Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
ネットワーク アドミッション コントロールの 設定
ネットワーク アドミッション コントロールの設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ネットワーク アドミッション コントロールの設定

概要

使用方法、要件、および制限

セキュリティ アプライアンスの NAC ポリシーの表示

NAC ポリシーの追加、アクセス、または削除

NAC ポリシーの設定

Access Control Server グループの指定

ポスチャ変更確認のクエリーのタイマーの設定

再検証タイマーの設定

NAC 用デフォルト ACL の設定

NAC 免除の設定

グループ ポリシーへの NAC ポリシーの割り当て

グローバルな NAC Framework 設定の変更

クライアントレス認証設定の変更

クライアントレス認証のイネーブル化とディセーブル化

クライアントレス認証に使用するログイン クレデンシャルの変更

NAC Framework セッション属性の変更

概要

ネットワーク アドミッション コントロールは、実働状態でのネットワーク アクセスの条件として、エンドポイントにおける準拠性チェックと脆弱性チェックを実行することで、ワーム、ウイルス、および危険なアプリケーションの侵入や感染から企業ネットワークを保護します。これらのチェックは、ポスチャ検証 と呼ばれます。ポスチャ検証を設定して、イントラネット上の脆弱なホストへのアクセスを提供する前に、IPsec セッションまたは WebVPN セッションを行っているホスト上のアンチウイルス ファイル、パーソナル ファイアウォール ルール、または侵入予防ソフトウェアが最新の状態であることを確認できます。ポスチャ検証の一部として、リモート ホストで実行されているアプリケーションが最新のパッチで更新されているか検証することもできます。NAC は、ユーザ認証およびトンネルの設定の完了後に行われます。自動ネットワーク ポリシー実施が適用されないホスト(ホーム PC など)からエンタープライズ ネットワークを保護する場合は、NAC が特に有用です。

エンドポイントとASA間でトンネルを確立すると、ポスチャ検証がトリガーされます。

クライアントがポスチャ検証の要求に応答しない場合は、ASAを設定して、そのクライアントの IP アドレスをオプションの監査サーバに渡すことができます。監査サーバ(Trend サーバなど)では、ホスト IP アドレスを使用して、ホストに対して直接チャレンジを行い、ホストのヘルスを評価します。たとえば、ホストに対してチャレンジを行い、そのウイルス チェック ソフトウェアがアクティブで最新の状態かどうかを判断します。監査サーバは、リモート ホストとの対話を完了すると、リモート ホストのヘルスを示すトークンをポスチャ検証サーバに渡します。

ポスチャ検証が成功する、またはリモート ホストが正常であることを示すトークンを受信すると、ポスチャ検証サーバは、トンネル上のトラフィックに対するアプリケーション用のネットワーク アクセス ポリシーをASAに送信します。

ASAを含む NAC Framework のコンフィギュレーションには、クライアントで実行されている Cisco Trust Agent だけがポスチャ エージェントの役割を果たすことができ、Cisco Access Control Server(ACS)だけがポスチャ検証サーバの役割を果たすことができます。ACS はダイナミック Access Control List(ACL; アクセス コントロール リスト)を使用して、各クライアントのアクセス ポリシーを決定します。

RADIUS サーバである ACS は、ポスチャ検証サーバとしての役割を果たすことに加え、トンネルの確立に必要なログイン クレデンシャルを認証できます。


) ASAに設定されている NAC Framework ポリシーだけが、監査サーバの使用をサポートしています。


ACS はそのポスチャ検証サーバとしての役割において、アクセス コントロール リストを使用します。ポスチャ検証が成功し、ACS によって、ASAに送信するアクセス ポリシーの一部としてリダイレクト URL が指定されると、ASAは、リモート ホストからのすべての HTTP 要求と HTTPS 要求をリダイレクト URL にリダイレクトします。ポスチャ検証サーバによってアクセス ポリシーがASAにアップロードされると、関連するすべてのトラフィックはその宛先に到達するためにセキュリティ アプライアンスと ACS(またはその逆も同じ)の両方を通過する必要があります。

IPsec または WebVPN クライアントと ASA 間のトンネルが確立されると、NAC Framework ポリシーがグループ ポリシーに割り当てられている場合、ポスチャ検証がトリガーされます。ただし、NAC Framework ポリシーでは、ポスチャ検証を免除されているオペレーティング システムを特定し、そのようなトラフィックをフィルタリングするためにオプションの ACL を指定できます。

使用方法、要件、および制限

NAC をサポートするように設定すると、ASAは、Cisco Secure Access Control Server のクライアントとして機能します。そのため、NAC 認証サービスを提供するために、ネットワーク上に少なくとも 1 台の Access Control Server をインストールする必要があります。

ネットワークに 1 つまたは複数の Access Control Server を設定した後で、 aaa-server コマンドを使用して Access Control Server グループに名前を付ける必要があります。次に、「NAC ポリシーの設定」の説明に従ってください。

NAC Framework に対する ASA サポートは、リモート アクセス IPsec セッションおよび WebVPN クライアント セッションに限定されます。NAC Framework コンフィギュレーションは、シングル モードだけをサポートしています。

ASA 上の NAC は、レイヤ 3(非 VPN)トラフィックと IPv6 トラフィックはサポートしていません。

セキュリティ アプライアンスの NAC ポリシーの表示

グループ ポリシーに割り当てる NAC ポリシーを設定する前に、ASAにすでに設定されている可能性があるポリシーを確認することをお勧めします。これを行うには、特権 EXEC モードで次のコマンドを入力します。

show running-config nac-policy

デフォルト コンフィギュレーションには NAC ポリシーは含まれていませんが、他のユーザがポリシーを追加しているかどうかを判断するにはこのコマンドを入力するのが便利です。他のポリシーがある場合、すでに設定されているポリシーが適していると判断し、NAC ポリシーを設定する項を無視することができます。

次の例は、nacframework1 という名前の NAC ポリシーのコンフィギュレーションを示しています。

hostname# show running-config nac-policy
nac-policy nacframework1 nac-framework
default-acl acl-1
reval-period 36000
sq-period 300
exempt-list os "Windows XP" filter acl-2
hostname#
 

各 NAC ポリシーの 1 行めは、名前とタイプ(nac-framework)を示します。 表 69-1 で、 show running-config nac-policy コマンドに対する応答として表示された nac-framework 属性について説明します。

 

表 69-1 show running-config nac-policy コマンドのフィールド

フィールド
説明

default-acl

ポスチャ検証前に適用される NAC デフォルト ACL。セキュリティ アプライアンスは、ポスチャ検証の後、リモート ホストの Access Control Server から取得した ACL でデフォルト ACL を置き換えます。ポスチャ検証が失敗した場合、ASAにはデフォルト ACL が残ります。

reval-period

NAC フレームワーク セッションで正常に完了したポスチャ検証の間隔(秒)。

sq-period

NAC フレームワーク セッションで正常に完了したポスチャ検証と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔(秒)。

exempt-list

ポスチャ検証を免除されるオペレーティング システム名。リモート コンピュータのオペレーティング システムがこの名前に一致する場合は、トラフィックをフィルタリングするオプションの ACL も表示されます。

authentication-server-group

NAC ポスチャ検証に使用される認証サーバ グループの名前。

グループ ポリシーへの NAC ポリシーの割り当てを表示するには、特権 EXEC モードで次のコマンドを入力します。

show nac-policy

グループ ポリシーへの NAC ポリシーの割り当てのリストに加えて、CLI により、割り当てられていない NAC ポリシー、および各 NAC ポリシーの使用回数が次のように表示されます。

asa2(config)# show nac-policy
nac-policy framework1 nac-framework
applied session count = 0
applied group-policy count = 2
group-policy list: GroupPolicy2 GroupPolicy1
nac-policy framework2 nac-framework is not in use.
asa2(config)#
 

ポリシーがどのグループ ポリシーにも割り当てられていない場合は、CLI のポリシー タイプの隣に「 is not in use 」というテキストが表示されます。割り当てられている場合は、CLI により、最初の行にポリシー名とタイプ、後続の行にグループ ポリシーの使用データが表示されます。 表 69-2 で、 show nac-policy コマンド内のフィールドについて説明します。

 

表 69-2 show nac-policy コマンドのフィールド

フィールド
説明

applied session count

このASAが NAC ポリシーを適用した VPN セッションの累積数。

applied group-policy count

このASAが NAC ポリシーを適用したグループ ポリシーの累積数。

group-policy list

NAC ポリシーが割り当てられているグループ ポリシーのリスト。この場合、グループ ポリシーの使用状況によってこのリストに表示されるかどうかは決まりません。NAC ポリシーが実行コンフィギュレーションのグループ ポリシーに割り当てられている場合は、このリストにグループ ポリシーが表示されます。

NAC ポリシーを作成する、またはすでに存在するポリシーを変更するには、次の項を参照してください。

NAC ポリシーの追加、アクセス、または削除

NAC ポリシーを追加または変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

[ no ] nac-policy nac-policy-name nac-framework

コンフィギュレーションから NAC ポリシーを削除するには、このコマンドの no バージョンを使用します。または、 clear configure nac-policy コマンドを入力して、グループ ポリシーに割り当てられているポリシーを除くすべての NAC ポリシーをコンフィギュレーションから削除することができます。NAC ポリシーを削除する、または変更する準備をするためにこのコマンドを入力する場合、そのポリシーの名前とタイプの両方を指定する必要があります。

nac-policy-name は、新しい NAC ポリシーまたはすでに存在するポリシーの名前です。名前は最大 64 文字の文字列です。 show running-config nac-policy コマンドは、セキュリティ アプライアンスにすでに存在する各 NAC ポリシーの名前およびコンフィギュレーションを表示します。

nac-framework は、NAC Framework コンフィギュレーションで、リモート ホスト用のネットワーク アクセス ポリシーを提供することを指定します。ASAの NAC フレームワーク サービスを提供するには、シスコ アクセス コントロール サーバがネットワークに存在している必要があります。このタイプを指定すると、プロンプトは nac-policy-nac-framework コンフィギュレーション モードにいることを示します。このモードでは、NAC フレームワーク ポリシーを設定できます。

NAC Framework ポリシーは複数作成できますが、1 つのグループ ポリシーに 1 つしか割り当てることはできません。

たとえば、次のコマンドは nac-framework1 という名前の NAC Framework ポリシーを作成し、そのポリシーにアクセスします。

hostname(config)# nac-policy nac-framework1 nac-framework
hostname(config-nac-policy-nac-framework)
 

NAC ポリシーの設定

nac-policy コマンドを使用して NAC Framework ポリシーに名前を付けたら、そのポリシーをグループ ポリシーに割り当てる前に、次の項の手順に従ってポリシーの属性に値を割り当てます。

Access Control Server グループの指定

NAC をサポートするためには、少なくとも 1 つの Cisco Access Control Server を設定する必要があります。グループにサーバが 1 台だけ含まれている場合でも、 aaa-server host コマンドを使用して Access Control Server グループに名前を付けます。

AAA サーバ コンフィギュレーションを表示するには、次のコマンドを入力します。

show running-config aaa-server

次の例を参考にしてください。

hostname(config)# show running-config aaa-server
aaa-server acs-group1 protocol radius
aaa-server acs-group1 (outside) host 192.168.22.44
key secret
radius-common-pw secret
hostname(config)#
 

nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力して、NAC ポスチャ検証で使用されるグループを指定します。

[ no ] authentication-server-group server-group

NAC ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。

server-group は、 aaa-server host コマンドで指定した server-tag 変数と一致する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

たとえば、acs-group1 を NAS ポスチャ検証に使用される認証サーバ グループとして指定するには、次のコマンドを入力します。

hostname(config-nac-policy-nac-framework)# authentication-server-group acs-group1
hostname(config-nac-policy-nac-framework)
 

ポスチャ変更確認のクエリーのタイマーの設定

ポスチャ検証が成功するたびに、ASAはステータス クエリー タイマーを起動します。このタイマーの期限が切れると、直前のポスチャ検証以降のポスチャ変更を確認するクエリーがリモート ホストにトリガーされます。変更がないことを応答が示している場合、ステータス クエリー タイマーがリセットされます。ポスチャに変更があったことを応答が示している場合、無条件のポスチャ再検証がトリガーされます。ASAは、再検証中、現在のアクセス ポリシーを保持します。

デフォルトでは、成功した各ポスチャ検証、ステータス クエリー、および以降の各ステータス クエリーの間隔は 300 秒(5 分)です。ステータス クエリーの間隔を変更するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] sq-period seconds

ステータス クエリー タイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイマーをオフにして、 show running-config nac-policy を入力すると、CLI により、 0 sq-period 属性の隣に表示されます。これはタイマーがオフであることを意味します。

seconds は、30 ~ 1800 秒(5 ~ 30 分)の範囲で指定する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

次の例では、ステータス クエリー タイマーが 1800 秒に変更されます。

hostname(config-group-policy)# sq-period 1800
hostname(config-group-policy)
 

再検証タイマーの設定

ポスチャ検証が成功するたびに、ASAは再検証タイマーを起動します。このタイマーが期限切れになると、次の無条件のポスチャ検証がトリガーされます。ASAは、再検証中、現在のアクセス ポリシーを保持します。

デフォルトでは、成功した各ポスチャ検証間の間隔は 36000 秒(10 時間)です。この間隔を変更するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] reval-period seconds

ステータス クエリー タイマーをオフにする場合は、このコマンドの no 形式を使用します。このタイマーをオフにして、 show running-config nac-policy を入力すると、CLI により、 0 sq-period 属性の隣に表示されます。これはタイマーがオフであることを意味します。

seconds は、300 ~ 86400 秒(5 分~ 24 時間)の範囲で指定する必要があります。このコマンドの no バージョンを使用している場合は、一致していなくてもかまいません。

たとえば、再検証タイマーを 86400 秒に変更するには次のコマンドを入力します。

hostname(config-nac-policy-nac-framework)# reval-period 86400
hostname(config-nac-policy-nac-framework)
 

NAC 用デフォルト ACL の設定

各グループ ポリシーは、ポリシーに一致し、NAC に対して適格なホストに適用されるデフォルト ACL を指しています。ASAは、ポスチャ検証の前に NAC のデフォルト ACL を適用します。ポスチャ検証の後、ASAはデフォルト ACL をリモート ホストのアクセス コントロール サーバから取得した ACL に置き換えます。ポスチャ検証が失敗した場合、ASAにはデフォルト ACL が残ります。

また、ASAは、クライアントレス認証がイネーブルになっている(デフォルト設定)場合にも、NAC のデフォルト ACL を適用します。

NAC セッションのデフォルト ACL として使用される ACL を指定するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] default-acl acl-name

NAC Framework ポリシーからコマンドを削除する場合は、このコマンドの no 形式を使用します。この場合、 acl-name の指定はオプションです。

acl-name は、セッションに適用されるアクセス コントロール リストの名前です。

次の例では、ポスチャ検証が成功する前に適用される ACL として acl-2 を指定しています。

hostname(config-nac-policy-nac-framework)# default-acl acl-2
hostname(config-nac-policy-nac-framework)
 

NAC 免除の設定

ASAのコンフィギュレーションには、NAC ポスチャ検証免除のリストが保存されます。免除されるオペレーティング システムを指定できます。ACL を指定すると、指定したオペレーティング システムを実行しているクライアントは、ポスチャ検証が免除され、クライアントのトラフィックは ACL の対象になります。

NAC ポスチャ検証を免除されるリモート コンピュータ タイプのリストにエントリを追加するには、nac-policy-nac-framework コンフィギュレーション モードで次のコマンドを入力します。

[ no ] exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

no exempt-list コマンドを入力すると、NAC フレームワーク ポリシーからすべての免除が削除されます。エントリを指定してこのコマンドの no 形式を発行すると、そのエントリが免除リストから削除されます。


) コマンドでオペレーティング システムを指定しても、例外リストに追加済みのエントリは上書きされません。免除する各オペレーティング システムおよび ACL に対して 1 つずつコマンドを入力します。


os を指定すると、オペレーティング システムがポスチャ検証から免除されます。

os-name は、オペレーティング システムの名前です。名前にスペース(「Windows XP」など)が含まれている場合は引用符を使用します。

filter を指定すると、コンピュータのオペレーティング システムが os name と一致する場合、トラフィックをフィルタリングするために ACL が適用されます。filter/ acl-name のペアはオプションです。

disable を指定すると、次の 2 つの機能のいずれかが実行されます。

"os-name" の後に入力した場合、ASAは、指定したオペレーティング システムを実行するリモート ホストで免除を行わず、NAC ポスチャ検証を適用します。

このキーワードを acl-name の後に入力すると、ASAはそのオペレーティング システムを免除しますが、関連のトラフィックには ACL を適用しません。

acl-name は、ASA コンフィギュレーションにある ACL の名前です。指定する場合は、 filter キーワードの後に指定する必要があります。

たとえば、ポスチャ検証から免除されるコンピュータのリストに Windows XP を実行しているすべてのホストを追加するには、次のコマンドを入力します。

hostname(config-group-policy)# exempt-list os "Windows XP"
hostname(config-group-policy)
 

次の例では、Windows XP を実行しているすべてのホストが免除され、ACL acl-2 がそれらのホストからのトラフィックに適用されます。

hostname(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次に、免除リストから上記の例と同じエントリを削除する例を示します。

hostname(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-2
hostname(config-nac-policy-nac-framework)
 

次に、免除リストからすべてのエントリを削除する例を示します。

hostname(config-nac-policy-nac-framework)# no exempt-list
hostname(config-nac-policy-nac-framework)
 

グループ ポリシーへの NAC ポリシーの割り当て

各トンネルのセットアップを完了すると、グループ ポリシーに割り当てられている場合、ASAは NAC ポリシーをセッションに適用します。

NAC ポリシーをグループ ポリシーに割り当てるには、次のようにグループ ポリシー コンフィギュレーション モードで nac-settings コマンドを使用します。

[ no ] nac-settings { value nac-policy-name | none }

no nac-settings は、グループ ポリシーから nac-policy-name を削除します。グループ ポリシーは、デフォルト グループ ポリシーから nac-settings 値を継承します。

nac-settings none は、グループ ポリシーから nac-policy-name を削除し、このグループ ポリシーに対する NAC ポリシーの使用をディセーブルにします。グループ ポリシーは、デフォルト グループ ポリシーから nac-settings 値を継承しません。

nac-settings value は、指定した NAC ポリシーをグループ ポリシーに割り当てます。各 NAC ポリシーの名前とコンフィギュレーションを表示するには、 show running-config nac-policy コマンドを入力します。

デフォルトでは、 nac-settings コマンドは、各グループ ポリシーのコンフィギュレーションには存在しません。ASAは、NAC ポリシーが割り当てられると、グループ ポリシーの NAC を自動的にイネーブルにします。

次のコマンド例では、framework1 という名前の NAC ポリシーをグループ ポリシーに割り当てています。

hostname(config-group-policy)# nac-settings value framework1
hostname(config-group-policy)
 

グローバルな NAC Framework 設定の変更

ASAでは、NAC Framework コンフィギュレーションがデフォルトで設定されています。この項の手順に従って、ネットワークの強制ポリシーを順守するようにこれらの設定を調整します。

クライアントレス認証設定の変更

クライアントレス認証に対する NAC Framework のサポートは設定可能です。これは、ポスチャ エージェントの役割を果たす Cisco Trust Agent を持たないホストに適用されます。ASAは、デフォルト アクセス ポリシーを適用し、ポスチャ検証用に Extensible Authentication Protocol(EAP)over User Datagram Protocol(UDP)要求を送信して、その要求がタイムアウトします。ASAが、Access Control Server からのクライアントレス ホストに対するポリシーを要求するように設定されていない場合、クライアントレス ホストにすでに使用されているデフォルト アクセス ポリシーを保持します。ASAが、Access Control Server からのクライアントレス ホストに対するポリシーを要求するように設定されている場合、そのように要求して、Access Control Server はASAが実施するアクセス ポリシーをダウンロードします。

クライアントレス認証のイネーブル化とディセーブル化

NAC Framework コンフィギュレーションに対するクライアントレス認証をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

[ no ] eou allow { audit | clientless | none }

audit を指定すると、クライアントレス認証の実行に監査サーバを使用します。

clientless を指定すると、クライアントレス認証の実行に Cisco Access Control Server を使用します。

no は、コンフィギュレーションからコマンドを削除します。

none は、クライアントレス認証をディセーブルにします。

デフォルトのコンフィギュレーションには、 eou allow clientless コンフィギュレーションが含まれています。


eou コマンドは、NAC Framework セッションにだけ適用されます。


クライアントレス認証は、デフォルトでイネーブルになっています。

次に、監査サーバを使用してクライアントレス認証を実行するようにASAを設定する例を示します。

hostname(config)# eou allow audit
hostname(config)#
 

次に、監査サーバの使用をディセーブルにする例を示します。

hostname(config)# no eou allow audit
hostname(config)#
 

クライアントレス認証に使用するログイン クレデンシャルの変更

クライアントレス認証がイネーブルで、ASAがリモート ホストからの検証要求に対する応答の受信できなかった場合、リモート ホストの代わりに、セキュリティ アプライアンスはクライアントレス認証要求を Access Control Server に送信します。この要求には、Access Control Server でのクライアントレス認証用に設定されたクレデンシャルに一致するログイン クレデンシャルが含まれます。ASA のクライアントレス認証用のデフォルト ユーザ名とパスワードは、Access Control Server のデフォルト ユーザ名とパスワードと一致します。デフォルト ユーザ名とパスワードはいずれも「clientless」です。Access Control Server でこれらの値を変更する場合は、ASAでも変更する必要があります。

クライアントレス認証に使用するユーザ名を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou clientless username username

username は、クライアントレス ホストをサポートする Access Control Server に設定されているユーザ名に一致する必要があります。先頭および末尾のスペース、シャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、山カッコ(< および >)を除く、1 ~ 64 文字の ASCII 文字を入力します。

クライアントレス認証に使用するパスワードを変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou clientless password password

password は、クライアントレス ホストをサポートする Access Control Server に設定されているパスワードに一致する必要があります。4 ~ 32 文字の ASCII 文字を入力します。

ユーザ名だけ、パスワードだけ、または両方を指定できます。たとえば、sherlock と 221B-baker それぞれに対するクライアントレス認証のユーザ名とパスワードを変更するには、次のコマンドを入力します。

hostname(config)# eou clientless username sherlock
hostname(config)# eou clientless password 221B-baker
hostname(config)#
 

ユーザ名をそのデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless username

次の例を参考にしてください。

hostname(config)# no eou clientless username
hostname(config)#
 

パスワードをそのデフォルト値に変更するには、次のコマンドを入力します。

no eou clientless password

次の例を参考にしてください。

hostname(config)# no eou clientless password
hostname(config)#
 
 

NAC Framework セッション属性の変更

ASA には、ASAとリモート ホスト間の通信を指定する属性のデフォルト設定があります。これらの属性で、 リモート ホストのポスチャ エージェントと通信するポート番号、およびポスチャ エージェントとの通信を制限する有効制限カウンタを指定します。これらの属性、デフォルト設定、およびそれらを変更するために入力できるコマンドは次のとおりです。

ポスチャ エージェントの EAP over UDP の通信に使用するクライアント エンドポイントのポート番号。

デフォルトのポート番号は 21862 です。変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou port port_number

port_number は、CTA で設定されているポート番号に一致する必要があります。値は 1024 ~ 65535 の範囲で入力します。

たとえば、EAP over UDP 通信のポート番号を 62445 に変更するには次のコマンドを入力します。

hostname(config)# eou port 62445
hostname(config)#
 

ポート番号をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou port

次の例を参考にしてください。

hostname(config)# no eou port
hostname(config)#
 

再送信リトライ タイマー

ASAは EAP over UDP メッセージをリモート ホストに送信する場合、応答を待ちます。 n 秒以内に応答を受信できない場合、EAP over UDP メッセージを再送信します。デフォルトでは、再送信タイマーは 3 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout retransmit seconds

seconds は、1 ~ 60 の範囲の値です。

次に、再送信タイマーを 6 秒に変更する例を示します。

hostname(config)# eou timeout retransmit 6
hostname(config)#
 

再送信リトライ タイマーをそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou timeout retransmit

次の例を参考にしてください。

hostname(config)# no eou timeout retransmit
hostname(config)#
 

再送信リトライ

ASAは EAP over UDP メッセージをリモート ホストに送信する場合、応答を待ちます。応答を受信できない場合、EAP over UDP メッセージを再送信します。デフォルトでは、3 回まで再送信されます。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou max-retry retries

retries は、1 ~ 3 の範囲の値です。

次に、EAP over UDP の再送信回数を 1 に制限する例を示します。

hostname(config)# eou max-retry 1
hostname(config)#
 

再送信リトライの最大回数をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou max-retry

次の例を参考にしてください。

hostname(config)# no eou max-retry
hostname(config)#
 

セッション再初期化タイマー

再送信リトライ カウンタと max-retry 値が一致すると、ASAはリモート ホストとの EAP over UDP セッションを終了し、保持タイマーを起動します。保持タイマーが n 秒になると、ASAは、リモート ホストとの新しい EAP over UDP セッションを確立します。デフォルトでは、新規セッションを確立するまでの最大待機秒数は 180 秒です。この値を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

eou timeout hold-period seconds

seconds は、60 ~ 86400 の範囲の値です。

たとえば、新しい EAP over UDP アソシエーションを開始するまでの待機期間を 120 秒に変更するには次のコマンドを入力します。

hostname(config)# eou timeout hold-period 120
hostname(config)#
 

セッションの再初期化をそのデフォルト値に変更するには、このコマンドの no 形式を次のように使用します。

no eou timeout hold-period

次の例を参考にしてください。

hostname(config)# no eou timeout hold-period
hostname(config)#