを使用する SIP RTP/RTCP で、UDP 非アクティブ タイムアウトの代わりに使用されます。

sip-provisional-media

SIP プロビジョナル メディア接続のタイムアウト値を 0:1:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 2 分（0:2:0）です。

sunrpc

SUNRPC スロットを閉じるまでのアイドル時間を 0:1:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 10 分（0:10:0）です。接続がタイムアウトしないようにするには、0 を使用します。

tcp-proxy-reassembly

再構築のためバッファ内で待機しているパケットをドロップするまでのアイドル タイムアウトを 0:0:10 ～ 1193:0:0 の範囲で設定します。デフォルトは、1 分（0:1:0）です。

uauth

認証および認可キャッシュがタイムアウトし、ユーザが次回接続時に再認証が必要となるまでの継続時間を 0:0:0 ～ 1193:0:0 の範囲で指定します。デフォルトは 5 分（0:5:0）です。デフォルトのタイマーは absolute です。 inactivity キーワードを入力すると、非アクティブになってから一定の期間後にタイムアウトが発生するように設定できます。 uauth 継続時間は、 xlate 継続時間より短く設定する必要があります。キャッシュをディセーブルにするには、0 に設定します。接続に受動 FTP を使用している場合、または Web 認証に virtual http コマンドを使用している場合は、 0 を使用しないでください。

udp

UDP スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ～ 1193:0:0 です。デフォルトは 2 分（0:2:0）です。接続がタイムアウトしないようにするには、0 を使用します。

xlate

変換スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ～ 1193:0:0 です。デフォルトは 3 時間（3:0:0）です。