permit response

permit response

ロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit

response コマンドを使用します。このモードには gtp-map コマンドを使用してアクセスします。セ

キュリティアプライアンスで要求の送信先ホスト以外の GSN から GTP 応答をドロップできるように するには、このコマンドの no 形式を使用します。

permit response to-object-group to_obj_group_id from-object-group from_obj_group_id no permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

構文の説明

デフォルト デフォルトでは、セキュリティアプライアンスは、要求の送信先ホスト以外の GSN から GTP 応答を ドロップします。

コマンドモード 次の表に、コマンドを入力できるモードを示します。

コマンド履歴

使用上のガイドライン ロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit response コマンドを使用します。permit response コマンドは、GTP 応答の送信先とは異なる GSN か らの応答を許可するように GTP マップを設定します。

from-object-group

from_obj_group_id object-group コマンドを使用して設定されたオブジェクトグループの名

前を指定します。このオブジェクトグループは、to_obj_group_id 引数で 指定されたオブジェクトグループ内の GSN セットに応答を送信できます。

セキュリティアプライアンスは、IPv4 アドレスを持つネットワークオブ ジェクトが含まれたオブジェクトグループのみをサポートしています。現

在、IPv6 アドレスは GTP ではサポートされていません。

to-object-group

to_obj_group_id object-group コマンドを使用して設定されたオブジェクトグループの名

前を指定します。このオブジェクトグループは、from_obj_group_id 引数 で指定されたオブジェクトグループ内の GSN セットから応答を受信でき ます。セキュリティアプライアンスは、IPv4 アドレスを持つネットワー クオブジェクトが含まれたオブジェクトグループのみをサポートしていま す。現在、IPv6 アドレスは GTP ではサポートされていません。

コマンドモード

ファイアウォールモード セキュリティコンテキスト

ルーテッド 透過 シングル

マルチ コンテキス

ト システム

GTP マップコンフィギュレー ション

• • • • —

リリース 変更内容

7.0（4） このコマンドが導入されました。

第 22 章 packet-tracer コマンド～ pwd コマンド

permit response

ロードバランシング GSN のプールは、ネットワークオブジェクトとして指定します。同様に、SGSN もネットワークオブジェクトとして指定します。応答している GSN が GTP 要求の送信先の GSN と同 じオブジェクトグループに属している場合、および応答している GSN による GTP 応答の送信が許可 されている先のオブジェクトグループに SGSN がある場合、セキュリティアプライアンスはその応答 を許可します。

例 次に、192.168.32.0 ネットワーク上の任意のホストから IP アドレス 192.168.112.57 のホストへの GTP

応答を許可する例を示します。

hostname(config)# object-group network gsnpool32

hostname(config-network)# network-object 192.168.32.0 255.255.255.0 hostname(config)# object-group network sgsn1

hostname(config-network)# network-object host 192.168.112.57 hostname(config-network)# exit

hostname(config)# gtp-map qtp-policy

hostname(config-gtpmap)# permit response to-object-group sgsn1 from-object-group gsnpool32

関連コマンド コマンド 説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

gtp-map GTP マップを定義し、GTP マップコンフィギュレーションモードをイ

ネーブルにします。

inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用

します。

permit errors _無効な GTP パケットを許可します。

show service-policy

inspect gtp GTP コンフィギュレーションを表示します。

第 22 章 packet-tracer コマンド～ pwd コマンド pfs

pfs

PFS をイネーブルにするには、グループポリシーコンフィギュレーションモードで pfs enable コマン ドを使用します。PFS をディセーブルにするには、pfs disable コマンドを使用します。実行コンフィ ギュレーションから PFS 属性を削除するには、このコマンドの no 形式を使用します。

pfs {enable | disable}

no pfs

構文の説明

デフォルト PFS はディセーブルです。

コマンドモード 次の表に、コマンドを入力できるモードを示します。

コマンド履歴

使用上のガイドライン VPN クライアントとセキュリティアプライアンスの PFS 設定は一致する必要があります。

別のグループポリシーから PFS の値を継承できるようにするには、このコマンドの no 形式を使用し ます。

IPSec ネゴシエーションでは、PFS により、新しい各暗号キーはそれまでのあらゆるキーと無関係であ

ることが保証されます。

例 次に、FirstGroup という名前のグループポリシーに対して PFS を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes hostname(config-group-policy)# pfs enable

disable PFS をディセーブルにします。

enable PFS をイネーブルにします。

コマンドモード

ファイアウォールモード セキュリティコンテキスト

ルーテッド 透過 シングル

マルチ コンテキス

ト システム

グループポリシーコンフィギュ レーション

• — • — —

リリース 変更内容

7.0(1) このコマンドが導入されました。

第 22 章 packet-tracer コマンド～ pwd コマンド