この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アクティブ ユニットおよびスタンバイ ユニットの仮想 MAC アドレスを指定するには、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用します。デフォルトの仮想 MAC アドレスに戻すには、このコマンドの no 形式を使用します。
mac address phy_if [ active_mac ] [ standby_mac ]
no mac address phy_if [ active_mac ] [ standby_mac ]
アクティブ ユニットの仮想 MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
|
スタンバイ ユニットの仮想 MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
仮想 MAC アドレスがフェールオーバー グループに対して定義されていない場合は、デフォルト値が使用されます。
同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。
他のコマンドまたは方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。
次の部分的な例では、フェールオーバー グループで可能な設定を示します。
|
|
---|---|
プライベート MAC アドレスをインターフェイスまたはサブインターフェイスに手動で割り当てるには、インターフェイス コンフィギュレーション モードで mac-address コマンドを使用します。マルチ コンテキスト モードでは、このコマンドは各コンテキストでそれぞれ別の MAC アドレスをインターフェイスに割り当てることができます。クラスタの個々のインターフェイスに、MAC アドレスのクラスタ プールを割り当てることができます。MAC アドレスをデフォルトに戻すには、このコマンドの no 形式を使用します。
mac-address { mac_address [ standby mac_address | site-id number [ site-ip ip_address ]] | cluster-pool pool_name }
no mac-address [ mac_address [ standby mac_address | site-id number [ site-ip ip_address ]] | cluster-pool pool_name ]
デフォルトの MAC アドレスは、物理インターフェイスのバーンドイン MAC アドレスです。サブインターフェイスは、物理インターフェイスの MAC アドレスを継承します。一部のコマンド(シングル モードでのこのコマンドを含む)は物理インターフェイスの MAC アドレスを設定するため、継承されるアドレスはその設定によって異なります。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mac-address auto コマンドと併用するときには、MAC アドレスを開始する A2 の使用が制限されました。 |
|
マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有した場合、各コンテキストでそれぞれ固有の MAC アドレスをインターフェイスに割り当てることができます。この機能を使用すると、ASA はパケットを適切なコンテキストに容易に分類できます。固有の MAC アドレスがなくても共有インターフェイスを使用できますが、制限があります。詳細については、CLI 設定ガイド を参照してください。
このコマンドで各 MAC アドレスを手動で割り当てることができます。あるいは mac-address auto コマンドを使用して、コンテキストで共有インターフェイスの MAC アドレスを自動的に生成できます。MAC アドレスを自動的に生成する場合、 mac-address コマンドを使用して、生成されたアドレスを上書きできます。
シングル コンテキスト モード、またはマルチ コンテキスト モードで共有されないインターフェイスの場合は、固有の MAC アドレスをサブインターフェイスに割り当てることを推奨します。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。
他のコマンドまたは方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。
クラスタリングの場合は、スパンド EtherChannel のグローバル MAC アドレスを設定する必要があります。MAC アドレスが手動設定されている場合、その MAC アドレスは現在のマスター ユニットに留まります。マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有した場合、MAC アドレスの自動生成をイネーブルにする必要があります。非共有インターフェイスについては MAC アドレスを手動で設定する必要があることに注意してください。
ルーテッド モードのサイト間クラスタリングの場合は、各サイトのマスター ユニットでサイト固有の MAC アドレスと IP アドレスを設定してから、各ユニットで site-id コマンドを使用してそれをサイトに割り当てます。
次に、GigabitEthernet 0/1.1 の MAC アドレスを設定する例を示します。
次に、スパンド EtherChannel ポートチャネル 1のサイト固有 MAC アドレスを設定する例を示します。
プライベート MAC アドレスを各共有コンテキスト インターフェイスに自動的に割り当てるには、グローバル コンフィギュレーション モードで mac-address auto コマンドを使用します。自動 MAC アドレスをディセーブルにするには、このコマンドの no 形式を使用します。
mac-address auto [ prefix prefix ]
自動 MACアドレス 生成はデフォルトでディスエーブルになっています(デフォルトでイネーブルになっている ASASM の場合を除く)。イネーブルにすると、ASA は、インターフェイス(ASA 5500-X)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。必要に応じて、プレフィックスをカスタマイズできます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
インターフェイスを共有するコンテキストを許可するには、固有の MAC アドレスを各共有コンテキスト インターフェイスに割り当てることを推奨します。MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。インターフェイスを共有するものの、各コンテキストにインターフェイスの固有の MAC アドレスがない場合は、宛先 IP アドレスがパケットの分類に使用されます。宛先アドレスは、コンテキスト NAT コンフィギュレーションと照合されます。この方法には、MAC アドレスの方法に比べるといくつか制限があります。パケットの分類の詳細については、CLI 設定ガイドを参照してください。
生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスを手動で設定するには、 mac-address コマンドを参照してください。
MAC アドレスを手動で割り当てた場合、自動生成がイネーブルになっていても、手動で割り当てた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。
自動生成されたアドレスは A2 で始まるため、手動 MAC アドレスを A2 で始めることはできません。たとえ自動生成も使用する予定であってもそれは同じです。
フェールオーバーで使用できるように、ASA はインターフェイスごとにアクティブとスタンバイの両方の MAC アドレスを生成します。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。詳細については、“プレフィックスを使用する場合の MAC アドレス形式”を参照してください。
prefix キーワードが追加される前に従来のバージョンの mac-address auto コマンドを使用してフェールオーバー ユニットをアップグレードする場合は、“プレフィックスを使用しない場合の MAC アドレス形式(従来の方法)”の項を参照してください。
ASA は、次の形式を使用して MAC アドレスを生成します。
xx.yy はユーザ定義プレフィックスまたはインターフェイス(ASA 5500)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいて自動生成されたプレフィックス、 zz.zzzz は ASA によって生成される内部カウンタです。スタンバイ MAC アドレスの場合、内部カウンタが 1 増えることを除けばアドレスは同じです。
プレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、ASA は 77 を 16 進数値 004D( yyxx )に変換します。MAC アドレスで使用すると、プレフィックスは ASA ネイティブ形式に一致するように逆にされます( xxyy )。
プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。
プレフィックスを使用しない場合の MAC アドレス形式(従来の方法)
この方法は、フェールオーバーを使用しており、バージョン 8.6 以降にアップグレードした場合に使用できます。この場合、プレフィックス方式を手動でイネーブルにする必要があります。
プレフィックスを指定しないと、MAC アドレスは次の形式で生成されます。
インターフェイス スロットがないプラットフォームの場合、スロットは常に 0 です。 port はインターフェイス ポートです。 subid は、表示不可能なサブインターフェイスの内部 ID です。 contextid は、 show context detail コマンドで表示可能なコンテキストの内部 ID です。たとえば、ID 1 のコンテキスト内のインターフェイス GigabitEthernet 0/1.200 には、次の生成済み MAC アドレスがあります。サブインターフェイス 200 の内部 ID は 31 です。
この MAC アドレス生成方法では、リロード間で MAC アドレスが持続されず、同じネットワーク セグメントに複数の ASA を配置できず(固有の MAC アドレスが保証されないため)、手動で割り当てた MAC アドレスとの MAC アドレスの重複が回避されません。これらの問題を回避するため、プレフィックスを使用して MAC アドレスを生成することをお勧めします。
コンテキストでインターフェイスの nameif コマンドを設定すると、ただちに新規 MAC アドレスが生成されます。コンテキスト インターフェイスを設定した後でこのコマンドをイネーブルにした場合、コマンドを入力するとただちにすべてのインターフェイスの MAC アドレスが生成されます。 no mac-address auto コマンドを使用すると、各インターフェイスの MAC アドレスはデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは GigabitEthernet 0/1 の MAC アドレスを使用するようになります。
他のコマンドまたは方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。
システム コンフィギュレーションでの MAC アドレスの表示
システム実行スペースから割り当てられた MAC アドレスを表示するには、 show running-config all context コマンドを入力します。
割り当てられた MAC アドレスを表示するには、 all オプションが必要です。このコマンドはグローバル コンフィギュレーション モードでのみユーザによる設定が可能ですが、 mac-address auto コマンドは割り当てられた MAC アドレスとともに各コンテキストのコンフィギュレーションに読み取り専用エントリとして表示されます。コンテキスト内で nameif コマンドで設定される割り当て済みのインターフェイスだけに MAC アドレスが割り当てられます。
(注) MAC アドレスをインターフェイスに手動で割り当てるものの、その際に自動生成がイネーブルになっていると、手動 MAC アドレスが使用中のアドレスとなりますが、コンフィギュレーションには自動生成されたアドレスが引き続き表示されます。後で手動 MAC アドレスを削除すると、表示されている自動生成アドレスが使用されます。
コンテキスト内の各インターフェイスで使用されている MAC アドレスを表示するには、 show interface | include (Interface)|(MAC) コマンドを入力します。
(注) show interface コマンドは、使用中の MAC アドレスを表示します。MAC アドレスを手動で割り当てた場合に、自動生成がイネーブルになっていたときは、システム コンフィギュレーション内の未使用の自動生成アドレスのみを表示できます。
次に、プレフィックス 78 で自動 MAC アドレス生成をイネーブルにする例を示します。
show running-config all context admin コマンドからの次の出力には、Management0/0 インターフェイスに割り当てられたプライマリおよびスタンバイ MAC アドレスが表示されます。
show running-config all context コマンドからの次の出力には、すべてのコンテキスト インターフェイスのすべての MAC アドレス(プライマリおよびスタンバイ)が表示されます。GigabitEthernet0/0 と GigabitEthernet0/1 の各メイン インターフェイスはコンテキスト内部に nameif コマンドで設定されないため、それらのインターフェイスの MAC アドレスは生成されていないことに注意してください。
ASA クラスタの個々のインターフェイスで使用する MAC アドレス プールを追加するには、グローバル コンフィギュレーション モードで mac-address pool コマンドを使用します。未使用のプールを削除するには、このコマンドの no 形式を使用します。
mac-address pool name start_mac_address - end_mac_address
no mac-address pool name [ start_mac_address - end_mac_address ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このプールは、インターフェイス コンフィギュレーション モードの mac-address cluster-pool コマンドで使用できます。インターフェイスに MAC アドレスを手動で設定することはあまりありませんが、そのような場合には、このプールを使用して各インターフェイスに一義的な MAC アドレスを割り当てます。
次に、8 個の MAC アドレスを含む MAC アドレス プールを追加し、GigabitEthernet 0/0 インターフェイスに割り当てる例を示します。
|
|
---|---|
MAC アドレス テーブルのエントリにタイムアウトを設定するには、グローバル コンフィギュレーション モードで mac-address-table aging-time コマンドを使用します。デフォルト値の 5 分に戻すには、このコマンドの no 形式を使用します。
mac-address-table aging-time timeout_value
no mac-address-table aging-time
タイムアウトするまで MAC アドレス エントリが MAC アドレス テーブルにとどまることができる時間。有効な値は、5 ~ 720 分(12 時間)です。5 分がデフォルトです。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用するときに、ルーテッド モードでこのコマンドを設定できるようになりました。 |
次に、MAC アドレスのタイムアウトを 10 分に設定する例を示します。
|
|
---|---|
MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。MAC アドレスは通常、特定の MAC アドレスからのトラフィックがインターフェイスに入るときに MAC アドレス テーブルにダイナミックに追加されます。スタティック MAC アドレスは、必要に応じて MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、そのスタティック エントリに一致しないインターフェイスにトラフィックを送信しようとした場合、ASA はトラフィックをドロップし、システム メッセージを生成します。
mac-address-table static interface_name mac_address
no mac-address-table static interface_name mac_address
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用するときに、ルーテッド モードでこのコマンドを設定できるようになりました。 |
次に、スタティック MAC アドレスのエントリを MAC アドレス テーブルに追加する例を示します。
|
|
---|---|
インターフェイスの MAC アドレス ラーニングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-learn コマンドを使用します。MAC アドレス ラーニングを再びイネーブルにするには、このコマンドの no 形式を使用します。デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASA は対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできます。
mac-learn interface_name disable
no mac-learn interface_name disable
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用するときに、ルーテッド モードでこのコマンドを設定できるようになりました。 |
次に、外部インターフェイスでの MAC アドレス学習をディセーブルにする例を示します。
|
|
---|---|
認証や許可から MAC アドレスを削除するのに使用される MAC アドレスのリストを指定するには、グローバル コンフィギュレーション モードで mac- list コマンドを使用します。MAC アドレス リストのエントリを削除するには、このコマンドの no 形式を使用します。
mac-list id { deny | permit } mac macmask
no mac-list id { deny | permit } mac macmask
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
認証および許可からの MAC アドレスの削除をイネーブルにするには、 aaa mac-exempt コマンドを使用します。1 つの aaa mac-exempt コマンドのみを追加できるため、削除するすべての MAC アドレスが MAC アドレス リストに含まれていることを確認してください。複数の MAC リストを作成できますが、一度に使用できるのは 1 つだけです。
次の例では、1 個の MAC アドレスに対する認証をバイパスします。
次のエントリでは、ハードウェア ID が 0003.E3 であるすべての Cisco IP Phone について、認証をバイパスします。
次の例では、00a0.c95d.02b2 以外の MAC アドレス グループの認証をバイパスします。00a0.c95d.02b2 は許可ステートメントにも一致するため、許可ステートメントよりも前に拒否ステートメントを入力します。許可ステートメントが前にある場合、拒否ステートメントには一致しません。
|
|
ローカル ドメイン名を設定するには、パラメータ コンフィギュレーション モードで mail-relay コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
mail-relay domain_name action {drop-connection | log}
no mail-relay domain_name action {drop-connection | log}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
VPN の使用時に ASA への通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスを許可するには、グローバル コンフィギュレーション モードで management-access コマンドを使用します。管理アクセスをディセーブルにするには、このコマンドの no 形式を使用します。
別のインターフェイスから ASA に入るときにアクセスする管理インターフェイスの名前を指定します。物理または仮想インターフェイスを指定できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、フル トンネル IPsec VPN または SSL VPN クライアント(AnyConnect 2.x クライアント、SVC 1.x)を使用するときや、サイトツーサイト IPsec トンネルを横断するときには、ASA への通過ルートとなるインターフェイス以外のインターフェイスに接続できます。ASA 管理インターフェイスへの接続には Telnet、SSH、Ping、または ASDM を使用できます。
9.5(1) 以降、別個の管理/データ ルーティング テーブルでのルーティングを考慮すると、VPN の端末インターフェイスと管理アクセス インターフェイスは同じ種類である(つまり両方とも管理専用インターフェイスであるか、通常のデータ インターフェイスである)必要があります。したがって、稀に VPN 端末インターフェイスが管理専用である場合を除き、管理専用インターフェイス上には管理アクセスを設定しないでください。
管理アクセス インターフェイスと VPN ネットワークの間でアイデンティティ NAT を使用する場合(VPN トラフィックに共通の NAT コンフィギュレーションを使用する場合)、 nat コマンドの route-lookup キーワードを指定する必要があります。ルート ルックアップがない場合、ASA は、ルーティング テーブルの内容に関係なく、 nat コマンドで指定されたインターフェイスからトラフィックを送信します。たとえば、 management-access inside を設定すると、VPN ユーザが外部から内部インターフェイスを管理できます。アイデンティティ nat コマンドで (inside,outside) を指定した場合、ASA で、内部ネットワークに管理トラフィックを送信しません。これは、内部インターフェイスの IP アドレスには戻りません。ルート ルックアップ オプションを使用すると、ASA は、内部ネットワークの代わりに内部インターフェイスの IP アドレスに直接トラフィックを送信できます。VPN クライアントから内部ネットワーク上のホストへのトラフィックの場合、ルート ルックアップ オプションがあっても正しい出力インターフェイス(内部)になるため、通常のトラフィック フローは影響を受けません。
次に、ファイアウォール インターフェイスを管理アクセス インターフェイスとして inside という名前で設定する例を示します。
|
|
---|---|
管理トラフィックのみを受け付けるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで management-only コマンドを使用します。通過トラフィックを許可するには、このコマンドの no 形式を使用します。
management-only [ individual ]
no management-only [ individual ]
Firepower 9300 ASA セキュリティ モジュール クラスタの場合は、スパンド インターフェイス モードのときに管理インターフェイスに individual キーワードを指定する必要があります。 |
Management n / n インターフェイス(該当するモデルを使用している場合)は、デフォルトで管理専用モードに設定されます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA クラスタリングをサポートするために、管理インターフェイスの例外として、このコマンドが実行コンフィギュレーションからインターフェイス セクションの先頭に移動されました。 |
|
ほとんどのモデルには、Management n / n という専用の管理インターフェイスが含まれ、ASA へのトラフィックをサポートするようになっています。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。
(注) ASA 5585-X を除くすべてのモデルでは、管理インターフェイスの管理専用モードをディセーブルにすることはできません。このコマンドはデフォルトで常にイネーブルになります。
トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)、管理インターフェイスからなる EtherChannel インターフェイス(複数の管理インターフェイスがある場合)のいずれか)を個別の管理インターフェイスとして使用できます。他のインターフェイス タイプは管理インターフェイスとして使用できません。
使用しているモデルに管理インターフェイスが含まれていない場合は、データ インターフェイスからトランスペアレント ファイアウォールを管理する必要があります。
マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。コンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。ASA 5585-X 以外では、管理インターフェイスがサブインターフェイスを許可しないため、コンテキスト単位で管理を行うにはデータ インターフェイスに接続する必要があることに注意してください。
管理インターフェイスは、通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。
次に、管理インターフェイスで管理専用モードをディセーブルにする例を示します。
次に、サブインターフェイスで管理専用モードをイネーブルにする例を示します。
|
|
---|---|
マッピングアドレスとポート(MAP)ドメインを設定するには、グローバル コンフィギュレーション モードで map-domai コマンドを使用します。MAP ドメインを削除するには、このコマンドの no 形式を使用します。
MAP ドメインの名前は、英数字で最大 48 文字です。また、名前には、ピリオド(.)、スラッシュ(/)、およびコロン(:)の特殊文字を含めることもできます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
アドレスとポートのマッピング (MAP) は、主にサービスプロバイダー (SP) ネットワークで使用する機能です。サービス プロバイダーは、IPv6 専用ネットワーク、MAP ドメインを稼働でき、同時に、IPv4 専用のサブスクライバをサポートし、パブリック インターネット上の IPv4 専用サイトとの通信ニーズに対応します。MAP は、RFC7597、RFC7598、および RFC7599 で定義されています。
MAP ドメイン内のサービスプロバイダーの場合、NAT46 を介した MAP の利点は、サブスクライバの IPv4 アドレスに対する IPv6 アドレスの代替(および SP ネットワークエッジでの IPv4 への変換)がステートレスであることです。これにより、NAT46 と比較して SP ネットワーク内の効率が向上します。
MAP 変換(MAP-T)と MAP カプセル化(MAP-E)という 2 つのマップ技術があります。ASA は MAP-T をサポートしています。MAP-E はサポートされていません。
MAP-T を設定するには、1 つまたは複数のドメインを作成します。カスタマーエッジ(CE)およびボーダーリレー(BR)デバイスで MAP-T を設定する場合は、各ドメインに参加するデバイスごとに同じパラメータを使用するようにしてください。
最大 25 個の MAP-T ドメインを設定できます。マルチコンテキストモードでは、コンテキストごとに最大 25 のドメインを設定できます。
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
|
|
---|---|
ユーザ定義の属性名をシスコ属性名にマッピングするには、LDAP 属性マップ コンフィギュレーション モードで map-name コマンドを使用します。
このマッピングを削除するには、このコマンドの no 形式を使用します。
map-name user-attribute-name Cisco-attribute-name
no map-name user-attribute-name Cisco-attribute-name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
map-name コマンドでは、独自の属性名をシスコ属性名にマッピングできます。その後、作成された属性マップを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドにより、LDAP 属性マップ コンフィギュレーション モードが開始されます。
2. LDAP 属性マップ コンフィギュレーション モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは、「ldap」の後にハイフンを入力しないでください。
(注) 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。
次に、LDAP 属性マップ myldapmap でユーザ定義の属性名 Hours をシスコ属性名 cVPN3000-Access-Hours にマッピングする例を示します。
LDAP 属性マップ コンフィギュレーション モードで「?」を入力すると、シスコのすべての LDAP 属性名を表示できます。
|
|
---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
|
Cisco Intercompany Media Engine プロキシに対してマッピング サービスを設定するには、UC-IME コンフィギュレーション モードで mapping-service コマンドを使用します。プロキシからマッピング サービスを削除するには、このコマンドの no 形式を使用します。
mapping-service listening-interface interface [ listening-port port ] uc-ime-interface interface
no mapping-service listening-interface interface [ listening-port port ] uc-ime-interface interface
(任意)マッピング要求を ASA がリッスンする TCP ポート番号を指定します。このポート番号は、デバイス上の他のサービス(Telnet や SSH など)との競合を避けるために、1024 以上にする必要があります。デフォルトでは、このポート番号は TCP 8060 です。 |
|
デフォルトでは、Cisco Intercompany Media Engine プロキシのオフパス配置のためのマッピング サービスは、TCP ポート 8060 でリッスンします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA の Cisco Intercompany Media Engine プロキシのオフパス配置の場合、マッピング サービスをプロキシ コンフィギュレーションに追加します。マッピング サービスを設定するには、マッピング要求をリッスンする外部インターフェイス(リモート エンタープライズ側)およびリモートの Cisco UCM に接続するインターフェイスを指定する必要があります。
(注) Cisco Intercompany Media Engine プロキシに対して設定できるマッピング サーバは 1 つだけです。
Cisco Intercompany Media Engine プロキシがオフパス配置に対して設定されたときにマッピング サービスを設定します。
オフ パス配置では、Cisco Intercompany Media Engine のインバウンド コールおよびアウトバウンド コールは、Cisco Intercompany Media Engine プロキシを使用してイネーブルにされた適応型セキュリティ アプライアンスを通過します。適応型セキュリティ アプライアンスは DMZ にあり、主に Cisco Intercompany Media Engine をサポートするように設定されています。通常のインターネットに接続するトラフィックは、この ASA を通過しません。
すべてのインバウンド コールのシグナリングは、宛先の Cisco UCM のグローバル IP アドレスがASA 上に設定されているため、ASA に誘導されます。アウトバウンド コールの場合、着信側はインターネット上の任意の IP アドレスになる可能性があります。そのため、ASA には、インターネット上の着信側のグローバル IP アドレスごとに ASA 上で内部 IP アドレスを動的に提供するマッピング サービスが設定されます。
Cisco UCM は、すべてのアウトバウンド コールを、インターネット上の着信側のグローバル IP アドレスではなく、適応型セキュリティ アプライアンス上のマッピング内部 IP アドレスに直接送信します。その後、ASA によって、それらのコールは着信側のグローバル IP アドレスに転送されます。
ciscoasa(config)# uc-ime offpath_uc-ime_proxy
|
|
フォールバック通知、マッピング サービス セッション、およびシグナリング セッションに関する統計情報または詳細情報を表示します。 |
|
ユーザ定義の値をシスコの LDAP の値にマッピングするには、LDAP 属性マップ コンフィギュレーション モードで map-value コマンドを使用します。マップ内のエントリを削除するには、このコマンドの no 形式を使用します。
map-value user-attribute-name user-value-string Cisco-value-string
no map-value user-attribute-name user-value-string Cisco-value-string
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
map-value コマンドでは、ユーザ定義の属性値をシスコ属性名および属性値にマッピングできます。その後、作成された属性マップを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。
1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドにより、LDAP 属性マップ コンフィギュレーション モードが開始されます。
2. LDAP 属性マップ コンフィギュレーション モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。
3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは、「ldap」の後にハイフンを入力しないでください。
(注) 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。
次に、LDAP 属性マップ コンフィギュレーション モードを開始し、ユーザ定義の属性 Hours のユーザ定義の値をユーザ定義の時間ポリシー workDay とシスコ定義の時間ポリシー Daytime に設定する例を示します。
|
|
---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
|
モジュラ ポリシー フレームワークを使用する場合、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで mask コマンドを使用して、 match コマンドと一致するパケットの一部またはクラス マップをマスクして除外します。この mask アクションは、アプリケーション トラフィックのインスペクション ポリシー マップ( policy-map type inspect コマンド)で有効です。ただし、すべてのアプリケーションでこのアクションが許可されているわけではありません。たとえば、ASA でのトラフィックの通過を許可する前に、DNS アプリケーション インスペクションに mask コマンドを使用してヘッダー フラグをマスクします。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力して、アプリケーション トラフィック( class コマンドは、 match コマンドが含まれている既存の class-map type inspect コマンドを参照します)を識別した後、 mask コマンドを入力して、 match コマンドまたは class コマンドに一致するパケットの一部をマスクできます。
レイヤ 3/4 のポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。ここで dns_policy_map はインスペクション ポリシー マップの名前です。
次に、ASA でのトラフィックの通過を許可する前に、DNS ヘッダーで RD フラグおよび RA フラグをマスクする例を示します。
|
|
---|---|
サーバ バナーを難読化するには、パラメータ コンフィギュレーション モードで mask-banner コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
FTP サーバ応答をクライアントから見えないようにするには、 ftp-map コマンドを使用してアクセスできる FTP マップ コンフィギュレーション モードで mask-syst-reply コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
クライアントから FTP サーバ システムを保護するには、厳格な FTP インスペクションで mask-syst-reply コマンドを使用します。このコマンドをイネーブルにすると、 syst コマンドに対するサーバからの応答は一連の X に置き換えられます。
次に、ASA で syst コマンドに対する FTP サーバの応答を一連の X に置き換える例を示します。
|
|
---|---|
モジュラ ポリシー フレームワーク を使用するときは、クラス マップ コンフィギュレーション モードで match access-list コマンドを使用して、アクセス リストに基づいてアクションを適用するトラフィックを特定します。 match access-list コマンドを削除するには、このコマンドの no 形式を使用します。
match access-list access_list_name
no match access-list access_list_name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドを入力した後、 match access-list コマンドを入力してトラフィックを識別できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。クラス マップには 1 つの match access-list コマンドのみを含めることができ、他のタイプの match コマンドとは組み合わせることができません。ASA でインスペクトできるすべてのアプリケーションが使用するデフォルトの TCP ポートおよび UDP ポートを照合する match default-inspection-traffic コマンドを定義する場合は、例外として match access-list コマンドを使用して照合するトラフィックの範囲を絞り込めます。 match default-inspection-traffic コマンドによって照合するポートが指定されるため、アクセス リストのポートはすべて無視されます。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
次に、3 つのアクセス リストに一致する 3 つのレイヤ 3/4 クラス マップを作成する例を示します。
|
|
---|---|
モジュラ ポリシー フレームワーク を使用するときは、クラス マップ コンフィギュレーション モードで match any コマンドを使用して、アクションを適用するすべてのトラフィックを一致させます。 match any コマンドを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドを使用して、アクションを適用するレイヤ 3 と 4 のトラフィックを指定します。
class-map コマンドを入力した後、 match any コマンドを入力してすべてのトラフィックを識別できます。または、別のタイプの match コマンド( match port コマンドなど)を入力できます。 match any コマンドは、他のタイプの match コマンドとは組み合わせることができません。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
次に、クラス マップおよび match any コマンドを使用して、トラフィック クラスを定義する例を示します。
|
|
---|---|
GTP メッセージのアクセス ポイント名に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match apn コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] apn regex { regex_name | class regex_class_name }
no match [not] apn regex [regex_name | class regex_class_name]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、GTP インスペクション ポリシー マップのアクセス ポイント名に関して一致条件を設定する例を示します。
|
|
---|---|
Diameter メッセージの Diameter アプリケーション ID に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match application-id コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] application-id app_id [ app_id_2 ]
no match [ not ] application-id app_id [ app_id_2 ]
Diameter アプリケーションの名前または番号(0 ~ 4294967295)。照合する連続番号が付されたアプリケーションの範囲がある場合は、2 番目の ID を含めることができます。アプリケーションの名前または番号別に範囲を定義でき、第 1 ID および第 2 ID の間のすべての番号に適用されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、Diameter インスペクション クラス マップまたは Diameter インスペクション ポリシー マップで設定できます。このコマンドを使用すると、Diameter アプリケーション ID に基づいてトラフィックをフィルタ処理できます。その後、パケットをドロップしたり、接続をドロップしたり、一致するトラフィックをログに記録したりすることができます。
これらのアプリケーションは IANA に登録されます。次のコア アプリケーションがサポートされますが、他のアプリケーションもフィルタ処理できます。アプリケーション名のリストについては、CLI ヘルプを参照してください。
http://www.iana.org/assignments/aaa-parameters/aaa-parameters.xhtml [英語] に IETF の登録済みアプリケーション、コマンド コード、および属性値ペアのリストがありますが、このリストにあるすべての項目が Diameter インスペクションでサポートされているわけではありません。技術仕様については、3GPP Web サイトを参照してください。
次に、アプリケーション ID 3gpp-s6a と 3gpp-s13 に関して一致条件を設定する例を示します。
|
|
---|---|
BGP 自律システム パス アクセス リストを照合するには、ルートマップ コンフィギュレーション モードで match as-path コマンドを使用します。パス リスト エントリを削除するには、このコマンドの no 形式を使用します。
match as-path path-list-number
no match as-path path-list-number
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match as-path コマンドおよび set weight コマンドで設定した値はグローバル値よりも優先されます。たとえば、ルート マップ コンフィギュレーションの match as-path コマンドおよび set weight コマンドで割り当てた重みは、neighbor weight コマンドで割り当てた重みよりも優先されます。
ルート マップは、いくつかの部分にわかれている可能性があります。route-map コマンドに関連付けられているどの match ステートメントとも一致しないルートは無視されます。したがって、そのルートは発信ルート マップ用にアドバタイズされることも、着信ルート マップ用に受け入れられることもありません。一部のデータのみを変更したい場合は、別のルートマップ セクションに明示的に match を指定する必要があります。この方法でパス リスト名を複数指定することができます。
次に、自律システム(AS)パスと BGP AS パス アクセス リスト as-path-acl を照合する設定の例を示します。
|
|
---|---|
Diameter メッセージの Diameter 属性値ペア(AVP)に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match avp コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] avp code [ code-2 ] [ vendor-id id_number ]
no match [ not ] avp code [ code-2 ] [ vendor-id id_number ]
match [ not ] avp code [ vendor-id id_number ] value
no match [ not ] avp code [ vendor-id id_number ] value
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、Diameter インスペクション クラス マップまたは Diameter インスペクション ポリシー マップで設定できます。このコマンドを使用すると、Diameter AVP に基づいてトラフィックをフィルタ処理できます。その後、パケットをドロップしたり、接続をドロップしたり、一致するトラフィックをログに記録したりすることができます。
AVP 名のリストについては、CLI ヘルプを参照してください。 http://www.iana.org/assignments/aaa-parameters/aaa-parameters.xhtml [英語] に IETF の登録済みアプリケーション、コマンド コード、および属性値ペアのリストがありますが、このリストにあるすべての項目が Diameter インスペクションでサポートされているわけではありません。技術仕様については、3GPP Web サイトを参照してください。
値の照合を設定する場合は、サポートされているデータ タイプに固有の値オプションの構文は次のとおりです。
{ regex regex_name | class regex_class }
date year month day time hh : mm : ss date year month day time hh : mm : ss
date 2015 feb 5 time 12:00:00 date 2015 mar 9 time 12:00:00
– Integer32:-2147483647 ~ 2147483647
– Integer64:-9223372036854775807 ~ 9223372036854775807
次に、機能交換要求/応答コマンド メッセージで host-ip-address AVP に含まれる特定の IP アドレスに関して一致条件を設定する例を示します。
|
|
---|---|
ESMTP 本文メッセージの長さまたは 1 行の長さに対して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match body コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match [not] body [length | line length] gt bytes
no match [not] body [length | line length] gt bytes
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP インスペクション ポリシー マップで本文 1 行の長さに関して一致条件を設定する例を示します。
ciscoasa(config)#
policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)#
match body line length gt 1000
|
|
---|---|
H.323 着信側に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match called-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] called-party [regex regex]
no match [not] match [not] called-party [regex regex]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、H.323 インスペクション クラス マップで着信側に関して一致条件を設定する例を示します。
|
|
---|---|
H.323 発信側に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match calling-party コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] calling-party [regex regex]
no match [not] match [not] calling-party [regex regex]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、H.323 インスペクション クラス マップで発信側に関して一致条件を設定する例を示します。
|
|
---|---|
証明書一致ルールを設定するには、クリプト CA トラストポイント コンフィギュレーション モードで match certificate コマンドを使用します。コンフィギュレーションからルールを削除するには、このコマンドの no 形式を使用します。
match certificate map-name [override ocsp [trustpoint trustpoint-name ] seq-num url URL | override cdp index url URL ]
no match certificate map-name [override ocsp | override cdp]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
PKI 証明書検証プロセスでは、セキュリティを維持するために、ASA によって証明書の失効ステータスがチェックされます。これには、CRL チェックまたはオンライン認証ステータス プロトコル(OCSP)のどちらかが使用されます。CRL チェックを使用すると、ASA によって、無効になった証明書がすべてリストされている CRL が取得、解析、およびキャッシュされます。OCSP は失効ステータスを確認する拡張性の高い方法であり、検証局で証明書ステータスをローカライズします。この検証局が特定の証明書のステータスを問い合わせます。
証明書一致ルールには、OCSP URL オーバーライドを設定できます。このオーバーライドには、リモート ユーザ証明書の AIA フィールドの URL ではなく、失効ステータスを確認するための URL を指定します。一致ルールには、OCSP 応答側証明書の検証に使用するトラストポイントも設定できます。これにより、ASA は自己署名証明書やクライアント証明書の検証パスの外部にある証明書など任意の CA からの応答側証明書を検証できます。
OCSP と同様に、 match certificate コマンドを使用して CDP URL のオーバーライドを設定できます。このコマンドは、証明書マップを介したスタティック CDP URL の識別をサポートします。CRL 検証が必要な証明書ごとに、証明書の CDP 拡張とこの設定にマッピングされている URL に基づいて CRL が取得されます。 config-ca-crl サブモードで policy コマンドを使用すると、証明書またはスタティック CDP から CDP を除外できます。
次に、newtrust という名前のトラストポイントの証明書一致ルールを作成する例を示します。ルールには、マップ名 mymap、シーケンス番号 4、トラストポイント mytrust があり、URL として 10.22.184.22 が指定されています。
次に、クリプト CA 証明書マップを設定し、CA 証明書が含まれているトラストポイントを識別して応答側証明書を検証するための一致証明書ルールを設定する例を示します。この証明書が必要になるのは、newtrust トラストポイントで識別した CA が OCSP 応答側証明書を発行していない場合です。
ステップ 1 マップ ルールの適用先のクライアント証明書を識別する証明書マップを設定します。この例では、証明書マップの名前は mymap で、シーケンス番号は 1 です。サブジェクト名に mycert という CN 属性が含まれているクライアント証明書はどれも、mymap エントリに一致します。
ステップ 2 OCSP 応答側証明書の検証に使用する CA 証明書が含まれているトラストポイントを設定します。自己署名証明書の場合、これは自己署名証明書自体であり、インポートされてローカルに信頼できるようになっています。この目的で外部の CA 登録を介して証明書を取得することもできます。CA 証明書に貼り付けるように求められたら貼り付けます。
ステップ 3 OCSP を失効チェック方法にして、元のトラストポイント newtrust を設定します。次に、ステップ 2 で設定した証明書マップ mymap および自己署名トラストポイント mytrust を含めた一致ルールを設定します。
クライアント証明書認証に newtrust トラストポイントを使用する接続はどれも、mymap 証明書マップに指定されている属性ルールにクライアント証明書が一致するかどうかを確認します。一致する場合、ASA は、10.22.184.22 にある OCSP 応答側にアクセスして証明書失効ステータスを確認します。次に、mytrust トラストポイントを使用して、応答側証明書を検証します。
(注) newtrust トラストポイントは、OCSP 経由でクライアント証明書の失効チェックを実行するように設定されます。ただし、mytrust トラストポイントにはデフォルトの失効チェック方法が設定されています。デフォルトは none であるため、OCSP 応答側証明書に対して失効チェックは実行されません。
|
|
---|---|
クリプト CA トラストポイント コンフィギュレーション モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。 |
|
特定の証明書に対する有効期限チェックを管理者が免除できるようにするには、CA トラストプール コンフィギュレーション モードで match certificate allow expired-certificate コマンドを使用します。特定の証明書の免除をディセーブルにするには、このコマンドの no 形式を使用します。
match certificate <map> allow expired-certificate
no match certificate <map> allow expired-certificate
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
トラストプールの match コマンドでは、証明書マップ オブジェクトを利用して、証明書固有の例外やグローバル トラストプール ポリシーに対するオーバーライドを設定します。一致ルールは検証する証明書ごとに記述されます。
|
|
---|---|
特定の証明書に対する失効チェックを管理者が免除できるようにするには、CA トラストプール コンフィギュレーション モードで match certificate skip revocation-check コマンドを使用します。失効チェックの免除をディセーブルにするには、このコマンドの no 形式を使用します。
match certificate map skip revocation-check
no match certificate map skip revocation-check
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
トラストプールの match コマンドでは、証明書マップ オブジェクトを利用して、証明書固有の例外やグローバル トラストプール ポリシーに対するオーバーライドを設定します。一致ルールは検証する証明書ごとに記述されます。
次に、サブジェクト DN の共通名が「mycompany123」である証明書に対する有効性チェックをスキップする例を示します。
|
|
---|---|
ESMTP コマンド verb に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match cmd コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]
no match [not] cmd [verb verb | line length gt bytes | RCPT count gt recipients_number]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ESMTP トランザクションで交換される verb(メソッド)NOOP に関して一致条件を ESMTP インスペクション ポリシー マップに設定する例を示します。
|
|
---|---|
Diameter メッセージの Diameter コマンド コードに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match command-code コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
match [ not ] command-code code [ code_2 ]
no match [ not ] command-code code [ code_2 ]
Diameter コマンド コードの名前または番号(0 ~ 4294967295)。照合する連続番号が付されたコマンド コードの範囲がある場合は、2 番目のコードを含めることができます。コマンド コードの名前または番号別に範囲を定義でき、第 1 コードおよび第 2 コードの間のすべての番号に適用されます。コマンド コード名のリストについては、CLI ヘルプを参照してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、Diameter インスペクション クラス マップまたは Diameter インスペクション ポリシー マップで設定できます。このコマンドを使用すると、Diameter コマンド コードに基づいてトラフィックをフィルタ処理できます。その後、パケットをドロップしたり、接続をドロップしたり、一致するトラフィックをログに記録したりすることができます。
http://www.iana.org/assignments/aaa-parameters/aaa-parameters.xhtml [英語] に IETF の登録済みアプリケーション、コマンド コード、および属性値ペアのリストがありますが、このリストにあるすべての項目が Diameter インスペクションでサポートされているわけではありません。技術仕様については、3GPP Web サイトを参照してください。
次に、機能交換要求/応答コマンド メッセージで host-ip-address AVP に含まれる特定の IP アドレスに関して一致条件を設定する例を示します。
|
|
---|---|
ボーダー ゲートウェイ プロトコル(BGP)コミュニティを照合するには、ルートマップ コンフィギュレーション モードで match community コマンドを使用します。コンフィギュレーション ファイルから match community コマンドを削除し、システムをデフォルトの条件(BGP コミュニティ リスト エントリを削除)に戻すには、このコマンドの no 形式を使用します。
match community {standard-list-number | expanded-list-number | community-list-name [exact]}
no match community {standard-list-number | expanded-list-number | community-list-name [exact]}
コミュニティの 1 つ以上の許可グループまたは拒否グループを識別する標準コミュニティ リスト番号(1 ~ 99)を指定します。 |
|
コミュニティの 1 つ以上の許可グループまたは拒否グループを識別する拡張コミュニティ リスト番号(100 ~ 500)を指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルート マップは、いくつかの部分にわかれている可能性があります。route-map コマンドに関連付けられているどの match コマンドとも一致しないルートは無視されます。したがって、そのルートは発信ルート マップ用にアドバタイズされることも、着信ルート マップ用に受け入れられることもありません。一部のデータのみを変更したい場合は、別のルートマップ セクションに明示的に match を指定する必要があります。
次に、コミュニティ リスト 1 と一致するルートの重みが 100 に設定される例を示します。コミュニティ 109 を含むすべてのルートの重みが 100 に設定されます。
次に、コミュニティ リスト 1 と一致するルートの重みを 200 に設定する例を示します。コミュニティ 109 を含むすべてのルートの重みが 200 に設定されます。
次の例では、コミュニティ リスト LIST_NAME と一致するルートの重みが 100 に設定されます。コミュニティ 101 を含むすべてのルートの重みが 100 に設定されます。
次の例は、拡張コミュニティ リスト 500 と一致するルートを示しています。拡張コミュニティ 1 のあるルートに、150 に設定されたウェイトがあります。
|
|
---|---|
クラス マップに inspect コマンドのデフォルトのトラフィックを指定するには、クラス マップ コンフィギュレーション モードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
match default-inspection-traffic
no match default-inspection-traffic
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
DNS over TCP インスペクション用に TCP/53 が追加されました(デフォルトではディスエーブル)。M3UA および STUN のデフォルト ポートも追加されました。 |
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルトのトラフィックを照合できます。 match default-inspection-traffic コマンドは、一般に permit ip src-ip dst-ip という形式のアクセス リストであるもう 1 つの match コマンドと併用できます。
match default-inspection-traffic コマンドともう 1 つの match コマンドを組み合わせるためのルールは、 match default-inspection-traffic コマンドを使用してプロトコルおよびポート情報を指定し、別の match コマンドを使用して他のすべての情報(IP アドレスなど)を指定するというものです。もう 1 つの match コマンドに指定されているプロトコルやポート情報は、 inspect コマンドでは無視されます。
たとえば、次の例に指定されているポート 65535 は無視されます。
インスペクション用のデフォルトのトラフィックは、次のようになります。
次に、クラス マップおよび match default-inspection-traffic コマンドを使用してトラフィック クラスを定義する例を示します。
|
|
---|---|
DNS Resource Record or Question セクションの Domain System Class に関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match dns-class コマンドを使用します。設定済みのクラスを削除するには、このコマンドの no 形式を使用します。
match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}
no match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトでは、このコマンドは DNS メッセージのすべてのフィールド(質問および RR)を調べ、指定されたクラスを照合します。DNS クエリーと応答の両方が検査されます。
一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
次に、DNS インスペクション ポリシー マップに DNS クラスに関して一致条件を設定する例を示します。
|
|
---|---|
クエリー タイプや RR タイプなど DNS タイプに関して一致条件を設定するには、クラス マップまたはポリシー マップ コンフィギュレーション モードで match dns-type コマンドを使用します。設定された DNS タイプを削除するには、このコマンドの no 形式を使用します。
match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}
no match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトでは、このコマンドは DNS メッセージのすべてのセクション(質問および RR)を調べ、指定されたタイプを照合します。DNS クエリーと応答の両方が検査されます。
一致対象は、match not header-flag QR と match question の 2 つのコマンドによって DNS クエリーのクエスチョン部分にまで絞ることができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
次に、DNS インスペクション ポリシー マップに DNS タイプに関して一致条件を設定する例を示します。
|
|
---|---|
DNS メッセージ ドメイン名リストに関して一致条件を設定するには、クラス マップ コンフィギュレーション モードまたはポリシー マップ コンフィギュレーション モードで match domain-name コマンドを使用します。設定されたセクションを削除するには、このコマンドの no 形式を使用します。
match [not] domain-name regex regex_id
match [not] domain-name regex class class_id
no match [not] domain-name regex regex_id
no match [not] domain-name regex class class_id
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、定義済みのリストと DNS メッセージのドメイン名を照合します。圧縮されたドメイン名は、照合の前に展開されます。一致条件は、他の DNS match コマンドと併用して、特定のフィールドにまで絞り込むことができます。
このコマンドは、DNS クラス マップまたは DNS ポリシー マップ内で設定できます。DNS クラス マップ内で入力できるエントリは 1 つのみです。
次に、DNS インスペクション ポリシー マップで DNS ドメイン名を照合する例を示します。
|
|
---|---|
M3UA データ メッセージの宛先ポイント コード(DPC)に関して一致条件を設定するには、ポリシー マップ コンフィギュレーション モードで match dpc コマンドを使用します。一致条件を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは M3UA インスペクション ポリシー マップで設定できます。宛先ポイント コードに基づいてパケットをドロップできます。ポイント コード は zone - region - sp 形式で、各要素に使用できる値は SS7 バリアントによって異なります。バリアントは ポリシー マップの ss7 variant コマンドで定義できます。
次に、ITU の特定の宛先ポイント コードに関して一致条件を設定する例を示します。
|
|
---|---|
クラス マップの(IP ヘッダーの)IETF-defined DSCP 値を識別するには、クラス マップ コンフィギュレーション モードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
IP ヘッダーに最大 8 種類の IETF-defined DSCP 値を指定します。指定できる範囲は、0 ~ 63 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
match コマンドは、クラス マップのトラフィック クラスに含まれているトラフィックを指定するために使用されます。これらのコマンドには、クラス マップに含まれるトラフィックを定義するさまざまな基準が含まれています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。
トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラス マップの match ステートメントで定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに含まれ、そのトラフィック クラスに関連付けられているアクションの対象になります。あらゆるトラフィック クラスのいずれの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。
次に、クラス マップおよび match dscp コマンドを使用して、トラフィック クラスを定義する例を示します。
|
|
---|---|