この章

CHAPTER
16
オブジェクトグループの設定
モジュール、またはオブジェクトグループでアクセスリストを設定することで、アクセスリストの作
成とメンテナンスを簡略化できます。この章では、オブジェクトグループを設定、構成、および表示
する方法について説明します。次の項目を取り上げます。
• 「オブジェクトグループの設定」（P.16-1）
• 「アクセスリストでのオブジェクトグループの使用」（P.16-10）
• 「アクセスリストへのコメントの追加」（P.16-13）
• 「拡張アクセスリストのアクティベーションのスケジュール設定」（P.16-14）
オブジェクトグループの設定
この項は、次の内容で構成されています。
• 「オブジェクトグループに関する情報」（P.16-2）
• 「オブジェクトグループのライセンス要件」（P.16-2）
• 「オブジェクトグループのガイドラインと制限事項」（P.16-3）
• 「オブジェクトグループの追加」（P.16-4）
• 「オブジェクトグループの削除」（P.16-8）
• 「オブジェクトグループの監視」（P.16-8）
• 「オブジェクトグループのネスト」（P.16-9）
• 「オブジェクトグループのネスト」（P.16-9）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-1
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
オブジェクトグループに関する情報
類似オブジェクトをグループにまとめると、オブジェクトごとに ACE を入力する代わりに、ACE でオブ
ジェクトグループを使用できるようになります。次のタイプのオブジェクトグループを作成できます。
• プロトコル
• ネットワーク
• サービス
• ICMP のタイプ
たとえば、次の 3 つのオブジェクトグループを考えてみます。
• MyServices：内部ネットワークへのアクセスが許可されるサービス要求の TCP/UDP ポート番号
を含む。
• TrustedHosts：最大範囲のサービスとサーバへのアクセスが許可されるホストアドレスとネット
ワークアドレスを含む。
• PublicServers：最大のアクセスが提供されるサーバのホストアドレスを含む。
上記のグループを作成すると、1 つの ACE を使用して、信頼できるホストが公開サーバのグループに
サービス要求を許可することが可能になります。
オブジェクトグループを他のオブジェクトグループにネストすることもできます。
（注）
ACE システム制限は、拡張アクセスリストに適用されます。ACE でオブジェクトグループを使用する
と、入力する実際の ACE の数は少なくなりますが、拡張 ACE の数はオブジェクトグループがない場
合と同じです。多くの場合、オブジェクトグループを使用すると、手動で追加した場合より多くの
ACE が作成されます。これは、手動で ACE を作成した場合、オブジェクトグループで作成した場合
より多くのアドレスを集約することになるためです。たとえば、100 の送信元を持つネットワークオ
ブジェクトグループ、100 の宛先を持つネットワークオブジェクトグループ、5 つのポートを持つ
ポートオブジェクトグループについて考えてみます。送信元から宛先までポートを許可すると、拡張
アクセスリストで 50,000 ACE（5 x 100 x 100）が作成されることになります。
オブジェクトグループのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-2
OL-18970-01-J
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
オブジェクトグループのガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキストモードのガイドライン」（P.16-3）
• 「ファイアウォールモードのガイドライン」（P.16-3）
• 「IPv6 のガイドライン」（P.16-3）
• 「その他のガイドラインと制限事項」（P.16-3）
コンテキストモードのガイドライン
シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
IPv6 のガイドライン
IPv6 をサポートします。
その他のガイドラインと制限事項
オブジェクトグループには、次のガイドラインと制限事項が適用されます。
• オブジェクトグループには、固有の名前が必要となります。「Engineering」という名前のネット
ワークオブジェクトグループと「Engineering」という名前のサービスオブジェクトグループを
作成する場合、少なくとも 1 つのオブジェクトグループ名の最後に識別子（または「タグ」）を追
加して、その名前を固有のものにする必要があります。たとえば、「Engineering_admins」と
「Engnineering_hosts」という名前を使用すると、オブジェクトグループの名前を固有のものにし
て特定可能にすることができます。
• オブジェクトグループを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェク
トを指定することで、必要に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再
入力する必要はありません。設定済みのコマンドは、コマンドの no 形式でオブジェクトグループ
を削除するまで消えません。
• ホスト、プロトコル、またはサービスのようなオブジェクトをグループ化し、そのグループ名を使
用して 1 つのコマンドを入力すると、そのグループの各項目にコマンドを適用できます。
• オブジェクトグループコマンドでグループを定義した後に任意のセキュリティアプライアンスコ
マンドを使用すると、そのコマンドはそのグループの各項目に適用されます。この機能により、コ
ンフィギュレーションのサイズを大幅に削減できます。
（注）
別のアクセスリストで使用されている場合は、オブジェクトグループを削除したり、オブジェ
クトグループを空にすることはできません。オブジェクトグループの削除の詳細については、
「オブジェクトグループの削除」（P.16-8）を参照してください。
• オブジェクトグループを定義した後、次の例に示すように、適用可能なすべてのセキュリティア
プライアンスコマンドで、グループ名の前に object-group キーワードを使用する必要があります。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-3
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
オブジェクトグループの追加
この項は、次の内容で構成されています。
• 「プロトコルオブジェクトグループの追加」（P.16-4）
• 「ネットワークオブジェクトグループの追加」（P.16-5）
• 「サービスオブジェクトグループの追加」（P.16-6）
• 「ICMP タイプオブジェクトグループの追加」（P.16-7）
プロトコルオブジェクトグループの追加
プロトコルオブジェクトグループを追加または変更するには、この項の手順を実行します。グループ
を追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に
応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定
済みのコマンドは、コマンドの no 形式で削除するまで残ります。
詳細な手順
コマンド
目的
ステップ 1 object-group protocol obj_grp_id
例:
hostname(config)# object-group protocol
tcp_udp_icmp
プロトコルグループを追加します。obj_grp_id は最大長が 64 文
字の文字列で、英字、数字、および次の文字を組み合せることが
できます。
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
プロンプトがプロトコルコンフィギュレーションモードに変わ
ります。
ステップ 2 description text
例:
hostname(config-protocol)# description New
Group
（オプション）説明を追加します。説明には、最大 200 文字を使
用できます。
ステップ 3 protocol-object protocol
グループでプロトコルを定義します。プロトコルごとにコマンド
を入力します。protocol は、指定の IP プロトコルの数値識別子
例:
（
1 ～ 254）またはキーワード識別子（たとえば、icmp、tcp、ま
hostname(config-protocol)# protocol-object
たは udp）です。すべての IP プロトコルを含めるには、キー
tcp
ワード ip を使用します。指定できるプロトコルのリストについ
ては、「プロトコルとアプリケーション」（P.C-11）を参照してく
ださい。
例
TCP、UDP、および ICMP のプロトコルグループを作成するには、次のコマンドを入力します。
hostname
hostname
hostname
hostname
(config)# object-group protocol tcp_udp_icmp
(config-protocol)# protocol-object tcp
(config-protocol)# protocol-object udp
(config-protocol)# protocol-object icmp
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-4
OL-18970-01-J
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
ネットワークオブジェクトグループの追加
ネットワークオブジェクトグループは、アクセスリストのタイプに応じて、IPv4 アドレスおよび IPv6
アドレスをサポートします。IPv6 アクセスリストの詳細については、第 15 章「IPv6 アクセスリスト
の追加」を参照してください。
ネットワークオブジェクトグループを追加または変更するには、この項の手順を実行します。グルー
プを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要
に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設
定済みのコマンドは、コマンドの no 形式で削除するまで残ります。
詳細な手順
コマンド
目的
ステップ 1 object-group network grp_id
例:
hostname(config)# object-group network
admins
ネットワークグループを追加します。
grp_id は最大長が 64 文字の文字列で、英字、数
字、および次の文字を組み合せることができます。
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
プロンプトがプロトコルコンフィギュレーション
モードに変わります。
ステップ 2 description text
例:
hostname(config-network)# Administrator
Addresses
ステップ 3 network-object network {host ip_address |
ip_address mask}
（オプション）説明を追加します。説明には、最大
200 文字を使用できます。
グループでネットワークを定義します。ネットワー
クまたはアドレスごとにコマンドを入力します。
例:
hostname(config-network)# network-object
host 10.1.1.4
例
3 人の管理者の IP アドレスを含むネットワークグループを作成するには、次のコマンドを入力します。
hostname
hostname
hostname
hostname
hostname
(config)# object-group network admins
(config-protocol)# description Administrator Addresses
(config-protocol)# network-object host 10.1.1.4
(config-protocol)# network-object host 10.1.1.78
(config-protocol)# network-object host 10.1.1.34
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-5
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
サービスオブジェクトグループの追加
サービスオブジェクトグループを追加または変更するには、この項の手順を実行します。グループを
追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要に応
じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設定済
みのコマンドは、コマンドの no 形式で削除するまで残ります。
詳細な手順
コマンド
目的
ステップ 1 object-group service grp_id {tcp | udp |
tcp-udp}
例:
hostname(config)# object-group service
services1 tcp-udp
サービスグループを追加します。grp_id は最大長
が 64 文字の文字列で、英字、数字、および次の文
字を組み合せることができます。
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
tcp、udp、または tcp-udp のいずれかのキーワー
ドで、追加するサービス（ポート）のプロトコルを
指定します。DNS（ポート 53）のように、同じ
ポート番号で TCP と UDP の両方を使用している
場合は、tcp-udp キーワードを入力します。
プロンプトがサービスコンフィギュレーション
モードに変わります。
ステップ 2 description text
例:
hostname(config-service)# description DNS
Group
ステップ 3 port-object {eq port | range begin_port
end_port}
例:
hostname(config-service)# port-object eq
domain
（オプション）説明を追加します。説明には、最大
200 文字を使用できます。
グループでポートを定義します。ポートまたはポー
ト範囲ごとにコマンドを入力します。使用できる
キーワードおよび予約済みポート割り当てのリスト
については、「プロトコルとアプリケーション」
（P.C-11）を参照してください。
例
DNS（TCP/UDP）、LDAP（TCP）、および RADIUS（UDP）が含まれたサービスグループを作成す
るには、次のコマンドを入力します。
hostname (config)# object-group service services1 tcp-udp
hostname (config-service)# description DNS Group
hostname (config-service)# port-object eq domain
hostname
hostname
hostname
hostname
(config)# object-group service services2 udp
(config-service)# description RADIUS Group
(config-service)# port-object eq radius
(config-service)# port-object eq radius-acct
hostname (config)# object-group service services3 tcp
hostname (config-service)# description LDAP Group
hostname (config-service)# port-object eq ldap
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-6
OL-18970-01-J
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
ICMP タイプオブジェクトグループの追加
ICMP タイプオブジェクトグループを追加または変更するには、この項の手順を実行します。グルー
プを追加した後、同じグループ名でこの手順を繰り返し、追加のオブジェクトを指定することで、必要
に応じてさらにオブジェクトを追加できます。既存のオブジェクトを再入力する必要はありません。設
定済みのコマンドは、コマンドの no 形式で削除するまで残ります。
詳細な手順
コマンド
目的
ステップ 1 object-group icmp-type grp_id
例:
hostname(config)# object-group icmp-type
ping
ICMP タイプオブジェクトグループを追加します。grp_id は最
大長が 64 文字の文字列で、英字、数字、および次の文字を組み
合せることができます。
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
プロンプトが ICMP タイプコンフィギュレーションモードに変
わります。
ステップ 2 description text
例:
hostname(config-icmp-type)# description
Ping Group
ステップ 3
icmp-object icmp-type
例:
hostname(config-icmp-type)# icmp-object
echo-reply
（オプション）説明を追加します。説明には、最大 200 文字を使
用できます。
ICMP タイプをグループで定義します。タイプごとにコマンドを
入力します。ICMP タイプのリストについては、「ICMP タイプ」
（P.C-16）を参照してください。
例
次のコマンドを入力して、echo-reply および echo（ping 制御に使用）が含まれる ICMP タイプグルー
プを作成します。
hostname
hostname
hostname
hostname
(config)# object-group icmp-type ping
(config-service)# description Ping Group
(config-service)# icmp-object echo
(config-service)# icmp-object echo-reply
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-7
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
オブジェクトグループの削除
特定のオブジェクトグループまたは指定したタイプのすべてのオブジェクトグループを削除できます
が、アクセスリストで使用されている場合は、そのオブジェクトグループを削除したり、空にするこ
とはできません。
詳細な手順
ステップ 1 次のいずれかを実行します。
no object-group grp_id
例:
hostname(config)# no object-group
Engineering_host
指定のオブジェクトグループを削除します。grp_id は最大長が
64 文字の文字列で、英字、数字、および次の文字を組み合せる
ことができます。
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
clear object-group [protocol | network |
services | icmp-type]
例:
hostname(config)# clear-object group
network
指定したタイプのすべてのオブジェクトグループを削除します。
（注）
タイプを入力しない場合、すべてのオブジェクトグルー
プが削除されます。
オブジェクトグループの監視
オブジェクトグループを監視するには、次のコマンドを入力します。
コマンド
目的
show access-list
オブジェクトをグループ化せずに個々のエントリ
に拡張されるアクセスリストエントリを表示し
ます。
show running-config object-group
現在のすべてのオブジェクトグループを表示し
ます。
show running-config object-group grp_id
現在のオブジェクトグループをグループ ID ごと
に表示します。
show running-config object-group grp_type
現在のオブジェクトグループをグループタイプ
ごとに表示します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-8
OL-18970-01-J
第 16 章
オブジェクトグループの設定
オブジェクトグループの設定
オブジェクトグループのネスト
オブジェクトグループを階層的にネストして、1 つのオブジェクトグループに同じタイプの他のオブ
ジェクトグループを含めることができます。
オブジェクトグループを同じタイプの別のオブジェクトグループにネストするには、まず、ネストす
（P.16-4）を参照）、この項の手順を実行します。
るグループを作成し（「オブジェクトグループの追加」
詳細な手順
ステップ 1
コマンド
目的
object-group group {{protocol | network |
icmp-type} grp_id |service grp_id {tcp |
udp | tcp-udp}}
下位に別のオブジェクトグループをネストする指定のオブジェ
クトグループタイプを追加または編集します。
例:
hostname(config)# object-group network
Engineering_group
よび次の文字を組み合せることができます。
service_grp_id は最大長が 64 文字の文字列で、英字、数字、お
• 下線（_）
• ダッシュ（-）
• ピリオド（.）
ステップ 2 group-object group_id
例:
hostname(config-network)# network-object
host 10.1.1.5
hostname(config-network)# network-object
host 10.1.1.7
hostname(config-network)# network-object
host 10.1.1.9
指定したグループをステップ 1 で指定したオブジェクトグルー
プの下位に追加します。ネストするグループは、同じタイプであ
る必要があります。ネストしたグループオブジェクトと通常の
オブジェクトは、単一のオブジェクトグループ内でさまざまに
組み合せることができます。
例
次のコマンドを入力して、さまざまな部門に所属する特権ユーザのネットワークオブジェクトグルー
プを作成します。
hostname
hostname
hostname
hostname
(config)# object-group network eng
(config-network)# network-object host 10.1.1.5
(config-network)# network-object host 10.1.1.9
(config-network)# network-object host 10.1.1.89
hostname (config)# object-group network hr
hostname (config-network)# network-object host 10.1.2.8
hostname (config-network)# network-object host 10.1.2.12
hostname (config)# object-group network finance
hostname (config-network)# network-object host 10.1.4.89
hostname (config-network)# network-object host 10.1.4.100
その後、3 つすべてのグループを次のようにネストします。
hostname
hostname
hostname
hostname
(config)# object-group network
(config-network)# group-object
(config-network)# group-object
(config-network)# group-object
admin
eng
hr
finance
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-9
第 16 章
オブジェクトグループの設定
アクセスリストでのオブジェクトグループの使用
ACE では次のように管理オブジェクトグループを指定するだけです。
hostname (config)# access-list ACL_IN extended permit ip object-group admin host
209.165.201.29
オブジェクトグループの機能履歴
表 16-1 に、この機能のリリース履歴の一覧を示します。
表 16-1
オブジェクトグループの機能履歴
機能名
リリース
機能情報
オブジェクトグループ
7.0
オブジェクトグループにより、アクセスリストの作成とメ
ンテナンスが簡略化されます。
object-group protocol、object-group network、
object-group service、および object-group icmp_type コ
マンドが導入または変更されました。
アクセスリストでのオブジェクトグループの使用
ここでは、次の項目について説明します。
• 「アクセスリストでのオブジェクトグループの使用に関する情報」（P.16-10）
• 「アクセスリストでのオブジェクトグループの使用のライセンス要件」（P.16-10）
• 「アクセスリストでのオブジェクトグループの使用のガイドラインと制限事項」（P.16-11）
• 「アクセスリストでのオブジェクトグループの設定」（P.16-11）
• 「アクセスリストでのオブジェクトグループの使用の監視」（P.16-12）
• 「アクセスリストでのオブジェクトグループの使用の設定例」（P.16-12）
• 「アクセスリストでのオブジェクトグループの使用の機能履歴」（P.16-13）
アクセスリストでのオブジェクトグループの使用に関する情報
オブジェクトグループをアクセスリストで使用し、通常のプロトコル（protocol）、ネットワーク
（source_address mask など）、サービス（operator port）、または ICMP タイプ（icmp_type）の各パラ
メータを object-group grp_id パラメータで置き換えることができます。
アクセスリストでのオブジェクトグループの使用のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-10
OL-18970-01-J
第 16 章
オブジェクトグループの設定
アクセスリストでのオブジェクトグループの使用
アクセスリストでのオブジェクトグループの使用のガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキストモードのガイドライン」（P.16-11）
• 「ファイアウォールモードのガイドライン」（P.16-11）
• 「IPv6 のガイドライン」（P.16-3）
• 「その他のガイドラインと制限事項」（P.16-11）
コンテキストモードのガイドライン
シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
IPv6 のガイドライン
IPv6 をサポートします。
その他のガイドラインと制限事項
アクセスリストでオブジェクトグループを使用する際には、次のガイドラインと制限事項が適用され
ます。
すべてのパラメータにオブジェクトグループを使用する必要はありません。たとえば、送信元アドレ
スにオブジェクトグループを使用しても、宛先アドレスはアドレスとマスクで指定できます。
アクセスリストでのオブジェクトグループの設定
access-list {tcp | udp} コマンドで使用可能なすべてのパラメータにオブジェクトグループを使用する
には、次のコマンドを入力します。
コマンド
目的
access-list access_list_name [line
line_number] [extended] {deny | permit}
{tcp | udp} object-group nw_grp_id
[object-group svc_grp_id] object-group
nw_grp_id [object-group svc_grp_id]
[log [[level] [interval secs] | disable |
default]] [inactive | time-range
time_range_name]
アクセスリストでオブジェクトグループを設定します。
hostname(config)# access-list 104 permit
tcp object-group A object-group B inactive
コマンドオプションの詳細なリストについては、『Cisco Adaptive
Security Appliance Command Reference』の access list estended コマンド
を参照してください。
アクセスリストでオブジェクトグループを使用するための詳細な設定例
については、「アクセスリストのアクティベーションのスケジュール設定
例」（P.16-16）を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-11
第 16 章
オブジェクトグループの設定
アクセスリストでのオブジェクトグループの使用
アクセスリストでのオブジェクトグループの使用の監視
アクセスリストでのオブジェクトグループの使用を監視するには、次のコマンドを入力します。
コマンド
目的
show access-list
オブジェクトをグループ化せずに個々のエントリ
に拡張されるアクセスリストエントリを表示し
ます。
show object-group [protocol | network |
service | icmp-type | id grp_id]
現在設定されているオブジェクトグループのリ
ストを表示します。パラメータを指定しないでコ
マンドを入力すると、システムは設定されている
オブジェクトグループをすべて表示します。
show running-config object-group
現在のすべてのオブジェクトグループを表示し
ます。
show running-config object-group grp_id
現在のオブジェクトグループをグループ ID ごと
に表示します。
show running-config object-group grp_type
現在のオブジェクトグループをグループタイプ
ごとに表示します。
例
次に、show object-group コマンドの出力例を示します。
hostname# show object-group
object-group network ftp_servers
description: This is a group of FTP servers
network-object host 209.165.201.3
network-object host 209.165.201.4
object-group network TrustedHosts
network-object host 209.165.201.1
network-object 192.168.1.0 255.255.255.0
group-object ftp_servers
アクセスリストでのオブジェクトグループの使用の設定例
次に示す、オブジェクトグループを使用しない通常のアクセスリストでは、内部ネットワーク上のい
くつかのホストがいくつかの Web サーバへのアクセスを禁止されます。他のトラフィックはすべて許
可されます。
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
hostname(config)#
eq www
access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.29
access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.29
access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.29
access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.16
access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.16
access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.16
access-list ACL_IN extended deny tcp host 10.1.1.4 host 209.165.201.78
access-list ACL_IN extended deny tcp host 10.1.1.78 host 209.165.201.78
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-12
OL-18970-01-J
第 16 章
オブジェクトグループの設定
アクセスリストへのコメントの追加
hostname(config)# access-list ACL_IN extended deny tcp host 10.1.1.89 host 209.165.201.78
eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
2 つのネットワークオブジェクトグループ（内部ホスト用に 1 つ、Web サーバ用に 1 つ）を作成する
と、コンフィギュレーションが簡略化され、簡単に修正してホストを追加できるようになります。
hostname(config)# object-group network denied
hostname(config-network)# network-object host 10.1.1.4
hostname(config-network)# network-object host 10.1.1.78
hostname(config-network)# network-object host 10.1.1.89
hostname(config-network)#
hostname(config-network)#
hostname(config-network)#
hostname(config-network)#
object-group network web
network-object host 209.165.201.29
network-object host 209.165.201.16
network-object host 209.165.201.78
hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied
object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
アクセスリストでのオブジェクトグループの使用の機能履歴
表 16-2 に、この機能のリリース履歴の一覧を示します。
表 16-2
アクセスリストでのオブジェクトグループの使用の機能履歴
機能名
リリース
機能情報
オブジェクトグループ
7.0
オブジェクトグループにより、アクセスリストの作成とメ
ンテナンスが簡略化されます。
object-group protocol、object-group network、
object-group service、および object-group icmp_type コ
マンドが導入または変更されました。
アクセスリストへのコメントの追加
拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、
Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できま
す。コメントにより、アクセスリストが理解しやすくなります。
最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-13
第 16 章
オブジェクトグループの設定
拡張アクセスリストのアクティベーションのスケジュール設定
コマンド
目的
access-list access_list_name remark text
最後に入力した access-list コマンドの後にコメントを追加します。
例:
hostname(config)# access-list OUT remark this is the inside admin address
テキストは 100 文字まで指定できます。テキストの先頭にスペースを入
力できます。末尾のスペースは無視されます。
いずれかの access-list コマンドの前にコメントを入力すると、コメント
はアクセスリストの最初の行に表示されます。
no access-list access_list_name コマンドを使用してアクセスリストを削
除すると、コメントもすべて削除されます。
例
各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメ
ントの開始位置にダッシュ（-）を入力すると、ACE と区別しやすくなります。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list
access-list
access-list
access-list
OUT
OUT
OUT
OUT
remark extended
remark extended
this is the inside admin address
permit ip host 209.168.200.3 any
this is the hr admin address
permit ip host 209.168.200.4 any
拡張アクセスリストのアクティベーションのスケジュール設定
この項は、次の内容で構成されています。
• 「アクセスリストのアクティベーションのスケジュール設定に関する情報」（P.16-14）
• 「アクセスリストのアクティベーションのスケジュール設定におけるライセンス要件」（P.16-14）
• 「アクセスリストのアクティベーションのスケジュール設定におけるガイドラインと制限事項」
（P.16-15）
• 「時間範囲の設定と適用」（P.16-15）
• 「アクセスリストのアクティベーションのスケジュール設定例」（P.16-16）
• 「アクセスリストのアクティベーションのスケジュール設定における機能履歴」（P.16-17）
アクセスリストのアクティベーションのスケジュール設定に関する情報
ACE に時間範囲を適用することで、アクセスリストの各 ACE が、1 日および週の特定の時刻にアク
ティブになるようにスケジュールを設定できます。
アクセスリストのアクティベーションのスケジュール設定におけるライセ
ンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-14
OL-18970-01-J
第 16 章
オブジェクトグループの設定
拡張アクセスリストのアクティベーションのスケジュール設定
アクセスリストのアクティベーションのスケジュール設定におけるガイド
ラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキストモードのガイドライン」（P.16-15）
• 「ファイアウォールモードのガイドライン」（P.16-15）
• 「IPv6 のガイドライン」（P.16-11）
• 「その他のガイドラインと制限事項」（P.16-15）
コンテキストモードのガイドライン
シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
IPv6 のガイドライン
IPv6 をサポートします。
その他のガイドラインと制限事項
アクセスリストでオブジェクトグループを使用する際には、次のガイドラインと制限事項が適用され
ます。
• ACL を非アクティブにするための指定の終了時刻の後、約 80 ～ 100 秒の遅延が発生する場合があ
ります。たとえば、指定の終了時刻が 3:50 の場合、この 3:50 は終了時刻に含まれているため、コ
マンドは、3:51:00 ～ 3:51:59 の間に呼び出されます。コマンドが呼び出された後、セキュリティ
アプライアンスは現在実行されているすべてのタスクを終了し、コマンドに ACL を無効にさせま
す。
• time-range コマンドごとに、複数の定期的なエントリが許可されます。time-range コマンドに
absolute 値と periodic 値の両方が指定されている場合、periodic コマンドは absolute の開始時刻
になって初めて評価され、absolute の終了時刻に達した後は評価されません。
時間範囲の設定と適用
時間範囲を追加して時間ベースのアクセスリストを実装できます。時間範囲を特定するには、この項の
手順を実行します。
詳細な手順
コマンド
ステップ 1 time-range name
目的
時間範囲の名前を特定します。
例:
hostname(config)# time range Sales
ステップ 2 次のいずれかを実行します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-15
第 16 章
オブジェクトグループの設定
拡張アクセスリストのアクティベーションのスケジュール設定
コマンド
目的
periodic days-of-the-week time to
[days-of-the-week] time
定期的な時間範囲を指定します。
例:
hostname(config-time-range)# periodic
monday 7:59 to friday 17:01
days-of-the-week には次の値を指定できます。
• monday、tuesday、wednesday、thursday、friday、
saturday、または sunday。
• daily
• weekdays
• weekend
time の形式は、hh:mm です。たとえば、8:00 は午前 8 時になり
ます。また、20:00 は午後 8 時になります。
absolute start time date [end time date]
絶対的な時間範囲を指定します。
例:
hostname(config-time-range)# absolute
start 7:59 2 january 2009
time の形式は、hh:mm です。たとえば、8:00 は午前 8 時になり
ます。また、20:00 は午後 8 時になります。
ステップ 3 access-list access_list_name [extended]
{deny | permit}...[time-range name]
例:
hostname(config)# access list Marketing
extended deny tcp host 209.165.200.225
host 209.165 201.1 time-range
Pacific_Coast
date の形式は、day month year です。たとえば、1 january
2006 と指定します。
ACE へ時間範囲を適用します。
（注）
ACE のロギングもイネーブルにするには、log キーワー
ドを time-range キーワードの前に使用します。inactive
キーワードを使用して ACE をディセーブルにする場合
は、inactive キーワードを最後のキーワードとして使用
します。
access-list コマンドの完全なシンタックスについては、第 11 章
「拡張アクセスリストの追加」を参照してください。
例
次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲に
バインドしています。
hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host
209.165.201.1 time-range New_York_Minute
アクセスリストのアクティベーションのスケジュール設定例
次に、2006 年 1 月 1 日の午前 8 時に始まる絶対的な時間範囲の例を示します。終了時刻も終了日も指
定されていないため、時間範囲は事実上無期限になります。
hostname(config)# time-range for2006
hostname(config-time-range)# absolute start 8:00 1 january 2006
次に、平日の午前 8 時～午後 6 時に毎週繰り返される定期的な時間範囲の例を示します。
hostname(config)# time-range workinghours
hostname(config-time-range)# periodic weekdays 8:00 to 18:00
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-16
OL-18970-01-J
第 16 章
オブジェクトグループの設定
拡張アクセスリストのアクティベーションのスケジュール設定
アクセスリストのアクティベーションのスケジュール設定における機能履歴
表 16-3 に、この機能のリリース履歴の一覧を示します。
表 16-3
アクセスリストのアクティベーションのスケジュール設定における機能履歴
機能名
リリース
機能情報
アクセスリストのアクティベーションのスケ
ジュール設定
7.0
アクセスリストの各 ACE が、1 日および週の特定の時刻に
アクティブになるようにスケジュールを設定できます。
object-group protocol、object-group network、
object-group service、および object-group icmp_type コ
マンドが導入または変更されました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
16-17
第 16 章
オブジェクトグループの設定
拡張アクセスリストのアクティベーションのスケジュール設定
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
16-18
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz