Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド リファレンス
interface-dhcp コマンド~ issuer-name コ マンド
interface-dhcp コマンド~ issuer-name コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 24MB) | フィードバック

目次

interface-dhcp コマンド~ issuer-name コマンド

intercept-dhcp

interface

interface(VPN ロードバランシング)

interface-policy

internal-password

interval maximum

invalid-ack

ip address

ip address dhcp

ip address pppoe

ip-address-privacy

ip audit attack

ip audit info

ip audit interface

ip audit name

ip audit signature

ip-comp

ip local pool

ip-phone-bypass

ips

ipsec-udp

ipsec-udp-port

ip verify reverse-path

ipv6 access-list

ipv6 access-list webtype

ipv6 address

ipv6 enable

ipv6 enforce-eui64

ipv6 icmp

ipv6 local pool

ipv6 nd dad attempts

ipv6 nd ns-interval

ipv6 nd prefix

ipv6 nd ra-interval

ipv6 nd ra-lifetime

ipv6 nd reachable-time

ipv6 nd suppress-ra

ipv6 neighbor

ipv6 route

ipv6-address-pool(トンネル グループ一般アトリビュート モード)

ipv6-address-pools

ipv6-vpn-filter

isakmp am-disable

isakmp disconnect-notify

isakmp enable

isakmp identity

isakmp ikev1-user-authentication

isakmp ipsec-over-tcp

isakmp keepalive

isakmp nat-traversal

isakmp policy authentication

isakmp policy encryption

isakmp policy group

isakmp policy hash

isakmp policy lifetime

isakmp reload-wait

issuer

issuer-name

interface-dhcp コマンド~ issuer-name コマンド

intercept-dhcp

DHCP 代行受信をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで intercept-dhcp enable コマンドを使用します。DHCP 代行受信をディセーブルにするには、 intercept-dhcp disable コマンドを使用します。実行コンフィギュレーションから intercept-dhcp アトリビュートを削除し、ユーザがデフォルトまたは他のグループ ポリシーから DHCP 代行受信コンフィギュレーションを継承できるようにするには、 no intercept-dhcp コマンドを使用します。

intercept-dhcp netmask { enable | disable }

no intercept-dhcp

 
シンタックスの説明

disable

DHCP 代行受信をディセーブルにします。

enable

DHCP 代行受信をイネーブルにします。

netmask

トンネル IP アドレスのサブネット マスクを提供します。

 
デフォルト

DHCP 代行受信はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

スプリット トンネル オプションが 225 バイトを超えていると、Microsoft XP に異常が発生し、ドメイン名が破損します。この問題を回避するには、セキュリティ アプライアンスで送信ルートの数を 27 ~ 40 ルートに制限します。ルートの数は、ルートのクラスによって異なります。

DHCP 代行受信を使用すると、Microsoft XP クライアントは、セキュリティ アプライアンスに対してスプリット トンネリングを使用できます。セキュリティ アプライアンスは、Microsoft Windows XP クライアントの DHCP Inform メッセージに直接応答し、そのクライアントにトンネル IP アドレスのサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。XP 以前の Windows クライアントに対しては、DHCP 代行受信は、ドメイン名とサブネット マスクを提供します。この機能は、DHCP サーバを使用することに利点がない環境に有用です。

次の例は、FirstGroup というグループ ポリシーに DHCP 代行受信を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# intercept-dhcp enable

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで interface コマンドを使用します。インターフェイス コンフィギュレーション モードでは、インターフェイスのタイプとセキュリティ コンテキスト モードに応じて、(物理インターフェイスの)ハードウェア設定値を設定し、名前、VLAN、および IP アドレスを割り当て、その他多数の設定値を設定することができます。

マルチ コンテキスト モードで、 allocate-interface コマンドを使用してマッピング名を割り当てた場合、その名前を指定する必要があります。

冗長インターフェイスまたはサブインターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスまたはマッピングされているインターフェイスは削除できません。

物理インターフェイスの場合:

interface physical_interface slot / port

冗長インターフェイスの場合:

interface redundant number

no interface redundant number

サブインターフェイスの場合:

interface { physical_interface slot / port | redundant number } . subinterface

no interface { physical_interface slot / port | redundant number } . subinterface

マッピング名が割り当てられているマルチ コンテキスト モードの場合:

interface mapped_name

 
シンタックスの説明

mapped_name

マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface slot / number

物理インターフェイスのタイプ、スロット、およびポート番号を指定します。

物理インターフェイスのタイプには、次のものがあります。

gigabitethernet

tengigabitethernet

management

インターフェイスのタイプと slot / port の間のスペースは任意です。たとえば、これらの形式は両方とも CLI で承認されますが、コマンドはスペースがない状態でコンフィギュレーションに保存されます。

interface gigabitethernet 3/1
interface gigabitethernet3/1
 

ASA 5580 適応型セキュリティ アプライアンスに使用できるインターフェイス アダプタ、またどのスロットが各アダプタ タイプをサポートするかについての詳細は、『 Cisco ASA 5500 Series Quick Start Guide 』を参照してください。

管理インターフェイスは、管理トラフィック専用の組み込みギガビット イーサネット インターフェイスで、 management0/0 および management0/1 として指定されています。

redundant number

論理冗長インターフェイスを指定します。ここで、 number は 1 ~ 8 の間にします。冗長インターフェイスはアクティブなスタンバイ物理インターフェイスとペアになります( member-interface コマンドを参照)。アクティブなインターフェイスに障害が発生した場合、スタンバイ インターフェイスがアクティブになり、トラフィックの受け渡しを開始します。

すべてのセキュリティ アプライアンスのコンフィギュレーションは、メンバーの物理インターフェイスではなく、論理冗長インターフェイスを参照します。

redundant と ID の間のスペースは任意です。

subinterface

論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。サブインターフェイスの最大数については、『 Cisco Security Appliance Command Line Configuration Guide 』のライセンス情報を参照してください。1 つまたは複数の VLAN サブインターフェイスを持つインターフェイスは、自動的に 802.1Q トランクとして設定されます。

 
デフォルト

デフォルトでは、セキュリティ アプライアンスは、すべての物理インターフェイスに対して interface コマンドを自動的に生成します。

マルチ コンテキスト モードでは、セキュリティ アプライアンスは、 allocate-interface コマンドを使用してコンテキストに割り当てられたインターフェイスすべてに対して、 interface コマンドを自動的に生成します。

インターフェイスのデフォルトの状態は、そのタイプやコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態に関係なく、すべての割り当て済みのインターフェイスはデフォルトではイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。

シングルモードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバー物理インターフェイスもイネーブルになっている必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドは、新しいサブインターフェイスの命名規則が適用できるように、また、インターフェイス コンフィギュレーション モードで引数が独立したコマンドとなるように変更されました。

7.2(1)

interface vlan コマンドが、ASA 5505 適応型セキュリティ アプライアンスでの組み込みスイッチをサポートするために追加されました。

8.0(2)

interface redundant コマンドが追加されました。

8.1(1)

tengigabitethernet インターフェイス タイプが追加されました。

 
使用上のガイドライン

イネーブルになっているインターフェイスをトラフィックが通過できるようにするには、インターフェイス コンフィギュレーション モードのコマンドである nameif および ip address (ルーテッド モード用)を設定します。サブインターフェイスの場合は、 vlan コマンドも設定します。

インターフェイス設定を変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するときは、 clear local-host コマンドを使用して接続を消去してもかまいません。

デフォルトのセキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに「inside」という名前を付けて、 security-level コマンドを使用してセキュリティ レベルを明示的に設定しないと、セキュリティ アプライアンスによりセキュリティ レベルは 100 に設定されます。

マルチ コンテキスト モードのガイドライン

コンテキスト インターフェイスは、各コンテキスト内から設定します。

すでにシステム コンフィギュレーションのコンテキストに割り当てたコンテキスト インターフェイスを設定します。他のインターフェイスは使用できません。

システム コンフィギュレーションのイーサネット設定値、冗長インターフェイス、およびサブインターフェイスを設定します。他のコンフィギュレーションは使用できません。フェールオーバー インターフェイスの場合は、例外的にシステム コンフィギュレーションで設定されます。フェールオーバー インターフェイスは、このコマンドを使用して設定しないでください。

透過ファイアウォールのガイドライン

透過ファイアウォール モードでは、2 つのインターフェイスだけトラフィックを通過させることができます。ただし、Management 0/0 または 0/1(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。

サブインターフェイスのガイドライン

サブインターフェイスの最大数:使用できるサブインターフェイス数を確認するには、『 Cisco Security Appliance Command Line Configuration Guide 』のライセンス情報を参照してください。

タグ付きでないパケットが物理インターフェイスを通過しないようにする:サブインターフェイスを使用する場合、物理インターフェイスはタグ付きでないパケットを通過させるため、一般的には、物理インターフェイスでもトラフィックを通過させないようにします。このプロパティは、冗長インターフェイスがペアのアクティブな物理インターフェイスの場合にもあてはまります。物理インターフェイスまたは冗長インターフェイスはトラフィックを通過させるサブインターフェイスに対してイネーブルにする必要があるため、物理インターフェイスまたは冗長インターフェイスは nameif コマンドを省略することで、確実にトラフィックの通過を防ぎます。物理インターフェイスまたは冗長インターフェイスをタグ付きでないパケットが通過できるようにする場合は、通常通り nameif コマンドを設定できます。

冗長インターフェイスのガイドライン

フェールオーバーのガイドライン:

フェールオーバーまたは状態リンク用に冗長インターフェイスを使用する場合、プライマリ装置だけでなくセカンダリ装置上でも、基本的なコンフィギュレーションの一部として冗長インターフェイスを設定する必要があります。

フェールオーバーまたは状態リンク用に冗長インターフェイスを使用する場合、2 つの装置間にスイッチまたはハブを配置する必要があります。これらの装置は、直接接続できません。スイッチまたはハブを配置しない場合、プライマリ装置のアクティブなポートをセカンダリ装置のスタンバイ ポートに直接接続することができます。

フェールオーバー用の冗長インターフェイスを、 monitor-interface コマンドを使用して監視できます。この場合、論理冗長インターフェイスの名前を必ず参照してください。

アクティブなインターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、装置レベルのフェールオーバーの監視中に、このアクティビティが原因で、冗長インターフェイスに障害が発生していると見なされることはありません。両方の物理インターフェイスに障害が発生した場合にのみ、冗長インターフェイスに障害が発生していると見なされます。

冗長インターフェイスの MAC アドレス:冗長インターフェイスでは、最初に追加する物理インターフェイスの MAC アドレスが使用されます。そのため、コンフィギュレーション内でメンバー インターフェイスの順番を変更すると、MAC アドレスは、現在リストの先頭に表示されているインターフェイスの MAC アドレスに一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブなインターフェイスがスタンバイ インターフェイスにフェールオーバーした場合は、同じ MAC アドレスが維持されるため、トラフィックが妨げられることはありません。

物理インターフェイスのガイドライン:メンバー インターフェイスを追加する場合は、次のガイドラインに従ってください。

両方のメンバー インターフェイスは、物理タイプが同じである必要があります。たとえば、両方ともギガビット イーサネットにする必要があります。

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず、 no nameif コマンドを使用して名前を削除する必要があります。


注意 すでに物理インターフェイスをコンフィギュレーション内で使用している場合は、名前を削除することによって、そのインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが、 speed コマンドや duplex コマンド、 description コマンド、および shutdown コマンドなどの物理パラメータです。また、 default help のような実行時コマンドを入力することもできます。

アクティブなインターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

管理専用インターフェイス

管理インターフェイスは、管理トラフィック専用の組み込みギガビット イーサネット インターフェイスで、 management0/0 および management0/1 として指定されています。ただし、必要に応じて、通過トラフィックに使用することもできます( management-only コマンドを参照)。管理インターフェイスは最大スループットをサポートしていません。

透過ファイアウォール モードでは、通過トラフィック用の 2 つのインターフェイスのほかに、(管理目的の)管理インターフェイスを使用できます。

また、管理インターフェイスにサブインターフェイスを追加して、マルチ コンテキスト モードのセキュリティ コンテキストごとに管理できます。

次の例では、シングルモードで、物理インターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet3/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

次の例では、シングルモードで、サブインターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet3/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次の例では、マルチ コンテキスト モードで、システム コンフィギュレーションのインターフェイス パラメータを設定し、gigabitethernet 3/1.1 サブインターフェイスを contextA に割り当てます。

hostname(config)# interface gigabitethernet3/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet3/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# no shutdown
hostname(config-subif)# context contextA
hostname(config-ctx)# ...
hostname(config-ctx)# allocate-interface gigabitethernet3/1.1
 

次の例では、マルチ コンテキスト モードで、コンテキスト コンフィギュレーションのパラメータを設定します。

hostname/contextA(config)# interface gigabitethernet3/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# no shutdown
 

次の例では、2 つの冗長インターフェイスを作成します。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 3/0
hostname(config-if)# member-interface gigabitethernet 3/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 3/2
hostname(config-if)# member-interface gigabitethernet 3/3
 

 
関連コマンド

コマンド
説明

allocate-interface

セキュリティ コンテキストにインターフェイスおよびサブインターフェイスを割り当てます。

member-interface

冗長インターフェイスにインターフェイスを割り当てます。

clear interface

show interface コマンドのカウンタを消去します。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

vlan

サブインターフェイスに VLAN を割り当てます。

interface(VPN ロードバランシング)

VPN ロードバランシング仮想クラスタで VPN ロードバランシングのデフォルト以外のパブリックまたはプライベート インターフェイスを指定するには、VPN ロードバランシング モードで interface コマンドを使用します。インターフェイスの指定を削除して、デフォルト インターフェイスに戻すには、このコマンドの no 形式を使用します。

interface { lbprivate | lbpublic} interface-name ]

no interface { lbprivate | lbpublic }

 
シンタックスの説明

interface-name

VPN ロードバランシング クラスタのパブリックまたはプライベート インターフェイスとして設定するインターフェイスの名前。

lbprivate

このコマンドが VPN ロードバランシングのプライベート インターフェイスを設定するように指定します。

lbpublic

このコマンドが VPN ロードバランシングのパブリック インターフェイスを設定するように指定します。

 
デフォルト

interface コマンドを省略した場合、デフォルトでは、 lbprivate インターフェイスは 内部 に、 lbpublic インターフェイスは 外部 に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

VPN ロードバランシング

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。

また、事前に interface ip address 、および nameif コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。

このコマンドの no 形式を使用すると、インターフェイスがデフォルトに戻ります。

次に、 vpn load-balancing コマンド シーケンスの例を示します。このコマンド シーケンスには、クラスタのパブリック インターフェイスを「test」として指定する interface コマンドと、クラスタのプライベート インターフェイスをデフォルト(内部)に戻す interface コマンドが含まれています。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# no interface lbprivate
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロードバランシング モードに入ります。

interface-policy

監視中にインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

interface-policy num [ % ]

no interface-policy num [ % ]

 
シンタックスの説明

num

1 ~ 100 の数を指定するか(パーセンテージとして使用する場合)、または 1 からインターフェイスの最大数までの数を指定します。

%

(オプション) num の数が監視対象インターフェイスのパーセンテージであることを指定します。

 
デフォルト

装置に対して failover interface-policy コマンドが設定されている場合は、その値が interface-policy フェールオーバー グループ コマンドのデフォルトと見なされます。設定されていなければ、 num は 1 になっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

num 引数とオプションの % キーワードの間にスペースを含めないでください。

障害が発生したインターフェイスの数が設定済みポリシーの基準を満たした場合、他のセキュリティ アプライアンスが正常に機能しているときは、セキュリティ アプライアンスは自身を障害としてマークし、場合によってはフェールオーバーが発生します(アクティブなセキュリティ アプライアンスに障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドで監視対象として指定したインターフェイスのみです。

次の例(抜粋)は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# interface-policy 25%
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover interface-policy

インターフェイス モニタリング ポリシーを設定します。

monitor-interface

フェールオーバーのために監視対象にするインターフェイスを指定します。

internal-password

内部サーバへのアクセス用に、オプションで別のパスワードを設定するには、webvpn コンフィギュレーション モードで internal-password コマンドを使用します。内部パスワードを使用する機能をディセーブルにするには、このコマンドの no 形式を使用します。

internal-password enable

no internal password

 
シンタックスの説明

enable

内部パスワードの使用をイネーブルにします。

 
デフォルト

ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

内部パスワードがイネーブルの場合、エンド ユーザはクライアントレス SSL VPN セッションへのログイン時の 2 番目のパスワードを入力します。セキュリティ アプライアンスは、この 2 番目のパスワードをユーザ名と共に認証用に内部サーバに提示します。この機能は、内部パスワードを SSL VPN パスワードとは異なるパスワードにする必要がある場合に便利です。具体的には、セキュリティ アプライアンスへの認証にワンタイム パスワードを使用でき、内部サイト用に別のパスワードを使用できます。

次の例は、内部パスワードをイネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# internal password enable
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn コンフィギュレーション モードに入って、クライアントレス SSLVPN 接続のアトリビュートを設定できるようにします。

interval maximum

DDNS アップデート方式によるアップデート試行間の最大間隔を設定するには、DDNS アップデート方式モードで interval コマンドを使用します。実行コンフィギュレーションから DDNS アップデート方式の間隔を削除するには、このコマンドの no 形式を使用します。

interval maximum days hours minutes seconds

no interval maximum days hours minutes seconds

 
シンタックスの説明

days

アップデート試行間の日数を 0 ~ 364 の範囲に指定します。

hours

アップデート試行間の時間数を 0 ~ 23 の範囲に指定します。

minutes

アップデート試行間の分数を 0 ~ 59 の範囲に指定します。

seconds

アップデート試行間の秒数を 0 ~ 59 の範囲に指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

DDNS アップデート方式コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

日数、時間数、分数、秒数がまとめて加算されて合計間隔が示されます。

次の例では 3 分 15 秒ごとにアップデートされる ddns-2 という方式が設定されます。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# interval maximum 0 0 3 15
 

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート 方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

ダイナミック DNS(DDNS)のアップデート方式を、セキュリティ アプライアンス インターフェイスまたは DDNS アップデート ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

dhcp-client update dns

DHCP クライアントが DHCP サーバに渡すアップデート パラメータを設定します。

dhcpd update dns

DHCP サーバによるダイナミック DNS アップデートの実行をイネーブルにします。

invalid-ack

ACK が無効なパケットのアクションを設定するには、tcp-map コンフィギュレーション モードで invalid-ack コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブル化される TCP 正規化ポリシーの一部です。

invalid-ack { allow | drop }

no invalid-ack

 
シンタックスの説明

allow

ACK が無効なパケットを許可します。

drop

ACK が無効なパケットをドロップします。

 
デフォルト

デフォルト操作では、ACK が無効なパケットがドロップされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map :TCP 正規化アクションを指定します。

a. invalid-ack :tcp マップ コンフィギュレーション モードでは、 invalid-ack コマンドおよびその他の多数のコマンドを入力できます。

2. class-map :TCP 正規化を実行するトラフィックを指定します。

3. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced-options :作成した TCP マップを指定します。

4. service-policy :ポリシー マップをインターフェイスごとに、あるいはグローバルに割り当てます。

以下のインスタンスで無効な ACK が見られる場合があります。

TCP 接続 SYN-ACK 受信ステータスで、受信した TCP パケットの ACK 番号が次に送出される TCP パケットのシーケンス番号と正確に一致していない場合、そのパケットの ACK は無効です。

受信 TCP パケットの ACK 番号が次に送出される TCP パケットのシーケンス番号より大きい場合は必ず、そのパケットの ACK は無効です。


) ACK が無効な TCP パケットは WAAS 接続には自動的に許可されます。


次の例は、ACK が無効なパケットを許可するようセキュリティ アプライアンスを設定しています。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# invalid-ack allow
hostname(config)# class-map cmap
hostname(config-cmap)# match any
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

サービス ポリシーに対してトラフィックを指定します。

policy-map

サービス ポリシーのトラフィックに適用するアクションを指定します。

set connection advanced-options

TCP 正規化をイネーブルにします。

service-policy

サービス ポリシーをインターフェイスに適用します。

show running-config tcp-map

TCP マップのコンフィギュレーションを表示します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

ip address

インターフェイスの IP アドレス(ルーテッド モード)または管理アドレスの IP アドレス(透過モード)を設定するには、 ip address コマンドを使用します。ルーテッド モードの場合は、インターフェイス コンフィギュレーション モードでこのコマンドを入力します。透過モードの場合は、グローバル コンフィギュレーション モードでこのコマンドを入力します。IP アドレスを削除するには、このコマンドの no 形式を使用します。このコマンドは、また、フェールオーバー用のスタンバイ アドレスを設定します。

ip address ip_address [ mask ] [ standby ip_address ]

no ip address [ ip_address ]

 
シンタックスの説明

ip_address

インターフェイスの IP アドレス(ルーテッド モード)、または管理 IP アドレス(透過モード)。

mask

(オプション)IP アドレスのサブネット マスク。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスのデフォルト マスクを使用します。

standby ip_address

(オプション)フェールオーバー用のスタンバイ装置の IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

ルーテッド モードに関して、このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。

 
使用上のガイドライン

シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスは一意のサブネット上にある必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイス上にある場合、各 IP アドレスは一意で、同じサブネット上にある必要があります。インターフェイスが一意の場合、この IP アドレスは、必要に応じて他のコンテキストで使用することができます。

透過ファイアウォールは、IP ルーティングには参加しません。セキュリティ アプライアンスに必要な唯一の IP コンフィギュレーションは、管理 IP アドレスを設定することです。このアドレスが必要な理由は、セキュリティ アプライアンスがセキュリティ アプライアンス上で発信するトラフィック(システム メッセージや AAA サーバとの通信など)の送信元アドレスとして、このアドレスを使用するためです。また、このアドレスは、リモート管理アクセスに使用することもできます。このアドレスは、アップストリーム ルータおよびダウンストリーム ルータと同じサブネット上にある必要があります。マルチ コンテキスト モードの場合は、各コンテキスト内で管理 IP アドレスを設定します。

スタンバイ IP アドレスは、メイン IP アドレスと同じサブネット上にある必要があります。

次の例では、2 つのインターフェイスの IP アドレスとスタンバイ アドレスを設定します。

hostname(config)# interface gigabitethernet0/2
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/3
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0 standby 10.1.2.2
hostname(config-if)# no shutdown
 

次の例では、透過ファイアウォールの管理アドレスとスタンバイ アドレスを設定します。

hostname(config)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address dhcp

DHCP サーバから IP アドレスを取得するようにインターフェイスを設定します。

show ip address

インターフェイスに割り当てられた IP アドレスを表示します。

ip address dhcp

DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイス コンフィギュレーション モードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントをディセーブルにするには、このコマンドの no 形式を使用します。

ip address dhcp [ setroute ]

no ip address dhcp

 
シンタックスの説明

setroute

(オプション)DHCP サーバから提供されるデフォルト ルートをセキュリティ アプライアンスが使用できるようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。また、このコマンドが、外部インターフェイスだけでなく、すべてのインターフェイス上でイネーブルにできるようになりました。

 
使用上のガイドライン

DHCP リースをリセットして新しいリースを要求するには、このコマンドを再入力します。

no shutdown コマンドを使用してインターフェイスをイネーブルにしないで ip address dhcp コマンドを入力すると、一部の DHCP 要求が送信されない場合があります。

次の例では、gigabitethernet0/1 インターフェイス上で DHCP をイネーブルにします。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# no shutdown
hostname(config-if)# ip address dhcp
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address

インターフェイスの IP アドレスを設定します。または、透過ファイアウォールの管理 IP アドレスを設定します。

show ip address dhcp

DHCP サーバから取得した IP アドレスを表示します。

ip address pppoe

PPPoE をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip address pppoe コマンドを使用します。PPPoE をディセーブルにするには、このコマンドの no 形式を使用します。

ip address [ ip_address [ mask ]] p ppoe [ setroute ]

no ip address [ ip_address [ mask ]] p ppoe

 
シンタックスの説明

ip_address

PPPoE サーバからアドレスを受信せずに、IP アドレスを手作業で設定します。

mask

IP アドレスのサブネット マスクを指定します。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスのデフォルト マスクを使用します。

setroute

セキュリティ アプライアンスでは、PPPoE サーバから提供されるデフォルト ルートが使用されます。PPPoE サーバがデフォルト ルートを送信しない場合、セキュリティ アプライアンスはゲートウェイとしてアクセス コンセントレータのアドレスによりデフォルト ルートを作成します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

PPPoE では広く普及している規格であるイーサネットと PPP の 2 つを組み合せて、クライアント システムに認証方式で IP アドレスを割り当てます。ISP が PPPoE を導入している理由は、PPPoE が既存のリモート アクセス インフラストラクチャを使用する高速ブロードバンド アクセスをサポートしており、顧客が簡単に使用できるためです。

PPPoE を使用して IP アドレスを設定する前に、 vpdn コマンドを使用してユーザ名、パスワード、認証プロトコルを設定します。複数のインターフェイスで、たとえば、ISP へのバックアップ リンクとして、このコマンドをイネーブルにする場合、必要に応じて pppoe client vpdn group コマンドを使用して、異なるグループに各インターフェイスを割り当てることができます。

Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズは自動的に 1492 バイトに設定されます。この値は、イーサネット フレーム内で PPPoE 伝送を許可する正しい値です。

PPPoE セッションをリセットし再起動するには、このコマンドを再度入力します。

このコマンドは、 ip address コマンドまたは ip address dhcp コマンドと同時には設定できません。

次の例では、Gigabitethernet 0/1 インターフェイス上で PPPoE をイネーブルにします。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address pppoe
hostname(config-if)# no shutdown
 

次の例では、PPPoE インターフェイスに対して IP アドレスを手動で設定します。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 pppoe
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

ip address

インターフェイスの IP アドレスを設定します。

pppoe client vpdn group

このインターフェイスを特定の VPDN グループに割り当てます。

show ip address pppoe

PPPoE サーバから取得した IP アドレスを表示します。

vpdn group

VPDN グループを作成し、PPPoE クライアントを設定します。

ip-address-privacy

IP アドレスのプライバシーをイネーブルにするには、パラメータ コンフィギュレーション モードで ip-address-privacy コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

ip-address-privacy

no ip-address-privacy

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、SIP 検査ポリシー マップにおいて、SIP 上での IP アドレスのプライバシーをイネーブルにする方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# ip-address-privacy
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

ip audit attack

攻撃シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit attack コマンドを使用します。デフォルト アクションに戻す(接続をリセットする)には、このコマンドの no 形式を使用します。アクションは複数指定することも、一切指定しないこともできます。

ip audit attack [ action [ alarm ] [ drop ] [ reset ]]

no ip audit attack

 
シンタックスの説明

action

(オプション)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。

alarm

(デフォルト)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

(オプション)パケットをドロップします。

reset

(オプション)パケットをドロップし、接続を閉じます。

 
デフォルト

デフォルト アクションは、アラームの送信です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドにアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

次の例では、攻撃シグニチャに一致するパケットに対するデフォルト アクションを、alarm および reset に設定します。内部インターフェイスの監査ポリシーは、このデフォルトを無効にして alarm のみに設定します。一方、外部インターフェイスのポリシーは、 ip audit attack コマンドで設定されたデフォルト設定を使用します。

hostname(config)# ip audit attack action alarm reset
hostname(config)# ip audit name insidepolicy attack action alarm
hostname(config)# ip audit name outsidepolicy attack
hostname(config)# ip audit interface inside insidepolicy
hostname(config)# ip audit interface outside outsidepolicy
 

 
関連コマンド

コマンド
説明

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit attack

ip audit attack コマンドのコンフィギュレーションを表示します。

ip audit info

情報シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit info コマンドを使用します。デフォルト アクションに戻す(アラームを生成する)には、このコマンドの no 形式を使用します。アクションは複数指定することも、一切指定しないこともできます。

ip audit info [ action [ alarm ] [ drop ] [ reset ]]

no ip audit info

 
シンタックスの説明

action

(オプション)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは入力したものと見なして action キーワードをコンフィギュレーションに記述します。

alarm

(デフォルト)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

(オプション)パケットをドロップします。

reset

(オプション)パケットをドロップし、接続を閉じます。

 
デフォルト

デフォルト アクションは、アラームの生成です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドにアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

次の例では、情報シグニチャに一致するパケットに対するデフォルト アクションを、alarm および reset に設定します。内部インターフェイスの監査ポリシーは、このデフォルトを無効にして alarm および drop に設定します。一方、外部インターフェイスのポリシーは、 ip audit info コマンドで設定されたデフォルト設定を使用します。

hostname(config)# ip audit info action alarm reset
hostname(config)# ip audit name insidepolicy info action alarm drop
hostname(config)# ip audit name outsidepolicy info
hostname(config)# ip audit interface inside insidepolicy
hostname(config)# ip audit interface outside outsidepolicy
 

 
関連コマンド

コマンド
説明

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit info

ip audit info コマンドのコンフィギュレーションを表示します。

ip audit interface

インターフェイスに監査ポリシーを割り当てるには、グローバル コンフィギュレーション モードで ip audit interface コマンドを使用します。ポリシーをインターフェイスから削除するには、このコマンドの no 形式を使用します。

ip audit interface interface_name policy_name

no ip audit interface interface_name policy_name

 
シンタックスの説明

interface_name

インターフェイス名を指定します。

policy_name

ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーと attack ポリシーを割り当てることができます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、監査ポリシーを内部インターフェイスと外部インターフェイスに適用します。

hostname(config)# ip audit name insidepolicy1 attack action alarm
hostname(config)# ip audit name insidepolicy2 info action alarm
hostname(config)# ip audit name outsidepolicy1 attack action reset
hostname(config)# ip audit name outsidepolicy2 info action alarm
hostname(config)# ip audit interface inside insidepolicy1
hostname(config)# ip audit interface inside insidepolicy2
hostname(config)# ip audit interface outside outsidepolicy1
hostname(config)# ip audit interface outside outsidepolicy2
 

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit interface

ip audit interface コマンドのコンフィギュレーションを表示します。

ip audit name

パケットが定義済みの攻撃シグニチャまたは情報シグニチャに一致する場合に実行するアクションを識別する、名前付き監査ポリシーを作成するには、グローバル コンフィギュレーション モードで ip audit name コマンドを使用します。シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃(サービス拒絶攻撃)に一致するシグニチャがあります。ポリシーを削除するには、このコマンドの no 形式を使用します。

ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]

no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]

 
シンタックスの説明

action

(オプション)一連のアクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスは、 ip audit attack コマンドと ip audit info コマンドで設定されたデフォルト アクションを使用します。

alarm

(オプション)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

attack

攻撃シグニチャの監査ポリシーを作成します。パケットは、DoS 攻撃や不正な FTP コマンドなど、ネットワークに対する攻撃の一部である可能性があります。

drop

(オプション)パケットをドロップします。

info

情報シグニチャの監査ポリシーを作成します。パケットは、現在のところ、ネットワークを攻撃することはありませんが、ポート スィープなど、情報収集アクティビティの一部である可能性があります。

name

ポリシーの名前を設定します。

reset

(オプション)パケットをドロップし、接続を閉じます。

 
デフォルト

ip audit attack コマンドと ip audit info コマンドを使用してデフォルト アクションを変更していない場合、攻撃シグニチャと情報シグニチャに対するデフォルト アクションは、アラームの生成になっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

ポリシーを適用するには、 ip audit interface コマンドを使用してインターフェイスにポリシーを割り当てます。各インターフェイスに info ポリシーと attack ポリシーを割り当てることができます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

トラフィックがシグニチャに一致する場合、そのトラフィックに対してアクションを実行するときは、 shun コマンドを使用して、攻撃ホストからの新しい接続を防止し、既存の接続からのパケットを拒否します。

次の例では、攻撃シグニチャと情報シグニチャに対してアラームを生成するように、内部インターフェイスの監査ポリシーを設定します。一方、外部インターフェイスのポリシーでは、攻撃の接続をリセットします。

hostname(config)# ip audit name insidepolicy1 attack action alarm
hostname(config)# ip audit name insidepolicy2 info action alarm
hostname(config)# ip audit name outsidepolicy1 attack action reset
hostname(config)# ip audit name outsidepolicy2 info action alarm
hostname(config)# ip audit interface inside insidepolicy1
hostname(config)# ip audit interface inside insidepolicy2
hostname(config)# ip audit interface outside outsidepolicy1
hostname(config)# ip audit interface outside outsidepolicy2
 

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

shun

特定の送信元アドレスと宛先アドレスが指定されたパケットをブロックします。

ip audit signature

監査ポリシーのシグニチャをディセーブルにするには、グローバル コンフィギュレーション モードで ip audit signature コマンドを使用します。シグニチャを再度イネーブルにするには、このコマンドの no 形式を使用します。正当なトラフィックがシグニチャに継続的に一致する場合、シグニチャをディセーブルにするリスクがあっても多数のアラームを回避することを考えているときは、ディセーブルにしてもかまいません。

ip audit signature signature_number disable

no ip audit signature signature_number

 
シンタックスの説明

signature_number

ディセーブルにするシグニチャの番号を指定します。サポートされているシグニチャのリストについては、 表 15-1 を参照してください。

disable

シグニチャをディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

表 15-1 に、サポートされているシグニチャとシステム メッセージ番号を示します。

 

表 15-1 シグニチャ ID とシステム メッセージ番号

シグニチャ ID
メッセージ番号
シグニチャ タイトル
シグニチャ タイプ
説明

1000

400000

IP オプション:不良オプション リスト

情報

受信した IP データグラムの IP データグラム ヘッダーにある IP オプションのリストが不完全な場合や変造されている場合にトリガーされます。IP オプションのリストには、種々のネットワーク管理タスクやデバッグ タスクを実行するオプションが 1 つ以上含まれています。

1001

400001

IP オプション:記録パケット ルート

情報

受信した IP データグラムの IP オプション リストにオプション 7(記録パケット ルート)が含まれている場合にトリガーされます。

1002

400002

IP オプション:タイムスタンプ

情報

受信した IP データグラムの IP オプション リストにオプション 4(タイムスタンプ)が含まれている場合にトリガーされます。

1003

400003

IP オプション:セキュリティ

情報

受信した IP データグラムの IP オプション リストにオプション 2(セキュリティ オプション)が含まれている場合にトリガーされます。

1004

400004

IP オプション:発信元ルートの損失

情報

受信した IP データグラムの IP オプション リストにオプション 3(発信元ルートの損失)が含まれている場合にトリガーされます。

1005

400005

IP オプション:SATNET ID

情報

受信した IP データグラムの IP オプション リストにオプション 8(SATNET ストリーム ID)が含まれている場合にトリガーされます。

1006

400006

IP オプション:完全発信元ルート

情報

受信した IP データグラムの IP オプション リストにオプション 2(完全発信ルーティング)が含まれている場合にトリガーされます。

1100

400007

IP フラグメント攻撃

攻撃

受信した IP データグラムのオフセット フィールドに含まれているオフセット値が 0 より大きく 5 より小さい場合にトリガーされます。

1102

400008

IP 不可能パケット

攻撃

到着した IP パケットの送信元アドレスと宛先アドレスが一致している場合にトリガーされます。攻撃を捕捉します。

1103

400009

IP フラグメント重複(Teardrop)

攻撃

同じ IP データグラムに含まれている 2 つのフラグメントが、データグラム内で両フラグメントが位置決めを共有していることを示すオフセットを持っている場合にトリガーされます。これは、フラグメント A がフラグメント B によって完全に上書きされること、またはフラグメント A がフラグメント B によって部分的に上書きされることを意味する場合があります。一部のオペレーティング システムは、このように重複するフラグメントを正しく処理しないため、重複フラグメントを受信したときに、例外を投げたり、不適切に動作したりする場合があります。このようにして、Teardrop 攻撃から DoS が引き起こされます。

2000

400010

ICMP エコー応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 0(エコー応答)に設定されている場合にトリガーされます。

2001

400011

ICMP ホスト到達不能

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 3(ホスト到達不能)に設定されている場合にトリガーされます。

2002

400012

ICMP 送信元抑制

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 4(送信元抑制)に設定されている場合にトリガーされます。

2003

400013

ICMP リダイレクト

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 5(リダイレクト)に設定されている場合にトリガーされます。

2004

400014

ICMP エコー要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 8(エコー要求)に設定されている場合にトリガーされます。

2005

400015

データグラムの ICMP タイム超過

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 11(データグラムのタイム超過)に設定されている場合にトリガーされます。

2006

400016

データグラム上の ICMP パラメータ問題

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 12(データグラム上のパラメータ問題)に設定されている場合にトリガーされます。

2007

400017

ICMP タイムスタンプ要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 13(タイムスタンプ要求)に設定されている場合にトリガーされます。

2008

400018

ICMP タイムスタンプ応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 14(タイムスタンプ応答)に設定されている場合にトリガーされます。

2009

400019

ICMP 情報要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 15(情報要求)に設定されている場合にトリガーされます。

2010

400020

ICMP 情報応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 16(ICMP 情報応答)に設定されている場合にトリガーされます。

2011

400021

ICMP アドレス マスク要求

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 17(アドレス マスク要求)に設定されている場合にトリガーされます。

2012

400022

ICMP アドレス マスク応答

情報

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、ICMP ヘッダーのタイプ フィールドが 18(アドレス マスク応答)に設定されている場合にトリガーされます。

2150

400023

フラグメント化された ICMP トラフィック

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定されているほか、それ以外にも 1(ICMP)に設定されたフラグメント フラグがあるか、またはオフセット フィールドにオフセットが含まれている場合にトリガーされます。

2151

400024

大きい ICMP トラフィック

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、IP の長さが 1024 より大きい場合にトリガーされます。

2154

400025

Ping of Death 攻撃

攻撃

受信した IP データグラムの IP ヘッダーのプロトコル フィールドが 1(ICMP)に設定され、Last Fragment ビットが設定され、(IP オフセット * 8)+(IP データ長)> 65,535 の式が成り立つ場合にトリガーされます。この式は、IP オフセット(元のパケットにおけるこのフラグメントの開始位置で、8 バイト単位)と残りのパケットの合計が IP パケットの最大サイズを超えていることを意味します。

3040

400026

TCP NULL フラグ

攻撃

SYN、FIN、ACK、または RST フラグがいずれも設定されていない単一の TCP パケットが、特定のホストに送信された場合にトリガーされます。

3041

400027

TCP SYN+FIN フラグ

攻撃

SYN および FIN フラグが設定されている単一の TCP パケットが、特定のホストに送信された場合にトリガーされます。

3042

400028

TCP FIN のみのフラグ

攻撃

単一の身元不明 TCP FIN パケットが、特定のホスト上の特権ポート(ポート番号は 1024 より小さい)に送信された場合にトリガーされます。

3153

400029

FTP に誤ったアドレスを指定

情報

ポート コマンドが、要求元ホストとは異なるアドレスを使用して発行された場合にトリガーされます。

3154

400030

FTP に誤ったポートを指定

情報

ポート コマンドが、1024 未満または 65535 を超えるデータ ポートを指定して発行された場合にトリガーされます。

4050

400031

UDP Bomb 攻撃

攻撃

指定された UDP の長さが、指定された IP の長さより小さい場合にトリガーされます。この変造パケット タイプは、DoS 攻撃に関連付けられています。

4051

400032

UDP Snork 攻撃

攻撃

検出された UDP パケットの送信元ポートが 135、7、または 19 のいずれかで、宛先ポートが 135 の場合にトリガーされます。

4052

400033

UDP Chargen DoS 攻撃

攻撃

このシグニチャがトリガーされるのは、検出された UDP パケットの送信元ポートが 7 で、宛先ポートが 19 の場合です。

6050

400034

DNS HINFO 要求

情報

DNS サーバの HINFO レコードにアクセスする攻撃が発生した場合にトリガーされます。

6051

400035

DNS ゾーン転送

情報

通常の DNS ゾーン転送(送信元ポートは 53)が発生した場合にトリガーされます。

6052

400036

ハイ ポートからの DNS ゾーン転送

情報

不正な DNS ゾーン転送(送信元ポートは 53 以外)が発生した場合にトリガーされます。

6053

400037

すべての記録の DNS 要求

情報

すべての記録の DNS 要求を受信した場合にトリガーされます。

6100

400038

RPC ポート登録

情報

ターゲット ホストに対して新しい RPC サービスを登録する攻撃が発生した場合にトリガーされます。

6101

400039

RPC ポート非登録

情報

ターゲット ホストに対して既存の RPC サービスを登録解除する攻撃が発生した場合にトリガーされます。

6102

400040

RPC ダンプ

情報

ターゲット ホストに RPC ダンプ要求が発行された場合にトリガーされます。

6103

400041

プロキシの RPC 要求

攻撃

ターゲット ホストのポートマッパーにプロキシの RPC 要求が送信された場合にトリガーされます。

6150

400042

ypserv(YP サーバ デーモン)Portmap 要求

情報

YP サーバ デーモン(ypserv)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6151

400043

ypbind(YP バインド デーモン)Portmap 要求

情報

YP バインド デーモン(ypbind)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6152

400044

yppasswdd(YP パスワード デーモン)Portmap 要求

情報

YP パスワード デーモン(yppasswdd)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6153

400045

ypupdated(YP アップデート デーモン)Portmap 要求

情報

YP アップデート デーモン(ypupdated)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6154

400046

ypxfrd(YP 転送デーモン)Portmap 要求

情報

YP 転送デーモン(ypxfrd)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6155

400047

mountd(マウント デーモン)Portmap 要求

情報

マウント デーモン(mountd)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6175

400048

rexd(リモート実行デーモン)Portmap 要求

情報

リモート実行デーモン(rexd)ポートのポートマッパーに要求が送信された場合にトリガーされます。

6180

400049

rexd(リモート実行デーモン)攻撃

情報

rexd プログラムが呼び出された場合にトリガーされます。リモート実行デーモンは、リモート プログラムの実行を担当するサーバです。これは、システム リソースに不正アクセスする攻撃の兆候である可能性があります。

6190

400050

statd バッファ オーバーフロー

攻撃

大規模な statd 要求が送信された場合にトリガーされます。これは、バッファをオーバーフローさせ、システム リソースにアクセスする攻撃である可能性があります。

次の例では、シグニチャ 6100 をディセーブルにします。

hostname(config)# ip audit signature 6100 disable
 

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

show running-config ip audit signature

ip audit signature コマンドのコンフィギュレーションを表示します。

ip-comp

LZS IP 圧縮をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-comp enable コマンドを使用します。IP 圧縮をディセーブルにするには、 ip-comp disable コマンドを使用します。

ip-comp アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループ ポリシーから継承できます。

ip-comp { enable | disable}

no ip-comp

 
シンタックスの説明

disable

IP 圧縮をディセーブルにします。

enable

IP 圧縮をイネーブルにします。

 
デフォルト

IP 圧縮はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

データ圧縮をイネーブルにすると、モデムで接続しているリモート ダイヤルイン ユーザのデータ伝送速度が向上する場合があります。


注意 データ圧縮を行うと、各ユーザ セッションのメモリ要件と CPU 使用率が増加するため、セキュリティ アプライアンスのスループット全体が低下します。このため、データ圧縮は、モデムで接続しているリモート ユーザに対してのみイネーブルにすることをお勧めします。モデム ユーザに固有のグループ ポリシーを設計し、このユーザに対してのみ圧縮をイネーブルにします。

次の例は、「FirstGroup」というグループ ポリシーに対して IP 圧縮をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ip-comp enable

ip local pool

VPN リモートアクセス トンネルに使用する IP アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。

ip local pool poolname first-address--last-address [ mask mask ]

no ip local pool poolname

 
シンタックスの説明

first-address

IP アドレスの範囲の開始アドレスを指定します。

last-address

IP アドレスの範囲の最終アドレスを指定します。

mask mask

(オプション)アドレス プールのサブネット マスクを指定します。

poolname

IP アドレス プールの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0

このコマンドが導入されました。

 
使用上のガイドライン

VPN クライアントに割り当てられた IP アドレスが非標準のネットワークに属する場合は、マスク値を指定する必要があります。デフォルト マスクを使用すると、データが誤ってルーティングされる可能性があります。一般的な例として、デフォルトでクラス A ネットワークになっている IP ローカル プールに 10.10.10.0/255.255.255.0 のアドレスが含まれている場合を考えます。この場合、VPN クライアントが複数のインターフェイス上で 10 ネットワーク内の複数のサブネットにアクセスしようとすると、ルーティングの問題が発生する可能性があります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 経由で使用可能で、10.10.10.0 ネットワークが VPN トンネル上およびインターフェイス 1 経由で使用可能な場合、VPN クライアントでは、プリンタ宛のデータのルーティング先について混乱が生じます。10.10.10.0 と 10.10.100.0 のサブネットは両方とも 10.0.0.0 クラス A ネットワークに該当するため、プリンタのデータは VPN トンネル上で送信される場合があります。

次の例では、firstpool という IP アドレス プールを設定します。開始アドレスは 10.20.30.40 で、終了アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。

hostname(config)# ip local pool firstpool 10.20.30.40-10.20.30.50 mask 255.255.255.0
 

 
関連コマンド

コマンド
説明

clear configure ip local pool

すべての IP ローカル プールを削除します。

show running-config ip local pool

ip プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。

ip-phone-bypass

IP Phone Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-phone-bypass enable コマンドを使用します。IP Phone Bypass をディセーブルにするには、 ip-phone-bypass disable コマンドを使用します。IP phone Bypass アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、IP Phone Bypass の値を別のグループ ポリシーから継承できます。

IP Phone Bypass を使用すると、ハードウェア クライアントの背後にある IP 電話を接続するときに、ユーザ認証プロセスが不要になります。イネーブルの場合、Secure Unit Authentication は有効なままになります。

ip-phone-bypass { enable | disable }

no ip-phone-bypass

 
シンタックスの説明

disable

IP Phone Bypass をディセーブルにします。

enable

IP Phone Bypass をイネーブルにします。

 
デフォルト

IP Phone Bypass はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IP Phone Bypass を設定する必要があるのは、ユーザ認証をイネーブルにした場合のみです。

次の例は、FirstGroup というグループ ポリシーに対して IP Phone Bypass をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ip-phone-bypass enable

 
関連コマンド

コマンド
説明

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。

ips

ASA 5500 シリーズ適応型セキュリティ アプライアンスは、AIP SSM をサポートしています。AIP SSM は、予防的な、フル装備の侵入防御サービスを提供する拡張 IPS ソフトウェアを実行し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックが、お客様のネットワークに影響を与える前に阻止します。この適応型セキュリティ アプライアンスから、検査を行うためにトラフィックを AIP SSM に転送するには、クラス コンフィギュレーション モードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

no ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

 
シンタックスの説明

fail-close

AIP SSM に障害が発生した場合にトラフィックをブロックします。

fail-open

AIP SSM に障害が発生した場合にトラフィックを許可します。

inline

AIP SSM にパケットを転送します。パケットは、IPS 動作の結果としてドロップされる場合があります。

promiscuous

AIP SSM に対するパケットを複製します。元のパケットを AIP SSM でドロップすることはできません。

sensor { sensor_name | mapped_name }

このトラフィックに仮想センサー名を設定します。AIP SSM(バージョン 6.0 以上)で仮想センサーを使用する場合、この引数を使ってセンサー名を指定できます。使用できるセンサー名を参照するには、 ips ... sensor ? コマンドを入力します。 利用可能なセンサーが表示されます。 show ips コマンドも使用できます。

適応型セキュリティ アプライアンス上でマルチ コンテキスト モードを使用する場合、指定できるセンサーはコンテキストに割り当てたセンサーのみです( allocate-ips コマンドを参照)。コンテキスト内で設定されている場合、 mapped_name を使用します。

センサー名を指定しないと、トラフィックはデフォルトのセンサーを使用します。マルチ コンテキスト モードの場合は、コンテキストのデフォルトのセンサーを指定できます。シングルモードの場合、またはマルチ モードでデフォルトのセンサーを指定しない場合、トラフィックは AIP SSM に設定されているデフォルトのセンサーを使用します。

AIP SSM に存在していない名前を入力すると、エラーが発生し、コマンドは拒否されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

8.0(2)

仮想センサーのサポートが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスに ips コマンドを設定する前または設定した後に、AIP SSM にセキュリティ ポリシーを設定します。適応型セキュリティ アプライアンスから AIP SSM へのセッションを確立するか( session コマンド)、または管理インターフェイス上で SSH や Telnet を使用して AIP SSM に直接接続することができます。別の方法として、ASDM を使用することもできます。AIP SSM の設定の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。

ips コマンドを設定するには、最初に、 class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。

AIP SSM は、適応型セキュリティ アプライアンスから個々のアプリケーションを実行します。ただし、アプリケーションは適応型セキュリティ アプライアンスのトラフィック フローに統合されています。AIP SSM には、管理インターフェイス以外の、外部インターフェイス自体は含まれていません。適応型セキュリティ アプライアンス上のトラフィックのクラスに ips コマンドを適用すると、トラフィック フローは次の方法で、適応型セキュリティ アプライアンスと AIP SSM を通過します。

1. トラフィックは適応型セキュリティ アプライアンスに入ります。

2. ファイアウォール ポリシーが適用されます。

3. トラフィックはバックプレーンを経由して AIP SSM に送信されます( inline キーワードを使用。トラフィックのコピーの AIP SSM への送信のみについては、 promiscuous キーワードを参照してください)。

4. AIP SSM は、そのセキュリティ ポリシーをトラフィックに適用し、適切な処理を実行します。

5. 有効なトラフィックは、バックプレーンを経由して適応型セキュリティ アプライアンスに返送されます。ただし、AIP SSM は、そのセキュリティ ポリシーに従って一部のトラフィックをブロックする場合があり、そのトラフィックは受け渡しされません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックは、適応型セキュリティ アプライアンスから出ます。

次の例では、無差別モードですべての IP トラフィックを AIP SSM に転送し、何らかの理由で AIP SSM カードに障害が発生した場合には、すべての IP トラフィックをブロックします。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを、インライン モードで AIP SSM に転送し、何らかの理由で AIP SSM カードに障害が発生した場合は、すべてのトラフィックの通過を許可します。my-ips-class トラフィックには sensor1 が使用され、my-ips-class2 トラフィックには sensor2 が使用されます。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
 

 
関連コマンド

コマンド
説明

allocate-ips

セキュリティ コンテキストに仮想センサーを割り当てます。

class

トラフィック分類に使用するクラス マップを指定します。

class-map

ポリシー マップで使用するトラフィックを指定します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

show running-config policy-map

現在のすべての ポリシー マップ コンフィギュレーションを表示します。

ipsec-udp

IPSec over UDP をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ipsec-udp enable コマンドを使用します。IPSec over UDP をディセーブルにするには、 ipsec-udp disable コマンドを使用します。IPSec over UDP アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、IPSec over UDP の値を別のグループ ポリシーから継承できます。

IPSec over UDP(IPSec through NAT と呼ばれる場合もある)を使用すると、Cisco VPN Client またはハードウェア クライアントから、NAT を実行しているセキュリティ アプライアンスに UDP を介して接続できます。

ipsec-udp {enable | disable}

no ipsec-udp

 
シンタックスの説明

disable

IPSec over UDP をディセーブルにします。

enable

IPSec over UDP をイネーブルにします。

 
デフォルト

IPSec over UDP はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IPSec over UDP を使用するには、 ipsec-udp-port コマンドを設定する必要もあります。

また、Cisco VPN Client でも、IPSec over UDP を使用するように設定する必要があります(デフォルトでは、使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するように設定する必要はありません。

IPSec over UDP は独自の方式で、リモートアクセス接続のみに適用され、モード コンフィギュレーションを必要とします。これは、SA のネゴシエート中にセキュリティ アプライアンスがクライアントとコンフィギュレーション パラメータを交換することを意味します。

IPSec over UDP を使用すると、システム パフォーマンスがわずかに低下する場合があります。

次の例は、FirstGroup という ループ ポリシーに IPSec over UDP を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable

 
関連コマンド

コマンド
説明

ipsec-udp-port

セキュリティ アプライアンスが UDP トラフィックをリッスンするポートを指定します。

ipsec-udp-port

IPSec over UDP の UDP ポート番号を設定するには、グループ ポリシー コンフィギュレーション モードで ipsec-udp-port コマンドを使用します。UDP ポートをディセーブルにするには、このコマンドの no 形式を使用します。このオプションを使用すると、IPSec over UDP ポートの値を別のグループ ポリシーから継承できます。

IPSec ネゴシエーションでは、 セキュリティ アプライアンスは、設定済みのポート上でリッスンし、そのポートに対する UDP トラフィックを転送します。これは、他のフィルタ規則によって UDP トラフィックがドロップされる場合でも同様です。

ipsec-udp-port port

no ipsec-udp-port

 
シンタックスの説明

port

4001 ~ 49151 の整数を使用して、UDP ポート番号を指定します。

 
デフォルト

デフォルト ポートは 10000 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

この機能をイネーブルにした複数のグループ ポリシーを設定できます。グループ ポリシーごとに、別々のポート番号を使用できます。

次の例は、FirstGroup という ループ ポリシーの IPSec UDP ポートをポート 4025 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp-port 4025

 
関連コマンド

コマンド
説明

ipsec-udp

Cisco VPN Client またはハードウェア クライアントから、NAT を実行しているセキュリティ アプライアンスに UDP を介して接続できるようにします。

ip verify reverse-path

Unicast RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。Unicast RPF は、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用して実際の送信元を隠す)から保護します。この機能により、すべてのパケットの送信元 IP アドレスが、ルーティング テーブルに従って、正しい送信元インターフェイスに一致することが保証されます。

ip verify reverse-path interface interface_name

no ip verify reverse-path interface interface_name

 
シンタックスの説明

interface_name

Unicast RPF をイネーブルにするインターフェイス。

 
デフォルト

この機能は、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

通常、セキュリティ アプライアンスは、パケットの転送先を決定するときは宛先アドレスだけを参照します。Unicast RPF は、送信元アドレスも参照するようにセキュリティ アプライアンスに指示します。この機能が Reverse Path Forwarding(RPF)と呼ばれるのはこのためです。セキュリティ アプライアンスを通過できるようにするすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティ アプライアンス ルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックについては、セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護を機能させることができます。外部インターフェイスからトラフィックが着信した場合、送信元アドレスがルーティング テーブルにおいて未知のときは、セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

ルーティング テーブルにおいて既知のアドレスから外部インターフェイスにトラフィックが着信した場合、そのアドレスが内部インターフェイスに関連付けられているときは、セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが着信した場合、一致したルート(デフォルト ルート)は外部インターフェイスを示すため、セキュリティ アプライアンスはパケットをドロップします。

Unicast RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。

UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

次の例では、外部インターフェイス上で Unicast RPF をイネーブルにします。

hostname(config)# ip verify reverse-path interface outside
 

 
関連コマンド

コマンド
説明

clear configure ip verify reverse-path

ip verify reverse-path コンフィギュレーションを消去します。

clear ip verify statistics

Unicast RPF の統計情報を消去します。

show ip verify statistics

Unicast RPF の統計情報を表示します。

show running-config ip verify reverse-path

ip verify reverse-path コンフィギュレーションを表示します。

ipv6 access-list

IPv6 アクセス リストを設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リストは、セキュリティ アプライアンスが通過させる、またはブロックするトラフィックを定義します。

ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

no ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

no ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

 
シンタックスの説明

any

IPv6 プレフィックス ::/0 の短縮形で、任意の IPv6 アドレスを示します。

default

(オプション)ACE 用に syslog メッセージ 106100 が生成されるように指定します。

deny

条件に合致している場合、アクセスを拒否します。

destination-ipv6-address

トラフィックを受信するホストの IPv6 アドレス。

destination-ipv6-prefix

トラフィックの宛先となる IPv6 ネットワーク アドレス。

disable

(オプション)syslog メッセージングをディセーブルにします。

host

アドレスが特定のホストを指していることを指定します。

icmp6

セキュリティ アプライアンスを通過する ICMPv6 トラフィックにアクセス規則が適用されるように指定します。

icmp_type

アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 255)または次の ICMP タイプ リテラルのいずれかにできます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

icmp_type 引数 を省略すると、すべての ICMP タイプを示します。

icmp_type_obj_grp_id

(オプション)オブジェクト グループの ICMP タイプ ID を指定します。

id

アクセス リストの名前または番号。

interval secs

(オプション)syslog メッセージ 106100 を生成する時間間隔を指定します。有効値の範囲は 1 ~ 600 秒です。デフォルトの間隔は 300 秒です。この値は、非アクティブのフローを削除するためのタイムアウト値としても使用されます。

level

(オプション)メッセージ 106100 の syslog レベルを指定します。有効値の範囲は 0 ~ 7 です。デフォルトのレベルは 6(情報)です。

line line-num

(オプション)アクセス規則を挿入するリスト内の行番号。行番号を指定しない場合、ACE はアクセス リストの末尾に追加されます。

log

(オプション)ACE のロギング アクションを指定します。 log キーワードを指定しない場合や、 log default キーワードを指定した場合、ACE によってパケットが拒否されると、メッセージ 106023 が生成されます。log キーワードを単独で指定した場合や、レベルまたは間隔と一緒に指定した場合、ACE によってパケットが拒否されると、メッセージ 106100 が生成されます。アクセス リストの末尾にある暗黙的な拒否によって拒否されるパケットについては、ログに記録されません。ロギングをイネーブルにするには、ACE でパケットを明示的に拒否する必要があります。

network_obj_grp_id

既存のネットワーク オブジェクト グループの ID。

object-group

(オプション)オブジェクト グループを指定します。

operator

(オプション)送信元 IP アドレスを宛先 IP アドレスと比較するための演算子を指定します。 operator は、送信元 IP アドレスまたは宛先 IP アドレスのポートを比較します。使用できる演算子は、 lt (小なり)、 gt (大なり) eq (等しい)、 neq (等しくない)、および range (範囲指定)です。すべてのポートを含めるには(デフォルト)、演算子およびポートを使用せずに ipv6 access-list コマンドを使用します。

permit

条件に合致している場合、アクセスを許可します。

port

(オプション)アクセスを許可または拒否するポートを指定します。 port 引数を入力する場合は、0 ~ 65535 の数を使用するか、 protocol tcp または udp であればリテラル名を使用して、ポートを指定します。

使用可能な TCP リテラル名は、aol、bgp、chargen、 cifc citrix-ica 、cmd、ctiqbe、daytime、discard、 domain 、echo、exec、finger、 ftp 、ftp-data、gopher、h323、hostname、http、https、ident、irc、kerberos、klogin、kshell、ldap、ldaps、login、lotusnotes、lpd、netbios-ssn、 nntp pop2 pop3 、pptp、rsh、rtsp、 smtp 、sqlnet、 ssh sunrpc、tacacs、talk、telnet、uucp、whois、 および www です。

使用可能な UDP リテラル名は、biff、bootpc、bootps、cifs、discard、dnsix、domain、echo、http、isakmp、kerberos、mobile-ip、nameserver、netbios-dgm、netbios-ns、ntp、pcanywhere-status、pim-auto-rp、radius、radius-acct、rip、secureid-udp、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、www、および xdmcp です。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。

protocol

IP プロトコルの名前または番号。有効値は、 icmp ip tcp udp のいずれか、または IP プロトコル番号を表す 1 ~ 254 までの整数です。

protocol_obj_grp_id

既存のプロトコル オブジェクト グループの ID。

service_obj_grp_id

(オプション)オブジェクト グループを指定します。

source-ipv6-address

トラフィックを送信するホストの IPv6 アドレス。

source-ipv6-prefix

ネットワーク トラフィックの発信元の IPv6 ネットワーク アドレス。

 
デフォルト

log キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは、6(情報)です。

デフォルトのロギング間隔は 300 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ipv6 access-list コマンドを使用すると、IPv6 アドレスがポートまたはプロトコルにアクセスすることを許可または拒否するかどうかを指定できます。各コマンドは、ACE と呼ばれます。同じアクセス リスト名を持つ 1 つまたは複数の ACE は、アクセス リストと呼ばれます。アクセス リストをインターフェイスに適用するには、 access-group コマンドを使用します。

アクセス リストを使用してアクセスを特別に許可しない限り、セキュリティ アプライアンスは、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部インターフェイスから外部インターフェイスへのすべてのパケットは、特にアクセスを拒否しない限り、デフォルトで許可されます。

ipv6 access-list コマンドは、IPv6 専用であるという点を除き、 access-list コマンドと類似しています。アクセス リストの詳細については、 access-list extended コマンドを参照してください。

ipv6 access-list icmp コマンドは、セキュリティ アプライアンスを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および着信を許可する ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。

オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。

次の例では、TCP を使用するすべてのホストが 3001:1::203:A0FF:FED6:162D のサーバにアクセスできるようにします。

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D
 

次の例では、eq とポートを使用して、FTP へのアクセスのみを拒否します。

hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq ftp
hostname(config)# access-group acl_out in interface inside
 

次の例では、lt を使用して、ポート 2025 より小さいすべてのポートへのアクセスを許可します。その結果、既知ポート(1 ~ 1024)へのアクセスが許可されます。

hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1

 
関連コマンド

コマンド
説明

access-group

アクセス リストをインターフェイスに割り当てます。

ipv6 icmp

セキュリティ アプライアンスのインターフェイスに着信する ICMP メッセージに対して、アクセス規則を設定します。

object-group

オブジェクト グループ(アドレス、ICMP タイプ、およびサービス)を作成します。

ipv6 access-list webtype

クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションに追加できる ipv6 アクセス リストを作成するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用し、コンフィギュレーションに記載されているとおりにシンタックス ストリング全体を指定します。

ipv6 access-list id webtype { deny | permit } url [ url_string | any ]

no ipv6 access-list id webtype { deny | permit } url [ url_string | any ]

 
シンタックスの説明

id

アクセス リストの名前または番号。

any

すべてのものへのアクセスを指定します。

deny

条件に合致している場合、アクセスを拒否します。

permit

条件を満たしている場合、アクセスを許可します。

url

フィルタリングに URL を使用することを指定します。

url_string

(オプション)フィルタリングされる URL を指定します。

 
デフォルト

デフォルトは次のとおりです。

特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。

ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

次のワイルドカード文字を使用して、Webtype アクセス リスト エントリで複数のワイルドカードを定義できます。

文字がない、または任意の数の文字と一致させるには、アスタリスク「*」を入力します。

任意の 1 文字と正確に一致させるには、疑問符「?」を入力します。

ある範囲内の任意の 1 文字と一致する範囲演算子を作成するには、角カッコ「[ ]」で囲みます。

この項の例は、IPv6 Webtype アクセス リストでワイルドカードを使用する方法を示しています。

次の例では、http://www.cisco.com/ および http://wwz.caco.com/ という URL が一致しています。

ipv6 access-list test webtype permit url http://ww?.c*co*/
 

次の例では、http://www.cisco.com および ftp://wwz.carrier.com という URL が一致しています。

ipv6 access-list test webtype permit url *://ww?.c*co*/
 

次の例では、http://www.cisco.com:80 および https://www.cisco.com:81 という URL が一致しています。

ipv6 access-list test webtype permit url *://ww?.c*co*:8[01]/
 

前述の例の範囲演算子「[ ]」は、0 または 1 いずれかの文字が発生することを指定しています。

次の例では、http://www.google.com および http://www.boogie.com という URL が一致しています。

ipv6 access-list test webtype permit url http://www.[a-z]oo?*/
 

前述の例の範囲演算子「[ ]」は、a ~ z の範囲の任意の文字が発生することを指定しています。

次の例では、http://www.cisco.com/anything/crazy/url/ddtscgiz という URL が一致しています。

ipv6 access-list test webtype permit url htt*://*/*cgi?*
 

) 任意の http URL に一致させるには、http://* ではなく、http://*/* と入力する必要があります。


 
関連コマンド

コマンド
説明

access-group

コンフィギュレーションの最適化に使用できるオブジェクト グループを定義します。

access-list ethertype

トラフィックを EtherType に基づいて制御するためのアクセス リストを設定します。

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。

clear access-group

アクセス リスト カウンタを消去します。

show running-config access-list

適応型セキュリティ アプライアンスで実行されているアクセス リスト コンフィギュレーションを表示します。

ipv6 address

IPv6 をイネーブルにし、インターフェイス上で IPv6 アドレスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。

ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }

no ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }

 
シンタックスの説明

autoconfig

インターフェイス上でステートレス自動設定を使用して、IPv6 アドレスの自動設定をイネーブルにします。

eui-64

(オプション)IPv6 アドレスの下位 64 ビットにインターフェイス ID を指定します。

ipv6-address

インターフェイスに割り当てられた IPv6 リンク ローカル アドレス。

ipv6-prefix

インターフェイスに割り当てられた IPv6 ネットワーク アドレス。

link-local

アドレスがリンク ローカル アドレスであることを指定します。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。

 
デフォルト

IPv6 はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

インターフェイス上で IPv6 アドレスを設定すると、IPv6 がそのインターフェイス上でイネーブルになります。IPv6 アドレスの指定後に ipv6 enable コマンドを使用する必要はありません。

ipv6 address autoconfig コマンドは、ステートレス自動設定を使用して、インターフェイス上で IPv6 アドレスの自動設定をイネーブルにするために使用されます。アドレスは、ルータ アドバタイズメント メッセージで受信されたプレフィックスに基づいて設定されます。リンク ローカル アドレスが設定されていなければ、このインターフェイス用に自動的に生成されます。そのリンク ローカル アドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

ipv6 address eui-64 コマンドは、インターフェイスの IPv6 アドレスを設定するために使用されます。オプションの eui-64 が指定されている場合は、アドレスの下位 64 ビットに EUI-64 インターフェイス ID が使用されます。 prefix-length 引数に指定した値が 64 ビットより大きい場合は、プレフィックス ビットがインターフェイス ID に優先します。指定されたアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

Modified EUI-64 形式のインターフェイス ID は、リンク レイヤ アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク レイヤ(MAC)アドレスから生成されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番目のビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

ipv6 address link-local コマンドは、インターフェイスの IPv6 リンク ローカル アドレスの設定に使用されます。このコマンドで指定する ipv6-address は、インターフェイス用に自動的に生成されるリンク ローカル アドレスを上書きします。リンク ローカル アドレスは、リンク ローカル プレフィックス FE80::/64 と、Modified EUI-64 形式のインターフェイス ID で構成されます。MAC アドレス 00E0.B601.3B7A のインターフェイスには、リンク ローカル アドレス FE80::2E0:B6FF:FE01:3B7A が指定されます。指定されたアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

次の例では、選択したインターフェイスのグローバル アドレスとして 3FFE:C00:0:1::576/64 を割り当てます。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 address 3ffe:c00:0:1::576/64
 

次の例では、選択したインターフェイスに IPv6 アドレスを自動的に割り当てます。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# ipv6 address autoconfig
 

次の例では、選択したインターフェイスに IPv6 アドレス 3FFE:C00:0:1::/64 を割り当て、アドバイザーの下位 64 ビットに EUI-64 インターフェイス ID を指定します。

hostname(config)# interface gigabitethernet 0/2
hostname(onfig-if)# ipv6 address 3FFE:C00:0:1::/64 eui-64
 

次の例では、選択したインターフェイスのリンク レベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てます。

hostname(config)# interface gigabitethernet 0/3
hostname(config-if)# ipv6 address FE80::260:3EFF:FE11:6670 link-local
 

 
関連コマンド

コマンド
説明

debug ipv6 interface

IPv6 インターフェイスに関するデバッグ情報を表示します。

show ipv6 interface

IPv6 用に設定したインターフェイスのステータスを表示します。

ipv6 enable

明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 enable

no ipv6 enable

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

IPv6 はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ipv6 enable コマンドは、インターフェイス上で IPv6 リンク ローカル ユニキャスト アドレスを自動的に設定し、インターフェイスの IPv6 処理をイネーブルにします。

no ipv6 enable コマンドは、明示的な IPv6 アドレスが指定されているインターフェイス上では IPv6 処理をディセーブルにしません。

次の例では、選択したインターフェイス上で IPv6 処理をイネーブルにします。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 enable
 

 
関連コマンド

コマンド
説明

ipv6 address

インターフェイスの IPv6 アドレスを設定し、インターフェイス上で IPv6 処理をイネーブルにします。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 enforce-eui64

ローカル リンク上で IPv6 アドレスに Modified EUI-64 形式インターフェイス ID を適用するには、グローバル コンフィギュレーション モードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の適用をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 enforce-eui64 if_name

no ipv6 enforce-eui64 if_name

 
シンタックスの説明

if_name

nameif コマンドで指定したとおりに、インターフェイスの名前を指定して、Modified EUI-64 アドレス形式の適用をイネーブルにします。

 
デフォルト

Modified EUI-64 形式の適用はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドがあるインターフェイス上でイネーブルの場合、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスと照合され、インターフェイス ID に Modified EUI-64 形式が使用されていることが確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を使用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

%PIX|ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の確認は、フローが生成された場合に限り行われます。既存のフローからのパケットはチェックされません。その他に、アドレスの確認はローカル リンク上のホストに限り行われます。ルータの背後にあるホストから受信したパケットはアドレス形式の確認に失敗し、ドロップされます。その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

Modified EUI-64 形式のインターフェイス ID は、リンク レイヤ アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク レイヤ(MAC)アドレスから生成されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番目のビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

次の例では、内部インターフェイスで受信した IPv6 アドレスに対して Modified EUI-64 形式の適用をイネーブルにします。

hostname(config)# ipv6 enforce-eui64 inside
 

 
関連コマンド

コマンド
説明

ipv6 address

インターフェイスで IPv6 アドレスを設定します。

ipv6 enable

インターフェイスで IPv6 をイネーブルにします。

ipv6 icmp

インターフェイスの ICMP アクセス規則を設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス規則を削除するには、このコマンドの no 形式を使用します。

ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

 
シンタックスの説明

any

任意の IPv6 アドレスを指定するキーワード。IPv6 プレフィックス ::/0 の短縮形。

deny

選択したインターフェイス上で、指定した ICMP トラフィックを拒否します。

host

アドレスが特定のホストを指していることを指定します。

icmp-type

アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 255)または次の ICMP タイプ リテラルのいずれかにできます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

if-name

アクセス規則の適用先となるインターフェイスの名前( nameif コマンドで指定したもの)。

ipv6-address

ICMPv6 メッセージをインターフェイスに送信するホストの IPv6 アドレス。

ipv6-prefix

ICMPv6 メッセージをインターフェイスに送信する IPv6 ネットワーク。

permit

選択したインターフェイス上で、指定した ICMP トラフィックを許可します。

prefix-length

IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィックス(ネットワーク部分)を構成しているかを指定します。プレフィックスの長さ値の前に、スラッシュ(/)を入力する必要があります。

 
デフォルト

ICMP アクセス規則が定義されていない場合、ICMP トラフィックはすべて許可されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IPv6 機能の ICMP は、IPv4 の ICMP と同じです。ICMPv6 は、ICMP エコー要求メッセージおよび応答メッセージに類似した ICMP 宛先到達不能メッセージおよび情報メッセージなどのエラー メッセージを生成します。また、IPv6 の ICMP パケットは、IPv6 近隣探索プロセスとパス MTU 探索で使用されます。

インターフェイスに ICMP 規則が定義されていない場合、IPv6 ICMP トラフィックはすべて許可されます。

インターフェイスに ICMP 規則が定義されている場合は、最初に一致した規則が処理され、それ以降の規則はすべて暗黙的に拒否されます。たとえば、最初に一致した規則が許可規則の場合、その ICMP パケットは処理されます。最初に一致した規則が拒否規則の場合や、ICMP パケットがそのインターフェイス上のどの規則にも一致しなかった場合、セキュリティ アプライアンスはその ICMP パケットを廃棄し、syslog メッセージを生成します。

このため、ICMP 規則に入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否する規則を入力してから、そのネットワーク上にある特定のホストからの ICMP トラフィックを許可する規則を入力した場合、そのホスト規則が処理されることはありません。ICMP トラフィックは、ネットワーク規則によってブロックされます。ただし、ホスト規則を入力してから、ネットワーク規則を入力した場合、ホストの ICMP トラフィックは許可されますが、それ以外の当該ネットワークからの ICMP トラフィックはすべてブロックされます。

ipv6 icmp コマンドは、セキュリティ アプライアンス インターフェイスに着信する ICMP トラフィックのアクセス規則を設定します。パススルー ICMP トラフィックのアクセス規則を設定するには、 ipv6 access-list コマンドを参照してください。

次の例では、外部インターフェイスで、すべての ping 要求を拒否し、すべての Packet Too Big メッセージを許可します(パス MTU 探索をサポートするため)。

hostname(config)# ipv6 icmp deny any echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

次の例では、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに、外部インターフェイスへの ping を許可します。

hostname(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
hostname(config)# ipv6 icmp permit 2001::/64 echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

 
関連コマンド

コマンド
説明

ipv6 access-list

アクセス リストを設定します。

ipv6 local pool

リモート クライアントへのアドレスの割り当てに使用する IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを使用します。このアトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses

no ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses

 
シンタックスの説明

pool_name

この IPv6 アドレス プールに割り当てる名前を指定します。

ipv6_address

設定する IPv6 アドレス プールを指定します。形式は x:x:x:: です。

number_of_addresses

範囲:1 ~ 16384

prefix_length

範囲:0 ~ 128

 
デフォルト

デフォルトでは、IPv6 ローカル アドレス プールは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

IPv6 ローカル プールを割り当てるには、トンネル グループ内の ipv6-local-pool コマンド、またはグループ ポリシー内の ipv6-address-pools (このコマンドの「s」に注意)コマンドを使用します。グループ ポリシーの ipv6-address-pools 設定によって、トンネル グループの ipv6-address-pool 設定が上書きされます。

次の例は、config-general コンフィギュレーション モードに入り、firstipv6pool という IPv6 アドレス プールを、リモート クライアントへのアドレスの割り当てに使用するように設定します。

hostname(config)# ipv6 local pool firstipv6pool 2001:DB8::1001/32 100

hostname(config)#

 
関連コマンド

コマンド
説明

ipv6-address-pool

IPv6 アドレス プールを VPN トンネル グループ ポリシーに関連付けます。

ipv6-address-pools

IPv6 アドレス プールを VPN グループ ポリシーに関連付けます。

clear configure ipv6 local pool

すべての設定済み IPv6 ローカル プールを消去します。

show running-config ipv6

IPv6 のコンフィギュレーションを表示します。

ipv6 nd dad attempts

重複アドレスの検出中にインターフェイス上で送信される連続的なネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信される重複アドレス検出メッセージの数をデフォルトに戻すには、このコマンドの no 形式を使用します。

ipv6 nd dad attempts value

no ipv6 nd dad [ attempts value ]

 
シンタックスの説明

value

0 ~ 600 の数。0 を入力すると、指定されたインターフェイス上で重複アドレス検出がディセーブルになります。1 を入力すると、1 回だけ送信するように設定されます。デフォルト値は 1 つのメッセージです。

 
デフォルト

デフォルトの試行回数は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。

管理上のダウン状態にあるインターフェイスでは、重複アドレス検出は一時停止されます。インターフェイスが管理上のダウン状態にある場合、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。

インターフェイスが管理上のアップ状態に戻ると、インターフェイス上で重複アドレス検出が自動的に再開されます。管理上のアップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスに対して重複アドレス検出が再開されます。


) インターフェイスのリンク ローカル アドレスに対して重複アドレス検出が実行されている間、他の IPv6 アドレスは引き続き一時的な状態に設定されます。リンク ローカル アドレスに対する重複アドレス検出が完了すると、残りの IPv6 アドレスに対して重複アドレス検出が実行されます。


重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンク ローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address FE80::1 on outside
 

重複アドレスがインターフェイスのグローバル アドレスの場合、そのアドレスは使用されなくなり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address 3000::4 on outside
 

重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。

インターフェイスのリンク ローカル アドレスが変更された場合は、新しいリンク ローカル アドレスに対して重複アドレス検出が実行され、そのインターフェイスに関連付けられている他の IPv6 アドレスがすべて再生成されます(重複アドレス検出は新しいリンク ローカル アドレスに対してのみ実行されます)。

次の例では、インターフェイスの一時的なユニキャスト IPv6 アドレスに対して重複アドレス検出が実行されている間に 5 つの連続したネイバー送信要求メッセージが送信されるように設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd dad attempts 5
 

次の例では、選択したインターフェイス上で重複アドレス検出をディセーブルにします。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# ipv6 nd dad attempts 0
 

 
関連コマンド

コマンド
説明

ipv6 nd ns-interval

インターフェイス上でネイバー送信要求メッセージの送信間隔を設定します。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ns-interval

インターフェイス上で IPv6 ネイバー送信要求メッセージの再送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ns-interval value

no ipv6 nd ns-interval [ value ]

 
シンタックスの説明

value

IPv6 ネイバー送信要求メッセージの送信間隔(ミリ秒単位)。有効となる値の範囲は 1,000 ~ 3,600,000 ミリ秒です。デフォルト値は 1,000 ミリ秒です。

 
デフォルト

ネイバー送信要求メッセージの送信間隔は 1,000 ミリ秒になっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

この値は、このインターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。

次の例では、Gigabitethernet 0/0 に対して IPv6 ネイバー送信要求メッセージの送信間隔を 9,000 ミリ秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ns-interval 9000
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd prefix

IPv6 ルータ アドバタイズメントに含める IPv6 プレフィックスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。

ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]

no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]

 
シンタックスの説明

at valid-date preferred-date

ライフタイムと優先順位が期限切れになる日付と時刻。プレフィックスは、この指定された日付と時刻に到達するまで有効になります。有効期限の形式は、 date-valid-expire month-valid-expire hh:mm-valid-expire date-prefer-expire month-prefer-expire hh:mm-prefer-expire です。

default

デフォルト値が使用されます。

infinite

(オプション)この有効ライフタイムは期限切れになりません。

ipv6-prefix

ルータ アドバタイズメントに含める IPv6 ネットワーク番号。

この引数は、RFC 2373 に記述されている形式にする必要があります。コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定します。

no-advertise

(オプション)ローカル リンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用されないことを示します。

no-autoconfig

(オプション)ローカル リンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用不能であることを示します。

off-link

(オプション)指定されたプレフィックスがオンリンクの判別に使用されないことを示します。

preferred-lifetime

指定された IPv6 プレフィックスが優先されたものとしてアドバタイズされる期間(秒単位)。有効な値の範囲は 0 ~ 4294967295 秒です。最大値は、無限を意味します。infinite として指定することもできます。デフォルトは 604,800(7 日)です。

prefix-length

IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィックス(ネットワーク部分)を構成しているかを指定します。プレフィックスの長さ値の前に、スラッシュ(/)を入力する必要があります。

valid-lifetime

指定された IPv6 プレフィックスが有効なものとしてアドバタイズされる期間。有効な値の範囲は 0 ~ 4294967295 秒です。最大値は、無限を意味します。 infinite として指定することもできます。デフォルトは 2,592,000(30 日)です。

 
デフォルト

IPv6 ルータ アドバタイズメントを発信するインターフェイス上で設定されたすべてのプレフィックスがアドバタイズされる場合、有効ライフタイム 2,592,000 秒(30 日)と優先ライフタイム 604,800 秒(7 日)が使用され、「onlink」フラグと「autoconfig」フラグの両方が設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、個別のパラメータをプレフィックスごとに制御できます。

デフォルトでは、 ipv6 address コマンドを使用してインターフェイス上のアドレスとして設定されたプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメントのプレフィックスを設定すると、そのプレフィックスだけがアドバタイズされます。

default キーワードを使用すると、すべてのプレフィックスのデフォルト パラメータを設定できます。

日付を設定してプレフィックスの有効期限を指定することができます。有効ライフタイムと優先ライフタイムは、リアルタイムでカウントダウンされます。有効期限に到達すると、プレフィックスはアドバタイズされなくなります。

onlink が「オン」(デフォルト)の場合、指定されたプレフィックスはリンクに割り当てられます。指定されたプレフィックスを含むアドレスにトラフィックを送信するノードでは、宛先をリンク上でローカルに到達可能なものと見なします。

autoconfig が「オン」(デフォルト)の場合、ローカル リンク上のホストには、指定されたプレフィックスが IPv6 自動設定に使用可能であることが示されます。

次の例では、指定されたインターフェイスから送信されるルータ アドバタイズメントに、IPv6 プレフィックス 2001:200::/35、有効ライフタイム 1,000 秒、および優先ライフタイム 900 秒を含めます。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd prefix 2001:200::/35 1000 900
 

 
関連コマンド

コマンド
説明

ipv6 address

IPv6 アドレスを設定し、インターフェイス上で IPv6 処理をイネーブルにします。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ra-interval

インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-interval [ msec ] value

no ipv6 nd ra-interval [[ msec ] value ]

 
シンタックスの説明

msec

(オプション)指定された値がミリ秒単位であることを示します。このキーワードがない場合、指定された値は秒単位となります。

value

IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は 3 ~ 1,800 秒ですが、 msec キーワードが指定されている場合は 500 ~ 1,800,000 ミリ秒となります。デフォルトは 200 秒です。

 
デフォルト

200 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ipv6 nd ra-lifetime コマンドを使用してセキュリティ アプライアンスをデフォルト ルータとして設定した場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードと同期させないようにするには、使用する実際の値を、指定された値の 20% 以内でランダムに調整します。

次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントの送信間隔を 201 秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ra-interval 201
 

 
関連コマンド

コマンド
説明

ipv6 nd ra-lifetime

IPv6 ルータ アドバタイズメントのライフタイムを設定します。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ra-lifetime

インターフェイス上で IPv6 ルータ アドバタイズメントの「ルータ ライフタイム」を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-lifetime seconds

no ipv6 nd ra-lifetime [ seconds ]

 
シンタックスの説明

seconds

このインターフェイスにおけるデフォルト ルータとしてのセキュリティ アプライアンスの有効期間。有効な値の範囲は 0 ~ 9000 秒です。デフォルトは 1800 秒です。0 は、セキュリティ アプライアンスを、選択したインターフェイス上のデフォルト ルータと見なしてはならないことを示します。

 
デフォルト

1800 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

「ルータ ライフタイム」値は、インターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。この値は、このインターフェイスにおけるデフォルト ルータとしてのセキュリティ アプライアンスの有効期間を示します。

値を 0 以外の値に設定することは、セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なす必要があることを示します。「ルータ ライフタイム」値を 0 以外の値に設定する場合は、ルータ アドバタイズメントの送信間隔より小さくしないでください。

値を 0 に設定することは、セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なしてはならないことを示します。

次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントのライフタイムを 1,801 秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ra-lifetime 1801

 
関連コマンド

コマンド
説明

ipv6 nd ra-interval

インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定します。

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd reachable-time

到達可能性の確認イベントが発生した後でリモート IPv6 ノードを到達可能と見なす期間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルト期間に戻すには、このコマンドの no 形式を使用します。

ipv6 nd reachable-time value

no ipv6 nd reachable-time [ value ]

 
シンタックスの説明

value

リモート IPv6 ノードを到達可能と見なす期間(ミリ秒単位)。有効な値の範囲は 0 ~ 3600000 ミリ秒です。デフォルト値は 0 です。

value に 0 を設定した場合、到達可能な時間は不確定として送信されます。受信側のデバイスが、到達可能時間値を設定して追跡します。

 
デフォルト

0 ミリ秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

期間を設定すると、使用不可能なネイバーを検出できます。設定期間を短くすると、使用不可能なネイバーをより迅速に検出できます。ただし、期間を短くするほど、IPv6 ネットワークの帯域幅の消費量と、IPv6 ネットワーク デバイスすべての処理リソースの消費量が増加します。通常の IPv6 動作において、設定期間を大幅に短くすることはお勧めできません。

このコマンドを 0 に設定した場合にセキュリティ アプライアンスで使用される実際の値を含んだ到達可能時間を確認するには、 show ipv6 interface コマンドを使用して、適用される ND 到達可能時間などの IPv6 インターフェイスの情報を表示します。

次の例では、選択したインターフェイスに対して IPv6 到達可能期間を 1,700,000 ミリ秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd reachable-time 1700000
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd suppress-ra

LAN インターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにするには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイス上で IPv6 ルータ アドバタイズメントの送信を再度イネーブルにするには、このコマンドの no 形式を使用します。

ipv6 nd suppress-ra

no ipv6 nd suppress-ra

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

IPv6 ユニキャスト ルーティングがイネーブルの場合は、LAN インターフェイス上でルータ アドバタイズメントが自動的に送信されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

LAN 以外のタイプのインターフェイス(たとえば、シリアル インターフェイスやトンネル インターフェイス)上で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。

次の例では、選択したインターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにします。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd suppress-ra
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定したインターフェイスのユーザビリティ ステータスを表示します。

ipv6 neighbor

IPv6 近隣探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。近隣探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。

ipv6 neighbor ipv6_address if_name mac_address

no ipv6 neighbor ipv6_address if_name [ mac_address ]

 
シンタックスの説明

if_name

nameif コマンドによって指定される内部インターフェイス名または外部インターフェイス名。

ipv6_address

ローカルのデータリンク アドレスに対応する IPv6 アドレス。

mac_address

ローカルのデータライン(ハードウェア MAC)アドレス。

 
デフォルト

IPv6 近隣探索キャッシュにスタティック エントリは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ipv6 neighbor コマンドは、 arp コマンドと類似しています。指定された IPv6 アドレスのエントリが近隣探索キャッシュにすでに存在する(IPv6 近隣探索プロセスからラーニングされた)場合、そのエントリはスタティック エントリに自動的に変換されます。 copy コマンドを使用してコンフィギュレーションを格納すると、このエントリがコンフィギュレーションに格納されます。

IPv6 近隣探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。

clear ipv6 neighbors コマンドは、IPv6 近隣探索キャッシュのすべてのエントリを、スタティック エントリを除いて削除します。 no ipv6 neighbor コマンドは、指定したスタティック エントリを近隣探索キャッシュから削除します。このコマンドによってダイナミック エントリ(IPv6 近隣探索プロセスからラーニングされたエントリ)がキャッシュから削除されることはありません。 no ipv6 enable コマンドを使用してインターフェイス上で IPv6 をディセーブルにすると、そのインターフェイスに設定された IPv6 近隣探索キャッシュのすべてのエントリが、スタティック エントリを除いて削除されます(エントリの状態は INCMP [Incomplete] に変更されます)。

近隣探索プロセスによって IPv6 近隣探索キャッシュのスタティック エントリが変更されることはありません。

次の例では、IPv6 アドレス 3001:1::45A および MAC アドレス 0002.7D1A.9472 の内部ホストのスタティック エントリを近隣探索キャッシュに追加します。

hostname(config)# ipv6 neighbor 3001:1::45A inside 0002.7D1A.9472
 

 
関連コマンド

コマンド
説明

clear ipv6 neighbors

IPv6 近隣探索キャッシュのすべてのエントリを、スタティック エントリを除いて削除します。

show ipv6 neighbor

IPv6 近隣キャッシュ情報を表示します。

ipv6 route

IPv6 ルーティング テーブルに IPv6 ルートを追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。

ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance ]

no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance ]

 
シンタックスの説明

administrative-distance

(オプション)ルートの管理ディスタンス。デフォルト値は 1 です。この場合、スタティック ルートは、接続済みルートを除く他のあらゆるタイプのルートに優先します。

if_name

ルートの設定対象となるインターフェイスの名前。

ipv6-address

特定のネットワークに到達するために使用できるネクストホップの IPv6 アドレス。

ipv6-prefix

スタティック ルートの宛先となる IPv6 ネットワーク。

この引数は、RFC 2373 に記述されている形式にする必要があります。コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定します。

prefix-length

IPv6 プレフィックスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィックス(ネットワーク部分)を構成しているかを指定します。プレフィックスの長さ値の前に、スラッシュ(/)を入力する必要があります。

 
デフォルト

デフォルトでは、 administrative-distance は 1 になっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

IPv6 ルーティング テーブルの内容を表示するには、 show ipv6 route コマンドを使用します。

次の例では、ネットワーク 7fff::0/32 に対するパケットを、管理ディスタンス 110 で、3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングします。

hostname(config)# ipv6 route inside 7fff::0/32 3FFE:1100:0:CC00::1 110
 

 
関連コマンド

コマンド
説明

debug ipv6 route

IPv6 のルーティング テーブル アップデートおよびルート キャッシュ アップデートに関するデバッグ情報を表示します。

show ipv6 route

IPv6 ルーティング テーブルの現在の内容を表示します。

ipv6-address-pool(トンネル グループ一般アトリビュート モード)

リモート クライアントにアドレスを割り当てるための IPv6 アドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで ipv6-address-pool コマンドを使用します。IPv6 アドレス プールを削除するには、このコマンドの no 形式を使用します。

ipv6-address-pool [( interface_name )] ipv6_address_pool1 [... ipv6_ address_pool6 ]

no ipv6-address-pool [( interface_name )] ipv6_ address_pool1 [... ipv6_ address_pool6 ]

 
シンタックスの説明

ipv6_ address_pool

ipv6 local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

interface_name

(オプション)アドレス プールに使用するインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスを指定しない場合、このコマンドは、明示的に参照されていないすべてのインターフェイスのデフォルトを指定します。

グループ ポリシーの ipv6-address-pools コマンドによる IPv6 アドレス プールの設定で、トンネル グループの ipv6-address-pool コマンドによる IPv6 アドレス プールの設定が上書きされます。

プールを指定する順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

次の例では、config-tunnel-general コンフィギュレーション モードに入り、IPSec リモートアクセス トンネル グループのテスト対象のリモート クライアントにアドレスを割り当てるための IPv6 アドレス プールのリストを指定しています。

hostname(config)# tunnel-group test type remote-access
hostname(config)# tunnel-group test general-attributes
hostname(config-tunnel-general)# ipv6-address-pool (inside) ipv6addrpool1 ipv6addrpool2 ipv6addrpool3
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

ipv6-address-pools

グループ ポリシーの IPv6 アドレス プールの設定値を設定します。これらの設定値で、トンネル グループの設定値が上書きされます。

ipv6 local pool

VPN リモートアクセス トンネルに使用する IP アドレス プールを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group

トンネル グループを設定します。

ipv6-address-pools

リモート クライアントへのアドレスの割り当てに使用する、最大 6 つの IPv6 アドレス プールが表示されたリストを指定するには、グループ ポリシーのアトリビュート コンフィギュレーション モードで ipv6- address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシーからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]

no ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]

ipv6- address-pools none

no ipv6- address-pools none

 
シンタックスの説明

ipv6_ address_pool

ipv6 local pool コマンドで設定された最大 6 つの IPv6 アドレス プールの名前を指定します。IPv6 アドレス プールの名前を区切る場合は、スペースを使用します。

none

IPv6 アドレス プールが何も設定されていないことを示し、他のグループ ポリシーからの継承をディセーブルにします。

value

アドレスの割り当てに使用する IPv6 アドレス プールを最大 6 つまで記載したリストを指定します。

 
デフォルト

デフォルトでは、IPv6 アドレス プール アトリビュートは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

IPv6 アドレス プールを設定するには、 ipv6 local pool コマンドを使用します。

ipv6-address-pools コマンドで指定するプールの順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

ipv6- address-pools none コマンドは、このアトリビュートが DefaultGrpPolicy などの他のソース ポリシーから継承されることをディセーブルにします。 no ipv6-address-pools none コマンドは、コンフィギュレーションから ipv6-address-pools none コマンドを削除し、デフォルトの値(継承可能)に戻します。

次の例では、config-general コンフィギュレーション モードに入り、firstipv6pool という IPv6 アドレス プールをリモート クライアントへのアドレスの割り当てに使用するように設定し、そのプールを GroupPolicy1 に関連付けます。

hostname(config)# ipv6 local pool firstipv6pool 2001:DB8::1000/32 100
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# ipv6-address-pools value firstipv6pool
hostname(config-group-policy)#
 

 
関連コマンド

コマンド
説明

ipv6 local pool

VPN のグループ ポリシーで使用する IPv6 アドレス プールを設定します。

clear configure group-policy

設定されているすべてのグループ ポリシーを消去します。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

ipv6-vpn-filter

VPN 接続に使用する ACL の名前を指定するには、グループ ポリシーまたはユーザ名モードで ipv6-vpn-filter コマンドを使用します。 ipv6-vpn-filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 ipv6-vpn-filter none コマンドを使用します。

ACL を設定して、このユーザまたはグループ ポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。次に、 ipv6-vpn-filter コマンドを使用して、これらの ACL を適用します。

ipv6-vpn-filter { value IPV6-ACL-NAME | none }

no ipv6-vpn-filter

 
シンタックスの説明

none

アクセス リストがないことを指定します。ヌル値を設定して、アクセス リストを拒否します。アクセス リストを他のグループ ポリシーから継承しないようにします。

value IPV6-ACL-NAME

設定済みアクセス リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

クライアントレス SSL VPN は、 ipv6-vpn-filter コマンドで定義された ACL を使用しません。

次の例は、FirstGroup という名前のグループ ポリシーの ipv6_acl_vpn という名前のアクセス リストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipv6-vpn-filter value ipv6_acl_vpn

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成します。または、ダウンロード可能なアクセス リストを使用します。

isakmp am-disable

アグレッシブ モードの着信接続をディセーブルにするには、グローバル コンフィギュレーション モードで isakmp am-disable コマンドを使用します。アグレッシブ モードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。

isakmp am-disable

no isakmp am-disable

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルト値はイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.2(1)

このコマンドは廃止されました。 crypto isakmp am-disable コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、アグレッシブ モードの着信接続をディセーブルにします。

hostname(config)# isakmp am-disable
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp disconnect-notify

ピアに対する切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp disconnect-notify

no isakmp disconnect-notify

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.2(1)

このコマンドは廃止されました。 crypto isakmp disconnect-notify コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

hostname(config)# isakmp disconnect-notify
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp enable

IPSec ピアがセキュリティ アプライアンスと通信するインターフェイス上で ISAKMP ネゴシエーションをイネーブルにするには、グローバル コンフィギュレーション モードで isakmp enable コマンドを使用します。インターフェイス上で ISAKMP ディセーブルにするには、このコマンドの no 形式を使用します。

isakmp enable interface-name

no isakmp enable interface-name

 
シンタックスの説明

interface-name

ISAKMP ネゴシエーションをイネーブルまたはディセーブルにするインターフェイスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp enable コマンドに置き換えられました。

次の例は、グローバル コンフィギュレーション モードで、内部インターフェイス上の ISAKMP をディセーブルにする方法を示しています。

hostname(config)# no isakmp enable inside
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp identity

フェーズ 2 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

isakmp identity {address | hostname | key-id key-id-string | auto }

no isakmp identity {address | hostname | key-id key-id-string | auto }

 
シンタックスの説明

address

ISAKMP の識別情報を交換するホストの IP アドレスを使用します。

auto

ISKMP ネゴシエーションを、接続タイプよって判別します(事前共有鍵の IP アドレス、または証明書認証用の証明書 DN)。

hostname

ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。

key-id key_id_string

リモート ピアが事前共有鍵を検索するために使用する文字列を指定します。

 
デフォルト

デフォルトの ISAKMP ID は、 isakmp identity hostname です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp identity コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションを、接続タイプに応じてイネーブルにします。

hostname(config)# isakmp identity auto
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp ikev1-user-authentication

IKE 中にハイブリッド認証を設定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで isakmp ikev1-user-authentication コマンドを使用します。ハイブリッド認証をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }

no isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }

 
シンタックスの説明

hybrid

IKE の使用時にハイブリッド XAUTH 認証を指定します。

interface

(オプション)ユーザ認証方式を設定するインターフェイスを指定します。

none

IKE の使用時にユーザ認証をディセーブルにします。

xauth

XAUTH(拡張ユーザ認証とも呼ばれる)を指定します。

 
デフォルト

デフォルトの認証方式は XAUTH(拡張ユーザ認証)です。デフォルトの interface はすべてのインターフェイスです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンス認証や RADIUS、TACACS+、または SecurID といったリモート VPN ユーザ認証用の従来の手法にデジタル証明書を使用する場合は、このコマンドを使用します。このコマンドは、IKE のフェーズ 1 を次の 2 ステップに分けます。2 つのステップを合せてハイブリッド認証と呼びます。

1. セキュリティ アプライアンスは、リモート VPN ユーザに対して標準の公開鍵技術を使用して認証を行います。この認証により単方向で認証される IKE セキュリティ アソシエーションを確立します。

2. そして、XAUTH 交換で、リモート VPN ユーザが認証されます。この拡張認証では、サポートされている従来の認証方式のいずれかが使用されます。


) 認証タイプをハイブリッドに設定するには、認証サーバを設定し、事前共有鍵を作成して、トラストポイントを設定する必要があります。


オプションの interface パラメータを省略すると、コマンドはすべてのインターフェイスに適用され、インターフェイスごとにコマンドが指定されていない際にはバックアップとして機能します。トンネル グループに 2 つの isakmp ikev1-user-authentication コマンドを指定した場合、1 つは interface パラメータを使用し、2 つ目はそれを使用しません。インターフェイスを指定するコマンドはその特定のインターフェイスを優先します。

次のコマンド例は、example-group と呼ばれるトンネル グループの内部インターフェイスでハイブリッド XAUTH をイネーブルにします。

hostname(config)# tunnel-group example-group type ipsec-ra
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバを定義します。

pre-shared-key

IKE 接続をサポートする事前共有鍵を作成します。

tunnel-group

IPSec、L2TP/IPSec、および WebVPN 接続に固有のレコードを含むデータベースを作成および管理します。

isakmp ipsec-over-tcp

IPSec over TCP をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp ipsec-over-tcp コマンドを使用します。IPSec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp ipsec-over-tcp [ port port1...port10 ]

no isakmp ipsec-over-tcp [ port port1...port10 ]

 
シンタックスの説明

port port1...port10

(オプション)デバイスが IPSec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号には 1 ~ 65535 の数値を指定できます。デフォルトのポート番号は 10000 です。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.2(1)

このコマンドは廃止されました。 crypto isakmp ipsec-over-tcp コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、ポート 45 上で IPSec over TCP をイネーブルにします。

hostname(config)# isakmp ipsec-over-tcp port 45
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp keepalive

IKE DPD を設定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで isakmp keepalive コマンドを使用します。デフォルトでは、すべてのトンネル グループで IKE キープアライブが、デフォルトのしきい値およびリトライ値を使用してイネーブルになっています。キープアライブ パラメータを、デフォルトのしきい値およびリトライ値を使用してイネーブルに戻すには、このコマンドの no 形式を使用します。

isakmp keepalive [ threshold seconds ] [ retry seconds ] [ disable ]

no isakmp keepalive disable

 
シンタックスの説明

disable

IKE キープアライブ処理をディセーブルにします。デフォルトではイネーブルになっています。

retry seconds

キープアライブ応答が受信されなくなった後のリトライ間の間隔を秒単位で指定します。範囲は 2 ~ 10 秒です。デフォルトは 2 秒です。

threshold seconds

キープアライブのモニタリングを開始するまでピアがアイドル状態を維持できる秒数を指定します。範囲は 10 ~ 3,600 秒です。LAN-to-LAN グループのデフォルトは 10 秒で、リモートアクセス グループのデフォルトは 300 秒です。

 
デフォルト

リモートアクセス グループのデフォルトは、しきい値が 300 秒で、リトライが 2 秒です。

LAN-to-LAN グループのデフォルトは、しきい値が 10 秒で、リトライが 2 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモートアクセスおよび IPSec LAN-to-LAN トンネル グループ タイプだけに適用できます。

次の例では、config-ipsec コンフィギュレーション モードで、209.165.200.225 という IP アドレスを持つ IPSec LAN-to-LAN トンネル グループに対して、IKE DPD を設定し、しきい値を 15 に設定し、リトライ間隔を 10 に指定します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

isakmp nat-traversal

NAT Traversal をグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP がイネーブルになっていることを確認し(イネーブルにするには isakmp enable コマンドを使用します)、次に isakmp nat-traversal コマンドを使用します。NAT Traversal がイネーブルのときに、これをディセーブルにするには、このコマンドの no 形式を使用します。

isakmp nat-traversal natkeepalive

no isakmp nat-traversal natkeepalive

 
シンタックスの説明

natkeepalive

NAT キープアライブ間隔を 10 ~ 3,600 秒の範囲で設定します。デフォルトは 20 秒です。

 
デフォルト

デフォルトで、NAT Traversal( isakmp nat-traversal )はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp nat-traversal コマンドに置き換えられました。

 
使用上のガイドライン

Network Address Translation(NAT; ネットワーク アドレス変換)は、Port Address Translation(PAT; ポート アドレス変換)も含め、IPSec も使用している多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを問題なく通過することを妨げる非互換性が数多くあります。NAT Traversal を使用すると、ESP パケットが 1 つまたは複数の NAT デバイスを通過できるようになります。

セキュリティ アプライアンスは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおり NAT Traversal をサポートしています。NAT Traversal は、ダイナミックとスタティックの両方の暗号マップについてサポートされています。

このコマンドは、セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。暗号マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。

次の例では、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、30 秒間隔で NAT Traversal をイネーブルにします。

hostname(config)# isakmp enable
hostname(config)# isakmp nat-traversal 30

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy authentication

IKE ポリシー内の認証方式を指定するには、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。

isakmp policy priority authentication { crack | pre-share | rsa-sig }

 
シンタックスの説明

crack

認証方式として、IKE Challenge/Response for Authenticated Cryptographic Keys(CRACK)を指定します。

pre-share

認証方式として、事前共有鍵を指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。

rsa-sig

認証方式として、RSA シグニチャを指定します。

RSA シグニチャは、IKE ネゴシエーションに対する否認防止ができます。これは、基本的にユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。

 
デフォルト

デフォルトの ISAKMP ポリシー認証は、 pre-share です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。DSA-Sig が 7.0 で追加されました。

 
使用上のガイドライン

RSA シグニチャを指定する場合は、Certification Authority(CA; 認証局)から証明書を取得するようにセキュリティ アプライアンスとそのピアを設定する必要があります。事前共有鍵を指定する場合は、セキュリティ アプライアンスとそのピアに、事前共有鍵を別々に設定する必要があります。

次の例は、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに RSA シグニチャの認証方式を使用するように設定します。

hostname(config)# isakmp policy 40 authentication rsa-sig
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy encryption

IKE ポリシー内の暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

no isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

 
シンタックスの説明

3des

IKE ポリシーで、Triple DES 暗号化アルゴリズムを使用することを指定します。

aes

IKE ポリシーで使用する暗号化アルゴリズムが、128 ビット キーを使用する AES であることを指定します。

aes-192

IKE ポリシーで使用する暗号化アルゴリズムが、192 ビット キーを使用する AES であることを指定します。

aes-256

IKE ポリシーで使用する暗号化アルゴリズムが、256 ビット キーを使用する AES であることを指定します。

des

IKE ポリシーで使用する暗号化アルゴリズムが、56 ビット DES-CBC であることを指定します。

priority

Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。

 
デフォルト

デフォルトの ISAKMP ポリシー暗号化は 3des です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp policy encryption に置き換えられました。

次の例は、グローバル コンフィギュレーション モードで、 isakmp policy encryption コマンドを使用する方法を示しています。この例では、優先順位番号 25 の IKE ポリシーに 128 ビット キーの AES 暗号化アルゴリズムを使用するように設定します。

hostname(config)# isakmp policy 25 encryption aes
 

次の例では、グローバル コンフィギュレーション モードで、優先順位番号 40 の IKE ポリシーに 3DES アルゴリズムを使用するように設定します。

hostname(config)# isakmp policy 40 encryption 3des
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy group

IKE ポリシーの Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority group { 1 | 2 | 5 | 7 }

no isakmp policy priority group

 
シンタックスの説明

group 1

IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。768 ビットは、デフォルト値です。

group 2

IKE ポリシーで、1024 ビットの Diffie-Hellman グループ 2 が使用されるように指定します。

group 5

IKE ポリシーで、1536 ビットの Diffie-Hellman グループ 5 を使用することを指定します。

group 7

IKE ポリシーで、Diffie-Hellman Group 7 を使用することを指定します。Group 7 は IPSec SA キーを生成します。楕円曲線フィールドのサイズは 163 ビットです。

priority

Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。

 
デフォルト

デフォルトはグループ 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。Group 7 が追加されました。

7.2(1)

このコマンドは廃止されました。 crypto isakmp policy group コマンドに置き換えられました。

 
使用上のガイドライン

グループ オプションには、768 ビット(DH Group 1)、1,024 ビット(DH Group 2)、1,536 ビット(DH Group 5)、および DH Group 7 の 4 つがあります。1,024 ビットと 1,536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。


) Cisco VPN Client バージョン 3.x 以降では、isakmp policy で DH group 2 を設定する必要があります (DH group 1 を設定した場合、Cisco VPN Client は接続できません)。

AES は、VPN-3DES のライセンスがあるセキュリティ アプライアンスに限りサポートされます。AES が提供するキーはサイズが大きいため、ISAKMP ネゴシエーションには、group 1group 2 ではなく、Diffie-Hellman(DH)group 5 を使用する必要があります。この設定には、isakmp policy priority group 5 コマンドを使用します。


次の例は、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに、グループ 2、1024 ビット Diffie Hellman を使用するように設定します。

hostname(config)# isakmp policy 40 group 2
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy hash

IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority hash { md5 | sha }

no isakmp policy priority hash

 
シンタックスの説明

md5

IKE ポリシーで使用するハッシュ アルゴリズムとして、MD5(HMAC バリアント)を指定します。

priority

Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。

sha

IKE ポリシーで使用するハッシュ アルゴリズムとして、SHA-1(HMAC バリアント)を指定します。

 
デフォルト

デフォルトのハッシュ アルゴリズムは SHA-1(HMAC バリアント)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp policy hash コマンドに置き換えられました。

 
使用上のガイドライン

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 は、SHA-1 よりもダイジェストが小さく、わずかに速いとされています。

次の例は、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーに MD5 ハッシュ アルゴリズムを使用することを指定します。

hostname(config)# isakmp policy 40 hash md5
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy lifetime

IKE セキュリティ アソシエーションの期限が満了するまでのライフタイムを指定するには、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用します。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority lifetime seconds

no isakmp policy priority lifetime

 
シンタックスの説明

priority

Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65534 の整数を使用します。1 は優先順位が最も高く、65534 が最も低くなります。

seconds

各セキュリティ アソシエーションが期限満了するまでの秒数を指定します。有限のライフタイムを提示するには、120 ~ 2,147,483,647 秒の整数を使用します。無限のライフタイムを提示するには、0 秒を使用します。

 
デフォルト

デフォルト値は 86,400 秒(1 日)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

7.2(1)

このコマンドは廃止されました。 crypto isakmp policy lifetime コマンドに置き換えられました。

 
使用上のガイドライン

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータを合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限満了するまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限満了するまでその後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限満了する前に、新しいセキュリティ アソシエーションをネゴシエートします。

ライフタイムを長くするほど、セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することをお勧めしますが、ピアがライフタイムを提示していなければ、無限のライフタイムを指定できます。


) IKE セキュリティ アソシエーションが無限のライフタイムに設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからのネゴシエートされた有限のライフタイムが使用されます。
次の例は、グローバル コンフィギュレーション モードで、isakmp policy lifetime コマンドを使用する方法を示します。この例では、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。


この例では、グローバル コンフィギュレーション モードで、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。

hostname(config)# isakmp policy 40 lifetime 50400
 
 

次の例では、グローバル コンフィギュレーション モードで、IKE セキュリティ アソシエーションを無限のライフタイムに設定します。

hostname(config)# isakmp policy 40 lifetime 0
 

 
関連コマンド

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp reload-wait

すべてのアクティブなセッションが自主的に終了するまで待機してからセキュリティ アプライアンスをリブートできるようにするには、グローバル コンフィギュレーション モードで isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずにセキュリティ アプライアンスをリブートするには、このコマンドの no 形式を使用します。

isakmp reload-wait

no isakmp reload-wait

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0

このコマンドが導入されました。

7.2(1)

このコマンドは廃止されました。 crypto isakmp reload-wait コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してからリブートするように、セキュリティ アプライアンスに通知します。

hostname(config)# isakmp reload-wait
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションを消去します。

clear configure isakmp policy

ISAKMP ポリシー コンフィギュレーションをすべて消去します。

clear isakmp sa

IKE ランタイム SA データベースを消去します。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

issuer

アサーションを SAML タイプの SSO サーバに送信するセキュリティ デバイスを指定するには、特定の SAML タイプ用の webvpn-sso-saml コンフィギュレーション モードで、 issuer コマンドを使用します。発行者名を削除するには、このコマンドの no 形式を使用します。

issuer identifier

no issuer [ identifier ]

 
シンタックスの説明

identifier

セキュリティ デバイス名(通常は、そのデバイスのホスト名)を指定します。ID は、65 文字未満の英数字にする必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn-sso-saml コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

次の例では、asa1.mycompany.com という名前のセキュリティ デバイスの発行者名を指定します。

hostname(config-webvpn)# sso server myhostname type saml-v1.1-post
hostname(config-webvpn-sso-saml# issuer asa1.example.com
hostname(config-webvpn-sso-saml#

 
関連コマンド

コマンド
説明

assertion-consumer-url

セキュリティ デバイスが SAML タイプ SSO サーバのアサーション コンシューマ サービスへの連絡に使用する URL を指定します。

request-timeout

失敗した SSO 認証試行がタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されている全 SSO サーバの動作統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

trustpoint

SAML タイプのブラウザ アサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

issuer-name

すべての発行済み証明書の発行者名 DN を指定するには、ローカル Certificate Authority(CA; 認証局)サーバ コンフィギュレーション モードで issuer-name コマンドを使用します。認証局の証明書からサブジェクト DN を削除するには、このコマンドの no 形式を使用します。

issuer-name DN-string

no issuer-name [ DN-string ]

 
シンタックスの説明

DN-string

自己署名 CA 証明書のサブジェクト名 DN でもある、証明書の認定者名を指定します。アトリビュート値ペアを区切るには、カンマを使用します。カンマを含む値は、引用符で囲んでください。発行者名は、500 文字未満の英数字にする必要があります。

 
デフォルト

デフォルトの発行者名は、cn= hostame.domain-name になります(cn=asa.example.com など)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、このローカル CA サーバによって作成されたすべての証明書に表示する発行者名を指定します。発行者名をデフォルトの CA 名とは異なる名前にする場合、このオプションのコマンドを使用します。


) この発行者名コンフィギュレーションは、CA サーバをイネーブルにし、no shutdown コマンドを発行して証明書を生成すると変更することはできません。


次の例では、証明書認証を設定します。

hostname(config)# crypto ca server
hostname(config-ca-server)# issuer-name cn=asa-ca.example.com,ou=Eng,o=Example,c="cisco systems, inc.”
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。

keysize

証明書の登録で生成される公開鍵と秘密鍵のサイズを指定します。

lifetime

CA 証明書と発行済みの証明書のライフタイムを指定します。

show crypto ca server

ローカル CA の特性を表示します。

show crypto ca server cert-db

ローカル CA サーバ証明書を表示します。