Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
ネットワーク アドミッション コントロールの 設定
ネットワーク アドミッション コントロールの設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ネットワーク アドミッション コントロールの設定

概要

使用、要件、および制限

セキュリティ アプライアンス上の NAC ポリシーの表示

NAC ポリシーの追加、アクセス、および削除

NAC ポリシーの設定

Access Control Server グループの指定

Query-for-Posture-Changes タイマーの設定

再確認タイマーの設定

NAC 用デフォルト ACL の設定

NAC 免除の設定

グループポリシーへの NAC ポリシーの割り当て

NAC Framework のグローバル設定の変更

クライアントレス認証設定の変更

クライアントレス認証のイネーブル化とディセーブル化

クライアントレス認証に使用するログイン クレデンシャルの変更

NAC Framework セッション アトリビュートの変更

概要

Network Admission Control(NAC; ネットワーク アドミッション コントロール)は、企業ネットワークをワームやウイルスの侵入と感染および不正アプリケーションから保護するために、ネットワークへのアクセスを許可する条件の 1 つとしてエンドポイントの適合性と脆弱性チェックを実行する機能です。このようなチェックを「ポスチャ確認」と呼びます。ポスチャ確認を設定しておくと、IPSec または WebVPN セッションで接続するホスト上のアンチウイルス ファイル、パーソナル ファイアウォール規則、または侵入防御ソフトウェアが最新の状態であることを確認してから、イントラネット上の脆弱なホストへのアクセスを許可することが可能になります。ポスチャ確認では、リモート ホスト上で動作しているアプリケーションが最新のパッチが組み込まれた最新バージョンであることを確認します。NAC が実施されるのは、ユーザ認証とトンネルのセットアップが完了した後です。ホーム PC などの自動ネットワーク ポリシー実施の影響を受けないホストから企業ネットワークを保護するのに特に有用です。

エンドポイントとadaptive security applianceとの間でトンネルが確立すると、ポスチャ確認がトリガーされます。

ポスチャ確認要求にクライアントが応答しなかった場合にクライアントの IP アドレスを監査サーバに渡すように、adaptive security applianceを設定することもできます。監査サーバ(たとえば Trend のサーバ)は、ホストの IP アドレスを使用してホストを直接検査し、その健全性を評価します。たとえば、ホストのウイルス検査ソフトウェアがアクティブで最新であるかどうかを判定できます。監査サーバとリモート ホストとの対話が完了すると、監査サーバからポスチャ確認サーバにトークンが 1 個送信されます。このトークンは、リモート ホストの健全性を表すものです。

ポスチャ確認が正常に終了したとき、またはリモート ホストが健全であることを示すトークンを受け取ったときに、ポスチャ確認サーバは、トンネル上のトラフィックに適用されるネットワーク アクセス ポリシーをadaptive security applianceに送信します。

adaptive security applianceが含まれる NAC Framework コンフィギュレーションの中では、クライアント上で実行されている Cisco Trust Agent だけがポスチャ エージェントの役割を果たすことができます。また、Cisco Access Control Server(ACS)だけがポスチャ確認サーバの役割を果たすことができます。ACS は、ダイナミック ACL を使用して各クライアントのアクセス ポリシーを決定します。

RADIUS サーバである ACS は、ポスチャ確認サーバとしての役割に加えて、トンネルの確立に必要なログイン クレデンシャルの認証を行うことができます。


) 監査サーバの使用をサポートするのは、adaptive security appliance上で設定されている NAC Framework ポリシーだけです。


ポスチャ確認サーバとしての役割を果たすために、ACS はアクセス コントロール リストを使用します。ポスチャ確認が正常に終了したときに、ACS からadaptive security applianceに送信されるアクセス ポリシーの一部としてリダイレクト URL が指定されている場合は、adaptive security applianceはリモート ホストからのすべての HTTP および HTTPS 要求をそのリダイレクト URL に送信します。ポスチャ確認サーバによってアクセス ポリシーがadaptive security applianceにアップロードされると、関連付けられたすべてのトラフィックは、セキュリティ アプライアンスと ACS の両方を通過しなければ宛先に到達することはできなくなります。

NAC Framework ポリシーがグループポリシーに割り当てられている場合は、IPSec または WebVPN クライアントとadaptive security applianceの間のトンネルが確立されると、ポスチャ確認がトリガーされます。ただし、NAC Framework ポリシーの中では、ポスチャ確認を免除するオペレーティング システムが指定されていることがあり、そのようなトラフィックをフィルタリングするための ACL が指定されていることもあります。

使用、要件、および制限

NAC をサポートするように設定した場合、adaptive security applianceは Cisco Secure Access Control Server のクライアントとして機能し、NAC 認証サービスを提供するため、少なくともネットワークに 1 台の Access Control Server をインストールすることを要求します。

ネットワーク上で 1 つ以上の Access Control Server を設定した後に、 aaa-server コマンドを使用して Access Control Server グループの名前を指定します。その後で、「NAC ポリシーの設定」の手順を実行します。

ASA による NAC Framework のサポートは、リモート アクセス IPSec および WebVPN のクライアント セッションに限定されます。NAC Framework コンフィギュレーションがサポートするのは、シングルモードのみです。

ASA 上の NAC は、レイヤ 3(非 VPN)トラフィックおよび IPv6 トラフィックはサポートしません。

セキュリティ アプライアンス上の NAC ポリシーの表示

NAC ポリシーをグループポリシーに割り当てるように設定する前に、adaptive security appliance上で設定されているポリシーの有無を一覧で確認することをお勧めします。一覧を表示するには、特権 EXEC モードで次のコマンドを入力します。

show running-config nac-policy

デフォルトのコンフィギュレーションには NAC ポリシーは含まれていませんが、このコマンドを実行すると、他の管理者によってすでにポリシーが追加されているかどうかを調べることができます。すでにポリシーが追加されており、そのポリシーが適切である場合は、NAC ポリシーの設定の項を省略してもかまいません。

次の例では、nacframework1 という名前の NAC ポリシーのコンフィギュレーションを示します。

hostname# show running-config nac-policy
nac-policy nacframework1 nac-framework
default-acl acl-1
reval-period 36000
sq-period 300
exempt-list os "Windows XP" filter acl-2
hostname#
 

各 NAC ポリシーの最初の行は、ポリシーの名前とタイプ(nac-framework)を表します。 表 31-1 は、 show running-config nac-policy コマンドを実行したときに表示される nac-framework のアトリビュートの説明です。

 

表 31-1 show running-config nac-policy コマンドのフィールド

フィールド
説明

default-acl

ポスチャ確認の前に適用される、NAC のデフォルトの ACL。ポスチャ確認の後は、セキュリティ アプライアンスは、デフォルト ACL をリモート ホストの Access Control Server から入手したものに置換します。ポスチャ確認に失敗した場合、adaptive security applianceはデフォルトの ACL を維持します。

reval-period

NAC Framework セッション内でポスチャ確認に成功してから次回のポスチャ確認実行までの秒数。

sq-period

NAC Framework セッション内でポスチャ確認に成功してからホスト ポスチャの変更の有無の次回問い合わせまでの秒数。

exempt-list

ポスチャ確認を免除されるオペレーティング システムの名前。リモート コンピュータのオペレーティング システム名がこの名前に一致する場合にトラフィックをフィルタリングするための任意指定の ACL も表示されます。

authentication-server-group

NAC ポスチャ確認に使用される認証サーバ グループの名前。

グループポリシーへの NAC ポリシーの割り当てを表示するには、特権 EXEC モードで次のコマンドを入力します。

show nac-policy

グループポリシーへの NAC ポリシー割り当ての一覧表示に加えて、どの NAC ポリシーが未割り当てであるかと、各 NAC ポリシーの使用数も、次のように表示されます。

asa2(config)# show nac-policy
nac-policy framework1 nac-framework
applied session count = 0
applied group-policy count = 2
group-policy list: GroupPolicy2 GroupPolicy1
nac-policy framework2 nac-framework is not in use.
asa2(config)#
 

CLI の出力の中で、 「is not in use」 というテキストがポリシー タイプの横に表示されている場合は、そのポリシーはどのグループポリシーにも割り当てられていません。それ以外の場合は、ポリシーの名前とタイプが最初の行に表示され、その後にグループポリシーでの使用のデータが続きます。 表 31-2 は、 show nac-policy コマンドのフィールドの説明です。

 

表 31-2 show nac-policy コマンドのフィールド

フィールド
説明

applied session count

このadaptive security applianceによってこの NAC ポリシーが割り当てられた VPN セッションの累積数。

applied group-policy count

このadaptive security applianceによってこの NAC ポリシーが割り当てられたグループポリシーの累積数。

group-policy list

この NAC ポリシーが割り当てられているグループポリシーのリスト。グループポリシーがこのリストに表示されるかどうかは、グループポリシーの使用状況によって決まるのではありません。実行コンフィギュレーションの中でこの NAC ポリシーが割り当てられていれば、そのグループポリシーはリストに表示されます。

以降の項では、NAC ポリシーの作成および既存のポリシーの変更については説明します。

NAC ポリシーの追加、アクセス、および削除

NAC ポリシーを追加または変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

[ no ] nac-policy nac-policy-name nac-framework

このコマンドの no 形式を使用すると、NAC ポリシーがコンフィギュレーションから削除されます。 clear configure nac-policy コマンドを入力すると、すべての NAC ポリシー(グループポリシーに割り当てられているものを除く)がコンフィギュレーションから削除されます。NAC ポリシーを削除する、または変更の準備をするためのコマンドを入力するときは、ポリシーの名前とタイプの両方を指定する必要があります。

nac-policy-name は、新規または既存の NAC ポリシーの名前です。名前は、最大 64 文字の文字列です。 show running-config nac-policy コマンドを実行すると、すでにセキュリティ アプライアンス上に存在する各 NAC ポリシーの名前とコンフィギュレーションが表示されます。

nac-framework は、リモート ホストのためのネットワーク アクセス ポリシーが NAC Framework コンフィギュレーションで定義されることを示します。adaptive security applianceに NAC Framework サービスを提供するには、Cisco Access Control Server がネットワーク上に存在している必要があります。このタイプを指定すると、現在 nac-policy-nac-framework コンフィギュレーション モードであることがプロンプトに表示されます。このモードでは、NAC Framework ポリシーの設定を行うことができます。

複数の NAC Framework ポリシーを作成できますが、1 つのグループポリシーに 2 つ以上割り当てることはできません。

たとえば、次のコマンドを実行すると、nac-framework1 という名前の NAC Framework ポリシーが作成され、このポリシーにアクセスできるようになります。

hostname(config)# nac-policy nac-framework1 nac-framework
hostname(config-nac-policy-nac-framework)
 

NAC ポリシーの設定

nac-policy コマンドを使用して NAC Framework ポリシーの名前を指定したら、グループポリシーに割り当てる前に、次の各項の説明に従って NAC Framework ポリシーのアトリビュートに値を割り当ててください。

Access Control Server グループの指定

NAC をサポートする Cisco Access Control Server を少なくとも 1 つ設定します。 aaa-server host コマンドを使用して Access Control Server グループの名前を指定します。これは、グループに含まれる Access Control Server が 1 つだけであっても必要です。

次のコマンドを入力すると、AAA サーバのコンフィギュレーションが表示されます。

show running-config aaa-server

次の例を参考にしてください。

hostname(config)# show running-config aaa-server
aaa-server acs-group1 protocol radius
aaa-server acs-group1 (outside) host 192.168.22.44
key secret
radius-common-pw secret
hostname(config)#
 

nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力して、NAC ポスチャ確認に使用するグループを指定します。

[ no ] authentication-server-group server-group

このコマンドの no 形式は、コマンドを NAC ポリシーから削除する場合に使用します。

server-group aaa-server host コマンドで指定した server-tag 変数と一致する必要があります。これは、コマンドの no 形式を使用する場合は必須ではありません。

たとえば、次のコマンドを入力して、acs-group1 を NAC ポスチャ確認に使用される認証サーバ グループとして指定します。

hostname(config-nac-policy-nac-framework)# authentication-server-group acs-group1
hostname(config-nac-policy-nac-framework)
 

Query-for-Posture-Changes タイマーの設定

ポスチャ確認に成功するたびに、adaptive security applianceはステータス クエリー タイマーを起動します。このタイマーの期限が切れると、直前のポスチャ確認以降のポスチャ変更を確認するクエリーがリモート ホストにトリガーされます。変化なしを示す応答は、ステータス クエリー タイマーをリセットします。ポスチャの変化を示す応答は、無条件のポスチャ再確認をトリガーします。adaptive security applianceは、再確認中に現在のアクセス ポリシーを維持します。

デフォルトでは、成功した各ポスチャ確認とステータス クエリー、および以降の各ステータス クエリーの間隔は 300 秒(5 分)です。nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力すると、ステータス クエリーの間隔を変更できます。

[ no ] sq-period seconds

このコマンドの no 形式は、ステータス クエリー タイマーをオフにする場合に使用します。このタイマーをオフにして show running-config nac-policy と入力すると、 0 sq-period アトリビュートの横に表示されます。これは、タイマーがオフになっていることを表します。

seconds は、30 ~ 1800 秒(5 ~ 30 分)の範囲内で指定する必要があります。これは、コマンドの no 形式を使用する場合は必須ではありません。

次の例はステータス クエリー タイマーを 1800 秒に変更しています。

hostname(config-group-policy)# sq-period 1800
hostname(config-group-policy)
 

再確認タイマーの設定

ポスチャ確認が成功するたびに、adaptive security applianceは再確認タイマーを起動します。このタイマーの期限が切れると、次の無条件のポスチャ確認を開始します。adaptive security applianceは、再確認中に現在のアクセス ポリシーを維持します。

デフォルトでは、成功したポスチャ確認間の間隔は、36000 秒(10 時間)です。この設定を変更するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] reval-period seconds

このコマンドの no 形式は、ステータス クエリー タイマーをオフにする場合に使用します。このタイマーをオフにして show running-config nac-policy と入力すると、 0 sq-period アトリビュートの横に表示されます。これは、タイマーがオフになっていることを表します。

seconds は、300 ~ 86400 秒(5 分~ 24 時間)の範囲内で指定する必要があります。これは、コマンドの no 形式を使用する場合は必須ではありません。

たとえば、次のコマンドを入力して再確認タイマーを 86400 秒に変更します。

hostname(config-nac-policy-nac-framework)# reval-period 86400
hostname(config-nac-policy-nac-framework)
 

NAC 用デフォルト ACL の設定

各グループポリシーは、ポリシーに一致し NAC の対象となるホストに適用されるデフォルト ACL をポイントします。adaptive security applianceは NAC デフォルト ACL を適用してからポスチャ確認を実行します。ポスチャ確認の後は、adaptive security applianceは、デフォルト ACL をリモート ホストの Access Control Server から入手したものに置換します。ポスチャ確認に失敗した場合、adaptive security applianceはデフォルトの ACL を維持します。

adaptive security applianceは、クライアントレス認証がイネーブル(デフォルト設定)の場合、NAC デフォルト ACL も適用します。

nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力して、NAC セッションのデフォルト ACL として使用される ACL を指定します。

[ no ] default-acl acl-name

このコマンドの no 形式は、コマンドを NAC Framework ポリシーから削除する場合に使用します。その場合は、 acl-name の指定は必須ではありません。

acl-name は、セッションに適用されるアクセス コントロール リストの名前です。

次の例では、ポスチャ確認の成功前は acl-2 という ACL を適用することを指定しています。

hostname(config-nac-policy-nac-framework)# default-acl acl-2
hostname(config-nac-policy-nac-framework)
 

NAC 免除の設定

adaptive security applianceのコンフィギュレーションには、NAC ポスチャ確認免除のリストが含まれています。免除されるオペレーティング システムを指定できます。ACL を指定すると、指定オペレーティング システムを実行しているクライアントは、ポスチャ確認が免除され、クライアントのトラフィックは ACL の対象になります。

NAC ポスチャ確認が免除されるリモート コンピュータ タイプのリストにエントリを追加するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

no exempt-list コマンドを実行すると、その NAC Framework ポリシーの免除リストのエントリがすべて削除されます。このコマンドの no 形式を実行するときにエントリを指定すると、そのエントリが免除リストから削除されます。


) コマンド実行時にオペレーティング システムを指定しても、免除リストにすでに追加されているエントリが上書きされることはありません。免除したいオペレーティング システムと ACL のそれぞれについてコマンドを入力してください。


os を指定すると、1 つのオペレーティング システムがポスチャ確認を免除されます。

os-name は、オペレーティング システムの名前です。名前にスペースが含まれる場合は、引用符を使用します(たとえば "Windows XP")。

filter を指定すると、コンピュータのオペレーティング システムが os name に一致した場合にトラフィックをフィルタリングするための ACL が適用されます。filter/ acl-name ペアは省略可能です。

disable を指定すると、次のようにいずれかの処理が実行されます。

このキーワードが「os-name」の後に入力されている場合は、adaptive security applianceは免除の定義を無視し、指定されたオペレーティング システムを実行しているリモート ホストに NAC ポスチャ確認を適用します。

このキーワードが acl-name の後に入力されている場合は、adaptive security applianceはそのオペレーティング システムを免除しますが、関連付けられたトラフィックへの ACL 適用は行いません。

acl-name は、adaptive security applianceのコンフィギュレーションに存在する ACL の名前です。指定するときは、 filter キーワードの後に指定する必要があります。

たとえば、次のコマンドを入力して、Windows XP を実行しているすべてのホストをポスチャ確認が免除されるコンピュータのリストに追加します。

hostname(config-group-policy)# exempt-list os "Windows XP"
hostname(config-group-policy)
 

次の例では、Windows XP を実行するホストがすべて免除され、そのホストからのトラフィックに acl-2 という ACL が適用されます。

hostname(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次の例では、同じエントリが免除リストから削除されます。

hostname(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次の例は、免除リストからすべてのエントリを削除しています。

hostname(config-nac-policy-nac-framework)# no exempt-list
hostname(config-nac-policy-nac-framework)
 

グループポリシーへの NAC ポリシーの割り当て

各トンネルのセットアップ完了時に、グループポリシーに NAC ポリシーが割り当てられていれば、その NAC ポリシーがadaptive security applianceによってセッションに割り当てられます。

NAC ポリシーをグループポリシーに割り当てるには、グループポリシー コンフィギュレーション モードで nac-settings コマンドを実行します。

[ no ] nac-settings { value nac-policy-name | none }

no nac-settings を指定すると、 nac-policy-name がグループポリシーから削除されます。グループポリシーの nac-settings の値は、デフォルト グループポリシーから継承されます。

nac-settings none を指定すると、 nac-policy-name がグループポリシーから削除され、このグループポリシーに対しては NAC ポリシーは使用されなくなります。グループポリシーの nac-settings の値は、デフォルト グループポリシーから継承されません。

nac-settings value を指定すると、指定した NAC ポリシーがグループポリシーに割り当てられます。各 NAC ポリシーの名前とコンフィギュレーションを表示するには、 show running-config nac-policy コマンドを入力します。

デフォルトでは、 nac-settings コマンドは各グループポリシーのコンフィギュレーションには存在しません。グループポリシーに NAC ポリシーを割り当てると、adaptive security applianceは自動的にそのグループポリシーに対する NAC をイネーブルになりします。

次の例では、framework1 という名前の NAC ポリシーをグループポリシーに割り当てます。

hostname(config-group-policy)# nac-settings value framework1
hostname(config-group-policy)
 

NAC Framework のグローバル設定の変更

adaptive security applianceでは、NAC Framework コンフィギュレーションのデフォルト設定が定義されています。この項の手順に従って、ネットワークの強制ポリシーを遵守するよう設定を調整します。

クライアントレス認証設定の変更

NAC Framework でクライアントレス認証をサポートするかどうかの設定が可能です。この認証は、ポスチャ エージェントの役割を果たす Cisco Trust Agent を持たないホストに適用されます。adaptive security applianceはデフォルトのアクセス ポリシーを適用し、EAP over UDP 要求をポスチャ確認に送信し、その要求がタイムアウトします。adaptive security applianceが Access Control Server のクライアントレス ホストにポリシーを要求するよう設定されていない場合、クライアントレス ホストにすでに使用されているデフォルトのアクセス ポリシーを保持します。adaptive security applianceが Access Control Server のクライアントレス ホストにポリシーを要求するよう設定されている場合、そのように要求し Access Control Server はadaptive security applianceが実行するアクセス ポリシーをダウンロードします。

クライアントレス認証のイネーブル化とディセーブル化

グローバル コンフィギュレーション モードで次のコマンドを入力すると、NAC Framework コンフィギュレーションに対するクライアントレス認証をイネーブルにできます。

[ no ] eou allow { audit | clientless | none }

audit を指定すると、監査サーバがクライアントレス認証の実行に使用されます。

clientless を指定すると、Cisco Access Control Server がクライアントレス認証の実行に使用されます。

no を指定すると、このコマンドがコンフィギュレーションから削除されます。

none を指定すると、クライアントレス認証がディセーブルになります。

デフォルトのコンフィギュレーションには、 eou allow clientless コンフィギュレーションが含まれています。


eou コマンドが適用されるのは、NAC Framework セッションのみです。


クライアントレス認証はデフォルトでイネーブルです。

次の例では、クライアントレス認証の実行に監査サーバを使用するようにadaptive security applianceを設定する方法を示します。

hostname(config)# eou allow audit
hostname(config)#
 

次の例では、認証サーバの使用をディセーブルする方法を示します。

hostname(config)# no eou allow audit
hostname(config)#
 

クライアントレス認証に使用するログイン クレデンシャルの変更

クライアントレス認証がイネーブルで、adaptive security applianceが確認要求に対する応答をリモート ホストから受信できなかった場合、リモート ホストに代わってクライアントレス認証要求を Access Control Server に送信します。この要求には Access Control Server 上のクライアントレス認証に設定されたクレデンシャルに一致するログイン クレデンシャルが含まれます。adaptive security appliance上のクライアントレス認証に対するデフォルトのユーザ名とパスワードは、Access Control Server 上のデフォルトのユーザ名とパスワードに一致します。デフォルトのユーザ名とパスワードはいずれも「clientless」です。Access Control Server のこれらの値を変更する場合、adaptive security applianceでも変更する必要があります。

グローバル コンフィギュレーション モードで次のコマンドを入力して、クライアントレス認証に使用するユーザ名を変更します。

eou clientless username username

username は、クライアントレス ホストをサポートする Access Control Server に設定されたユーザ名に一致する必要があります。1 から 64 までの ASCII 文字を入力します。前後のスペース、ポンド記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、山カッコ(< と >)は除外します。

グローバル コンフィギュレーション モードで次のコマンドを入力して、クライアントレス認証に使用するパスワードを変更します。

eou clientless password password

password はクライアントレス ホストをサポートする Access Control Server に設定されたパスワードに一致する必要があります。4 ~ 32 文字の ASCII 文字を入力します。

ユーザ名のみ、パスワードのみ、またはその両方を指定できます。たとえば、次のコマンドを入力して、クライアントレス認証のユーザ名とパスワードを sherlock と 221B-baker にそれぞれ変更します。

hostname(config)# eou clientless username sherlock
hostname(config)# eou clientless password 221B-baker
hostname(config)#
 

ユーザ名をデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless username

次の例を参考にしてください。

hostname(config)# no eou clientless username
hostname(config)#
 

パスワードをデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless password

次の例を参考にしてください。

hostname(config)# no eou clientless password
hostname(config)#
 
 

NAC Framework セッション アトリビュートの変更

ASA はadaptive security applianceとリモート ホスト間の通信を指定するアトリビュートをデフォルト設定します。これらのアトリビュートは、リモート ホスト上のポスチャ エージェントと通信するポート番号とポスチャ エージェントとの通信を制限する制限カウンタを指定します。それらを変更するために入力するアトリビュート、デフォルト設定、コマンドは次の通りです。

EAP over UDP とポスチャ エージェントの通信に使用するクライアント エンドポイントのポート番号。

デフォルトのポート番号は 21862 です。変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou port port_number

port_number は CTA で設定されたポート番号に一致する必要があります。1024 から 65535 までの範囲で値を入力します。

たとえば、次のコマンドを入力して EAP over UDP 通信のポート番号を 62445 に変更します。

hostname(config)# eou port 62445
hostname(config)#
 

ポート番号をデフォルト値に変更するには、次のようにこのコマンドの no 形式を使用します。

no eou port

次の例を参考にしてください。

hostname(config)# no eou port
hostname(config)#
 

再送信リトライ タイマー

adaptive security applianceは UDP メッセージを介してリモート ホストに EAP を送信する場合、応答を待ちます。 n 秒以内に応答の受信に失敗した場合、EAP over UDP メッセージを再送信します。デフォルトでは、再送信タイマーは 3 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout retransmit seconds

seconds は、1 から 60 までの範囲の値です。

次の例は再送信タイマーを 6 秒に変更します。

hostname(config)# eou timeout retransmit 6
hostname(config)#
 

再送信リトライ タイマーをデフォルト値に変更するには、次のようにこのコマンドの no 形式を使用します。

no eou timeout retransmit

次の例を参考にしてください。

hostname(config)# no eou timeout retransmit
hostname(config)#
 

再送信リトライ

adaptive security applianceは UDP メッセージを介してリモート ホストに EAP を送信する場合、応答を待ちます。応答の受信に失敗した場合、EAP over UDP メッセージを再送信します。デフォルトでは、最大 3 回までリトライします。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou max-retry retries

retries は、1 から 3 までの範囲の値です。

次の例は EAP over UDP 最転送回数を 1 に制限します。

hostname(config)# eou max-retry 1
hostname(config)#
 

再送信リトライの最大回数をデフォルト値に変更するには、次のようにこのコマンドの no 形式を使用します。

no eou max-retry

次の例を参考にしてください。

hostname(config)# no eou max-retry
hostname(config)#
 

セッション再初期化タイマー

再送信リトライ回数が最大リトライ値に一致する場合、adaptive security applianceリモート ホストにより EAP over UDP セッションを終了し、保持タイマーを起動します。保持タイマーが n 秒に一致すると、adaptive security applianceはリモート ホストにより新規 EAP over UDP セッションを確立します。デフォルトでは、新規セッションが確立されるまでの最長待機秒数は、180 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout hold-period seconds

seconds は、60 から 86400 までの範囲の値です。

たとえば、次のコマンドを入力して、新規 EAP over UDP アソシエーションが開始されるまでの待機時間を 120 秒に変更します。

hostname(config)# eou timeout hold-period 120
hostname(config)#
 

セッションの再初期化をデフォルト値に変更するには、次のようにこのコマンドの no 形式を使用します。

no eou timeout hold-period

次の例を参考にしてください。

hostname(config)# no eou timeout hold-period
hostname(config)#