Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
aaa accounting ~ accounting-server-group コマンド
aaa accounting ~ accounting-server-group コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

aaa accounting ~ accounting-server-group コマンド

aaa accounting command

aaa accounting console

aaa accounting include, exclude

aaa accounting match

aaa authentication challenge disable

aaa authentication clear-conn

aaa authentication console

aaa authentication include, exclude

aaa authentication match

aaa authentication secure-http-client

aaa authorization command

aaa authorization include, exclude

aaa authorization match

aaa local authentication attempts max-fail

aaa mac-exempt

aaa proxy-limit

aaa-server host

aaa-server

absolute

accept-subordinates

access-group

access-list alert-interval

access-list commit

access-list deny-flow-max

access-list ethertype

access-list extended

access-list mode

access-list optimization enable

access-list remark

access-list standard

accounting-mode

accounting-port

accounting-server-group

aaa accounting ~ accounting-server-group コマンド

aaa accounting command

Command-Line Interface(CLI; コマンドライン インターフェイス)から show コマンド以外の任意のコマンドを入力したときに、Terminal Access Controller Access Control System Plus(TACACS+)アカウンティング サーバにアカウンティング メッセージを送信するには、グローバル コンフィギュレーション モードで aaa accounting command コマンドを使用します。コマンドのアカウンティングに対するサポートをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting command [ privilege level ] server-tag

no aaa accounting command [ privilege level ] server-tag

 
シンタックスの説明

privilege level

privilege コマンドを使用してコマンドの特権レベルをカスタマイズする場合、最低の特権レベルを指定すると FWSM でアカウンティングを提供するコマンドを制限できます。最低の特権レベル未満のコマンドには、FWSM からのアカウンティングが提供されません。

server-tag

aaa-server protocol コマンドで指定したように、アカウンティング レコードが送信される TACACS+ サーバまたはサーバ グループを指定します。

 
デフォルト

デフォルトの特権レベルは 0 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

aaa accounting command コマンドを設定すると、管理者が入力した show コマンド以外のコマンドが記録され、アカウンティング サーバ(複数可)に送信されます。

次に、サポートされる任意のコマンドのアカウンティング レコードを生成し、そのレコードを adminserver という名前のグループからサーバに送信するように指定する例を示します。

hostname(config)# aaa accounting command adminserver
 

 
関連コマンド

コマンド
説明

aaa accounting

aaa-server コマンドで指定したサーバ上で TACACS+ または Remote Authentication Dial-In User Service(RADIUS)のユーザ アカウンティングをイネーブルまたはディセーブルにします。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa accounting console

管理アクセス用の AAA アカウンティングに対するサポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting console コマンドを使用します。管理アクセス用のアカウンティングに対するサポートをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting {telnet | ssh | enable} console server-tag

no aaa accounting {telnet | ssh | enable} console server-tag

 
シンタックスの説明

enable

特権 EXEC モードを開始および終了したときにアカウンティング レコードのマーク付けをイネーブルにします。

server-tag

アカウンティング レコードが送信されるサーバまたはサーバ グループを指定します。有効なサーバ グループのプロトコルは、RADIUS および TACACS+ です。 aaa-server コマンドで指定したサーバ グループの名前を指定する必要があります。

ssh

SSH 上で作成される管理セッションを確立および終了したときのアカウンティング レコードのマーク付けをイネーブルにします。

telnet

Telnet 上で作成される管理セッションを確立および終了したときのアカウンティング レコードのマーク付けをイネーブルにします。このコマンドは、スイッチから FWSM(システム実行スペース)までのセッションにはアカウンティングを提供しません。

 
デフォルト

デフォルトでは、管理アクセスの AAA アカウンティングがディセーブルにされています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

FWSMにこのコマンドが追加されました。

2.2(1)

このコマンドが LOCAL へのフォールバックをサポートするように変更されました。

 
使用上のガイドライン

スイッチから FWSM までのセッションについては、Telnet 認証がイネーブルに設定されていても管理コンテキストのアカウンティングは提供されません。

次に、イネーブルのアクセスについてカウンティング レコードを生成し、そのレコードを adminserver という名前のサーバに送信するように指定する例を示します。

hostname(config)# aaa accounting enable console adminserver

 
関連コマンド

コマンド
説明

aaa accounting match

TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。

aaa accounting command

指定した特権レベル以上で、管理者/ユーザが入力したコマンド(複数可)が記録され、アカウンティング サーバ(複数可)に送信されるように指定します。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa accounting include, exclude

FWSM を通じた接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting include コマンドを使用します。アカウンティングからアドレスを除外するには、 aaa accounting exclude コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

no aaa accounting { include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

 
シンタックスの説明

exclude

include コマンドによってすでに指定されている場合は、指定のサービスおよびアドレスをアカウンティングから除外します。

include

アカウンティングが必要なサービスおよび IP アドレスを指定します。include ステートメントで指定されていないトラフィックは処理されません。

inside_ip

セキュリティがより高いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。すべてのホストを指定するには、0 を使用します。

inside_mask

内部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

interface_name

ユーザのアカウンティングが必要なインターフェイス名を指定します。

outside_ip

(任意)セキュリティがより低いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。すべてのホストを指定するには、0 を使用します。

outside_mask

(任意)外部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

server_tag

aaa-server host コマンドで定義された AAA サーバ グループを指定します。

service

アカウンティングが必要なサービスを指定します。次の値のうち 1 つを指定できます。

any または tcp/0 (すべての TCP トラフィックを指定)

ftp

http

https

ip

ssh

telnet

tcp/ port

udp/ port

 
デフォルト

デフォルトでは、管理アクセスの AAA アカウンティングがディセーブルにされています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は、FWSM を通過するすべての TCP または UDP トラフィックに関するアカウンティング情報を RADIUS または TACACS+ サーバに送信できます。このトラフィックが認証もされている場合、AAA サーバは、ユーザ名でアカウンティング情報を保守できます。このトラフィックが認証されていない場合、AAA サーバは、IP アドレスでアカウンティング情報を保守できます。アカウンティング情報には、セッションの開始および終了時刻、ユーザ名、セッションで FWSM を通過するバイト数、使用するサービス、それぞれのセッションの時間が含まれます。

このコマンドを使用するには、まず aaa-server コマンドを使用して AAA サーバを指定する必要があります。

アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

aaa accounting include コマンドと exclude コマンドを同一のセキュリティ インターフェイス間で使用できません。この場合、 aaa accounting match コマンドを使用する必要があります。

次に、すべての TCP 接続のアカウンティングをイネーブルにする例を示します。

hostname(config)# aaa-server mygroup protocol tacacs+
hostname(config)# aaa-server mygroup (inside) host 192.168.10.10 thekey timeout 20
hostname(config)# aaa accounting include any inside 0 0 0 0 mygroup
 

 
関連コマンド

コマンド
説明

aaa accounting match

アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにします。

aaa accounting command

管理アクセスのアカウンティングをイネーブルにします。

aaa-server host

AAA サーバを設定します。

clear configure aaa

AAA 設定を消去します。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa accounting match

FWSM を通じた TCP および UDP 接続のアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting match コマンドを使用します。トラフィックのアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting match acl_name interface_name server_tag

no aaa accounting match acl_name interface_name server_tag

 
シンタックスの説明

acl_name

access-list 名を照合するアカウンティングが必要なトラフィックを指定します。アクセス リストの許可エントリはアカウンティングされる一方、拒否エントリはアカウンティングから免除されます。このコマンドでサポートするのは、TCP および UDP トラフィックだけです。このコマンドを入力し、コマンドで他のプロトコルを許可するアクセス リストが参照された場合は、警告メッセージが表示されます。

interface_name

ユーザのアカウンティングが必要なインターフェイス名を指定します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループ タグを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は、FWSM を通過するすべての TCP または UDP トラフィックに関するアカウンティング情報を RADIUS または TACACS+ サーバに送信できます。このトラフィックが認証もされている場合、AAA サーバは、ユーザ名でアカウンティング情報を保守できます。このトラフィックが認証されていない場合、AAA サーバは、IP アドレスでアカウンティング情報を保守できます。アカウンティング情報には、セッションの開始および終了時刻、ユーザ名、セッションで FWSM を通過するバイト数、使用するサービス、それぞれのセッションの時間が含まれます。

このコマンドを使用するには、まず aaa-server コマンドを使用して AAA サーバを指定する必要があります。

アカウンティング情報は、AAA サーバ プロトコル コンフィギュレーション モードで accounting-mode コマンドを使用して同時アカウンティングをイネーブルにしている場合を除いて、サーバ グループのアクティブ サーバにだけ送信されます。

aaa accounting match コマンドは、 aaa accounting include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

次に、特定のアクセス リスト acl2 に一致するトラフィックのアカウンティングをイネーブルにする例を示します。

hostname(config)# access-list acl12 extended permit tcp any any

hostname(config)# aaa accounting match acl2 outside radserver1
 

 
関連コマンド

コマンド
説明

aaa accounting include, exclude

コマンドに直接 IP アドレスを指定してアカウンティングをイネーブルにします。

access-list extended

アクセス リストを作成します。

clear configure aaa

AAA のコンフィギュレーションを削除します。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa authentication challenge disable

FTP、Telnet、HTTP、または HTTPS の認証確認をディセーブルにするには、グローバル コンフィギュレーション モードで aaa authentication challenge disable コマンドを使用します。FWSM をデフォルトの認証にリセットするには、このコマンドの no 形式を使用します。

aaa authentication { ftp | telnet | http | https } challenge disable

no aaa authentication { ftp | telnet | http | https } challenge disable

 
シンタックスの説明

ftp

FTP 接続の認証確認をディセーブルにします。

http

HTTP 接続の認証確認をディセーブルにします。

https

HTTPS 接続の認証確認をディセーブルにします。

telnet

Telnet 接続の認証確認をディセーブルにします。

 
デフォルト

デフォルトでは、 aaa authentication match コマンドまたは aaa authentication [ include | exclude ] コマンドを使用して認証をイネーブルにすると、FTP、Telnet、HTTP、HTTPS で認証確認がイネーブルになります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM がユーザに対してユーザ名とパスワードの入力を要求するかどうかを設定できます。デフォルトでは、AAA ルールによって新規セッションでトラフィックの認証が行われ、そのトラフィックのプロトコルが FTP、Telnet、HTTP、または HTTPS であるときに、FWSM がプロンプトを表示します。これらのうち 1 つ以上のプロトコルで、認証確認をディセーブルにする必要がある場合があります。その場合は、 aaa authentication challenge コマンドを使用します。

特定のプロトコルで認証確認をディセーブルにすると、そのプロトコルを使用しているトラフィックは、すでに認証済みのセッションに属している場合を除き、許可されません。この認証は、認証確認がイネーブルになっているプロトコルを使用しているトラフィックによって実行できます。たとえば、FTP で認証確認をディセーブルにすると、FWSM は、そのトラフィックが認証ルールに含まれている場合、FTP を使用した新規セッションを拒否します。認証確認がイネーブルになっているプロトコル(たとえば HTTP)を使用して新規セッションを確立した場合には、FTP トラフィックは許可されます。

次の例では、ネットワーク アドレス 209.165.201.0(サブネット マスク 255.255.255.224)を指定して、209.165.201.1 ~ 209.165.201.30 の範囲にある TCP IP アドレスへのインバウンド アクセスを許可しています。 access-list コマンドはすべてのサービスを許可し、a aa authentication コマンドは認証を要求します。認証サーバは、内部インターフェイス上の IP アドレス 10.16.1.20 にあります。最後のコマンドは、FTP の認証確認をディセーブルにします。これは、 aaa authentication include コマンドによって特定されるセッションのユーザは、FTP 以外、つまり、Telnet、HTTP、または HTTPS によって認証を受けなければならないことを意味します。

hostname(config)# aaa-server AuthIn protocol tacacs+
hostname(config)# aaa-server AuthIn (inside) host 10.16.1.20 thisisakey timeout 20
hostname(config)# access-list acl-out permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-group acl-out in interface outside
hostname(config)# aaa authentication include tcp inside 0 0 0 0 AuthIn
hostname(config)# aaa authentication ftp challenge disable
 

 
関連コマンド

コマンド
説明

aaa authentication

トラフィックを包含または除外することによって、認証をイネーブルまたはディセーブルにします。

aaa authentication match

照合を行って、一致した場合に認証を提供するアクセス リスト名(access-list コマンドで定義したアクセス リスト名)を指定します。

aaa authentication secure-http-client

HTTP 要求が FWSM を通過することを許可する前に、FWSM に対してセキュアなユーザ認証方法を提供します。

aaa-server protocol

グループに関連するサーバの属性を設定します。

aaa-server host

ホストに関連する属性を設定します。

aaa authentication clear-conn

ユーザ認証のタイムアウト後または認証セッションを clear uauth コマンドでクリアした場合に、すべてのアクティブな接続をただちに強制終了するには、グローバル コンフィギュレーション モードで aaa authentication clear-conn コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。このコマンドを使用しない場合、ユーザ認証セッションが時間切れになってもアクティブな接続は終了しません。

aaa authentication clear-conn interface-name source_ip source_mask

no aaa authentication clear-conn interface-name source_ip source_mask

 
シンタックスの説明

interface-name

送信元 IP アドレスに接続するインターフェイス名を設定します。

source_ip

接続を終了するユーザの送信元 IP アドレスを指定します。

source_mask

送信元 IP サブネット マスクを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

認証タイムアウト値を設定するには、 timeout uauth コマンドを参照してください。

このコマンドが原因で接続が終了した場合は、システム ログ メッセージ 109036 が生成されます。

次に、10.0.0.0/24 ネットワークの内部インターフェイス上のユーザが 192.168.2.0/24 にアクセスした場合に認証する例を示します。認証がタイムアウトになると、これらの同じユーザ接続は終了します。

hostname(config)# access-list mylist permit tcp 10.0.0.0 255.255.255.0 192.168.2.0 255.255.255.0
hostname(config)# aaa authentication mylist inside radius1
hostname(config)# aaa authentication clear-conn inside 10.0.0.0 255.255.255.0
 

 
関連コマンド

コマンド
説明

aaa authentication match

FWSM を通じたトラフィックの認証をイネーブルにします。

clear configure aaa

AAA のコンフィギュレーションを削除します。

clear uauth

認証セッションをクリアします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

timeout uauth

認証セッションにタイムアウトを設定します。

aaa authentication console

SSH、HTTP(ASDM)または Telnet 接続で FWSM CLI にアクセスするユーザを認証したり、 enable コマンドで特権 EXEC モードにアクセスするユーザを認証したりするには、グローバル コンフィギュレーション モードで aaa authentication console コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication { enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}

no aaa authentication { enable | telnet | ssh | http } console { LOCAL | server_group [ LOCAL ]}

 
シンタックスの説明

enable

特権 EXEC モードにアクセスしたユーザが enable コマンドを使用した場合に認証します。

http

HTTPS で FWSM にアクセスする ASDM ユーザを認証します。RADIUS または TACACS+ サーバを使用する場合は、HTTPS 認証だけを設定する必要があります。デフォルトでは、このコマンドを設定していなくても、ASDM ではローカル データベースを認証に使用します。

LOCAL

認証にローカル データベースを使用します。 LOCAL では大文字と小文字が区別されます。ローカル データベースが空の場合、次の警告メッセージが表示されます。

Warning:local database is empty! Use 'username' command to define local users.
 

設定内に LOCAL があるときにローカル データベースが空になった場合は、次の警告メッセージが表示されます。

Warning:Local user database is empty and there are still commands using 'LOCAL' for authentication.

server_group [ LOCAL ]

aaa-server コマンドで定義された AAA サーバ グループ タグを指定します。RADIUS または TACACS+ サーバ グループを使用できます。

server_group に加えて LOCAL キーワードを使用する場合は、AAA サーバが使用できないときに FWSM でフォールバック方式としてローカル データベースを使用するように設定できます。 LOCAL では大文字と小文字が区別されます。ローカル データベースで使用するユーザ名とパスワードは AAA サーバと同じにすることをお勧めします。なぜなら、FWSM では使用している方法を明示しないからです。

ssh

SSH を使用して FWSM にアクセスするユーザを認証します。

telnet

Telnet を使用して FWSM にアクセスするユーザを認証します。マルチ コンテキスト モードの管理コンテキストにこのコマンドを入力すると、その後、認証はスイッチからの FWSM のセッション(これによってシステム実行スペースに入ります)にも適用されます。AAA コマンドはシステム実行スペースに直接入力できません。

 
デフォルト

デフォルトでは、ローカル データベースへのフォールバックがディセーブルにされています。

aaa authentication telnet console コマンドを定義していない場合、FWSM CLI には FWSM ログイン パスワード( password コマンドで設定)を使用してアクセスできます。マルチ コンテキスト モードの管理コンテキストに aaa authentication telnet console コマンドを入力すると、スイッチから FWSM へのセッション(システム実行スペースに入ります)にも認証が適用されます。AAA コマンドはシステム実行スペースに直接入力できません。

aaa authentication http console コマンドを定義していない場合、ユーザ名や FWSM のイネーブル パスワード( enable password コマンドで設定)を使用しなくても、ASDM 経由で FWSM にアクセスできます。aaa コマンドを定義した場合でも、HTTP 認証要求がタイムアウトしたとき(AAA サーバがダウンしているか、使用不能になっていると考えられる)は、デフォルトの管理者のユーザ名とイネーブル パスワードを使用して FWSM にアクセスできます。デフォルトでは、イネーブル パスワードは設定されていません。

aaa authentication ssh console コマンドを定義していない場合、ユーザ名 pix および FWSM のイネーブル パスワード( enable password コマンドで設定)を使用して FWSM の CLI にアクセスできます。デフォルトでは、イネーブル パスワードはブランクです。このときの動作は、AAA を設定せずに FWSM にログインする場合とは異なります。AAA を設定しない場合はログイン パスワード( passwd コマンドで設定)を使用してログインします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.2(1)

このコマンドが LOCAL へのフォールバックをサポートするように変更されました。

3.2(1)

このコマンドを管理コンテキストで設定している場合に Telnet 認証(スイッチから FWSM へのセッション)のサポートがシステム実行スペースに追加されました。

 
使用上のガイドライン

FWSM で Telnet ユーザまたは SSH ユーザを認証できるようにするには、事前に telnet コマンドまたは ssh コマンドを使用して FWSM へのアクセスを設定する必要があります。これらのコマンドは、FWSM との通信が許可されている IP アドレスを識別します。例外はマルチ コンテキスト モードのシステムにアクセスする場合です。スイッチから FWSM へのセッションは Telnet セッションですが、 telnet コマンドは不要です。

FWSM への接続後、ログインしてユーザ EXEC モードにアクセスします。

Telnet 認証をイネーブルにしない場合は、ユーザ名を入力しません。ログイン パスワード( password コマンドで設定)を入力します。SSH の場合は、ユーザ名として「pix」と入力してからログイン パスワードを入力します。

ここで説明するように Telnet または SSH 認証をイネーブルにする場合は、AAA サーバまたはローカル ユーザ データベースに定義したユーザ名とパスワードを入力します。

特権 EXEC モードに入るには、 enable コマンドまたは login コマンド(ローカル データベースだけを使用する場合)を入力します。

イネーブル認証を設定しない場合は、 enable コマンド( enable password コマンドで設定)を入力するときにシステムのイネーブル パスワードを入力します。ただし、イネーブル認証を使用しないと、 enable コマンドの入力後、特定のユーザとしてはログインしていない状態になります。自分のユーザ名を保持するには、イネーブル認証を使用してください。

イネーブル認証を設定する場合は、ユーザ名とパスワードを入力するように FWSM から求められます。

ローカル データベースを使用する認証では、 login コマンドを使用することができます。この場合、ユーザ名は保持されますが、認証をオンにするための設定は必要ありません。

デフォルトでは、ブランクのユーザ名と enable password コマンドで設定したイネーブル パスワードで ASDM にログインできます。ただし、ログイン画面でユーザ名をブランクにする代わりにユーザ名とパスワードを入力すると、ASDM は一致があるかどうかローカル データベースを照合します。

このコマンドを使用し、ローカル データベースを指定して HTTP 認証を設定することはできますが、この機能はデフォルトで常にイネーブルになっています。認証に RADIUS または TACACS+ サーバを使用する場合に必要なのは、HTTP 認証を設定することだけです。HTTP 認証のユーザ名プロンプトの最大長は、30 文字です。パスワードの最大長は、16 文字です。

マルチ コンテキスト モードでは、AAA コマンドをシステム コンフィギュレーションに設定できません。ただし、管理コンテキストで Telnet 認証を設定する場合は、スイッチから FWSM へのセッション(これでシステム実行スペースに入ります)に対しても認証が適用されます。

次の表に示されているように、 aaa authentication console コマンドで選択したオプションによって、FWSM CLI への認証済みアクセスのプロンプトのアクションは異なります。

 

オプション
ログイン試行許可数

enable

アクセス試行が 3 回失敗したときにアクセスを拒否します。

ssh

アクセス試行が 3 回失敗したときにアクセスを拒否します。

telnet

正常にログインするまで繰り返し表示されます。

http

正常にログインするまで繰り返し表示されます。

次の例では、「radius」サーバ タグを使用して、RADIUS サーバへの Telnet 接続に対して aaa authentication console コマンドを使用します。

hostname(config)# aaa authentication telnet console radius
 

次の例では、管理認証用に「AuthIn」サーバ グループを指定します。

hostname(config)# aaa authentication enable console AuthIn
 

次の例では、グループ「svrgrp1」のすべてのサーバに障害が発生した場合に、LOCAL ユーザ データベースへのフォールバックに対して aaa authentication console コマンドを使用します。

hostname(config)# aaa-server svrgrp1 protocol tacacs
hostname(config)# aaa authentication ssh console svrgrp1 LOCAL

 
関連コマンド

コマンド
説明

aaa authentication match

ユーザ認証をイネーブルにします。

aaa-server host

ユーザ認証用に AAA サーバを指定します。

clear configure aaa

AAA 設定を消去します。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa authentication include, exclude

FWSM を通じた接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication include コマンドを使用します。認証からアドレスを除外するには、 aaa authentication exclude コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] { server_tag | LOCAL }

no aaa authentication { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

 
シンタックスの説明

exclude

include コマンドによってすでに指定されている場合は、指定のサービスおよびアドレスを認証から除外します。

include

認証が必要なサービスおよび IP アドレスを指定します。include ステートメントで指定されていないトラフィックは処理されません。

inside_ip

セキュリティがより高いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。すべてのホストを指定するには、0 を使用します。

inside_mask

内部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

interface_name

認証が必要なユーザのインターフェイス名を指定します。

LOCAL

ローカル ユーザ データベースを指定します。

outside_ip

(任意)セキュリティがより低いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。すべてのホストを指定するには、0 を使用します。

outside_mask

(任意)外部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループを指定します。

service

認証が必要なサービスを指定します。次の値のうち 1 つを指定できます。

any または tcp/0 (すべての TCP トラフィックを指定)

ftp

http

https

ip

ssh

telnet

tcp/ port

udp/ port

icmp/ type

protocol [ / port]

任意のプロトコルまたはサービスへのネットワーク アクセスで認証を必要とするように FWSM を設定することは可能ですが、ユーザは HTTP、HTTPS、Telnet、または FTP だけで直接認証することができます。まず、ユーザはこのいずれかのサービスを認証する必要があり、その後で FWSM が認証を必要とする他のトラフィックを許可します。詳細については、使用上のガイドライン を参照してください。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

アクセス リストで指定されたトラフィックに対する認証をイネーブルにするには、 aaa authentication match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

aaa authentication include コマンドと exclude コマンドを同一のセキュリティ インターフェイス間で使用できません。この場合、 aaa authentication match コマンドを使用する必要があります。

TCP セッションには、シーケンスのランダム化をディセーブルにしていても、自身のシーケンス番号をランダム化している場合があります。これは、AAA サーバが TCP セッションのプロキシとしてユーザを認証し、アクセスを許可する場合に発生します。

HTTP では、AAA サーバと宛先 Web サーバでそれぞれ個別のユーザ名とパスワードを使用する必要がある場合に、 virtual http コマンドを使用します。

ワンタイム認証

指定された IP アドレスを使用するユーザは、セッションの期限が終了するまですべてのルールとタイプで認証が必要なのは 1 回だけです(タイムアウト値については、 timeout uauth コマンドを参照してください)。たとえば、Telnet と FTP を認証するように FWSM を設定した場合に、あるユーザが最初に Telnet を正しく認証できたとすると、この認証セッションが存続する限り、このユーザ側で FTP を再認証する必要はありません。

HTTP または HTTPS 認証の場合、認証されたあとは、 timeout uauth タイマーにどれほど小さい値が設定されていた場合でも、ユーザ側で再認証が必要になることがありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」の文字列をキャッシュして、その特定のサイトにこれ以降接続するすべての場合に使用するためです。この文字列は、ユーザが Web ブラウザの すべての インスタンスを終了してリスタートする場合にだけクリアできます。キャッシュをフラッシュしても文字列はクリアされません。

認証確認を受け取る必要があるアプリケーション

任意のプロトコルまたはサービスへのネットワーク アクセスで認証を必要とするように FWSM を設定することは可能ですが、ユーザは HTTP、HTTPS、Telnet、または FTP だけで直接認証することができます。まず、ユーザはこのいずれかのサービスを認証する必要があり、その後で FWSM が認証を必要とする他のトラフィックを許可します。

AAA 用に FWSM がサポートしている認証ポートは、固定値です。

FTP の場合はポート 21

Telnet の場合はポート 23

HTTP の場合はポート 80

HTTPS の場合はポート 443

Telnet および FTP では、FWSM は認証プロンプトを生成します。正しく認証されると、FWSM から元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、別のユーザ名とパスワードを入力します。

HTTP の場合、ブラウザが提供する基本の HTTP 認証を使用してログインします。HTTPS の場合は、FWSM でカスタム ログイン ウィンドウが生成されます。


aaa authentication secure-http-client コマンドを使用せずに HTTP 認証を使用すると、クリア テキストのユーザ名とパスワードがクライアントから FWSM に送信されます。HTTP 認証をイネーブルにする場合は常に aaa authentication secure-http-client コマンドを使用することが推奨されます。


FTP の場合は、オプションで FWSM のユーザ名、アットマーク(@)、FTP ユーザ名(name1@name2)の順に入力します。パスワードには、FWSM のパスワード、アットマーク(@)、FTP パスワード(password1@password2)の順に入力します。たとえば、次のテキストを入力します。

name> jang@jgray
password> letmein@he110
 

この機能は、複数のログインが必要なカスケード ファイアウォールを使用する場合に便利です。複数の名前とパスワードの間にアットマーク(@)を挿入して区切ることができます。

ログイン試行許可数は、サポートするプロトコルによって異なります。

 

Protocol
ログイン試行許可数

FTP

パスワードが正しくない場合、ただちに接続をドロップします。

HTTP

HTTPS

ログインが正常に行われるまで繰り返しプロンプトが表示されます。

Telnet

4 回までログイン試行を許可し、違う場合はそれ以降の接続をドロップします。

スタティック PAT(ポート アドレス変換)と HTTP

HTTP 認証では、スタティック PAT が設定されている場合、FWSM は実際のポートを確認します。実際のポート 80 を宛先とするトラフィックが検出されると、FWSM は、マップされているポートに関係なく HTTP 接続を代行受信して認証を行います。

たとえば、外部 TCP ポート 889 がポート 80(www)に変換され、すべての関連のアクセス リストでトラフィックを許可するとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
 

ポート 889 で 10.48.66.155 にユーザがアクセスを試みると、FWSM がトラフィックを代行受信して HTTP 認証を実行します。FWSM が HTTP 接続の完了を許可する前に、ユーザは自身の Web ブラウザで HTTP 認証ページを確認します。

ローカル ポートがポート 80 でない場合は、次の例のようになります。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
 

このとき、ユーザ側には認証ページが表示されません。その代わりに、要求されたサービスを使用するにはその前にユーザ認証が必要であることを記したエラー メッセージが FWSM から Web ブラウザに送信されます。

FWSM での直接認証

FWSM を通じて HTTP(S)、Telnet、または FTP は許可しないが他のタイプのトラフィックは許可する場合、仮想 Telnet または仮想 SSH を設定できます。仮想 Telnet または SSH では、ユーザは FWSM で指定された IP アドレスに Telnet または SSH で接続し、FWSM からプロンプトが表示されます。詳しくは、 virtual telnet コマンドおよび virtual ssh コマンドを参照してください。

次に、外部インターフェイスで内部 IP アドレスが 192.168.0.0、ネットマスクが 255.255.0.0、すべてのホストの外部 IP アドレスの TCP トラフィックを「tacacs+」という名前のサーバを使用して認証する例を示します。2 行目のコマンドでは、外部インターフェイスでローカル アドレスが 192.168.38.0、すべてのホストの外部/リモート IP アドレスの Telnet トラフィックを認証から除外します。

hostname(config)# aaa authentication include tcp outside 192.168.0.0 255.255.0.0 0.0.0.0 0.0.0.0 tacacs+
hostname(config)# aaa authentication exclude telnet outside 192.168.38.0 255.255.255.0 0.0.0.0 0.0.0.0 tacacs+
 

例 2 :

次の例では、interface-name パラメータの使用方法について説明します。FWSM には、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0(サブネット マスク 255.255.255.224)、および境界ネットワーク 209.165.202.128(サブネット マスク 255.255.255.224)が接続されています。

この例では、内部ネットワークから外部ネットワークに発信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp inside 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 tacacs+
 

例 3 :

次の例では、内部ネットワークから境界ネットワークに発信される接続の認証をイネーブルにします。

hostname(config)#aaa authentication include tcp inside 192.168.1.0 255.255.255.0 209.165.202.128 255.255.255.224 tacacs+
 

例 4 :

次の例では、外部ネットワークから内部ネットワークに発信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp outside 209.165.201.0 255.255.255.224 192.168.1.0 255.255.255.0 tacacs+
 

例 5 :

次の例では、外部ネットワークから境界ネットワークに発信される接続の認証をイネーブルにします。

hostname(config)# aaa authentication include tcp outside 209.165.201.0 255.255.255.224 209.165.202.128 255.255.255.224 tacacs+
 

例 6 :

次の例では、境界ネットワークから外部ネットワークに発信される接続の認証をイネーブルにします。

hostname(config)#aaa authentication include tcp inside 209.165.202.128 255.255.255.224 209.165.201.0 255.255.255.224 tacacs+
 

例 7 :

次の例では、外部インターフェイスを経由して接続を確立するときに、FWSM が 10.0.0.1 ~ 10.0.0.254 の IP アドレスを認証するように指定します。この例では、最初の aaa authentication コマンドがすべての FTP、HTTP、および Telnet セッションの認証を要求しています。2 番目の aaa authentication コマンドでは、ホスト 10.0.0.42 が認証を受けなくても送信接続を開始できるようにしています。この例は、 tacacs+ という名前のサーバ グループを使用します。

hostname(config)# nat (inside) 1 10.0.0.0 255.255.255.0
hostname(config)# aaa authentication include tcp inside 0 0 tacacs+
hostname(config)# aaa authentication exclude tcp inside 10.0.0.42 255.255.255.255 tacacs+
 

例 8 :

次の例では、ネットワーク アドレス 209.165.201.0(サブネット マスク 255.255.255.224)を指定して、209.165.201.1 ~ 209.165.201.30 の範囲にある TCP IP アドレスへのインバウンド アクセスを許可します。 access-list コマンドですべてのサービスが許可され、a aa authentication コマンドは、HTTP の認証を要求します。認証サーバは、内部インターフェイス上の IP アドレス 10.16.1.20 にあります。

hostname(config)# aaa-server AuthIn protocol tacacs+
hostname(config)# aaa-server AuthIn (inside) host 10.16.1.20 thisisakey timeout 20
hostname(config)# access-list acl-out permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-group acl-out in interface outside
hostname(config)# aaa authentication include http inside 0 0 0 0 AuthIn
 

 
関連コマンド

コマンド
説明

aaa authentication console

特権モードを開始するときの認証をイネーブルまたはディセーブルにするか、指定した接続タイプで FWSM にアクセスするときに認証確認を要求します。

aaa authentication match

照合を行って、一致した場合に認証を提供するアクセス リスト名( access-list コマンドで定義したアクセス リスト名)を指定します。

aaa authentication secure-http-client

HTTP 要求が FWSM を通過することを許可する前に、FWSM に対してセキュアなユーザ認証方法を提供します。

aaa-server protocol

グループに関連するサーバの属性を設定します。

aaa-server host

ホストに関連する属性を設定します。

aaa authentication match

FWSM を通じた接続の認証をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authentication match コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication match acl_name interface_name { server_tag | LOCAL }

no aaa authentication match acl_name interface_name { server_tag | LOCAL }

 
シンタックスの説明

acl_name

拡張アクセス リスト名を指定します。

interface_name

ユーザを認証するインターフェイス名を指定します。

LOCAL

ローカル ユーザ データベースを指定します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループ タグを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

aaa authentication match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

TCP セッションには、シーケンスのランダム化をディセーブルにしていても、自身のシーケンス番号をランダム化している場合があります。これは、AAA サーバが TCP セッションのプロキシとしてユーザを認証し、アクセスを許可する場合に発生します。

HTTP では、AAA サーバと宛先 Web サーバでそれぞれ個別のユーザ名とパスワードを使用する必要がある場合に、 virtual http コマンドを使用します。

ワンタイム認証

指定された IP アドレスを使用するユーザは、セッションの期限が終了するまですべてのルールとタイプで認証が必要なのは 1 回だけです(タイムアウト値については、 timeout uauth コマンドを参照してください)。たとえば、Telnet と FTP を認証するように FWSM を設定した場合に、あるユーザが最初に Telnet を正しく認証できたとすると、この認証セッションが存続する限り、このユーザ側で FTP を再認証する必要はありません。

HTTP または HTTPS 認証の場合、認証されたあとは、 timeout uauth タイマーにどれほど小さい値が設定されていた場合でも、ユーザ側で再認証が必要になることがありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」の文字列をキャッシュして、その特定のサイトにこれ以降接続するすべての場合に使用するためです。この文字列は、ユーザが Web ブラウザの すべての インスタンスを終了してリスタートする場合にだけクリアできます。キャッシュをフラッシュしても文字列はクリアされません。

認証確認を受け取る必要があるアプリケーション

任意のプロトコルまたはサービスへのネットワーク アクセスで認証を必要とするように FWSM を設定することは可能ですが、ユーザは HTTP、HTTPS、Telnet、または FTP だけで直接認証することができます。まず、ユーザはこのいずれかのサービスを認証する必要があり、その後で FWSM が認証を必要とする他のトラフィックを許可します。

AAA 用に FWSM がサポートしている認証ポートは、固定値です。

FTP の場合はポート 21

Telnet の場合はポート 23

HTTP の場合はポート 80

HTTPS の場合はポート 443

Telnet および FTP では、FWSM は認証プロンプトを生成します。正しく認証されると、FWSM から元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、別のユーザ名とパスワードを入力します。

HTTP の場合、ブラウザが提供する基本の HTTP 認証を使用してログインします。HTTPS の場合は、FWSM でカスタム ログイン ウィンドウが生成されます。


aaa authentication secure-http-client コマンドを使用せずに HTTP 認証を使用すると、クリア テキストのユーザ名とパスワードがクライアントから FWSM に送信されます。HTTP 認証をイネーブルにする場合は常に aaa authentication secure-http-client コマンドを使用することが推奨されます。


FTP の場合は、オプションで FWSM のユーザ名、アットマーク(@)、FTP ユーザ名(name1@name2)の順に入力します。パスワードには、FWSM のパスワード、アットマーク(@)、FTP パスワード(password1@password2)の順に入力します。たとえば、次のテキストを入力します。

name> jang@jgray
password> letmein@he110
 

この機能は、複数のログインが必要なカスケード ファイアウォールを使用する場合に便利です。複数の名前とパスワードの間にアットマーク(@)を挿入して区切ることができます。

ログイン試行許可数は、サポートするプロトコルによって異なります。

 

Protocol
ログイン試行許可数

FTP

パスワードが正しくない場合、ただちに接続をドロップします。

HTTP

HTTPS

ログインが正常に行われるまで繰り返しプロンプトが表示されます。

Telnet

4 回までログイン試行を許可し、違う場合はそれ以降の接続をドロップします。

スタティック PAT(ポート アドレス変換)と HTTP

HTTP 認証では、スタティック PAT が設定されている場合、FWSM は実際のポートを確認します。実際のポート 80 を宛先とするトラフィックが検出されると、FWSM は、マップされているポートに関係なく HTTP 接続を代行受信して認証を行います。

たとえば、外部 TCP ポート 889 がポート 80(www)に変換され、すべての関連のアクセス リストでトラフィックを許可するとします。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
 

すると、ポート 889 で 10.48.66.155 にユーザがアクセスを試みると、FWSM がトラフィックを代行受信して HTTP 認証を実行します。FWSM が HTTP 接続の完了を許可する前に、ユーザは自身の Web ブラウザで HTTP 認証ページを確認します。

ローカル ポートがポート 80 でない場合は、次の例のようになります。

static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 111 netmask 255.255.255.255
 

このとき、ユーザ側には認証ページが表示されません。その代わりに、要求されたサービスを使用するにはその前にユーザ認証が必要であることを記したエラー メッセージが FWSM から Web ブラウザに送信されます。

FWSM での直接認証

FWSM を通じて HTTP(S)、Telnet、または FTP は許可しないが他のタイプのトラフィックは許可する場合、仮想 Telnet または仮想 SSH を設定できます。仮想 Telnet または SSH では、ユーザは FWSM で指定された IP アドレスに Telnet または SSH で接続し、FWSM からプロンプトが表示されます。詳しくは、 virtual telnet コマンドおよび virtual ssh コマンドを参照してください。

次の一連の例では、 aaa authentication match コマンドの使用方法について説明します。

hostname(config)# show access-list
access-list mylist permit tcp 10.0.0.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0) access-list yourlist permit tcp any any (hitcnt=0)
 
hostname(config)# show running-config aaa
aaa authentication match mylist outbound TACACS+
 

このコンテキストでは、次のコマンドは、その次のコマンドと同じです。

hostname(config)# aaa authentication match yourlist outbound tacacs
 

 

hostname(config)# aaa authentication include TCP/0 outbound 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 tacacs
 

aaa コマンド ステートメントのリストでは、access-list コマンド ステートメントの順序が重要です。次のコマンドを入力する場合は、その次のコマンドの前に入力します。

hostname(config)# aaa authentication match mylist outbound TACACS+
 

 

hostname(config)# aaa authentication match yourlist outbound tacacs
 

FWSM は、 mylist acc ess-list コマンド ステートメント グループで照合を試みてから、 yourlist access-list コマンド ステートメント グループで照合を試みます。

 
関連コマンド

コマンド
説明

aaa authorization

LOCAL または TACACS+ ユーザ許可サービスをイネーブルまたはディセーブルにします。

access-list extended

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa authentication secure-http-client

SSL をイネーブルにして、HTTP クライアントと FWSM 間のユーザ名とパスワードの交換を保護するには、グローバル コンフィギュレーション モードで aaa authentication secure-http-client コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 aaa authentication secure-http-client コマンドは、ユーザの HTTP ベースの Web 要求が FWSM を通過することを許可する前に、FWSM に対してセキュアなユーザ認証方法を提供します。

aaa authentication secure-http-client

no aaa authentication secure-http-client

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

aaa authentication secure-http-client コマンドは、SSL を介して HTTP クライアント認証を保護します。このコマンドは、HTTP カットスルー プロキシ認証で使用されます。

aaa authentication secure-http-client コマンドには、次の制限事項があります。

許可される同時 HTTPS 認証プロセスは最大 16 個です。16 個の HTTPS 認証プロセスがすべて実行中である場合、認証を要求する 17 番目の新しい HTTPS 接続は許可されません。

uauth timeout 0 が設定されている( uauth timeout が 0 に設定されている)場合は、HTTPS 認証が機能しない場合があります。HTTPS 認証を受けたあと、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、繰り返し認証ページが表示されます。この現象を回避するには、 timeout uauth 0:0:1 コマンドを使用して、 uauth timeout を 1 秒に設定します。ただし、この回避策ではウィンドウが 1 秒間開かれるため、このウィンドウを利用して、同じ発信元 IP アドレスからアクセスしてくる未認証のユーザがファイアウォールを通過する可能性があります。

HTTPS 認証は SSL ポート 443 で発生するため、HTTP クライアントから HTTP サーバに向かうポート 443 上のトラフィックをブロックするように access-list コマンド ステートメントを設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、1 行目で Web トラフィックに対してスタティック PAT を設定しているため、2 行目を追加して、HTTPS 認証コンフィギュレーションをサポートする必要があります。

static (inside,outside) tcp 10.132.16.200 www 10.130.16.10 www
static (inside,outside) tcp 10.132.16.200 443 10.130.16.10 443
 

aaa authentication secure-http-client が設定されていない場合、HTTP ユーザにはブラウザ自体が生成したポップアップ ウィンドウが表示されます。 aaa authentication secure-http-client を設定した場合は、ユーザ名とパスワードを収集するためのフォームがブラウザにロードされます。どちらの場合でも、ユーザの入力したパスワードが誤っている場合は、ユーザは再入力を求められます。Web サーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するには virtual コマンドを使用します。

次に、HTTP トラフィックがセキュアに認証されるように設定する例を示します。

hostname(config)# aaa authentication secure-http-client
hostname(config)# aaa authentication include http...
 

「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag の値を表します。

次のコマンドは、HTTPS トラフィックがセキュアに認証されるように設定します。

hostname (config)# aaa authentication include https...
 

「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag の値を表します。


) HTTPS トラフィックには、aaa authentication secure-https-client コマンドは必要ありません。


 
関連コマンド

コマンド
説明

aaa authentication

ユーザ認証をイネーブルにします。

virtual telnet

FWSM の仮想サーバにアクセスします。

aaa authorization command

aaa authorization command コマンドは、CLI でのコマンドの実行を許可対象とするか否かを指定します。コマンドの許可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization command コマンドを使用します。コマンドの許可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization command { LOCAL | server_tag [ LOCAL ]}

no aaa authorization command { LOCAL | server_tag [ LOCAL ]}

 
シンタックスの説明

LOCAL

ローカル コマンドを許可(特権レベルを使用)するための FWSM ローカル ユーザ データベースの使用を指定します。TACACS+ サーバ グループ タグの後に LOCAL を指定した場合、TACACS+ サーバ グループが利用できない場合は、コマンドの許可でローカル ユーザ データベースがフォールバックとしてだけ使用されます。

server_tag

TACACS+ 許可サーバに対して定義済みのサーバ グループ タグを指定します。 aaa-server コマンドで定義された AAA サーバ グループ タグです。

 
デフォルト

デフォルトでは、ローカル データベースへのフォールバックの許可がディセーブルにされています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.2(1)

TACACS+ サーバ グループが一時的に使用できない場合の、LOCAL 許可へのフォールバックに対するサポートが追加されました。

 
使用上のガイドライン

次の 2 種類のコマンド許可方式のいずれかを使用できます。

ローカル データベース: privilege コマンドを使用して、FWSM にコマンド特権レベルを設定します。ローカル ユーザを enable コマンド(または login コマンドを使用したログイン)で認証すると、FWSM は、ローカル データベースで定義された特権レベルをこのユーザに許可します。すると、ユーザは、ユーザ特権レベルまたはそれ以下のレベルでコマンドにアクセスできます。

ローカル データベースに属するユーザがいなくても、また、CLI またはイネーブル認証を使用しなくても、ローカル コマンド許可を使用することができます。これを行うには、 enable コマンドを入力するときに、システムのイネーブル パスワードを使用します。すると、FWSM によってデフォルトのユーザ名「enable_15」が与えられ、位置するレベルは 15 になります。管理者はすべてのレベルにイネーブル パスワードを作成できるため、 enable n (2 ~ 15)を入力したときに FWSM から指定されるレベルは n になります。ローカル コマンド許可をオンにしていない限り、これらのレベルは使用されません。

TACACS+ サーバ:CLI アクセスが認証された後でユーザまたはグループが使用できるコマンドを TACACS+ サーバに設定します。ユーザが CLI から入力するすべてのコマンドは、TACACS+ サーバで確認されます。

セキュリティ コンテキストおよびコマンド許可

次に、マルチ セキュリティ コンテキストでコマンド許可を実装する場合に考慮すべき重要なポイントを示します。

AAA 設定はコンテキストごとに別個であり、コンテキスト間で共有されません。

コマンド許可を設定する場合、各セキュリティ コンテキストを別々に設定する必要があります。このように設定することで、セキュリティ コンテキストごとに異なるコマンド許可を実施できるようになります。

セキュリティ コンテキストの切り替えが行われたときは、管理者は、ユーザのログイン時に指定されたユーザ名で許可されているコマンドが、新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置く必要があります。コマンド許可がセキュリティ コンテキスト間で異なる場合があることを理解していないと、混乱の生じる可能性があります。この動作は、次の仕組みによって、さらに複雑さが増します。

changeto コマンドで開始される新しいコンテキスト セッションでは、直前のコンテキスト セッションで使用されていたユーザ名に関係なく、常に、デフォルトのユーザ名「enable_15」が管理者の ID として使用されます。この動作は、コマンド許可が enable_15 ユーザに設定されていないか、直前のコンテキスト セッションのユーザの許可と enable_15 ユーザの許可が同じでない場合、混乱を引き起こすことがあります。

これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合にだけ有効となる、コマンド アカウンティングにも影響します。なぜなら、 changeto コマンドを使用する権限を持つすべての管理者は、ユーザ名 enable_15 を他のコンテキストで使用できることから、コマンドのアカウンティング レコードではユーザ名 enable_15 でログインした人物を簡単に特定できるとは限らないからです。各コンテキストで異なるアカウンティング サーバを使用している場合、誰がユーザ名 enable_15 を使用したかを追跡するために、複数のサーバ間でデータを相関させる必要があります。

コマンド許可の設定では、次のことを考慮してください。

changeto コマンドを効率的に使用する権限を持つ管理者は、enable_15 ユーザに許可されているすべてのコマンドを他の各コンテキストで使用する権限があります。

コンテキストごとに別々にコマンドを許可する予定の場合は、 changeto コマンドの使用が許可されている管理者が使用を許可されないコマンドについては、ユーザ名 enable_15 も各コンテキストでこのコマンドの使用が許可されないようにします。

セキュリティ コンテキスト間で切り替えを行えば、管理者は特権 EXEC モードを終了することができ、再び enable コマンドを入力して必要とするユーザ名を使用できるようになります。


) システム実行スペースでは AAA コマンドはサポートされないため、システム実行スペースではコマンド許可を使用できません。


TACACS+ コマンド許可

TACACS+ コマンド許可をイネーブルにし、その後ユーザが CLI からコマンドを入力すると、FWSM は、このコマンドが許可されているかを判別するためにコマンドとユーザ名を TACACS+ サーバに送信します。

TACACS+ サーバでのコマンド許可を設定する場合は、思いどおりに動作することを確認してから設定を保存してください。ミスによってロックアウトされた場合、通常は、FWSM を再起動するとアクセスを回復できます。

TACACS+ システムが高度な安定性と信頼性を保っていることを確認してください。信頼性で必要な最低レベルは、通常、TACACS+ サーバ システムが十分な冗長性を持ち、FWSM との接続についても十分な冗長性を備えていることです。たとえば、使用する TACACS+ サーバ プールで、あるサーバはインターフェイス 1 に接続し、別のサーバはインターフェイス 2 に接続するように設定します。また、TACACS+ サーバが使用できない場合は、ローカル コマンド許可をフォールバック方式で設定することもできます。この場合は、ローカル ユーザとコマンドの特権レベルを設定する必要があります。

次に、tplus1 という名前の TACACS+ サーバ グループを使用して、コマンドの許可をイネーブルにする例を示します。

hostname(config)# aaa authorization command tplus1
 

次に、tplus1 サーバ グループのすべてのサーバが使用できない場合に、ローカル ユーザ データベースへのフォールバックをサポートするように管理許可を設定する例を示します。

hostname(config)# aaa authorization command tplus1 LOCAL

 
関連コマンド

コマンド
説明

aaa authorization

ユーザ許可をイネーブルまたはディセーブルにします。

aaa-server host

ホストに関連する属性を設定します。

aaa-server

グループに関連するサーバの属性を設定します。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa authorization include, exclude

FWSM を通じた接続の許可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization include コマンドを使用します。認証からアドレスを除外するには、 aaa authorization exclude コマンドを使用します。許可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization {include | exclude } service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

no aaa authorization { include | exclude} service interface_name inside_ip inside_mask [ outside_ip outside_mask ] server_tag

 
シンタックスの説明

exclude

include コマンドによってすでに指定されている場合は、指定のサービスおよびアドレスを許可から除外します。

include

許可が必要なサービスおよび IP アドレスを指定します。include ステートメントで指定されていないトラフィックは処理されません。

inside_ip

セキュリティがより高いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。すべてのホストを指定するには、0 を使用します。

inside_mask

内部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

interface_name

ユーザの許可が必要なインターフェイス名を指定します。

outside_ip

(任意)セキュリティがより低いインターフェイス上の IP アドレスを指定します。このアドレスは、このコマンドを適用するインターフェイスに応じて、送信元または宛先のアドレスにすることができます。セキュリティがより低いインターフェイスにコマンドを適用する場合、このアドレスは送信元アドレスになります。セキュリティがより高いインターフェイスにコマンドを適用する場合、このアドレスは宛先アドレスになります。すべてのホストを指定するには、0 を使用します。

outside_mask

(任意)外部 IP アドレスに対するネットワーク マスクを指定します。IP アドレスが 0 の場合は 0 を使用します。ホストに対しては、255.255.255.255 を使用します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループを指定します。

service

許可が必要なサービスを指定します。次の値のうち 1 つを指定できます。

any または tcp/0 (すべての TCP トラフィックを指定)

ftp

http

https

ip

ssh

telnet

tcp/ port[ - port ]

udp/ port[ - port ]

icmp/ type

protocol [ / port[ - port ]]

 
デフォルト

IP アドレスを 0 にすると「すべてのホスト」が指定されます。ローカル IP アドレスを 0 にすると、許可を受けるホストを許可サーバ側で決定させるようにできます。

デフォルトでは、ローカル データベースへのフォールバックの許可がディセーブルにされています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

アクセス リストで指定されたトラフィックに対する許可をイネーブルにするには、 aaa authorization match コマンドを使用します。 match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

aaa authorization include コマンドと exclude コマンドを同一のセキュリティ インターフェイス間で使用できません。この場合、 aaa authorization match コマンドを使用する必要があります。

ネットワーク アクセスの許可を TACACS+ 側で行うように FWSM を設定することができます。認証ステートメントと許可ステートメントはそれぞれ独立していますが、許可ステートメントで一致した認証トラフィックが検出された場合、このトラフィックは拒否されます。許可を正しく行うために、ユーザは最初に FWSM で認証する必要があります。指定された IP アドレスを持つユーザは、すべてのルールとタイプに対して、認証セッションが期限切れにならない限りは一度だけ認証すればよいため、このトラフィックが認証ステートメントで一致した場合を含め、許可も付与される可能性があります。

ユーザ認証後、FWSM は、一致するトラフィックを特定するために許可ルールを確認します。トラフィックが許可ステートメントに一致する場合、FWSM は、該当するユーザ名を TACACS+ サーバに送信します。すると TACACS+ サーバはユーザのプロファイルに基づいてこのトラフィックに対する許可または拒否を FWSM に応答します。FWSM は、これに対する応答で許可を実行します。

ユーザのネットワーク アクセス許可の設定については、TACACS+ サーバのマニュアルを参照してください。

IP アドレスごとに、1 つの aaa authorization include コマンドが許可されます。

最初の許可試行が失敗し、2 度目の試行でタイムアウトが発生した場合は、許可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続を再転送しないようにします。次の例は、Telnet での許可タイムアウト メッセージを示しています。

Unable to connect to remote host: Connection timed out
 

) ポート範囲を指定すると、許可サーバで予期せぬ結果が生じる場合があります。FWSM は、サーバが具体的なポートに解析することを見込んで、ポート範囲を文字列でサーバに送信します。すべてのサーバがこのように動作するとは限りません。さらに、特定のサービスでユーザが許可されるようにする必要がある場合があります(これは、範囲が受け入れられる場合には、行われません)。


次に、TACACS+ プロトコルの使用例を示します。

hostname(config)# aaa-server tplus1 protocol tacacs+
hostname(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
hostname(config)# aaa authentication include any inside 0 0 0 0 tplus1
hostname(config)# aaa authorization include any inside 0 0 0 0
hostname(config)# aaa accounting include any inside 0 0 0 0 tplus1
hostname(config)# aaa authentication ssh console tplus1
 

この例では、最初のコマンド ステートメントが tplus1 という名前のサーバ グループを作成し、このグループで TACACS+ プロトコルを使用することを指定します。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあり、tplus1 サーバ グループに含まれていることを指定しています。その次の 3 つのコマンド ステートメントでは、内部インターフェイスを通過する、任意の外部ホスト宛てのすべての接続が、tplus1 サーバ グループで認証され、正常に認証されたユーザに対してはどのサービスの使用も許可されること、およびすべてのアウトバウンド接続情報がアカウンティング データベースに記録されるように指定しています。最後のコマンド ステートメントでは、FWSM コンソールに対する SSH アクセスには、tplus1 サーバ グループから認証を受ける必要があることを指定しています。

次に、外部インターフェイスから DNS lookup の許可をイネーブルにする例を示します。

hostname(config)# aaa authorization include udp/53 outside 0.0.0.0 0.0.0.0
 

次に、内部ホストから内部インターフェイスに到着する、ICMP エコー応答パケットの許可をイネーブルにする例を示します。

hostname(config)# aaa authorization include 1/0 inside 0.0.0.0 0.0.0.0
 

これは、ユーザが Telnet、HTTP、または FTP を使用して認証を受けないかぎり、外部ホストに ping できないことを意味します。

次に、内部ホストから内部インターフェイスに到着する ICMP エコー(ping)についてだけ許可をイネーブルにする例を示します。

hostname(config)# aaa authorization include 1/8 inside 0.0.0.0 0.0.0.0

 
関連コマンド

コマンド
説明

aaa authorization command

コマンドの実行が許可されるか否かを指定したり、指定したサーバ グループのすべてのサーバがディセーブルにされている場合に、ローカル ユーザ データベースへのフォールバックをサポートするように管理許可を設定したりします。

aaa authorization match

特定の access-list コマンド名に対する LOCAL または TACACS+ ユーザ許可サービスをイネーブルまたはディセーブルにします。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa authorization match

FWSM を通じた接続の許可をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization match マンドを使用します。許可をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization match acl_name interface_name server_tag

no aaa authorization match acl_name interface_name server_tag

 
シンタックスの説明

acl_name

拡張アクセス リスト名を指定します。access-list extended コマンドを参照してください。 permit ACE は、一致するトラフィックを許可対象としてマーク付けし、 deny エントリは、一致するトラフィックを許可対象から除外します。

interface_name

認証が必要なユーザのインターフェイス名を指定します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループ タグを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドは、VPN 管理接続の許可に対する RADIUS サーバをサポートするように変更されました。

 
使用上のガイドライン

aaa authorization match コマンドは、 include コマンドおよび exclude コマンドと同じコンフィギュレーションでは使用できません。 include コマンドおよび exclude コマンドの代わりに match コマンドを使用することをお勧めします。また、ASDM では include コマンドおよび exclude コマンドはサポートされません。

ネットワーク アクセスの許可を TACACS+ 側で行うように FWSM を設定することができます。 aaa authorization match コマンドによる RADIUS 許可では、FWSM に対する VPN 管理接続の許可だけをサポートしています。

ユーザ認証後、FWSM は、一致するトラフィックを特定するために許可ルールを確認します。トラフィックが許可ステートメントに一致する場合、FWSM は、該当するユーザ名を TACACS+ サーバに送信します。TACACS+ サーバは、FWSM がユーザ プロファイルに基づいてそのトラフィックをダイナミック アクセス リストとして扱うことを示した情報とともに、FWSM に応答します。インターフェイス アクセス リストについては、 access-list per-user-override キーワードが許可されたトラフィックに適用されます。

認証ステートメントと許可ステートメントはそれぞれ独立していますが、許可ステートメントで一致した認証トラフィックが検出された場合、このトラフィックは拒否されます。許可を正しく行うために、ユーザは最初に FWSM で認証する必要があります。


) 認証と許可では同じトラフィックを特定することが推奨されます。FWSM で使用するダイナミック アクセス リストの方法のため、認証より厳しい許可ステートメントを適用すると、一部の予期しない接続が拒否される場合があります。ユーザが最初に認証された時点で、接続が認証ステートメントに一致して許可ステートメントには一致しない場合、uauth セッションの存続期間内に後でこのユーザが接続したときに、許可ステートメントに一致してもユーザは拒否されます。これとは逆に、最初の接続で許可ステートメントに一致し、後の接続でこの許可ステートメントには一致しないが認証ステートメントには一致したという場合もユーザは拒否されます。このように、認証と許可の両方が一致するように設定する必要があります。


ユーザのネットワーク アクセス許可の設定については、TACACS+ サーバのマニュアルを参照してください。

最初の許可試行が失敗し、2 度めの試行でタイムアウトが発生した場合は、許可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続を再転送しないようにします。次の例は、Telnet での許可タイムアウト メッセージを示しています。

Unable to connect to remote host: Connection timed out
 

) ポート範囲を指定すると、許可サーバで予期せぬ結果が生じる場合があります。FWSM は、サーバが具体的なポートに解析することを見込んで、ポート範囲を文字列でサーバに送信します。すべてのサーバがこのように動作するとは限りません。さらに、特定のサービスでユーザが許可されるようにする必要がある場合があります(これは、範囲が受け入れられる場合には、行われません)。


次に、aaa コマンドで tplus1 サーバ グループを使用する例を示します。

hostname(config)# access-list myacl extended permit ip any any
hostname(config)# aaa-server tplus1 protocol tacacs+
hostname(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
hostname(config)# aaa authentication match myacl inside tplus1
hostname(config)# aaa accounting match myacl inside tplus1
hostname(config)# aaa authorization match myacl inside tplus1
 

この例では、最初のコマンド ステートメントが tplus1 サーバ グループを TACACS+ グループとして定義します。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあり、tplus1 サーバ グループに含まれていることを指定しています。次の 3 種類のコマンド ステートメントは、内部インターフェイスと任意の外部ホストとの間を移動するすべての接続は tplus1 サーバ グループで認証されることを指定したり、これらの接続はすべてアカウンティング データベースにログインすることを指定したり、さらに、tplus1 サーバ グループ内の AAA サーバによってこれらの接続が許可されることを指定したりします。

 
関連コマンド

コマンド
説明

aaa authorization

ユーザ許可をイネーブルまたはディセーブルにします。

clear configure aaa

すべての AAA コンフィギュレーションのパラメータをデフォルト値にリセットします。

clear uauth

ある特定のユーザまたはすべてのユーザの AAA 許可および認証キャッシュを削除します。次回接続を作成するときには再認証の必要が生じます。

show running-config aaa

AAA のコンフィギュレーションを表示します。

show uauth

認証および許可の目的で許可サーバに提供されているユーザ名、ユーザ名がバインドされている IP アドレス、およびユーザが認証されただけであるか、キャッシュされたサービスを持っているかを表示します。

aaa local authentication attempts max-fail

FWSM が所定のユーザ アカウントを許可するローカル ログイン連続失敗試行回数を制限するには、グローバル コンフィギュレーション モードで aaa local authentication attempts max-fail コマンドを使用します。このコマンドは、ローカル ユーザ データベースの認証だけに影響します。この機能をディセーブルにし、ローカル ログイン連続失敗試行回数を無制限に許可するには、このコマンドの no 形式を使用します。

aaa local authentication attempts max-fail number

 
シンタックスの説明

number

ユーザがロックアウトされるまで、不正なパスワードの入力が許可される最大回数。この値の有効な範囲は、1 ~ 16 です。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを省略すると、ローカル データベースが認証に使用されている場合に限り、ユーザが不正なパスワードを入力できる回数が無制限になります。

不正なパスワードによるログイン試行が設定数に達すると、ユーザはロックアウトされ、管理者がユーザ名のロックを解除するまで、正常にログインできません。ユーザ名がロックされるか、ロック解除されると、Syslog メッセージが生成されます。

装置から管理者をロックアウトできません。

ユーザが正常に認証されるか、FWSM が再起動されると、失敗試行回数がゼロにリセットされ、ロックアウト ステータスが No にリセットされます。

次に、aaa local authentication attempts max-limits コマンドを使用して、最大失敗許可数を 2 に設定する例を示します。

hostname(config)# aaa local authentication attempts max-limits 2
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear aaa local user lockout

指定したユーザのロックアウト ステータスをクリアして、失敗試行カウンタを 0 に設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットします。

show aaa local user

現在ロックされているユーザ名のリストを表示します。

aaa mac-exempt

MAC アドレスを認証および許可から免除するには(通過トラフィックのみ)、グローバル コンフィギュレーション モードで aaa mac-exempt コマンドを使用します。 aaa mac-exempt コマンドを 1 つだけ追加できます。MAC 免除をディセーブルにするには、このコマンドの no 形式を使用します。

aaa mac-exempt match id

no aaa mac-exempt match id

 
シンタックスの説明

id

mac-list コマンドで設定する MAC リスト番号を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は、特定の MAC アドレスからの任意の通過トラフィックに対し、認証と許可を免除することができます。たとえば、FWSM で特定のネットワークを送信元とする TCP トラフィックを認証したときに特定のサーバからの未認証の TCP 接続を許可するとします。この場合は MAC 免除ルールを使用して、このルールで指定されたサーバからのすべてのトラフィックに対して認証と許可を免除します。

この機能は、認証プロンプトに応答できない IP 電話などのデバイスを免除するのに便利です。

このコマンドで免除される MAC アドレスのリストは、through-the-box 接続の場合だけです。Telnet から FWSM に接続するコマンドなどは、 aaa mac-exempt コマンドで使用される MAC リストに、デバイスの MAC アドレスが記載されていても認証および許可は免除されません。

免除する MAC アドレスは、 aaa mac-exempt コマンドを使用する前に、 mac-list コマンドを使用して設定してください。MAC リスト内の permit エントリは、MAC アドレスを認証および許可の対象から免除します。一方、 deny エントリは、イネーブルの場合、この MAC アドレスに対する認証と許可が必要です。 aaa mac-exempt コマンドに追加できるインスタンスは 1 つだけのため、MAC リストに免除対象とする MAC アドレスがすべて含まれていることを確認してください。

次に、単一の MAC アドレスの認証をバイパスする例を示します。

hostname(config)# mac-list abc permit 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# aaa mac-exempt match abc
 

次のエントリでは、0003.E3 のハードウェア ID を持つすべてのシスコ IP 電話の認証をバイパスします。

hostname(config)# mac-list acd permit 0003.E300.0000 FFFF.FF00.0000
hostname(config)# aaa mac-exempt match acd
 

次の例では、00a0.c95d.02b2 を除く MAC アドレス グループの認証をバイパスします。

hostname(config)# mac-list 1 deny 00a0.c95d.0282 ffff.ffff.ffff
hostname(config)# mac-list 1 permit 00a0.c95d.0000 ffff.ffff.0000
hostname(config)# aaa mac-exempt match 1
 

 
関連コマンド

コマンド
説明

aaa authentication

ユーザ認証をイネーブルにします。

aaa authorization

ユーザ許可サービスをイネーブルにします。

aaa mac-exempt

MAC アドレス リストの認証および許可を免除します。

show running-config mac-list

mac-list コマンドで以前指定した MAC アドレス リストを表示します。

mac-list

認証および許可のいずれかまたは両方を免除する MAC アドレスの指定に使用する MAC アドレス リストを指定します。

aaa proxy-limit

ユーザ 1 人に対して許可する同時プロキシ接続の最大数を設定するには、グローバル コンフィギュレーション モードで aaa proxy-limit コマンドを使用します。プロキシをディセーブルにするには、 disable パラメータを使用します。ユーザ 1 人に対して 16 の同時プロキシ接続を許可するデフォルトのプロキシ制限値に戻すには、このコマンドの no 形式を使用します。

aaa proxy-limit proxy_limit

aaa proxy-limit disable

no aaa proxy-limit

 
シンタックスの説明

disable

プロキシを許可しません。

proxy_limit

ユーザ 1 人に対して許可する同時プロキシ接続の数(1 ~ 128)を指定します。

 
デフォルト

デフォルトのプロキシ制限値は、16 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

発信元アドレスがプロキシ サーバである場合は、その IP アドレスを認証の対象から除外するか、許容可能な未処理 AAA 要求の数を増やすことを検討してください。

次に、ユーザ 1 人に対して許可する未処理認証要求の最大数を設定する例を示します。

hostname(config)# aaa proxy-limit 6

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定されたサーバ上で、LOCAL、TACACS+、または RADIUS ユーザ認証をイネーブルまたはディセーブルに設定したり、表示したりします。または ASDM ユーザ認証をイネーブルまたはディセーブルにしたり、表示したりします。

aaa authorization

ユーザ許可サービスをイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバを指定します。

clear configure aaa

設定した AAA アカウンティングの値を削除/リセットします。

show running-config aaa

AAA のコンフィギュレーションを表示します。

aaa-server host

AAA サーバを AAA サーバ グループに追加または設定したり、ホスト固有の AAA サーバ パラメータを設定したりするには、グローバル コンフィギュレーション モードで aaa-server host コマンドを使用します。 aaa-server host コマンドを使用する場合、AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホスト固有の AAA サーバの接続データを設定および管理できます。ホストのコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

aaa-server server_tag [ ( interface_name ) ] host server_ip [ key ] [ timeout seconds ]

no aaa-server server_tag [ ( interface_name ) ] host server_ip [ key ] [ timeout seconds ]

 
シンタックスの説明

( interface_name )

認証サーバが存在するネットワーク インターフェイス。このパラメータには、カッコが必要です。インターフェイスを入力しない場合、「inside」という名前のインターフェイスが使用されます。「inside」という名前のインターフェイスがない場合は、エラー メッセージが表示され、この引数を指定する必要があります。

key

(任意)127 文字までの英数字で構成されているキーワードで、AAA サーバ上のキーと同じ値を指定します。アルファベットの大文字と小文字は区別されます。127 文字を超えて入力された文字は無視されます。このキーは、FWSM とサーバ間でやり取りするデータを暗号化するために使用されます。キーは FWSM とサーバ システムの両者で同じにする必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。AAA サーバ ホスト コンフィギュレーション モードで key コマンドを使用して、キーを追加したり、変更したりできます。

server_ip

AAA サーバの IP アドレスを指定します。

server_tag

aaa-server コマンドで定義された AAA サーバ グループの名前を指定します。各サーバ グループに指定するタイプは、Kerberos、LDAP、NT、RADIUS、SDI、または TACACS+ のいずれかです。

timeout seconds

(任意)要求のタイムアウト間隔を指定します。この値は、FWSM がプライマリ AAA サーバへの要求を断念するまでの時間です。スタンバイ AAA サーバが存在する場合、FWSM はバックアップ サーバに要求を送信します。ホスト モードで timeout コマンドを使用して、タイムアウト間隔を変更できます。

 
デフォルト

デフォルトのタイムアウト値は 10 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

aaa-server コマンドは現在、別個の 2 つのコマンドにわかれていて、その 1 つの aaa-server コマンドは グループを追加してプロトコルを指定します。もう 1 つの aaa-server host コマンドは、サーバの IP アドレスをこのグループに追加します。

 
使用上のガイドライン

シングルモードでは最大 15 モードの AAA サーバ グループ、マルチモードの場合はコンテキストごとに最大 4 つの AAA サーバ グループを設定できます。各グループには、シングルモードの場合は最大 16 のサーバ、マルチモードの場合は最大 4 つのサーバを設定できます。

ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。

アカウンティングが有効になっている場合、 aaa-server protocol コマンドで同時アカウンティングを指定している場合を除いて、アカウンティング情報はアクティブなサーバにだけ送信されます。

次に、「209.165.200.225」 のホストに「svrgrp1」という名前の SDI AAA サーバ グループを設定し、タイムアウト間隔を 6 秒、再試行間隔を 7 秒に設定し、SDI バージョンをバージョン 5 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 209.165.200.225
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# sdi-version sdi-5
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa-server protocol

グループに固有の AAA サーバのパラメータを設定します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

aaa-server

AAA サーバ グループを作成して、グループ固有のパラメータまたは全ホスト共通のパラメータを定義するには、グローバル コンフィギュレーション モードで aaa-server コマンドを使用します。指定したグループを削除するには、このコマンドの no 形式を使用します。

aaa-server server_tag protocol { kerberos | ldap | nt | radius | sdi | tacacs+ }

no aaa-server server_tag protocol server-protocol

 
シンタックスの説明

kerberos

サーバ タイプ Kerberos を指定します。

ldap

サーバ タイプ LDAP を指定します。

nt

サーバ タイプ Windows NT を指定します。

radius

サーバ タイプ RADIUS を指定します。

sdi

サーバ タイプ SDI を指定します。

server_tag

サーバ グループ名を指定します。他の AAA コマンドは server_tag グループを参照します。

tacacs+

サーバ タイプ TACACS+ を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

RADIUS および TACACS+ に新しいサーバ タイプが追加されました。 aaa-server コマンドは現在、別個の 2 つのコマンドにわかれていて、その 1 つの aaa-server コマンドは グループを追加してプロトコルを指定します。もう 1 つの aaa-server host コマンドは、サーバの IP アドレスをこのグループに追加します。

 
使用上のガイドライン

aaa-server host コマンドを使用して AAA サーバ グループに AAA サーバを追加します。

シングルモードでは最大 15 モードの AAA サーバ グループ、マルチモードの場合はコンテキストごとに最大 4 つの AAA サーバ グループを設定できます。各グループには、シングルモードの場合は最大 16 のサーバ、マルチモードの場合は最大 4 つのサーバを設定できます。

ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。

アカウンティングが有効になっている場合、 aaa-server protocol コマンドで同時アカウンティングを指定している場合を除いて、アカウンティング情報はアクティブなサーバにだけ送信されます。

次に、TACACS+ サーバ グループを追加し、10.1.1.1 のサーバをこのグループに割り当てる例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
hostname(config-aaa-server-group)# reactivation mode timed
hostname(config-aaa-server-group)# max-failed attempts 2
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 10.1.1.1
 

 
関連コマンド

コマンド
説明

aaa-server host

特定の AAA サーバのパラメータを設定します。

accounting-mode

アカウンティング メッセージを 1 つのサーバだけに送信するか(シングル モード)、グループ内のすべてのサーバに送信するか(同時モード)を指定します。

reactivation-mode

障害が発生したサーバを再びアクティブにする方法を指定します。

max-failed-attempts

サーバ グループ内の個々のサーバが停止するまでに許容される失敗回数を指定します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

absolute

時間範囲が有効なときに絶対時間を定義するには、time-rangeコンフィギュレーション モードで absolute コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

absolute [ end time date ] [ start time date ]

no absolute [ end time date ] [ start time date ]

 
シンタックスの説明

date

「日 月 年」形式の日付を指定します(例:1 January 2006)。有効な年範囲は、1993 ~ 2035 です。

time

時刻を HH:MM の形式で指定します。たとえば、8:00 は午前 8 時、20:00 は午後 8 時です。

 
デフォルト

開始日時が指定されないと、permit または deny ステートメントが即座に有効になり、常に有効な状態になります。同様に、最大終了日時は、2035 年 12 月 31 日 23 時 59 分です。終了日時が指定されないと、対応する permit または deny ステートメントが無期限に有効になります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

time-range コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

時間ベースの ACL を実行するには、 time-range コマンドを使用して、特定の時刻と曜日を定義します。次に、 access-list extended time-range コマンドを使用して時間範囲を ACL にバインドします。

次に、ACL を 2006 年 1 月 1 日の午前 8 時にアクティブにする例を示します。

hostname(config-time-range)# absolute start 8:00 1 January 2006
 
Because no end time and date are specified, the associated ACL is in effect indefinitely.

 
関連コマンド

コマンド
説明

access-list extended

FWSM を介して IP トラフィックを許可または拒否するポリシーを設定します。

default

time-range コマンドの absolute および periodic キーワードをデフォルト設定に戻します。

periodic

時間範囲機能をサポートする機能に、週単位の反復する時間範囲を指定します。

time-range

時間に基づく FWSM のアクセス制御を定義します。

accept-subordinates

Subordinate Certifiction Authority(SCA; 下位認証局)の証明書がデバイスにインストールされていない場合に、FWSM がフェーズ 1 の IKE 交換で配信される SCA の証明書を受け入れるように設定するには、crypto ca トラストポイント コンフィギュレーション モードで accept-subordinates コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

accept-subordinates

no accept-subordinates

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定は、オンの状態です(下位認証が受け入れられます)。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェーズ 1 の処理では、IKE ピアが下位認証と ID 証明書の両方を渡す場合があり、下位認証は、FWSM にインストールされないことがあります。このコマンドを使用すると、管理者は、確立されたすべてのトラストポイントの SCA 証明書をすべて受け入れることなく、デバイスにトラストポイントとして設定されていない SCA の証明書をサポートできます。つまり、このコマンドを使用すると、デバイスはローカルにすべてのチェーンをインストールすることなく、証明書チェーンを認証できます。

次に、トラストポイント central の crypto ca トラストポイント コンフィギュレーション モードを開始して、FWSM がトラストポイント central の下位認証を受け入れるようにする例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# accept-subordinates
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルトに戻します。

access-group

アクセス リストをインターフェイスにバインドするには、グローバル コンフィギュレーション モードで access-group コマンドを使用します。インターフェイスからアクセス リストをアンバインドするには、このコマンドの no 形式を使用します

access-group access-list { in | out } interface interface_name [ per-user-override ]

no access-group access-list { in | out } interface interface_name [ per-user-override ]

 
シンタックスの説明

access-list

access-list ID を指定します。

in

指定のインターフェイスで受信パケットをフィルタリングします。

interface interface_name

アクセスを制御するインターフェイスの名前を指定します。

out

指定のインターフェイスで送信パケットをフィルタリングします。アウトバウンド アクセス リストを使用して、アクセス リストの設定を簡素化する場合があります。たとえば、これらの 3 種類のインターフェイス上の内部ネットワークに対して相互アクセスを許可する場合、各内部インターフェイス上のすべてのトラフィックを許可する簡素なインバウンド アクセス リストを作成することができます。

per-user-override

(任意)ユーザごとに RADIUS サーバからアクセス リストをダウンロードして、既存のインターフェイス アクセス リストを上書きするのを許可します。このキーワードは、インバウンドの access-group コマンドでだけ使用できます。

 
デフォルト

デフォルトでは、 access-group コマンドを使用しないと、どのトラフィックもインターフェイスに着信できません。このルールの例外は、パケットが既存の TCP または UDP 接続の一部であり、 FWSM を通じてリターン トラフィックが戻されるのを許可している場合です。この場合、宛先のインターフェイスでは access-group コマンドは必要ありません。 コネクションレス プロトコルの場合は、双方向でのトラフィックの受け渡しを行うために、送信元と宛先の両方のインターフェイスにアクセス リストを適用する必要があります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.3(1)

per-user-override キーワードが追加されました。

 
使用上のガイドライン

access-group コマンドは、アクセス リストをインターフェイスにバインドします。 access-list コマンド ステートメントに permit オプションを入力した場合、 FWSM はパケットの処理を続行します。 access-list コマンド ステートメントに deny オプションを入力した場合、 FWSM はパケットを廃棄して、Syslog メッセージ 106019 を生成します。

1 つのアクセス リストをインターフェイスの両方向(送信元と宛先)に適用することができます。

FWSM のインターフェイスを通過するトラフィックを制御する方法には 2 種類あります。FWSM に着信するトラフィックについては、送信元のインターフェイスにインバウンド アクセス リストを付加する方法で制御します( in キーワード)。FWSM から発信するトラフィックについては、宛先のインターフェイスにアウトバウンド アクセス リストを付加する方法で制御します( out キーワード)。FWSM へのすべてのトラフィックの着信を許可するには、インターフェイスにインバウンド アクセス リストを付加する必要があります。こうしないと、FWSM は自身のインターフェイスに着信するすべてのトラフィックを自動的に破棄します。設定済みのインバウンド アクセス リストに制約を追加したアウトバウンド アクセス リストを使用して発信を制限しない限り、トラフィックは、デフォルトでは、すべてのインターフェイスで FWSM から発信することができます。

per-user-override キーワードを使用すると、ユーザ許可でダウンロードされるダイナミック アクセス リストによって、インターフェイスに割り当てられるアクセス リストを上書きできるようになります。たとえば、インターフェイス アクセス リストでは 10.0.0.0 からのすべてのトラフィックは拒否され、ダイナミック アクセス リストでは 10.0.0.0 からのすべてのトラフィックが許可される場合、このユーザに関してはダイナミック アクセス リストがインターフェイス アクセス リストを上書きします。

さらに、次のルールが適用されます。

パケットが到着するときに、パケットに対応付けられたユーザ単位のアクセス リストがない場合、インターフェイスのアクセス リストが適用されます。

ユーザ単位のアクセス リストは timeout コマンドの uauth オプションで指定されたタイムアウト値によって管理されていますが、ユーザ単位の AAA セッションのタイムアウト値で上書きできます。

既存のアクセス リストのログ動作は、変わりません。たとえば、ユーザ単位のアクセス リストによってユーザ トラフィックが拒否された場合、Syslog メッセージ 109025 が記録されます。ユーザ トラフィックが許可された場合、Syslog メッセージは生成されません。ユーザ単位のアクセス リストの log オプションには、まったく影響がありません。


) すべての permit および deny ステートメントが、access-group コマンドで参照されている 1 つ以上の access-list から削除されると、コンフィギュレーションから access-group コマンドが自動的に削除されます。access-group コマンドは、空白のアクセス リストまたはコメントだけが含まれるアクセス リストを参照できません。


次に、 access-group コマンドの使用例を示します。この static コマンドでは、Web サーバ 10.1.1.3 にグローバル アドレス 209.165.201.3 を付与しています。 access-list コマンドでは、すべてのホストに対して、ポート 80 を使用してグローバル アドレスにアクセスすることを許可します。 access-group コマンドでは、外部インターフェイスに着信するトラフィックに対して access-list コマンドを適用するように指定しています。

hostname (config)# static (inside,outside) 209.165.201.3 10.1.1.3
hostname (config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
hostname (config)# access-group acl_out in interface outside
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストを作成したり、ダウンロード可能なアクセス リストを使用したりします。

clear configure access-group

すべてのインターフェイスからアクセス グループを削除します。

show running-config access-group

コンテキスト グループのメンバーを表示します。

access-list alert-interval

最大数の拒否フロー メッセージの時間間隔を指定するには、グローバル コンフィギュレーション モードで access-list alert-interval コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

access-list alert-interval secs

no access-list alert-interval

 
シンタックスの説明

secs

生成される最大数の拒否フロー メッセージの時間間隔を指定します。有効値は 1~ 3600 秒です。

 
デフォルト

デフォルトは 300 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

access-list alert-interval コマンドは、Syslog メッセージ 106101 を生成する時間間隔を指定します。Syslog メッセージ 106101 は、FWSM が拒否フローの最大数に達したことを警告するものです。拒否フローの最大数に達したとき、前回の 106101 メッセージが生成されてから secs 秒以上経過していた場合は、さらに 106101 メッセージが生成されます。

生成される最大数の拒否フロー メッセージについては、 access-list deny-flow-max コマンドを参照してください

次に、最大数の拒否フロー メッセージの時間間隔を指定する例を示します。

hostname(config)# access-list alert-interval 30
 

 
関連コマンド

コマンド
説明

access-list deny-flow-max

同時に作成できる拒否フローの最大数を指定します。

access-list extended

コンフィギュレーションにアクセス リストを追加し、それを FWSM を通過する IP トラフィックのポリシーの設定に使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リスト エントリを番号別に表示します。

access-list commit

manual-commit モードで、アクセス リストをコミットするには、グローバル コンフィギュレーション モードで access-list commit コマンドを使用します。

access-list commit

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

access-list mode コマンドを manual-commit に設定する場合、FWSM で使用される前に、手動でアクセス リストをコミットする必要があります。


) manual-commit モードは、使用されていないアクセス リスト、または access-group コマンドで使用されているアクセス リストにだけ影響します。他のコンフィギュレーション コマンドで使用されているアクセス リストは、常に自動的にコミットされます。ただし、ACL モードが手動に設定されている場合は別です。その場合は、コミットされていない ACL は、Commit 機能、NAT、AAA に使用できません。


次に、アクセス リストと他のルールをコミットする例を示します。

fwsm/context(config)# access-list commit

 
関連コマンド

コマンド
説明

access-group

インターフェイスにアクセス リストをバインドします。

access-list extended

コンフィギュレーションにアクセス リストを追加して、FWSM を通過する IP トラフィックのポリシーを設定します。

access-list mode

manual-commit と auto-commit 間でアクセス リストのコミットメント モードを切り替えます。

clear access-list

アクセス リスト カウンタをクリアします。

object-group

コンフィギュレーションを最適化するのに使用できるオブジェクト グループを定義します。

access-list deny-flow-max

作成できる同時拒否フローの最大数を指定するには、グローバル コンフィギュレーション モードで access-list deny-flow-max コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

access-list deny-flow-max

no access-list deny-flow-max

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの値は、4096 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM で ACL 拒否フローの最大数 n に達すると、Syslog メッセージ 106101 が生成されます。

次に、作成できる同時拒否フローの最大数を指定する例を示します。

hostname(config)# access-list deny-flow-max 256
 

 
関連コマンド

コマンド
説明

access-list extended

コンフィギュレーションにアクセス リストを追加し、それを FWSM を通過する IP トラフィックのポリシーの設定に使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定するには、グローバル コンフィギュレーション モードで access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

no access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

 
シンタックスの説明

any

任意の相手に対するアクセスを指定します。

bpdu

Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)に対するアクセスを指定します。デフォルトでは、BPDU が拒否されています。

deny

条件に一致した場合、アクセスを拒否します。

hex_number

EtherType を識別できる 0x600 以上の 16 ビット 16 進数

id

アクセス リストの名前または番号

ipx

IPX に対するアクセスを指定します。

mpls-multicast

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)マルチキャストに対するアクセスを指定します。

mpls-unicast

MPLS ユニキャストに対するアクセスを指定します。

permit

条件に一致した場合、アクセスを許可します。

 
デフォルト

デフォルトの設定は次のとおりです。

アクセスを明確に許可しないかぎり、FWSM は発信元インターフェイスのパケットをすべて拒否します。

アクセス リスト ロギングでは、拒否された非 IP パケットについて Syslog メッセージ 106027 が生成されます。拒否された非 IP パケットをロギングするには、必ず拒否非 IP パケットが表示されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は、16 ビットの 16 進数で識別される任意の EtherType を制御できます。EtherType のアクセス リストは、Ethernet V2 フレームをサポートしています。タイプ フィールドとは対照的な長さのフィールドを使用するため、アクセス リストは 802.3 形式のフレームを処理しません。アクセス リストで処理される BPDU は、唯一の例外です。BPDU は SNAP でカプセル化されています。また、FWSM は特別に BPDU を処理できるように設計されています。

EtherType はコネクションレス型のため、トラフィックを双方向に流すためには、両方のインターフェイスにアクセス リストを適用する必要があります。

MPLS を許可する場合、FWSM に接続した両方の MPLS ルータが LDP または TDP セッション用のルータ ID として FWSM インターフェイス上の IP アドレスを使用するように設定することによって、LDP および TDP TCP 接続が FWSM を介して確立されるようにする必要があります(LDP および TDP によって、MPLS ルータはパケット転送用ラベル(アドレス) のネゴシエーションができます)。

インターフェイスの各方向に、各タイプ(拡張および EtherType)のアクセス リストを 1 つだけ適用できます。同じアクセス リストを複数のインターフェイスに適用することもできます。


) EtherType のアクセス リストが deny all に設定されている場合は、すべてのイーサネット フレームが廃棄されます。ただし、自動ネゴシエーションなど、物理的なプロトコル トラフィックは、引き続き許可されます。


次に、EtherType のアクセス リストを追加する例を示します。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

 

 
関連コマンド

コマンド
説明

access-group

インターフェイスにアクセス リストをバインドします。

clear access-group

アクセス リストのカウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

access-list extended

Access Control Entry(アクセス コントロール エントリ)を追加するには、グローバル コンフィギュレーション モードで access-list extended コマンドを使用します。アクセス リストは、同じアクセス リストの ID を使用した 1 つ以上の ACE で構成されます。ネットワーク アクセスを制御したり、実行する多種多様な機能のトラフィックを指定したりするのに使用されます。ACE を削除するには、このコマンドの no 形式を使用します。すべてのアクセス リストを削除するには、 clear configure access-list コマンドを使用します。

access-list id [ line line-number ] [ extended ] { deny | permit }
{
protocol | object-group protocol_obj_grp_id }
{
src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[
operator port | object-group service_obj_grp_id ]
{
dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[
operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[
log [[ level ] [ interval secs ] | disable | default ]]
[
inactive | time-range time_range_name ]

no access-list id [ line line-number ] [ extended ] { deny | permit } { tcp | udp }
{
src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[
operator port ] | object-group service_obj_grp_id ]
{
dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[
operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[
log [[ level ] [ interval secs ] | disable | default ]]
[
inactive | time-range time_range_name ]

 
シンタックスの説明

default

(任意)拒否された各パケットについてシステム ログ メッセージ 106023 を送信するデフォルトのロギング動作を設定します。

deny

条件に一致した場合、パケットを拒否します。ネットワーク アクセスの場合( access-group コマンド)、このキーワードはパケットが FWSM を通過するのを防ぎます。アプリケーション検査をクラス マップに適用する場合( class-map コマンドと inspect コマンド)、このキーワードは検査からトラフィックを除外します。NAT など、一部の機能では、拒否 ACE を使用できません。アクセス リストを使用する各機能の詳細については、コマンド マニュアルを参照してください。

dest_ip

パケット宛先のネットワークまたはホストの IP アドレスを指定します。IP アドレスの前に host キーワードを入力して、1 つのアドレスを指定します。この場合、マスクは入力しません。アドレスとマスクではなく、 any キーワードを入力して、アドレスを指定します。

disable

(任意)この ACE のロギングをディセーブルにします。

icmp_type

(任意)プロトコルが icmp の場合、ICMP タイプを指定します。

id

アクセス リストの ID を、最長 241 文字の文字列または整数で指定します。ID は大文字と小文字を区別します。ヒント:すべての文字を大文字にすると、コンフィギュレーションに表示されるアクセス リストの ID が見やすくなります。

inactive

(任意)ACE をディセーブルにします。ACE を再イネーブルにするには、 inactive キーワードを指定せずにすべての ACE を入力します。この機能は、ユーザがコンフィギュレーションに非アクティブの ACE のレコードを保持できるようにしているので、再イネーブルしやすくなっています。

interface ifc_name

送信元または宛先アドレスとしてインターフェイス アドレスを指定します。

interval secs

(任意)106100 のシステム ログ メッセージを生成するログ間隔を指定します。有効値は 1 ~ 600 秒です。デフォルトの値は、300 です。

level

(任意)106100 のシステム ログ メッセージ レベルを 0 ~ 7 の間で設定します。デフォルトの level は、6 です。

line line-num

(任意)ACE を挿入する行番号を指定します。ライン番号を指定しなかった場合、ACE はアクセス リストの末尾に追加されます。行番号はコンフィギュレーションには保存されません。行番号は、ACE を挿入する場所を指定するためのものです。

log

(任意)拒否 ACE がネットワーク アクセス( access-group コマンドで適用されたアクセス リスト)のパケットに一致する場合のロギング オプションを設定します。引数を指定せずに log キーワードを入力した場合、デフォルト間隔が 300 秒で、デフォルト レベルが 6 の、106100 のシステム ログ メッセージがイネーブルになります。log キーワードを入力しない場合、106023 のシステム ログ メッセージを使用した、デフォルトのロギングが行われます。

mask

IP アドレスのサブネット マスク。ネットワーク マスクを指定する場合、指定方法は、Cisco IOS ソフトウェアの access-list コマンドとは異なります。FWSM はネットワーク マスク(たとえば、Class C マスクの場合は 255.255.255.0)を使用します。Cisco IOS マスクは、ワイルドカード ビット(たとえば、0.0.0.255)を使用します。

object-group icmp_type_obj_grp_id

(任意)プロトコルが icmp の場合、ICMP タイプ オブジェクト グループの識別子を指定します。オブジェクト グループを追加する場合は、 object-group icmp-type コマンドを参照してください。

object-group network_obj_grp_id

ネットワーク オブジェクト グループの識別子を指定します。オブジェクト グループを追加する場合は、 object-group network コマンドを参照してください。

object-group protocol_obj_grp_id

プロトコル オブジェクト グループの識別子を指定します。オブジェクト グループを追加する場合は、 object-group protocol コマンドを参照してください。

object-group service_obj_grp_id

(任意)プロトコルを tcp または udp に設定する場合、サービス オブジェクト グループの識別子を指定します。オブジェクト グループを追加する場合は、 object-group service コマンドを参照してください。

operator

(任意)送信元または宛先で使用されるポート番号を照合します。使用できる演算子は、次のとおりです。

lt - less than:より小さい

gt - geater than:より大きい

eq - equal to:等しい

neq - not equal to:等しくない

range :指定された値を含めた範囲。この演算子を使用する場合、たとえば、2 つのポート番号を指定します。

range 100 200
 

permit

条件に一致した場合、パケットを許可します。ネットワーク アクセスの場合( access-group コマンド)、このキーワードはパケットが FWSM を通過するのを許可します。アプリケーション検査をクラス マップに適用する場合( class-map コマンドと inspect コマンド)、このキーワードはパケットに検査を適用します。

port

(任意)プロトコルを tcp または udp に設定する場合、TCP または UDP ポートの整数または名前を指定します。DNS、Discard、Echo、Ident、NTP、RPC、SUNRPC、および Talk のそれぞれには、TCP および UDP それぞれについて 1 つの定義が必要です。TACACS+ には、TCP 上のポート 49 に対して 1 つの定義が必要です。

protocol

IP プロトコルの名前または番号を指定します。たとえば、UDP は 17、TCP は 6、EGP は 47 です。

src_ip

パケット送信元のネットワークまたはホストの IP アドレスを指定します。IP アドレスの前に host キーワードを入力して、1 つのアドレスを指定します。この場合、マスクは入力しません。アドレスとマスクではなく、 any キーワードを入力して、アドレスを指定します。

time-range time_range_name

(任意)ACE に時間範囲を適用して、特定の日および週の時間に各 ACE がアクティブになるようにスケジューリングします。時間範囲を定義する方法については、 time-range コマンドを参照してください。

 
デフォルト

デフォルトの設定は次のとおりです。

ACE ロギングは、拒否されたパケットに対して、Syslog メッセージ 106023 を生成します。拒否されたパケットを記録する場合、必ず拒否 ACE が表示されます。

log キーワードを指定する場合、Syslog メッセージ 106100 のデフォルト レベルは 6(通知)になり、デフォルトの間隔は 300 秒になります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

所定のアクセス リスト名に対して入力する各 ACE は、ACE に行番号を指定している場合を除いて、アクセス リストの末尾に追加されます。

ACE の順序は、重要です。FWSM がパケットを転送するか廃棄するかを判別する場合、FWSM は、エントリが一覧されている順序に従って、各 ACE に対してパケットを照合します。一致したあとは、それ以上 ACE が確認されることはありません。たとえば、アクセス リストの最初にすべてのトラフィックを明示的に許可する ACE を作成した場合、それ以降のステートメントは確認されません。

暗黙の拒否ステートメントがアクセス リストの末尾に含まれているので、明示的に許可する場合を除いて、トラフィックは通過できません。たとえば、特定のアドレス以外のユーザ全員が FWSM を経由してネットワークにアクセスするようにするには、特定のアドレスを拒否してから、他のすべてのユーザを許可する必要があります。

NAT を使用する場合、アクセス リストに指定する IP アドレスは、アクセス リストが属するインターフェイスによって決まります。インターフェイスに接続したネットワーク上で有効なアドレスを使用する必要があります。この注意事項は、インバウンドおよびアウトバウンド アクセス グループの両方に適用されます。使用するアドレスは方向によって左右されません。アドレスを決定付けるのはインターフェイスだけです。

TCP および UDP 接続では、リターン トラフィックを許可するためのアクセス リストを使用する必要はありません。FWSM は、確立済みの接続および双方向の接続でのすべてのリターン トラフィックを許可するからです。ただし、ICMP などのコネクションレス型プロトコルの場合は、FWSM が単一方向のセッションを確立するため、アクセス リストを使用して(送信元インターフェイスと宛先インターフェイスにアクセス リストを適用することによって)、双方向で ICMP を使用できるようにするか、ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。

ICMP はコネクションレス型プロトコルなので、アクセス リストを使用して(送信元インターフェイスと宛先インターフェイスにアクセス リストを適用することによって)、双方向で ICMP を使用できるようにするか、ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションをステートフル接続として扱います。ping を制御するには、 echo-reply 0 )(FWSM からホストへ)または echo 8 )(ホストから FWSM へ)を指定します。ICMP タイプのリストについては、 表 2-1 を参照してください。

インターフェイスの各方向に、各タイプ(拡張および EtherType)のアクセス リストを 1 つだけ適用できます。同じアクセス リストを複数のインターフェイスに適用できます。インターフェイスにアクセス リストを適用する方法については、 access-group コマンドを参照してください。

ソフトウェアでは、 time-range オプションを ACE に指定した後で、 inactive オプションを入力できますが、 inactive オプションは time-range オプションより優先されるため、 time-range オプションは使用できなくなります。構文で示すように、いずれか一方を入力してください。


) アクセス リストのコンフィギュレーションを変更し、新しいアクセス リストの情報が使用されるまで、既存の接続がタイムアウトするのを待機しない場合は、clear local-host コマンドを使用して、接続をクリアできます。


表 2-1 に、使用される ICMP タイプの値を一覧します。

 

表 2-1 ICMP タイプのリテラル

ICMP タイプ
リテラル

0

echo-reply(エコー応答)

3

unreachable(到達不能)

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

30

traceroute

31

conversion-error

32

mobile-redirect

次のアクセス リストは、(アクセス リストが適用されるインターフェイス上の)すべてのホストに対して、FWSM の通過を許可します。

hostname(config)# access-list ACL_IN extended permit ip any any
 

次のアクセス リストの例では、192.168.1.0/24 のホストに対して、209.165.201.0/27 ネットワークへのアクセスを禁止します。他のすべてのアドレスは許可されます。

hostname(config)# access-list ACL_IN extended deny tcp 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224
hostname(config)# access-list ACL_IN extended permit ip any any
 

一部のホストにアクセスを制限するには、制限を施した許可 ACE を入力します。デフォルトでは、明示的に許可されている場合を除いて、他のすべてのトラフィックが拒否されます。

hostname(config)# access-list ACL_IN extended permit ip 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224
 

次のアクセス リストは、(アクセス リストが適用されるインターフェイス上の)すべてのホストに対して、アドレスが 209.165.201.29 の Web サイトへのアクセスを制限します。他のすべてのトラフィックは許可されます。

hostname(config)# access-list ACL_IN extended deny tcp any host 209.165.201.29 eq www
hostname(config)# access-list ACL_IN extended permit ip any any
 

オブジェクト グループを使用する次のアクセス リストは、内部ネットワーク上の一部のホストに対して、一部の Web サーバへのアクセスを制限します。他のすべてのトラフィックは許可されます。

hostname(config-network)# access-list ACL_IN extended deny tcp object-group denied object-group web eq www
hostname(config)# access-list ACL_IN extended permit ip any any
hostname(config)# access-group ACL_IN in interface inside
 

ネットワーク オブジェクト(A)の 1 つのグループからネットワーク オブジェクト(B)の別のグループへのトラフィックを許可するアクセス リストを一時的にディセーブルにする場合、次のようになります。

hostname(config)# access-list 104 permit ip host object-group A object-group B inactive
 

時間ベースのアクセス リストを実装するには、 time-range コマンドを使用して、特定の日および週の時間を定義します。次に、 access-list extended コマンドを使用して、時間範囲をアクセス リストにバインドします。次に、「Sales」という名前のアクセス リストを「New_York_Minute」という名前の時間範囲にバインドする例を示します。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute
hostname(config)#
 

時間範囲を定義する方法については、 time-range コマンドを参照してください。

 
関連コマンド

コマンド
説明

access-group

インターフェイスにアクセス リストをバインドします。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show access-list

ACE を番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

access-list mode

manual-commit と auto-commit 間でアクセス リストのコミットメント モードを切り替えるには、グローバル コンフィギュレーション モードで access-list mode コマンドを使用します。

access-list mode { auto-commit | manual-commit }

 
シンタックスの説明

auto-commit

ACE を追加するときに、アクセス リストを自動的にコミットします。

manual-commit

auto-commit をディセーブルにします。 access-list commit コマンドを使用して、アクセス リストを手動でコミットする必要があります。

 
デフォルト

デフォルトは auto-commit です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

アクセス リストに ACE を追加すると、FWSM はネットワーク プロセッサにアクセス リストをコミットすることによって、アクセス リストをアクティブにします。auto-commit モードの場合、最後の access-list コマンドを入力後、FWSM は、短い時間待ってから、アクセス リストをコミットします。コミットメントが開始してから ACE を入力した場合、FWSM はコミットメントを打ち切り、新たな短い待機期間のあと、アクセス リストを再コミットします。FWSM はアクセス リストのコミット後に、次のようなメッセージを表示します。

Access Rules Download Complete: Memory Utilization: < 1%
 

約 60 K の ACE で構成される大型アクセス リストの場合、サイズに応じて、コミットに 3 ~ 4 分かかることがあります。

管理アプリケーションまたはスクリプトがアクセス リスト コミットメントをモニタして、エラー メッセージがないかどうか確認する必要がある場合、手動でアクセス リストをコミットできます。コンフィギュレーション コマンドで生じたエラーをモニタできない管理アプリケーションもあるため、ACE を追加した場合、コミットメント エラーが発生しても、管理アプリケーションがエラーを受け取らない場合もあります。ただし、管理アプリケーションがモードを manual-commit に設定した場合は、 access-list commit コマンド(ランタイム コマンド)で発生するエラーをモニタできます。管理アプリケーションは、通常、このモードを自動的に manual-commit に設定します。


) 手動モードはランタイム設定のため、access-list mode manual-commit は、show run コマンドの入力時に表示されず、リブートすると設定は無効になります。


manual-commit をイネーブルにする場合、変更内容を追加するのか、削除するのかに関係なく、アクセス リストに加える変更内容を必ず手動でコミットしなければなりません。また、手動でアクセス リストをコミットしてから、インターフェイスに割り当てる必要があります( access-group コマンド)。アクセス リストが存在しなければ、FWSM はインターフェイスにアクセス リストを割り当てることができません。

ACE を削除して、変更内容をまだコミットしていない場合、 show running-config コマンドは、ACE に「uncommitted deletion」のテキストを表示します。ACE を追加した場合は、追加した ACE に「uncommitted addition」のテキストが表示されます。


) manual-commit モードは、使用されていないアクセス リスト、または access-group コマンドで使用されているアクセス リストにだけ影響します。他のコンフィギュレーション コマンドで使用されているアクセス リストは、常に自動的にコミットされます。ただし、ACL モードが手動に設定されている場合は別です。その場合は、コミットされていない ACL は、Commit 機能、NAT、AAA に使用できません。


次の例では、manual-commit モードを使用してトラフィックを中断することなく既存のアクセス リストを変更します。

fwsm(config)# access-list mode manual-commit
fwsm(config)# clear configure access-list CHANGEME
fwsm(config)# access-list CHANGEME ...
! New ACE 1
fwsm(config)# access-list CHANGEME ...
! New ACE 2
fwsm(config)# ...
fwsm(config)# access-list CHANGEME ...
! New ACE N
fwsm(config)# access-list commit
 

次の例では、古いアクセス リストを削除して、別の名前の新しいアクセス リストを追加します。

fwsm(config)# access-list mode manual-commit
fwsm(config)# clear config access-list old-acl
fwsm(config)# access-list new-acl .... : New ACE1
fwsm(config)# access-list new-acl .... : New ACE2
fwsm(config)# ..........
fwsm(config)# access-list new-acl .... : New ACEn
fwsm(config)# access-list commit
fwsm(config)# access-group new-acl in interface old-interface
 

前の例では、古いインターフェイス上でトラフィックがわずかに中断されます。中断される時間は、最後の 2 行のコマンド ラインでコミットを実行し、 access-group コマンドを適用するのに必要な時間です。

 

次に、manual-commit モードの使用例を示します。

fwsm(config)# show access-list mode
ERROR: access-list <mode> does not exists
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list 1 permit ip any any
fwsm(config)# Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0)
fwsm(config)#
fwsm(config)# access-list commit
ERROR: access-list mode set to auto-commit; command ignored
fwsm(config)#
fwsm(config)# Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list mode manual-commit
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list 1 permit ip any any
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0) (uncommitted addition)
fwsm(config)#
fwsm(config)# access-group 1 in interface inside
ERROR: access-list not committed, ignoring command
fwsm(config)# access-list commit
Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# access-group 1 in interface inside
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0)
fwsm(config)#
fwsm(config)# no access-list 1 permit ip any any
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0) (uncommitted deletion)
fwsm(config)#
fwsm(config)# access-list commit
Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)# #
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
 

 
関連コマンド

コマンド
説明

access-list commit

manual-commit モードで、アクセス リストをコミットします。

access-list extended

コンフィギュレーションにアクセス リストを追加して、FWSM を通過する IP トラフィックのポリシーを設定します。

clear access-list

アクセス リスト カウンタをクリアします。

show access-list

アクセス リストのカウンタを表示します。

show access-list mode

システムのコンパイル モードを表示します。

access-list optimization enable

アクセス リスト グループを最適化するには、グローバル コンフィギュレーション モードで、 access-list optimization enable コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

access-list optimization enable

no access-list optimization enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

最適化がイネーブルになると、ルールは最適化され、NP にダウンロードされます。元の最適化されていないルールは非アクティブになります。ルールの追加または削除は、元の最適化されていないアクセス リストで実行する必要があります。新しいルールが追加/削除された場合は、必ず、最適化のプロセスが繰り返されます。このプロセスの実行中は、最適化のプロセスが完了するまでは、一部のアクセス リストの情報が正確でない場合があります。


) アクセス リストの最適化が反映されるのは、スタティックな拡張アクセス リストだけです。ダイナミック アクセス リストは最適化されません。これに加えて、アクセス リストが AAA、ポリシー NAT、およびフィックスアップ モジュールにバインドされると、ルールの 2 つのコピーがシステム内に共存します。最適化されたコピーは、アクセス リストがアクセス グループに付加された場合に使用され、元の最適化されていないコピーは、AAA、ポリシー NAT、フィックスアップで使用されます。


次の例で、アクセス リストを最適化する方法を示します。

hostname(config)# access-list optimization enable
 

 
関連コマンド

コマンド
説明

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

copy optimized-running-config

最適化した実行コンフィギュレーションを指定された場所にコピーします。

debug acl optimization

アクセス リストの最適化をデバッグします。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

access-list remark

access-list extended コマンドの前後に追加するコメント テキストを指定するには、グローバル コンフィギュレーション モードで access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。

access-list id [ line line-num ] remark text

no access-list id [ line line-num ] remark text

 
シンタックスの説明

id

アクセス リストの名前

line line-num

(任意)コメントまたはアクセス制御要素(ACE)を挿入する行番号

remark text

access-list extended コマンドの前後に追加するコメント テキスト

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

コメント テキストは、スペースと句読点を含めて最長 100 文字です。コメント テキストには、スペース以外の文字を 1 つ以上含める必要があります。空のコメントは入力できません。

コメントだけからなる ACL には access-group コマンドを使用できません。

特定のコメントを削除し、 no access-list id line line number remark コマンドを使用して行番号を指定しようとした場合、指定した行番号が当該 ACL の ACE で使用されていないと、指定されたコメントが最初にインスタンスで特定されるまで、アクセス リスト全体が検索されます。コメントが特定されると、コメントの最初のインスタンスが先頭から削除されます。これは 1 つのアクセス リスト内に同じコメントが複数存在する場合も同様です。

次に、 access-list コマンドの前後に追加するコメント テキストを指定する例を示します。

hostname(config)# access-list 77 remark checklist
 

 
関連コマンド

コマンド
説明

access-list extended

コンフィギュレーションにアクセス リストを追加し、それを FWSM を通過する IP トラフィックのポリシーの設定に使用します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

access-list standard

アクセス リストを追加して、OSPF ルート(OSPF 再配布用のルート マップに使用可)の宛先 IP アドレスを特定するには、グローバル コンフィギュレーション モードで access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。キーワード standard を使用せずにコマンドを入力して行番号を指定します。

access-list id standard { deny | permit } { any | host ip_address | ip_address subnet_mask }

no access-list id standard { deny | permit } { any | host ip_address | ip_address subnet_mask }

access-list id [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }

 
シンタックスの説明

any

任意の相手に対するアクセスを指定します。

deny

条件に一致した場合、アクセスを拒否します。詳しくは、「使用上のガイドライン」 を参照してください。

host ip_address

ホストの IP アドレスに対するアクセスを指定します。

id

アクセス リストの名前または番号

ip_address ip_mask

特定の IP アドレスとサブネット マスクに対するアクセスを指定します。

line line-num

(任意)ACE を挿入する行番号

permit

条件に一致した場合、アクセスを許可します。詳しくは、「使用上のガイドライン」 を参照してください。

 
デフォルト

デフォルトの設定は次のとおりです。

アクセスを明確に許可しないかぎり、FWSM は発信元インターフェイスのパケットをすべて拒否します。

ACL ロギングでは、拒否されたパケットについて Syslog メッセージ 106023 が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

access-group コマンドとともに deny オプションを使用すると、パケットが FWSM を通過することが禁止されます。デフォルトでは、個々のアクセスを明確に許可しないかぎり、FWSM は発信元インターフェイスのパケットをすべて拒否します。

protocol を指定して、TCP および UDP を含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。

オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。

アクセス リストをグループにまとめるには、 object-group コマンドを使用します。

発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意事項は、次のとおりです。

32 ビットの 4 分割ドット付き 10 進数形式を使用してください。

アドレスとマスクを 0.0.0.0 0.0.0.0 にする場合は、短縮形の any キーワードを使用します。このキーワードを、IPSec で使用することは推奨しません。

マスクを 255.255.255.255 にする場合は、短縮形の host address を使用します。

次に、ファイアウォールを通過する IP トラフィックを拒否する例を示します。

hostname(config)# access-list 77 standard deny
 

次に、条件が一致した場合に、ファイアウォールを通過する IP トラフィックを許可する例を示します。

hostname(config)# access-list 77 standard permit

 

 
関連コマンド

コマンド
説明

access-group

コンフィギュレーションを最適化するのに使用できるオブジェクト グループを定義します。

clear access-group

アクセス リスト カウンタをクリアします。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list

現在実行中のアクセス リスト設定を表示します。

accounting-mode

アカウンティング メッセージが 1 つのサーバ(シングル モード)に送信されるか、グループ内のすべてのサーバ(同時モード)に送信されるかを指定するには、AAA サーバ グループ コンフィギュレーション モードで accounting-mode コマンドを使用します。アカウンティング モードの指定を解除するには、このコマンドの no 形式を使用します。

accounting-mode simultaneous

accounting-mode single

no accounting-mode

 
シンタックスの説明

simultaneous

グループ内のすべてのサーバにアカウンティング メッセージを送信します。

single

1 つのサーバにアカウンティング メッセージを送信します。

 
デフォルト

デフォルト値はシングル モードです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

aaa サーバ グループ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つのサーバにアカウンティング メッセージを送信するには、 single キーワードを使用します。サーバ グループ内のすべてのサーバにアカウンティング メッセージを送信するには、 simultaneous キーワードを使用します。

このコマンドは、サーバ グループがアカウンティング(RADIUS または TACACS+)に対して使用される場合にだけ有効です。

次に、 accounting-mode コマンドを使用して、グループ内のすべてのサーバにアカウンティング メッセージを送信する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
 

 
関連コマンド

コマンド
説明

aaa accounting

アカウンティング サービスをイネーブルまたはディセーブルにします。

aaa-server protocol

AAA サーバ グループ コンフィギュレーション モードを開始して、グループに固有で、グループ内のすべてのホストに共通の AAA サーバのパラメータを設定できるようにします。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

accounting-port

このホストの RADIUS アカウンティングで使用されるポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで accounting-port コマンドを使用します。認証ポートの指定を解除するには、このコマンドの no 形式を使用します。このコマンドは、アカウンティング レコードの送信先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。

accounting-port port

no accounting-port

 
シンタックスの説明

port

RADIUS アカウンティングのポート番号(1 ~ 65535 の範囲)

 
デフォルト

デフォルトでは、デバイスはポート 1646 で RADIUS アカウンティングを待ち受けます(RFC 2058 に準拠)。ポートが指定されていない場合、RADIUS アカウンティングのデフォルト ポート番号(1646)が使用されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

aaa サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

aaa-server radius-acctport コマンドに代わって、このコマンドが追加されました。

 
使用上のガイドライン

RADIUS アカウンティング サーバが 1646 以外のポートを使用している場合、 aaa-server コマンドで RADIUS サービスを起動する前に、FWSM に適切なポートを設定する必要があります。


ヒント RFC 2139 によって、RADIUS アカウンティングの標準ポートがポート 1813 に変更されました。

このコマンドは、RADIUS 用に設定されているサーバ グループでのみ有効です。

次に、ホスト「209.165.200.225」に「svrgrp1」という名前の RADIUS AAA サーバを設定する例を示します。タイムアウトを 9 秒、再試行間隔を 7 秒に設定し、アカウンティング ポート 2222 を設定します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 209.165.200.225
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# accountinq-port 2222
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa accounting

ユーザがアクセスしたネットワーク サービスのレコードを保持します。

aaa-server host

aaa サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

コンフィギュレーションから AAA コマンド ステートメントをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

accounting-server-group

アカウンティング レコードを送信する AAA サーバ グループを指定するには、tunnel-group general-attributes コンフィギュレーション モードで accounting-server-group コマンドを使用します。このコマンドをデフォルトの設定に戻すには、このコマンドの no 形式を使用します。

[no] accounting-server-group server-group

 
シンタックスの説明

server-group

AAA サーバ グループの名前を指定します。デフォルトは、 NONE です。

 
デフォルト

このコマンドのデフォルト設定は、 NONE です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group general-attributes コンフィギュレーション

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのトンネルグループ タイプにこの属性を適用できます。

次に、config-general コンフィギュレーション モードで、IPSec LAN 間トンネル グループ xyz に対して、aaa-server123 という名前のアカウンティング サーバ グループを設定する例を示します。

hostname(config)# tunnel-group xyz type IPSec_L2L
hostname(config)# tunnel-group xyz general
hostname(config-general)# accounting-server-group aaa-server123
hostname(config-general)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ設定を表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。