Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド リファレンス
icmp コマンド~ import webvpn webcontent コマンド
icmp コマンド~ import webvpn webcontent コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 24MB) | フィードバック

目次

icmp コマンド~ import webvpn webcontent コマンド

icmp

icmp unreachable

icmp-object

id-cert-issuer

id-mismatch

id-randomization

id-usage(暗号 CA トラストポイント)

igmp

igmp access-group

igmp forward interface

igmp join-group

igmp limit

igmp query-interval

igmp query-max-response-time

igmp query-timeout

igmp static-group

igmp version

ignore-ipsec-keyusage

ignore lsa mospf

ike-retry-count

ike-retry-timeout

im

imap4s

import webvpn customization

import webvpn plug-in protocol

import webvpn translation-table

import webvpn url-list

import webvpn webcontent

icmp コマンド~ import webvpn webcontent コマンド

icmp

セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対してアクセス規則を設定するには、 icmp コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name

no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name

 
シンタックスの説明

deny

条件に合致している場合、アクセスを拒否します。

icmp_type

(オプション)ICMP メッセージ タイプ( 表 13-1 を参照)。

if_name

インターフェイス名。

ip_address

ICMP メッセージをインターフェイスに送信するホストの IP アドレス。

net_mask

ip_address に適用されるマスク。

permit

条件に合致している場合、アクセスを許可します。

 
デフォルト

デフォルトでは、セキュリティ アプライアンスは、セキュリティ アプライアンス インターフェイスへの ICMP トラフィック すべて許可します。しかし、デフォルトでは、セキュリティ アプライアンスはブロードキャスト アドレス宛ての ICMP エコー要求には応答しません。また、セキュリティ アプライアンスは、保護されたインターフェイス上の宛先に対する、外部インターフェイスで受信した ICMP メッセージも拒否します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

6.0

このコマンドが導入されました。

 
使用上のガイドライン

icmp コマンドは、すべてのセキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、セキュリティ アプライアンスは、すべてのインターフェイス(外部インターフェイスを含む)で終端する ICMP トラフィックをすべて受け入れます。しかし、デフォルトでは、セキュリティ アプライアンスはブロードキャスト アドレス宛ての ICMP エコー要求には応答しません。

icmp deny コマンドは、インターフェイスへの ping をディセーブルにし、icmp permit コマンドは、インターフェイスへの ping をイネーブルにします。ping をディセーブルにすると、セキュリティ アプライアンスがネットワーク上で検出できなくなります。これは、設定可能なプロキシ ping とも呼ばれます。

保護されたインターフェイス上の宛先に向けてセキュリティ アプライアンス 経由 でルーティングされる ICMP トラフィックに対しては、access-list extended または access-group コマンドを使用します。

ICMP 到達不能メッセージ タイプ(タイプ 3)は、許可することを推奨します。ICMP 到達不能メッセージを拒否すると、Path MTU Discovery がディセーブルになるため、IPSec トラフィックと PPTP のトラフィックが停止される場合があります。Path MTU Discovery の詳細については、RFC 1195 と RFC 1435 を参照してください。

ICMP コントロール リストがインターフェイスに設定されている場合、セキュリティ アプライアンスは、指定された ICMP トラフィックを最初に照合し、そのインターフェイス上のそれ以外の ICMP トラフィックをすべて暗黙的に拒否します。つまり、最初に一致したエントリが許可エントリの場合、その ICMP パケットは処理が続けられます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合は、セキュリティ アプライアンスはその ICMP パケットを廃棄し、syslog メッセージを生成します。例外は、ICMP コントロール リストが設定されていない場合で、その場合は、 permit ステートメントがあるものと見なされます。

表 13-1 に、使用できる ICMP タイプ値を示します。

 

表 13-1 ICMP のタイプとリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

8

echo

11

time-exceeded

次の例では、外部インターフェイスで、すべての ping 要求を拒否し、すべての到達不能メッセージを許可します。

hostname(config)# icmp permit any unreachable outside
 

ICMP トラフィックを拒否する追加インターフェイスそれぞれに対して、続けて icmp deny any interface コマンドを入力します。

次の例では、ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 上のホストに、外部インターフェイスへの ping を許可します。

hostname(config)# icmp permit host 172.16.2.15 echo-reply outside
hostname(config)# icmp permit 172.22.1.0 255.255.0.0 echo-reply outside
hostname(config)# icmp permit any unreachable outside
 

 
関連コマンド

コマンド
説明

clear configure icmp

ICMP コンフィギュレーションを消去します。

debug icmp

ICMP に関するデバッグ情報の表示をイネーブルにします。

show icmp

ICMP コンフィギュレーションを表示します。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

icmp unreachable

セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対して、到達不能な ICMP メッセージのレート制限を設定するには、 icmp unreachable コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

icmp unreachable rate-limit rate burst-size size
no icmp unreachable rate-limit rate burst-size size

 
シンタックスの説明

rate-limit rate

到達不能メッセージのレート制限を、1 秒あたり 1 ~ 100 件のメッセージ数に設定します。デフォルトは、1 秒あたり 1 件のメッセージです。

burst-size size

バースト レートを 1 ~ 10 に設定します。このキーワードは現在システムでは使用されていないため、任意の値を選択できます。

 
デフォルト

デフォルトのレート制限は、1 秒あたり 1 件のメッセージです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(2)

このコマンドが導入されました。

 
使用上のガイドライン

到達不能メッセージなどの ICMP メッセージがセキュリティ アプライアンス インターフェイスで終端できるようにすると( icmp コマンドを参照)、到達不能メッセージのレートを制御できます。

このコマンドは、 set connection decrement-ttl コマンドと共に使用する際に、セキュリティ アプライアンスで traceroute を許可する場合に必要です。これによって、セキュリティ アプライアンスがホップの 1 つとして表示されます。

次の例では、存続可能時間のデクリメントをイネーブルにし、ICMP 到達不能レート制限を設定します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection decrement-ttl
hostname(config-pmap-c)# exit
hostname(config)# icmp permit host 172.16.2.15 echo-reply outside
hostname(config)# icmp permit 172.22.1.0 255.255.0.0 echo-reply outside
hostname(config)# icmp permit any unreachable outside
hostname(config)# icmp unreachable rate-limit 50 burst-size 1
 

 
関連コマンド

コマンド
説明

clear configure icmp

ICMP コンフィギュレーションを消去します。

debug icmp

ICMP に関するデバッグ情報の表示をイネーブルにします。

set connection decrement-ttl

パケットの存続可能時間の値をデクリメントします。

show icmp

ICMP コンフィギュレーションを表示します。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

icmp-object

icmp-type オブジェクト グループを追加するには、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。

icmp-object icmp_type

no group-object icmp_type

 
シンタックスの説明

icmp_type

icmp-type の名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Icmp-type コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

icmp-object コマンドは、 object-group コマンドと組み合せることで、icmp-type オブジェクトを定義します。このコマンドは、icmp-type コンフィギュレーション モードで使用されます。

ICMP タイプの番号と名前には、次のものがあります。

 

番号
ICMP タイプの名前

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

address-mask-request

18

address-mask-reply

31

conversion-error

32

mobile-redirect

次の例は、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用する方法を示しています。

hostname(config)# object-group icmp-type icmp_allowed
hostname(config-icmp-type)# icmp-object echo
hostname(config-icmp-type)# icmp-object time-exceeded
hostname(config-icmp-type)# exit
 

 
関連コマンド

コマンド
説明

clear configure object-group

すべての object-group コマンドをコンフィギュレーションから削除します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

コンフィギュレーションを最適化するためのオブジェクト グループを定義します。

port-object

サービス オブジェクト グループにポート オブジェクトを追加します。

show running-config object-group

現在のオブジェクト グループを表示します。

id-cert-issuer

このトラストポイントに関連付けられている CA から発行されたピア証明書をシステムで受け入れるかどうかを示すには、暗号 CA トラストポイント コンフィギュレーション モードで id-cert-issuer コマンドを使用します。トラストポイントに関連付けられている CA から発行された証明書を拒否するには、このコマンドの no 形式を使用します。このコマンドは、広く使用されるルート CA を表すトラストポイントに対して有用です。

id-cert-issuer

no id-cert-issuer

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルト設定はイネーブルです(ID 証明書は受け入れられます)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、広く使用されるルート CA の下位 CA から発行された証明書のみを受け入れるようにする場合に使用します。この機能を使用可能にしない場合は、セキュリティ アプライアンスが、この発行者によって署名された IKE ピア証明書をすべて拒否します。

次の例では、central トラストポイントの暗号 CA トラストポイント コンフィギュレーション モードに入り、central トラストポイントの発行者によって署名された ID 証明書の受け入れを管理者に許可します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# id-cert-issuer
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント サブモードに入ります。

default enrollment

登録パラメータをデフォルトに戻します。

enrollment retry count

登録要求の送信を再試行する回数を指定します。

enrollment retry period

登録要求の送信を試行するまでの待機時間を、分単位で指定します。

enrollment terminal

このトラストポイントを使用したカット アンド ペースト登録を指定します。

id-mismatch

過度の DNS ID ミスマッチのロギングをイネーブルにするには、パラメータ コンフィギュレーション モードで id-mismatch コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

id-mismatch [count number duration seconds] action log

no id-mismatch [count number duration seconds] [action log]

 
シンタックスの説明

count number

システム メッセージ ログが送信される前のミスマッチ インスタンスの最大数。

duration seconds

監視する期間(秒)。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。コマンドがイネーブルで、オプションが指定されていない場合、デフォルト レートは最大数が 30 で、期間は 3 秒間です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

ハイレートの DNS ID ミスマッチはキャッシュ ポイズニング攻撃を示す場合があります。このコマンドをイネーブルにすると、そうした試みを監視して警告します。ミスマッチ レートが設定値を超えると、システム メッセージの要約ログが出力されます。 id-mismatch コマンドは通常のイベントベースのシステム メッセージ ログに関する詳細をシステム管理者に提供します。

次の例では、DNS 検査ポリシー マップで ID ミスマッチをイネーブルにする方法を示しています。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# id-mismatch action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

id-randomization

DNS クエリーの DNS ID をランダム化するには、パラメータ コンフィギュレーション モードで id-randomization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

id-randomization

no id-randomization

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトではディセーブルです。DNS クエリーからの DNS ID は変更されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

ID のランダム化は、キャッシュ ポイズニング攻撃に対する保護に役立ちます。

次の例では、DNS 検査ポリシー マップで ID のランダム化をイネーブルにする方法を示しています。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# id-randomization
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

id-usage(暗号 CA トラストポイント)

証明書の登録済み ID を使用できるようにする方法を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで id-usage コマンドを使用します。証明書の使用方法をデフォルトの ssl-ipsec に設定するには、このコマンドの no 形式を使用します。

id-usage {ssl-ipsec | code-signer}

no id-usage {ssl-ipsec | code-signer}

 
シンタックスの説明

code-signer

この証明書によって示されるデバイス ID が Java コード署名者 として使用され、リモート ユーザに提供されるアプレットが確認されます。

ssl-ipsec

(デフォルト)この証明書によって示されるデバイス ID は、SSL 接続または IPSec 暗号化接続のサーバ側 ID として使用できます。

 
デフォルト

id-usage コマンドのデフォルトは、 ssl-ipsec です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

リモート アクセス VPN は、構成要件に応じて、SSL、IPSec、またはこの両方のプロトコルを使用し、事実上すべてのネットワーク アプリケーションまたはリソースへのアクセスを許可できます。 id-usage コマンドを使用すると、さまざまな証明書で保護されたリソースへのアクセスのタイプを指定できます。

CA ID および一部のケースでは、デバイス ID は CA が発行した証明書を基盤としている場合があります。暗号 CA トラストポイント モード内のすべてのコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。このパラメータでは、セキュリティ アプライアンスが CA 証明書を取得する方法、セキュリティ アプライアンスが CA から証明書を取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定します。

トラストポイント コンフィギュレーション内に存在できるのは、 id-usage コマンドの 1 つのインスタンスのみです。code-signer か ssl-ipsec またはこの両方のトラストポイントをイネーブルにするには、このいずれかまたは両方のオプションを指定できる 1 つのインスタンスを使用します。

次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、これに code-signer 証明書を指定します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# id-usage code-signer
hostname(config-ca-trustpoint)#
 

次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、これを SSL または IPSec 接続のための code-signer 証明書およびサーバ側 ID として指定します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# id-usage code-signer ssl-ipsec
hostname(config-ca-trustpoint)#
 

次の例では、トラストポイント checkin1 の暗号 CA トラストポイント コンフィギュレーション モードに入り、これをリセットして SSL または IPSec 接続のみの使用に制限しています。

hostname(config)# crypto ca trustpoint checkin1
hostname(config-ca-trustpoint)# no id-usage ssl-ipsec
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードに入ります。

java-trustpoint

指定されたトラストポイントの場所から、PKCS12 証明書とキー関連情報を使用する WebVPN Java オブジェクト署名機能を設定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書を指定します。

trust-point (tunnel-group ipsec-attributes mode)

IKE ピアに送信される証明書を識別する名前を指定します。

validation-policy

ユーザ接続に関連した証明書の検証の条件を指定します。

igmp

インターフェイス上で IGMP 処理を初期化するには、インターフェイス コンフィギュレーション モードで igmp コマンドを使用します。インターフェイス上で IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。

igmp

no igmp

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

イネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

実行コンフィギュレーションに表示されるのは、このコマンドの no 形式のみです。

次の例では、選択したインターフェイス上で IGMP 処理をディセーブルにします。

hostname(config-if)# no igmp
 

 
関連コマンド

コマンド
説明

show igmp groups

セキュリティ アプライアンスに直接接続されている受信者、および IGMP を通じてラーニングされた受信者を持つマルチキャスト グループを表示します。

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp access-group

インターフェイスを利用するサブネット上のホストが加入できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで igmp access-group コマンドを使用します。インターフェイス上でグループをディセーブルにするには、このコマンドの no 形式を使用します。

igmp access-group acl

no igmp access-group acl

 
シンタックスの説明

acl

IP アクセス リストの名前。標準アクセス リスト、拡張アクセス リスト、またはその両方を指定できます。しかし、拡張アクセス リストを指定した場合、照合されるのは宛先アドレスのみです。そのため、送信元には any を指定する必要があります。

 
デフォルト

インターフェイス上ですべてのグループに加入できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

次の例では、アクセス リスト 1 で許可されたホストだけがグループに加入できるようにします。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp access-group 1
 

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp forward interface

すべての IGMP ホスト レポートの転送をイネーブルにし、指定したインターフェイスでメッセージが受信される状態にするには、インターフェイス コンフィギュレーション モードで igmp forward interface コマンドを使用します。転送を解除するには、このコマンドの no 形式を使用します。

igmp forward interface if-name

no igmp forward interface if-name

 
シンタックスの説明

if-name

インターフェイスの論理名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドを入力インターフェイス上で入力します。このコマンドはスタブ マルチキャスト ルーティング用であるため、このコマンドに PIM を同時に設定することはできません。

次の例では、IGMP ホスト レポートを現在のインターフェイスから指定のインターフェイスに転送します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp forward interface outside
 

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp join-group

インターフェイスを、指定したグループのローカルに接続されたメンバーとして設定するには、インターフェイス コンフィギュレーション モードで igmp join-group コマンドを使用します。グループのメンバーシップをキャンセルするには、このコマンドの no 形式を使用します。

igmp join-group group-address

no igmp join-group group-address

 
シンタックスの説明

group-address

マルチキャスト グループの IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドは、セキュリティ アプライアンス インターフェイスをマルチキャスト グループのメンバーとして設定します。 igmp join-group コマンドを使用すると、セキュリティ アプライアンスは、指定されたマルチキャスト グループ宛てのマルチキャスト パケットを受け入れて、転送します。

マルチキャスト グループのメンバーにしないで、セキュリティ アプライアンスがマルチキャスト トラフィックを転送するように設定するには、 igmp static-group コマンドを使用します。

次の例では、選択したインターフェイスが IGMP グループ 255.2.2.2 に加入するように設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp join-group 225.2.2.2

 
関連コマンド

コマンド
説明

igmp static-group

インターフェイスを、指定したマルチキャスト グループのスタティックに接続されたメンバーとして設定します。

igmp limit

IGMP の状態の数をインターフェイスごとに制限するには、インターフェイス コンフィギュレーション モードで igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。

igmp limit number

no igmp limit [ number ]

 
シンタックスの説明

number

インターフェイス上で許可する IGMP の状態の数。有効な値の範囲は 0 ~ 500 です。デフォルト値は 500 です。値を 0 に設定すると、ラーニングされたグループが追加されなくなります。ただし、メンバーシップを手動で定義することは引き続き可能です( igmp join-group コマンドと igmp static-group コマンドを使用します)。

 
デフォルト

デフォルトは 500 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。このコマンドにより、 igmp max-groups コマンドは置き換えられました。

次の例では、インターフェイスにおける IGMP の状態の数を 250 に制限します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp limit 250
 

 
関連コマンド

コマンド
説明

igmp

インターフェイス上で IGMP 処理を初期化します。

igmp join-group

インターフェイスを、指定したグループのローカルに接続されたメンバーとして設定します。

igmp static-group

インターフェイスを、指定したマルチキャスト グループのスタティックに接続されたメンバーとして設定します。

igmp query-interval

インターフェイスが IGMP ホスト クエリー メッセージを送信する頻度を設定するには、インターフェイス コンフィギュレーション モードで igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。

igmp query-interval seconds

no igmp query-interval seconds

 
シンタックスの説明

seconds

IGMP ホスト クエリー メッセージを送信する頻度(秒単位)。有効な値の範囲は 1 ~ 3600 です。デフォルトは 125 秒です。

 
デフォルト

デフォルトのクエリー間隔は 125 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

マルチキャスト ルータは、ホスト クエリー メッセージを送信して、インターフェイスに接続されたネットワーク上のメンバーを含むマルチキャスト グループを検出します。ホストは、特定のグループ宛てのマルチキャスト パケットを受信する必要があることを示す IGMP レポート メッセージを使用して応答します。ホスト クエリー メッセージは、アドレス 224.0.0.1 および TTL 値 1 の all-hosts マルチキャスト グループに宛先指定されます。

IGMP ホスト クエリー メッセージを送信するルータは、LAN の代表ルータのみです。

IGMP バージョン 1 の場合、代表ルータは、LAN 上で動作するマルチキャスト ルーティング プロトコルに応じて選定されます。

IGMP バージョン 2 の場合、代表ルータは、サブネット上で最も低い IP アドレスを持つマルチキャスト ルータになります。

ルータがタイムアウト期間(期間は igmp query-timeout コマンドで制御される)にクエリーを受信しなかった場合は、そのルータがクエリー発行者になります。


注意 この値を変更すると、マルチキャスト転送に重大な影響を及ぼす場合があります。

次の例では、IGMP クエリー間隔を 120 秒に変更します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-interval 120
 

 
関連コマンド

コマンド
説明

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最長応答期間を設定します。

igmp query-timeout

前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最長応答期間を指定するには、インターフェイス コンフィギュレーション モードで igmp query-max-response-time コマンドを使用します。応答期間をデフォルト値に戻すには、このコマンドの no 形式を使用します。

igmp query-max-response-time seconds

no igmp query-max-response-time [ seconds ]

 
シンタックスの説明

seconds

IGMP クエリーでアドバタイズされる最長応答期間(秒単位)。有効な値は 1 ~ 25 です。デフォルト値は 10 秒です。

 
デフォルト

10 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドが有効となるのは、IGMP バージョン 2 または 3 が動作している場合のみです。

このコマンドは、応答者が IGMP クエリー メッセージに応答できる期間を制御します。この期間を過ぎると、ルータがグループを削除します。

次の例では、最長クエリー応答期間を 8 秒に変更します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-max-response-time 8
 

 
関連コマンド

コマンド
説明

igmp query-interval

インターフェイスが IGMP ホスト クエリー メッセージを送信する頻度を設定します。

igmp query-timeout

前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。

igmp query-timeout

前のクエリー発行者がクエリーを停止してから、インターフェイスがクエリー発行者を引き継ぐまでのタイムアウト期間を設定するには、インターフェイス コンフィギュレーション モードで igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

igmp query-timeout seconds

no igmp query-timeout [ seconds ]

 
シンタックスの説明

seconds

前のクエリー発行者がクエリーを停止してから、ルータがクエリー発行者を引き継ぐまで待機する秒数。有効な値は 60 ~ 300 秒です。デフォルト値は 255 秒です。

 
デフォルト

デフォルトのクエリー間隔は 255 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドには IGMP バージョン 2 または 3 が必要です。

次の例では、最後にクエリーを受信してから、インターフェイスのクエリー発行者を引き継ぐまで 200 秒待機するようルータを設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-timeout 200
 

 
関連コマンド

コマンド
説明

igmp query-interval

インターフェイスが IGMP ホスト クエリー メッセージを送信する頻度を設定します。

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最長応答期間を設定します。

igmp static-group

インターフェイスを、指定したマルチキャスト グループのスタティックに接続されたメンバーとして設定するには、インターフェイス コンフィギュレーション モードで igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。

igmp static-group group

no igmp static-group group

 
シンタックスの説明

group

IP マルチキャスト グループ アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

igmp static-group コマンドを使用して設定すると、セキュリティ アプライアンス インターフェイスは、指定されたグループそのものを宛先とするマルチキャスト パケットを受け入れずに、転送します。指定されたマルチキャスト グループ宛てのマルチキャスト パケットを受け入れて、転送するようにセキュリティ アプライアンスを設定するには、 igmp join-group コマンドを使用します。 igmp join-group コマンドに igmp static-group コマンドと同じグループ アドレスを設定した場合は、 igmp join-group コマンドが優先され、グループはローカルに加入しているグループのように動作します。

次の例では、選択したインターフェイスをマルチキャスト グループ 239.100.100.101 に追加します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp static-group 239.100.100.101
 

 
関連コマンド

コマンド
説明

igmp join-group

インターフェイスを、指定したグループのローカルに接続されたメンバーとして設定します。

igmp version

インターフェイスが使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで igmp version コマンドを使用します。バージョンをデフォルトに戻すには、このコマンドの no 形式を使用します。

igmp version { 1 | 2 }

no igmp version [ 1 | 2 ]

 
シンタックスの説明

1

IGMP バージョン 1。

2

IGMP バージョン 2。

 
デフォルト

IGMP バージョン 2。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、インターフェイス コンフィギュレーション モードに変更されました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードに入る必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

サブネット上のルータはすべて、同じバージョンの IGMP をサポートする必要があります。ホストは任意の IGMP バージョン(1 または 2)を使用できます。また、セキュリティ アプライアンスは、ホストの存在を検出して、適切にクエリーします。

igmp query-max-response-time コマンドや igmp query-timeout コマンドなど、一部のコマンドでは IGMP バージョン 2 が必要です。

次の例では、選択したインターフェイスが IGMP バージョン 1 を使用するように設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp version 1
 

 
関連コマンド

コマンド
説明

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最長応答期間を設定します。

igmp query-timeout

前のクエリー発行者がクエリーを停止してから、ルータがインターフェイスのクエリー発行者を引き継ぐまでのタイムアウト期間を設定します。

ignore-ipsec-keyusage

IPsec クライアント証明書のキー使用チェックを行わないようにするには、設定 ca トラストポイント コンフィギュレーション モードで ignore-ipsec-keyusage コマンドを使用します。キー使用チェックを再開するには、このコマンドの no 形式を使用します。

ignore-ipsec-keyusage

no ignore-ipsec-keyusage

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

設定 ca トラストポイント コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドは、安全策として導入されていましたが、同時に廃止されました。今後のリリースでは、キー使用チェックを抑制するコマンドは提供されない可能性があります。

 
使用上のガイドライン

このコマンドを使用により、IPsec リモート クライアント証明書のキー使用の値と拡張キー使用の値が検証されないことを示します。このコマンドは、キー使用チェックを無視するため、準拠しない構成の場合に便利です。

次の例では、キー使用チェックの結果を無視する方法を示しています。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)#
hostname(config-ca-trustpoint)# ignore-ipsec-keyusage
Notice: This command has been deprecated
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

暗号 CA トラストポイント コンフィギュレーション モードに入ります。

ignore lsa mospf

ルータが LSA タイプ 6 MOSPF パケットを受信した際に、syslog メッセージを送信しないようにするには、ルータ コンフィギュレーション モードで ignore lsa mospf コマンドを使用します。syslog メッセージを送信する設定に戻すには、このコマンドの no 形式を使用します。

ignore lsa mospf

no ignore lsa mospf

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

タイプ 6 MOSPF パケットはサポート対象外です。

次の例では、LSA タイプ 6 MOSPF パケットが無視されるようにします。

hostname(config-router)# ignore lsa mospf
 

 
関連コマンド

コマンド
説明

show running-config router ospf

OSPF ルータ コンフィギュレーションを表示します。

ike-retry-count

IKE を使用する Cisco AnyConnect VPN Client が、SSL に戻って接続を試行する前に実行する接続再試行の最大数を設定するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで ike-retry-count コマンドを使用します。コンフィギュレーションからこのコマンドを削除する場合や、再試行の最大値をデフォルト値にリセットする場合は、このコマンドの no 形式を使用します。

ike-retry-count { none | value }

no ike-retry-count [ none | value ]

 
シンタックスの説明

none

再試行を許可しないことを指定します。

value

Cisco AnyConnect VPN Client が、最初の接続の失敗後に実行する接続再試行の最大数(1 ~ 10)を指定します。

 
デフォルト

許可された再試行のデフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー WebVPN コンフィギュレーション

--

--

--

ユーザ名 WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

Cisco AnyConnect VPN Client が IKE を使用して接続を試行する回数を制御するには、 ike-retry-count コマンドを使用します。クライアントが、このコマンドで指定された数の再試行を行った後に、IKE を使用した接続に失敗した場合は、SSL に戻って接続が試行されます。この値によって、Cisco AnyConnect VPN Client 内に存在する任意の値が上書きされます。


) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドが svcipsec の両方の引数と共に設定されている必要があります。


次の例では、FirstGroup というグループ ポリシーに対し、IKE の再試行回数を 7 回に設定しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# ike-retry-count 7
hostname(config-group-webvpn)#
 

次の例では、ユーザ名 Finance に対し、IKE 再試行回数を 9 回に設定しています。

hostname(config)# username Finance attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# ike-retry-count 9
hostname(config-group-webvpn)#
 

 
関連コマンド

コマンド
説明

group-policy

グループ ポリシーを作成または編集します。

ike-retry-timeout

IKE 再試行の間隔を秒数で指定します。

username

ユーザをセキュリティ アプライアンスのデータベースに追加します。

vpn-tunnel-protocol

VPN トンネル タイプ(IPSec、L2TP over IPSec、または WebVPN)を設定します。

webvpn (グループ ポリシーまたはユーザ名モード)

グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードに入ります。

ike-retry-timeout

Cisco AnyConnect VPN Client の IKE 再試行の間隔を秒数で設定するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで ike-retry-timeout コマンドを使用します。このコマンドをコンフィギュレーションから削除する場合や、タイムアウト値をデフォルト値にリセットする場合は、このコマンドの no 形式を使用します。

ike-retry-count seconds

no ike-retry-count

 
シンタックスの説明

seconds

Cisco AnyConnect VPN Client が、最初の接続の失敗後に実行する IKE 再試行の間隔(1 ~ 3600) を秒数で指定します。

 
デフォルト

デフォルトのタイムアウトは 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー WebVPN コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

Cisco AnyConnect VPN Client の IKE 再試行の間隔(時間の長さ)を制御するには、 ike-retry-timeout コマンドを使用します。クライアントが、 ike-retry-count コマンドで指定された数の再試行を行った後で、IKE を使用した接続に失敗した場合は、SSL に戻って接続が試行されます。この値によって、Cisco AnyConnect VPN Client 内に存在する任意の値が上書きされます。


) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドが svcipsec の両方の引数と共に設定されている必要があります。


次の例では、FirstGroup というグループ ポリシーに対して、IKE 再試行間隔を 77 秒に設定しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# ike-retry-timeout 77
hostname(config-group-webvpn)#
 

次の例では、Finance というユーザ名に対して、IKE 再試行回数を 99 回に設定しています。

hostname(config)# username Finance attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# ike-retry-timeout 9
hostname(config-group-webvpn)#
 

 
関連コマンド

コマンド
説明

group-policy

グループ ポリシーを作成または編集します。

ike-retry-count

IKE を使用する Cisco AnyConnect VPN Client が、SSL に戻って接続を試行する前に実行する接続再試行の最大数を指定します。

username

ユーザをセキュリティ アプライアンスのデータベースに追加します。

vpn-tunnel-protocol

VPN トンネル タイプ(IPSec、L2TP over IPSec、または WebVPN)を設定します。

webvpn (グループ ポリシーまたはユーザ名モード)

グループ ポリシー webvpn モードまたはユーザ名 webvpn モードに入ります。

im

SIP 経由のインスタント メッセージをイネーブルにするには、パラメータ コンフィギュレーション モードで im コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

im

no im

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、SIP 検査ポリシー マップで SIP 経由のインスタント メッセージをイネーブルにする方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# im
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

imap4s

IMAP4S コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで imap4s コマンドを使用します。IMAP4S コマンド モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。

IMAP4 は、インターネット サーバがユーザ宛ての電子メールを受信および保管するためのクライアント/サーバ プロトコルです。ユーザ(または電子メール クライアント)は、メールのヘッダーおよび送信者のみを表示して、メールをダウンロードするかどうかを決めることができます。また、サーバ上に複数のフォルダやメールボックスを作成して操作する、メッセージを削除する、または特定部分やメッセージ全体を検索することもできます。メールを操作する間、IMAP はサーバに継続的にアクセスする必要があります。IMAP4S を使用すると、SSL 接続上で電子メールを受信できます。

imap4s

no imap4s

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0

このコマンドが導入されました。

次の例は、IMAP4S コンフィギュレーション モードに入る方法を示しています。

hostname(config)# imap4s
hostname(config-imap4s)#

 
関連コマンド

コマンド
説明

clear configure imap4s

IMAP4S コンフィギュレーションを削除します。

show running-config imap4s

IMAP4S の実行コンフィギュレーションを表示します。

import webvpn customization

セキュリティ アプライアンスのフラッシュ デバイスにカスタマイゼーション オブジェクトをロードするには、特権 EXEC モードで import webvpn customization コマンドを使用します。

import webvpn customization name URL

 
シンタックスの説明

name

カスタマイゼーション オブジェクトを識別する名前。最大 64 文字です。

URL

XML カスタマイゼーション オブジェクトのソースへのリモート パス。最大 255 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

import customization コマンドを入力する前に、WebVPN がセキュリティ アプライアンス インターフェイスでイネーブルになっていることを確認してください。この確認を行うには、 show running-config コマンドを入力します。

カスタマイゼーション オブジェクトをインポートすると、セキュリティ アプライアンスは次の処理を実行します。

そのURL から セキュリティ アプライアンスのファイル システム disk0:/csco_config/customization に、カスタマイゼーション オブジェクトを MD5 name としてコピーします。

ファイルで基本 XML シンタックス チェックを実行します。無効な場合、セキュリティ アプライアンスはこのファイルを削除します。

index.ini 内のファイルにレコード MD5 name が含まれていることを確認します。このレコードが含まれていない場合、セキュリティ アプライアンス はこのファイルに MD5 name を追加します。

MD5 name ファイルを、ramfs name として RAMFS /csco_config/customization/ にコピーします。

次の例では、209.165.201.22/customization という URL からセキュリティ アプライアンスにカスタマイゼーション オブジェクト General.xml をインポートし、 custom1 という名前を付けています。

hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

 

 
関連コマンド

コマンド
説明

revert webvpn customization

セキュリティ アプライアンスのフラッシュ デバイスから、指定されたカスタマイゼーション オブジェクトを削除します。

show import webvpn customization

セキュリティ アプライアンスのフラッシュ デバイスに存在するカスタマイゼーション オブジェクトをリストで示します。

import webvpn plug-in protocol

セキュリティ アプライアンスのフラッシュ デバイス上にプラグインをインストールするには、特権 EXEC モードで import webvpn plug-in protocol コマンドを入力します。

import webvpn plug-in protocol protocol URL

 
シンタックスの説明

protocol

rdp

Remote Desktop Protocol プラグインを使用すると、リモート ユーザは Microsoft Terminal Services を実行中のコンピュータに接続できます。シスコでは、変更を加えずにこのプラグインを再配布しています。このプラグインのオリジナル版は、Web サイト http://properjavardp.sourceforge.net/ から入手できます。

ssh,telnet

セキュア シェル プラグインを使用すると、リモート ユーザが、リモート コンピュータへのセキュア チャネルを確立したり、Telnet を使用してリモート コンピュータへ接続したりすることができます。シスコでは、変更を加えずにこのプラグインを再配布しています。このプラグインのオリジナル版は、Web サイト http://javassh.org/ から入手できます。


注意 import webvpn plug-in protocol ssh,telnet URL コマンドは、SSH と Telnet プラグインの両方をインストールします。そのため、このコマンドを SSH と Telnet のプラグインに対してそれぞれ 1 回入力をしないでください。ssh,telnet 文字列を入力する場合は、スペースは挿入しないでください。これらの要件に従っていない import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。

vnc

Virtual Network Computing プラグインを使用すると、リモート ユーザはモニタ、キーボード、およびマウスを使って、リモート デスクトップ共有がオンに設定されたコンピュータを参照および制御できます。シスコでは、変更を加えずにこのプラグインを再配布しています。このプラグインのオリジナル版は、Web サイト http://www.tightvnc.com/ から入手できます。

URL

プラグインのソースへのリモートパス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

プラグインをインストールする前に、次の処理を実行します。

クライアントレス SSL VPN(「webvpn」)が、セキュリティ アプライアンスのインターフェイスでイネーブルになっていることを確認します。これを実行するには、 show running-config コマンドを入力します。

「plugins」という一時ディレクトリをローカル TFTP サーバ(たとえば、「local_tftp_server」というホスト名のサーバなど)に作成し、プラグインを Cisco Web サイトから「plugins」ディレクトリにダウンロードします。TFTP サーバのホスト名またはアドレスと必要なプラグインへのパスを、 import webvpn plug-in protocol コマンドの URL フィールドに入力します。

プラグインをインポートすると、セキュリティ アプライアンスは次の処理を実行します。

URL に指定された jar ファイルを解凍します。

セキュリティ アプライアンス ファイル システムの csco-config/97/plugin ディレクトリにこのファイルを書き込みます。

ASDM の URL アトリビュートの隣にあるドロップダウン メニューにデータを入力します。

このプラグインを今後のすべてのクライアントレス SSL VPN セッションでイネーブルにし、ポータル ページのメイン メニューのオプションと [Address] フィールドの隣にあるドロップダウン メニューのオプションを追加します。 表 13-2 は、ポータル ページのメイン メニューと [Address] フィールドに追加されるオプションを示しています。

表 13-2 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される [Address] フィールドのオプション

rdp

ターミナル サーバ

rdp://

ssh、telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC クライアント

vnc://

セキュリティ アプライアンスは、コンフィギュレーション内に import webvpn plug-in protocol コマンドを保持しません。代わりに、 csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ セキュリティ アプライアンスは、プライマリ セキュリティ アプライアンス からプラグインを取得します。

クライアントレス SSL VPN セッションで、ユーザがポータル ページ上の関連するメニュー オプションをクリックすると、ポータル ページにインターフェイスへのウィンドウとヘルプ ペインが表示されます。ユーザはドロップダウン メニューに表示されたプロトコルを選択し、Address フィールドに URL を入力して接続を確立できます。


) SSH クライアントがサポートするのは SSH バージョン 1.0 のみです。

接続先のサービスへのセッションがセットアップされていない場合でも、一部の Java プラグインが接続ステータスまたはオンラインのステータスを報告する場合があります。セキュリティ アプライアンスではなく、オープン ソースのプラグインがそのステータスを報告します。


それぞれの import webvpn plug-in protocol コマンドを削除し、プロトコルのサポートをディセーブルにするには、 revert webvpn plug-in protocol コマンドを使用します。

次のコマンドは、RDP 用のクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol rdp tftp://209.165.201.22/plugins/rdp-plugin.jar
Accessing tftp://209.165.201.22/plugins/rdp-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/rdp...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)
 

次のコマンドは、SSH および Telnet 用のクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol ssh,telnet tftp://209.165.201.22/plugins/ssh-plugin.jar
 
Accessing tftp://209.165.201.22/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)
 

次のコマンドは、VNC 用のクライアントレス SSL VPN のサポートを追加します。

hostname# import webvpn plug-in protocol vnc tftp://209.165.201.22/plugins/vnc-plugin.jar
 
Accessing tftp://209.165.201.22/plugins/vnc-plugin.jar...!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/vnc...
!!!!!!!!!!!!!!!
58147 bytes copied in 2.40 secs (29073 bytes/sec)
hostname#

 
関連コマンド

コマンド
説明

revert webvpn plug-in protocol

セキュリティ アプライアンスのフラッシュ デバイスから、指定されたプラグインを削除します。

show import webvpn plug-in

セキュリティ アプライアンスのフラッシュ デバイスに存在するプラグインをリストで示します。

import webvpn translation-table

SSL VPN 接続を確立中のリモート ユーザに表示される用語の変換に使用する変換テーブルをインポートするには、特権 EXEC モードで import webvpn translation-table コマンドを使用します。

import webvpn translation-table translation_domain language language url

 
シンタックスの説明

language

変換テーブルの言語を指定します。ブラウザの言語オプションに示された方法で、 language の値を入力します。

translation_domain

リモート ユーザは機能エリアと関連するメッセージを表示できます。 表 13-3 は、指定可能な変換ドメインの一覧です。

url

カスタマイゼーション オブジェクトの作成に使用する XML ファイルの URL を指定します。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。

リモート ユーザに表示される各機能領域とそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。 表 13-3 に、変換ドメインと変換される機能領域を示します。

表 13-3 変換ドメインと影響を受ける機能領域

変換ドメイン
変換される機能領域

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン/ログアウト ページとポータル ページのメッセージ、およびユーザがカスタマイズ可能なメッセージのすべて。

banners

リモート ユーザに表示されるバナーと VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

リモート デスクトップ プロトコル プラグインのメッセージ。

plugin-telnet、ssh

Telnet および SSH のプラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

変換テンプレートは、変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。セキュリティ アプライアンス用のソフトウェア イメージ パッケージには、標準機能の一部として、各ドメインのテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログイン/ログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズできるため、 セキュリティ アプライアンスは、ダイナミックに customization および url-list 変換ドメイン テンプレートを生成して、これらの機能領域への変更を自動的にそのテンプレートに反映させます。

export webvpn translation-table コマンドを使用する変換ドメイン用のテンプレートをダウンロードし、メッセージに変更を加え、 import webvpn translation-table コマンドを使用してオブジェクトを作成します。 show import webvpn translation-table コマンドを使用すると、使用可能なオブジェクトを表示できます。

ブラウザの言語オプションに示された方法で、 language を指定してください。たとえば、Microsoft Internet Explorer では、中国語には短縮形の zh を使用します。セキュリティ アプライアンスにインポートされた変換テーブルにも、 zh という名前を付ける必要があります。

AnyConnect 変換ドメイン以外は、カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを指定して、グループ ポリシーまたはユーザのカスタマイゼーションを指定するまでは、変換テーブルには何も反映されず、メッセージも変換されません。AnyConnect ドメインの変換テーブルに加えられた変更は、AnyConnect クライアント ユーザにすぐに表示されます。詳細については、 import webvpn customization コマンドを参照してください。

次の例では、AnyConnect クライアント ユーザ インターフェイスに影響を与える変換ドメイン用の変換テーブルをインポートし、この変換テーブルは中国語用であることを指定します。 show import webvpn translation-table コマンドは、次の新しいオブジェクトを表示します。

hostname# import webvpn translation-table anyconnect language zh tftp://209.165.200.225/anyconnect
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
zh AnyConnect

 
関連コマンド

コマンド
説明

export webvpn translation-table

変換テーブルをエクスポートします。

import webvpn customization

変換テーブルを参照するカスタマイゼーション オブジェクトをインポートします。

revert

フラッシュから変換テーブルを削除します。

show import webvpn translation-table

使用可能な変換テーブルのテンプレートと変換テーブルを表示します。

import webvpn url-list

セキュリティ アプライアンス のフラッシュ デバイスに URL リストをロードするには、特権 EXEC モードで import webvpn rl-list コマンドを入力します。

import webvpn url-list name URL

 
シンタックスの説明

name

URL リストを識別する名前。最大 64 文字です。

URL

URL リストのソースへのリモート パス。最大 255 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンドの履歴

リリース
変更内容

(8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

import url-list コマンドを入力する前に、WebVPN がセキュリティ アプライアンス インターフェイスでイネーブルになっていることを確認してください。この確認を行うには、 show running-config コマンドを入力します。

URL リストをインポートすると、セキュリティ アプライアンスは次の処理を実行します。

この URL リストをその URL から セキュリティ アプライアンス ファイル システム disk0:/csco_config/url-lists に、 name on flash = base 64 name としてコピーします。

ファイルで基本 XML シンタックス チェックを実行します。無効な場合、セキュリティ アプライアンスはこのファイルを削除します。

index.ini 内のファイルにレコード base 64 name が含まれていることを確認します。このレコードが含まれていない場合、セキュリティ アプライアンス はこのファイルに base 64 name を追加します。

この name ファイルに、ramfs name = name と指定して RAMFS /csco_config/url-lists/ にコピーします。

次の例では、209.165.201.22/url-lists という URL から、URL リスト NewList.xml をセキュリティ アプライアンスにインポートし、このリストに ABCList という名前を付けます。

hostname# import webvpn url-list ABCList tftp://209.165.201.22/url-lists/NewList.xml
Accessing tftp://209.165.201.22/url-lists/NewList.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/ABClist...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

 

 
関連コマンド

コマンド
説明

revert webvpn url-list

セキュリティ アプライアンスのフラッシュ デバイスから、指定された URL リストを削除します。

show import webvpn url-list

セキュリティ アプライアンス のフラッシュ デバイスに存在する URL リストを示します。

import webvpn webcontent

リモート クライアントレス SSL VPN ユーザが表示できるフラッシュ メモリにコンテンツをインポートするには、特権 EXEC モードで import webvpn webcontent コマンドを使用します。

import webvpn webcontent < destination url > < source url >

 
シンタックスの説明

< source url >

コンテンツがある、セキュリティ アプライアンスのフラッシュ メモリの URL。最大 64 文字です。

< destination url >

エクスポート先の URL 。最大 255 文字です。

 
デフォルト

このコマンドには、デフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

リモート クライアントレス ユーザは、 webcontent オプションを使用してインポートされたコンテンツを表示できます。このコンテンツには、クライアントレス ポータルに表示されるヘルプ コンテンツと、ユーザ画面をカスタマイズするカスタマイゼーション オブジェクトが使用するロゴがあります。

パス /+CSCOE+/ を含む URL にインポートされたコンテンツは、認証されたユーザのみが表示できます。

パス /+CSCOE+/ を含む URL にインポートされたコンテンツは、認証されていないユーザと認証されたユーザのどちらも表示できます。

たとえば、/+CSCOU+/logo.gif としてインポートされた企業のロゴは、ポータル カスタマイゼーション オブジェクトで使用したり、ログイン ページとポータル ページで表示したりできます。これと同じ logo.gif ファイルを /+CSCOE+/logo.gif としてインポートすると、このファイルは、正常にログインしたリモート ユーザのみが表示できます。

さまざまなアプリケーションの画面に表示されるヘルプ コンテンツは、特定の URL にインポートする必要があります。 表 13-4 に、標準クライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL と画面領域を示します。

表 13-4 標準クライアントレス アプリケーション

URL
クライアントレス画面領域

/+CSCOE+/help/< language >/app-access-hlp.inc

アプリケーション アクセス

/+CSCOE+/help/< language >/file-access-hlp.inc

ネットワークのブラウズ

/+CSCOE+/help/< language >/net_access_hlp.html

AnyConnect クライアント

/+CSCOE+/help/< language >/web-access-help.inc

Web アクセス

表 13-5 は、オプションのプラグイン クライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL と画面領域を示しています。

表 13-5 プラグイン クライアントレス アプリケーション

URL
クライアントレス画面領域

/+CSCOE+/help/< language >/ica-hlp.inc

MetaFrame アクセス

/+CSCOE+/help/< language >/rdp-hlp.inc

ターミナル サーバ

/+CSCOE+/help/< language >/ssh,telnet-hlp.inc

Telnet/SSH サーバ

/+CSCOE+/help/< language >/vnc-hlp.inc

VNC 接続

URL パス内の < language > には、ヘルプ コンテンツ用に指定する言語の短縮形を入力します。セキュリティ アプライアンス は、実際にファイルを指定された言語に変換するわけではありませんが、ファイルにその言語の短縮形のラベルを付けます。

次の例では、HTML ファイル application_access_help.html を tftp サーバ 209.165.200.225 から、フラッシュ メモリの Application Access ヘルプ コンテンツを格納する URL にインポートします。URL には英語の短縮形である en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/application_access_help.html
!!!!* Web resource `+CSCOE+/help/en/ap-access-hlp.inc' was successfully initialized
hostname#

 

次の例では、HTML ファイル application_access_help.html を tftp サーバ 209.165.200.225 から、フラッシュ メモリの Application Access ヘルプ コンテンツを格納する URL にインポートします。URL には英語の短縮形である en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/application_access_help.html
!!!!* Web resource `+CSCOE+/help/en/ap-access-hlp.inc' was successfully initialized
hostname#

 
関連コマンド

コマンド
説明

export webvpn webcontent

クライアントレス SSL VPN ユーザに表示される、以前にインポートされたコンテンツをエクスポートします。

revert webvpn webcontent

フラッシュ メモリからコンテンツを削除します。

show import webvpn webcontent

インポートされたコンテンツに関する情報を表示します。