Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド リファレンス
acl-netmask-convert コマンド~ auto-update timeout コマンド
acl-netmask-convert コマンド~ auto-update timeout コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 24MB) | フィードバック

目次

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

action

action-uri

activation-key

activex-relay

address-pool(トンネル グループ一般アトリビュート モード)

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

admin-context

alias

allocate-interface

allocate-ips

apcf

appl-acl

application-access

application-access hide-details

area

area authentication

area default-cost

area filter-list prefix

area nssa

area range

area stub

area virtual-link

arp

arp timeout

arp-inspection

asdm disconnect

asdm disconnect log_session

asdm group

asdm history enable

asdm image

asdm location

asr-group

assertion-consumer-url

attribute

auth-cookie-name

authentication-certificate

authentication-exclude

authentication

authentication eap-proxy

authentication key eigrp

authentication mode eigrp

authentication ms-chap-v1

authentication ms-chap-v2

authentication pap

authentication-certificate

authentication-port

authentication-server-group(imap4s、pop3s、smtps)

authentication-server-group(トンネル グループ一般アトリビュート)

authorization-dn-attributes

authorization-required

authorization-server-group

authorization-server-group(トンネル グループ一般アトリビュート モード)

auth-prompt

auto-signon

auto-summary

auto-update device-id

auto-update poll-at

auto-update poll-period

auto-update server

auto-update timeout

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

RADIUS サーバから受信したダウンロード可能な ACL 内のネットマスクをセキュリティ アプライアンスがどのように扱うかを指定するには、AAA サーバ ホスト コンフィギュレーション モードで acl-netmask-convert コマンドを使用します。このモードには、 aaa-server host コマンドを使用してアクセスできます。指定したセキュリティ アプライアンスの動作を削除するには、このコマンドの no 形式を使用します。

acl-netmask-convert { auto-detect | standard | wildcard }

no acl-netmask-convert

 
シンタックスの説明

auto-detect

セキュリティ アプライアンスが、使用されているネットマスク表現のタイプを判断するように指定します。セキュリティ アプライアンスは、ワイルドカード ネットマスク表現を検出すると、標準ネットマスク表現に変換します。このキーワードの詳細については、「使用上のガイドライン」を参照してください。

standard

セキュリティ アプライアンスが、RADIUS サーバから受信したダウンロード可能な ACL に標準ネットマスク表現だけが含まれていると見なすように指定します。ワイルドカード ネットマスク表現からの変換は行われません。

wildcard

セキュリティ アプライアンスが、RADIUS サーバから受信したダウンロード可能な ACL にワイルドカード ネットマスク表現だけが含まれていると見なし、ACL のダウンロード時にその表現をすべて標準ネットマスク表現に変換するように指定します。

 
デフォルト

デフォルトでは、ワイルドカード ネットマスク表現からの変換は行われません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ コンフィギュレーション ホスト

--

 
コマンドの履歴

リリース
変更内容

7.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

RADIUS サーバがワイルドカード形式のネットマスクを含むダウンロード可能な ACL を提供する場合は、wildcard キーワードまたは auto-detect キーワードと共に acl-netmask-convert コマンドを使用します。セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていると予想します。一方、Cisco VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に、標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていると予想します。ワイルドカード マスクでは、無視するビット位置には 1 が、一致する必要のあるビット位置には 0 が置かれます。 acl-netmask-convert コマンドを使用すると、このような違いが、RADIUS サーバ上でダウンロード可能な ACL を設定する方法に及ぼす影響を最小限に抑えることができます。

auto-detect キーワードは、RADIUS サーバがどのように設定されているかわからない場合に役立ちます。ただし、ワイルドカード ネットマスク表現に「穴」があると、その表現が正しく検出されず、変換されません。たとえば、ワイルドカード ネットマスク 0.0.255.0 は、第 3 オクテットがどのような数値であっても許可し、Cisco VPN 3000 シリーズ コンセントレータで有効に使用できますが、セキュリティ アプライアンスはこの表現をワイルドカード ネットマスクとして検出できません。

次の例では、ホスト「192.168.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、ダウンロード可能な ACL のネットマスク変換をイネーブルにして、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# acl-netmask-convert wildcard
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド文をコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

action

アクセス ポリシーをセッションに適用するか、セッションを終了するには、ダイナミック アクセス ポリシー レコード コンフィギュレーション モードで action コマンドを使用します。

セッションをリセットしてアクセス ポリシーをセッションに適用するには、このコマンドの no 形式を使用します。

action {continue | terminate}

no action {continue | terminate}

 
シンタックスの説明

continue

アクセス ポリシーをセッションに適用します。

terminate

接続を終了します。

 
デフォルト

デフォルト値は continue です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ダイナミック アクセス ポリシー レコード コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

選択した DAP レコードのすべてでアクセス ポリシーをセッションに適用するには、 continue キーワードを使用します。選択した DAP レコードのいずれかで接続を終了するには、 terminate キーワードを使用します。

次の例では、Finance という DAP ポリシーのセッションを終了する方法を示しています。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# action terminate
hostname(config-dynamic-access-policy-record)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

show running-config dynamic-access-policy-record [ name ]

全 DAP レコードまたは指定した DAP レコード用の実行コンフィギュレーションを表示します。

action-uri

Web サーバの URI を指定してシングル サインオン認証用のユーザ名とパスワードを受信するには、AAA サーバ ホスト コンフィギュレーション モードで action-uri コマンドを使用します。これは HTTP Forms コマンドを使用した SSO です。URI パラメータ値をリセットするには、このコマンドの no 形式を使用します。

action-uri string

no action-uri


) HTTP プロトコルで SSO を適切に設定するには、認証と HTTP プロトコル交換についての十分な実用知識が必要です。


 
シンタックスの説明

string

認証プログラムの URI。複数の行に入力できます。各行の最大文字数は 255 文字です。URI 全体の最大文字数は 2048 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

URI(ユニフォーム リソース識別子)は、インターネット上のコンテンツの位置を特定するコンパクトな文字列です。URI で表されるコンテンツには、テキスト ページ、ビデオ クリップ、サウンド クリップ、静止画、動画、プログラムなどがあります。URI の最も一般的な形式は Web ページ アドレスです。Web ページ アドレスは、URI の特定の形式(つまりサブセット)で、URL と呼ばれます。

セキュリティ アプライアンスの WebVPN サーバは、POST 要求を使用してシングル サインオン認証要求を認証 Web サーバに送信します。この処理が実行されるようにするには、HTTP POST 要求を使用して認証 Web サーバ上のアクション URI にユーザ名とパスワードを渡すようにセキュリティ アプライアンスを設定します。 action-uri コマンドは、セキュリティ アプライアンスが POST 要求を送信する先の Web サーバ上の認証プログラムの場所と名前を指定します。

認証 Web サーバ上のアクション URI は、認証 Web サーバのログイン ページにブラウザで直接接続するとわかります。ブラウザに表示されるログイン Web ページの URL が、認証 Web サーバのアクション URI です。

入力しやすいように、URI は連続する複数の行に入力できるようになっています。各行は入力と同時にセキュリティ アプライアンスによって連結され、URI が構成されます。action-uri 行の 1 行あたりの最大文字数は 255 文字ですが、それより少ない文字を各行に入力できます。


) 文字列に疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。


次の例では、www.example.com の URI を指定しています。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

hostname(config)# aaa-server testgrp1 host www.example.com
hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) ホスト名とプロトコルをアクション URI に含める必要があります。上記の例では、URI の最初にある http://www.example.com にそれらが含まれています。


 
関連コマンド

コマンド
説明

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

SSO サーバとの交換に使用する非表示パラメータを作成します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

start-url

事前ログイン クッキーの取得先 URL を指定します。

user-parameter

SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

activation-key

セキュリティ アプライアンスのアクティベーション キーを変更し、セキュリティ アプライアンス上で運用されているアクティベーション キーをセキュリティ アプライアンスのフラッシュ パーティションに隠しファイルとして保存されているアクティベーション キーと比較してチェックするには、グローバル コンフィギュレーション モードで activation-key コマンドを使用します。セキュリティ アプライアンスで実行されている、指定したアクティベーション キーを無効にするには、このコマンドの no 形式を使用します。

activation-key [ activation-key-four-tuple | activation-key-five-tuple ]

no activation-key [ activation-key-four-tuple | activation-key-five-tuple ]

 
シンタックスの説明

activation-key-four-tuple

アクティベーション キー。形式のガイドラインについては、「使用上のガイドライン」を参照してください。

activation-key-five-tuple

アクティベーション キー。形式のガイドラインについては、「使用上のガイドライン」を参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各要素の間にスペースを 1 つ入れて、4 つの要素で構成される 16 進数文字列として activation-key-four-tuple を入力します。または、各要素の間にスペースを 1 つ入れて、5 つの要素で構成される 16 進数文字列として、 activation-key-five-tuple を入力します。次に例を示します。

0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
 

先頭部分の 0x 指定子は省略できます。値は、すべて 16 進数であると見なされます。

キーはコンフィギュレーション ファイルに保存されず、 シリアル番号に関連付けられます。

次の例は、セキュリティ アプライアンスのアクティベーション キーを変更する方法を示しています。

hostname(config)# activation-key 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e

 
関連コマンド

コマンド
説明

show activation-key

アクティベーション キーを表示します。

activex-relay

WebVPN セッションの ActiveX コントロールをイネーブルまたはディセーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで activex-relay コマンドを使用します。 activex-relay コマンドをデフォルトのグループ ポリシーから継承するには、このコマンドの no 形式を使用します。

activex-relay { enable | disable }

no activex-relay

 
シンタックスの説明

enable

WebVPN セッションの ActiveX をイネーブルにします。

disable

WebVPN セッションの ActiveX をディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー WebVPN コンフィギュレーション

--

--

--

ユーザ名 WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

ユーザが WebVPN ブラウザから Microsoft Office アプリケーションを起動できるようにするには、 activex-relay enable コマンドを使用します。Microsoft Office アプリケーションは WebVPN セッションを使用して Microsoft Office ドキュメントをダウンロードおよびアップロードします。ActiveX のリレーは、WebVPN セッションが閉じるまで有効です。

次のコマンドは、グループ ポリシーに関連付けられた WebVPN セッションの ActiveX コントロールをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# activex-relay enable
hostname(config-group-webvpn)
 

次のコマンドは、ユーザ名に関連付けられた WebVPN セッションの ActiveX コントロールをディセーブルにします。

hostname(config-username-policy)# webvpn
hostname(config-username-webvpn)# activex-relay disable
hostname(config-username-webvpn)
 

address-pool(トンネル グループ一般アトリビュート モード)

リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで address-pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。

address-pool [( interface name )] address_pool1 [... address_pool6 ]

no address-pool [( interface name )] address_pool1 [... address_pool6 ]

 
シンタックスの説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

interface name

(オプション)アドレス プールに使用するインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスを指定しない場合、このコマンドは、明示的に参照されていないすべてのインターフェイスのデフォルトを指定します。

グループ ポリシーの address-pools コマンドによるアドレス プールの設定で、トンネル グループの address-pool コマンドによるローカル プールの設定が上書きされます。

プールを指定する順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

次の例では、config-tunnel-general コンフィギュレーション モードに入り、IPSec リモートアクセス トンネル グループ テスト用にリモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定しています。

hostname(config)# tunnel-group test type remote-access
hostname(config)# tunnel-group test general
hostname(config-tunnel-general)# address-pool (inside) addrpool1 addrpool2 addrpool3
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

ip local pool

VPN リモートアクセス トンネルに使用する IP アドレス プールを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定するには、グループ ポリシーのアトリビュート コンフィギュレーション モードで address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシーからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

address-pools value address_pool1 [... address_pool6 ]

no address-pools value address_pool1 [... address_pool6 ]

address-pools none

no address-pools none

 
シンタックスの説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

none

アドレス プールが何も設定されていないことを示し、他のグループ ポリシーからの継承をディセーブルにします。

value

アドレスの割り当てに使用するアドレス プールを 6 個まで指定します。

 
デフォルト

デフォルトでは、アドレス プールのアトリビュートを継承できるようになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドのアドレス プールの設定で、グループ内のローカル プールの設定が上書きされます。ローカル アドレスの割り当てに使用するローカル アドレス プールを 6 個まで指定できます。

プールを指定する順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

address-pools none コマンドは、このアトリビュートが他のポリシー(DefaultGrpPolicy など)から継承されることをディセーブルにします。 no address pools none コマンドは、コンフィギュレーションから address-pools none コマンドを削除し、デフォルトの値(継承可能)に戻します。

次のコマンドは、config-general コンフィギュレーション モードで入力しています。この例では、GroupPolicy1 で、リモート クライアントにアドレスを割り当てるためにアドレス プールのリストとして pool_1 と pool_20 を使用するように設定しています。

hostname(config)# ip local pool pool_1 192.168.10.1-192.168.10.100 mask 255.255.0.0
hostname(config)# ip local pool pool_20 192.168.20.1-192.168.20.200 mask 255.255.0.0
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# address-pools value pool_1 pool_20
hostname(config-group-policy)#

 
関連コマンド

コマンド
説明

ip local pool

VPN のグループ ポリシーで使用する IP アドレス プールを設定します。

clear configure group-policy

設定されているすべてのグループ ポリシーを消去します。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

admin-context

システム コンフィギュレーションの管理コンテキストを設定するには、グローバル コンフィギュレーション モードで admin-context コマンドを使用します。システム コンフィギュレーションには、システム自体のネットワーク インターフェイスまたはネットワークの設定は含まれません。ネットワーク リソースにアクセスする必要がある場合(セキュリティ アプライアンス ソフトウェアをダウンロードしたり、管理者にリモート管理を許可したりする場合など)、システム コンフィギュレーションは、管理コンテキストとして指定されているコンテキストの 1 つを使用します。

admin-context name

 
シンタックスの説明

name

名前を最大 32 文字の文字列で設定します。まだコンテキストを定義していない場合は、最初にこのコマンドで管理コンテキスト名を指定します。次に、 context コマンドを使用して、指定した管理コンテキスト名で最初のコンテキストを追加します。

この名前は、大文字と小文字が区別されるため、たとえば、それぞれ「customerA」と「CustomerA」という名前を持つ 2 つのコンテキストがあってもかまいません。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンを使用することはできません。

「System」および「Null」(大文字および小文字)は予約されている名前であるため、使用できません。

 
デフォルト

マルチ コンテキストモードの新しいセキュリティ アプライアンスの場合、管理コンテキストは「admin」と呼ばれます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

コンテキスト コンフィギュレーションが内部フラッシュ メモリにある限り、どのコンテキストでも管理コンテキストとして設定できます。

clear configure context コマンドを使用してすべてのコンテキストを削除した場合だけ、現在のコンテキストを削除できます。

次の例では、管理コンテキストを「administrator」として設定しています。

hostname(config)# admin-context administrator

 
関連コマンド

コマンド
説明

clear configure context

システム コンフィギュレーションからすべてのコンテキストを削除します。

context

システム コンフィギュレーションにコンテキストを設定し、コンテキスト コンフィギュレーション モードに入ります。

show admin-context

現在の管理コンテキスト名を表示します。

alias

アドレスを手動で変換し、DNS の応答を変更するには、グローバル コンフィギュレーション モードで alias コマンドを使用します。 alias コマンドを削除するには、このコマンドの no 形式を使用します。

alias interface_name mapped_ip real_ip [ netmask ]

[no] alias interface_name mapped_ip real_ip [ netmask ]

 
シンタックスの説明

interface_name

マップされた IP アドレスに向かうトラフィックの入力インターフェイス(またはマップされた IP アドレスからのトラフィックの出力インターフェイス)の名前を指定します。

mapped_ip

実際の IP アドレスの変換先の IP アドレスを指定します。

netmask

(オプション)両方の IP アドレスのサブネット マスクを指定します。 ホストのマスクには、 255.255.255.255 と入力します。

real_ip

実際の IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドの代わりに、外部 NAT コマンド( nat コマンドと static コマンドを dns キーワードと一緒に使用)を使えるようになっています。 alias コマンドではなく、外部 NAT コマンドを使用することをお勧めします。

宛先アドレスを変換するには、このコマンドを使用します。たとえば、ホストがパケットを 209.165.201.1 に送信する場合は、 alias コマンドを使用して、トラフィックを他のアドレス(209.165.201.30 など)にリダイレクトします。


alias コマンドを他のアドレスへの変換ではなく DNS の書き換えに使用する場合は、エイリアスがイネーブルなインターフェイス上で proxy-arp をディセーブルにします。sysopt noproxyarp コマンドを使用して、セキュリティ アプライアンスが一般的な NAT 処理のために proxy-arp でトラフィックを自分自身にプルしないようにしてください。


alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。

DNS ゾーン ファイルの中には、 alias コマンドに含まれている「dnat」アドレスの A(アドレス)レコードが存在している必要があります。

alias コマンドには、2 つの使用方法があります。次に、その概要を示します。

セキュリティ アプライアンスが mapped_ip 宛てのパケットを取得した場合、そのパケットを real_ip に送信するように alias コマンドを設定できる。

セキュリティ アプライアンスが real_ip 宛てに DNS パケットを送信し、そのパケットがセキュリティ アプライアンスに戻ってきた場合、DNS パケットに変更を加えて、宛先ネットワーク アドレスを mapped_ip にするように alias コマンドを設定できる。

alias コマンドは、ネットワーク上の DNS サーバと自動的に対話して、エイリアスが設定された IP アドレスへのドメイン名によるアクセスを透過的に処理します。

real_ip IP アドレスと mapped_ip IP アドレスにネットワーク アドレスを使用することで、ネット エイリアスを指定します。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1 ~ 209.165.201.30 の各 IP アドレスのエイリアスが作成されます。

static コマンドと access-list コマンドで alias コマンドの mapped_ip アドレスにアクセスするには、access-list コマンド内で、許可されるトラフィック送信元アドレスとして mapped_ip アドレスを指定します。次に例を示します。

hostname(config)# alias (inside) 192.168.201.1 209.165.201.1 255.255.255.255
hostname(config)# static (inside,outside) 209.165.201.1 192.168.201.1 netmask 255.255.255.255
hostname(config)# access-list acl_out permit tcp host 192.168.201.1 host 209.165.201.1 eq ftp-data
hostname(config)# access-group acl_out in interface outside
 

内部アドレス 192.168.201.1 を宛先アドレス 209.165.201.1 にマッピングして、エイリアスを指定しています。

内部ネットワーク クライアント 209.165.201.2 が example.com に接続すると、内部クライアントのクエリーに対する外部 DNS サーバからの DNS 応答は、セキュリティ アプライアンスによって 192.168.201.29 へと変更されます。セキュリティ アプライアンスで 209.165.200.225 ~ 209.165.200.254 をグローバル プール IP アドレスとして使用している場合、パケットはセキュリティ アプライアンスに SRC=209.165.201.2 および DST=192.168.201.29 として送信されます。セキュリティ アプライアンスは、アドレスを外部の SRC=209.165.200.254 および DST=209.165.201.29 に変換します。

次の例では、内部ネットワークに IP アドレス 209.165.201.29 が含まれています。このアドレスはインターネット上にあり、example.com に属しています。内部のクライアントが example.com にアクセスしても、パケットはセキュリティ アプライアンスに到達しません。クライアントは、209.165.201.29 がローカルの内部ネットワーク上にあると判断するためです。この動作を修正するには、 alias コマンドを次のように使用します。

hostname(config)# alias (inside) 192.168.201.0 209.165.201.0 255.255.255.224
 
hostname(config)# show running-config alias
alias 192.168.201.0 209.165.201.0 255.255.255.224
 

次の例では、内部の 10.1.1.11 にある Web サーバ、および 209.165.201.11 で作成された static コマンドを示しています。送信元ホストは、外部のアドレス 209.165.201.7 にあります。外部の DNS サーバには、次に示すとおり、www.example.com のレコードが登録されています。

dns-server# www.example.com. IN A 209.165.201.11
 

ドメイン名 www.example.com. の末尾のピリオドは必要です。

次に、alias コマンドを使用する例を示します。

hostname(config)# alias 10.1.1.11 209.165.201.11 255.255.255.255
 

セキュリティ アプライアンスは、内部クライアント用のネーム サーバ応答を 10.1.1.11 に変更して、Web サーバに直接接続できるようにします。

アクセスを可能にするには、次のコマンドも必要です。

hostname(config)# static (inside,outside) 209.165.201.11 10.1.1.11
 
hostname(config)# access-list acl_grp permit tcp host 209.165.201.7 host 209.165.201.11 eq telnet
hostname(config)# access-list acl_grp permit tcp host 209.165.201.11 eq telnet host 209.165.201.7
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストを作成します。

clear configure alias

すべての alias コマンドをコンフィギュレーションから削除します。

show running-config alias

コンフィギュレーション内の、デュアル NAT コマンドで使用する重複アドレスを表示します。

static

ローカル IP アドレスをグローバル IP アドレスに、またはローカル ポートをグローバル ポートにマッピングすることによって、1 対 1 のアドレス変換規則を設定します。

allocate-interface

セキュリティ コンテキストにインターフェイスを割り当てるには、コンテキスト コンフィギュレーション モードで allocate-interface コマンドを使用します。コンテキストからインターフェイスを削除するには、このコマンドの no 形式を使用します。

allocate-interface physical_interface [ map_name ] [ visible | invisible ]

no allocate-interface physical_interface

allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ map_name [ - map_name ]] [ visible | invisible ]

no allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ]

 
シンタックスの説明

invisible

(デフォルト)コンテキスト ユーザが show interface コマンドで、マッピング名(設定されている場合)だけを表示できるようにします。

map_name

(オプション)マッピング名を設定します。

map_name は、インターフェイス ID ではなく、インターフェイスを示す英数字のエイリアスで、コンテキスト内で使用できます。マッピング名を指定しない場合は、コンテキスト内でインターフェイス ID が使用されます。セキュリティを確保するため、コンテキストによって使用されているインターフェイスをコンテキスト管理者に知らせたくない場合があります。

マッピング名はアルファベットで始まり、アルファベットまたは数字で終わる必要があります。その間の文字には、アルファベット、数字、または下線だけを使用できます。たとえば、次のような名前を使用できます。

int0
 
inta
 
int_0
 

サブインターフェイスの場合は、マッピング名の範囲を指定できます。

範囲の詳細については、「使用上のガイドライン」を参照してください。

physical_interface

インターフェイス ID( gigabit ethernet0/1 など)を設定します。使用できる値については、 interface コマンドを参照してください。インターフェイス タイプとポート番号の間には、スペースを挿入しないでください。

subinterface

サブインターフェイス番号を設定します。サブインターフェイスの範囲を指定できます。

visible

(オプション)マッピング名を設定した場合でも、コンテキスト ユーザが show interface コマンドで、物理インターフェイスのプロパティを表示できるようにします。

 
デフォルト

デフォルトでは、マッピング名を設定した場合に show interface コマンドの出力にインターフェイス ID は表示されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを複数回入力して、異なる範囲を指定できます。マッピング名または表示の設定を変更するには、所定のインターフェイス ID でこのコマンドを再入力し、新しい値を設定します。 no allocate-interface コマンドを入力して、最初からやり直す必要はありません。 allocate-interface コマンドを削除すると、セキュリティ アプライアンスによって、コンテキスト内のインターフェイス関連のコンフィギュレーションがすべて削除されます。

透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。


) 透過モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをそのインターフェイスを通してフラッドしません。


ルーテッド モードでは、必要に応じて、同じインターフェイスを複数のコンテキストに割り当てることができます。透過モードでは、インターフェイスを共有できません。

サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。

マッピング名は、アルファベット部分と、それに続く数値部分で構成される必要がある。範囲の両端で、マッピング名のアルファベット部分が一致する必要があります。たとえば、次のような範囲を入力します。

int0-int10
 

たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドが失敗します。

マッピング名の数値部分には、サブインターフェイス範囲と同じ個数の数値が含まれる必要がある。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。

gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100
 

たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドが失敗します。

次の例は、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 ~ gigabitethernet0/1.305 をコンテキストに割り当てる方法を示しています。マッピング名は、int1 ~ int8 です。

hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

allocate-ips

IPS 仮想センサーをセキュリティ コンテキストに割り当てるには、AIP SSM がインストールされている場合に、コンテキスト コンフィギュレーション モードで allocate-ips コマンドを使用します。仮想センサーをコンテキストから削除するには、このコマンドの no 形式を使用します。

allocate-ips sensor_name [ mapped_name ] [ default ]

no allocate-ips sensor_name [ mapped_name ] [ default ]

 
シンタックスの説明

default

(オプション)コンテキストにつき 1 つのセンサーをデフォルト センサーとして設定します。コンテキスト コンフィギュレーションでセンサー名が指定されない場合、コンテキストはデフォルト センサーを使用します。コンテキストごとに設定できるデフォルト センサーは 1 つだけです。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して、現在のデフォルト センサーを削除してから新しいデフォルト センサーを割り当てます。デフォルトとしてセンサーを指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、トラフィックは AIP SSM のデフォルト センサーを使用します。

mapped_name

(オプション)コンテキスト内で実際のセンサー名の代わりに使用できるセンサー名のエイリアスとしてマッピング名を設定します。マッピング名を指定しないと、センサー名がコンテキスト内で使用されます。セキュリティを確保するため、コンテキストによって使用されているセンサーをコンテキスト管理者に知らせたくない場合があります。または、コンテキスト コンフィギュレーションを一般化することもあります。たとえば、すべてのコンテキストで「sensor1」および「sensor2」というセンサーを使用する場合、「highsec」センサーおよび「lowsec」センサーはコンテキスト A の sensor1 と sensor2 にマッピングできますが、「medsec」センサーおよび「lowsec」センサーはコンテキスト B の sensor1 と sensor2 にマッピングします。

sensor_name

AIP SSM に設定されているセンサー名を設定します。AIP SSM に設定されているセンサーを表示するには、 allocate-ips ? と入力します。使用可能なすべてのセンサーがリストされます。 show ips コマンドを入力することもできます。システム実行スペースで show ips コマンドを入力すると、使用可能なすべてのセンサーがリストされます。コンテキストでこのコマンドを入力すると、すでにコンテキストに割り当てられているセンサーが表示されます。AIP SSM に存在しないセンサー名を指定すると、エラーとなりますが、 allocate-ips コマンドはそのまま入力されます。AIP SSM にその名前のセンサーが作成されるまで、コンテキストはそのセンサーが停止しているものと想定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

各コンテキストに 1 つまたは複数の IPS 仮想センサーを割り当てることができます。割り当て後に ips コマンドを使用してトラフィックを AIP SSM に送信するようにコンテキストを設定する場合、コンテキストに割り当てられているセンサーを指定できます。また、コンテキストに割り当てられていないセンサーは指定できません。コンテキストにセンサーを割り当てていない場合、AIP SSM に設定されたデフォルト センサーが使用されます。複数のコンテキストに同じセンサーを割り当てることができます。


) 仮想センサーを使用するのにマルチ コンテキスト モードに入る必要はありません。シングル モードの中からさまざまなトラフィック フローにさまざまなセンサーを使用できます。


次の例では、sensor1 と sensor2 を context A に、sensor1 と sensor3 を context B に割り当てています。どちらのコンテキストも、センサー名を「ips1」と「ips2」にマッピングします。context A では、sensor1 はデフォルト センサーとして設定されますが、context B では、デフォルト センサーは設定されないため AIP SSM に設定されているデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。

ips

トラフィックを検査のために AIP SSM に転送します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show ips

AIP SSM に設定されている仮想センサーを表示します。

apcf

Application Profile Customization Framework プロファイルをイネーブルにするには、webvpn コンフィギュレーション モードで apcf コマンドを使用します。特定の APCF スクリプトをディセーブルにするには、このコマンドの no 形式を使用します。すべての APCF スクリプトをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。

apcf URL/filename.ext

no apcf [ URL/ filename.ext]

 
シンタックスの説明

filename.extension

APCF カスタマイゼーション スクリプトの名前を指定します。これらのスクリプトは必ず XML 形式です。拡張子は、.xml、.txt、.doc などです。

URL

セキュリティ アプライアンス上にロードして使用する APCF プロファイルの場所を指定します。http://、https://、tftp://、ftp://、flash:/、disk#:/' のいずれかの URL を使用します。

URL には、サーバ、ポート、およびパスが含まれる場合があります。ファイル名だけを指定した場合、デフォルト URL は flash:/ です。 copy コマンドを使用して、APCF プロファイルをフラッシュ メモリにコピーできます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

apcf コマンドでは、非標準の Web アプリケーションや Web リソースが WebVPN 接続で適切にレンダリングされるように、セキュリティ アプライアンスによってそれらの処理を可能にします。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、どのデータを変換するかを指定するスクリプトがあります。

複数の APCF プロファイルをセキュリティ アプライアンス上で使用できます。そのようにした場合、セキュリティ アプライアンスは、それらを古いものから新しいものの順に 1 つずつ適用します。

apcf コマンドは、Cisco TAC のサポートがある場合に限り使用することをお勧めします。

次の例は、フラッシュ メモリの /apcf にある apcf1 という名前の APCF をイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
hostname(config-webvpn)#
 

次の例は、myserver という https サーバのポート 1440(パスは /apcf)にある apcf2.xml という名前の APCF をイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

proxy-bypass

特定のアプリケーションについてコンテンツの最低限の書き換えを設定します。

rewrite

トラフィックがセキュリティ アプライアンスを通過するかどうかを決定します。

show running config webvpn apcf

APCF コンフィギュレーションを表示します。

appl-acl

設定済みの Web タイプ ACL を識別してセッションに適用するには、DAP webvpn コンフィギュレーション モードで appl-acl コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。Web タイプ ACL をすべて削除するには、引数を指定せずにこのコマンドの no 形式を使用します。

appl-acl identifier

no appl-acl [ identifier ]

 
シンタックスの説明

identifier

設定済みの Web タイプ ACL の名前(最大 240 文字)。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

Web タイプ ACL を設定するには、グローバル コンフィギュレーション モードで access-list_webtype コマンドを使用します。

appl-acl コマンドを複数回使用して、複数の Web タイプ ACL を DAP ポリシーに適用します。

次の例は、newacl という設定済み Web タイプ ACL をダイナミック アクセス ポリシーに適用する方法を示しています。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dynamic-access-policy-record)# appl-acl newacl
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

access-list_webtype

Web タイプ ACL を作成します。

application-access

認証済みの WebVPN ユーザに表示される WebVPN ホームページの Application Access フィールド、およびそれらのユーザがアプリケーションを選択したときに開く Application Access ウィンドウをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで application-access コマンドを使用します。このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access { title | message | window } { text | style } value

no application-access { title | message | window } { text | style } value

 
シンタックスの説明

message

Application Access フィールドのタイトルの下に表示されるメッセージを変更します。

style

Application Access フィールドのスタイルを変更します。

text

Application Access フィールドのテキストを変更します。

title

Application Access フィールドのタイトルを変更します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

window

Application Access ウィンドウを変更します。

 
デフォルト

[Application Access] フィールドのデフォルトのタイトル テキストは「Application Access」です。

Application Access フィールドのデフォルトのタイトル スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase

[Application Access] フィールドのデフォルトのメッセージ テキストは「Start Application Client」です。

Application Access フィールドのデフォルトのメッセージ スタイルは次のとおりです。

background-color:#99CCCC;color:maroon;font-size:smaller

[Application Access] ウィンドウのデフォルトのウィンドウ テキストは次のとおりです。

「Close this window when you finish using Application Access.Please wait for the table to be displayed before starting applications.」

Application Access ウィンドウのデフォルトのウィンドウ スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドにアクセスするには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用します。

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

次に、WebVPN ページに対する最も一般的な変更(ページの配色)を行う際に役立つヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。


次の例では、Application Access フィールドの背景色を RGB 16 進値 66FFFF(緑色の一種)にカスタマイズしています。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# application-access title style background-color:#66FFFF

 
関連コマンド

コマンド
説明

application-access hide-details

Application Access ウィンドウでのアプリケーション詳細の表示をイネーブルまたはディセーブルにします。

browse-networks

WebVPN ホームページの Browse Networks フィールドをカスタマイズします。

file-bookmarks

WebVPN ホームページの File Bookmarks タイトルまたはリンクをカスタマイズします。

web-applications

WebVPN ホームページの Web Application フィールドをカスタマイズします。

web-bookmarks

WebVPN ホームページの Web Bookmarks タイトルまたはリンクをカスタマイズします。

application-access hide-details

WebVPN Applications Access ウィンドウに表示されているアプリケーション詳細を非表示にするには、カスタマイゼーション コンフィギュレーション モードで application-access hide-details コマンドを使用します。このモードにアクセスするには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用します。このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access hide - details {enable | disable}

no application-access [ hide - details {enable | disable}]

 
シンタックスの説明

disable

Application Access ウィンドウのアプリケーション詳細を非表示にしません。

enable

Application Access ウィンドウのアプリケーション詳細を非表示にします。

 
デフォルト

デフォルトはディセーブルです。アプリケーション詳細は Application Access ウィンドウに表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

次の例では、アプリケーション詳細の表示をディセーブルにしています。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# application-access hide-details disable

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの Application Access フィールドをカスタマイズします。

browse-networks

WebVPN ホームページの Browse Networks フィールドをカスタマイズします。

web-applications

WebVPN ホームページの Web Application フィールドをカスタマイズします。

area

OSPF エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。

area area_id

no area area_id

 
シンタックスの説明

area_id

作成するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

作成するエリアには、パラメータが設定されていません。関連する area コマンドを使用して、エリア パラメータを設定します。

次の例は、エリア ID 1 の OSPF エリアを作成する方法を示しています。

hostname(config-router)# area 1
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

area nssa

エリアを準スタブ エリアとして定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area authentication

OSPF エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで area authentication コマンドを使用します。

エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id authentication [ message-digest ]

no area area_id authentication [ message-digest ]

 
シンタックスの説明

area_id

認証をイネーブルにするエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

message-digest

(オプション) area_id によって指定されたエリアでの Message Digest 5(MD5)認証をイネーブルにします。

 
デフォルト

エリア認証はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定した OSPF エリアが存在しない場合は、このコマンドの入力時にそのエリアが作成されます。 message-digest キーワードを付けずに area authentication コマンドを入力すると、簡易パスワード認証がイネーブルになります。 message-digest キーワードを付けると、MD5 認証がイネーブルになります。

次の例は、エリア 1 の MD5 認証をイネーブルにする方法を示しています。

hostname(config-router)# area 1 authentication message-digest
hostname(config-router)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area default-cost

スタブまたは NSSA に送信されるデフォルト サマリー ルートのコストを指定するには、ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。

area area_id default-cost cost

no area area_id default-cost

 
シンタックスの説明

area_id

デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

cost

スタブまたは NSSA に使用されるデフォルト サマリー ルートのコストを指定します。有効な値の範囲は 0 ~ 65535 です。

 
デフォルト

cost のデフォルト値は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

次の例は、スタブまたは NSSA に送信されるサマリー ルートのデフォルト コストを指定する方法を示しています。

hostname(config-router)# area 1 default-cost 5
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area nssa

エリアを準スタブ エリアとして定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area filter-list prefix

ABR の OSPF エリア間のタイプ 3 LSA でアドバタイズされたプレフィックスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。

area area_id filter-list prefix list_name { in | out }

no area area_id filter-list prefix list_name { in | out }

 
シンタックスの説明

area_id

フィルタリングを設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

in

指定エリアに着信するアドバタイズされたプレフィックスに、設定済みプレフィックス リストを適用します。

list_name

プレフィックス リストの名前 を指定します。

out

指定エリアから発信するアドバタイズされたプレフィックスに、設定済みプレフィックス リストを適用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

タイプ 3 LSA だけをフィルタリングできます。プライベート ネットワークに ASBR が設定されている場合は、ASBR がタイプ 5 LSA(プライベート ネットワークを記述)を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッドされます。

次の例では、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングします。

hostname(config-router)# area 1 filter-list prefix-list AREA_1 in
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area nssa

エリアを NSSA として設定するには、ルータ コンフィギュレーション モードで area nssa コマンドを使用します。エリアから NSSA 指定を削除するには、このコマンドの no 形式を使用します。

area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

 
シンタックスの説明

area_id

NSSA として指定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

default-information-originate

NSSA エリアでのタイプ 7 デフォルトの生成に使用します。このキーワードは、NSSA ABR 上または NSSA ASBR 上に限り有効です。

metric metric_value

(オプション)OSPF デフォルト メトリック値を指定します。有効な値の範囲は 0 ~ 16777214 です。

metric-type { 1 | 2 }

(オプション)デフォルト ルートの OSPF メトリック タイプ。有効な値は次のとおりです。

1 :タイプ 1

2 :タイプ 2

デフォルト値は 2 です。

no-redistribution

(オプション)ルータが NSSA ABR である場合に、 redistribute コマンドで通常エリアだけにルートをインポートし、NSSA エリアにはインポートしないときに使用します。

no-summary

(オプション)エリアを、サマリー ルートが投入されない準スタブ エリアにします。

 
デフォルト

デフォルトは次のとおりです。

NSSA エリアは定義されていません。

metric-type は 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

あるオプションをエリアに設定した後、別のオプションを指定すると、両方のオプションが設定されます。たとえば、次の 2 つのコマンドを別々に入力すると、コンフィギュレーション内では、両方のオプションが設定された 1 つのコマンドになります。

area 1 nssa no-redistribution
area area_id nssa default-information-originate
 

次の例は、2 つのオプションを別々に設定すると、コンフィギュレーション内でどのように 1 つのコマンドになるかを示しています。

hostname(config-router)# area 1 nssa no-redistribution
hostname(config-router)# area 1 nssa default-information-originate
hostname(config-router)# exit
hostname(config-router)# show running-config router ospf 1
router ospf 1
area 1 nssa no-redistribution default-information-originate
 

 
関連コマンド

コマンド
説明

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area range

エリアの境界でルートを統合および集約するには、ルータ コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id range address mask [ advertise | not-advertise ]

no area area_id range address mask [ advertise | not-advertise ]

 
シンタックスの説明

address

サブネット範囲の IP アドレス。

advertise

(オプション)アドレス範囲ステータスを advertise に設定し、タイプ 3 要約リンクステート アドバタイズメント(LSA)を生成します。

area_id

範囲を設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

mask

IP アドレスのサブネット マスク。

not-advertise

(オプション)アドレス範囲ステータスを DoNotAdvertise に設定します。タイプ 3 要約 LSA の表示が抑止され、コンポーネント ネットワークは他のネットワークからは見えないままになります。

 
デフォルト

アドレス範囲ステータスは advertise に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

area range コマンドは、ABR だけで使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つのサマリー ルートが ABR によって他のエリアにアドバタイズされます。エリアの境界でルーティング情報が凝縮されます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は、「経路集約」と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。この設定により、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。

no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードだけを削除します。

次の例は、ネットワーク 10.0.0.0 上のすべてのサブネット対する 1 つのサマリー ルート、およびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つのサマリー ルートが、ABR によって他のエリアにアドバタイズされるよう指定しています。

hostname(config-router)# area 10.0.0.0 range 10.0.0.0 255.0.0.0
hostname(config-router)# area 0 range 192.168.110.0 255.255.255.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area stub

エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリア機能を削除するには、このコマンドの no 形式を使用します。

area area_id [ no-summary ]

no area area_id [ no-summary ]

 
シンタックスの説明

area_id

スタブ エリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

no-summary

ABR がサマリー リンク アドバタイズメントをスタブ エリアに送信しないようにします。

 
デフォルト

デフォルトの動作は次のとおりです。

スタブ エリアが定義されていません。

サマリー リンク アドバタイズメントがスタブ エリアに送信されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドは、スタブまたは NSSA に接続されている ABR だけで使用できます。

area stub と area default-cost という 2 つのスタブ エリア ルータ コンフィギュレーション コマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続されている ABR だけで area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成されるサマリー デフォルト ルートのメトリックをスタブ エリアに提供します。

次の例では、指定したエリアをスタブ エリアとして設定しています。

hostname(config-router)# area 1 stub
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area default-cost

スタブまたは NSSA に送信されるデフォルト サマリー ルートのコストを指定します。

area nssa

エリアを準スタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードに入ります。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area virtual-link

OSPF 仮想リンクを定義するには、ルータ コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットする、または仮想リンクを削除するには、このコマンドの no 形式を使用します。

area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]

no area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]

 
シンタックスの説明

area_id

仮想リンクの中継エリアのエリア ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。

authentication

(オプション)認証タイプを指定します。

authentication-key key

(オプション)隣接ルーティング デバイスで使用するための OSPF 認証パスワードを指定します。

dead-interval seconds

(オプション)hello パケットを 1 つも受信しない場合に、隣接ルーティング デバイスがダウンしたことを宣言する前の間隔を設定します。有効な値は 1 ~ 65535 秒です。

hello-interval seconds

(オプション)インターフェイス上で送信される hello パケット間の間隔を指定します。有効な値は 1 ~ 65535 秒です。

md5 key

(オプション)最大 16 バイトの英数字によるキーを指定します。

message-digest

(オプション)メッセージ ダイジェスト認証を使用することを指定します。

message-digest-key key_id

(オプション)Message Digest 5(MD5)認証をイネーブルにし、認証キー ID 番号を指定します。有効な値は 1 ~ 255 です。

null

(オプション)認証を使用しないことを指定します。パスワードまたはメッセージ ダイジェスト認証は、OSPF エリアに設定されていれば上書きされます。

retransmit-interval seconds

(オプション)インターフェイスに属する隣接ルータの LSA 再送間隔を指定します。有効な値は 1 ~ 65535 秒です。

router_id

仮想リンク ネイバーに関連付けられているルータ ID。ルータ ID は各ルータによって内部でインターフェイス IP アドレスから生成されます。この値は、IP アドレスの形式で入力する必要があります。デフォルトはありません。

transmit-delay seconds

OSPF によるトポロジ変更の受信と最短パス優先(SPF)計算の開始との間の遅延時間(0 ~ 65535 秒)を指定します。デフォルトは 5 秒です。

 
デフォルト

デフォルトは次のとおりです。

area_id :エリア ID は事前に定義されていません。

router_id :ルータ ID は事前に定義されていません。

hello-interval seconds :10 秒。

retransmit-interval seconds :5 秒。

transmit-delay seconds :1 秒。

dead-interval seconds :40 秒。

authentication-key key :キーは事前に定義されていません。

message-digest-key key_id md5 key :キーは事前に定義されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合、仮想リンクを確立することで接続を修復できます。

hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。

再送間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。

指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にだけ使用されます。

簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらかを指定するか、または両方とも指定しないでください。Any keywords and arguments you specify after authentication-key key または message-digest-key key_id md5 key の後に指定したキーワードと引数はすべて無視されます。したがって、オプションの引数はすべて、上記のキーワードと引数の組み合せの前に指定します。

インターフェイスに認証タイプが指定されていない場合、インターフェイスはエリアに指定されている認証タイプを使用します。エリアに認証タイプが指定されていない場合、エリアのデフォルトは null 認証です。


) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。


仮想リンクからオプションを削除するには、削除するオプションを付けて、このコマンドの no 形式を使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。

次の例では、MD5 認証の仮想リンクを確立しています。

hostname(config-router)# area 10.0.0.0 virtual-link 10.3.4.5 message-digest-key 3 md5 sa5721bk47
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

router ospf

ルータ コンフィギュレーション モードに入ります。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

arp

ARP テーブルにスタティック ARP エントリを追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。スタティック ARP エントリは MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトしないため、ネットワーク問題の解決に役立つことがあります。透過ファイアウォール モードでは、ARP 検査でスタティック ARP テーブルが使用されます( arp-inspection コマンドを参照)。

arp interface_name ip_address mac_address [ alias ]

no arp interface_name ip_address mac_address

 
シンタックスの説明

alias

(オプション)このマッピングに対してプロキシ ARP をイネーブルにします。セキュリティ アプライアンスは、このコマンドで指定された IP アドレスに対する ARP 要求を受信すると、セキュリティ アプライアンスの MAC アドレスで応答します。その後、その IP アドレスを持つホスト宛てのトラフィックを受信すると、セキュリティ アプライアンスはこのコマンドで指定されたホスト MAC アドレスにそのトラフィックを転送します。このキーワードは、たとえば、ARP を実行しないデバイスがある場合に役立ちます。

透過ファイアウォール モードの場合、このキーワードは無視され、セキュリティ アプライアンスはプロキシ ARP を実行しません。

interface_name

ホスト ネットワークに接続されているインターフェイス。

ip_address

ホストの IP アドレス。

mac_address

ホストの MAC アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

ホストは IP アドレスによってパケットの宛先を指定しますが、イーサネット上での実際のパケット配信は、イーサネット MAC アドレスに依存しています。ルータまたはホストは、直接接続されているネットワーク上でパケットを配信する場合、IP アドレスに関連付けられている MAC アドレスを要求する ARP 要求を送信してから、その ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータは ARP テーブルを保持しているため、配信する必要のあるパケットごとに ARP 要求を送信する必要がありません。ARP テーブルは、ネットワーク上で ARP 応答が送信されるたびにダイナミックにアップデートされます。また、一定期間使用されなかったエントリは、タイムアウトになります。エントリが間違っている場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合)、アップデートされる前にそのエントリがタイムアウトになります。


) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。


次の例では、外部インターフェイス上で、10.1.1.1 のスタティック ARP エントリを MAC アドレス 0009.7cbe.2100 で作成しています。

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
 

 
関連コマンド

コマンド
説明

arp timeout

セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定します。

arp-inspection

透過ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp timeout

セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。ARP テーブルを再構築すると、自動的に、新しいホスト情報にアップデートされ、古いホスト情報が削除されます。ホスト情報が頻繁に変更されるため、タイムアウト値を小さくする必要がある場合もあります。

arp timeout seconds

no arp timeout seconds

 
シンタックスの説明

seconds

ARP テーブルを再構築する間隔の秒数(60 ~ 4294967)。

 
デフォルト

デフォルト値は 14,400 秒(4 時間)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、ARP タイムアウトを 5,000 秒に変更します。

hostname(config)# arp timeout 5000
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

透過ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp timeout

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp-inspection

透過ファイアウォール モードで ARP 検査をイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP 検査をディセーブルにするには、このコマンドの no 形式を使用します。ARP 検査では、すべての ARP パケットがスタティック ARP エントリ( arp コマンドを参照)と比較され、一致しないパケットがブロックされます。この機能により、ARP スプーフィングを防止できます。

arp-inspection interface_name enable [ flood | no-flood ]

no arp-inspection interface_name enable

 
シンタックスの説明

enable

ARP 検査をイネーブルにします。

flood

(デフォルト)スタティック ARP エントリのどの要素とも一致しないパケットが、発信元インターフェイスを除くすべてのインターフェイスにフラッドされるように指定します。MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。

(注) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。

interface_name

ARP 検査をイネーブルにするインターフェイス。

no-flood

(オプション)スタティック ARP エントリに正確に一致しないパケットがドロップされるように指定します。

 
デフォルト

デフォルトでは、すべてのインターフェイスで ARP 検査がディセーブルになっています。すべての ARP パケットがセキュリティ アプライアンスを通過できます。ARP 検査をイネーブルにすると、デフォルトでは、まったく一致しない ARP パケットがフラッドされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ARP 検査をイネーブルにするには、事前に arp コマンドを使用してスタティック ARP エントリを設定しておく必要があります。

ARP 検査をイネーブルにすると、セキュリティ アプライアンスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較して、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致した場合、パケットを通過させます。

MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。

ARP パケットのエントリがスタティック ARP テーブル内のどのエントリとも一致しなかった場合、パケットをすべてのインターフェイスに転送(フラッド)するように、またはドロップするように、セキュリティ アプライアンスを設定できます。


) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。


ARP 検査により、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィングと呼ばれる)を防止できます。ARP スプーフィングが行われれば、「中間者」攻撃も可能になります。たとえば、ホストがゲートウェイ ルータに ARP 要求を送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ところが、攻撃者はホストに、ルータの MAC アドレスではなく、攻撃者の MAC アドレスを含む別の ARP 応答を送信します。これで、攻撃者は、ルータに転送する前に、ホストのトラフィックをすべて代行受信できるようになります。

ARP 検査により、正しい MAC アドレスと、それに関連付けられている IP アドレスがスタティック ARP テーブル内にある限り、攻撃者が攻撃者の MAC アドレスで ARP 応答を送信できないことが保証されます。


) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。


次の例では、外部インターフェイス上で ARP 検査をイネーブルにし、スタティック ARP エントリに一致しないすべての ARP パケットをドロップするようセキュリティ アプライアンスを設定しています。

hostname(config)# arp outside 209.165.200.225 0009.7cbe.2100
hostname(config)# arp-inspection outside enable no-flood
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

clear configure arp-inspection

ARP 検査のコンフィギュレーションを消去します。

firewall transparent

ファイアウォール モードを透過に設定します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

asdm disconnect

アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。

asdm disconnect session

 
シンタックスの説明

session

終了させるアクティブな ASDM セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm sessions コマンドを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

pdm disconnect コマンドが asdm disconnect コマンドに変更されました。

 
使用上のガイドライン

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。

ASDM セッションを終了しても、残りのアクティブな ASDM セッションはすべて、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM セッションにセッション ID 1 が割り当てられ、その後の新しいセッションには、セッション ID 3 から順番に ID が割り当てられます。

次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect コマンドの入力前後に、 show asdm sessions コマンドで、アクティブな ASDM セッションを表示しています。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm sessions

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示します。

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。

asdm disconnect log_session session

 
シンタックスの説明

session

終了させるアクティブな ASDM ロギング セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm log_sessions コマンドを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。

アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、このロギング セッションを使用してセキュリティ アプライアンスから syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶことがあります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。


) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessionsshow asdm log_sessions の出力は同じ内容になることもあります。


ASDM ロギング セッションを終了しても、残りのアクティブな ASDM ロギング セッションはすべて、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM ロギング セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM ロギング セッションにセッション ID 1 が割り当てられ、その後の新しいロギング セッションには、セッション ID 3 から順番に ID が割り当てられます。

次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect log_sessions コマンドの入力前後に、 show asdm log_sessions コマンドで、アクティブな ASDM セッションを表示しています。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm log_sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm log_sessions

アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示します。

asdm group


注意 このコマンドを手動で設定しないでください。asdm group コマンドは ASDM によって実行コンフィギュレーションに追加され、内部用に使用されます。このコマンドは、情報提供のためだけにこのマニュアルに記載されています。

asdm group real_grp_name real_if_name

asdm group ref_grp_name ref_if_name reference real_grp_name

 
シンタックスの説明

real_grp_name

ASDM オブジェクト グループの名前。

real_if_name

指定のオブジェクト グループが関連付けられているインターフェイスの名前。

ref_grp_name

real_grp_name 引数で指定されたオブジェクト グループの変換された IP アドレスを含むオブジェクト グループの名前。

ref_if_name

着信トラフィックの宛先 IP アドレスが変換される元となるインターフェイスの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

pdm group コマンドが asdm group コマンドに変更されました。

 
使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

asdm history enable

ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。

asdm history enable

no asdm history enable

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

7.0(1)

pdm history enable コマンドが asdm history enable コマンドに変更されました。

 
使用上のガイドライン

ASDM 履歴トラッキングをイネーブルにすることによって得られる情報は、ASDM 履歴バッファに格納されます。この情報を表示するには、 show asdm history コマンドを使用します。この履歴情報は、ASDM によってデバイス モニタリングに使用されます。

次の例では、ASDM 履歴トラッキングをイネーブルにしています。

hostname(config)# asdm history enable
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm history

ASDM 履歴バッファの内容を表示します。

asdm image

フラッシュ メモリ内の ASDM ソフトウェア イメージの場所を指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの場所の指定を削除するには、このコマンドの no 形式を使用します。

asdm image url

no asdm image [ url ]

 
シンタックスの説明

url

フラッシュ メモリ内の ASDM イメージの場所を設定します。次の URL シンタックスを参照してください。

disk0:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は内部フラッシュ メモリを指します。 disk0 ではなく flash を使用することもできます。これらは、エイリアス関係にあります。

disk1:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は外部フラッシュ メモリ カードを指します。

flash:/ [ path / ] filename

この URL は内部フラッシュ メモリを指します。

 
デフォルト

このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内蔵フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

フラッシュ メモリに複数の ASDM ソフトウェア イメージを格納できます。アクティブな ASDM セッションのある間に、 asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定しても、アクティブなセッションは中断しません。アクティブな ASDM セッションは、セッションを開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、セキュリティ アプライアンスから ASDM にアクセスできます。

このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内蔵フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。必ず write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しておかないと、再起動するたびにセキュリティ アプライアンスが ASDM イメージを探し、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用している場合は、起動時にこのコマンドが自動的に追加され、セキュリティ アプライアンスにあるコンフィギュレーションが Auto Update Server にあるコンフィギュレーションと一致しなくなります。そのため、セキュリティ アプライアンスは Auto Update Server からコンフィギュレーションをダウンロードします。この不必要な動作を防ぐには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存しておきます。

次の例では、ASDM イメージを asdm.bin に設定しています。

hostname(config)# asdm image flash:/asdm.bin
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm image

現在の ASDM イメージ ファイルを表示します。

boot

ソフトウェア イメージ ファイルとスタートアップ コンフィギュレーション ファイルを設定します。

asdm location


注意 このコマンドを手動で設定しないでください。asdm location コマンドは ASDM によって実行コンフィギュレーションに追加され、内部通信に使用されます。このコマンドは、情報提供のためだけにこのマニュアルに記載されています。

asdm location ip_addr netmask if_name

asdm location ipv6_addr / prefix if_name

 
シンタックスの説明

ip_addr

ネットワーク トポロジを定義するために ASDM によって内部で使用される IP アドレス。

netmask

ip_addr のサブネット マスク。

if_name

ASDM にアクセスするときに通過するインターフェイスの名前。

ipv6_addr / prefix

ネットワーク トポロジを定義するために ASDM によって内部で使用される IPv6 アドレスおよびプレフィックス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

pdm location コマンドが asdm location コマンドに変更されました。

 
使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

asr-group

非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。この ID を削除するには、このコマンドの no 形式を使用します。

asr-group group_id

no asr-group group_id

 
シンタックスの説明

group_id

非対称ルーティング グループ ID。有効な値は 1 ~ 32 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

Active/Active フェールオーバーがイネーブルである場合、ロード バランシングのために、発信接続のリターン トラフィックがピア装置上のアクティブなコンテキストを介してルーティングされることがあります。このピア装置上で、発信接続のコンテキストはスタンバイ グループ内にあります。

asr-group コマンドでは、着信インターフェイスによるフローが見つからない場合、同じ asr グループのインターフェイスで着信パケットが再分類されます。再分類により、別のインターフェイスによるフローが見つかり、関連付けられているコンテキストがスタンバイ状態である場合、パケットは処理のためにアクティブ装置に転送されます。

このコマンドを有効にするには、ステートフル フェールオーバーがイネーブルである必要があります。

ASR 統計情報を表示するには、 show interface detail コマンドを使用します。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれています。

次の例では、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てています。

コンテキスト ctx1 のコンフィギュレーション

hostname/ctx1(config)# interface Ethernet2
hostname/ctx1(config-if)# nameif outside
hostname/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
hostname/ctx1(config-if)# asr-group 1
 

コンテキスト ctx2 のコンフィギュレーション

hostname/ctx2(config)# interface Ethernet3
hostname/ctx2(config-if)# nameif outside
hostname/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
hostname/ctx2(config-if)# asr-group 1
 

 
関連コマンド

コマンド
説明

interface

インターフェイス コンフィギュレーション モードに入ります。

show interface

インターフェイス統計情報を表示します。

assertion-consumer-url

セキュリティ デバイスがアサーション コンシューマ サービスへの連携のためにアクセスする URL を識別するには、webvpn コンフィギュレーション モードで、その特定の SAML タイプの SSO サーバに対して assertion-consumer-url コマンドを使用します。

URL をアサーションから削除するには、このコマンドの no 形式を使用します。

assertion-consumer-url url

no assertion-consumer-url [ url ]

 
シンタックスの説明

url

SAML タイプの SSO サーバが使用するアサーション コンシューマ サービスの URL を指定します。URL は http:// または https: で開始し、長さは 255 文字未満の英数字である必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

URL が HTTPS で始まる場合は、アサーション コンシューマ サービスの SSL 証明書に対するルート証明書のインストールが必要です。

次の例では、SAML タイプの SSO サーバのアサーション コンシューマ URL を指定しています。

hostname(config-webvpn)# sso server myhostname type saml-v1.1-post
hostname(config-webvpn-sso-saml# assertion-consumer-url https://saml-server/postconsumer
hostname(config-webvpn-sso-saml#

 
関連コマンド

コマンド
説明

issuer

SAML タイプの SSO サーバ セキュリティ デバイス名を指定します。

request-timeout

失敗した SSO 認証試行がタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されている全 SSO サーバの動作統計情報を表示します。

sso-server

WebVPN シングル サインオン サーバを作成します。

trustpoint

SAML タイプのブラウザ アサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

attribute

セキュリティ アプライアンスが DAP アトリビュート データベースに書き込むアトリビュート値のペアを指定するには、DAP テスト アトリビュート モードで attribute コマンドを入力します。複数のアトリビュート値のペアを入力するには、このコマンドを複数回使用します。

attribute name value

 
シンタックスの説明

name

既知のアトリビュート名、または「label」タグを含むアトリビュートを指定します。label タグは、DAP レコード内のファイル、レジストリ、プロセス、ウイルス対策、スパイウェア対策、パーソナル ファイアウォールのエンドポイント アトリビュート用に設定したエンドポイント ID に対応します。

value

AAA アトリビュートに割り当てられた値。

 
コマンドのデフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

DAP アトリビュート コンフィギュレーション モード

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

通常、セキュリティ アプライアンスはユーザ認可アトリビュートを AAA サーバから取得し、エンドポイント アトリビュートを Cisco Secure Desktop、Host Scan、CNA、または NAC から取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートとエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。

次の例では、認証されたユーザが SAP グループのメンバーであり、ウイルス対策ソフトウェアがエンドポイント システムにインストールされている場合に、セキュリティ アプライアンスが 2 つの DAP レコードを選択することを前提としています。ウイルス対策ソフトウェアのエンドポイント規則のエンドポイント ID は nav です。

DAP レコードには次のポリシー アトリビュートがあります。

 

DAP レコード 1
DAP レコード 2

action = continue

action = continue

port-forward = enable hostlist1

url-list = links2

url-entry = enable

hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)# attribute aaa.ldap.memberof SAP
hostname(config-dap-test-attr)# attribute endpoint.av.nav.exists true
hostname(config-dap-test-attr)# exit
 
hostname # test dynamic-access-policy execute
Policy Attributes:
action = continue
port-forward = enable hostlist1
url-list = links2
url-entry = enable
 
hostname #

 
関連コマンドl

コマンド
説明

display

現在のアトリビュート リストを表示します。

dynamic-access-policy-record

DAP レコードを作成します。

test dynamic-access-policy attributes

アトリビュート サブモードに入ります。

test dynamic-access-policy execute

DAP を生成するロジックを実行し、生成されたアクセス ポリシーをコンソールに表示します。

auth-cookie-name

認証クッキーの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで auth-cookie-name コマンドを使用します。これは HTTP Forms コマンドを使用した SSO です。

auth-cookie-name

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

name

認証クッキーの名前。最大長は 128 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用してシングル サインオン認証要求を SSO サーバに送信します。認証が成功した場合、認証 Web サーバは、クライアント ブラウザに認証クッキーを返します。クライアント ブラウザは、その認証クッキーを提示することで、SSO ドメイン内の他の Web サーバに対して認証を行います。 auth-cookie-name コマンドは、セキュリティ アプライアンスによって SSO で使用される認証クッキーの名前を設定します。

一般的な認証クッキーの形式は、Set-Cookie: <クッキー名>=<クッキー値> [;<クッキー アトリビュート>] です。次の認証クッキーの例では、SMSESSION が auth-cookie-name コマンドで設定される名前です。

Set-Cookie:
SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZPbHIHtWLDKTa8ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o88uHa2t4l+SillqfJvcpuXfiIAO06D/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;Path=/

次の例では、example.com という名前の Web サーバから受信した認証クッキーの認証クッキー名として SMSESSION を指定しています。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# auth-cookie-name SMSESSION
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名とパスワードを受信する Web サーバ URI を指定します。

hidden-parameter

認証 Web サーバとの交換に使用する非表示パラメータを作成します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

start-url

事前ログイン クッキーの取得先 URL を指定します。

user-parameter

SSO 認証で使用される HTTP POST 要求の一部としてユーザ名パラメータが送信される必要があることを指定します。

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
シンタックスの説明

interface-name

接続の確立に使用するインターフェイスの名前。次のインターフェイス名を使用できます。

inside インターフェイス GigabitEthernet0/1 の名前

outside インターフェイス GigabitEthernet0/0 の名前

 
デフォルト

authentication-certificate コマンドを省略した場合、クライアント証明書の認証はディセーブルになります。

authentication-certificate コマンドで interface-name を指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを有効にするには、対応するインターフェイスで WebVPN がすでにイネーブルになっている必要があります。インターフェイスは、 interface IP address 、および nameif コマンドで設定および指定されます。

このコマンドは、WebVPN クライアント接続にだけ適用されます。ただし、 http authentication-certificate コマンドを使用して 管理 接続のためのクライアント証明書の認証を指定する機能は、WebVPN をサポートしていないプラットフォームも含めたすべてのプラットフォームで使用できます。

セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルになっていない。

セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルになっているが、AAA 認証はイネーブルになっていない。

セキュリティ アプライアンスはクライアントをローカル CA 用の証明書登録ページにリダイレクトし、証明書を取得します。

ローカル CA と AAA 認証のどちらもイネーブルになっている。

クライアントは AAA 認証ページにリダイレクトされます。また、クライアントはローカル CA 用の登録ページにリンクと共に表示されます(そのように設定されている場合)。

次の例では、外部インターフェイスの WebVPN ユーザ接続用の証明書認証を設定しています。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

authentication (tunnel-group webvpn configuration mode)

トンネル グループのメンバーが認証のためデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

セキュリティ アプライアンスへの ASDM 管理接続の証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

設定されている SSL コマンドの現在のセットを表示します。

ssl trust-point

ssl 証明書のトラストポイントを設定します。

 

authentication-exclude

エンドユーザがクライアントレス SSL VPN にログインせずに、設定されたリンクを参照できるようにするには、webvpn モードで authentication-exclude コマンドを入力します。複数サイトへのアクセスを許可するには、このコマンドを複数回使用します。

authentication-exclude url-fnmatch

 
シンタックスの説明

url-fnmatch

クライアントレス SSL VPN へのログイン要件を免除されるリンクを示します。

 
コマンドのデフォルト

ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

この機能は、一部の内部リソースを SSL VPN 経由で公開使用できるようにする場合に便利です。

リンクに関する情報は、SSL VPN をマングリングした形式でエンド ユーザに配布する必要があります。たとえば、SSL VPN を使用してこれらのリソースを参照し、配布するリンク情報に結果の URL をコピーします。

次の例は、2 つのサイトに認証要件を免除する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-exclude http://www.site.com/public/*
hostname(config-webvpn)#authentication-exclude *announcement.html

hostname(config-webvpn)# hostname #

authentication

WebVPN および電子メール プロキシの認証方式を設定するには、各モードで authentication コマンドを使用します。デフォルトの方法に戻すには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。

authentication {[ aaa ] [ certificate ] [ mailhost ] [ piggyback] }

no authentication [ aaa ] [ certificate ] [ mailhost ] [ piggyback]

 
シンタックスの説明

aaa

セキュリティ アプライアンスが設定済み AAA サーバに対してチェックするユーザ名とパスワードを提供します。

certificate

SSL ネゴシエーション中に証明書を提供します。

mailhost

リモート メール サーバを介した認証。SMTPS の場合のみ。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。

piggyback

HTTPS WebVPN セッションがすでに存在する必要があります。ピギーバック認証は、電子メール プロキシだけで使用できます。

 
デフォルト

次の表は、WebVPN および電子メール プロキシのデフォルトの認証方式を示しています。

 

プロトコル
デフォルトの認証方式

IMAP4S

メールホスト(必須)

POP3S

メールホスト(必須)

SMTPS

AAA

WebVPN

AAA

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

SMTPS コンフィギュレーション

--

--

--

WebVPN コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、WebVPN 用のトンネル グループ webvpn アトリビュート コンフィギュレーション モードに置き換えられました。

8.0(2)

このコマンドは、証明書認証要件への変更を反映して変更されました。

 
使用上のガイドライン

認証方式は、少なくとも 1 つ必要です。たとえば、WebVPN の場合、AAA 認証と証明書認証のいずれか一方または両方を指定できます。これらは、どちらを先に指定してもかまいません。

WebVPN 証明書認証では、HTTPS ユーザ証明書を各インターフェイスに求める必要があります。つまり、この選択が機能するためには、証明書認証を指定する前に、 authentication-certificate コマンドでインターフェイスを指定しておく必要があります。

このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート コンフィギュレーション モードの同等のコマンドに変換されます。

WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。その場合、ユーザは証明書およびユーザ名とパスワードを提供する必要があります。電子メール プロキシ認証の場合、複数の認証方式を要求できます。このコマンドを再び指定すると、現在のコンフィギュレーションが上書きされます。

次の例は、認証時に WebVPN ユーザが証明書を提示することを必須にする方法を示したものです。

hostname(config)# webvpn
hostname(config-webvpn)# authentication certificate

 
関連コマンド

コマンド
説明

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求します。

show running-config

現在のトンネル グループ コンフィギュレーションを表示します。

clear configure aaa

設定済みの AAA の値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

authentication eap-proxy

L2TP over IPSec 接続で EAP をイネーブルにし、セキュリティ アプライアンスの PPP の認証プロセスを外部の RADIUS 認証サーバに代理させるには、トンネル グループの ppp アトリビュート コンフィギュレーション モードで authentication eap-proxy コマンドを使用します。コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

authentication eap-proxy

no authentication eap-proxy

 
シンタックスの説明

このコマンドには、キーワードも引数もありません。

 
デフォルト

デフォルトでは、EAP は認証プロトコルとして許可されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

次のコマンドは、config-ppp コンフィギュレーション モードで入力しています。この例では、pppremotegrp というトンネル グループの PPP 接続の EAP による認証を許可しています。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication eap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication key eigrp

EIGRP パケットの認証をイネーブルにし、認証キーを指定するには、インターフェイス コンフィギュレーション モードで authentication key eigrp コマンドを使用します。EIGRP 認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication key eigrp as-number key key-id key-id

no authentication key eigrp as-number

 
シンタックスの説明

as-number

認証される EIGRP プロセスの自律システム番号。EIGRP ルーティング プロセスに設定されている値を同じにする必要があります。

key

EIGRP アップデートを認証するキー。このキーの最大長は 16 文字です。

key-id key-id

キー ID 値。有効な値の範囲は 1 ~ 255 です。

 
デフォルト

EIGRP 認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp コマンドと authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定されている authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次の例は、インターフェイス GigabitEthernet0/3 に設定されている EIGRP 認証を表示しています。

hostname(config)# interface Gigabit0/3
hostname(config-if)# authentication mode eigrp md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定します。

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定するには、インターフェイス コンフィギュレーション モードで authentication mode eigrp コマンドを使用します。デフォルトの認証方法に戻すには、このコマンドの no 形式を使用します。

authentication mode eigrp as-num md5

no authentication mode eigrp as-num md5

 
シンタックスの説明

as-num

EIGRP ルーティング プロセスの自律システム番号。

md5

EIGRP メッセージ認証に MD5 を使用します。

 
デフォルト

デフォルトでは認証は提供されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp コマンドと authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定されている authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次の例は、インターフェイス GigabitEthernet0/3 に設定されている EIGRP 認証を表示しています。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# authentication mode eigrp 100 md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

authentication key eigrp

EIGRP パケットの認証をイネーブルにし、認証キーを指定します。

authentication ms-chap-v1

IPSec 接続を使用した L2TP において、PPP の Microsoft CHAP バージョン 1 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。

コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

Microsoft CHAP バージョン 1 をディセーブルにするには、このコマンドの no 形式を使用します。

authentication ms-chap-v1

no authentication ms-chap-v1

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

authentication ms-chap-v2

IPSec 接続を使用した L2TP において、PPP の Microsoft CHAP バージョン 2 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。

コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

Microsoft CHAP バージョン 2 をディセーブルにするには、このコマンドの no 形式を使用します。

authentication ms-chap-v2

no authentication ms-chap-v2

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

authentication pap

L2TP over IPSec 接続で PPP の PAP による認証を許可するには、トンネル グループの ppp アトリビュート コンフィギュレーション モードで authentication pap コマンドを使用します。このプロトコルは、認証中にクリアテキストのユーザ名とパスワードを渡すので安全ではありません。

コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

authentication pap

no authentication pap

 
シンタックスの説明

このコマンドには、キーワードも引数もありません。

 
デフォルト

デフォルトでは、PAP は認証プロトコルとして許可されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

次のコマンドは、config-ppp コンフィギュレーション モードで入力しています。この例では、pppremotegrps というトンネル グループの PPP 接続の PAP による認証を許可しています。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication pap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
シンタックスの説明

interface-name

接続の確立に使用するインターフェイスの名前。次のインターフェイス名を使用できます。

inside インターフェイス GigabitEthernet0/1 の名前

outside インターフェイス GigabitEthernet0/0 の名前

 
デフォルト

authentication-certificate コマンドを省略した場合、クライアント証明書の認証はディセーブルになります。

authentication-certificate コマンドで interface-name を指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを有効にするには、対応するインターフェイスで WebVPN がすでにイネーブルになっている必要があります。インターフェイスは、 interface IP address 、および nameif コマンドで設定および指定されます。

このコマンドは、WebVPN クライアント接続にだけ適用されます。ただし、 http authentication-certificate コマンドを使用して 管理 接続のためのクライアント証明書の認証を指定する機能は、WebVPN をサポートしていないプラットフォームも含めたすべてのプラットフォームで使用できます。

セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルになっていない。

セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルになっているが、AAA 認証はイネーブルになっていない。

セキュリティ アプライアンスはクライアントをローカル CA 用の証明書登録ページにリダイレクトし、証明書を取得します。

ローカル CA と AAA 認証のどちらもイネーブルになっている。

クライアントは AAA 認証ページにリダイレクトされます。また、クライアントはローカル CA 用の登録ページにリンクと共に表示されます(そのように設定されている場合)。

次の例では、外部インターフェイスの WebVPN ユーザ接続用の証明書認証を設定しています。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

authentication (tunnel-group webvpn configuration mode)

トンネル グループのメンバーが認証のためデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

セキュリティ アプライアンスへの ASDM 管理接続の証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

設定されている SSL コマンドの現在のセットを表示します。

ssl trust-point

ssl 証明書のトラストポイントを設定します。

 

authentication-port

特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、認証機能の割り当て先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定するものです。

authentication-port port

no authentication-port

 
シンタックスの説明

port

RADIUS 認証用のポート番号(1 ~ 65535)。

 
デフォルト

デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS 認証のデフォルト ポート番号(1645)が使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとにサーバ ポートを指定できるようになりました。

 
使用上のガイドライン

RADIUS 認証サーバが 1645 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、セキュリティ アプライアンスに適切なポートを設定する必要があります。

このコマンドは、RADIUS に設定されているサーバ グループに限り有効です。

次の例では、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入ります。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。

clear configure aaa-server

すべての AAA コマンド文をコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

authentication-server-group(imap4s、pop3s、smtps)

電子メール プロキシに使用する認証サーバ グループを指定するには、各モードで authentication-server-group コマンドを使用します。コンフィギュレーションから認証サーバを削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。

authentication-server-group group_tag

no authentication-server-group

 
シンタックスの説明

group_tag

設定済みの認証サーバまたはサーバ グループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認証サーバは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

AAA 認証を設定する場合は、このアトリビュートも設定する必要があります。設定しないと、認証が必ず失敗します。

次の例は、「IMAP4SSVRS」という名前の認証サーバ グループを使用するように IMAP4S 電子メール プロキシを設定する方法を示しています。

hostname(config)# imap4s
hostname(config-imap4s)# authentication-server-group IMAP4SSVRS

 
関連コマンド

コマンド
説明

aaa-server host

認証、認可、アカウンティング サーバを設定します。

authentication-server-group(トンネル グループ一般アトリビュート)

トンネル グループのユーザ認証に使用する AAA サーバ グループを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで authentication-server-group コマンドを使用します。このアトリビュートをデフォルトに戻すには、このコマンドの no 形式を使用します。

authentication-server-group [( interface_name )] server_group [ LOCAL | NONE ]

no authentication-server-group [( interface_name )] server_group

 
シンタックスの説明

interface_name

(オプション)IPSec トンネルの終点となるインターフェイスを指定します。

LOCAL

(オプション)通信障害によってサーバ グループにあるすべてのサーバがアクティブでなくなった場合に、ローカル ユーザ データベースに対する認証を要求します。サーバ グループの名前が LOCAL NONE の場合は、ここで LOCAL キーワードを使用しないでください。

NONE

(オプション)サーバ グループの名前を NONE と指定し、認証が必要でないことを示します。

server_group

設定済みの認証サーバまたはサーバ グループを指定します。

 
デフォルト

このコマンドのサーバ グループのデフォルト設定は、 LOCAL です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

8.0(2)

インターフェイス単位で IPSec 接続の認証を行えるように機能が拡張されました。

 
使用上のガイドライン

すべてのトンネル グループ タイプにこのアトリビュートを適用できます。

認証サーバを設定するには、 aaa-server コマンドを使用します。また、設定済みの AAA サーバ グループにサーバを追加するには、 aaa-server-host コマンドを使用します。

次のコマンドは、config-general コンフィギュレーション モードで入力しています。この例では、remotegrp という IPSec リモートアクセス トンネル グループ用に aaa-server456 という認証サーバ グループを設定しています。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authentication-server-group aaa-server456
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成し、グループ固有および全グループ ホスト共通の AAA サーバ パラメータを設定します。

aaa-server host

設定済みの AAA サーバ グループにサーバを追加し、ホスト固有の AAA サーバ パラメータを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

au thorization-dn-attributes

認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定するには、各コンフィギュレーション モードで authorization-dn-attributes コマンドを使用します。このアトリビュートをコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。

authorization-dn-attributes { primary-attr [ secondary-attr ] | use-entire-name }

no authorization-dn-attributes

 
シンタックスの説明

primary-attr

証明書から認可クエリー用の名前を生成するときに使用するアトリビュートを指定します。

secondary-attr

(オプション)デジタル証明書から認可クエリー用の名前を生成するときにプライマリ アトリビュートと共に使用する追加のアトリビュートを指定します。

use-entire-name

セキュリティ アプライアンスがサブジェクト DN(RFC1779)全体を使用して、デジタル証明書から認可クエリー用の名前を生成するように指定します。

 
デフォルト

プライマリ アトリビュートのデフォルト値は CN(Common Name; 通常名)です。

セカンダリ アトリビュートのデフォルト値は OU(Organization Unit; 組織ユニット)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

7.2(1)

imap4s、pop3、および smtps コンフィギュレーション モードが追加されました。

8.0(4)

このコマンドは廃止されました。

 
使用上のガイドライン

このコマンドはすでに廃止されています。代わりに username-from-certificate コマンドを使用します。

有効なプライマリ アトリビュートとセカンダリ アトリビュートには、次のようなものがあります。

 

アトリビュート
定義

CN

Common Name(通常名):個人、システムなどの名前。

OU

Organizational Unit(組織ユニット):組織(O)内のサブグループ。

O

Organization(組織):会社、団体、機関、連合などの名前。

L

Locality(地名):組織が置かれている市または町。

SP

State/Province(州または都道府県):組織が置かれている州または都道府県。

C

Country(国または地域):国または地域を示す 2 文字の短縮形。このコードは、ISO 3166 の国または地域の短縮形に準拠しています。

EA

E-mail address(電子メール アドレス)

T

Title(タイトル)

N

Name(名前)

GN

Given Name(名)

SN

Surname(姓)

I

Initials(イニシャル)

GENQ

Generational Qualifier(世代修飾子)

DNQ

Domain Name Qualifier(ドメイン名修飾子)

UID

User Identifier(ユーザ識別子)

UPN

User Principal Name(ユーザ プリンシパル名)

SER

Serial Number(シリアル番号)

use-entire-name

DN 名全体を使用

次の例では、グローバル コンフィギュレーション モードで、remotegrp という IPSec リモート アクセス トンネル グループを作成し、デジタル証明書から認可クエリー用の名前を生成するために CN(Common Name; 通常名)をプライマリ アトリビュートとして使用することを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-dn-attributes CN
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時にユーザ名として使用する証明書内のフィールドを指定します。

authorization-required

ユーザが接続前に必ず正常に認可されるようにするには、各モードで authorization-required コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authorization-required

no authorization-required

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトでは、authorization-required はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

7.2(1)

webvpn コンフィギュレーション モードが imap4s、pop3s、および smtps コンフィギュレーション モードで置き換えられました。

グローバル コンフィギュレーション モードに入る次の例では、remotegrp という名前のリモートアクセス トンネル グループを介して接続するユーザが、完全な DN に基づく認可を受けることを必須としています。最初のコマンドでは、remotegrp という名前のリモート グループのトンネル グループ タイプを ipsec_ra(IPSec リモートアクセス)に設定しています。2 番目のコマンドで、指定したトンネル グループのトンネル グループ一般アトリビュート コンフィギュレーション モードに入り、最後のコマンドで、指定したトンネル グループで認可が必要となるように指定しています。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

authorization-dn-attributes

認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定します。

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

authorization-server-group

WebVPN および電子メール プロキシで使用する認可サーバ グループを指定するには、各モードで authorization-server-group コマンドを使用します。コンフィギュレーションから認可サーバを削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、認可を使用して、ユーザがネットワーク リソースに対して許可されるアクセス レベルを確認します。

authorization-server-group group_tag

no authorization-server-group

 
シンタックスの説明

group_tag

設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認可サーバは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

 
使用上のガイドライン

このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。

VPN 認可が LOCAL と定義されている場合は、デフォルト グループ ポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。

次の例は、「POP3Spermit」という名前の認可サーバ グループを使用するように POP3S 電子メール プロキシを設定する方法を示しています。

hostname(config)# pop3s
hostname(config-pop3s)# authorization-server-group POP3Spermit
 

次の例では、config-general コンフィギュレーション モードで、「remotegrp」という名前の IPSec リモートアクセス トンネル グループに「aaa-server78」という名前の認可サーバ グループを設定しています。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-server-group aaa-server78
hostname(config-tunnel-general)#
 

 
関連コマンド

コマンド
説明

aaa-server host

認証、認可、アカウンティング サーバを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

authorization-server-group(トンネル グループ一般アトリビュート モード)

認可に使用する AAA サーバ グループを(必要であればインターフェイスも)指定するには、トンネル グループ一般アトリビュート モードで authorization-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。

authorization-server-group [( interface-id )] server_group

no authorization-server-group [( interface-id )]

 
シンタックスの説明

( interface-id )

(オプション)認可を実行するインターフェイスを指定します。このパラメータを指定する場合はカッコが必要です。

server_group

設定済みの認可サーバまたはサーバ グループの名前を指定します。

 
デフォルト

このコマンドのデフォルト設定は、 no authorization-server-group です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。このコマンドは現在、すべてのトンネル グループ アトリビュート タイプに使用できます。

7.2(2)

このコマンドは、インターフェイス単位で IPSec 接続の認可を行えるように拡張されています。

 
使用上のガイドライン

VPN 認可が LOCAL と定義されている場合は、デフォルト グループ ポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。

認可サーバ グループを設定するには、 aaa-server コマンドを使用します。また、設定済みの AAA サーバ グループにサーバを追加するには、 aaa-server-host コマンドを使用します。

次の例では、config-general コンフィギュレーション モードで、「remotegrp」という名前の IPSec リモートアクセス トンネル グループに「aaa-server78」という名前の認可サーバ グループを設定しています。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-server-group (outside) aaa-server78
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成し、グループ固有および全グループ ホスト共通の AAA サーバ パラメータを設定します。

aaa-server host

設定済みの AAA サーバ グループにサーバを追加し、ホスト固有の AAA サーバ パラメータを設定します。

clear configure aaa-server

AAA サーバのコンフィギュレーションをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

auth-prompt

セキュリティ アプライアンスを介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。

auth-prompt prompt [ prompt | accept | reject ] string

no auth-prompt prompt [ prompt | accept | reject ]

 
シンタックスの説明

accept

Telnet 経由のユーザ認証を受け入れる場合に、プロンプトとして string を表示します。

prompt

このキーワードの後に、AAA チャレンジ プロンプトの文字列を入力します。

reject

Telnet 経由のユーザ認証を拒否する場合に、プロンプトとして string を表示します。

string

235 文字または 31 単語(どちらか最初に達した方)までの英数字で構成される文字列。特殊文字、スペース、および句読点を使用できます。文字列を終了するには、疑問符を入力するか、Enter キーを押します。疑問符は文字列に含まれます。

 
デフォルト

認証プロンプトを指定しない場合は、次のようになります。

FTP ユーザには FTP authentication が表示される。

HTTP ユーザには HTTP Authentication が表示される。

Telnet ユーザにはチャレンジ テキストが表示されない。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

セマンティックの小さな変更。

 
使用上のガイドライン

auth-prompt コマンドを使用すると、TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要である場合に、セキュリティ アプライアンスを介した HTTP アクセス、FTP アクセス、および Telnet アクセスに対して表示される AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。

ユーザ認証が Telnet から発生する場合は、accept オプションと reject オプションを使用すると、認証試行が AAA サーバで受け入れられたか拒否されたかを示す異なるステータス プロンプトを表示できます。

AAA サーバがユーザを認証すると、セキュリティ アプライアンスはユーザに auth-prompt accept テキストを表示します(指定されている場合)。認証に失敗すると、reject テキストを表示します(指定されている場合)。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストだけが表示されます。accept テキストも reject テキストも表示されません。


) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字表示されます。


次の例では、認証プロンプトを「Please enter your username and password」という文字列に設定しています。

hostname(config)# auth-prompt prompt Please enter your username and password
 

コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。

Please enter your username and password
User Name:
Password:
 

Telnet ユーザに対しては、セキュリティ アプライアンスが認証試行を受け入れたときに表示するメッセージと、拒否したときに表示するメッセージを別々に指定することもできます。次に例を示します。

hostname(config)# auth-prompt reject Authentication failed. Try again.
hostname(config)# auth-prompt accept Authentication succeeded.
 

次の例では、認証が成功したときの認証プロンプトを「You're OK.」という文字列に設定しています。

hostname(config)# auth-prompt accept You’re OK.

 

正常に認証されたユーザには、次のメッセージが表示されます。

You’re OK.

 
関連コマンド

コマンド
説明

clear configure auth-prompt

指定済みの認証プロンプト チャレンジ テキストがある場合、そのテキストを削除して、デフォルト値に戻します。

show running-config auth-prompt

現在の認証プロンプト チャレンジ テキストを表示します。

auto-signon

WebVPN ユーザ ログイン クレデンシャルを内部サーバに自動的に渡すようにセキュリティ アプライアンスを設定するには、webvpn コンフィギュレーション モード、webvpn グループ コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードのいずれかのモードで auto-signon コマンドを使用します。認証方式は、NTLM(NTLMv1)認証と HTTP Basic 認証のいずれか一方または両方が可能です。特定のサーバに対する auto-signon をディセーブルにするには、このコマンドの no 形式を元の ip uri 、および auth-type 引数と共に使用します。すべてのサーバに対する auto-signon をディセーブルにするには、このコマンドの no 形式を引数なしで指定します。

auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ntlm | all }

no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ntlm | all }]

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

all

NTLM と HTTP Basic の両方の認証方式を指定します。

allow

特定のサーバに対する認証をイネーブルにします。

auth-type

認証方式の選択をイネーブルにします。

basic

HTTP Basic 認証方式を指定します。

ip

IP アドレスとマスクで認証先のサーバを特定することを指定します。

ip-address

ip-mask と共に、認証先のサーバの IP アドレス範囲を特定します。

ip-mask

ip-address と共に、認証先のサーバの IP アドレス範囲を特定します。

ntlm

NTLMv1 認証方式を指定します。

resource-mask

認証先のサーバの URI マスクを特定します。

uri

URI マスクで認証先のサーバを特定することを指定します。

 
デフォルト

デフォルトでは、この機能はすべてのサーバに対してディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション(グローバル)

--

--

--

WebVPN グループ ポリシー コンフィギュレーション

--

--

--

WebVPN ユーザ名コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

auto-signon コマンドは、WebVPN ユーザのためのシングル サインオン方式です。このコマンドは、WebVPN ログイン クレデンシャル(ユーザ名とパスワード)を NTLM 認証と HTTP Basic 認証のいずれか一方または両方を使用する認証用の内部サーバに渡します。複数の auto-signon コマンドを入力でき、その際にはコマンドは入力順序に従って(最初に入力したコマンドが先に)処理されます。

auto-signon 機能は、webvpn コンフィギュレーション グループ ポリシー モード、webvpn コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。一般的な優先動作は、ユーザ名がグループに優先する場合、およびグループがグローバルに優先する場合に適用されます。どのモードを選択するかは、必要な認証範囲によって異なります。次の表を参照してください。

モード
範囲

WebVPN コンフィギュレーション

すべての WebVPN ユーザ(グローバル)

WebVPN グループ コンフィギュレーション

グループ ポリシーで定義されている WebVPN ユーザのサブセット

WebVPN ユーザ名コンフィギュレーション

個々の WebVPN ユーザ

次のコマンド例では、すべての WebVPN ユーザに対して、NTLM 認証を使用する auto-signon を設定しています。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type ntlm
 

次のコマンド例では、すべての WebVPN ユーザに対して、HTTP Basic 認証を使用する auto-signon を設定しています。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
 
次のコマンド例では、WebVPN ユーザ ExamplePolicy グループに対して、HTTP Basic 認証または NTLM 認証を使用する auto-signon を設定しています。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。
 
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 

次のコマンド例では、Anyuser という名前のユーザに対して、HTTP Basic 認証を使用する auto-signon を設定しています。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type basic

 
関連コマンド

コマンド
説明

show running-config webvpn auto-signon

実行コンフィギュレーションの auto-signon 割り当てを表示します。

auto-summary

サブネット ルートのネットワークレベルのルートへの自動集約をイネーブルにするには、ルータ コンフィギュレーション モードで auto-summary コマンドを使用します。経路集約をディセーブルにするには、このコマンドの no 形式を使用します。

auto-summary

no auto-summary

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

RIP バージョン 1 と 2、および EIGRP では、経路集約がイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

8.0(2)

EIGRP のサポートが追加されました。

 
使用上のガイドライン

経路集約によって、ルーティング テーブル内のルーティング情報の量が少なくなります。

RIP バージョン 1 は、常に自動集約を使用します。RIP バージョン 1 の自動集約機能をディセーブルにすることはできません。

RIP バージョン 2 を使用している場合は、 no auto-summary コマンドを指定して、自動集約をオフにすることができます。接続が切断されているサブネット間でルーティングする必要がある場合は、自動集約をディセーブルにします。自動集約をディセーブルにすると、サブネットがアドバタイズされます。

EIGRP サマリー ルートには、デフォルトで管理ディスタンス 5 が割り当てられます。この値は設定できません。

実行コンフィギュレーションに表示されるのは、このコマンドの no 形式のみです。

次の例では、RIP の経路集約をディセーブルにしています。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# version 2
hostname(config-router)# no auto-summary
 

次の例では、自動 EIGRP 経路集約をディセーブルにしています。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# no auto-summary
 

 
関連コマンド

コマンド
説明

clear configure router

すべての router コマンドとルータ コンフィギュレーション モード コマンドを実行コンフィギュレーションから消去します。

router eigrp

EIGRP ルーティング プロセスをイネーブルにし、EIGRP ルータ コンフィギュレーション モードに入ります。

router rip

RIP ルーティング プロセスをイネーブルにし、RIP ルータ コンフィギュレーション モードに入ります。

show running-config router

実行コンフィギュレーション内の router コマンドとルータ コンフィギュレーション モード コマンドを表示します。

auto-update device-id

Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。

auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

 
シンタックスの説明

hardware-serial

セキュリティ アプライアンスのハードウェア シリアル番号を使用して、このデバイスを一意に識別します。

hostname

セキュリティ アプライアンスのホスト名を使用して、このデバイスを一意に識別します。

ipaddress [ if_name ]

セキュリティ アプライアンスの IP アドレスを使用して、セキュリティ アプライアンスを一意に識別します。デフォルトでは、セキュリティ アプライアンスは、Auto Update Server との通信に使用するインターフェイスを使用します。別の IP アドレスを使用する場合は、 if_name パラメータを指定します。

mac-address [ if_name ]

セキュリティ アプライアンスの MAC アドレスを使用して、セキュリティ アプライアンスを一意に識別します。デフォルトでは、セキュリティ アプライアンスは、Auto Update Server との通信に使用するインターフェイスの MAC アドレスを使用します。別の MAC アドレスを使用する場合は、 if_name パラメータを指定します。

string text

デバイスを Auto Update Server に対して一意に識別するためのテキスト文字列を指定します。

 
デフォルト

デフォルトの ID はホスト名です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、デバイス ID をシリアル番号に設定しています。

hostname(config)# auto-update device-id hardware-serial
 

 
関連コマンド

auto-update poll-period

セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションを消去します。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update poll-at

セキュリティ アプライアンスで Auto Update Server をポーリングする特定の日時を設定するには、グローバル コンフィギュレーション モードで auto-update poll-at コマンドを使用します。セキュリティ アプライアンスで Auto Update Server をポーリングするようにスケジューリングした日時のうち、指定した日時をすべて削除するには、このコマンドの no 形式を使用します。

auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

no auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

 
シンタックスの説明

days-of-the-week

Monday(月曜日)、Tuesday(火曜日)、Wednesday(水曜日)、Thursday(木曜日)、Friday(金曜日)、Saturday(土曜日)、および Sunday(日曜日)から曜日またはその組み合せを指定します。この他にも、daily(月曜日から日曜日まで)、weekdays(月曜日から金曜日まで)、weekend(土曜日と日曜日)を指定できます。

randomize minutes

指定した開始時刻以後、任意にポーリングする期間を指定します。1 ~ 1439 分に指定できます。

retry_count

Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続を再試行する間隔を指定します。デフォルトは 5 分です。1 ~ 35791 分に指定できます。

time

ポーリングを開始する時刻を HH:MM 形式で指定します。たとえば、8:00 は午前 8 時を、20:00 は午後 8 時を示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

auto-update poll-at コマンドは、アップデートがあるかどうかを確認するためにポーリングするタイミングを指定します。 randomize オプションをイネーブルにすると、 time で指定した開始時刻以後、指定した時間(分単位)内の任意の時刻にポーリングされます。 auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。

次の例では、セキュリティ アプライアンスで毎週金曜日と土曜日の午後 10 時から 11 時の間、任意の時刻に Auto Update Server をポーリングするように設定しています。また、接続できなかった場合は、10 分間隔で 2 回再試行します。

hostname(config)# auto-update poll-at Friday Saturday 22:00 randomize 60 2 10
hostname(config)# auto-update server http://192.168.1.114/aus/autoupdate.asp

 
関連コマンド

auto-update device-id

Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションを消去します。

management-access

セキュリティ アプライアンス上の内部管理インターフェイスにアクセスできるようにします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update poll-period

セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。このパラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。

auto-update poll-period poll_period [ retry_count [ retry_period ]]

no auto-update poll-period poll_period [ retry_count [ retry_period ]]

 
シンタックスの説明

poll_period

Auto Update Server をポーリングする頻度を分単位で指定します(1 ~ 35791)。デフォルトは 720 分(12 時間)です。

retry_count

Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続を試行する間隔を分単位で指定します(1 ~ 35791)。デフォルトは 5 分です。

 
デフォルト

デフォルトのポーリング間隔は 720 分(12 時間)です。

Auto Update Server への最初の接続試行が失敗した後に再接続を試行する回数のデフォルト値は 0 です。

接続が試行されるまでのデフォルトの待機時間は 5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。

次の例では、ポーリング間隔を 360 分に、リトライ回数を 1 回に、リトライ間隔を 3 分に設定しています。

hostname(config)# auto-update poll-period 360 1 3
 

 
関連コマンド

auto-update device-id

Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションを消去します。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update server

Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティング システム、および ASDM のアップデートがないか調べます。

auto-update server url [ source interface ] [ verify-certificate ]

no auto-update server url [ source interface ] [ verify-certificate ]

 
シンタックスの説明

interface

Auto Update Server に要求を送信する場合に使用するインターフェイスを指定します。

url

Auto Update Server の場所を、シンタックス http [ s ] : [[ user:password@ ] location [: port ]] / pathname を使用して指定します。

verify_certificate

Auto Update Server によって返される証明書を確認します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.2(1)

複数のサーバをサポートできるようにコマンドが変更されました。

 
使用上のガイドライン

自動アップデート用に複数のサーバを設定できます。アップデートがあるかどうかをチェックするときは、まず 1 台目のサーバに接続しようとし、接続できなかった場合は、2 台目のサーバとの接続を試みます。この要領で、すべてのサーバとの接続が試みられます。どのサーバとも接続できないと、auto-update poll-period コマンドで再試行するように設定している場合は、最初のサーバに戻って再試行されます。

このコマンドを正しく動作させるには、 boot system configuration コマンドを使用して、有効なブート イメージを指定する必要があります。さらに、ASDM ソフトウェア イメージをアップデートするには、 asdm image コマンドを使用する必要があります。

source interface 引数に指定したインターフェイスが、 management-access コマンドで指定したインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネル経由で送信されます。

次の例では、Auto Update Server の URL を設定し、インターフェイス outside を指定しています。

hostname(config)# auto-update server http://10.1.1.1:1741/ source outside

 
関連コマンド

auto-update device-id

Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションを消去します。

management-access

セキュリティ アプライアンス上の内部管理インターフェイスにアクセスできるようにします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update timeout

Auto Update Server へのアクセスに関するタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを使用します。このタイムアウト期間内に Auto Update Server にアクセスしないと、セキュリティ アプライアンスは、セキュリティ アプライアンスを通過するすべてのトラフィックを停止させます。タイムアウトを設定することで、セキュリティ アプライアンスのイメージとコンフィギュレーションを常に最新の状態に保つことができます。タイムアウトを削除するには、このコマンドの no 形式を使用します。

auto-update timeout period

no auto-update timeout [ period ]

 
シンタックスの説明

period

タイムアウト期間を分単位で指定します(1 ~ 35791) デフォルトは 0 で、タイムアウトはありません。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。

 
デフォルト

デフォルトのタイムアウトは 0 で、セキュリティ アプライアンスはタイムアウトしないように設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

タイムアウト状態は、システム ログ メッセージ 201008 で報告されます。

次の例では、タイムアウトを 24 時間に設定しています。

hostname(config)# auto-update timeout 1440

 
関連コマンド

auto-update device-id

Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。

auto-update server

Auto Update Server を指定します。

clear configure auto-update

Auto Update Server のコンフィギュレーションを消去します。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。