Cisco ASA シリーズ コマンド リファレンス、T ~ Z コマンドおよび ASASM の IOS コマンド
validate-attribute コマンド~ vpnsetup コマンド
validate-attribute コマンド~ vpnsetup コマンド
発行日;2015/05/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

validate-attribute コマンド~ vpnsetup コマンド

validate-attribute

validation-policy(クリプト CA トラストポイント)

validation-usage

vdi

verify

verify-header

version

virtual http

virtual telnet

vlan

vlan(グループ ポリシー)

vpdn group

vpdn username

vpn-access-hours

vpn-addr-assign

vpn-filter

vpn-framed-ip-address

vpn-framed-ipv6-address

vpn-group-policy

vpn-idle-timeout

vpn load-balancing

vpn-session-db

vpn-sessiondb logoff

vpn-session-timeout

vpn-simultaneous-logins

vpn-tunnel-protocol

vpnclient connect

vpnclient enable

vpnclient ipsec-over-tcp

vpnclient mac-exempt

vpnclient management

vpnclient mode

vpnclient nem-st-autoconnect

vpnclient server-certificate

vpnclient server

vpnclient trustpoint

vpnclient username

vpnclient vpngroup

vpnsetup

validate-attribute コマンド~ vpnsetup コマンド

validate-attribute

RADIUS アカウンティングの使用時に RADIUS 属性を検証するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで validate attribute コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。

このオプションは、デフォルトで無効です。

validate-attribute [ attribute_number ]

no validate-attribute [ attribute_number ]

 
構文の説明

attribute_number

RADIUS アカウンティングで検証する RADIUS 属性。値の範囲は、1 ~ 191 です。ベンダー固有属性はサポートされません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを設定すると、セキュリティ アプライアンスは、Framed IP 属性に加えて RADIUS 属性に対する照合も実行します。このコマンドは、インスタンスを複数設定できます。

RADIUS 属性のタイプのリストを見るには、次のサイトにアクセスしてください。

http://www.iana.org/assignments/radius-types

次に、ユーザ名 RADIUS 属性の RADIUS アカウンティングをイネーブルにする例を示します。

ciscoasa(config)# policy-map type inspect radius-accounting ra
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# validate attribute 1
 

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングのインスペクションを設定します。

parameters

インスペクション ポリシー マップのパラメータを設定します。

validation-policy(クリプト CA トラストポイント)

着信ユーザ接続に関連付けられている証明書を検証するためにトラストポイントを使用できる条件を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで validation-policy コマンドを使用します。指定した条件でトラストポイントを使用できないように指定するには、このコマンドの no 形式を使用します。

[no] validation-policy {ssl-client | ipsec-client} [no-chain] [subordinate-only]

 
構文の説明

ipsec-client

トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを IPsec 接続の検証に使用できることを指定します。

no-chain

セキュリティ デバイス上にない下位証明書のチェーンをディセーブルにします。

ssl-client

トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを SSL 接続の検証に使用できることを指定します。

subordinate-only

このトラストポイントで表される CA から直接発行されたクライアント証明書の検証をディセーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クリプト CA トラストポイント コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

リモート アクセス VPN では、導入要件に応じて、セキュア ソケット レイヤ(SSL)VPN、IP Security(IPsec)、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。 validation-policy コマンドを使用して、オンボード CA 証明書へのアクセスに使用できるプロトコル タイプを指定できます。

このコマンドで no-chain オプションを指定すると、ASA でトラストポイントとして設定されていない下位 CA 証明書が ASA でサポートされなくなります。

ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能がイネーブルになっている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントを SSL トラストポイントとして指定する例を示します。

ciscoasa(config)# crypto ca trustpoint central
ciscoasa(config-ca-trustpoint)# validation-policy ssl
ciscoasa(config-ca-trustpoint)#
 

次に、トラストポイント checkin1 に対してクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントが指定したトラストポイントの下位証明書を受け入れるように設定する例を示します。

ciscoasa(config)# crypto ca trustpoint checkin1
ciscoasa(config-ca-trustpoint)# validation-policy subordinates-only
ciscoasa(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

id-usage

トラストポイントの登録された ID の使用方法を指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

validation-usage

このトラストポイントでの検証が許可される使用タイプを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで validation-usage コマンド を使用します。使用タイプを指定しない場合は、このコマンドの no 形式を使用します。

validation-usage ipsec-client | ssl-client | ssl-server

no validation-usage ipsec-client | ssl-client | ssl-server

 
構文の説明

ipsec-client

このトラストポイントを使用して IPsec クライアント接続を検証できることを示します。

ssl-client

このトラストポイントを使用して SSL クライアント接続を検証できることを示します。

ssl-server

このトラストポイントを使用して SSL サーバ証明書を検証できることを示します。

 
デフォルト

ipsec-client、ssl-client

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クリプト CA トラストポイント コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

9.0(1)

このコマンドは、client-types コマンドを置き換える目的で導入されました。

 
使用上のガイドライン

同じ CA 証明書に関連付けられているトラストポイントが複数ある場合、特定のクライアント タイプに設定できるのは 1 つのトラストポイントだけです。ただし、1 つのトラストポイントを 1 つのクライアント タイプに設定し、別のトラストポイントを別のクライアント タイプに設定することができます。

同じ CA 証明書に関連付けられているトラストポイントがあり、これがすでに 1 つのクライアント タイプに設定されている場合は、この同じクライアント タイプ設定に新しいトラストポイントを設定することはできません。このコマンドの no 形式を使用して設定をクリアして、トラストポイントがいずれのクライアント検証にも使用できないようにすることができます。

リモート アクセス VPN では、導入要件に応じて、セキュア ソケット レイヤ(SSL)VPN、IP Security(IPsec)、またはこの両方を使用して、すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。

 
関連コマンド

コマンド
説明

crypto ca trustpoint

指定したトラストポイントのクリプト CA トラストポイント コンフィギュレーション モードを開始します。

vdi

モバイル デバイスで実行される Citrix Receiver アプリケーションの XenDesktop および XenApp VDI サーバへのセキュアなリモート アクセスを ASA 経由で提供するには、 vdi コマンドを使用します。

vdi type citrix url url domain domain username username password password

 
構文の説明

domain domain

仮想化インフラストラクチャ サーバにログインするためのドメイン。この値は、クライアントレス マクロにすることができます。

password password

仮想化インフラストラクチャ サーバにログインするためのパスワード。この値は、クライアントレス マクロにすることができます。

type

VDI のタイプ。Citrix Receiver タイプの場合、この値は citrix にする必要があります。

url url

http または https、ホスト名、ポート番号、および XML サービスへのパスを含む XenApp または XenDesktop サーバの完全な URL。

username username

仮想化インフラストラクチャ サーバにログインするためのユーザ名。この値は、クライアントレス マクロにすることができます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

9.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

VDI モデルでは、管理者は、企業アプリケーションが事前にロードされているデスクトップをパブリッシュし、エンド ユーザは、これらのデスクトップにリモート アクセスします。これらの仮想リソースは、ユーザが Citrix Access Gateway を移動してアクセスする必要がないように、電子メールなどのその他のリソースと同様に表示されます。ユーザは Citrix Receiver モバイル クライアントを使用して ASA にログオンし、ASA は事前定義された Citrix XenApp または XenDesktop サーバに接続されます。ユーザが Citrix の仮想化されたリソースに接続する場合に、Citrix サーバのアドレスおよびクレデンシャルをポイントするのではなく、ASA の SSL VPN IP アドレスおよびクレデンシャルを入力するように、管理者は [Group Policy] で Citrix サーバのアドレスおよびログオン クレデンシャルを設定する必要があります。ASA がクレデンシャルを確認したら、受信側クライアントは ASA 経由で許可されているアプリケーションの取得を開始します。

サポートされているモバイル デバイス

iPad:Citrix Receiver バージョン 4.x 以降

iPhone/iTouch:Citrix Receiver バージョン 4.x 以降

Android 2.x 電話機:Citrix Receiver バージョン 2.x 以降

Android 3.x タブレット:Citrix Receiver バージョン 2.x 以降

Android 4.0 電話機:Citrix Receiver バージョン 2.x 以降

ユーザ名とグループ ポリシーが両方とも設定されている場合、ユーザ名の設定は、グループ ポリシーに優先します。

configure terminal
group-policy DfltGrpPolicy attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>
configure terminal
username <username> attributes
webvpn
vdi type <citrix> url <url> domain <domain> username <username> password
<password>]

 
関連コマンド

コマンド
説明

debug webvpn citrix

Citrix ベースのアプリケーションおよびデスクトップを起動するとプロセスを把握できます。

verify

ファイルのチェックサムを確認するには、特権 EXEC モードで verify コマンドを使用します。

verify path

verify [ /md5 path ] [ md5-value ]

 
構文の説明

/md5

(オプション)指定したソフトウェア イメージの MD5 値を計算して表示します。この値を、Cisco.com で入手できるこのイメージの値と比較します。

md5-value

(オプション)指定したイメージの既知の MD5 値。コマンドで MD5 値を指定すると、指定したイメージの MD5 値が計算され、MD5 値が一致するかどうかを示すメッセージが表示されます。

path

disk0:/ [ path / ] filename

このオプションは、ASA 5500 シリーズだけで使用可能であり、内部フラッシュ メモリを示します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename

このオプションは、ASA 5500 シリーズだけで使用可能であり、外部フラッシュ メモリ カードを示します。

flash:/ [ path / ] filename

このオプションは、内部フラッシュ カードを示します。ASA 5500 シリーズでは、 flash disk0 のエイリアスです。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。

パス名にスペースを含めることはできません。パス名にスペースが含まれている場合は、 verify コマンドではなく tftp-server コマンドでパスを設定します。

 
デフォルト

現在のフラッシュ デバイスがデフォルトのファイル システムです。


/md5 オプションを指定する場合、ftp、http、tftp などのネットワーク ファイルをソースとして使用できます。/md5 オプションを指定せずに verify コマンドを使用した場合は、フラッシュのローカル イメージのみを確認できます。


 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

verify コマンドを使用して、ファイルを使用する前にそのチェックサムを確認します。

ディスクで配布される各ソフトウェア イメージでは、イメージ全体に対して 1 つのチェックサムが使用されます。このチェックサムは、イメージをフラッシュ メモリにコピーする場合にのみ表示され、イメージ ファイルをあるディスクから別のディスクにコピーする場合は表示されません。

新しいイメージをロードまたは複製する前に、そのイメージのチェックサムと MD5 情報を記録しておき、イメージをフラッシュ メモリまたはサーバにコピーするときにチェックサムを確認できるようにします。Cisco.com では、さまざまなイメージ情報を入手できます。

フラッシュ メモリの内容を表示するには、 show flash コマンドを使用します。フラッシュ メモリの内容のリストには、個々のファイルのチェックサムは含まれません。イメージをフラッシュ メモリにコピーした後で、そのイメージのチェックサムを再計算して確認するには、 verify コマンドを使用します。ただし、 verify コマンドでは、ファイルがファイル システムに保存された後にのみ、整合性チェックを実行します。破損しているイメージが ASA に転送され、検出されずにファイル システムに保存される場合があります。破損しているイメージが正常に ASA に転送されると、ソフトウェアはイメージが壊れていることを把握できず、ファイルの確認が正常に完了します。

メッセージ ダイジェスト 5(MD5)ハッシュ アルゴリズムを使用してファイルを検証するには、 /md5 オプションを指定して verify コマンドを使用します。MD5(RFC 1321 で規定)は、一意の 128 ビットのメッセージ ダイジェストを作成することによってデータの整合性を確認するアルゴリズムです。 verify コマンドの /md5 オプションを使用すると、セキュリティ アプライアンスのソフトウェア イメージの MD5 チェックサム値を、その既知の MD5 チェックサム値と比較することによって、イメージの整合性を確認できます。すべてのセキュリティ アプライアンスのソフトウェア イメージの MD5 値は、ローカル システムのイメージの値と比較するために、Cisco.com から入手できるようになっています。

MD5 整合性チェックを実行するには、 /md5 キーワードを指定して verify コマンドを発行します。たとえば、 verify /md5 flash:cdisk.bin コマンドを発行すると、ソフトウェア イメージの MD5 値が計算され、表示されます。この値を、Cisco.com で入手できるこのイメージの値と比較します。

または、まず Cisco.com から MD5 値を取得し、その値をコマンド構文で指定できます。たとえば、 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 コマンドを発行すると、MD5 値が一致するかどうかを示すメッセージが表示されます。MD5 値が一致しない場合は、いずれかのイメージが破損しているか、または入力した MD5 値が正しくありません。

次に、cdisk.bin というイメージ ファイルに対して使用された verify コマンドの例を示します。わかりやすくするために、一部のテキストは省略されています。

ciscoasa# verify cdisk.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash MD5: af5a155f3d5c128a271282c33277069b
Computed Hash MD5: af5a155f3d5c128a271282c33277069b
CCO Hash MD5: b569fff8bbf8087f355aaf22ef46b782
Signature Verified
Verified disk0:/cdisk.bin
ciscoasa#
 

 
関連コマンド

コマンド
説明

copy

ファイルをコピーします。

dir

システム内のファイルを一覧表示します。

verify-header

既知の IPv6 拡張ヘッダーだけを許可し、IPv6 拡張ヘッダーの順序を適用するには、パラメータ コンフィギュレーション モードで verify-header コマンドを適用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect ipv6 コマンドを入力します。これらのパラメータを無効にするには、このコマンドの no 形式を使用します。

verify-header { order | type }

no verify-header { order | type }

 
構文の説明

order

RFC 2460 仕様で定義されている IPv6 拡張ヘッダーの順序を適用します。

type

既知の IPv6 拡張ヘッダーのみを許可します。

 
コマンド デフォルト

順序とタイプの両方がデフォルトでイネーブルになります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

これらのパラメータは、デフォルトでイネーブルになっています。ディセーブルにするには、no キーワードを入力します。

次の例では、IPv6 インスペクション ポリシー マップの order および type パラメータをディセーブルにします。

ciscoasa(config)# policy-map type inspect ipv6 ipv6-map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# no verify-header order
ciscoasa(config-pmap-p)# no verify-header type
 

 
関連コマンド

コマンド
説明

inspect ipv6

IPv6 インスペクションをイネーブルにします。

parameters

インスペクション ポリシー マップのパラメータ コンフィギュレーション モードを開始します。

policy-map type inspect ipv6

IPv6 インスペクション ポリシー マップを作成します。

version

ASA でグローバルに使用する RIP のバージョンを指定するには、ルータ コンフィギュレーション モードで version コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

version { 1 | 2 }

no version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

ASA は、バージョン 1 およびバージョン 2 のパケットを受信しますが、送信するのはバージョン 1 のパケットのみです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

インターフェイスで rip send version コマンドと rip receive version コマンドを入力することによって、インターフェイスごとにグローバルな設定を上書きすることができます。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、すべてのインターフェイスで RIP バージョン 2 のパケットを送受信するように ASA を設定する例を示します。

ciscoasa(config)# router rip
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# version 2
 

 
関連コマンド

コマンド
説明

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

virtual http

仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。

virtual http ip_address [ warning]

no virtual http ip_address [ warning]

 
構文の説明

ip_address

ASA 上の仮想 HTTP サーバの IP アドレスを設定します。このアドレスは必ず、ASA にルーティングされる未使用のアドレスにしてください。

warning

(オプション)HTTP 接続を ASA にリダイレクトする必要があることをユーザに通知します。このキーワードは、リダイレクトが自動的に行われないテキストベースのブラウザにのみ適用されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.2(1)

以前のリリースで使用されていたインライン基本 HTTP 認証方式がリダイレクション方式に置き換えられたため、このコマンドは廃止され、不要になりました。

7.2(2)

aaa authentication listener コマンドを使用して、基本 HTTP 認証(デフォルト)と HTTP リダイレクションのいずれを使用するかを選択できるようになったため、このコマンドは復活しました。リダイレクション方式では、HTTP 認証をカスケードするための特別なコマンドは必要ありません。

 
使用上のガイドライン

ASA で HTTP 認証を使用する場合は( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、ASA で基本 HTTP 認証がデフォルトで使用されます。 redirect キーワードを指定した aaa authentication listener を使用して、ASA が HTTP 接続を ASA によって生成された Web ページにリダイレクトするように認証方式を変更できます。

ただし、基本 HTTP 認証の使用を続行する場合は、HTTP 認証をカスケードするときに virtual http コマンドが必要になることがあります。

ASA に加えて宛先 HTTP サーバで認証が必要な場合は、 virtual http コマンドを使用して、ASA(AAA サーバ経由)と HTTP サーバで別々に認証を受けることができます。仮想 HTTP を使用しない場合は、ASA に対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。AAA サーバと HTTP サーバでユーザ名とパスワードが異なる場合、HTTP 認証は失敗します。

このコマンドは、AAA 認証を必要とするすべての HTTP 接続を ASA 上の仮想 HTTP サーバにリダイレクトします。ASA により、AAA サーバのユーザ名とパスワードの入力を求めるプロンプトが表示されます。AAA サーバがユーザを認証すると、ASA は HTTP 接続を元のサーバにリダイレクトして戻しますが、AAA サーバのユーザ名とパスワードは含めません。HTTP パケットにユーザ名とパスワードが含まれていないため、HTTP サーバによりユーザに HTTP サーバのユーザ名とパスワードの入力を求めるプロンプトが別途表示されます。

着信ユーザ(セキュリティの低い方から高い方へ向かう)については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 HTTP アドレスも含める必要があります。さらに、NAT が必要ない場合でも( no nat-control コマンドを使用)、仮想 HTTP IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます(アドレスを同一アドレスに変換)。

発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 HTTP アドレスへのアクセスを許可してください。 static ステートメントは不要です。


virtual http コマンドを使用する場合は、timeout uauth コマンドの期間を 0 秒に設定しないでください。設定すると、実際の Web サーバへの HTTP 接続ができなくなります。


次に、AAA 認証とともに仮想 HTTP をイネーブルにする例を示します。

ciscoasa(config)# virtual http 209.165.202.129
ciscoasa(config)# access-list ACL-IN extended permit tcp any host 209.165.200.225 eq http
ciscoasa(config)# access-list ACL-IN remark This is the HTTP server on the inside
ciscoasa(config)# access-list ACL-IN extended permit tcp any host 209.165.202.129 eq http
ciscoasa(config)# access-list ACL-IN remark This is the virtual HTTP address
ciscoasa(config)# access-group ACL-IN in interface outside
ciscoasa(config)# static (inside, outside) 209.165.202.129 209.165.202.129 netmask 255.255.255.255
ciscoasa(config)# access-list AUTH extended permit tcp any host 209.165.200.225 eq http
ciscoasa(config)# access-list AUTH remark This is the HTTP server on the inside
ciscoasa(config)# access-list AUTH extended permit tcp any host 209.165.202.129 eq http
ciscoasa(config)# access-list AUTH remark This is the virtual HTTP address
ciscoasa(config)# aaa authentication match AUTH outside tacacs+
 

 
関連コマンド

コマンド
説明

aaa authentication listener http

ASA が認証に使用する方式を設定します。

clear configure virtual

コンフィギュレーションから virtual コマンド ステートメントを削除します。

show running-config virtual

ASA 仮想サーバの IP アドレスを表示します。

sysopt uauth allow-http-cache

virtual http コマンドをイネーブルにする場合は、このコマンドを使用すると、ブラウザ キャッシュ内のユーザ名とパスワードを使用して仮想サーバに再接続できます。

virtual telnet

ASA 上に仮想 Telnet サーバを設定して、認証を必要とする他のタイプの接続を開始する前に、ユーザを ASA で認証できるようにします。

virtual telnet

ASA 上に仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。ASA によって認証プロンプトが表示されない他のタイプのトラフィックに対する認証が必要な場合は、仮想 Telnet サーバでユーザを認証する必要があります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。

virtual telnet ip_address

no virtual telnet ip_address

 
構文の説明

ip_address

ASA 上の仮想 Telnet サーバの IP アドレスを設定します。このアドレスは必ず、ASA にルーティングされる未使用のアドレスにしてください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

Yes

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

任意のプロトコルまたはサービスのネットワーク アクセス認証を設定できますが( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、HTTP、Telnet、または FTP のみで直接認証することもできます。ユーザはまずこれらのサービスのいずれかで認証を行ってから、認証を要求する他のトラフィックの通過を認可する必要があります。HTTP、Telnet、または FTP の ASA の通過を許可せず、その他のタイプのトラフィックを認証する場合は、ASA 上で設定された所定の IP アドレスにユーザが Telnet で接続し、ASA によって Telnet プロンプトが表示されるように、仮想 Telnet を設定できます。

authentication match コマンドまたは aaa authentication include コマンドを使用して、仮想 Telnet アドレスおよび認証するその他のサービスへの Telnet アクセスに対する認証を設定する必要があります。

認証が済んでいないユーザが仮想 Telnet IP アドレスに接続すると、ユーザはユーザ名とパスワードを求められ、その後 AAA サーバにより認証されます。認証されると、ユーザには「Authentication Successful.」というメッセージが表示されます。それ以降、ユーザは認証を必要とする他のサービスに正常にアクセスできます。

着信ユーザ(セキュリティの低い方から高い方へ向かう)については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 Telnet アドレスも含める必要があります。さらに、NAT が必要ない場合でも( no nat-control コマンドを使用)、仮想 Telnet IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます(アドレスを同一アドレスに変換)。

発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 Telnet アドレスへのアクセスを許可してください。 static ステートメントは不要です。

ASA からログアウトするには、仮想 Telnet IP アドレスに再接続します。ログアウトするように求められます。

次に、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする例を示します。

ciscoasa(config)# virtual telnet 209.165.202.129
ciscoasa(config)# access-list ACL-IN extended permit tcp any host 209.165.200.225 eq smtp
ciscoasa(config)# access-list ACL-IN remark This is the SMTP server on the inside
ciscoasa(config)# access-list ACL-IN extended permit tcp any host 209.165.202.129 eq telnet
ciscoasa(config)# access-list ACL-IN remark This is the virtual Telnet address
ciscoasa(config)# access-group ACL-IN in interface outside
ciscoasa(config)# static (inside, outside) 209.165.202.129 209.165.202.129 netmask 255.255.255.255
ciscoasa(config)# access-list AUTH extended permit tcp any host 209.165.200.225 eq smtp
ciscoasa(config)# access-list AUTH remark This is the SMTP server on the inside
ciscoasa(config)# access-list AUTH extended permit tcp any host 209.165.202.129 eq telnet
ciscoasa(config)# access-list AUTH remark This is the virtual Telnet address
ciscoasa(config)# aaa authentication match AUTH outside tacacs+
 

 
関連コマンド

コマンド
説明

clear configure virtual

コンフィギュレーションから virtual コマンド ステートメントを削除します。

show running-config virtual

ASA 仮想サーバの IP アドレスを表示します。

virtual http

ASA 上で HTTP 認証を使用し、HTTP サーバも認証を要求する場合は、このコマンドを使用して、ASA と HTTP サーバで別々に認証を受けることができます。仮想 HTTP を使用しない場合は、ASA に対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。

vlan

VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスでは、トラフィックを通過させるために VLAN ID が必要です。VLAN サブインターフェイスを使用して、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス上で複数のセキュリティ コンテキストなどのトラフィックを別々に保管できます。

vlan id

no vlan

 
構文の説明

id

1 ~ 4094 の範囲の整数を指定します。VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

Yes

Yes

Yes

--

Yes

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。

 
使用上のガイドライン

1 つの VLAN をサブインターフェイスにのみ割り当てることができます。物理インターフェイスに割り当てることはできません。トラフィックがサブインターフェイスを通過するには、各サブインターフェイスに VLAN ID が必要となります。VLAN ID を変更するために no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を指定して vlan コマンドを入力すると、ASA によって古い ID が変更されます。

サブインターフェイスをイネーブルにするには、 no shutdown コマンドを使用して物理インターフェイスをイネーブルにする必要があります。 サブインターフェイスをイネーブルにする場合、通常は、物理インターフェイスをトラフィックが通過しないようにします。これは、物理インターフェイスはタグなしパケットを通過させるためです。したがって、インターフェイスの停止によってトラフィックが物理インターフェイスを通過しないようにすることはできません。代わりに、 nameif コマンドを省略することによって、トラフィックが物理インターフェイスを通過しないようにします。物理インターフェイスでタグなしパケットを通過させる場合は、通常どおり nameif コマンドを設定できます。

サブインターフェイスの最大数は、プラットフォームによって異なります。プラットフォームごとのサブインターフェイスの最大数については、CLI コンフィギュレーション ガイドを参照してください。

次に、VLAN 101 をサブインターフェイスに割り当てる例を示します。

ciscoasa(config)# interface gigabitethernet0/0.1
ciscoasa(config-subif)# vlan 101
ciscoasa(config-subif)# nameif dmz1
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-subif)# no shutdown
 

次に、VLAN を 102 に変更する例を示します。

ciscoasa(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
   vlan 101
   nameif dmz1
   security-level 50
   ip address 10.1.2.1 255.255.255.0
 
ciscoasa(config)# interface gigabitethernet0/0.1
ciscoasa(config-interface)# vlan 102
 
ciscoasa(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
   vlan 102
   nameif dmz1
   security-level 50
   ip address 10.1.2.1 255.255.255.0
 

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

インターフェイスの現在のコンフィギュレーションを表示します。

vlan(グループ ポリシー)

VLAN をグループ ポリシーに割り当てるには、グループ ポリシー コンフィギュレーション モードで vlan コマンドを使用します。グループ ポリシーのコンフィギュレーションから VLAN を削除し、デフォルトのグループ ポリシーの VLAN 設定に置き換えるには、このコマンドの no 形式を使用します。

[ no ] vlan { vlan_id | none }

 
構文の説明

none

このグループ ポリシーに一致するリモート アクセス VPN セッションへの VLAN の割り当てをディセーブルにします。グループ ポリシーは、デフォルトのグループ ポリシーから vlan 値を継承しません。

vlan_id

このグループ ポリシーを使用するリモート アクセス VPN セッションに割り当てる VLAN の番号(10 進表記)。インターフェイス コンフィギュレーション モードで vlan コマンドを使用して、この ASA に VLAN を設定する必要があります。

 
デフォルト

デフォルト値は none です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドでは、このグループ ポリシーに割り当てられているセッションの出力 VLAN インターフェイスを指定します。ASA は、このグループのすべてのトラフィックを指定された VLAN に転送します。VLAN を各グループ ポリシーに割り当ててアクセス コントロールを簡素化できます。このコマンドは、セッション上のトラフィックをフィルタリングする ACL の代わりに使用します。

次のコマンドでは、VLAN 1 をグループ ポリシーに割り当てます。

ciscoasa(config-group-policy)# vlan 1
ciscoasa(config-group-policy)
 

次のコマンドでは、VLAN マッピングをグループ ポリシーから削除します。

ciscoasa(config-group-policy)# vlan none
ciscoasa(config-group-policy)
 

 
関連コマンド

コマンド
説明

show vlan

ASA に設定されている VLAN を表示します。

vlan (インターフェイス コンフィギュレーション モード)

サブインターフェイスに VLAN ID を割り当てます。

show vpn-session_summary.db

IPsec、Cisco AnyConnect、NAC の各セッションの数および使用中の VLAN の数を表示します。

show vpn-session.db

VLAN マッピングと NAC の結果を含む、VPN セッションの情報を表示します。

vpdn group

VPDN グループを作成または編集し、PPPoE クライアントを設定するには、グローバル コンフィギュレーション モードで vpdn group コマンドを使用します。コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。

vpdn group group_name { localname username | request dialout pppoe | ppp authentication { chap | mschap | pap }}

no vpdn group group_name { localname name | request dialout pppoe | ppp authentication { chap | mschap | pap }}


) PPPoE は、ASA でフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。


 
構文の説明

localname username

ユーザ名を認証のために VPDN グループにリンクし、 vpdn username コマンドで設定された名前と照合する必要があります。

ppp authentication
{chap | mschap | pap}}

ポイントツーポイント プロトコル(PPP)認証プロトコルを指定します。Windows クライアントのダイヤルアップ ネットワーク設定を使用して、使用する認証プロトコル(PAP、CHAP、または MS-CHAP)を指定できます。クライアントで指定した設定は、セキュリティ アプライアンスで使用する設定と一致している必要があります。パスワード認証プロトコル(PAP)を使用すると、PPP ピアは相互に認証できます。PAP は、ホスト名またはユーザ名をクリア テキストで渡します。チャレンジ ハンドシェイク認証プロトコル(CHAP)を使用すると、PPP ピアは、アクセス サーバとの通信によって不正アクセスを防止できます。MS-CHAP は Microsoft 版の CHAP です。PIX Firewall では、MS-CHAP バージョン 1 のみサポートされます(バージョン 2.0 はサポートされません)。

ホストで認証プロトコルが指定されていない場合は、コンフィギュレーションで ppp authentication オプションを指定しないでください。

request dialout pppoe

ダイヤルアウト PPPoE 要求を許可することを指定します。

vpdn group group_name

VPDN グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

バーチャル プライベート ネットワーク(VPDN)は、リモート ダイヤルイン ユーザとプライベート ネットワーク間の長距離のポイントツーポイント接続を提供するために使用します。セキュリティ アプライアンス上の VDPN では、レイヤ 2 トンネリング技術の PPPoE を使用して、リモート ユーザからパブリック ネットワーク経由のプライベート ネットワークへのダイヤルアップ ネットワーク接続を確立します。

PPPoE は、Point-to-Point Protocol(PPP)over Ethernet です。PPP は、IP、IPX、ARA などのネットワーク層プロトコルで動作するように設計されています。PPP には、セキュリティ メカニズムとして CHAP と PAP も組み込まれています。

PPPoE 接続のセッション情報を表示するには、 show vpdn session pppoe コマンドを使用します。 コンフィギュレーションからすべての vpdn group コマンドを削除して、すべてのアクティブな L2TP トンネルと PPPoE トンネルを停止するには、 clear configure vpdn group コマンドを使用します。 clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。

PPPoE は PPP をカプセル化するため、PPPoE は PPP を使用して、認証および VPN トンネル内で動作しているクライアント セッションに対する ECP 機能と CCP 機能を実行します。さらに、PPP によって PPPoE に IP アドレスが割り当てられるため、PPPoE と DHCP の併用はサポートされません。


) PPPoE に VPDN グループが設定されていない場合、PPPoE は接続を確立できません。


PPPoE に使用する VPDN グループを定義するには、 vpdn group group_name request dialout pppoe コマンドを使用します。次に、インターフェイス コンフィギュレーション モードで pppoe client vpdn group コマンドを使用して、VPDN グループを特定のインターフェイス上の PPPoE クライアントに関連付けます。

ISP が認証を要求している場合は、 vpdn group group_name ppp authentication { chap | mschap | pap } コマンドを使用して、ISP で使用される認証プロトコルを選択します。

ISP によって割り当てられたユーザ名を VPDN グループに関連付けるには、 vpdn group group_name localname username コマンドを使用します。

PPPoE 接続用のユーザ名とパスワードのペアを作成するには、 vpdn username username password password コマンドを使用します。ユーザ名は、PPPoE に指定した VPDN グループにすでに関連付けられているユーザ名にする必要があります。


) ISP で CHAP または MS-CHAP が使用されている場合、ユーザ名はリモート システム名、パスワードは CHAP シークレットと呼ばれることがあります。


PPPoE クライアント機能はデフォルトでオフになっているため、VPDN の設定後、 ip address if_name pppoe [ setroute ] コマンドを使用して PPPoE をイネーブルにします。setroute オプションを指定すると、デフォルト ルートが存在しない場合にデフォルト ルートが作成されます。

PPPoE の設定後すぐに、セキュリティ アプライアンスは通信する PPPoE アクセス コンセントレータを探します。PPPoE 接続が正常終了または異常終了すると、ASA は通信する新しいアクセス コンセントレータを探します。

次の ip address コマンドは、PPPoE セッションの開始後に使用しないでください。使用すると、PPPoE セッションが終了します。

ip address outside pppoe :このコマンドは新しい PPPoE セッションを開始しようとします。

ip address outside dhcp :このコマンドは、インターフェイスがその DHCP 設定を取得するまでインターフェイスをディセーブルにします。

ip address outside address netmask :インターフェイスが正常に初期化されたインターフェイスとして起動するため。

次に、VDPN グループ telecommuters を作成し、PPPoE クライアントを設定する例を示します。

ciscoasa(config)# vpdn group telecommuters request dialout pppoe
ciscoasa(config)# vpdn group telecommuters localname user1
ciscoasa(config)# vpdn group telecommuters ppp authentication pap
ciscoasa(config)# vpdn username user1 password test1
ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-subif)# ip address pppoe setroute

 
関連コマンド

コマンド
説明

clear configure vpdn group

すべての vpdn group コマンドをコンフィギュレーションから削除します。

clear configure vpdn username

すべての vpdn username コマンドをコンフィギュレーションから削除します。

show vpdn group group_name

VPDN グループのコンフィギュレーションを表示します。

vpdn username

PPPoE 接続用のユーザ名とパスワードのペアを作成します。

vpdn username

PPPoE 接続用のユーザ名とパスワードのペアを作成するには、グローバル コンフィギュレーション モードで vpdn username コマンドを使用します。

vpdn username username password password [ store-local ]

no vpdn username username password password [ store-local ]


) PPPoE は、ASA でフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。


 
構文の説明

password

パスワードを指定します。

store-local

ユーザ名とパスワードをセキュリティ アプライアンス上の NVRAM の特別な場所に保存します。Auto Update Server が clear config コマンドをセキュリティ アプライアンスに送信し、接続が中断されると、セキュリティ アプライアンスは NVRAM からユーザ名とパスワードを読み取り、アクセス コンセントレータに対して再認証できます。

username

ユーザ名を指定します。

 
デフォルト

デフォルトの動作や値はありません。「使用上のガイドライン」を参照してください。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

VPDN ユーザ名は、 vpdn group group_name localname username コマンドで指定された VPDN グループにすでに関連付けられているユーザ名にする必要があります。

clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。

次に、パスワードが telecommuter 9/8 の bob_smith という VPDN ユーザ名を作成する例を示します。

ciscoasa(config)# vpdn username bob_smith password telecommuter9/8

 
関連コマンド

コマンド
説明

clear configure vpdn group

すべての vpdn group コマンドをコンフィギュレーションから削除します。

clear configure vpdn username

すべての vpdn username コマンドをコンフィギュレーションから削除します。

show vpdn group

VPDN グループのコンフィギュレーションを表示します。

vpdn group

VPDN グループを作成し、PPPoE クライアントを設定します。

vpn-access-hours

グループ ポリシーを設定済み time-range ポリシーに関連付けるには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから time-range 値を継承できます。値が継承されないようにするには、 vpn-access-hours none コマンドを使用します。

vpn-access hours value { time-range } | none

no vpn-access hours

 
構文の説明

none

VPN アクセス時間をヌル値に設定して、time-range ポリシーを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

time-range

設定済みの時間範囲ポリシーの名前を指定します。

 
デフォルト

制限なし。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、FirstGroup というグループ ポリシーを 824 という time-range ポリシーに関連付ける例を示します。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-access-hours 824

 
関連コマンド

コマンド
説明

time-range

ネットワークにアクセスする曜日と 1 日の時間を設定します(開始日と終了日を含む)。

vpn-addr-assign

IPv4 アドレスをリモート アクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。設定したすべての VPN アドレス割り当て方法を ASA から削除するには、このコマンドの no 形式を引数なしで 使用します。

vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}

no vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}

 
構文の説明

aaa

外部または内部(ローカル)AAA 認証サーバから IPv4 アドレスを割り当てます。

dhcp

DHCP 経由で IP アドレスを取得します。

local

ASA に設定されている IP アドレス プールから IP アドレスを割り当てて、トンネル グループに関連付けます。

reuse-delay delay

解放された IP アドレスを再利用するまでの遅延時間。指定できる範囲は 0 ~ 480 分です。デフォルトは 0(ディセーブル)です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

8.0(3)

reuse-delay オプションが追加されました。

 
使用上のガイドライン

DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスの範囲も定義する必要があります。DHCP サーバが使用する IP アドレスを指定するには、dhcp-server コマンドを使用する必要があります。

ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。次に、 vpn-framed-ip-address コマンドと vpn-framed-netmask コマンドを使用して、IP アドレスとネットマスクを個々のユーザに割り当てます。

ローカル プールを使用する場合は、reuse-delay delay オプションを使用して、解放された IP アドレスを再利用するまでの遅延時間を調整します。遅延時間を長くすると、IP アドレスがプールに戻されて即座に再割り当てされるときにファイアウォールで発生する可能性がある問題を回避できます。

AAA を選択する場合は、設定済みのいずれかの RADIUS サーバから IP アドレスを取得します。

次に、アドレス割り当て方法として DHCP を設定する例を示します。

ciscoasa(config)# vpn-addr-assign dhcp

 
関連コマンド

コマンド
説明

dhcp-network-scope

ASA DHCP サーバがグループ ポリシーのユーザにアドレスを割り当てるために使用する IP アドレスの範囲を指定します。

ip-local-pool

ローカル IP アドレス プールを作成します。

ipv6-addr-assign

リモート アクセス クライアントに IPv6 アドレスを割り当てる方法を指定します。

vpn-framed-ip-address

特定のユーザに割り当てる IP アドレスを指定します。

vpn-framed-ip-netmask

特定のユーザに割り当てるネットマスクを指定します。

vpn-filter

VPN 接続に使用する ACL の名前を指定するには、グローバル ポリシーまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値が継承されないようにするには、 vpn-filter none コマンドを使用します。

このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 vpn-filter コマンドを使用して、それらの ACL を適用します。

vpn-filter { value ACL name | none }

no vpn-filter

 
構文の説明

none

アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。

value ACL name

事前に設定済みのアクセス リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

9.0(1)

コマンドを IPv4 および IPv6 ACL に使用できるようになりました。

9.1.(4)

コマンドを IPv4 および IPv6 ACL に使用することが必要になりました。廃止されたコマンド ipv6-vpn-filter が IPv6 ACL を指定するために誤って使用された場合、接続は終了します。

 
使用上のガイドライン

クライアントレス SSL VPN では、 vpn-filter コマンドで定義された ACL は使用されません。

設計上、vpn-filter 機能では、インバウンド方向のトラフィックだけにフィルタを適用できます。アウトバウンド ルールは自動的にコンパイルされます。icmp アクセス リストを作成するときに、方向フィルタを適用する場合は、アクセス リスト形式で icmp タイプを指定しないでください。

次に、FirstGroup という名前のグループ ポリシーの、acl_vpn というアクセス リストを呼び出すフィルタを設定する例を示します。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-filter value acl_vpn

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

ipv6-vpn-filter

以前は IPv6 ACL を指定するために使用された廃止されたコマンドです。

vpn-framed-ip-address

個々のユーザに割り当てる IPv4 アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

vpn - framed-ip-address { ip_address } { subnet_mask }

no vpn - framed-ip-address

 
構文の説明

ip_address

このユーザの IP アドレスを指定します。

subnet_mask

サブネットワーク マスクを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、anyuser という名前のユーザに IP アドレス 10.92.166.7 を設定する例を示します。

ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ip-address 10.92.166.7 255.255.255.254

vpn-framed-ipv6-address

ユーザに専用の IPv6 アドレスを割り当てるには、ユーザ名モードで vpn - framed-ipv6-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

vpn - framed-ipv6-address ip_address/subnet_mask

no vpn - framed-ipv6-address ip_address/subnet_mask

 
構文の説明

ip_address

このユーザの IP アドレスを指定します。

subnet_mask

サブネットワーク マスクを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

9.0(1)

このコマンドが導入されました。

次に、 anyuser という名前のユーザに IP アドレスとネットマスク 2001::3000:1000:2000:1/64 を設定する例を示します。このアドレスは、プレフィックス値 2001:0000:0000:0000 およびインターフェイス ID 3000:1000:2000:1 を示しています。

ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ipv6-address 2001::3000:1000:2000:1/64
ciscoasa(config-username)

 
関連コマンド

コマンド
説明

vpn-framed-ip-address

個々のユーザに割り当てる IPv4 アドレスを指定します。

vpn-group-policy

ユーザが設定済みのグループ ポリシーから属性を継承するようにするには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。グループ ポリシーをユーザ コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、ユーザはユーザ名レベルで設定されていない属性を継承できます。

vpn-group-policy {group-policy name}

no vpn-group-policy {group-policy name}

 
構文の説明

group-policy name

グループ ポリシーの名前を指定します。

 
デフォルト

デフォルトでは、VPN ユーザにはグループ ポリシーが関連付けられません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

特定ユーザのグループ ポリシーの属性値を上書きするには、その値をユーザ名モードで設定します(その属性をユーザ名モードで使用できる場合)。

次に、FirstGroup という名前のグループ ポリシーから属性を使用するように anyuser という名前のユーザを設定する例を示します。

ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-group-policy FirstGroup

 
関連コマンド

コマンド
説明

group-policy

グループ ポリシーを ASA データベースに追加します。

group-policy attributes

グループ ポリシー属性モードを開始します。これにより、グループ ポリシーの AVP を設定できます。

username

ASA データベースにユーザを追加します。

username attributes

ユーザ名属性モードを開始します。これにより、特定のユーザの AVP を設定できます。

vpn-idle-timeout

ユーザ タイムアウト期間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがない場合、ASA は接続を終了します。任意で、タイムアウトのアラート間隔をデフォルトの 1 分から延長できます。

実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーからタイムアウト値を継承できます。値が継承されないようにするには、 vpn-idle-timeout none コマンドを使用します。

vpn-idle-timeout { minutes | none} [alert-interval minutes ]

no vpn-idle-timeout

no vpn-idle-timeout alert-interval

 
構文の説明

minutes

タイムアウト期間の分数、およびタイムアウト アラートまでの分数を指定します。1 ~ 35791394 の整数を使用します。

none

AnyConnect(SSL IPsec/IKEv2):次のコマンドで設定されたグローバル WebVPN default-idle-timeout 値(秒単位)を使用します。 ciscoasa(config-webvpn)# default-idle-timeout

WebVPN default-idle-timeout コマンドにおけるこの値の範囲は、60 ~ 86400 秒です。デフォルトのグローバル WebVPN アイドル タイムアウト(秒単位)は、1800 秒(30 分)です。

(注) すべての AnyConnect 接続では、ASA によってゼロ以外のアイドル タイムアウト値が要求されます。

WebVPN ユーザの場合、 default-idle-timeout 値は、vpn-idle-timeout none がグループ ポリシー/ユーザ名属性に設定されている場合にのみ有効です。

サイト間(IKEv1、IKEv2)および IKEv1 リモート アクセス:タイムアウトをディセーブルにし、無制限のアイドル期間を許可します。

 
デフォルト

30 分。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

AnyConnect クライアントは、SSL および IKEv2 接続のセッション再開をサポートします。この機能により、エンド ユーザ デバイスはスリープ モードに移行し、WiFi または同様の接続を失い、戻り時に同じ接続を再開できます。

次の例は、「FirstGroup」という名前のグループ ポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-idle-timeout 30

 

セキュリティ アプライアンスは、vpn-idle-timeout 値が 0 の場合、または値が有効な範囲に該当しない場合にユーザに対して値が定義されていない場合、default-idle-timeout 値を使用します。

 
関連コマンド

default-idle-timeout

グローバル WebVPN デフォルト アイドル タイムアウトを指定します。

group-policy

グループ ポリシーを作成または編集します。

vpn-session-timeout

VPN 接続の最大許容時間を設定します。この期間が終了すると、ASA は接続を終了します。

vpn load-balancing

VPN ロード バランシングおよび関連機能を設定できる VPN ロード バランシング モードを開始するには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。

vpn load-balancing


) VPN ロード バランシングを使用するには、Plus ライセンス付きの ASA 5510、または ASA 5520 以降が必要です。また、VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。


 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

8.0(2)

ASA 5510(Plus ライセンス付き)および ASA 5520 以降のモデルのサポートが追加されました。

 
使用上のガイドライン

ロード バランシング クラスタには、セキュリティ アプライアンス モデル 5510(Plus ライセンス付き)または ASA 5520 以降を含めることができます。VPN 3000 シリーズのコンセントレータも含めることができます。混合コンフィギュレーションは可能ですが、通常は、同種クラスタにする方が容易に管理できます。

vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始します。VPN ロード バランシング モードでは、次のコマンドを使用できます。

cluster encryption

cluster ip address

cluster key

cluster port

interface

nat

participate

priority

redirect-fqdn

詳細については、個々のコマンドの説明を参照してください。

次に、 vpn load-balancing コマンドの例を示します。プロンプトが変わる点に注意してください。

ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)#
 

次に、interface コマンドを含む VPN load-balancing コマンド シーケンスの例を示します。interface コマンドでは、クラスタのパブリック インターフェイスを「test」、クラスタのプライベート インターフェイスを「foo」と指定しています。

ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# nat 192.168.10.10
ciscoasa(config-load-balancing)# priority 9
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# cluster key 123456789
ciscoasa(config-load-balancing)# cluster encryption
ciscoasa(config-load-balancing)# cluster port 9023

ciscoasa(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

clear configure vpn load-balancing

ロード バランシングの実行時コンフィギュレーションを削除し、ロード バランシングをディセーブルにします。

show running-config vpn load-balancing

現在の VPN ロード バランシング仮想クラスタのコンフィギュレーションを表示します。

show vpn load-balancing

VPN ロード バランシング実行時の統計情報を表示します。

vpn-session-db

VPN セッションまたは AnyConnect クライアント VPN セッションの最大数を指定するには、グローバル コンフィギュレーション モードで vpn-session-db コマンドを使用します。コンフィギュレーションから制限を削除するには、このコマンドの no 形式を使用します。

vpn-sessiondb {max-anyconnect-premium-or-essentials-limit number | max-other-vpn-limit number}

 
構文の説明

max-anyconnect-premium-
or-essentials-limit number

AnyConnect セッションの最大数を指定します(1 ~ライセンスで許可される最大セッションまで)。

max-other-vpn-limit number

AnyConnect クライアント セッション以外の VPN セッションの最大数を指定します(1 ~ライセンスで許可される最大セッションまで)。これには、Cisco VPN Client(IPsec IKEv1)、LAN-to-LAN VPN、およびクライアントレス SSL VPN セッションが含まれます。

 
デフォルト

デフォルトでは、ASA は VPN セッション数をライセンスで許可される最大数未満に制限しません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

8.4(1)

次のキーワードが変更されました。

max-anyconnect-premium-or-essentials-limit replaced max-session-limit

max-other-vpn-limit replaced max-webvpn-session-limit

9.0(1)

max-other-vpn-limit と logoff に対して、マルチ コンテキスト モードのサポートが追加されました。

次に、最大 AnyConnect セッションを 200 に設定する例を示します。

ciscoasa(config)# vpn-sessiondb max-anyconnect-premium-or-essentials-limit 200

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

すべて、または特定のタイプの IPsec VPN セッションおよび WebVPN セッションをログオフします。

vpn-sessiondb max-webvpn-session-limit

WebVPN セッションの最大数を設定します。

vpn-sessiondb logoff

すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff コマンドを使用します。

vpn-sessiondb logoff { all | anyconnect | email-proxy | index index_number | ipaddress IPaddr | l2l | name username | protocol  protocol-name | ra-ikev1-ipsec | tunnel-group groupname | vpn-lb | webvpn } [noconfirm]

 
構文の説明

all

すべての VPN セッションをログオフします。

anyconnect

すべての AnyConnect VPN クライアント セッションをログオフします。

email-proxy

すべての電子メール プロキシ セッションをログオフします。

index index_number

インデックス番号で 1 つのセッションをログオフします。セッションのインデックス番号を指定します。show vpn-sessiondb detail コマンドを使用して、各セッションのインデックス番号を表示できます。

ipaddress IPaddr

指定した IP アドレスのセッションをログオフします。

l2l

すべての LAN-to-LAN セッションをログオフします。

name username

指定したユーザ名のセッションをログオフします。

protocol protocol-name

指定したプロトコルのセッションをログオフします。プロトコルは次のとおりです。

ikev1:インターネット キー交換バージョン 1(IKEv1)プロトコルを使用するセッション。

ikev2:インターネット キー交換バージョン 2(IKEv2)プロトコルを使用するセッション。

ipsec:IKEv1 または IKEv2 を使用する IPsec セッション。

ipseclan2lan:IPsec LAN-to-LAN セッション。

ipseclan2lanovernatt:IPsec Lan-to-Lan over NAT-T セッション。

ipsecovernatt:IPsec over NAT-T セッション。

ipsecovertcp:IPsec over TCP セッション。

ipsecoverudp:IPsec over UDP セッション。

l2tpOverIpSec:L2TP over IPsec セッション。

l2tpOverIpsecOverNatT:NAT-T を介した L2TP over IPsec セッション。

webvpn:クライアントレス SSL VPN セッション。

imap4s:IMAP4 セッション。

pop3s:POP3 セッション。

smtps:SMTP セッション。

anyconnectParent:セッションで使用されるプロトコルに関係なく、AnyConnect クライアント セッション(AnyConnect IPsec IKEv2 および SSL セッションを終了します)。

ssltunnel:SSL およびクライアントレス SSL VPN セッションを使用した AnyConnect セッションを含む SSL VPN セッション。

dtlstunnel:DTLS がイネーブルの AnyConnect クライアント セッション。

ra-ikev1-ipsec

すべての IPsec IKEv1 リモート アクセス セッションをログオフします。

tunnel-group groupname

指定したトンネル グループ(接続プロファイル)のセッションをログオフします。

webvpn

すべてのクライアントレス SSL VPN セッションをログオフします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

8.4(1)

次の protocol キーワードが変更または追加されました。

remote が ra-ikev1-ipsec に変更されました。

ike が ikev1 に変更されました。

ikev2 が追加されました。

anyconnectParent が追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

次に、すべての AnyConnect クライアント セッションをログオフする例を示します。

ciscoasa# vpn-sessiondb logoff anyconnect
 

次に、すべての IPsec セッションをログオフする例を示します。

ciscoasa# vpn-sessiondb logoff protocol IPsec
 

vpn-session-timeout

VPN 接続に許可される最大時間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、ASA は接続を終了します。任意で、タイムアウトのアラート間隔をデフォルトの 1 分から延長できます。

実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーからタイムアウト値を継承できます。値が継承されないようにするには、 vpn-session-timeout none コマンドを使用します。

vpn-session-timeout { minutes | none } [ alert-interval minutes ]

no vpn-session-timeout

no vpn-session-timeout alert-interval

 
構文の説明

minutes

タイムアウト期間の分数、およびタイムアウト アラートまでの分数を指定します。1 ~ 35791394 の整数を使用します。

none

無制限のセッション タイムアウト期間を許可します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次に、FirstGroup という名前のグループ ポリシーに対して 180 分の VPN セッション タイムアウトを設定する例を示します。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-session-timeout 180
 

 
関連コマンド

group-policy

グループ ポリシーを作成または編集します。

vpn-idle-timeout

ユーザ タイムアウト期間を設定します。この期間中に接続上で通信アクティビティがない場合、ASA は接続を終了します。

vpn-simultaneous-logins

ユーザに許可される同時ログイン数を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーの値を継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

vpn-simultaneous-logins { integer }

no vpn-simultaneous-logins

 
構文の説明

integer

0 ~ 2147483647 の数字。

 
デフォルト

デフォルトの同時ログイン数は、3 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。


) 同時ログイン数の最大制限は非常に大きい値ですが、複数の同時ログインを許可すると、セキュリティが侵害されたり、パフォーマンスが低下したりすることがあります。


失効した AnyConnect、IPsec クライアント、またはクライアントレス セッション(異常終了したセッション)は、同じユーザ名で「新しい」セッションが確立されても、セッション データベースに残る場合があります。

vpn-simultaneous-logins の値が 1 の場合は、異常終了後に同じユーザが再度ログインすると、失効したセッションはデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションがまだアクティブな接続である場合は、同じユーザが別の PC などから再度ログインすると、最初のセッションがログオフし、データベースから削除されて、新しいセッションが確立されます。

同時ログイン数が 1 より大きい値の場合、その最大数に達した状態で再度ログインしようとすると、最もアイドル時間の長いセッションがログオフします。現在のすべてのセッションが同じくらい長い間アイドル状態の場合は、最も古いセッションがログオフします。このアクションにより、セッションが解放されて新しいログインが可能になります。

次に、FirstGroup という名前のグループ ポリシーに対して最大 4 つの同時ログインを許可する例を示します。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 4

 

vpn-tunnel-protocol

VPN トンネル タイプ(IKEv1 または IKEv2 による IPsec、あるいは IPsec、SSL、またはクライアントレス SSL を介した L2TP)を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpn-tunnel-protocol { ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless }

no vpn-tunnel-protocol { ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless }

 
構文の説明

ikev1

2 つのピア(リモート アクセス クライアントまたは別のセキュア ゲートウェイ)間の IKEv1 による IPsec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションを作成します。

ikev2

2 つのピア(リモート アクセス クライアントまたは別のセキュア ゲートウェイ)間の IKEv2 による IPsec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を制御するセキュリティ アソシエーションを作成します。

l2tp-ipsec

L2TP 接続の IPsec トンネルをネゴシエートします。

ssl-client

SSL VPN クライアントについて SSL VPN トンネルをネゴシエートします。

ssl-clientless

HTTPS 対応の Web ブラウザ経由でリモート ユーザに VPN サービスを提供します。クライアントは必要ありません。

 
デフォルト

デフォルトは IPsec です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

Yes

--

Yes

--

--

ユーザ名コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.2(1)

l2tp-ipsec キーワードが追加されました。

7.3(1)

svc キーワードが追加されました。

8.4(1)

ipsec キーワードは ikev1 および ikev2 キーワードに置き換えられました。

 
使用上のガイドライン

このコマンドを使用して、1 つ以上のトンネリング モードを設定します。VPN トンネルを介して接続するユーザには、少なくとも 1 つのトンネリング モードを設定する必要があります。


) IPsec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドに svc 引数と ipsec 引数の両方を設定する必要があります。


次に、「FirstGroup」という名前のグループ ポリシーに対して WebVPN トンネリング モードと IPsec トンネリング モードを設定する例を示します。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)# vpn-tunnel-protocol IPsec

 
関連コマンド

コマンド
説明

address pools

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定します。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

vpnclient connect

設定済みサーバへの Easy VPN Remote 接続の確立を試行するには、グローバル コンフィギュレーション モードで vpnclient connect コマンドを使用します。

vpnclient connect

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

特権 EXEC

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ASA 5505 にのみ適用されます。

次に、設定済み EasyVPN サーバへの Easy VPN Remote 接続の確立を試行する例を示します。

ciscoasa(config)# vpnclient connect
ciscoasa(config)#
 

vpnclient enable

Easy VPN Remote 機能をイネーブルにするには、グローバル コンフィギュレーション モードで vpnclient enable コマンドを使用します。Easy VPN Remote 機能をディセーブルにするには、このコマンドの no 形式を使用します。

vpnclient enable

no vpnclient enable

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ASA 5505 にのみ適用されます。

vpnclient enable コマンドを入力すると、ASA 5505 は Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれます)として機能します。

次に、Easy VPN Remote 機能をイネーブルにする例を示します。

ciscoasa(config)# vpnclient enable
ciscoasa(config)#
 

次に、Easy VPN Remote 機能をディセーブルにする例を示します。

ciscoasa(config)# no vpnclient enable
ciscoasa(config)#
 

vpnclient ipsec-over-tcp

Easy VPN ハードウェア クライアントとして動作している ASA 5505 を、TCP カプセル化 IPsec を使用するように設定するには、グローバル コンフィギュレーション モードで vpnclient ipsec-over-tcp コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient ipsec-over-tcp [ port tcp_port ]

no vpnclient ipsec-over-tcp

 
構文の説明

port

(オプション)特定のポートを使用するように指定します。

tcp_port

port キーワードを指定する場合は必須)TCP カプセル化 IPsec トンネルに使用する TCP ポート番号を指定します。

 
デフォルト

コマンドでポート番号を指定しない場合、Easy VPN Remote 接続では、ポート 10000 が使用されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれます)として動作している ASA 5505 にのみ適用されます。

デフォルトでは、Easy VPN クライアントおよびサーバは、IPsec を User Datagram Protocol(UDP)パケットにカプセル化します。一部の環境(特定のファイアウォール ルールが設定されている環境など)または NAT デバイスや PAT デバイスでは、UDP を使用できません。そのような環境で標準のカプセル化セキュリティ プロトコル(ESP、プロトコル 50)またはインターネット キー交換(IKE、UDP 500)を使用するには、TCP パケット内に IPsec をカプセル化してセキュアなトンネリングをイネーブルにするようにクライアントとサーバを設定します。ただし、UDP が許可されている環境では、IPsec over TCP を設定すると不要なオーバーヘッドが発生します。

TCP カプセル化 IPsec を使用するように ASA 5505 を設定する場合は、次のコマンドを入力して、outside インターフェイスを介して大きなパケットを送信できるようにします。

ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
 

このコマンドは、Don't Fragment(DF)ビットをカプセル化されたヘッダーからクリアします。DF ビットは、パケットを断片化できるかどうかを決定する IP ヘッダー内のビットです。このコマンドを使用すると、Easy VPN ハードウェア クライアントは MTU サイズよりも大きいパケットを送信できます。

次に、デフォルト ポート 10000 を使用して TCP カプセル化 IPsec を使用するように Easy VPN ハードウェア クライアントを設定し、outside インターフェイスを介して大きなパケットを送信できるようにする例を示します。

ciscoasa(config)# vpnclient ipsec-over-tcp
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
 

次に、ポート 10501 を使用して TCP カプセル化 IPsec を使用するように Easy VPN ハードウェア クライアントを設定し、outside インターフェイスを介して大きなパケットを送信できるようにする例を示します。

ciscoasa(config)# vpnclient ipsec-over-tcp port 10501
ciscoasa(config)# crypto ipsec df-bit clear-df outside
ciscoasa(config)#
 

vpnclient mac-exempt

Easy VPN Remote 接続の背後にあるデバイスに対して個々のユーザ認証要件を免除するには、グローバル コンフィギュレーション モードで vpnclient mac-exempt コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient mac-exempt mac_addr_1 mac_mask_1 [ mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n ]

no vpnclient mac-exempt

 
構文の説明

mac_addr_1

ドット付き 16 進表記の MAC アドレス。個々のユーザ認証を免除するデバイスの製造業者とシリアル番号を指定します。デバイスが複数の場合は、スペースで区切った各 MAC アドレスとそれぞれのネットワーク マスクを指定します。

MAC アドレスの最初の 6 文字はデバイスの製造業者を識別し、最後の 6 文字はシリアル番号です。最後の 24 ビットは、ユニットの 16 進形式のシリアル番号です。

mac_mask_1

対応する MAC アドレスのネットワーク マスク。スペースを使用して、ネットワーク マスク、および後続の MAC アドレスとネットワーク マスクのペアを区切ります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ASA 5505 にのみ適用されます。

Cisco IP Phone、ワイヤレス アクセス ポイント、プリンタなどのデバイスは、認証を実行できないため、個々のユニット認証がイネーブルになっている場合でも認証されません。個々のユーザ認証がイネーブルになっている場合は、このコマンドを使用してこれらのデバイスの認証を免除できます。デバイスに対する個々のユーザ認証の免除は、「デバイス パススルー」とも呼ばれます。

このコマンドでは、MAC アドレスとマスクは、3 つの 16 進数をピリオドで区切って指定します。たとえば、MAC マスク ffff.ffff.ffff は、指定した MAC アドレスとのみ一致します。すべてがゼロの MAC マスクは、いずれの MAC アドレスとも一致しません。MAC マスク ffff.ff00.0000 は、製造業者が同じであるすべてのデバイスと一致します。


) ヘッドエンド デバイス上で設定された個別ユーザ認証およびユーザ バイパスが必要です。たとえば、ヘッドエンド デバイスとして ASA がある場合は、グループ ポリシーに従って次のように設定します。
ciscoasa(config-group-policy)# user-authentication enable
ciscoasa(config-group-policy)# ip-phone-bypass enable


Cisco IP Phone には、製造業者 ID として 00036b が設定されています。したがって、次のコマンドは、今後追加される可能性がある Cisco IP Phone も含めてすべての Cisco IP Phone を免除します。

ciscoasa(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
ciscoasa(config)#
 

次に、1 つの特定の Cisco IP Phone を免除する例を示します。このようにすると、セキュリティは向上しますが、柔軟性が低くなります。

ciscoasa(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
ciscoasa(config)#
 
 

vpnclient management

Easy VPN ハードウェア クライアントへの管理アクセス用の IPsec トンネルを生成するには、グローバル コンフィギュレーション モードで vpnclient management コマンドを使用します。

vpnclient management tunnel ip_addr_1 ip_mask_1 [ ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n ]

vpnclient management clear

実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。これにより、管理専用の IPsec トンネルが split-tunnel-policy コマンドと split-tunnel-network-list コマンドに従って設定されます。

no vpnclient management

 
構文の説明

clear

通常のルーティングを使用して、社内ネットワークから Easy VPN クライアントとして動作している ASA 5505 の外部インターフェイスへの管理アクセスを提供します。このオプションでは、管理トンネルは作成されません。


) このオプションは、クライアントとインターネット間で NAT デバイスが動作している場合に使用します。


ip_addr

Easy VPN ハードウェア クライアントからの管理トンネルを構築するホストまたはネットワークの IP アドレス。この引数は、 tunnel キーワードとともに使用します。スペースで区切った 1 つ以上の IP アドレスとそれぞれのネットワーク マスクを指定します。

ip_mask

対応する IP アドレスのネットワーク マスク。スペースを使用して、ネットワーク マスク、および後続の IP アドレスとネットワーク マスクのペアを区切ります。

tunnel

社内ネットワークから Easy VPN クライアントとして動作している ASA 5505 の外部インターフェイスへの管理アクセス専用 IPsec トンネルを自動的に設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれます)として動作している ASA 5505 に対してのみ適用されます。ASA 5505 のコンフィギュレーションに次のコマンドが含まれていることを前提とします。

vpnclient server :ピアを指定します。

vpnclient mode :クライアント モード(PAT)またはネットワーク拡張モードを指定します。

次のいずれかが必要です。

vpnclient vpngroup :Easy VPN サーバで認証に使用するトンネル グループと IKE 事前共有キーを指定します。

vpnclient trustpoint :認証に使用する RSA 証明書を識別するトラストポイントを指定します。

vpnclient enable :ASA 5505 を Easy VPN クライアントとしてイネーブルにします。


) NAT デバイスでスタティック NAT マッピングを追加しなければ、NAT デバイスの背後にある ASA 5505 のパブリック アドレスにはアクセスできません。



) コンフィギュレーションにかかわらず、DHCP 要求(更新メッセージを含む)は IPsec トンネル上を流れません。vpnclient management tunnel を使用しても、DHCP トラフィックは許可されません。


次に、ASA 5505 の外部インターフェイスから IP アドレスとマスクの組み合わせが 192.168.10.10 255.255.255.0 であるホストへの IPsec トンネルを生成する例を示します。

ciscoasa(config)# vpnclient management tunnel 192.168.10.0 255.255.255.0
ciscoasa(config)#
 

次に、IPsec を使用しないで ASA 5505 の外部インターフェイスへの管理アクセスを提供する例を示します。

ciscoasa(config)# vpnclient management clear
ciscoasa(config)#

 

vpnclient mode

クライアント モードまたはネットワーク拡張モードの Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient mode コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient mode { client-mode | network-extension-mode }

no vpnclient mode

 
構文の説明

client-mode

クライアント モード(PAT)を使用するように Easy VPN Remote 接続を設定します。

network-extension-mode

ネットワーク拡張モード(NEM)を使用するように Easy VPN Remote 接続を設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれます)として動作している ASA 5505 に対してのみ適用されます。Easy VPN クライアントは、クライアント モードまたは NEM のいずれかの動作モードをサポートします。動作モードによって、企業ネットワークからトンネル経由で内部ホスト(Easy VPN クライアントから見た場合の内部ホスト)に接続できるかどうかが決まります。Easy VPN クライアントにはデフォルト モードがないため、接続前に動作モードを指定する必要があります。

クライアント モードでは、Easy VPN クライアントは、内部ホストからのすべての VPN トラフィックに対してポート アドレス変換(PAT)を実行します。このモードでは、ハードウェア クライアント(デフォルトの RFC 1918 アドレスが割り当てられています)の内部アドレスまたは内部ホストに対する IP アドレス管理は必要ありません。PAT により、企業ネットワークから内部ホストにはアクセスできません。

NEM では、内部ネットワーク上のすべてのノードおよび内部インターフェイスに企業ネットワークでルーティング可能なアドレスが割り当てられます。内部ホストには、企業ネットワークからトンネル経由でアクセスできます。内部ネットワーク上のホストには、アクセス可能なサブネットから IP アドレスが(スタティックに、または DHCP によって)割り当てられます。ネットワーク拡張モードの場合、PAT は VPN トラフィックに適用されません。


) Easy VPN ハードウェア クライアントが NEM を使用し、セカンダリ サーバに接続している場合は、各ヘッドエンド デバイスで crypto map set reverse-route コマンドを使用して、逆ルート注入(RRI)によるリモート ネットワークのダイナミック通知を設定します。


次に、クライアント モードの Easy VPN Remote 接続を設定する例を示します。

ciscoasa(config)# vpnclient mode client-mode
ciscoasa(config)#
 

次に、NEM の Easy VPN Remote 接続を設定する例を示します。

ciscoasa(config)# vpnclient mode network-extension-mode
ciscoasa(config)#

vpnclient nem-st-autoconnect

NEM およびスプリット トンネリングが設定されている場合に、IPsec データ トンネルを自動的に開始するように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient nem-st-autoconnect コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient nem-st-autoconnect

no vpnclient nem-st-autoconnect

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれます)として動作している ASA 5505 に対してのみ適用されます。

vpnclient nem-st-autoconnect コマンドを入力する前に、ハードウェア クライアントのネットワーク拡張モードがイネーブルになっていることを確認します。ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPsec は、ハードウェア クライアントの背後にあるプライベート ネットワークから ASA の背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、ASA の背後にあるデバイスは、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワーク上のデバイスに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要があります。トンネルのアップ後、いずれの側からでもデータ交換を開始できます。


) ネットワーク拡張モードをイネーブルするように Easy VPN サーバを設定する必要もあります。そのためには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。


ネットワーク拡張モードでは、スプリット トンネリングが設定されている場合を除き、IPsec データ トンネルが自動的に開始し、保持されます。

次に、スプリット トンネリングが設定されたネットワーク拡張モードで自動的に接続するように Easy VPN Remote 接続を設定する例を示します。グループ ポリシー FirstGroup のネットワーク拡張モードがイネーブルになっています。

ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# nem enable
ciscoasa(config)# vpnclient nem-st-autoconnect
ciscoasa(config)#
 

 
関連コマンド

コマンド
説明

nem

ハードウェア クライアントのネットワーク拡張モードをイネーブルにします。

vpnclient server-certificate

証明書マップによって指定された特定の証明書を持つ Easy VPN サーバへの接続のみを受け入れるように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient server-certificate コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient server-certificate certmap_name

no vpnclient server-certificate

 
構文の説明

certmap_name

受け入れ可能な Easy VPN サーバ証明書を指定する証明書マップの名前を指定します。最大長は、64 文字です。

 
デフォルト

Easy VPN サーバ証明書のフィルタリングは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

このコマンドを使用して、Easy VPN サーバ証明書のフィルタリングをイネーブルにします。証明書マップ自体は、crypto ca certificate map コマンドと crypto ca certificate chain コマンドを使用して定義します。

次に、homeservers という名前の証明書マップを持つ Easy VPN サーバへの接続のみをサポートするように Easy VPN Remote 接続を設定する例を示します。

ciscoasa(config)# vpnclient server-certificate homeservers
ciscoasa(config)#
 

 
関連コマンド

コマンド
説明

certificate

指定された証明書を追加します。

vpnclient trustpoint

Easy VPN Remote 接続で使用する RSA アイデンティティ証明書を設定します。

vpnclient server

Easy VPN Remote 接続用のプライマリおよびセカンダリ IPsec サーバを設定するには、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient server ip_primary_address [ ip_secondary_address_1 ... ipsecondary_address_10 ]

no vpnclient server

 
構文の説明

ip_primary_address

プライマリ Easy VPN(IPsec)サーバの IP アドレスまたは DNS 名。ASA または VPN 3000 コンセントレータ シリーズは、Easy VPN サーバとして機能できます。

ip_secondary_address_n

(オプション)最大 10 台のバックアップ Easy VPN サーバの IP アドレスまたは DNS 名のリスト。スペースを使用して、リスト内の項目を区切ります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

接続を確立する前にサーバを設定する必要があります。 vpnclient server コマンドでは、IPv4 アドレス、名前データベース、または DNS 名がサポートされ、アドレスはその順に解決されます。

サーバの IP アドレスまたはホスト名を使用できます。

次に、名前 headend-1 をアドレス 10.10.10.10 に関連付け、 vpnclient server コマンドを使用して 3 台のサーバ(headend-dns.example.com(プライマリ)、headend-1(セカンダリ)、および 192.168.10.10(セカンダリ))を指定する例を示します。

ciscoasa(config)# names
ciscoasa(config)# 10.10.10.10 headend-1
ciscoasa(config)# vpnclient server headend-dns.example.com headend-1 192.168.10.10
ciscoasa(config)#
 

次に、VPN クライアントに IP アドレスが 10.10.10.15 のプライマリ IPsec サーバおよび IP アドレスが 10.10.10.30 と 192.168.10.45 のセカンダリ サーバを設定する例を示します。

ciscoasa(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
ciscoasa(config)#
 

vpnclient trustpoint

Easy VPN Remote 接続で使用する RSA アイデンティティ証明書を設定するには、グローバル コンフィギュレーション モードで vpnclient trustpoint コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient trustpoint trustpoint_name [ chain ]

no vpnclient trustpoint

 
構文の説明

chain

証明書チェーン全体を送信します。

trustpoint_name

認証に使用する RSA 証明書を識別するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ASA モデル 5505 にのみ適用され、また、デジタル証明書を使用する場合にのみ適用されます。

crypto ca trustpoint コマンドを使用してトラストポイントを定義します。トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。これらのパラメータでは、ASA が CA 証明書を取得する方法、ASA が CA から証明書を取得する方法、および CA が発行するユーザ証明書の認証ポリシーを指定します。

次に、central という名前の特定のアイデンティティ証明書を使用し、証明書チェーン全体を送信するように Easy VPN Remote 接続を設定する例を示します。

ciscoasa(config)# crypto ca trustpoint central
ciscoasa(config)# vpnclient trustpoint central chain
ciscoasa(config)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

指定したトラストポイントのトラストポイント サブモードを開始し、トラストポイント情報を管理します。

 

vpnclient username

Easy VPN Remote 接続の VPN ユーザ名とパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient username コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient username xauth_username password xauth password

no vpnclient username

 
構文の説明

xauth_password

XAUTH に使用するパスワードを指定します。最大長は、64 文字です。

xauth_username

XAUTH に使用するユーザ名を指定します。最大長は、64 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ASA 5505 にのみ適用されます。

XAUTH ユーザ名とパスワードのパラメータは、セキュア ユニット認証がディセーブルで、サーバが XAUTH クレデンシャルを要求する場合に使用します。セキュア ユニット認証がイネーブルの場合、これらのパラメータは無視され、ASA によって、ユーザにユーザ名とパスワードの入力を求めるプロンプトが表示されます。

次に、XAUTH ユーザ名 testuser とパスワード ppurkm1 を使用するように Easy VPN Remote 接続を設定する例を示します。

ciscoasa(config)# vpnclient username testuser password ppurkm1
ciscoasa(config)#
 

vpnclient vpngroup

Easy VPN Remote 接続の VPN トンネル グループ名とパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient vpngroup コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

vpnclient vpngroup group_name password preshared_key

no vpnclient vpngroup

 
構文の説明

group_name

Easy VPN サーバで設定された VPN トンネル グループの名前を指定します。最大の長さは 64 文字で、スペースは使用できません。

preshared_key

Easy VPN サーバで認証に使用する IKE 事前共有キー。最大長は 128 文字です。

 
デフォルト

Easy VPN クライアントとして動作している ASA 5505 のコンフィギュレーションでトンネル グループが指定されていない場合、クライアントは RSA 証明書を使用しようとします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれます)として動作している ASA 5505 に対してのみ適用されます。

事前共有キーをパスワードとして使用します。接続の確立前にサーバを設定する必要があります。

次に、グループ名が TestGroup1、パスワードが my_key123 の VPN トンネル グループを Easy VPN Remote 接続に設定する例を示します。

ciscoasa(config)# vpnclient vpngroup TestGroup1 password my_key123
ciscoasa(config)#
 

 
関連コマンド

コマンド
説明

vpnclient trustpoint

Easy VPN 接続で使用する RSA アイデンティティ証明書を設定します。

vpnsetup

ASA で VPN 接続を設定するための手順のリストを表示するには、グローバル コンフィギュレーション モードで vpnsetup コマンドを使用します。

vpnsetup {ipsec-remote-access | l2tp-remote-access | site-to-site | ssl-remote-access} steps

 
構文の説明

ipsec-remote-access

IPsec 接続を受け入れるように ASA を設定するための手順を表示します。

l2tp-remote-access

L2TP 接続を受け入れるように ASA を設定するための手順を表示します。

site-to-site

LAN-to-LAN 接続を受け入れるように ASA を設定するための手順を表示します。

ssl-remote-access

SSL 接続を受け入れるように ASA を設定するための手順を表示します。

steps

接続タイプの手順を表示することを指定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

Yes

--

Yes

Yes

--

 
コマンド履歴

リリース
変更内容

8.0(3)

このコマンドが導入されました。

9.0(1)

サイト間接続に対して、マルチ コンテキスト モードのサポートが追加されました。

次に、 vpnsetup ssl-remote-access steps コマンド の出力例を示します。

ciscoasa(config-t)# vpnsetup ssl-remote-access steps
 
Steps to configure a remote access SSL VPN remote access connection and AnyConnect with examples:
 
1. Configure and enable interface
 
interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown
 
interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown
 
2. Enable WebVPN on the interface
 
webvpn
enable outside
 
3. Configure default route
 
route outside 0.0.0.0 0.0.0.0 10.10.4.200
 
4. Configure AAA authentication and tunnel group
 
tunnel-group DefaultWEBVPNGroup type remote-access
tunnel-group DefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
 
5. If using LOCAL database, add users to the Database
 
username test password t3stP@ssw0rd
username test attributes
service-type remote-access
 
Proceed to configure AnyConnect VPN client:
 
6. Point the ASA to an AnyConnect image
 
webvpn
svc image anyconnect-win-2.1.0148-k9.pkg
 
7. enable AnyConnect
 
svc enable
 
8. Add an address pool to assign an ip address to the AnyConnect client
 
ip local pool client-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
 
9. Configure group policy
 
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol svc webvpn
 
ciscoasa(config-t)#
 
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol svc webvpn
 
ciscoasa(config-t)#

 
関連コマンド

コマンド
説明

show running-config

ASA の実行コンフィギュレーションを表示します。