Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.1(1)
urgent-flag コマンド~ write terminal コマンド
urgent-flag コマンド~ write terminal コマンド
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

urgent-flag コマンド~ write terminal コマンド

urgent-flag

url

url-block

url-cache

url-list

url-list (webvpn)

url-server

user-authentication

user-authentication-idle-timeout

username

username attributes

username-prompt

user-parameter

virtual http

virtual telnet

vlan

vpn-access-hours

vpn-addr-assign

vpn-filter

vpn-framed-ip-address

vpn-framed-ip-netmask

vpn-group-policy

vpn-idle-timeout

vpn load-balancing

vpn-sessiondb logoff

vpn-sessiondb max-session-limit

vpn-sessiondb max-webvpn-session-limit

vpn-session-timeout

vpn-simultaneous-logins

vpn-tunnel-protocol

web-agent-url

web-applications

web-bookmarks

webvpn (group-policy and username modes)

who

window-variation

wins-server

write erase

write memory

write net

write standby

write terminal

urgent-flag コマンド~ write terminal コマンド

urgent-flag

TCP ノーマライザを通して URG ポインタを許可または消去するには、tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

urgent-flag { allow | clear }

no urgent-flag { allow | clear }

 
シンタックスの説明

allow

TCP ノーマライザを通して URG ポインタを許可します。

clear

TCP ノーマライザを通して URG ポインタを消去します。

 
デフォルト

緊急フラグおよび緊急オフセットはデフォルトで消去されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用して、緊急フラグを許可します。

URG フラグは、ストリーム内の他のデータよりも高い優先順位の情報を含むパケットを示すために使用されます。TCP RFC は、URG フラグの正確な解釈を明確化していません。したがって、エンド システムは緊急オフセットをさまざまな方法で処理します。このため、エンド システムが攻撃を受け易くなります。デフォルトの動作は、URG フラグとオフセットを消去します。

次の例では、緊急フラグを許可する方法を示します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# urgent-flag allow
hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq 513
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラスマップを指定します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

url

CRL を検索するためのスタティック URL のリストを維持するには、crl 設定コンフィギュレーション モードで url コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。既存の URL を削除するには、このコマンドの no 形式を使用します。

url index url

no url index url

 
シンタックスの説明

Index

リスト内の各 URL のランクを決定する 1 ~ 5 の値を指定します。セキュリティ アプライアンスは、インデックス 1 から URL を試行します。

url

CRL の検索元となる URL を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

CRL 設定コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

既存の URL は上書きできません。既存の URL を置き換えるには、まずそれを削除して、このコマンドの no 形式を使用します。

次の例では、ca-crl コンフィギュレーション モードに入り、CRL 検索用の URL のリストを作成し、維持するためにインデックス 3 を設定して、CRL の検索元となる URL https://foobin.com を設定します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# url 3 https://foobin.com
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードに入ります。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードに入ります。

policy

CRL の検索元を指定します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答に使用される URL バッファを管理するには、 url-block コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

url-block block block_buffer_limit

no url-block block block_buffer_limit

Websense 専用

url-block url-mempool memory_pool_size

no url-block url-mempool memory_pool_siz

 
シンタックスの説明

block block_buffer_limit

フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答を保存する HTTP 応答バッファを作成します。許容される値は 0 ~ 128 です。これは、1,550 バイトのブロック数を指定します。

url-mempool memory_pool_size

Websense URL フィルタリングのみ。URL バッファ メモリ プールのサイズ(KB 単位)。許容される値は、2 ~ 10,240 で、2 KB ~ 10,240 KB の URL バッファ メモリ プールを指定します。

url-size long_url_size

Websense URL フィルタリングのみ。最大許容 URL サイズ(KB 単位)。許容される値は、2、3、または 4 で、最大 URL サイズ 2 KB、3 KB、または 4KB を指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

Websense フィルタリング サーバの場合、url-block url-size コマンドを使用すると、最大 4 KB の長さの URL のフィルタリングが可能です。Websense フィルタリング サーバおよび N2H2 フィルタリング サーバの両方の場合、url-block block コマンドは、URL フィルタリング サーバからの応答を待つ間の Web クライアント要求に応じて Web サーバから受信したパケットをセキュリティ アプライアンスにバッファします。この処理により、デフォルトのセキュリティ アプライアンスの動作と比較して、Web クライアントのパフォーマンスが改善されます。デフォルトの動作はパケットを廃棄し、接続が許可された場合は Web サーバにパケットの再転送を要求します。

url-block block コマンドを使用し、フィルタリング サーバが接続を許可した場合、セキュリティ アプライアンスは、HTTP 応答バッファから Web クライアントにブロックを送信して、バッファからブロックを削除します。フィルタリング サーバが接続を拒否した場合、セキュリティ アプライアンスは拒否メッセージを Web クライアントに送信して、HTTP 応答バッファからブロックを削除します。

url-block block コマンドを使用して、フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答のバッファリングに使用するブロックの数を指定します。

url-block url-mempool コマンドとともに url-block url-size コマンドを使用して、Websense フィルタリング サーバによりフィルタリングされる URL の最大長と、URL バッファに割り当てる最大メモリを指定します。これらのコマンドを使用して、1,159 バイト以上 4,096 バイト以下の URL を Websense サーバに渡します。 url-block url-size コマンドは、1,159 バイトより長い URL をバッファに保存した後、その URL を Websense サーバに渡します(TCP パケット ストリームを使用して)。その結果、Websense サーバがその URL へのアクセスを許可または拒否できます。

次の例では、1,550 バイトのブロックを 56 個、URL フィルタリング サーバからの応答のバッファリングに割り当てます。

hostname#(config)# url-block block 56
 

 
関連コマンド

コマンド
説明

clear url-block block statistics

ブロック バッファ使用状況カウンタをクリアします。

filter url

トラフィックを URL フィルタリング サーバに誘導します。

show url-block

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンド用の N2H2 サーバまたは Websense サーバを指定します。

url-cache

N2H2 サーバまたは Websense サーバから受信した URL 応答の URL キャッシングをイネーブルにして、キャッシュのサイズを設定するには、グローバル コンフィギュレーション モードで url-cache コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

url-cache { dst | src_dst } kbytes [kb]

no url-cache { dst | src_dst } kbytes [kb]

 
シンタックスの説明

dst

URL 宛先アドレスに基づくキャッシュ エントリ。このモードは、N2H2 サーバまたは Websense サーバ上で、すべてのユーザが同じ URL フィルタリング ポリシーを共有する場合に選択します。

size kbytes

キャッシュ サイズの値を 1 ~ 128 KB の範囲で指定します。

src_dst

URL 要求を発信している送信元アドレスと URL 宛先アドレスの両方に基づくキャッシュ エントリ。このモードは、N2H2 サーバまたは Websense サーバ上で、ユーザが同じ URL フィルタリング ポリシーを共有していない場合に選択します。

statistics

statistics オプションを使用すると、追加の URL キャッシュ統計情報、たとえば、キャッシュ ルックアップの回数やヒット率が表示されます。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

url-cache コマンドには、URL サーバから応答をキャッシュするコンフィギュレーション オプションが用意されています。

url-cache コマンドは、URL キャッシュをイネーブルにし、キャッシュ サイズを設定し、キャッシュの統計情報を表示する場合に使用します。

キャッシュによって URL アクセス特権が、セキュリティ アプライアンス上のメモリに保存されます。ホストが接続を要求すると、セキュリティ アプライアンスは要求を N2H2 または Websense サーバに転送するのではなく、まず一致するアクセス特権を URL キャッシュ内で探します。キャッシュをディセーブルにするには、 no url-cache コマンドを使用します。


) N2H2 サーバまたは Websense サーバで設定を変更した場合は、no url-cache コマンドでキャッシュをディセーブルにした後、url-cache コマンドで再度イネーブルにします。


URL キャッシュを使用しても、Websense プロトコル Version 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル Version 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティの要求に合致する使用状況プロファイルを取得した後、 url-cache をイネーブルにしてスループットを向上させます。Websense プロトコル Version 4 および N2H2 URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログがアップデートされます。

次の例では、送信元アドレスと宛先アドレスに基づいて、すべての発信 HTTP 接続をキャッシュします。

hostname(config)# url-cache src_dst 128
 

 
関連コマンド

コマンド
説明

clear url-cache statistics

コンフィギュレーションから url-cache コマンド文を削除します。

filter url

トラフィックを URL フィルタリング サーバに誘導します。

show url-cache statistics

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。

url-server

filter コマンド用の N2H2 サーバまたは Websense サーバを指定します。

url-list

WebVPN ユーザがアクセスする URL のセットを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。複数の URL でリストを設定するには、各 URL に対して 1 回、同じリスト名でこのコマンドを複数回使用します。設定済みリスト全体を削除するには、 no url-list listname コマンドを使用します。設定済み URL を削除するには、 no url-list listname url コマンドを使用します。

複数のリストを設定するには、このコマンドを複数回使用して、各リストに一意な listname を割り当てます。

url-list { listname displayname url }

no url-list listname

no url-list listname url

 
シンタックスの説明

displayname

WebVPN エンド ユーザ インターフェイスに表示されるテキストを入力して、URL を識別します。最大 64 文字です。 displayname は、所定のリストに対して一意である必要があります。スペースを使用できます。

listname

WebVPN ユーザがアクセスできる URL のセットをグループ化します。最大 64 文字です。最大 64 文字です。セミコロン(;)、アンパサンド(&)、小なり(<)記号は使用できません。

url

リンクを指定します。サポートされる URL タイプは http、https、および cifs です。

 
デフォルト

デフォルトの URL リストはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

グローバル コンフィギュレーション モードで url-list コマンドを使用して、URL のリストを 1 つ以上作成します。特定のグループポリシーまたはユーザがリスト内の URL にアクセスできるようにするには、ここで作成した listname とともに WebVPN モードで url-list コマンドを使用します。

次の例では、www.cisco.com、www.example.com、および www.example.org へのアクセスを提供する Marketing URLs という名前の URL リストを作成する方法を示します。次の表は、各アプリケーションの例で使用する値を示します。

 

listname
displayname
url

Marketing URLs

Cisco Systems

http://www.cisco.com

Marketing URLs

Example Company, Inc.

http://www.example.com

Marketing URLs

Example Organization

http://www.example.org

hostname(config)# url-list Marketing URLs Cisco Systems http://www.cisco.com
hostname(config)# url-list Marketing URLs Example Company, Inc. http://www.example.com
hostname(config)# url-list Marketing URLs Example Organization http://www.example.org
 

 
関連コマンド

コマンド
説明

clear configuration url-list

すべての url-list コマンドをコンフィギュレーションから削除します。listname を含めると、セキュリティ アプライアンスはそのリストのコマンドのみ削除します。

url-list

WebVPN モードでこのコマンドを使用すると、グループポリシーまたはユーザが URL の設定済みリストにアクセスできます。

show running-configuration url-list

現在設定されている URL のセットを表示します。

webvpn

グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。WebVPN モードに入って、グループポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル コンフィギュレーション値を設定できます。

url-list (webvpn)

WebVPN サーバのリストと URL を特定のユーザまたはグループポリシーに適用するには、グループポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで url-list コマンドを使用します。 url-list none コマンドを使用して作成したヌル値を含むリストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを使用します。コマンドを 2 回使用すると、先行する設定値が上書きされます。

url-list { value name | none } [ index ]

no url-list

 
シンタックスの説明

Index

ホームページ上で表示される優先順位を示します。

none

URL リストにヌル値を設定します。デフォルトのグループポリシーまたは指定されているグループポリシーからリストを継承しないようにします。

value name

URL の設定済みリストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

 
デフォルト

デフォルトの URL リストはありません。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

コマンドを 2 回使用すると、先行する設定値が上書きされます。

WebVPN モードで url-list コマンドを使用して、ユーザまたはグループポリシー用の WebVPN ホームページに表示する URL リストを識別する前に、リストを作成する必要があります。グローバル コンフィギュレーション モードで url-list コマンドを使用して、1 つ以上のリストを作成します。

次の例では、FirstGroupURLs という名前の URL リストを FirstGroup という名前のグループポリシーに適用して、URL リストの中の最初の位置を割り当てます。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# url-list value FirstGroupURLs 1

 
関連コマンド

コマンド
説明

clear configure url-list [ listname ]

すべての url-list コマンドをコンフィギュレーションから削除します。listname を含めると、セキュリティ アプライアンスはそのリストのコマンドのみ削除します。

show running-configuration url-list

現在設定されている url-list コマンドのセットを表示します。

url-list

WebVPN ユーザがアクセスできる URL のセットを設定するには、グローバル コンフィギュレーション モードでアクセスできる WebVPN モードでこのコマンドを使用します。

webvpn

webvpn モードに入ります。これは、webvpn コンフィギュレーション モード、グループポリシー webvpn コンフィギュレーション モード(特定のグループポリシーに対する webvpn の値を設定するため)、またはユーザ名 webvpn コンフィギュレーション モード(特定のユーザに対する webvpn の値を設定するため)のいずれかです。

url-server

filter コマンドで使用する N2H2 または Websense サーバを指定するには、グローバル コンフィギュレーション モードで url-server コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

N2H2

url-server ( if_name ) vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ]}]

no url-server ( if_name ) vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ]}]

Websense

url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP | connections num_conns ] | version ]

no url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ] | version ]

 
シンタックスの説明

N2H2

connections

許容する接続の最大数を制限します。

num_conns

許容する接続の最大数を指定します。

host local_ip

URL フィルタリング アプリケーションを実行するサーバ。

if_name

(オプション)認証サーバが常駐するネットワーク インターフェイス。指定しない場合、デフォルトは内部インターフェイスです。

port number

N2H2 サーバ ポート。セキュリティ アプライアンスは、UDP 返答のリスンもこのポート上で行います。デフォルトのポート番号は 4005 です。

protocol

プロトコルは、 TCP キーワードまたは UDP キーワードを使用して設定できます。デフォルトは TCP です。

timeout seconds

許容される最大アイドル時間で、経過後にセキュリティ アプライアンスは指定した次のサーバに切り替わります。デフォルトは、30 秒です。

vendor n2h2

URL フィルタリング サービス ベンダーが N2H2 であることを示します。

Websense

connections

許容する接続の最大数を制限します。

if_name

認証サーバが常駐するネットワーク インターフェイス。指定しない場合、デフォルトは内部インターフェイスです。

host local_ip

URL フィルタリング アプリケーションを実行するサーバ。

timeout seconds

許容される最大アイドル時間で、経過後にセキュリティ アプライアンスは指定した次のサーバに切り替わります。デフォルトは、30 秒です。

protocol

プロトコルは、 TCP キーワードまたは UDP キーワードを使用して設定できます。デフォルトは TCP プロトコル、Version 1 です。

vendor websense

URL フィルタリング サービス ベンダーが Websense であることを示します。

version

プロトコル Version 1 または Version 4 を指定します。デフォルトは TCP プロトコル Version 1 です。TCP は、Version 1 または Version 4 を使用して設定できます。UDP の設定に使用できるのは、Version 4 だけです。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

url-server コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。URL サーバ数の上限は 16 ですが、一度に使用できるアプリケーションは、N2H2 または Websense のどちらか 1 つだけです。さらに、セキュリティ アプライアンス上でコンフィギュレーションを変更しても、アプリケーション サーバ上のコンフィギュレーションはアップデートされないため、ベンダーの指示に従って別途アップデートする必要があります。

HTTPS および FTP に対して filter コマンドを実行するには、事前に url-server コマンドを設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連する filter コマンドもすべて削除されます。

サーバを指示した後、 filter url コマンドを使用して、URL フィルタリング サービスをイネーブルにします。

次の手順を実行して、URL フィルタリングを行います。


ステップ 1 ベンダー固有の url-server コマンドを適切な形式で使用して、URL フィルタリング アプリケーション サーバを指示します。

ステップ 2 filter コマンドで、URL フィルタリングをイネーブルにします。

ステップ 3 (オプション) url-cache コマンドを使用して、URL キャッシュをイネーブルにし、認識される応答時間を改善します。

ステップ 4 (オプション) url-block コマンドを使用して、長い URL および HTTP のバッファリングのサポートをイネーブルにします。

ステップ 5 show url-block block statistics show url-cache statistics 、または show url-server statistics の各コマンドを使用して、実行情報を表示します。

N2H2 によるフィルタリングの詳細については、次の N2H2 の Web サイトを参照してください。

http://www.n2h2.com

Websense フィルタリングの詳細については、次の Web サイトを参照してください。

http://www.websense.com/


 

次の例では、N2H2 を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。

hostname(config)# url-server (perimeter) vendor n2h2 host 10.0.1.1
hostname(config)# filter url http 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

次の例では、Websense を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。

hostname(config)# url-server (perimeter) vendor websense host 10.0.1.1 protocol TCP version 4
hostname(config)# filter url http 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

 
関連コマンド

コマンド
説明

clear url-server

URL フィルタリング サーバの統計情報を消去します。

filter url

トラフィックを URL フィルタリング サーバに誘導します。

show url-block

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

user-authentication

ユーザ認証をイネーブルにするには、グループポリシー コンフィギュレーション モードで user-authentication enable コマンドを使用します。ユーザ認証をディセーブルにするには、 user-authentication disable コマンドを使用します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、ユーザ認証の値を別のグループポリシーから継承できます。

イネーブルの場合、ユーザ認証ではハードウェア クライアントの背後にいる個々のユーザが、トンネルを越えてネットワークへのアクセスを取得するように認証する必要があります。

user-authentication { enable | disable }

no user-authentication

 
シンタックスの説明

disable

ユーザ認証をディセーブルにします。

enable

ユーザ認証をイネーブルにします。

 
デフォルト

ユーザ認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

個々のユーザは設定した認証サーバの順序に従って認証します。

プライマリ セキュリティ アプライアンスでのユーザ認証が必要な場合は、バックアップ サーバでも同様に設定されていることを確認します。

次の例では、「FirstGroup」という名前のグループポリシーのユーザ認証をイネーブルにする方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable

 
関連コマンド

コマンド
説明

ip-phone-bypass

ユーザ認証を受けずに IP 電話を接続できるようにします。Secure Unit Authentication は有効なままになります。

leap-bypass

イネーブルの場合、LEAP パケットが VPN クライアントの背後にある無線デバイスから VPN トンネルを通過した後でユーザ認証を行います。これにより、シスコの無線アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できます。確立後、ワークステーションはユーザごとの認証をもう一度実行します。

secure-unit-authentication

クライアントがトンネルを開始するたびに VPN クライアントがユーザ名とパスワードを使用した認証を要求することにより、さらにセキュリティが向上します。

user-authentication-idle-timeout

個々のユーザのアイドル タイムアウトを設定します。アイドル タイムアウト期間中にユーザ接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

user-authentication-idle-timeout

ハードウェア クライアントの背後にいる個々のユーザに対してアイドル タイムアウトを設定するには、グループポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを使用します。アイドル タイムアウト値を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、アイドル タイムアウト値を別のグループポリシーから継承できます。アイドル タイムアウト値を継承しないようにするには、 user-authentication-idle-timeout none コマンドを使用します。

アイドル タイムアウト期間中にハードウェア クライアントの背後にいるユーザによる通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

user-authentication-idle-timeout { minutes | none }

no user-authentication-idle-timeout

 
シンタックスの説明

minutes

アイドル タイムアウト期間を分単位で指定します。範囲は、1 ~ 35,791,394 分です。

none

無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからユーザ認証のアイドル タイムアウト値を継承しないようにします。

 
デフォルト

30 分。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

最小値は 1 分、デフォルトは 30 分、最大値は 10,080 分です。

次の例では、「FirstGroup」という名前のグループポリシーに対して 45 分のアイドル タイムアウト値を設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45

 
関連コマンド

コマンド
説明

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。

username

セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、削除するユーザ名で、このコマンドの no バージョンを使用します。すべてのユーザ名を削除するには、ユーザ名を付加せずに、このコマンドの no バージョンを使用します。

username { name } { nopassword | password password [ encrypted ]} [ privilege priv_level ]}

no username [ name ]

 
シンタックスの説明

encrypted

パスワードが暗号化されることを示します。

name

ユーザの名前を指定します。

nopassword

このユーザにはパスワードが不要であることを示します。

password password

このユーザにはパスワードがあり、パスワードを入力することを示します。

privilege priv_level

このユーザに対して特権レベルを設定します。範囲は 0 ~ 15 です。数値が小さくなるほど、コマンドを使用する機能と、セキュリティ アプライアンスを管理する機能が低くなります。デフォルトの特権レベルは 2 です。システム管理者の一般的な特権レベルは 15 です。

 
デフォルト

デフォルトでは、このコマンドを使用して追加した VPN ユーザには、アトリビュートまたはグループポリシーのアソシエーションはありません。すべての値を明示的に設定する必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。

config-username モードに入るには username attributes コマンドを使用します。このモードでは、次のアトリビュートを設定できます。

 

アトリビュート
機能

group-lock

ユーザが接続する必要がある既存のトンネルグループを指定します。

password-storage

クライアント システムでのログイン パスワードの保管をイネーブルまたはディセーブルにします。

vpn-access-hours

設定済みの時間範囲ポリシーの名前を指定します。

vpn-filter

ユーザ固有の ACL の名前を指定します。

vpn-framed-ip-address

クライアントに割り当てられる IP アドレスとネット マスクを指定します。

vpn-group-policy

アトリビュートの継承元になるグループポリシーの名前を指定します。

vpn-idle-timeout

アイドル タイムアウト期間を分で指定するか、または none を使用してディセーブルにします。

vpn-session-timeout

最大ユーザ接続時間を分で指定するか、または none を使用して無制限にします。

vpn-simultaneous-logins

使用可能な同時ログインの最大数を指定します。

vpn-tunnel-protocol

許可されたトンネリング プロトコルを指定します。

webvpn

webvpn アトリビュートを設定する webvpn モードに入ります。

次の例では、暗号化されたパスワード 12345678 と特権レベル 12 を持つ「anyuser」という名前のユーザを設定する方法を示します。

hostname(config)# username anyuser password 12345678 encrypted privilege 12
 

 
関連コマンド

コマンド
説明

clear config username

特定のユーザまたはすべてのユーザのコンフィギュレーションを消去します。

show running-config username

特定のユーザまたはすべてのユーザの実行コンフィギュレーションを表示します。

username attributes

ユーザ名アトリビュート モードに入って、個々のユーザのアトリビュートを設定できるようにします。

webvpn

config-group-webvpn モードに入ります。このモードで、指定したグループに対する WebVPN アトリビュートが設定できます。

username attributes

ユーザ名アトリビュート モードに入るには、ユーザ名コンフィギュレーション モードで username attributes コマンドを使用します。特定のユーザのすべてのアトリビュートを削除するには、このコマンドの no 形式を使用して、ユーザ名を付加します。すべてのユーザのアトリビュートを削除するには、ユーザ名を付加せずに、このコマンドの no 形式を使用します。アトリビュート モードを使用すると、指定したユーザに対してアトリビュート値ペアを設定できます。

username { name } attributes

no username [ name ] attributes

 
シンタックスの説明

name

ユーザの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0.1

このコマンドが導入されました。

 
使用上のガイドライン

内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。ユーザ名アトリビュートは、 username コマンドまたは username attributes コマンドのいずれかを使用して設定します。

config-username モードのコマンドのシンタックスには、共通する次の特性があります。

no 形式は、実行コンフィギュレーションからアトリビュートを削除します。

none キーワードも、実行コンフィギュレーションからアトリビュートを削除します。ただし、アトリビュートにヌル値を設定することにより削除され、継承しないようにします。

ブール アトリビュートには、イネーブルまたはディセーブルになっている設定のための明示的なシンタックスがあります。

username attributes コマンドで config-username モードに入ると、次のアトリビュートを設定できます。

 

アトリビュート
機能

group-lock

ユーザが接続する必要がある既存のトンネルグループを指定します。

password-storage

クライアント システムでのログイン パスワードの保管をイネーブルまたはディセーブルにします。

vpn-access-hours

設定済みの時間範囲ポリシーの名前を指定します。

vpn-filter

ユーザ固有の ACL の名前を指定します。

vpn-framed-ip-address

クライアントに割り当てられる IP アドレスとネット マスクを指定します。

vpn-group-policy

アトリビュートの継承元になるグループポリシーの名前を指定します。

vpn-idle-timeout

アイドル タイムアウト期間を分で指定するか、または none を使用してディセーブルにします。

vpn-session-timeout

最大ユーザ接続時間を分で指定するか、または none を使用して無制限にします。

vpn-simultaneous-logins

使用可能な同時ログインの最大数を指定します。

vpn-tunnel-protocol

許可されたトンネリング プロトコルを指定します。

webvpn

webvpn アトリビュートを設定する webvpnモードに入ります。

ユーザ名に対する webvpn モード アトリビュートは、ユーザ名の webvpn コンフィギュレーション モードで username attributes コマンドを入力してから webvpn コマンドを入力して設定します。詳細については、 webvpn コマンド(グループポリシー アトリビュートおよびユーザ名アトリビュート モード)の説明を参照してください。

次の例では、「anyuser」という名前のユーザのユーザ名アトリビュート コンフィギュレーション モードに入る方法を示します。

hostname(config)# username anyuser attributes
hostname(config-username)#

 
関連コマンド

コマンド
説明

clear config username

ユーザ名データベースを消去します。

show running-config username

特定のユーザまたはすべてのユーザの実行コンフィギュレーションを表示します。

username

ユーザをセキュリティ アプライアンスのデータベースに追加します。

webvpn

指定されたグループの WebVPN アトリビュートを設定するユーザ名の webvpn コンフィギュレーション モードに入ります。

username-prompt

WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページ ログイン ボックスのユーザ名プロンプトをカスタマイズするには、webvpn カスタマイゼーション モードで username-prompt コマンドを使用します。

username-prompt { text | style } value

[ no ] username-prompt { text | style } value

このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
シンタックスの説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際の表示テキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

ユーザ名プロンプトのデフォルト テキストは「USERNAME」です。

ユーザ名プロンプトのデフォルトのスタイルは、color:black;font-weight:bold;text-align:right です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイル要素を設定するのに便利な機能があります。


次の例では、テキストを「Corporate Username:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更しています。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# username-prompt text Corporate Username:
F1-asa1(config-webvpn-custom)# username-prompt style font-weight:bolder

 
関連コマンド

コマンド
説明

group-prompt

WebVPN ページのグループ プロンプトをカスタマイズします。

password-prompt

WebVPN ページのパスワード プロンプトをカスタマイズします。

user-parameter

SSO 認証用にユーザ名の提出が必要な HTTP POST 要求パラメータの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで user-parameter コマンドを使用します。これは HTTP 形式のコマンドを使用する SSO です。

user-parameter name


) HTTP プロトコルで SSO を適切に設定するには、認証と HTTP プロトコル交換についての実用的な知識が十分に必要です。


 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

string

HTTP POST 要求に含まれるユーザ名パラメータの名前です。名前の最大長は 128 文字です。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、シングル サインオン認証要求を SSO サーバに送信します。要求されたコマンド user-parameter は、この HTTP POST 要求が SSO 認証用のユーザ名パラメータを含める必要があることを指定します。


) ログイン時に、ユーザは実際の名前の値を入力します。この値は HTTP POST 要求に入力されて、認証 web サーバに渡されます。


AAA サーバ ホスト コンフィギュレーション モードで入力された次の例では、ユーザ名パラメータの userid が SSO 認証で使用される HTTP POST 要求に含まれることを指定します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# user-parameter userid
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名とパスワードを受信する Web サーバ URI を指定します。

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

認証 Web サーバとの交換に使用する非表示パラメータを作成します。

password-parameter

SSO 認証のためにユーザ パスワードの送信が必要な HTTP POST 要求のパラメータの名前を指定します。

start-url

事前ログイン クッキーの取得先 URL を指定します。

virtual http

仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。セキュリティ アプライアンス上で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用すると、セキュリティ アプライアンスと HTTP サーバで別々に認証を実行できます。仮想 HTTP を使用しない場合は、セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。

virtual http ip_address [ warning ]

no virtual http ip_address [ warning ]

 
シンタックスの説明

ip_address

セキュリティ アプライアンス上の仮想 HTTP サーバに対して IP アドレスを設定します。このアドレスが、セキュリティ アプライアンスに向かってルーティングされる未使用アドレスであることを確認してください。たとえば、外部にアクセスするときに内部アドレスの NAT を実行し、仮想 HTTP サーバへの外部アクセスを提供する場合は、仮想 HTTP サーバ アドレスに対して、グローバル NAT アドレスの 1 つを使用できます。

warning

(オプション)HTTP 接続をセキュリティ アプライアンスにリダイレクトする必要があることをユーザに通知します。このキーワードは、リダイレクトが自動的には行われないテキストベースのブラウザにだけ利用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

HTTP 認証をイネーブルにする場合( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、セキュリティ アプライアンスは、AAA サーバで認証できるようにユーザ名とパスワードの入力を各ユーザに要求します。AAA サーバがユーザを認証すると、HTTP サーバへの接続が許可されます。ただし、AAA サーバのユーザ名とパスワードは、HTTP パケット内にまだ含まれています。HTTP サーバにも独自の認証メカニズムがある場合、パケットにはすでにユーザ名とパスワードが含まれているため、ユーザが再度ユーザ名とパスワードの入力を要求されることはありません。AAA サーバと HTTP サーバでユーザ名とパスワードが異なる場合、HTTP 認証は失敗します。

HTTP サーバごとに別々に入力を要求できるようにするには、 virtual http コマンドを使用して、セキュリティ アプライアンスで仮想 HTTP サーバをイネーブルにします。このコマンドは、AAA 認証を必要とするすべての HTTP 接続を、セキュリティ アプライアンス上の仮想 HTTP サーバへリダイレクトします。セキュリティ アプライアンスは、AAA サーバのユーザ名とパスワードを要求します。AAA サーバがユーザを認証すると、セキュリティ アプライアンスは HTTP 接続を元のサーバにリダイレクトしますが、AAA サーバのユーザ名とパスワードは含まれません。HTTP パケットにユーザ名とパスワードが含まれないため、HTTP サーバは別に HTTP サーバのユーザ名とパスワードの入力をユーザに要求します。


注意 virtual http コマンドを使用するときは、timeout uauth コマンドの継続時間を 0 秒以外に設定します。この設定によって、実際の Web サーバへの HTTP 接続ができなくなります。

次の例では、AAA 認証とともに仮想 HTTP をイネーブルにする方法を示します。

hostname(config)# access-list HTTP-ACL extended permit tcp 10.1.1.0 any eq 80
hostname(config)# aaa authentication match HTTP-ACL inside tacacs+
hostname(config)# virtual http 10.1.2.1
 

 
関連コマンド

コマンド
説明

clear configure virtual

コンフィギュレーションから virtual コマンド文を削除します。

show running-config virtual

セキュリティ アプライアンス仮想サーバの IP アドレスを表示します。

sysopt uauth allow-http-cache

virtual http コマンドをイネーブルにすると、このコマンドにより、ブラウザ キャッシュのユーザ名とパスワードを使用して、仮想サーバに再接続できます。

virtual telnet

セキュリティ アプライアンスで仮想 Telnet サーバを提供して、認証を必要とする別のタイプの接続を開始する前に、セキュリティ アプライアンスでユーザを認証できます。

virtual telnet

セキュリティ アプライアンスで仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。セキュリティ アプライアンスが認証プロンプトを指定しない別のタイプのトラフィックを認証する必要がある場合、仮想 Telnet サーバでユーザを認証する必要がある場合もあります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。

virtual telnet ip-address

no virtual telnet ip-address

 
シンタックスの説明

ip_address

セキュリティ アプライアンス上の仮想 Telnet サーバの IP アドレスを設定します。このアドレスが、セキュリティ アプライアンスに向かってルーティングされる未使用アドレスであることを確認してください。たとえば、外部にアクセスするときに内部アドレスの NAT を実行し、仮想 Telnet サーバへの外部アクセスを提供する場合は、仮想 Telnet サーバ アドレスに対して、グローバル NAT アドレスの 1 つを使用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

任意のプロトコルまたはサービス( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)に対してネットワーク アクセス認証を設定できますが、直接 HTTP、Telnet、または FTP だけで認証することもできます。ユーザは認証を必要とする別のトラフィックが許可される前に、これらのサービスの 1 つで先に認証する必要があります。セキュリティ アプライアンスを通して HTTP、Telnet、または FTP を許可せずに、別のタイプのトラフィックを認証する場合は、セキュリティ アプライアンスで設定された所定の IP アドレスにユーザが Telnet 接続し、セキュリティ アプライアンスが Telnet プロンプトを表示するように、仮想 Telnet を設定できます。

権限のないユーザが仮想 Telnet IP アドレスに接続したとき、ユーザ名とパスワードが要求され、AAA サーバによって認証されます。認証されると、「Authentication Successful.」というメッセージが表示されます。その後、ユーザは認証を必要とするその他のサービスに正常にアクセスできるようになります。

次の例では、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする方法を示します。

hostname(config)# access-list AUTH extended permit tcp 10.1.1.0 host 10.1.2.1 eq telnet
hostname(config)# access-list AUTH extended permit tcp 10.1.1.0 host 209.165.200.225 eq smtp
hostname(config)# aaa authentication match AUTH inside tacacs+
hostname(config)# virtual telnet 10.1.2.1
 

 
関連コマンド

コマンド
説明

clear configure virtual

コンフィギュレーションから virtual コマンド文を削除します。

show running-config virtual

セキュリティ アプライアンス仮想サーバの IP アドレスを表示します。

virtual http

セキュリティ アプライアンス上で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用すると、セキュリティ アプライアンスと HTTP サーバで別々に認証を実行できます。仮想 HTTP を使用しない場合は、セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。

vlan

VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスには、トラフィックを渡す VLAN ID が必要です。VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス(たとえば複数のセキュリティ コンテキスト)にトラフィックを別に保存できます。

vlan id

no vlan

 
シンタックスの説明

id

1 ~ 4,094 の整数を指定します。一部の VLAN ID には、接続されたスイッチで予約されているものもあります。詳細については、スイッチのマニュアルを参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。

 
使用上のガイドライン

1 つの VLAN だけを、物理インターフェイスではなく、サブインターフェイスに割り当てることができます。各サブインターフェイスは、トラフィックを通過する前に VLAN ID を持つ必要があります。VLAN ID を変更するには、 no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を使用して vlan コマンドを入力すると、セキュリティ アプライアンスは古い ID を変更します。

no shutdown コマンドを使用して物理インターフェイスをイネーブルにし、サブインターフェイスをイネーブルにする必要があります。サブインターフェイスをイネーブルにする場合、物理インターフェイスはタグの付かないパケットを通過させるため、一般的には物理インターフェイスがトラフィックを通過させないようにします。したがって、インターフェイスを停止することで物理インターフェイスを介してトラフィックが通過しないようにすることはできません。代わりに、 nameif コマンドを省略することで、物理インターフェイスがトラフィックを通過させないことを確認します。物理インターフェイスがタグの付かないパケットを通過させるようにする場合は、通常通り nameif コマンドを設定できます。

サブインターフェイスの最大数は、プラットフォームによって変わります。プラットフォームごとのサブインターフェイスの最大数については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

次の例では、サブインターフェイスに VLAN 101 を割り当てます。

hostname(config)# interface gigabitethernet0/0.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次の例では、VLAN を 102 に変更します。

hostname(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 101
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
 
hostname(config)# interface gigabitethernet0/0.1
hostname(config-interface)# vlan 102
 
hostname(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 102
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
 

 
関連コマンド

コマンド
説明

allocate-interface

セキュリティ コンテキストにインターフェイスおよびサブインターフェイスを割り当てます。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show running-config interface

インターフェイスの現在のコンフィギュレーションを表示します。

vpn-access-hours

設定済みの時間範囲ポリシーをグループポリシーに関連付けるには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、時間範囲値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを使用します。

vpn-access hours value { time-range } | none

no vpn-access hours

 
シンタックスの説明

none

VPN アクセス時間にヌル値を設定することで、時間範囲ポリシーを許可しないようにします。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

time-range

設定済みの時間範囲ポリシーの名前を指定します。

 
デフォルト

無制限です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

 
使用上のガイドライン

次の例では、824 と呼ばれる時間範囲ポリシーに FirstGroup という名前のグループポリシーを関連付ける方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours 824

 
関連コマンド

コマンド
説明

time-range

ネットワークにアクセスする曜日および 1 日の時間を設定します(開始日と終了日を含む)。

vpn-addr-assign

IP アドレスをリモートアクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。設定されている Vpn アドレスの割り当て方法をセキュリティ アプライアンスからすべて削除するには、引数なしで、このコマンドの no バージョンを使用します。

vpn-addr-assign { aaa | dhcp | local }

no vpn-addr-assign [ aaa | dhcp | local ]

 
シンタックスの説明

aaa

外部 AAA 認証サーバから IP アドレスを取得します。

dhcp

DHCP 経由で IP アドレスを取得します。

local

内部認証サーバから IP アドレスを割り当て、トンネルグループに関連付けます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

 
使用上のガイドライン

DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスの範囲を定義する必要があります。

ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。 vpn-framed-ip-address コマンドおよび vpn-framed-netmask コマンドを使用して、個々のユーザに IP アドレスとネットマスクを割り当てます。

AAA を選択する場合、設定済みの RADIUS サーバのいずれかから IP アドレスを取得します。

次の例では、アドレスの割り当て方法として DHCP を設定する方法を示します。

hostname(config)# vpn-addr-assign dhcp
 

 
関連コマンド

コマンド
説明

dhcp-network-scope

セキュリティ アプライアンス DHCP サーバがグループポリシーのユーザにアドレスを割り当てるときに使用する必要がある IP アドレスの範囲を指定します。

ip-local-pool

ローカル IP アドレス プールを作成します。

vpn-framed-ip-address

IP アドレスを指定して、特定のユーザに割り当てます。

vpn-framed-ip-netmask

ネットマスクを指定して、特定のユーザに割り当てます。

vpn-filter

VPN 接続に使用する ACL の名前を指定するには、グループポリシーまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-filter none コマンドを使用します。

ACL を設定して、このユーザまたはグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。 vpn-filter コマンドを使用して、これらの ACL を適用します。

vpn-filter { value ACL name | none }

no vpn-filter

 
シンタックスの説明

none

アクセスリストがないことを指定します。ヌル値を設定して、アクセスリストを拒否します。アクセスリストを他のグループポリシーから継承しないようにします。

value ACL name

設定済みアクセスリストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

 
使用上のガイドライン

WebVPN は、 vpn-filter コマンドで定義された ACL を使用しません。

次の例では、FirstGroup という名前のグループポリシーの acl_vpn と呼ばれるアクセスリスト名を実行するフィルタを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter value acl_vpn

 
関連コマンド

コマンド
説明

access-list

アクセスリストを作成します。または、ダウンロード可能なアクセスリストを使用します。

vpn-framed-ip-address

特定のユーザに割り当てる IP アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

vpn - framed-ip-address { ip_address }

no vpn - framed-ip-address

 
シンタックスの説明

ip_address

このユーザの IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

次の例では、anyuser という名前のユーザに 10.92.166.7 という IP アドレスを設定する方法を示します。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7

 
関連コマンド

コマンド
説明

vpn-framed-ip-netmask

このユーザのサブネット マスクを指定します。

vpn-framed-ip-netmask

特定のユーザに割り当てるサブネット マスクを指定するには、ユーザ名モードで vpn - framed-ip-netmask コマンドを使用します。サブネットマスクを削除するには、このコマンドの no 形式を使用します。

vpn - framed-ip-netmask { netmask }

no vpn - framed-ip-netmask

 
シンタックスの説明

netmask

このユーザのサブネット マスクを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

次の例では、anyuser という名前のユーザに 255.255.255. 254 というサブネット マスクを設定する方法を示します。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
 

) RADIUS がサブネット マスクだけを返す場合、認証は独自のサブネット ネットマスクを持つローカル プールからの IP アドレスを使用します。RADIUS からのマスクは使用しません。これを防止するには、RADIUS からネットマスクと IP アドレスの両方を返します。


 
関連コマンド

コマンド
説明

vpn-framed-ip-address

このユーザの IP アドレスを指定します。

vpn-group-policy

ユーザに設定済みのグループポリシーからアトリビュートを継承させるには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。ユーザ コンフィギュレーションからグループポリシーを削除するには、このコマンドの no バージョンを使用します。このコマンドを使用すると、ユーザがユーザ名レベルで設定していないアトリビュートを継承できます。

vpn-group-policy {group-policy name}

no vpn-group-policy {group-policy name}

 
シンタックスの説明

group-policy name

グループポリシーの名前を指定します。

 
デフォルト

デフォルトでは、VPN ユーザにはグループポリシーのアソシエーションはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

 
使用上のガイドライン

アトリビュートをユーザ名モードで利用できる場合、ユーザ名モードで設定することにより、特定のユーザに対するグループポリシーのアトリビュートの値を上書きできます。

次の例では、FirstGroup という名前のグループポリシーからアトリビュートを使用するように anyuser という名前のユーザを設定する方法を示します。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup

 
関連コマンド

コマンド
説明

group-policy

グループポリシーをセキュリティ アプライアンス データベースに追加します。

group-policy attributes

グループポリシーの AVP を設定できるグループポリシー アトリビュート モードに入ります。

username

ユーザをセキュリティ アプライアンスのデータベースに追加します。

username attributes

ユーザ名アトリビュート モードに入って、個々のユーザの AVP を設定できるようにします。

vpn-idle-timeout

ユーザのタイムアウト期間を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-idle-timeout none コマンドを使用します。

vpn-idle-timeout { minutes | none}

no vpn-idle-timeout

 
シンタックスの説明

minutes

タイムアウト期間を分単位で指定します。1 ~ 35,791,394 の整数を使用します。

none

無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

 
デフォルト

30 分。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

次の例では、「FirstGroup」という名前のグループポリシーに対して 15 分の VPN アイドル タイムアウトを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 30

 
関連コマンド

group-policy

グループポリシーを作成または編集します。

vpn-session-timeout

VPN 接続に許可されている最大時間を設定します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。

vpn load-balancing

VPN ロードバランシングおよび関連機能を設定できる VPN ロードバランシング モードに入るには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。

vpn load-balancing


) ASA Models 5540 および 5520 だけが、VPN ロードバランシングをサポートします。VPN ロードバランシングには、有効な 3DES ライセンスまたは AES ライセンスも必要です。セキュリティ アプライアンスは、ロードバランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。有効な 3DES ライセンスまたは AES ライセンスが検出されなかった場合、セキュリティ アプライアンスはロードバランシングをイネーブルにしません。また、ライセンスで許可されていない限り、ロードバランシング システムが 3DES の内部設定を行わないようにします。


 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入ります。次のコマンドは、VPN ロードバランシング モードで使用できます。

cluster encryption

cluster ip address

cluster key

cluster port

interface

nat

participate

priority

詳細については、個々のコマンドの説明を参照してください。

次に vpn load-balancing コマンドの例を示します。プロンプト内の変化に注意してください。

hostname(config)# vpn load-balancing
hostname(config-load-balancing)#
 

次に、クラスタのパブリック インターフェイスを「test」として、クラスタのプライベート インターフェイスを「foo」として指定するインターフェイス コマンドを含む、VPN ロードバランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# nat 192.168.10.10
hostname(config-load-balancing)# priority 9
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster key 123456789
hostname(config-load-balancing)# cluster encryption
hostname(config-load-balancing)# cluster port 9023
hostname(config-load-balancing)# participate
 

 
関連コマンド

コマンド
説明

clear configure vpn load-balancing

ロードバランシング実行時のコンフィギュレーションを削除して、ロードバランシングをディセーブルにします。

show running-config vpn load-balancing

現在の VPN ロードバランシング仮想クラスタのコンフィギュレーションを表示します。

show vpn load-balancing

VPN ロードバランシング実行時の統計情報を表示します。

vpn-sessiondb logoff

すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff コマンドを使用します。

vpn-sessiondb logoff { remote | l2l | webvpn | email-proxy | protocol protocol-name | name username | ipaddress IPaddr | tunnel-group groupname | index indexnumber | all }

 
シンタックスの説明

all

すべての VPN セッションをログオフします。

email-proxy

すべての電子メール プロキシ セッションをログオフします。

index indexnumber

インデックス番号ごとにシングル セッションをログオフします。セッションのインデックス番号を指定します。

ipaddress IPaddr

指定した IP アドレスのセッションをログオフします。

l2l

すべての LAN-to-LAN セッションをログオフします。

name username

指定したユーザ名のセッションをログオフします。

protocol protocol-name

指定したプロトコルのセッションをログオフします。プロトコルには、次の種類があります。

IKE

IMAP4S

IPSec

IPSecLAN2LAN

IPSecLAN2LANOverNatT

IPSecOverNatT

IPSecoverTCP

IPSecOverUDP

POP3S

SMTPS

userHTTPS

vcaLAN2LAN

remote

すべてのリモートアクセス セッションをログオフします。

tunnel-group groupname

指定したトンネルグループのセッションをログオフします。

webvpn

すべての WebVPN セッションをログオフします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

次の例では、すべてのリモートアクセス セッションをログオフする方法を示します。

hostname# vpn-sessiondb logoff remote
 

次の例では、すべての IPSec セッションをログオフする方法を示します。

hostname# vpn-sessiondb logoff protocol IPSec
 

vpn-sessiondb max-session-limit

VPN セッションをセキュリティ アプライアンスが許可しているよりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-session-limit コマンドを使用します。セッションの制限値を削除するには、このコマンドの no 形式を使用します。現在の設定を上書きするには、このコマンドを再度使用します。

vpn-sessiondb max-session-limit { session-limit }

no vpn-sessiondb max-session-limit

 
シンタックスの説明

session-limit

許容する VPN セッションの最大数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは IPSec VPN セッションに適用されます。

次の例では、VPN セッションの最大制限値である 450 に設定する方法を示します。

hostname# vpn-sessiondb max-session-limit 450

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

IPsec VPN セッションおよび WebVPN セッションのすべてまたは特定のタイプをログオフします。

vpn-sessiondb max-webvpn-session-limit

WebVPN セッションの最大数を設定します。

vpn-sessiondb max-webvpn-session-limit

WebVPN セッションをセキュリティ アプライアンスが許可しているよりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-webvpn-session-limit コマンドを使用します。セッションの制限値を削除するには、このコマンドの no 形式を使用します。現在の設定を上書きするには、このコマンドを再度使用します。

vpn-sessiondb max-webvpn-session-limit { session-limit }

no vpn-sessiondb max-webvpn-session-limit

 
シンタックスの説明

session-limit

許容する WebVPN セッションの最大数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは WebVPN セッションに適用されます。

次の例では、WebVPN セッションの最大制限値である 75 に設定する方法を示します。

hostname (config)# vpn-sessiondb max-webvpn-session-limit 75

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

IPsec VPN セッションおよび WebVPN セッションのすべてまたは特定のタイプをログオフします。

vpn-sessiondb max-vpn-session-limit

VPN セッションの最大数を設定します。

vpn-session-timeout

VPN 接続に許可される最大時間を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-session-timeout none コマンドを使用します。

vpn-session-timeout { minutes | none}

no vpn-session-timeout

 
シンタックスの説明

minutes

タイムアウト期間を分単位で指定します。1 ~ 35,791,394 の整数を使用します。

none

無制限のセッション タイムアウト期間を許容します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

次の例では、FirstGroup という名前のグループポリシーに対して 180 分の VPN セッション タイムアウトを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-session-timeout 180
 

 
関連コマンド

group-policy

グループポリシーを作成または編集します。

vpn-idle-timeout

ユーザ タイムアウト期間を設定します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。

vpn-simultaneous-logins

ユーザに許容される同時ログイン数を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

vpn-simultaneous-logins { integer }

no vpn-simultaneous-logins

 
シンタックスの説明

integer

0 ~ 2147483647 の数値です。

 
デフォルト

デフォルトの同時ログイン数は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)(1)

このコマンドが導入されました。

 
使用上のガイドライン

ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

次の例では、FirstGroup という名前のグループポリシーに対して最大 4 つの同時ログインを許可する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
 

vpn-tunnel-protocol

VPN トンネル タイプ(IPSec または WebVPN)を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

vpn-tunnel-protocol {webvpn | IPSec}

no vpn-tunnel-protocol [webvpn | IPSec]

 
シンタックスの説明

IPSec

2 つのピア間(リモートアクセス クライアントまたはその他のセキュアなゲートウェイ)で IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を管理するセキュリティ結合を作成します。

webvpn

HTTPS 対応の Web ブラウザを経由してリモート ユーザに VPN サービスを提供します。クライアントは不要です。

 
デフォルト

IPSec です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用して 1 つ以上のトンネリング モードを設定します。VPN トンネルを越えて接続するには、ユーザに対して少なくとも 1 つのトンネリング モードを設定する必要があります。

次の例では、「FirstGroup」という名前のグループポリシーに対して WebVPN および IPSec トンネリング モードを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol webvpn
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
 

web-agent-url

セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を指定するには、webvpn-sso-siteminder コンフィギュレーション モードで web-agent-url コマンドを使用します。これは CA SiteMinder コマンドを使用した SSO です。

SSO サーバの認証 URL を削除するには、このコマンドの no 形式を使用します。

web-agent-url url

no web-agent-url url


) SSO 認証にはこのコマンドが必要です。


 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

url

SSO サーバの認証 URL を指定します。http:// または https:// を含める必要があります。

 
デフォルト

デフォルトでは、認証 URL は設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn-sso-siteminder コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

WebVPN だけで使用できるシングル サインオンのサポートは、ユーザが、異なるサーバ上の異なるセキュア サービスにユーザ名とパスワードを複数回入力することなくアクセスできるようにします。SSO サーバには、認証要求を処理する URL があります。

セキュリティ アプライアンスがこの URL に認証を送信するように設定するには、 web-agent-url コマンドを使用します。認証 URL を設定する前に、 sso-server コマンドを使用して SSO サーバを作成する必要があります。

webvpn-sso-siteminder コンフィギュレーション モードで入力された次の例では、認証 URL に http://www.example.com/webvpn を指定しています。

hostname(config-webvpn)# sso-server example type siteminder
hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.example.com/webvpn
hostname(config-webvpn-sso-siteminder)#

 
関連コマンド

コマンド
説明

max-retry-attempts

失敗した SSO 認証に対して、セキュリティ アプライアンスが認証を再試行する回数を設定します。

policy-server-secret

SSO サーバへの認証要求の暗号化に使用する秘密鍵を作成します。

request-timeout

失敗した SSO 認証試行がタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

SSO サーバの動作統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

web-applications

認証された WebVPN ユーザに対して表示される WebVPN ホームページの Web Application ボックスをカスタマイズするには、webvpn カスタマイゼーション モードで web-applications コマンドを使用します。

web-applications { title | message | dropdown } { text | style } value

[ no ] web-applications { title | message | dropdown } { text | style } value

このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
シンタックスの説明

title

タイトルを変更することを指定します。

message

タイトルの下に表示されるメッセージを変更することを指定します。

dropdown

ドロップダウン ボックスを変更することを指定します。

text

テキストを変更することを指定します。

style

HTML スタイルを変更することを指定します。

value

実際の表示テキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのタイトルのテキストは「Web Application」です。

デフォルトのタイトルのスタイルは、background-color:#99CCCC;color:black;font-weight:bold;text-transform です。
uppercase

デフォルトのメッセージのテキストは「Enter Web Address(URL)」です。

デフォルトのメッセージのスタイルは background-color:#99CCCC;color:maroon;font-size:smaller です。

デフォルトのドロップダウンのテキストは「Web Bookmarks」です。

デフォルトのドロップダウンのスタイルは、border:1px solid black;font-weight:bold;color:black;font-size:80% です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイル要素を設定するのに便利な機能があります。


次の例では、タイトルを「Applications」に変更し、テキストの色を青に変更しています。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# web-applications title text Applications
F1-asa1(config-webvpn-custom)# web-applications title style color:blue

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの Application Access ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの Browse Networks ボックスをカスタマイズします。

web-bookmarks

WebVPN ホームページの Web Bookmarks タイトルまたはリンクをカスタマイズします。

file-bookmarks

WebVPN ホームページの File Bookmarks タイトルまたはリンクをカスタマイズします。

web-bookmarks

認証された WebVPN ユーザに表示される WebVPN ホームページの Web Bookmarks のタイトルまたはリンクをカスタマイズするには、webvpn カスタマイゼーション モードで web-bookmarks コマンドを使用します。

web-bookmarks { link {style value } | title {style value | text value }}

[ no ] web-bookmarks { link {style value } | title {style value | text value }}

このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
シンタックスの説明

link

リンクを変更することを指定します。

title

タイトルを変更することを指定します。

style

HTML スタイルを変更することを指定します。

text

テキストを変更することを指定します。

value

実際の表示テキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのリンクのスタイルは、color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。

デフォルトのタイトルのスタイルは、color:#669999;background-color:#99CCCC;font-weight:bold です。

デフォルトのタイトルのテキストは「Web Bookmarks」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイル要素を設定するのに便利な機能があります。


次の例では、Web Bookmarks のタイトルを「Corporate Web Bookmarks」に変更します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# web-bookmarks title text Corporate Web Bookmarks

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの Application Access ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの Browse Networks ボックスをカスタマイズします。

file-bookmarks

WebVPN ホームページの File Bookmarks タイトルまたはリンクをカスタマイズします。

web-applications

WebVPN ホームページの Web Application ボックスをカスタマイズします。

webvpn (group-policy and username modes)

この WebVPN モードに入るには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで webvpn コマンドを使用します。WebVPN モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定するユーザ名またはグループポリシーに適用されます。

グループポリシーおよびユーザ名に対する webvpn コマンドにより、WebVPN を超えたファイル、MAPI プロキシ、URL および TCP アプリケーションへのアクセスが定義されます。また、ACL およびフィルタリングするトラフィックのタイプも識別されます。

webvpn

no webvpn

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

WebVPN は、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

グローバル コンフィギュレーション モードから入って WebVPN モードを使用すると、WebVPN のグローバル設定値を設定できます。グループポリシー アトリビュート コンフィギュレーションモード、またはユーザ名アトリビュート コンフィギュレーションモードの webvpn コマンドは、webvpn コマンドで指定された設定を親コマンドで指定されたグループまたはユーザに適用します。つまり、この項で説明したように、グループポリシー モードまたはユーザ名モードから入って WebVPN モードを使用すると、特定のユーザポリシーまたはグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。

特定のグループポリシーに対してグループポリシー アトリビュート モードで適用した webvpn アトリビュートは、デフォルトのグループポリシーで指定された webvpn アトリビュートを上書きします。ユーザ名アトリビュート モードで特定のユーザに対して適用した webvpn アトリビュートは、デフォルト グループポリシーおよび、当該ユーザが所属するグループポリシーの両方で webvpn アトリビュートを上書きします。基本的に、これらのコマンドを使用すると、デフォルトのグループまたは特定のグループポリシーから継承される設定を微調整できます。WebVPN 設定の詳細については、グローバル コンフィギュレーション モードの webvpn コマンドの説明を参照してください。

次の表は、webvpn グループポリシー アトリビュート モードおよびユーザ名アトリビュート モードで設定できるアトリビュートを示しています。詳細については、個々のコマンドの説明を参照してください。

 

アトリビュート
説明

auto-signon

セキュリティ アプライアンスが自動的に WebVPN ユーザのログイン クレデンシャルを内部サーバに渡すように設定して、WebVPN ユーザにシングル サインオン方式を提供します。

customization

適用する事前設定済みの WebVPN カスタマイゼーションを指定します。

deny-message

アクセスが拒否されたときにユーザに表示するメッセージを指定します。

filter

WebVPN 接続で使用するアクセスリストを指定します。

functions

ファイル アクセスとファイル ブラウジング、MAPI プロキシ、および WebVPN を超える URL エントリを設定します。

homepage

WebVPN ユーザがログインしたときに表示する Web ページの URL を設定します。

html-content-filter

WebVPN セッションに対してフィルタリングする Java、ActiveX、イメージ、スクリプト、およびクッキーを指定します。

http-comp

使用する HTTP 圧縮アルゴリズムを指定します。

keep-alive-ignore

セッションのアップデートで無視する最大オブジェクト サイズを指定します。

port-forward

WebVPN アプリケーション アクセスをイネーブルにします。

port-forward-name

エンド ユーザに転送する TCP ポートを識別する表示名を設定します。

sso-server

SSO サーバ名を設定します。

svc

SSL VPN Client のアトリビュートを設定します。

url-list

ユーザが WebVPN 経由でアクセスできるサーバおよび URL のリストを指定します。

次の例では、「FirstGroup」という名前のグループポリシーに対して WebVPN モードに入る方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-webvpn)#
 

次の例では、「test」という名前のユーザ名に対して WebVPN モードに入る方法を示します。

hostname(config)# group-policy test attributes
hostname(config-username)# webvpn
hostname(config-webvpn)#

 
関連コマンド

clear configure group-policy

特定のグループポリシーまたはすべてのグループポリシーのコンフィギュレーションを削除します。

group-policy attributes

config-group-policy モードに入ります。このモードでは、指定したグループポリシーへのアトリビュートと値の設定、または webvpn モードでのグループの webvpn アトリビュートの設定ができます。

show running-config group-policy

特定のグループポリシーまたはすべてのグループポリシーの実行コンフィギュレーションを表示します。

webvpn

config-group-webvpn モードに入ります。このモードで、指定したグループに対する WebVPN アトリビュートが設定できます。

who

セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。

who [ local_ip ]

 
シンタックスの説明

local_ip

(オプション)リストを 1 つの内部 IP アドレスまたはネットワーク アドレス(IPv4 または IPv6)に制限するために指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

who コマンドを使用すると、現在セキュリティ アプライアンスにログインしている各 Telnet クライアントの TTY_ID および IP アドレスを表示できます。

次の例では、クライアントが Telnet セッションを通してセキュリティ アプライアンスにログインした場合の who コマンドの出力を示します。

hostname# who
0: 100.0.0.2
hostname# who 100.0.0.2
0: 100.0.0.2
hostname#

 
関連コマンド

コマンド
説明

kill

Telnet セッションを終了します。

telnet

Telnet アクセスをセキュリティ アプライアンス コンソールに追加し、アイドル タイムアウトを設定します。

window-variation

さまざまなウィンドウ サイズの接続をドロップするには、tcp マップ コンフィギュレーション モードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

window variation { allow-connection | drop-connection }

no window variation { allow-connection | drop-connection }

 
シンタックスの説明

allow-connection

接続を許可します。

drop-connection

接続をドロップします。

 
デフォルト

デフォルト アクションは、接続を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで window-variation コマンドを使用して、縮小されたウィンドウ サイズの接続をすべてドロップします。

ウィンドウ サイズ メカニズムを使用すると、TCP は大きなウィンドウをアドバタイズした後、多すぎるデータを受信することなく、小さなウィンドウにアドバタイズできます。TCP の仕様では、「ウィンドウの縮小」は推奨されていません。この状態が検出されると、接続をドロップできます。

次の例では、さまざまなウィンドウ サイズの接続をすべてドロップする方法を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# window-variation drop-connection
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラスマップを指定します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

wins-server

プライマリおよびセカンダリ WINS サーバの IP アドレスを設定するには、グループポリシー コンフィギュレーション モードで wins-server コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、WINS サーバを別のグループポリシーから継承できます。サーバを継承しないようにするには、 wins-server none コマンドを使用します。

wins-server value { ip_address } [ ip_address ] | none

no wins-server

 
シンタックスの説明

none

WINS サーバにヌル値を設定して、WINS サーバを許可しないようにします。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。

value ip_address

プライマリおよびセカンダリ WINS サーバの IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グループポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

wins-server コマンドを発行するたびに、既存の設定を上書きします。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番目のコマンドが最初のコマンドを上書きします。したがって、y.y.y.y は唯一の WINS サーバになります。サーバを複数設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを含めます。

次の例では、FirstGroup という名前のグループポリシーに対して IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 で WINS サーバを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45
 

write erase

スタートアップ コンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションはそのまま残ります。

write erase

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドは、セキュリティ コンテキスト内ではサポートされません。コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドにより識別されます。コンテキスト コンフィギュレーションを削除する場合は、リモート サーバ(指定されている場合)からファイルを手作業で削除するか、システム実行スペースで delete コマンドを使用してフラッシュ メモリからファイルを消去します。

次の例では、スタートアップ コンフィギュレーションを消去します。

hostname# write erase
Erase configuration in flash memory? [confirm] y

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

delete

フラッシュ メモリからファイルを削除します。

show running-config

実行コンフィギュレーションを表示します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write memory

スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存するには、特権 EXEC モードで write memory コマンドを使用します。

write memory

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。変更をスタートアップ コンフィギュレーションに保存する場合は、リブートの間だけ保存されます。これは起動時に実行中のメモリにロードされるコンフィギュレーションです。シングル コンテキスト モード、およびマルチ コンテキスト モードのシステムに対するスタートアップ コンフィギュレーションの場所は、デフォルトの場所(隠しファイル)から boot config コマンドを使用して選択した場所に変更できます。マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定した場所にあります。

マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションのみ保存されます。1 回のコマンドですべてのコンテキストを保存することはできません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。コンテキストのスタートアップ コンフィギュレーションは外部サーバ上に配置できます。この場合、セキュリティ アプライアンスは、コンフィギュレーションをサーバに戻して保存することができない HTTP および HTTPS URL を除き、 config-url コマンドで指定したサーバにコンフィギュレーションを戻して保存します。システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドも管理コンテキスト インターフェイスを使用します。ただし、 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。

write memory コマンドは、 copy running-config startup-config コマンドと同じです。

次の例では、スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存します。

hostname# write memory
Building configuration...
Cryptochecksum: e43e0621 9772bebe b685e74f 748e4454
 
19319 bytes copied in 3.570 secs (6439 bytes/sec)
[OK]
hostname#

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

boot

ブート イメージおよびスタートアップ コンフィギュレーションを設定します。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。

config-url

コンテキスト コンフィギュレーションの場所を指定します。

copy running-config startup-config

実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

write net

実行コンフィギュレーションを TFTP サーバにコピーします。

write net

TFTP サーバに実行コンフィギュレーションを保存するには、特権 EXEC モードで write net コマンドを使用します。

write net [ server : [ filename ] | : filename ]

 
シンタックスの説明

: filename

パスとファイル名を指定します。 tftp-server コマンドを使用してファイル名をすでに設定している場合、この引数はオプションです。

tftp-server コマンドで名前を指定したように、このコマンドでファイル名を指定すると、セキュリティ アプライアンスは tftp-server コマンド ファイル名をディレクトリとして扱い、 write net コマンド ファイル名をディレクトリの下のファイルとして追加します。

tftp-server コマンドの値を上書きするには、パスとファイル名の前にスラッシュを入力します。スラッシュは、パスが tftpboot ディレクトリに対する相対パスではなく、絶対パスであることを示します。このファイル用に生成される URL には、ファイル名パスの前にダブル スラッシュ(//)が含まれます。必要なファイルが tftpboot ディレクトリにある場合は、ファイル名パスに tftpboot ディレクトリへのパスを含めることができます。TFTP サーバがこのタイプの URL をサポートしていない場合は、代わりに copy running-config tftp コマンドを使用します。

tftp-server コマンドを使用して TFTP サーバのアドレスを指定した場合、コロン(:)の後にファイル名だけを入力できます。

server :

TFTP サーバの IP アドレスまたは名前を設定します。このアドレスが存在する場合は、 tftp-server コマンドで設定したアドレスを上書きします。

デフォルト ゲートウェイ インターフェイスは最高レベルのセキュリティ インターフェイスですが、 tftp-server コマンドを使用して別のインターフェイス名を設定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。

マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションのみ保存されます。1 回のコマンドですべてのコンテキストを保存することはできません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。ただし、システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドは管理コンテキスト インターフェイスを使用して、スタートアップ コンフィギュレーションに保存します。

write net コマンドは、 copy running-config tftp コマンドと同じです。

次の例では、 tftp-server コマンドに TFTP サーバとファイル名を設定しています。

hostname# tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
hostname# write net
 

次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドは入力されません。

hostname# write net 10.1.1.1:/configs/contextbackup.cfg
 

次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドはディレクトリ名を示し、サーバ アドレスは上書きされます。

hostname# tftp-server 10.1.1.1 configs
hostname# write net 10.1.2.1:context.cfg
 

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

copy running-config tftp

実行コンフィギュレーションを TFTP サーバにコピーします。

show running-config

実行コンフィギュレーションを表示します。

tftp-server

他のコマンドで使用するためのデフォルトの TFTP サーバおよびパスを設定します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write standby

フェールオーバー スタンバイ装置にセキュリティ アプライアンスまたはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。

write standby

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

Active/Standby フェールオーバーの場合、 write standby コマンドは、アクティブなフェールオーバー装置の RAM に保存されているコンフィギュレーションを、スタンバイ装置の RAM に書き込みます。プライマリ装置とセカンダリ装置のコンフィギュレーションの情報が異なる場合は、 write standby コマンドを使用します。このコマンドをアクティブ装置に入力します。

Active/Active フェールオーバーの場合、 write standby コマンドは次のように動作します。

システム実行スペースで write standby コマンドを入力すると、システム コンフィギュレーションおよびセキュリティ アプライアンス上のセキュリティ コンテキストのすべてのコンフィギュレーションはピア装置に書き込まれます。これは、スタンバイ状態にあるセキュリティ コンテキストのコンフィギュレーション情報を含みます。アクティブ状態のフェールオーバー グループ 1 を持つ装置のシステム実行スペースに、このコマンドを入力する必要があります。

セキュリティ コンテキストに write standby コマンドを入力する場合、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストに、このコマンドを入力する必要があります。


write standby コマンドはコンフィギュレーションをピア装置の実行コンフィギュレーションに複製します。コンフィギュレーションはスタートアップ コンフィギュレーションには保存されません。コンフィギュレーションの変更をスタートアップ コンフィギュレーションに保存するには、write standby コマンドを入力したのと同じ装置で copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製され、コンフィギュレーションはスタートアップ コンフィギュレーションに保存されます。


次の例では、現在の実行コンフィギュレーションをスタンバイ装置に書き込みます。

hostname# write standby
Building configuration...
[OK]
hostname#
 

 
関連コマンド

コマンド
説明

failover reload-standby

スタンバイ装置を強制的にリブートします。

write terminal

端末に実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。

write terminal

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドは、 show running-config コマンドと同じです。

次の例では、端末に実行コンフィギュレーションを書き込みます。

hostname# write terminal
: Saved
:
ASA Version 7.0(0)61
multicast-routing
names
name 10.10.4.200 outside
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.86.194.60 255.255.254.0
webvpn enable
...
 

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

show running-config

実行コンフィギュレーションを表示します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。