mac-address-table aging-time ～ multicast-routing コマンド

(1)

C H A P T E R 20

mac-address-table aging-time ～ multicast-routing コマンド

mac-address-table aging-time

MAC

アドレステーブルエントリのタイムアウトを設定するには、グローバルコンフィギュレーションモードで mac-address-table aging-time コマンドを使用します。デフォルト値の 5 分に戻すには、このコマンドの no 形式を使用します。

mac-address-table aging-time timeout_value no mac-address-table aging-time

シンタックスの説明

デフォルトデフォルトのタイムアウトは 5 分です。

コマンドモード次の表に、コマンドを入力できるモードを示します。

コマンド履歴

例次に、MAC アドレスのタイムアウトを 10 分に設定する例を示します。

hostname(config)# mac-address-timeout aging time 10

timeout_value MAC アドレスエントリがタイムアウトするまでに、MAC アドレステー

ブルにとどまっている時間。

5 ～ 720 分（12 時間）

。

5 分がデフォルトです。

コマンドモード

ファイアウォールモードセキュリティコンテキストルーテッド

トランスペ

アレントシングル

マルチ

コンテキストシステムグローバルコンフィギュレー

ション

— • • • —

リリース変更

2.2(1)

このコマンドが追加されました。

(2)

第20章 mac-address-table aging-time ～ multicast-routing コマンド mac-address-table aging-time

arp-inspection ARP パケットとスタティック ARP エントリを比較する ARP 検

査をイネーブルにします。

firewall transparent

ファイアウォールモードをトランスペアレントに設定します。

mac-address-table static MAC

（メディアアクセス制御）アドレステーブルにスタティッ

ク

MAC

アドレスエントリを追加します。

mac-learn MAC

アドレスラーニングをディセーブルにします。

show mac-address-table

ダイナミックエントリおよびスタティックエントリを含めて、

MAC アドレステーブルを表示します。

(3)

第20章 mac-address-table aging-time ～ multicast-routing コマンド

mac-address-table static

mac-address-table static

MAC アドレステーブルにスタティックエントリを追加するには、グローバルコンフィギュレー

ションモードで mac-address-table static コマンドを使用します。スタティックエントリを削除するには、このコマンドの

no

形式を使用します。

mac-address-table static interface_name mac_address no mac-address-table static interface_name mac_address

デフォルトこのコマンドには、デフォルトの動作または値はありません。

コマンド履歴

使用上のガイドライン

MAC

アドレスは通常、特定の

MAC

アドレスからのトラフィックがインターフェイスに着信したときに、

MAC

アドレステーブルに動的に追加されます。必要に応じて、

MAC

アドレステーブルにスタティック MAC アドレスを追加できます。スタティックエントリを追加する利点の 1 つは、

MAC スプーフィング対策になることです。クライアントがスタティックエントリと同じ MAC ア

ドレスを使用して、スタティックエントリと一致しないインターフェイスにトラフィックを送信しようとした場合、

FWSM

はトラフィックをドロップして、システムメッセージを生成します。

例次に、MAC アドレステーブルにスタティック MAC アドレスエントリを追加する例を示します。

hostname(config)# mac-address-table static inside 0010.7cbe.6101

関連コマンド

interface_name

送信元インターフェイスを設定します。

mac_address

テーブルに追加する

MAC

アドレスを設定します。

トランスペ

マルチ

ション

— • • • —

リリース変更

2.2(1)

コマンド説明

arp

スタティック ARP エントリを追加します。

firewall transparent

mac-address-table aging-time

ダイナミック

MAC

（メディアアクセス制御）アドレスエントリのタイムアウトを設定します。

mac-learn MAC

アドレスラーニングをディセーブルにします。

show mac-address-table MAC アドレステーブルエントリを表示します。

(4)

第20章 mac-address-table aging-time ～ multicast-routing コマンド mac-learn

mac-learn

インターフェイスの MAC アドレスラーニングをディセーブルにするには、グローバルコンフィギュレーションコマンドで mac-learn コマンドを使用します。MAC アドレスラーニングを再びイネーブルにするには、このコマンドの

no

mac-learn interface_name disable no mac-learn interface_name disable

コマンド履歴

使用上のガイドラインデフォルトで、各インターフェイスは着信トラフィックの

MAC

アドレスを自動的に学習し、

FWSM

が

MAC

アドレステーブルに対応するエントリを追加します。必要に応じて、

MAC

アドレスラー

ニングをディセーブルにできます。

例次に、外部インターフェイス上で MAC ラーニングをディセーブルにする例を示します。

hostname(config)# mac-learn outside disable

関連コマンド

interface_name MAC ラーニングをディセーブルにするインターフェイスを設定します。

disable MAC

ラーニングをディセーブルにします。

トランスペ

マルチ

ション

— • • • —

リリース変更

2.2(1)

コマンド説明

clear configure mac-learn mac-learn

の設定をデフォルトにします。

firewall transparent

mac-address-table static MAC

（メディアアクセス制御）アドレステーブルにスタティッ

ク MAC アドレスエントリを追加します。

show mac-address-table

ダイナミックエントリおよびスタティックエントリを含めて、

MAC

アドレステーブルを表示します。

show running-config mac-learn mac-learn

の設定を表示します。

(5)

mac-list

mac-list

MAC ベースの認証に使用する MAC アドレスのリストを指定するには、グローバルコンフィギュ

レーションモードで mac-list コマンドを使用します。

MAC アドレスリストの使用を禁止するには、

このコマンドの

no

mac-list

コマンドを使用すると、先頭一致検索を使用する

MAC

アドレスのリストが追加されます。

mac-list id {deny | permit} mac macmask no mac-list id {deny | permit} mac macmask

コマンド履歴

1

組の

MAC

アドレスをグループとしてまとめるには、同じ

id

値を使用して、必要な回数だけ

mac-list

コマンドを入力します。

aaa mac-exempt

コマンドを使用する前に、

mac-list

コマンドを使用して MAC アクセスリスト番号を設定します。

実行されるのは AAA 免除だけです。認証が免除される MAC アドレスは、許可が自動的に免除されます。それ以外のタイプの AAA は mac-list ではサポートされません。

例次に、

MAC

アドレスリストの設定例を示します。

hostname(config)# mac-list adc permit 00a0.ca5d.0282 ffff.ffff.ffff hostname(config)# mac-list adc deny 00a1.ca5d.0282 ffff.ffff.ffff hostname(config)# mac-list ac permit 0050.54ff.0000 ffff.ffff.0000 hostname(config)# mac-list ac deny 0061.54ff.b440 ffff.ffff.ffff hostname(config)# mac-list ac deny 0072.54ff.b440 ffff.ffff.ffff

deny

条件と一致するトラフィックは、

MAC リストに

含めないで、認証と許可の両方を要求することを指定します。

id MAC

アクセスリストに英数字の名前を指定します。

mac 12

桁の

16

進数形式（

nnnn.nnnn.nnnn

）で、送信元

MAC

アドレスを指定します。

macmask mac

にネットマスクを指定して適用し、

MAC

アドレスのグループ分けができ

るようにします。

permit

条件と一致するトラフィックを MAC リストに含め、認証と許可の両方を免

除することを指定します。

ファイアウォールモードセキュリティコンテキスト

ルーテッド

トランスペ

マルチ

ション

• • — — •

リリース変更

3.1(1)

(6)

第20章 mac-address-table aging-time ～ multicast-routing コマンド mac-list

aaa authentication aaa-server コマンドで指定されたサーバ上で、LOCAL、

TACACS+、または RADIUS ユーザ認証をイネーブルまたはディ

セーブルに設定したり、表示したりします。または

ASDM

ユーザ認証をイネーブルまたはディセーブルにしたり、表示したりします。

aaa authorization LOCAL または TACACS+ ユーザ認証サービスをイネーブルま

たはディセーブルにします。

aaa mac-exempt MAC

アドレスリストの認証および許可を免除します。

clear configure mac-list

指定の

MAC

リスト番号を使用して、

mac-list

コマンドで指定し

た

MAC

アドレスリストを削除します。

show running-config mac-list

指定の MAC リスト番号を使用して、

mac-list コマンドで指定し

た MAC アドレスリストを表示します。

(7)

management-access

management-access

FWSM

へのログイン時に使用したインターフェイス以外のインターフェイスに対する管理アクセ

スを許可するには、グローバルコンフィギュレーションモード management-access コマンドを使用します。このアクセスを禁止するには、このコマンドの

no

management-access mgmt_if no management-access mgmt_if

コマンド履歴

使用上のガイドラインこのコマンドを使用すると、

FWSM

へのログイン時に使用した以外のインターフェイスに接続できます。たとえば、外部インターフェイスから

FWSM

にログインした場合、このコマンドを使用することによって、Telnet で内部インターフェイスに接続できます。または、外部インターフェイスからログインした場合は、内部インターフェイスに

ping

を実行できます。

定義できる管理インターフェイスは 1 つだけです。

management-access コマンドは、IPSec VPN トンネルを介して、次の場合に限りサポートされます。

•

管理インターフェイスへの SNMP ポーリング

•

管理インターフェイスへの HTTPS 要求

•

管理インターフェイスへの ASDM アクセス

•

管理インターフェイスへの Telnet アクセス

•

管理インターフェイスへの SSH アクセス

•

管理インターフェイスへの ping

•

管理インターフェイスへの Syslog ポーリング

•

管理インターフェイスへの NTP 要求

mgmt_if

別のインターフェイスから FWSM に接続するときにアクセスする管理イ

ンターフェイスの名前を指定します。

ルーテッド

トランスペ

マルチ

ション

• — • • —

リリース変更

3.1(1)

(8)

第20章 mac-address-table aging-time ～ multicast-routing コマンド management-access

例次に、管理アクセス用インターフェイスとして、

[inside]

というファイアウォールインターフェイスを設定する例を示します。

hostname(config)# management-access inside hostname(config)# show management-access management-access inside

clear configure management-access FWSM の管理アクセス用インターフェイスの設定を削除

します。

show management-access

管理アクセス用に設定されているインターフェイスの名

前を表示します。

(9)

mask-syst-reply

mask-syst-reply

クライアントから FTP サーバ応答が見えないようにするには、FTP マップコンフィギュレーションモードで mask-syst-reply コマンドを使用します。

FTP マップコンフィギュレーションモードに

は、

ftp-map

コマンドを使用してアクセスします。この設定を削除するには、このコマンドの

no

形

式を使用します。

mask-syst-reply no mask-syst-reply

シンタックスの説明このコマンドには、引数またはキーワードはありません。

デフォルトこのコマンドは、デフォルトでイネーブルです。

コマンド履歴

使用上のガイドラインクライアントから

FTP

サーバシステムを保護するには、完全

FTP

検査を指定して、

mask-syst-reply

コマンドを使用します。このコマンドをイネーブルにすると、

syst

コマンドに対するサーバの応答が X の連続に置き換えられます。

例次に、

syst

コマンドに対する

FTP

サーバの応答を

FWSM

が

X

に置き換えるようにする例を示しま

す。

hostname(config)# ftp-map inbound_ftp hostname(config-ftp-map)# mask-syst-reply hostname(config-ftp-map)# exit

ルーテッド

トランスペ

マルチ

コンテキストシステム

FTP

マップコンフィギュレー

ション

• • • • —

リリース変更

3.1(1)

コマンド説明

class-map

セキュリティアクションを適用するトラフィッククラスを定義し

ます。

ftp-map FTP

マップを定義し、

FTP

マップコンフィギュレーションモード

をイネーブルにします。

inspect ftp

特定の FTP マップがアプリケーション検査で使用されるようにし

ます。

policy-map

特定のセキュリティアクションにクラスマップを対応付けます。

request-command deny

禁止する

FTP

コマンドを指定します。

(10)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match access-list

match access-list

クラスマップでアクセスリストを使用してトラフィックを特定するには、クラスマップコンフィギュレーションモードで match access-list コマンドを使用します。アクセスリストを削除するには、このコマンドの

no

match access-list {acl-id...}

no match access-list {acl-id...}

コマンド履歴

match

コマンドは、トラフィッククラスのクラスマップに含まれるトラフィックを特定する場合に使用します。このコマンドでさまざまな条件を指定して、クラスマップに含まれるトラフィックを定義します。トラフィッククラスは、モジュラポリシーフレームワークを使用してセキュリティ機能を設定するときに、

class-map グローバルコンフィギュレーションコマンドを使用して定義し

ます。クラスマップコンフィギュレーションモードから match コマンドを使用することによって、

クラスに含めるトラフィックを定義できます。

インターフェイスにトラフィッククラスが適用されると、そのインターフェイスで受信したパケットがクラスマップの

match

ステートメントで定義された条件と比較されます。指定された条件と一致したパケットは、トラフィッククラスに含まれ、そのトラフィッククラスに対応付けられたアクションの対象となります。トラフィッククラスで指定された条件のいずれとも一致しなかったパケットは、デフォルトのトラフィッククラスに割り当てられます。

match access-list

コマンドを使用し、

1

つ以上のアクセスリストを指定することによって、具体的

なトラフィックタイプを特定できます。トラフィックは、アクセス制御エントリの

permit

ステートメントによってトラフィッククラスマップに組み込まれ、deny ステートメントによってトラフィッククラスマップから除外されます。

acl-id

一致条件として使用する ACL の名前を指定します。パケットが ACL のエント

リと一致しなかった場合、照合結果は

no-match

になります。パケットが

ACL

のエントリと一致し、なおかつ許可エントリだった場合、照合結果は

match

になります。拒否の ACL エントリと一致した場合の照合結果は、no-match になります。

トランスペ

マルチ

コンテキストシステムクラスマップコンフィギュ

レーション

• • • • —

リリース変更

3.1(1)

(11)

match access-list

例次に、クラスマップおよび

match access-list

コマンドを使用して、トラフィッククラスを定義する例を示します。

hostname(config)# access-list ftp_acl extended permit tcp any any eq 21 hostname(config)# class-map ftp_port

hostname(config-cmap)# match access-list ftp_acl

class-map

インターフェイスにトラフィッククラスを適用します。

clear configure class-map

トラフィックマップ定義を削除します。

match any

クラスマップにすべてのトラフィックを含めます。

match port

クラスマップで具体的なポート番号を指定します。

show running-config class-map

クラスマップの設定情報を表示します。

(12)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match any

match any

クラスマップにすべてのトラフィックを含めるには、クラスマップコンフィギュレーションモードで match any コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match any no match any

コマンド履歴

match コマンドは、トラフィッククラスのクラスマップに含まれるトラフィックを特定する場合

に使用します。このコマンドでさまざまな条件を指定して、クラスマップに含まれるトラフィックを定義します。トラフィッククラスは、モジュラポリシーフレームワークを使用してセキュリティ機能を設定するときに、

class-map

グローバルコンフィギュレーションコマンドを使用して定義します。クラスマップコンフィギュレーションモードから match コマンドを使用することによって、

match

match any コマンドを使用すると（デフォルトクラスマップの class-default と同様）、すべてのパ

ケットが一致します。

match any

hostname(config)# class-map cmap hostname(config-cmap)# match any

トランスペ

マルチ

レーション

• • • • —

リリース変更

3.1(1)

(13)

match any

class-map

clear configure class-map

トラフィックマップの定義をすべて削除します。

match access-list

クラスマップでアクセスリストトラフィックを特定します。

match rtp

クラスマップで特定の RTP ポートを指定します。

show running-config class-map

(14)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match default-inspection-traffic

match default-inspection-traffic

クラスマップで inspect コマンドに対応するデフォルトのトラフィックを指定するには、クラスマップコンフィギュレーションモードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの

no

match default-inspection-traffic no match default-inspection-traffic

デフォルト各検査のデフォルトトラフィックについては、「使用上のガイドライン」を参照してください。

コマンド履歴

match コマンドは、トラフィッククラスのクラスマップに含まれるトラフィックを特定する場合

class-map

match

match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドに対応するデフォル

トトラフィックを照合できます。

match default-inspection-traffic

コマンドは、他の

1

つの

match

コマンドと組み合わせて使用できます。通常は、

permit ip src-ip dst-ip

の形式で、

access-list

と組み合わせます。

match default-inspection-traffic コマンドと 2 番めの match コマンドを組み合わせる場合は、match default-inspection-traffic コマンドでプロトコルおよびポート情報を指定し、2 番めの match コマン

ドでその他のあらゆる情報（

IP

アドレスなど）を指定するのがルールです。

2

番めの

match

コマンドで指定したプロトコルおよびポート情報は、

inspect

コマンドに関しては無視されます。

トランスペ

マルチ

レーション

• • • • —

リリース変更

3.1(1)

(15)

match default-inspection-traffic

たとえば、次の例で指定した

65535

は無視されます。

hostname(config)# class-map cmap

hostname(config-cmap)# match default-inspection-traffic hostname(config-cmap)# match port 65535

検査用のデフォルトトラフィックは、次のとおりです。

match default-inspection-traffic

hostname(config-cmap)# match default-inspection-traffic

関連コマンド

検査タイププロトコルタイプ送信元ポート宛先ポート

ctiqbe tcp

該当なし

1748

dns udp 53 53

ftp tcp

該当なし

21 gtp udp 2123

、

3386 2123

、

3386

h323 h225 tcp

該当なし

1720

h323 ras udp

該当なし

1718-1719

http tcp

該当なし

80 icmp icmp

該当なし該当なし

ils tcp

該当なし

389 mgcp udp 2427、2727 2427、2727

netbios udp 137-138

該当なし

rpc udp 111 111

rsh tcp

該当なし

514 rtsp tcp

該当なし

554 sip tcp、udp

該当なし

5060

skinny tcp

該当なし

2000

smtp tcp

該当なし

25 sqlnet tcp

該当なし

1521

tftp udp

該当なし

69 xdmcp udp 177 177

コマンド説明

class-map

clear configure class-map

match access-list

クラスマップ内のアクセスリストトラフィックを特定します。

match any

show running-config class-map

(16)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match dscp

match dscp

クラスマップで IETF 定義の（IP ヘッダーの）DSCP 値を指定するには、クラスマップコンフィギュレーションモードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの

no

match dscp {values}

no match dscp {values}

コマンド履歴

match

class-map グローバルコンフィギュレーションコマンドを使用して定義し

ます。クラスマップコンフィギュレーションモードから match コマンドを使用することによって、

match

match dscp

コマンドを使用すると、

IP

ヘッダー内の

IETF

で定義された

DSCP

値を照合できます。

match dscp

hostname(config-cmap)# match dscp af43 cs1 ef

values IP ヘッダー内の IETF で定義された DSCP 値を 8 種類まで指定します。範

囲は 0 ～

63 です。

トランスペ

マルチ

レーション

• • • • —

リリース変更

3.1(1)

(17)

match interface

関連コマンド

match interface

指定されたインターフェイスのいずれかを起点とするネクストホップが存在するルートを配布するには、ルートマップコンフィギュレーションモードで match interface コマンドを使用します。

match interface

エントリを削除するには、このコマンドの

no

match interface interface-name...

no match interface interface-name...

デフォルト一致インターフェイスは定義されません。

コマンド履歴

使用上のガイドラインコマンド構文内の省略記号（

...

）は、コマンドを入力するときに、

interface-type interface-number

引数に対応する値を複数指定できることを意味します。

route-map

グローバルコンフィギュレーションコマンドや、

match

および

set

コンフィギュレー

ションコマンドを使用すると、ルーティングプロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、match および set コマンドが関連付けられています。match コマンドでは一致条件（現在の

route-map

コマンドで再配布が許可される条件）を指定します。

set

コマンドでは

set

アクション（

match

コマンドの実行条件が満たされている場合に実行される特定の再配布アクション）を指定します。

no route-map

コマンドを使用すると、ルートマップが削除されます。

コマンド説明

class-map

clear configure class-map

match access-list

match port

そのインターフェイスで受信したパケットの比較条件として、

TCP/UDP

ポートを指定します。

show running-config class-map

interface-name nameif コマンドで指定されたインターフェイスの名前。複数のインター

フェイス名を指定できます。

トランスペ

マルチ

コンテキストシステムルートマップコンフィギュ

レーション

• — • — —

リリース変更

1.1(1)

(18)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match interface

match

ルートマップコンフィギュレーションコマンドには複数の形式があります。

match

コマン

ドは任意の順番で指定できます。

set コマンドで指定された set アクションに従ってルートを再配布

するには、すべての match コマンドと「一致する」必要があります。match コマンドの no 形式を使用すると、指定の一致条件が削除されます。

match

コマンドで複数のインターフェイスが指定されている場合、

no match interface interface-name

で削除できるインターフェイスは

1

つだけです。

ルートマップは複数の部分で構成できます。

route-map

コマンドに関連付けられているどの

match

節とも一致しないルートは、すべて無視されます。一部のデータのみを変更する場合は、別のルートマップセクションを設定し、明示的な一致を指定します。

例次に、ネクストホップが外部のルートを配布する例を示します。

hostname(config)# route-map name

hostname(config-route-map)# match interface outside

match ip next-hop

指定のアクセスリストのいずれかと一致する、ネクストホップルータ

アドレスが含まれるすべてのルートを配布します。

match ip route-source

アクセスリストで指定されたアドレスにあるルータおよびアクセス

サーバによってアドバタイズされたルートを再配布します。

match metric

指定されたメトリックのルートを再配布します。

route-map

ルーティングプロトコル間でルートを再配布する条件を定義します。

set metric

ルートマップに対応する宛先ルーティングプロトコルのメトリック

値を指定します。

(19)

match ip address

match ip address

指定されたアクセスリストのいずれかと一致するルートアドレスまたは一致パケットを持つルートを再配布するには、ルートマップコンフィギュレーションモードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの

no

match ip address {acl...}

no match ip address {acl...}

コマンド履歴

route-map

match

および

set

コンフィギュレーションコマンドを使用すると、ルーティングプロトコル間でのルートの再配布条件を定義できます。各

route-map

コマンドには、

match

および

set

コマンドが関連付けられています。

match

コマンドでは一致条件（現在の route-map コマンドで再配布が許可される条件）を指定します。set コマンドでは

set

アクション（

match

no route-map

コマンドを使用すると、ルートマップが削除されます。

例次に、内部ルートを再配布する例を示します。

hostname(config-route-map)# match ip address acl_dmz1 acl_dmz2

関連コマンド

acl ACL を名前で指定します。複数の ACL を指定できます。

トランスペ

マルチ

レーション

• — • — —

リリース変更

3.1(1)

コマンド説明

match interface

指定のインターフェイスを起点とするネクストホップのあるルートを配

布します。

match ip next-hop

指定のアクセスリストのいずれかと一致する、ネクストホップルータア

ドレスが含まれるすべてのルートを配布します。

match metric

route-map

set metric

ルートマップに対応する宛先ルーティングプロトコルのメトリック値を

指定します。

(20)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match ip next-hop

match ip next-hop

指定されたアクセスリストのいずれかと一致するネクストホップルータアドレスを持つルートを再配布するには、ルートマップコンフィギュレーションモードで match ip next-hop コマンドを使用します。ネクストホップエントリを削除するには、このコマンドの

no

match ip next-hop {acl...| prefix-list prefix_list}

no match ip next-hop {acl...| prefix-list prefix_list}

デフォルトルートは自由に配布されます。ネクストホップアドレスを照合する必要はありません。

コマンド履歴

...

access-list-name

route-map

match

および

set

コンフィギュレー

ションコマンドを使用すると、ルーティングプロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、match および set コマンドが関連付けられています。match コマンドでは一致条件（現在の

route-map

set

コマンドでは

set

アクション（

match

no route-map コマンドを使用すると、ルートマップが削除され

ます。

match ルートマップコンフィギュレーションコマンドには複数の形式があります。match コマン

ドは任意の順番で入力できます。

set

コマンドで指定された

set

アクションに従ってルートを再配布するには、すべての

match

コマンドと「一致する」必要があります。

match

コマンドの

no

形式を使用すると、指定の一致条件が削除されます。

ルートマップを使用してルートを渡す場合、ルートマップは複数の部分で構成できます。

route-map コマンドに関連付けられているどの match 節とも一致しないルートは、すべて無視され

ます。一部のデータのみを変更する場合は、別のルートマップセクションを設定し、明示的な一致を指定します。

acl ACL

の名前。複数の ACL を指定できます。

prefix-list prefix_list

プレフィックスリストの名前

トランスペ

マルチ

レーション

• — • — —

リリース変更

1.1(1)

(21)

match ip next-hop

例次に、アクセスリスト

acl_dmz1

または

acl_dmz2

によって渡されたネクストホップルータアドレスを持つルートを配布する例を示します。

hostname# route-map name

hostname(config-route-map)# match ip next-hop acl_dmz1 acl_dmz2

match interface

指定のインターフェイスを起点とするネクストホップのあるルートを

配布します。

match ip next-hop

match metric

route-map

set metric

ルートマップに対応する宛先ルーティングプロトコルのメトリック値

を指定します。

(22)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match ip route-source

match ip route-source

アクセスリストで指定されたアドレス上のルータおよびアクセスサーバによってアドバタイズされたルートを再配布するには、ルートマップコンフィギュレーションモードで

match ip

route-source

コマンドを使用します。ネクストホップエントリを削除するには、このコマンドの

no

match ip route-source {acl...| prefix-list prefix_list}

no match ip route-source {acl...| prefix-list prefix_list}

デフォルトルート送信元に関するフィルタリングを行いません。

コマンド履歴

...

access-list-name

route-map グローバルコンフィギュレーションコマンドや、match および set コンフィギュレー

ションコマンドを使用すると、ルーティングプロトコル間でのルートの再配布条件を定義できます。各

route-map

match

および

set

match

コマンドでは一致条件（現在の

route-map

set

コマンドでは set アクション（match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション）を指定します。

no route-map コマンドを使用すると、ルートマップが削除され

ます。

match

コマン

set

アクションに従ってルートを再配布するには、すべての match コマンドと「一致する」必要があります。match コマンドの no 形式を使用すると、指定の一致条件が削除されます。

ルートマップは複数の部分で構成できます。route-map コマンドに関連付けられているどの match 節とも一致しないルートは、すべて無視されます。一部のデータのみを変更する場合は、別のルートマップセクションを設定し、明示的な一致を指定します。ルートのネクストホップおよび送信元ルータアドレスは、異なる場合があります。

acl ACL

の名前。複数の

ACL

を指定できます。

prefix_list

プレフィックスリストの名前

ルーテッド

トランスペ

マルチ

レーション

• — • — —

リリース変更

1.1(1)

(23)

match ip route-source

例次に、アクセスリスト

acl_dmz1

および

acl_dmz2

で指定されたアドレス上のルータおよびアクセスサーバによってアドバタイズされたルートを配布する例を示します。

hostname(config-route-map)# match ip route-source acl_dmz1 acl_dmz2

match interface

配布します。

match ip next-hop

match metric

route-map

set metric

(24)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match metric

match metric

指定されたメトリックを持つルートを再配布するには、ルートマップコンフィギュレーション

モードで

match metric

コマンドを使用します。エントリを削除するには、このコマンドの

no

形式

を使用します。

match metric number no match metric number

デフォルトメトリック値に関するフィルタリングを行いません。

コマンド履歴

route-map グローバルコンフィギュレーションコマンドや、match および set コンフィギュレー

route-map

match

および

set

match

コマンドでは一致条件（現在の

route-map

set

コマンドでは set アクション（match コマンドの実行条件が満たされている場合に実行される特定の再配布アクション）を指定します。

no route-map コマンドを使用すると、ルートマップが削除され

ます。

match

コマン

ドは任意の順番で指定できます。また、

set

アクションに従ってルートを再配布するには、すべての

match

コマンドと「一致する」必要があります。match コマンドの no 形式を使用すると、指定の一致条件が削除されます。

ルートマップは複数の部分で構成できます。route-map コマンドに関連付けられているどの match 節とも一致しないルートは、すべて無視されます。一部のデータのみを変更する場合は、別のルートマップセクションを設定し、明示的な一致を指定します。

例次に、メトリックが 5 のルートを再配布する例を示します。

hostname(config-route-map)# match metric 5

number

ルータメトリック値。有効値は

0 ～ 4294967295 です。

トランスペ

マルチ

レーション

• — • — —

リリース変更

1.1(1)

(25)

match port

関連コマンド

match port

クラスマップで特定のポート番号を指定するには、クラスマップコンフィギュレーションモード

で

match port

コマンドを使用します。この指定を削除するには、このコマンドの

no

形式を使用し

ます。

match port {tcp | udp} {eq eq_id | range beg_id end_id}

no match port {tcp | udp} {eq eq_id | range beg_id end_id}

コマンド履歴

match コマンドは、トラフィッククラスのクラスマップに含まれるトラフィックを特定する場合

class-map

コマンド説明

match interface

配布します。

match ip next-hop

route-map

set metric

eq eq_id

ポート名を指定します。

range beg_id end_id

ポート範囲（

1

～

65535

）の開始値と終了値を指定します。

tcp TCP ポートを指定します。

udp UDP ポートを指定します。

トランスペ

マルチ

レーション

• • • • —

リリース変更

3.1(1)

(26)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match port

インターフェイスにトラフィッククラスが適用されると、そのインターフェイスで受信したパケットがクラスマップの match ステートメントで定義された条件と比較されます。指定された条件と一致したパケットは、トラフィッククラスに含まれ、そのトラフィッククラスに対応付けられたアクションの対象となります。トラフィッククラスで指定された条件のいずれとも一致しなかったパケットは、デフォルトのトラフィッククラスに割り当てられます。

match port

コマンドは、ポート範囲を指定する場合に使用します。

例次に、クラスマップおよび match port コマンドを使用して、トラフィッククラスを定義する例を示します。

hostname(config-cmap)# match port tcp eq 8080

class-map

clear configure class-map

match access-list

match any

show running-config class-map

(27)

match precedence

match precedence

クラスマップで優先順位値を指定するには、クラスマップコンフィギュレーションモードで

match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使

用します。

match precedence value no match precedence value

コマンド履歴

match

class-map

グローバルコンフィギュレーションコマンドを使用して定義します。クラスマップコンフィギュレーションモードから

match

コマンドを使用することによって、

インターフェイスにトラフィッククラスが適用されると、そのインターフェイスで受信したパケットがクラスマップの match ステートメントで定義された条件と比較されます。指定された条件と一致したパケットは、トラフィッククラスに含まれ、そのトラフィッククラスに対応付けられたアクションの対象となります。トラフィッククラスで指定された条件のいずれとも一致しなかったパケットは、デフォルトのトラフィッククラスに割り当てられます。

match precedence

コマンドは、

IP

ヘッダーの

TOS

バイトで表された値を指定する場合に使用します。

例次に、クラスマップおよび match precedence コマンドを使用して、トラフィッククラスを定義する例を示します。

hostname(config-cmap)# match precedence 1

value

最大 4 つの優先順位値をスペースで区切って指定します。範囲は 0 ～

7 で

す。

ルーテッド

トランスペ

マルチ

レーション

• • • • —

リリース変更

3.1(1)

(28)

第20章 mac-address-table aging-time ～ multicast-routing コマンド match route-type

関連コマンド

match route-type

指定されたタイプのルートを再配布するには、ルートマップコンフィギュレーションモードで

match route-type

コマンドを使用します。ルートタイプエントリを削除するには、このコマンドの

no

match route-type {local | internal | {external [type-1 | type-2]} | {nssa-external [type-1 | type-2]}}

no match route-type {local | internal | {external [type-1 | type-2]} | {nssa-external [type-1 | type-2]}}

デフォルトこのコマンドは、デフォルトではディセーブルです。

コマンド履歴

route-map グローバルコンフィギュレーションコマンドや、match および set コンフィギュレー

route-map

match

および

set

match

コマンドでは一致条件（現在の route-map コマンドで再配布が許可される条件）を指定します。set コマンドでは set アクション（match コマンドの実行条件が満たされている場合に実行される特定の

コマンド説明

class-map

clear configure class-map

match access-list

match any

show running-config class-map

external OSPF

外部ルート（タイプ

1

またはタイプ

2

）を照合します。

internal OSPF

エリア内ルートおよびエリア間ルートを照合します。

local

ローカルで生成されたルートを照合します。

nssa-external OSPF NSSA 外部ルート（タイプ 1 またはタイプ 2）を照合します。

type-1

（任意）タイプ 1 のルートだけを照合します。

type-2

（任意）タイプ 2 のルートだけを照合します。

トランスペ

マルチ

レーション

• — • — —

リリース変更

1.1(1)

(29)

match route-type

match

コマン

set コマンドで指定された set アクションに従ってルートを再配布

するには、すべての match コマンドと「一致する」必要があります。match コマンドの no 形式を使用すると、指定の一致条件が削除されます。

ルートマップは複数の部分で構成できます。

route-map

コマンドに関連付けられているどの

match

節とも一致しないルートは、すべて無視されます。一部のデータのみを変更する場合は、別のルートマップセクションを設定し、明示的な一致を指定します。

mac-address-table aging-time ～ multicast-routing コマンド

C H A P T E R 20

mac-address-table aging-time ～ multicast-routing コマンド

mac-address-table aging-time

MAC

mac-address-table aging-time timeout_value no mac-address-table aging-time

timeout_value MAC アドレス エントリがタイムアウトするまでに、MAC アドレス テー

5 ～ 720 分（12 時間）

5 分がデフォルトです。

— • • • —

2.2(1)

arp-inspection ARP パケットとスタティック ARP エントリを比較する ARP 検

firewall transparent

mac-address-table static MAC

MAC

mac-learn MAC

show mac-address-table

MAC アドレス テーブルを表示します。

mac-address-table static

MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレー

no

mac-address-table static interface_name mac_address no mac-address-table static interface_name mac_address

MAC

MAC

MAC

MAC

MAC スプーフィング対策になることです。クライアントがスタティック エントリと同じ MAC ア

FWSM

interface_name

mac_address

MAC

— • • • —

2.2(1)

arp

firewall transparent

mac-address-table aging-time

MAC

mac-learn MAC

show mac-address-table MAC アドレス テーブル エントリを表示します。

mac-learn

no

mac-learn interface_name disable no mac-learn interface_name disable

MAC

FWSM

MAC

MAC

interface_name MAC ラーニングをディセーブルにするインターフェイスを設定します。

disable MAC

— • • • —

2.2(1)

clear configure mac-learn mac-learn

firewall transparent

mac-address-table static MAC

show mac-address-table

MAC

show running-config mac-learn mac-learn

mac-list

MAC ベースの認証に使用する MAC アドレスのリストを指定するには、グローバル コンフィギュ

MAC アドレス リストの使用を禁止するには、

no

mac-list

MAC

mac-list id {deny | permit} mac macmask no mac-list id {deny | permit} mac macmask

1

MAC

id

mac-list

aaa mac-exempt

mac-list

MAC

deny

MAC リストに

id MAC

mac 12

16

nnnn.nnnn.nnnn

MAC

macmask mac

MAC

permit

timeout_value MAC アドレスエントリがタイムアウトするまでに、MAC アドレステー

MAC アドレステーブルを表示します。

MAC アドレステーブルにスタティックエントリを追加するには、グローバルコンフィギュレー

MAC スプーフィング対策になることです。クライアントがスタティックエントリと同じ MAC ア

show mac-address-table MAC アドレステーブルエントリを表示します。

MAC ベースの認証に使用する MAC アドレスのリストを指定するには、グローバルコンフィギュ

MAC アドレスリストの使用を禁止するには、

FTP マップコンフィギュレーションモードに

class-map グローバルコンフィギュレーションコマンドを使用して定義し