Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
acl-netmask-convert コマンド~ auto-update timeout コマンド
acl-netmask-convert コマンド~ auto-update timeout コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

action

action-uri

activation-key

activex-relay

address(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

address(メディア ターミネーション)

address-pool(トンネル グループ一般アトリビュート モード)

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

admin-context

allocate-interface

allocate-ips

anyconnect-essentials

apcf

appl-acl

application-access

application-access hide-details

area

area authentication

area default-cost

area filter-list prefix

area nssa

area range

area stub

area virtual-link

arp

arp timeout

arp-inspection

asdm disconnect

asdm disconnect log_session

asdm history enable

asdm image

asdm location

asr-group

assertion-consumer-url

attribute

auth-cookie-name

authenticated-session-username

authentication-attr-from-server

authentication-certificate

authentication-exclude

authentication

authentication eap-proxy

authentication key eigrp

authentication mode eigrp

authentication ms-chap-v1

authentication ms-chap-v2

authentication pap

authentication-certificate

authentication-port

authentication-server-group(imap4s、pop3s、smtps)

authentication-server-group(トンネル グループ一般アトリビュート)

authorization-required

authorization-server-group

auth-prompt

auto-signon

auto-summary

auto-update device-id

auto-update poll-at

auto-update poll-period

auto-update server

auto-update timeout

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

AAA サーバ ホスト コンフィギュレーション モードで acl-netmask-convert コマンドを使用して、 aaa-server host コマンドを使用してアクセスした RADIUS サーバからダウンロード可能な ACL で受信したネットマスクを適応型セキュリティ アプライアンスが処理する方法を指定します。適応型セキュリティ アプライアンスに指定した動作を削除するには、このコマンドの no 形式を使用します。

acl-netmask-convert { auto-detect | standard | wildcard }

no acl-netmask-convert

 
構文の説明

auto-detect

使用されたネットマスク表現のタイプを適応型セキュリティ アプライアンスが特定を試みるように指定します。ワイルドカード ネットマスク表現を検出した場合は、標準ネットマスク表現に変換します。このキーワードの詳細情報については、「使用上のガイドライン」を参照してください。

standard

適応型セキュリティ アプライアンスが RADIUS サーバから受信したダウンロード可能な ACL に標準ネットマスク表現のみが含まれていることを想定するように指定します。ワイルドカード ネットマスク表現からの変換は実行されません。

wildcard

適応型セキュリティ アプライアンスが RADIUS サーバから受信したダウンロード可能な ACL にワイルドカード ネットマスク表現のみが含まれていることを想定し、ACL ダウンロード時にすべてを標準ネットマスク表現に変換するように指定します。

 
デフォルト

デフォルトでは、ワイルドカード ネットマスク表現からの変換は実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ コンフィギュレーション ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

RADIUS サーバがワイルドカード形式のネットマスクを含むダウンロード可能な ACL を提供する場合に、wildcard または auto-detect キーワードを指定して acl-netmask-convert コマンドを使用します。適応型セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていることを想定します。一方で Cisco VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていることを想定します。ワイルドカード マスクでは、無視するビット位置には 1 が、一致するビット位置には 0 があります。 acl-netmask-convert コマンドを使用すると、これらの違いが RADIUS サーバ上でダウンロード可能な ACL を設定する方法に与える影響を最小限に抑えることができます。

auto-detect キーワードは、RADIUS サーバがどのように設定されたか不確かな場合に役立ちます。ただし、「穴」のあるワイルドカード ネットマスク表現は正確には検出して変換できません。たとえば、ワイルドカード ネットマスク 0.0.255.0 では、3 番めのオクテットは何でも許可されて、Cisco VPN 3000 シリーズ コンセントレータでの使用に有効です。しかし、適応型セキュリティ アプライアンスはこの表現をワイルドカード ネットマスクとして検出しない場合があります。

次に、ホスト「192.168.3.4」上で「srvgrp1」という RADIUS AAA サーバを設定し、ダウンロード可能な ACL ネットマスクの変換をイネーブル、タイムアウトを 9 秒、再試行間隔を 7 秒、認証ポートを 1650 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# acl-netmask-convert wildcard
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドまたは ASDM ユーザ認証により指定されたサーバ上の LOCAL、TACACS+、または RADIUS ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

action

アクセス ポリシーをセッションに適用する、またはセッションを終了するには、ダイナミック アクセス ポリシー レコード コンフィギュレーション モードで action コマンドを使用します。

アクセス ポリシーを適用するセッションをリセットするには、このコマンドの no 形式を使用します。

action {continue | terminate}

no action {continue | terminate}

 
構文の説明

continue

セッションにアクセス ポリシーを適用します。

terminate

接続を終了します。

 
デフォルト

デフォルト値は continue です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック アクセス ポリシー レコード コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

すべての選択した DAP レコード内のセッションにアクセス ポリシーを適用するには、 continue キーワードを使用します。任意の選択した DAP レコード内の接続を終了するには、 terminate キーワードを使用します。

次に、DAP ポリシー Finance のセッション終了方法の例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# action terminate
hostname(config-dynamic-access-policy-record)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

show running-config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定した DAP レコードの実行コンフィギュレーションを表示します。

action-uri

シングル サインオン認証のユーザ名とパスワードを受信するための Web サーバ URI を指定するには、AAA サーバ ホスト コンフィギュレーション モードで action-uri コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。URI パラメータ値をリセットするには、このコマンドの no 形式を使用します。

action-uri string

no action-uri


) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。


 
構文の説明

string

認証プログラムの URI です。複数行に入力できます。各行の最大文字数は 255 です。URI 全体の最大文字数は 2048 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

URI つまりユニフォーム リソース識別子は、インターネットのコンテンツの場所を指定するコンパクトな文字ストリングです。コンテンツには、テキストのページ、ビデオ クリップもしくは音声クリップ、静止画もしくは動画、またはプログラムなどが含まれます。URI の一般的な形式は Web ページ アドレスです。これは、URL と呼ばれる URI の特別な形式またはサブセットです。

適応型セキュリティ アプライアンスの WebVPN サーバは、認証 Web サーバにシングル サインオン認証を送信することに POST 要求を使用できます。これを実行するには、HTTP POST 要求を使用して適応型セキュリティ アプライアンスがユーザ名とパスワードを認証 Web サーバ上のアクション URI に渡すように設定します。 action-uri コマンドは、適応型セキュリティ アプライアンスが POST 要求を送信する Web サーバ上の認証プログラムの場所と名前を指定します。

認証 Web サーバ上のアクション URI を検出するには、ブラウザで Web サーバ ログイン ページに直接接続します。ブラウザに表示されるログイン Web ページの URL は、認証 Web サーバのアクション URI です。

入力しやすいように、URI は複数の連続する行に入力できます。入力すると、適応型セキュリティ アプライアンスは、複数の行を連結して URI にします。action-uri の行単位の最大文字数は 255 文字です。これより少ない文字数を各行に入力することができます。


) ストリング内に疑問符を使用する場合は、Ctrl+v エスケープ シーケンスを先に入力する必要があります。


次に、www.example.com の URI を指定する例を示します。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

hostname(config)# aaa-server testgrp1 host www.example.com
hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) アクション URI には、ホスト名およびプロトコルを含める必要があります。前の例では、これらは URI の冒頭の http://www.example.com に含まれています。


 
関連コマンド

コマンド
説明

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

SSO サーバと交換する非表示パラメータを作成します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求パラメータの名前を指定します。

start-url

プリログイン クッキーを取得する URL を指定します。

user-parameter

SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

activation-key

適応型セキュリティ アプライアンスにライセンス アクティベーション キーを入力するには、特権 EXEC モードで activation-key コマンドを使用します。

activation-key [ noconfirm ] activation_key [ activate | deactivate ]

 
構文の説明

activation_key

アクティベーション キーを適応型セキュリティ アプライアンスに適用します。 activation_key は、各要素の間にスペースを 1 つ入れた 5 つの要素から構成される 16 進数のストリングです。先行の 0x 指定子は任意です。すべての値は 16 進数と想定されます。

1 つの永続キーおよび複数の時間ベース キーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。

deactivate

時間ベースのアクティベーション キーを非アクティブ化します。非アクティブ化した場合でも、アクティベーション キーは適応型セキュリティ アプライアンスにインストールされたままです。後で activate キーワードを使用してアクティブ化できます。キーの初回入力時で、 deactivate を指定した場合、キーは適応型セキュリティ アプライアンスに非アクティブ ステートでインストールされます。

activate

時間ベースのアクティベーション キーをアクティブ化します。 activate がデフォルト値です。特定の機能に対して最後にアクティブ化した時間ベース キーがアクティブになります。

noconfirm

(任意)確認のプロンプトを出さないで、アクティベーション キーを入力します。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスにすでにライセンスがインストールされて出荷されます。このライセンスは、さらにライセンスを追加できる、またはすべてのライセンスがインストールされている Base ライセンスの可能性があります。これは、注文内容およびベンダーのインストール内容により異なります。インストールされているライセンスを確認するには、 show activation-key コマンドを参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(5)

次の制限値が増加されました。

ASA5510 Base ライセンス接続は 32000 から 5000 に、VLAN は 0 から 10 に増加。

ASA5510 Security Plus ライセンス接続は 64000 から 130000 に、VLAN は 10 から 25 に増加。

ASA5520 接続は 130000 から 280000 に、VLAN は 25 から 100 に増加。

ASA5540 接続は 280000 から 400000 に、VLAN は 100 から 200 に増加。

7.1(1)

SSL VPN ライセンスが導入されました。

7.2(1)

5000 ユーザの SSL VPN ライセンスが ASA 5550 以降に対して導入されました。

7.2(2)

ASA 5505 適応型セキュリティ アプライアンス上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。

VLAN 制限も増加されました。ASA 5510 適応型セキュリティ アプライアンスでは、Base ライセンスは 10 から 50 に、Security Plus ライセンスは 25 から 100 に増加されました。ASA 5520 適応型セキュリティ アプライアンスでは、100 から 150 に、ASA 5550 適応型セキュリティ アプライアンスでは、200 から 250 に増加されました。

7.2(3)

ASA 5510 適応型セキュリティ アプライアンスは、Gigabit Ethernet(GE; ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の Fast Ethernet(FE; ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。 speed コマンドを使用してインターフェイスの速度を変更します。また、 show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。

8.0(2)

Advanced Endpoint Assessment ライセンスが導入されました。

VPN ロード バランシングが ASA 5510 Security Plus ライセンスでサポートされるようになりました。

8.0(3)

AnyConnect for Mobile ライセンスが導入されました。

8.0(4)/8.1(2)

時間ベース ライセンスがサポートされるようになりました。

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

8.0(4)

UC Proxy セッション ライセンスが導入されました。

8.2(1)

Botnet Traffic Filter ライセンスが導入されました。

AnyConnect Essentials ライセンスが導入されました。デフォルトで、適応型セキュリティ アプライアンスは AnyConnect Essentials ライセンスを使用します。これをディセーブルにして他のライセンスを使用するには、 no anyconnect-essentials コマンドを使用します。

SSL VPN の共有ライセンスが導入されました。

8.2(2)

モビリティ プロキシに UC Proxy ライセンスが必要なくなりました。

8.3(1)

フェールオーバー ライセンスが各ユニット上で同一である必要がなくなりました。両方のユニットで使用するライセンスは、プライマリ ユニットおよびセカンダリ ユニットからの結合されたライセンスです。

時間ベース ライセンスがスタッカブルになりました。

IME ライセンスが導入されました。

時間ベース ライセンスを複数インストールできるようになり、同時に機能ごとに 1 つのアクティブなライセンスを保持できるようになりました。

activate または deactivate キーワードを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。

 
使用上のガイドライン

アクティベーション キーの取得方法

アクティベーション キーを取得するには、製品認証キーが必要です。製品認証キーは、シスコの代理店から購入できます。機能のライセンスごとに、別々の製品アクティベーション キーの購入が必要です。たとえば、Base ライセンスを所持している場合、Advanced Endpoint Assessment および追加の SSL VPN セッション用に別のキーを購入できます。

製品認証キーの取得後、次のいずれかの URL の Cisco.com でキーを登録します。

Cisco.com の登録済みユーザの場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license

Cisco.com の登録済みユーザではない場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license/public

コンテキスト モードのガイドライン

マルチ コンテキスト モードでシステム実行スペース内にアクティベーション キーを適用します。

共有ライセンスは、マルチ コンテキスト モードではサポートされていません。

フェールオーバーのガイドライン

共有ライセンスは、Active/Active モードではサポートされていません。

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。

旧バージョンの適応型セキュリティ アプライアンス ソフトウェアは、各ユニット上のライセンスが一致する必要がありました。バージョン 8.3(1) から、同一のライセンスをインストールする必要がなくなりました。通常、ライセンスをプライマリ ユニット専用に購入します。Active/Standby フェールオーバーでは、セカンダリ ユニットがアクティブになるとプライマリ ライセンスを継承します。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。

ASA 5505 および 5510 適応型セキュリティ アプライアンスでは、両方のユニットに Security Plus ライセンスが必要です。Base ライセンスはフェールオーバーをサポートしないため、Base ライセンスのみを保持するスタンバイ ユニットではフェールオーバーをイネーブルにできません。

アップグレードとダウングレードのガイドライン

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前にダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された機能のライセンスを追加でアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、 8.2 以降 に導入された機能のライセンスをアクティブ化すると、アクティベーション キーの下位互換性は保たれません。互換性のないライセンス キーを保持する場合は、次のガイドラインを参照してください。

旧バージョンで過去にアクティベーション キーを入力した場合、適応型セキュリティ アプライアンスは(バージョン 8.2 以降でアクティブ化した新しいライセンスを一切使用せずに)そのキーを使用します。

新しいシステムを保持していて古いアクティベーション キーがない場合、旧バージョンと互換性のある新しいアクティベーション キーを求める必要があります。

バージョン 8.2 以前にダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

追加のガイドラインと制約事項

アクティベーション キーは、コンフィギュレーション ファイルには格納されていません。フラッシュ メモリに隠しファイルとして格納されています。

アクティベーション キーは、デバイスのシリアル番号と結び付いています。機能のライセンスは、ハードウェア障害の場合を除いて、デバイス間で転送できません。ハードウェア障害が原因でデバイスを交換する必要がある場合は、既存のライセンスを新しいシリアル番号に転送するためにシスコのライセンス チームにお問い合わせください。シスコのライセンス チームは、製品認証キーの参照番号および既存のシリアル番号をお尋ねします。

購入後に、返金またはアップグレードしたライセンスのためにライセンスを返却できません。

すべてのライセンス タイプをアクティブ化できますが、たとえば、マルチ コンテキスト モードおよび VPN など一部の機能には相互互換性がありません。AnyConnect Essentials ライセンスの場合、次のライセンスとは互換性がありません。SSL VPN フル ライセンス、SSL VPN 共有ライセンス、および Advanced Endpoint Assessment ライセンス。デフォルトでは、AnyConnect Essentials ライセンスがこれらのライセンスの代わりに使用されます。設定の AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用するように復元するには、 no anyconnect-essentials コマンドを使用します。

一部の永続ライセンスでは、アクティブ化後に適応型セキュリティ アプライアンスをリロードする必要があります。 表 2-1 に、リロードが必要なライセンスをリストします。

 

表 2-1 永続ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 および ASA 5510

Base ライセンスと Security Plus ライセンス間の変更。

すべてのモデル

Encryption ライセンスの変更。

すべてのモデル

永続ライセンスのダウングレード(たとえば、10 個のコンテキストから 2 個のコンテキストへ)。

次に、適応型セキュリティ アプライアンス上でのアクティベーション キー変更方法の例を示します。

hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490
 

次に、 activation-key コマンドの出力例を示します。ここでは、新しいアクティベーション キーが古いアクティベーション キーと異なる場合のフェールオーバーに対する出力が示されています。

hostname# activation-key 0xyadayada 0xyadayada 0xyadayada 0xyadayada 0xyadayada
 
Validating activation key. This may take a few minutes...
The following features available in the running permanent activation key are NOT available in the new activation key:
Failover is different.
running permanent activation key: Restricted (R)
new activation key: Unrestricted (UR)
WARNING: The running activation key was not updated with the requested key.
Proceed with updating flash activation key? [y]
Flash permanent activation key was updated with the requested key.
 

次に、ライセンス ファイルからの出力例を示します。

Serial Number Entered: 123456789ja
Number of Virtual Firewalls Selected: 10
Formula One device: ASA 5520
 
Failover : Enabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 10
GTP/GPRS : Disabled
SSL VPN Peers : Default
Total VPN Peers : 750
Advanced Endpoint Assessment : Disabled
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Disabled
Shared License : Disabled
UC Phone Proxy Sessions : Default
Total UC Proxy Sessions : Default
AnyConnect Essentials : Disabled
Botnet Traffic Filter : Disabled
Intercompany Media Engine : Enabled
 
------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ASA SOFTWARE RELEASE 8.2+ ONLY.
 
Platform = asa
 
123456789JA: yadayda1 yadayda1 yadayda1 yadayda1 yadayda1
------------------------------------------
THE FOLLOWING ACTIVATION KEY IS VALID FOR:
ALL ASA SOFTWARE RELEASES, BUT EXCLUDES ANY
8.2+ FEATURES FOR BACKWARDS COMPATIBILITY.
 
Platform = asa
 
123456789JA: yadayda2 yadayda2 yadayda2 yadayda2 yadayda2

 
関連コマンド

コマンド
説明

anyconnect-essentials

Anyconnect Essentials ライセンスをイネーブルまたはディセーブルにします。

show activation-key

アクティベーション キーを表示します。

show version

ソフトウェア バージョンおよびアクティベーション キーを表示します。

activex-relay

WebVPN セッションの ActiveX コントロールをイネーブルまたはディセーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで activex-relay コマンドを使用します。デフォルト グループ ポリシーから activex-relay コマンドを継承するには、このコマンドの no 形式を使用します。

activex-relay { enable | disable }

no activex-relay

 
構文の説明

enable

WebVPN セッションで ActiveX をイネーブルにします。

disable

WebVPN セッションで ActiveX をディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

WebVPN ブラウザからユーザが ActiveX コントロールを起動できるようにするには、 activex-relay enable コマンドを使用します。これらのアプリケーションは、WebVPN セッションを使用して ActiveX コントロールをダウンロードおよびアップロードします。ActiveX リレーは、WebVPN セッションが終了するまで有効なままです。


) activex-relay コマンドは、webvpn ポータルから参照された Web サイト内に組み込まれた ActiveX コントロールに対してのみ影響を与えます。activex-relay コマンドは、スマート トンネルの起動のトグルには使用できません。


次のコマンドは、指定されたグループ ポリシーに関連付けられた WebVPN セッションの ActiveX コントロールをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# activex-relay enable
hostname(config-group-webvpn)
 

次のコマンドは、指定されたユーザ名に関連付けられた WebVPN セッションの ActiveX コントロールをディセーブルにします。

hostname(config-username-policy)# webvpn
hostname(config-username-webvpn)# activex-relay disable
hostname(config-username-webvpn)
 

address(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

IP アドレスをボットネット トラフィック フィルタ ブラックリストまたはホワイトリストに追加するには、ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション モードで address コマンドを使用します。アドレスを削除するには、このコマンドの no 形式を使用します。スタティック データベースを使用すると、ホワイトリストまたはブラックリストに追加するドメイン名または IP アドレスでダイナミック データベースを増強できます。

address ip_address mask

no address ip_address mask

 
構文の説明

ip_address

IP アドレスをブラックリストに追加します。

mask

IP アドレスのサブネット マスクを定義します。 mask は、単一ホストまたはサブネットに対して使用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック フィルタ ホワイトリストまたはブラックリスト コンフィギュレーション モードを開始した後、 address コマンドおよび name コマンドを使用して、適切な名前としてホワイトリストに、または不適切な名前としてブラックリストにタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動で入力できます。

このコマンドは、複数のエントリに対して複数回入力できます。最大 1000 個のブラックリスト エントリと、最大 1000 個のホワイトリスト エントリを追加できます。

次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

 
関連コマンド

コマンド
説明

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

address(メディア ターミネーション)

Phone-Proxy 機能へのメディア接続に使用するメディア ターミネーション インスタンスのアドレスを指定するには、メディア ターミネーション コンフィギュレーション モードで address コマンドを使用します。メディア ターミネーション コンフィギュレーションからアドレスを削除するには、このコマンドの no 形式を使用します。

address ip_address [ interface intf_name ]

no address ip_address [ interface intf_name ]

 
構文の説明

interface intf_name

メディア ターミネーション アドレスを使用するインターフェイスの名前を指定します。1 つのインターフェイスにつき設定できるメディア ターミネーション アドレスは 1 つのみです。

ip_address

メディア ターミネーション インスタンスに使用する IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

メディア ターミネーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、次の基準を満たすメディア ターミネーションの IP アドレスを持っている必要があります。

メディア ターミネーション インスタンスの場合、すべてのインターフェイスにグローバル メディア ターミネーション アドレスを設定できます。また、さまざまなインターフェイスにメディア ターミネーション アドレスを設定できます。ただし、各インターフェイスに設定したグローバル メディア ターミネーション アドレスとメディア ターミネーション アドレスは同時に使用できません。

複数のインターフェイスにメディア ターミネーション アドレスを設定する場合、適応型セキュリティ アプライアンスが IP 電話との通信時に使用する各インターフェイスにアドレスを設定する必要があります。

これらの IP アドレスは、そのインターフェイスのアドレス範囲内の使用されていない IP アドレスで、パブリックにルーティング可能です。

メディア ターミネーション インスタンスの作成時、およびメディア ターミネーション アドレスの設定時に従うべき前提条件の完全なリストについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次に、media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。

hostname(config)# media-termination mediaterm1
hostname(config-media-termination)# address 192.0.2.25 interface inside
hostname(config-media-termination)# address 10.10.0.25 interface outside

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

media-termination

Phone Proxy インスタンスに適用するメディア ターミネーション インスタンスを設定します。

address-pool(トンネル グループ一般アトリビュート モード)

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで address-pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。

address-pool [( interface name )] address_pool1 [... address_pool6 ]

no address-pool [( interface name )] address_pool1 [... address_pool6 ]

 
構文の説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

interface name

(任意)アドレス プールに使用するインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。

グループ ポリシーの address-pools コマンド内のアドレス プール設定は、トンネル グループの address-pool コマンド内のローカル プール設定より優先されます。

プールの指定順序は重要です。適応型セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

次に、config-tunnel-general コンフィギュレーション モードで入力されて、アドレスを IPSec リモート アクセス トンネル グループ テスト用のリモート クライアントに割り当てるためのアドレス プールのリストを指定する例を示します。

hostname(config)# tunnel-group test type remote-access
hostname(config)# tunnel-group test general
hostname(config-tunnel-general)# address-pool (inside) addrpool1 addrpool2 addrpool3
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

ip local pool

VPN リモート アクセス トンネルに使用する IP アドレス プールを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定するには、グループ ポリシー アトリビュート コンフィギュレーション モードで address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシー ソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

address-pools value address_pool1 [... address_pool6 ]

no address-pools value address_pool1 [... address_pool6 ]

address-pools none

no address-pools none

 
構文の説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

none

アドレス プールを設定しないことを指定し、グループ ポリシーの他のソースからの継承をディセーブルにします。

value

アドレスを割り当てる最大 6 つのアドレス プールのリストを指定します。

 
デフォルト

デフォルトでは、アドレス プール アトリビュートは継承を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのアドレス プール設定は、グループのローカル プール設定より優先されます。ローカルアドレス割り当てに使用する、最大 6 つまでのローカル アドレス プールのリストを指定できます。

プールの指定順序は重要です。適応型セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

address-pools none コマンドは、このアトリビュートが DefaultGrpPolicy などポリシーの他のソースから継承されることをディセーブルにします。 no address pools none コマンドは、コンフィギュレーションから address-pools none コマンドを削除し、継承を許可するデフォルト値に戻します。

次に、config-general コンフィギュレーション モードで入力されて、pool_1 and pool_20 を GroupPolicy1 のリモート クライアントにアドレスを割り当てるために使用するアドレス プールのリストとして設定する例を示します。

hostname(config)# ip local pool pool_1 192.168.10.1-192.168.10.100 mask 255.255.0.0
hostname(config)# ip local pool pool_20 192.168.20.1-192.168.20.200 mask 255.255.0.0
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# address-pools value pool_1 pool_20
hostname(config-group-policy)#

 
関連コマンド

コマンド
説明

ip local pool

VPN グループ ポリシーに使用する IP アドレス プールを設定します。

clear configure group-policy

設定されているすべてのグループ ポリシーをクリアします。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

admin-context

システム コンフィギュレーションに管理コンテキストを設定するには、グローバル コンフィギュレーション モードで admin-context コマンドを使用します。システム コンフィギュレーションは、ネットワーク インターフェイスまたは自身のネットワーク設定を含みません。その代わり、システムがネットワーク リソースにアクセスする必要がある場合に(適応型セキュリティ アプライアンス ソフトウェアのダウンロードまたはリモート管理を管理者に許可するときなど)、管理コンテキストとして指定されたコンテキストの 1 つを使用します。

admin-context name

 
構文の説明

name

32 文字までの文字列で名前を設定します。まだコンテキストを一切定義していない場合、このコマンドを使用して最初に管理コンテキスト名を指定します。 context コマンドを使用して追加する最初のコンテキストは、指定した管理コンテキスト名である必要があります。

コンテキスト名は、大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。

「System」および「Null」(大文字と小文字の両方)は予約されている名前であり、使用できません。

 
デフォルト

マルチ コンテキスト モードの新しい適応型セキュリティ アプライアンスでは、管理コンテキストは「admin」と呼ばれます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

管理コンテキストには、コンテキスト コンフィギュレーションが内部フラッシュ メモリにある限り、いずれのコンテキストでも設定できます。

現在の管理コンテキストは、 clear configure context コマンドを使用してすべてのコンテキストを削除しない限りは削除できません。

次に、管理コンテキストを「administrator」として設定する例を示します。

hostname(config)# admin-context administrator

 
関連コマンド

コマンド
説明

clear configure context

システム コンフィギュレーションからすべてのコンテキストを削除します。

context

システム コンフィギュレーションにコンテキストを設定し、コンテキスト コンフィギュレーション モードを開始します。

show admin-context

現在の管理コンテキスト名を表示します。

allocate-interface

インターフェイスをセキュリティ コンテキストに割り当てるには、コンテキスト コンフィギュレーション モードで allocate-interface コマンドを使用します。コンテキストからインターフェイスを削除するには、このコマンドの no 形式を使用します。

allocate-interface physical_interface [ map_name ] [ visible | invisible ]

no allocate-interface physical_interface

allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ map_name [ - map_name ]] [ visible | invisible ]

no allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ]

 
構文の説明

invisible

(デフォルト)コンテキスト ユーザが show interface コマンドでマッピング名(設定済みの場合)のみを表示できるようにします。

map_name

(任意)マッピング名を設定します。

map_name は、コンテキスト内でインターフェイス ID の代わりに使用できるインターフェイスの英数字エイリアスです。マッピング名を指定しない場合、インターフェイス ID がコンテキスト内で使用されます。セキュリティを確保するために、コンテキストが使用しているインターフェイスをコンテキスト管理者に把握されないようにする場合があります。

マッピング名は先頭を文字、末尾を文字または数字にする必要があり、その中間の文字には文字、数字またはアンダースコア文字のみを使用する必要があります。たとえば、次の名前を使用できます。

int0
 
inta
 
int_0
 

サブインターフェイスには、マッピング名の範囲を指定できます。

範囲の詳細については、「使用上のガイドライン」の項を参照してください。

physical_interface

gigabit ethernet0/1 などのインターフェイス ID を設定します。有効値については、 interface コマンドを参照してください。インターフェイス タイプとポート番号の間にスペースを入れないでください。

subinterface

サブインターフェイス番号を設定します。サブインターフェイスの範囲を指定できます。

visible

(任意)コンテキスト ユーザがマッピング名を設定済みであっても show interface コマンドで、物理インターフェイス プロパティを表示できるようにします。

 
デフォルト

マッピング名を設定済みの場合、 show interface コマンド出力ではインターフェイス ID はデフォルトで invisible です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、異なる範囲を指定するために複数回入力できます。マッピング名または表示設定を変更するには、指定されたインターフェイス ID に対してコマンドを再入力して新しい値を設定します。 no allocate-interface コマンドを入力してもう一度やり直す必要はありません。 allocate-interface コマンドを削除すると、適応型セキュリティ アプライアンスはコンテキスト内にインターフェイス関連のコンフィギュレーションがあれば削除します。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過できます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用管理インターフェイスである Management 0/0(物理インターフェイスまたはサブインターフェイスのいずれか)を管理トラフィックの 3 つめのインターフェイスとして使用できます。


) トランスペアレント モードの管理インターフェイスは、パケットが MAC アドレス テーブルにない場合、パケットをインターフェイスを通じてフラッドしません。


ルーテッド モードでは、同じインターフェイスを必要に応じて複数のコンテキストに割り当てられます。トランスペアレント モードでは、共有インターフェイスは許可されません。

サブインターフェイスの範囲を指定する場合、マッピング名と一致する範囲を指定できます。範囲については次のガイドラインに従います。

マッピング名は、アルファベット部分の後に数字部分が続く構成にする必要があります。マッピング名のアルファベット部分が範囲の両端で一致する必要があります。たとえば、次のような範囲を入力します。

int0-int10
 

たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力するとコマンドは失敗します。

マッピング名の数字部分には、サブインターフェイス範囲と同じ個数の数字を含める必要があります。次の例では、両方の範囲に 100 のインターフェイスが含まれています。

gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100
 

たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力するとコマンドは失敗します。

次に、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 から gigabitethernet0/1.305 がコンテキストに割り当てられた例を示します。マッピング名は、int1 から int8 です。

hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

allocate-ips

IPS 仮想センサーをセキュリティ コンテキストに割り当てるには、AIP SSMがインストールされている場合には、コンテキスト コンフィギュレーション モードで allocate-ips コマンドを使用します。コンテキストから仮想センサーを削除するには、このコマンドの no 形式を使用します。

allocate-ips sensor_name [ mapped_name ] [ default ]

no allocate-ips sensor_name [ mapped_name ] [ default ]

 
構文の説明

default

(任意)コンテキストごとに 1 つのセンサーをデフォルト センサーとして設定します。コンテキスト コンフィギュレーションにセンサー名が指定されていない場合は、コンテキストはデフォルト センサーを使用します。コンテキストごとに 1 つのデフォルト センサーのみを設定できます。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して、新しいデフォルト センサーを割り当てる前に現在のデフォルト センサーを削除します。センサーをデフォルトとして指定しない場合で、コンテキスト コンフィギュレーションにセンサー名が含まれていないとき、トラフィックは AIP SSM 上のデフォルト センサーを使用します。

mapped_name

(任意)実際のセンサー名の代わりにコンテキスト内で使用できるセンサー名のエイリアスとしてマッピング名を設定します。マッピング名を指定しない場合、センサー名がコンテキスト内で使用されます。セキュリティを確保するために、コンテキストが使用しているセンサーをコンテキスト管理者に把握されないようにする場合があります。または、コンテキスト コンフィギュレーションを汎用化する場合があります。たとえば、すべてのコンテキストで「sensor1」および「sensor2」というセンサーを使用するには、「highsec」および「lowsec」センサーをコンテキスト A の sensor1 および sensor2 にマッピングし、「medsec」および「lowsec」センサーをコンテキスト B の sensor1 および sensor2 にマッピングします。

sensor_name

AIP SSM に設定されたセンサー名を設定します。AIP SSM に設定されたセンサーを表示するには、 allocate-ips ? を入力します。すべての使用可能なセンサーが表示されます。 show ips コマンドを入力することもできます。システム実行スペースで show ips コマンドを入力すると、すべての使用可能なセンサーが表示されます。このコマンドをコンテキストで入力すると、コンテキストにすでに割り当てられたセンサーが表示されます。AIP SSM にまだ存在しないセンサー名を指定した場合はエラーになりますが、 allocate-ips コマンドはそのまま入力されます。AIP SSM にその名前のセンサーが作成されるまで、コンテキストはそのセンサーは停止していると想定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

各コンテキストに 1 つ以上の IPS 仮想センサーを割り当てられます。コンテキストがトラフィックを AIP SSM に送信するように ips コマンドを使用して設定する場合、コンテキストに割り当てられたセンサーが指定できます。コンテキストに割り当てられていないセンサーは指定できません。コンテキストにセンサーを一切割り当てない場合、AIP SSM に設定されたデフォルト センサーが使用されます。複数のコンテキストに同じセンサーを割り当てられます。


) 仮想センサーを使用することに、マルチ コンテキスト モードにする必要はありません。シングル モードで異なるセンサーを異なるトラフィック フローに使用できます。


次に、sensor1 および sensor2 をコンテキスト A に、sensor1 および sensor3 をコンテキスト B に割り当てる例を示します。両方のコンテキストがセンサー名を「ips1」および「ips2」にマッピングします。コンテキスト A には sensor1 がデフォルト センサーとして設定されます。コンテキスト B にはデフォルトが設定されていないため、AIP SSM に設定されたデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

ips

トラフィックをインスペクションのために AIP SSM に迂回させます。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show ips

AIP SSM に設定された仮想センサーを表示します。

anyconnect-essentials

適応型セキュリティ アプライアンスで AnyConnect Essentials をイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードで anyconnect-essentials コマンドを使用します。AnyConnect Essentials の使用をディセーブルにして、代わりにプレミアム AnyConnect クライアントをイネーブルにするには、このコマンドの no 形式を使用します。

anyconnect-essentials

no anyconnect-essentials

 
デフォルト

AnyConnect Essentials は、デフォルトでイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用して、AnyConnect SSL VPN フル クライアントと AnyConnect Essentials SSL VPN クライアントの間をトグルします。この際、AnyConnect クライアントのフル ライセンスがインストールされていることを想定しています。AnyConnect Essentials は、別にライセンスされた SSL VPN クライアントであり、適応型セキュリティ アプライアンスに全体が設定されています。プレミアム AnyConnect 機能を備えていますが、次の例外があります。

CSD(HostScan/Vault/Cache Cleaner を含む)なし

クライアントレス SSL VPN なし

AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、Windows XP または Windows 2000、Linux、ならびに Macintosh OS X を実行するリモート エンド ユーザに対して、Cisco SSL VPN クライアントの利点を提供します。

AnyConnect Essentials ライセンスをイネーブルまたはディセーブルにするには、 anyconnect-essentials コマンドを使用します。これは、AnyConnect Essentials ライセンスを適応型セキュリティ アプライアンスにインストールした後にのみ有効です。ライセンスがない場合、コマンドは次のエラー メッセージを返します。

ERROR: Command requires AnyConnect Essentials license
 

) このコマンドは、AnyConnect Essentials をイネーブルまたはディセーブルにするだけです。AnyConnect Essentials ライセンス自体は、anyconnect-essentials コマンド設定の影響を受けません。


AnyConnect Essentials ライセンスがイネーブルの場合、AnyConnect クライアントは Essentials モードを使用し、クライアントレス SSL VPN アクセスはディセーブルになります。AnyConnect Essentials ライセンスがディセーブルの場合、AnyConnect クライアントは、AnyConnect SSL VPN クライアントのフル ライセンスを使用します。

アクティブ クライアントレス SSL VPN 接続があるときに、AnyConnect Essentials ライセンスをイネーブルにする場合、すべての接続がログオフされて接続の再確立が必要になります。

次に、ユーザが webvpn コンフィギュレーション モードを開始して、AnyConnect Essentials VPN クライアントをイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# anyconnect-essentials

apcf

アプリケーション プロファイル カスタマイゼーション フレームワーク プロファイルをイネーブルにするには、webvpn コンフィギュレーション モードで apcf コマンドを使用します。特定の APCF スクリプトをディセーブルにするには、このコマンドの no バージョンを使用します。すべての APCF スクリプトをディセーブルにするには、このコマンドの no バージョンを引数なしで使用します。

apcf URL/filename.ext

no apcf [ URL/ filename.ext]

 
構文の説明

filename.extension

APCF カスタマイゼーション スクリプトの名前を指定します。スクリプトは常に XML 形式です。拡張子は、.xml、.txt、.doc またはその他多数の拡張子の 1 つである場合があります。

URL

適応型セキュリティ アプライアンスにロードして使用する APCF プロファイルの場所を指定します。次の URL の 1 つを使用します。http://、https://、tftp://、ftp://、flash:/、disk#:/。

URL には、サーバ、ポート、およびパスを含む場合があります。ファイル名のみを指定する場合、デフォルト URL は flash:/ です。APCF プロファイルをフラッシュ メモリにコピーするには、 copy コマンドを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

apcf コマンドは、セキュリティ アプライアンスによる非標準の Web アプリケーションおよび Web リソースの処理をイネーブルにして、これらが WebVPN 接続を介して適切にレンダリングされるようにします。APCF プロファイルには、いつ(事前、事後)、どの場所で(ヘッダー、本文、要求、応答)、いずれのデータを特定のアプリケーションに対して変換するかを指定するスクリプトが含まれています。

適応型セキュリティ アプライアンスでは複数の APCF プロファイルを使用できます。その場合、適応型セキュリティ アプライアンスは 1 つずつのプロファイルを古いものから新しいプロファイルの順に適用します。

Cisco TAC のサポートの下のみで apcf コマンドを使用することを推奨します。

次に、フラッシュ メモリの/apcf: にある apcf1 という APCF をイネーブルにする方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
hostname(config-webvpn)#
 

この例は、myserver という HTTPS サーバのポート 1440 のパス/apcf: にある apcf2.xml という APCF をイネーブルにする方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

proxy-bypass

特定のアプリケーションに対してコンテンツの最低限の書き換えを設定します。

rewrite

トラフィックが適応型セキュリティ アプライアンスを通過するかどうかを決定します。

show running config webvpn apcf

APCF 設定を表示します。

appl-acl

過去に設定した Web-type ACL を指定してセッションに適用するには、DAP webvpn コンフィギュレーション モードで appl-acl コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。すべての Web-type ACL を削除するには、このコマンドの no バージョンを引数なしで使用します。

appl-acl identifier

no appl-acl [ identifier ]

 
構文の説明

identifier

過去に設定した Web-type ACL の最大 240 文字の名前。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

Web-type ACL を設定するには、グローバル コンフィギュレーション モードで access-list_webtype コマンドを使用します。

複数の Web-type ACL を DAP ポリシーに適用するには、 appl-acl コマンドを複数回使用します。

次に、過去に設定した newacl という Web-type ACL をダイナミック アクセス ポリシーに適用する方法の例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dynamic-access-policy-record)# appl-acl newacl
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

access-list_webtype

Web-type ACL を作成します。

application-access

認証済み WebVPN ユーザに表示される WebVPN ホーム ページの [Application Access] フィールドおよびユーザがアプリケーションを選択したときに開かれる [Application Access] ウィンドウをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで application-access コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access { title | message | window } { text | style } value

no application-access { title | message | window } { text | style } value

 
構文の説明

message

[Application Access] フィールドのタイトルの下に表示されるメッセージを変更します。

style

[Application Access] フィールドのスタイルを変更します。

text

[Application Access] フィールドのテキストを変更します。

title

[Application Access] フィールドのタイトルを変更します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

window

[Application Access] ウィンドウを変更します。

 
デフォルト

[Application Access] フィールドのデフォルトのタイトル テキストは「Application Access」です。

[Application Access] フィールドのデフォルトのタイトル スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase

[Application Access] フィールドのデフォルトのメッセージ テキストは「Start Application Client」です。

[Application Access] フィールドのデフォルトのメッセージ スタイルは次のとおりです。

background-color:#99CCCC;color:maroon;font-size:smaller.

[Application Access] ウィンドウのデフォルトのウィンドウ テキストは次のとおりです。

「Close this window when you finish using Application Access.Please wait for the table to be displayed before starting applications.」

[Application Access] ウィンドウのデフォルトのウィンドウ スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用してアクセスします。

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

次に、WebVPN ページの最も一般的な変更であるページの配色するうえで役立つヒントを示します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、[Application Access] フィールドの背景色を、緑の色調である RGB 16 進値 66FFFF にカスタマイズする例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# application-access title style background-color:#66FFFF

 
関連コマンド

コマンド
説明

application-access hide-details

[Application Access] ウィンドウのアプリケーション詳細の表示をイネーブルまたはディセーブルにします。

browse-networks

WebVPN ホームページの [Browse Networks] フィールドをカスタマイズします。

file-bookmarks

WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] フィールドをカスタマイズします。

web-bookmarks

WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。

application-access hide-details

WebVPN の [Application Access] ウィンドウに表示されるアプリケーション詳細を非表示にするには、カスタマイゼーション コンフィギュレーション モードで application-access hide-details コマンドを使用します。カスタマイゼーション コンフィギュレーション モードには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用してアクセスします。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access hide - details {enable | disable}

no application-access [ hide - details {enable | disable}]

 
構文の説明

disable

[Application Access] ウィンドウのアプリケーション詳細を表示します。

enable

[Application Access] ウィンドウのアプリケーション詳細を非表示にします。

 
デフォルト

デフォルトはディセーブルです。アプリケーション詳細は、[Application Access] ウィンドウに表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次に、アプリケーション詳細の表示をディセーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# application-access hide-details disable

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] フィールドをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] フィールドをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] フィールドをカスタマイズします。

area

OSPF エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。

area area_id

no area area_id

 
構文の説明

area_id

作成するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

作成したエリアにはパラメータが一切設定されていません。関連するエリア コマンドを使用してエリア パラメータを設定します。

次に、エリア ID 1 の OSPF エリアを作成する方法の例を示します。

hostname(config-router)# area 1
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

area nssa

(任意)エリアを Not-So-Stubby Area として定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area authentication

OSPF エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで area authentication コマンドを使用します。

エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id authentication [ message-digest ]

no area area_id authentication [ message-digest ]

 
構文の説明

area_id

認証をイネーブルにするエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

message-digest

(任意) area_id で指定したエリアでの Message Digest 5(MD5)認証をイネーブルにします。

 
デフォルト

エリア認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドが入力されたときに、指定した OSPF エリアが存在しない場合はエリアが作成されます。 area authentication コマンドを message-digest キーワードを指定しないで入力すると、簡易パスワード認証がイネーブルになります。 message-digest キーワードを含めると MD5 認証がイネーブルになります。

次に、エリア 1 の MD5 認証をイネーブルにする方法の例を示します。

hostname(config-router)# area 1 authentication message-digest
hostname(config-router)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area default-cost

スタブまたは NSSA に送信するデフォルト集約ルートのコストを指定するには、ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルト コスト値に戻すには、このコマンドの no 形式を使用します。

area area_id default-cost cost

no area area_id default-cost

 
構文の説明

area_id

デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

cost

スタブまたは NSSA に使用するデフォルト集約ルートのコストを指定します。有効な値の範囲は、0 ~ 65535 です。

 
デフォルト

cost のデフォルト値は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

次に、スタブまたは NSSA に送信する集約ルートのデフォルト コストの指定方法の例を示します。

hostname(config-router)# area 1 default-cost 5
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area nssa

(任意)エリアを Not-So-Stubby Area として定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area filter-list prefix

ABR の OSPF エリア間の Type 3 LSA でアドバタイズされたプレフィクスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。

area area_id filter-list prefix list_name { in | out }

no area area_id filter-list prefix list_name { in | out }

 
構文の説明

area_id

フィルタリングを設定するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

in

指定エリアに着信するアドバタイズされたプレフィクスに、設定済みプレフィクス リストを適用します。

list_name

プレフィクス リストの名前 を指定します。

out

指定エリアから発信するアドバタイズされたプレフィクスに、設定済みプレフィクス リストを適用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

Type 3 LSA のみがフィルタリングできます。ASBR がプライベート ネットワークに設定されている場合は、Type 5 LSA(プライベート ネットワークを記述)が送信されます。Type 5 LSA は、パブリック エリアを含む AS 全体にフラッドされます。

次に、他のすべてのエリアからエリア 1 に送信されるプレフィクスをフィルタリングする例を示します。

hostname(config-router)# area 1 filter-list prefix-list AREA_1 in
hostname(config-router)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area nssa

エリアを NSSA として設定するには、ルータ コンフィギュレーション モードで area nssa コマンドを使用します。エリアから NSSA 指定を削除するには、このコマンドの no 形式を使用します。

area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

 
構文の説明

area_id

NSSA として指定するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

default-information-originate

Type 7 をデフォルトで NSSA に生成することに使用します。このキーワードは、NSSA ABR または NSSA ASBR のみで有効です。

metric metric_value

(任意)OSPF デフォルト メトリック値を指定します。有効な値の範囲は、0 ~ 16777214 です。

metric-type { 1 | 2 }

(任意)デフォルト ルートの OSPF メトリック タイプ。有効な値は次のとおりです。

1 :タイプ 1

2 :タイプ 2。

デフォルト値は 2 です。

no-redistribution

(任意)ルータが NSSA ABR のときに、 redistribute コマンドを使用して、ルートを NSSA エリアではなく通常のエリアのみにインポートする場合に使用します。

no-summary

(任意)エリアを、集約ルートが挿入されない Not-So-Stubby Area にできます。

 
デフォルト

デフォルトは次のとおりです。

NSSA エリアは定義されていません。

metric-type は 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

1 つのオプションをエリアに設定した後で、別のオプションを指定すると、両方のオプションが設定されます。たとえば、次の 2 つのコマンドを別々に入力すると、コンフィギュレーション内では、両方のオプションが設定された 1 つのコマンドになります。

area 1 nssa no-redistribution
area area_id nssa default-information-originate
 

次に、2 つのオプションを別々に設定すると、コンフィギュレーション内でどのように 1 つのコマンドになるかという例を示します。

hostname(config-router)# area 1 nssa no-redistribution
hostname(config-router)# area 1 nssa default-information-originate
hostname(config-router)# exit
hostname(config-router)# show running-config router ospf 1
router ospf 1
area 1 nssa no-redistribution default-information-originate
 

 
関連コマンド

コマンド
説明

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area range

エリアの境界でルートを統合および集約するには、ルータ コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id range address mask [ advertise | not-advertise ]

no area area_id range address mask [ advertise | not-advertise ]

 
構文の説明

address

サブネット範囲の IP アドレス。

advertise

(任意)アドレス範囲ステータスを advertise に設定し、Type 3 サマリー Link-State Advertisement(LSA; リンクステート アドバタイズメント)を生成します。

area_id

範囲を設定するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

mask

IP アドレス サブネット マスク。

not-advertise

(任意)アドレス範囲ステータスを DoNotAdvertise に設定します。Type 3 サマリー LSA は抑制され、コンポーネント ネットワークは他のネットワークから隠された状態のままです。

 
デフォルト

アドレス範囲ステータスは advertise に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

area range コマンドは ABR のみで使用します。このコマンドを使用すると、エリアのルートが統合または集約されます。その結果、1 つの集約ルートが ABR により他のエリアにアドバタイズされます。エリアの境界でルーティング情報が要約されます。エリアの外部では、各アドレス範囲で 1 つのルートがアドバタイズされます。この動作は、 ルート集約 と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。この設定により、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。

no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードのみを削除します。

次に、ネットワーク 10.0.0.0 上のすべてのサブネット対して、およびネットワーク 192.168.110.0 上のすべてのホストに対して 1 つの集約ルートが、ABR により他のエリアにアドバタイズされるように指定する例を示します。

hostname(config-router)# area 10.0.0.0 range 10.0.0.0 255.0.0.0
hostname(config-router)# area 0 range 192.168.110.0 255.255.255.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area stub

エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリア機能を削除するには、このコマンドの no 形式を使用します。

area area_id [ no-summary ]

no area area_id [ no-summary ]

 
構文の説明

area_id

スタブ エリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

no-summary

ABR がサマリー リンク アドバタイズメントをスタブ エリアに送信しないようにします。

 
デフォルト

デフォルト動作は次のとおりです。

スタブ エリアは定義されていません。

サマリー リンク アドバタイズメントはスタブ エリアに送信されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、スタブまたは NSSA に接続されている ABR のみで使用できます。

スタブ エリア ルータコンフィギュレーション コマンドには、area stub および area default-cost コマンドの 2 つがあります。スタブ エリアに接続するすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。 area default-cost コマンドは、スタブ エリアに接続されている ABR のみで使用します。 area default-cost コマンドは、スタブ エリアに ABR により生成されるデフォルト集約ルートのメトリックを提供します。

次に、指定エリアをスタブ エリアに設定する例を示します。

hostname(config-router)# area 1 stub
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area default-cost

デフォルト集約ルートのコストがスタブまたは NSSA に送信されるように指定します。

area nssa

(任意)エリアを Not-So-Stubby Area として定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

area virtual-link

OSPF 仮想リンクを定義するには、ルータ コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットする、または仮想リンクを削除するには、このコマンドの no 形式を使用します。

area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[[[ authentication-key[0 | 8] key ] | [ message-digest-key key_id md5 [0 | 8] key ]]]]

no area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[[[ authentication-key [0 | 8] key ] | [ message-digest-key key_id md5 [0 | 8] key ]]]]

 
構文の説明

area_id

仮想リンクの中継エリアのエリア ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

authentication

(任意)認証タイプを指定します。

authentication-key
[0 | 8] key

(任意)ネイバー ルーティング デバイスで使用する OSPF 認証パスワードを指定します。

dead-interval seconds

(任意)hello パケットを受信しない場合に、ネイバー ルーティング デバイスがダウンしていることを宣言するまでの間隔を指定します。有効な値は、1 ~ 65535 秒です。

hello-interval seconds

(任意)インターフェイス上で送信される hello パケット間の間隔を指定します。有効な値は、1 ~ 65535 秒です。

md5 [0 | 8] key

(任意)最大 16 バイトの英数字のキーを指定します。

message-digest

(任意)メッセージ ダイジェスト認証を使用することを指定します。

message-digest-key key_id

(任意)Message Digest 5(MD5)認証をイネーブルにし、数値の認証キー ID 番号を指定します。有効な値は、1 ~ 255 です。

0

暗号化されていないパスワードが続くことを指定します。

8

暗号化されたパスワードが後に続くことを指定します。

null

(任意)認証を使用しないことを指定します。パスワードまたはメッセージ ダイジェスト認証が OSPF エリアに設定されている場合は、null が優先されます。

retransmit-interval seconds

(任意)インターフェイスに属する隣接ルータの LSA 再送時間の間隔を指定します。有効な値は、1 ~ 65535 秒です。

router_id

仮想リンク ネイバーに関連付けられたルータ ID。ルータ ID は各ルータによりインターフェイス IP アドレスから内部生成されます。この値は、IP アドレスの形式で入力する必要があります。デフォルト設定はありません。

transmit-delay seconds

(任意)OSPF によるトポロジ変更の受信と Shortest Path First(SPF)計算の開始との間の遅延時間を 0 ~ 65535 秒で指定します。デフォルトは 5 秒です。


) 1 桁のパスワードおよび先頭の数字の後に空白が続くパスワードはサポートされなくなりました。


 
デフォルト

デフォルトは次のとおりです。

area_id :エリア ID は事前に定義されていません。

router_id :ルータ ID は事前に定義されていません。

hello-interval seconds :10 秒。

retransmit-interval seconds :5 秒。

transmit-delay seconds :1 秒。

dead-interval seconds :40 秒。

authentication-key [0 | 8] key :キーは事前に定義されていません。

message-digest-key key_id md5 [0 | 8] key :キーは事前に定義されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合、仮想リンクを確立することで接続を修復できます。

hello 間隔を小さくするほど、トポロジの変更が速く検出されますが、ルーティング トラフィックの増加につながります。

再送間隔の設定は控えめにします。そうしないと、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮する必要があります。

指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルの場合にのみ使用されます。

簡易テキスト認証と MD5 認証の 2 つの認証方式は、同時に使用できません。いずれかを指定する、または両方とも指定しないことができます。 authentication-key [0 | 8] key または message-digest-key key_id md5[0 | 8] key の後に指定したキーワードと引数はすべて無視されます。任意のオプション引数は、このようなキーワードと引数の組み合わせの前に指定します。

インターフェイスに認証タイプが指定されていない場合、インターフェイスはエリアに指定されている認証タイプを使用します。エリアに認証タイプが指定されていない場合、エリアのデフォルトは null 認証です。


) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに中継エリア ID および対応する仮想リンク ネイバー ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。


仮想リンクからオプションを削除するには、このコマンドの no 形式を削除するオプションを指定して使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。

次に、MD5 認証で仮想リンクを確立する例を示します。

hostname(config-router)# area 10.0.0.0 virtual-link 10.3.4.5 message-digest-key 3 md5 8 sa5721bk47
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

arp

スタティック ARP エントリを ARP テーブルに追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。スタティック ARP エントリは MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトしないため、ネットワーク問題の解決に役立つ場合があります。トランスペアレント ファイアウォール モードでは、スタティック ARP テーブルは ARP インスペクションで使用されます(「 arp-inspection 」コマンドを参照)。

arp interface_name ip_address mac_address [ alias ]

no arp interface_name ip_address mac_address

 
構文の説明

alias

(任意)このマッピングに対してプロキシ ARP をイネーブルにします。適応型セキュリティ アプライアンスは、指定された IP アドレスに対する ARP 要求を受信すると、適応型セキュリティ アプライアンスの MAC アドレスで応答します。適応型セキュリティ アプライアンスがその IP アドレスに属するホスト宛てのトラフィックを受信すると、適応型セキュリティ アプライアンスはこのコマンドで指定されたホスト MAC アドレスにトラフィックを転送します。このキーワードは、たとえば、ARP を実行しないデバイスがある場合に役立ちます。

トランスペアレント ファイアウォール モードでは、このキーワードは無視されます。適応型セキュリティ アプライアンスはプロキシ ARP を実行しません。

interface_name

ホスト ネットワークに接続されているインターフェイス。

ip_address

ホスト IP アドレス。

mac_address

ホスト MAC アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ホストは IP アドレスによりパケットの宛先を指定しますが、イーサネット上での実際のパケット配信は、イーサネット MAC アドレスに依存しています。ルータまたはホストは、直接接続されているネットワーク上でパケットを配信する場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信してから、その ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータは ARP テーブルを保持しているため、配信する必要のあるパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ネットワーク上で ARP 応答が送信されるたびにダイナミックにアップデートされます。また、一定期間使用されなかったエントリがある場合は、タイムアウトになります。エントリが間違っている場合(たとえば、指定された IP アドレスに対する MAC アドレスが変更された場合)、アップデート前にエントリはタイムアウトになります。


) トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリが適応型セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)に使用されます。


次に、外部インターフェイス上で、10.1.1.1 のスタティック ARP エントリを MAC アドレス 0009.7cbe.2100 で作成する例を示します。

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
 

 
関連コマンド

コマンド
説明

arp timeout

適応型セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp timeout

適応型セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。ARP テーブルを再構築すると、自動的に新しいホスト情報にアップデートされて古いホスト情報は削除されます。ホスト情報が頻繁に変更される場合は、タイムアウト値を小さくすることを推奨します。

arp timeout seconds

no arp timeout seconds

 
構文の説明

seconds

ARP テーブルを再構築する間隔の秒数(60 ~ 4294967)。

 
デフォルト

デフォルト値は 14,400 秒(4 時間)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、ARP タイムアウトを 5,000 秒に変更する例を示します。

hostname(config)# arp timeout 5000
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp timeout

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp-inspection

トランスペアレント ファイアウォール モードの ARP インスペクションをイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。ARP インスペクションでは、すべての ARP パケットがスタティック ARP エントリ(「 arp 」コマンドを参照)と比較され、一致しないパケットがブロックされます。この機能により、ARP スプーフィングを防止します。

arp-inspection interface_name enable [ flood | no-flood ]

no arp-inspection interface_name enable

 
構文の説明

enable

ARP インスペクションをイネーブルにします。

flood

(デフォルト)スタティック ARP エントリのいずれの要素とも一致しないパケットが発信元インターフェイスを除くすべてのインターフェイスにフラッドされるように指定します。MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、適応型セキュリティ アプライアンスはパケットをドロップします。

(注) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。

interface_name

ARP インスペクションをイネーブルにするインターフェイス。

no-flood

(任意)スタティック ARP エントリに正確に一致しないパケットがドロップされるように指定します。

 
デフォルト

デフォルトでは、ARP インスペクションはすべてのインターフェイスでディセーブルであり、すべての ARP パケットが適応型セキュリティ アプライアンスの通過を許可されています。ARP インスペクションをイネーブルにする場合、デフォルトでは一致しない ARP パケットをフラッドします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ARP インスペクションをイネーブルにする前に、スタティック ARP エントリを arp コマンドを使用して設定します。

ARP インスペクションをイネーブルにすると、適応型セキュリティ アプライアンスはすべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較して、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットをパススルーさせます。

MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、適応型セキュリティ アプライアンスはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のいずれのエントリとも一致しない場合、適応型セキュリティ アプライアンスがパケットをすべてのインターフェイスに転送するか(フラッド)、またはパケットをドロップするかのいずれかに設定できます。


) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。


ARP インスペクションにより、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィングと呼ばれる)を防止します。ARP スプーフィングは、「中間者」攻撃を可能にします。たとえば、ホストがゲートウェイ ルータに ARP 要求を送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。しかし、攻撃者の場合は、ルータの MAC アドレスの代わりに、攻撃者の MAC アドレスを含む別の ARP 応答をホストに送信します。攻撃者は、ルータに転送する前に、ホストのトラフィックをすべて代行受信できるようになります。

ARP インスペクションにより、正しい MAC アドレスおよび関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者が攻撃者の MAC アドレスで ARP 応答を送信できなくなります。


) トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリが適応型セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)に使用されます。


次に、外部インターフェイス上の ARP インスペクションをイネーブルにして、適応型セキュリティ アプライアンスがスタティック ARP エントリと一致しないすべての ARP パケットをドロップするように設定する例を示します。

hostname(config)# arp outside 209.165.200.225 0009.7cbe.2100
hostname(config)# arp-inspection outside enable no-flood
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

clear configure arp-inspection

ARP インスペクション コンフィギュレーションをクリアします。

firewall transparent

ファイアウォール モードをトランスペアレントに設定します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

asdm disconnect

アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。

asdm disconnect session

 
構文の説明

session

終了するアクティブな ASDM セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm sessions コマンドを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 pdm disconnect コマンドから asdm disconnect コマンドに変更されました。

 
使用上のガイドライン

アクティブな ASDM セッションおよび関連付けられたセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。

1 つの ASDM セッションを終了する場合、残りのアクティブな ASDM セッションは関連付けられたセッション ID を維持します。たとえば、セッション ID 0、1、および 2 のアクティブな ASDM セッションが 3 つあるとします。セッション 1 を終了すると、残りのアクティブな ASDM セッションは、セッション ID 0 および 2 を維持します。この例では、次の新しい ASDM セッションにセッション ID 1 が割り当てられ、その後の新しいセッションには、セッション ID 3 からが割り当てられます。

次に、セッション ID 0 の ASDM セッションを終了する例を示します。 show asdm sessions コマンドは、アクティブな ASDM セッションを asdm disconnect コマンドの入力前および後に表示します。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm sessions

アクティブな ASDM セッションおよび関連付けられたセッション ID のリストを表示します。

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。

asdm disconnect log_session session

 
構文の説明

session

終了するアクティブな ASDM ロギング セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm log_sessions コマンドを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

アクティブな ASDM ロギング セッションおよび関連付けられたセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。

それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギング セッションがあります。ASDM は、ロギング セッションを使用して、適応型セキュリティ アプライアンスから Syslog メッセージを取得します。ログ セッションの終了は、アクティブな ASDM セッションに悪影響を与える可能性があります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。


) 各 ASDM セッションには少なくとも 1 つの ASDM ロギング セッションがあるため、show asdm sessions および show asdm log_sessions の出力は同じように見えることがあります。


1 つの ASDM ロギング セッションを終了する場合、残りのアクティブな ASDM ロギング セッションは関連付けられたセッション ID を維持します。たとえば、セッション ID 0、1、および 2 のアクティブな ASDM ロギング セッション 3 つがあるとします。セッション 1 を終了すると、残りのアクティブな ASDM ロギング セッションは、セッション ID 0 および 2 を維持します。この例では、次の新しい ASDM ロギング セッションにセッション ID 1 が割り当てられ、その後の新しいロギング セッションには、セッション ID 3 からが割り当てられます。

次に、セッション ID 0 の ASDM セッションを終了する例を示します。 show asdm log_sessions コマンドは、アクティブな ASDM セッションを asdm disconnect log_sessions コマンドの入力前および後に表示します。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm log_sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm log_sessions

アクティブな ASDM ロギング セッションおよび関連付けられたセッション ID のリストを表示します。

asdm history enable

ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。

asdm history enable

no asdm history enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 pdm history enable コマンドから asdm history enable コマンドに変更されました。

 
使用上のガイドライン

ASDM 履歴トラッキングをイネーブルにすることにより取得される情報は、ASDM 履歴バッファに格納されます。この情報は、 show asdm history コマンドを使用して表示できます。履歴情報は、ASDM によりデバイスのモニタリングに使用されます。

次に、ASDM 履歴トラッキングをイネーブルにする例を示します。

hostname(config)# asdm history enable
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm history

ASDM 履歴バッファの内容を表示します。

asdm image

フラッシュ メモリ内の ASDM ソフトウェア イメージの場所を指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの場所を削除するには、このコマンドの no 形式を使用します。

asdm image url

no asdm image [ url ]

 
構文の説明

url

フラッシュ メモリ内の ASDM イメージの場所を設定します。次の URL 構文を参照してください。

disk0:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は内部フラッシュ メモリを指します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は外部フラッシュ メモリ カードを指します。

flash:/ [ path / ] filename

この URL は内部フラッシュ メモリを示します。

 
デフォルト

このコマンドをスタートアップ コンフィギュレーションに含めない場合、適応型セキュリティ アプライアンスは起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。適応型セキュリティ アプライアンスはイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

フラッシュ メモリ内には、複数の ASDM ソフトウェア イメージを格納できます。アクティブな ASDM セッションがある間に、 asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定した場合、アクティブなセッションは新しいコマンドにより中断されません。アクティブな ASDM セッションは、開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力した場合、このコマンドはコンフィギュレーションから削除されます。ただし、最後に設定したイメージの場所を使用して、適応型セキュリティ アプライアンスから ASDM に引き続きアクセスできます。

このコマンドをスタートアップ コンフィギュレーションに含めない場合、適応型セキュリティ アプライアンスは起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。適応型セキュリティ アプライアンスはイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。 write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに必ず保存します。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しないと、リブートするたびに、適応型セキュリティ アプライアンスは ASDM イメージを検索して、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用している場合は、起動時にこのコマンドが自動的に追加され、適応型セキュリティ アプライアンスのコンフィギュレーションが Auto Update Server のコンフィギュレーションと一致しなくなります。この不一致により、適応型セキュリティ アプライアンスは Auto Update Server からコンフィギュレーションをダウンロードします。この不要な Auto Update 動作を防ぐには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存します。

次に、ASDM イメージを asdm.bin に設定する例を示します。

hostname(config)# asdm image flash:/asdm.bin
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm image

現在の ASDM イメージ ファイルを表示します。

boot

ソフトウェア イメージおよびスタートアップ コンフィギュレーション ファイルを設定します。

asdm location


注意 このコマンドを手動で設定しないでください。ASDM は、asdm location コマンドを実行コンフィギュレーションに追加して、内部通信に使用します。このコマンドは、情報提供の目的のみでこのマニュアルに記載されています。

asdm location ip_addr netmask if_name

asdm location ipv6_addr / prefix if_name

 
構文の説明

ip_addr

ネットワーク トポロジを定義するために ASDM により内部で使用される IP アドレス。

netmask

ip_addr のサブネット マスク。

if_name

最もセキュリティの高いインターフェイスの名前。最もセキュリティの高いインターフェイスが複数ある場合、物理インターフェイス ID の最も小さいインターフェイスが選択されます。

ipv6_addr / prefix

ネットワーク トポロジを定義するために ASDM により内部で使用される IPv6 アドレスおよびプレフィクス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 pdm location コマンドから asdm location コマンドに変更されました。

 
使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

asr-group

非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。

asr-group group_id

no asr-group group_id

 
構文の説明

group_id

非対称ルーティング グループ ID。有効な値は、1 ~ 32 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

Active/Active フェールオーバーがイネーブルの場合、ロード バランシングにより、発信接続のリターン トラフィックがピア装置上のアクティブなコンテキストを介してルーティングされる可能性があります。このピア装置上で、発信接続のコンテキストはスタンバイ グループ内にあります。

asr-group コマンドでは、着信インターフェイスによるフローが見つからない場合、同じ asr-group のインターフェイスで着信パケットが再分類されます。再分類により、別のインターフェイスによるフローが見つかり、関連付けられたコンテキストがスタンバイ ステートである場合、パケットはアクティブ ユニットに転送されて処理されます。

このコマンドを有効にするには、ステートフル フェールオーバーをイネーブルにする必要があります。

ASR 統計情報を表示するには、 show interface detail コマンドを使用します。統計情報には、インターフェイスに送信、受信、およびドロップされた ASR パケットの数が含まれます。

次に、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てる例を示します。

コンテキスト ctx1 のコンフィギュレーション:

hostname/ctx1(config)# interface Ethernet2
hostname/ctx1(config-if)# nameif outside
hostname/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
hostname/ctx1(config-if)# asr-group 1
 

コンテキスト ctx2 のコンフィギュレーション:

hostname/ctx2(config)# interface Ethernet3
hostname/ctx2(config-if)# nameif outside
hostname/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
hostname/ctx2(config-if)# asr-group 1
 

 
関連コマンド

コマンド
説明

interface

インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイス統計情報を表示します。

assertion-consumer-url

アサーション コンシューマ サービスに問い合わせるためにセキュリティ デバイスがアクセスする URL を指定するには、その特定の SAML タイプ SSO サーバに対して webvpn コンフィギュレーション モードで assertion-consumer-url コマンドを使用します。

アサーションから URL を削除するには、このコマンドの no 形式を使用します。

assertion-consumer-url url

no assertion-consumer-url [ url ]

 
構文の説明

url

SAML タイプの SSO サーバが使用するアサーション コンシューマ サービスの URL を指定します。URL は、http://または https: のいずれかで始まる 255 文字未満の英数字である必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

URL が HTTPS から始まる場合、アサーション コンシューマ サービスの SSL 証明書に対するルート証明書のインストールが必要です。

次に、SAML タイプの SSO サーバの assertion-consumer-url を指定する例を示します。

hostname(config-webvpn)# sso server myhostname type saml-v1.1-post
hostname(config-webvpn-sso-saml# assertion-consumer-url https://saml-server/postconsumer
hostname(config-webvpn-sso-saml#

 
関連コマンド

コマンド
説明

issuer

SAML タイプの SSO サーバ セキュリティ デバイス名を指定します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

WebVPN シングル サインオン サーバを作成します。

trustpoint

SAML タイプのブラウザ アサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

attribute

適応型セキュリティ アプライアンスが DAP アトリビュート データベースに書き込むアトリビュート値のペアを指定するには、DAP テスト アトリビュート モードで attribute コマンドを入力します。複数のアトリビュート値のペアを入力するには、このコマンドを複数回使用します。

attribute name value

 
構文の説明

name

既知のアトリビュート名、または「label」タグを含むアトリビュートを指定します。label タグは、DAP レコード内のファイル、レジストリ、プロセス、ウイルス対策、スパイウェア対策、およびパーソナル ファイアウォールのエンドポイント アトリビュートに対して設定するエンドポイント ID に対応します。

value

AAA アトリビュートに割り当てられた値。

 
コマンド デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP アトリビュート コンフィギュレーション モード

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

通常、適応型セキュリティ アプライアンスは AAA サーバからユーザ認可アトリビュートを取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント アトリビュートを取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。適応型セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。

次に、認証されたユーザが SAP グループのメンバーであり、ウイルス対策ソフトウェアがエンドポイント システムにインストールされている場合に、適応型セキュリティ アプライアンスが 2 つの DAP レコードを選択することを想定する例を示します。ウイルス対策ソフトウェアのエンドポイント ルールのエンドポイント ID は nav です。

DAP レコードには、次のポリシー アトリビュートがあります。

 

DAP レコード 1
DAP レコード 2

action = continue

action = continue

port-forward = enable hostlist1

url-list = links2

url-entry = enable

hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)# attribute aaa.ldap.memberof SAP
hostname(config-dap-test-attr)# attribute endpoint.av.nav.exists true
hostname(config-dap-test-attr)# exit
 
hostname # test dynamic-access-policy execute
Policy Attributes:
action = continue
port-forward = enable hostlist1
url-list = links2
url-entry = enable
 
hostname #

 
関連コマンド

コマンド
説明

display

現在のアトリビュート リストを表示します。

dynamic-access-policy-record

DAP レコードを作成します。

test dynamic-access-policy attributes

アトリビュート サブモードを開始します。

test dynamic-access-policy execute

DAP を生成するロジックを実行し、生成されたアクセス ポリシーをコンソールに表示します。

auth-cookie-name

認証クッキーの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで auth-cookie-name コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。

auth-cookie-name

 
構文の説明

 
構文の説明構文の説明

name

認証クッキーの名前。名前の最大の長さは 128 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスの WebVPN サーバは、SSO サーバにシングル サインオン認証要求を送信することに HTTP POST 要求を使用します。認証に成功した場合、認証 Web サーバは、クライアント ブラウザに認証クッキーを返します。クライアント ブラウザは、認証クッキーを提示して、SSO ドメイン内の他の Web サーバに対して認証を行います。 auth-cookie-name コマンドでは、適応型セキュリティ アプライアンスにより SSO で使用される認証クッキーの名前を設定します。

一般的な認証クッキーの形式は、Set-Cookie: <cookie name>=<cookie value> [;<cookie attributes>] です。次の認証クッキー例では、SMSESSION が auth-cookie-name コマンドで設定する名前です。

Set-Cookie:
SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZPbHIHtWLDKTa8ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o88uHa2t4l+SillqfJvcpuXfiIAO06D/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;Path=/

次に、example.com という Web サーバから受信した認証クッキーの認証クッキー名として SMSESSION を指定する例を示します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# auth-cookie-name SMSESSION
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名およびパスワードを受信するための Web サーバ URI を指定します。

hidden-parameter

認証 Web サーバと交換するための非表示パラメータを作成します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求パラメータの名前を指定します。

start-url

プリログイン クッキーを取得する URL を指定します。

user-parameter

ユーザ名パラメータを SSO 認証に使用する HTTP POST 要求の一部として送信する必要があることを指定します。

authenticated-session-username

二重認証がイネーブルの場合に、いずれの認証ユーザ名をセッションに関連付けるかを指定するには、トンネル グループ一般アトリビュート モードで authenticated-session-username コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

authenticated-session-username { primary | secondary }

no authenticated-session-username

 
構文の説明

primary

(デフォルト)プライマリ認証サーバからユーザ名を使用します。

clientless

セカンダリ認証サーバからユーザ名を使用します。

 
デフォルト

デフォルト値は primary です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authenticated-session-username コマンドでは、適応型セキュリティ アプライアンスがセッションに関連付けるためにユーザ名を抽出する認証サーバを選択します。

次に、グローバル コンフィギュレーション モードで入力されて、remotegrp という IPSec リモート アクセス トンネル グループを作成して、セカンダリ認証サーバからのユーザ名を接続に使用することを指定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-webvpn)# authenticated-session-username secondary
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

authentication-attr-from-server

二重認証がイネーブルの場合に、いずれの認証サーバ認可アトリビュートを接続に適用するかを指定するには、トンネル グループ一般アトリビュート モードで authentication-attr-from-server コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

authentication-attr-from-server { primary | secondary }

no authentication-attr-from-server

 
構文の説明

primary

(デフォルト)プライマリ認証サーバを使用します。

secondary

セカンダリ認証サーバを使用します。

 
デフォルト

デフォルト値は primary です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authentication-attr-from-server コマンドでは、適応型セキュリティ アプライアンスが接続に適用する認可アトリビュートを抽出する認証サーバを選択します。

次に、グローバル コンフィギュレーション モードで入力されて、remotegrp という IPSec リモート アクセス トンネル グループを作成して、接続に適用する認可アトリビュートをセカンダリ認証サーバから抽出する必要があることを指定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-webvpn)# authentication-attr-from-server secondary
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

authentication-certificate

接続を確立している WebVPN クライアントから証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
構文の説明

interface-name

接続を確立するために使用するインターフェイスの名前。使用可能なインターフェイス名は、次のとおりです。

inside GigabitEthernet0/1 インターフェイスの名前

outside GigabitEthernet0/0 インターフェイスの名前

 
デフォルト

authentication-certificate コマンドを省略すると、クライアント証明書認証はディセーブルになります。

interface-name を authentication-certificate コマンドで指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを有効にするには、WebVPN が対応するインターフェイスですでにイネーブルになっている必要があります。インターフェイスを設定して名前を付けるには、 interface IP address 、および nameif コマンドを使用します。

このコマンドは、WebVPN クライアント接続にのみ適用されます。ただし、 管理 接続のクライアント証明書認証を http authentication-certificate コマンドを使って指定することは、WebVPN をサポートしないプラットフォームも含めてすべてのプラットフォームで可能です。

適応型セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

適応型セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルでない場合。

適応型セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルであるが、AAA 認証がイネーブルでない場合。

適応型セキュリティ アプライアンスは証明書を取得するために、クライアントをローカル CA の証明書登録ページにリダイレクトします。

ローカル CA と AAA 認証の両方がイネーブルの場合。

クライアントは AAA 認証ページにリダイレクトされます。設定されている場合、ローカル CA の登録ページのリンクもクライアントに表示します。

次に、外部インターフェイスの WebVPN ユーザ接続の証明書認証を設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

authentication(トンネル グループ webvpn コンフィギュレーション モード)

トンネル グループのメンバーが認証にデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

適応型セキュリティ アプライアンスへの ASDM 管理接続に対する証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl trust-point

SSL 証明書トラストポイントを設定します。

 

authentication-exclude

エンド ユーザがクライアントレス SSL VPN にログインせずに、設定されたリンクを参照できるようにするには、webvpn モードで authentication-exclude コマンドを使用します。複数のサイトへのアクセスを許可するには、このコマンドを複数回使用します。

authentication-exclude url-fnmatch

 
構文の説明

url-fnmatch

クライアントレス SSL VPN へのログイン要件を免除するリンクを指定します。

 
コマンド デフォルト

ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

この機能は、一部の内部リソースを SSL VPN 経由で公開使用できるようにする必要がある場合に便利です。

リンクの情報は、SSL VPN-mangled 形式でエンド ユーザに配布する必要があります。たとえば、SSL VPN を使用してリソースを参照し、配布するリンクの情報に参照した URL をコピーします。

次に、2 つのサイトに対して認証要件を免除する方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-exclude http://www.site.com/public/*
hostname(config-webvpn)#authentication-exclude *announcement.html

hostname(config-webvpn)# hostname #

authentication

WebVPN および電子メール プロキシの認証方式を設定するには、各種モードで authentication コマンドを使用します。デフォルト方式に戻すには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、ユーザを認証してユーザ ID を確認します。

authentication {[ aaa ] [ certificate ] [ mailhost ] [ piggyback] }

no authentication [ aaa ] [ certificate ] [ mailhost ] [ piggyback]

 
構文の説明

aaa

適応型セキュリティ アプライアンスが過去に設定した AAA サーバに対して確認するユーザ名とパスワードを指定します。

certificate

SSL ネゴシエーション中の証明書を指定します。

mailhost

リモート メール サーバを介した認証。SMTPS の場合のみ。IMAP4S および POP3S の場合、メールホスト認証は必須であるため設定可能なオプションとしては表示されません。

piggyback

HTTPS WebVPN セッションがすでに存在している必要があります。ピギーバック認証は、電子メール プロキシのみで使用できます。

 
デフォルト

次の表に、WebVPN および電子メール プロキシのデフォルト認証方式を示します。

 

プロトコル
デフォルト認証方式

IMAP4S

メールホスト(必須)

POP3S

メールホスト(必須)

SMTPS

AAA

WebVPN

AAA

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

webvpn コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、WebVPN のトンネル グループ webvpn アトリビュート コンフィギュレーション モードに移動されました。

8.0(2)

このコマンドは、証明書認証要件の変更を反映するために変更されました。

 
使用上のガイドライン

認証方式は少なくとも 1 つ必要です。たとえば、WebVPN の場合、AAA 認証、証明書認証、または両方を指定できます。これらは、いずれかを先に指定することもできます。

WebVPN 証明書認証では、それぞれのインターフェイスに対して HTTPS ユーザ証明書が必要です。つまり、この選択が機能するためには、証明書認証を指定する前に、 authentication-certificate コマンドでインターフェイスを指定する必要があります。

このコマンドを webvpn コンフィギュレーション モードで入力した場合は、トンネル グループ webvpn アトリビュート コンフィギュレーション モードの同じコマンドに変換されます。

WebVPN の場合、AAA および証明書認証の両方を要求できます。この場合、ユーザは証明書ならびにユーザ名とパスワードの両方を提供する必要があります。電子メール プロキシ認証の場合、複数の認証方式を要求できます。このコマンドを再び指定すると、現在のコンフィギュレーションが上書きされます。

次に、WebVPN ユーザに認証用の証明書の提出を要求する方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication certificate

 
関連コマンド

コマンド
説明

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求します。

show running-config

現在のトンネル グループ コンフィギュレーションを表示します。

clear configure aaa

設定した AAA の値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

authentication eap-proxy

L2TP over IPSec 接続の場合に、EAP をイネーブルにして、セキュリティ アプライアンスの PPP の認証プロセスを外部の RADIUS 認証サーバがプロキシすることを許可するには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication eap-proxy コマンドを使用します。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。

authentication eap-proxy

no authentication eap-proxy

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトでは、EAP は許可された認証プロトコルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ PPP アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプのみに適用できます。

次に、config-ppp コンフィギュレーション モードで入力されて、pppremotegrp というトンネル グループの PPP 接続に対する EAP を許可する例を示します。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication eap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication key eigrp

EIGRP パケットの認証をイネーブルにして、認証キーを指定するには、インターフェイス コンフィギュレーション モードで authentication key eigrp コマンドを使用します。EIGRP 認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication key eigrp as-number key key-id key-id

no authentication key eigrp as-number

 
構文の説明

as-number

認証される EIGRP プロセスの自律システム番号。EIGRP ルーティング プロセスに設定されたのと同じ値にする必要があります。

key

EIGRP アップデートを認証するキー。このキーには、最大 16 文字を含めることができます。

key-id key-id

キー ID 値。有効な値の範囲は 1 ~ 255 です。

 
デフォルト

EIGRP 認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp および authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定された authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 に設定された EIGRP 認証の例を示します。

hostname(config)# interface Gigabit0/3
hostname(config-if)# authentication mode eigrp md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5

 
関連コマンド

コマンド
説明

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定します。

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定するには、インターフェイス コンフィギュレーション モードで authentication mode eigrp コマンドを使用します。デフォルトの認証方法に戻すには、このコマンドの no 形式を使用します。

authentication mode eigrp as-num md5

no authentication mode eigrp as-num md5

 
構文の説明

as-num

EIGRP ルーティング プロセスの自律システム番号です。

md5

EIGRP メッセージ認証に MD5 を使用します。

 
デフォルト

デフォルトでは認証は指定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp および authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定された authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 に設定された EIGRP 認証の例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# authentication mode eigrp 100 md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

authentication key eigrp

EIGRP パケットの認証をイネーブルにして、認証キーを指定します。

authentication ms-chap-v1

L2TP over IPSec 接続の場合に、PPP の Microsoft CHAP バージョン 1 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキスト パスワードではなく、暗号化されたパスワードのみをサーバが格納して比較するために、よりセキュアです。このプロトコルでは、MPPE によりデータ暗号化のためのキーも生成されます。

コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。

Microsoft CHAP バージョン 1 をディセーブルにするには、このコマンドの no 形式を使用します。

authentication ms-chap-v1

no authentication ms-chap-v1

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ PPP アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプのみに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

authentication ms-chap-v2

L2TP over IPSec 接続の場合に、PPP の Microsoft CHAP バージョン 2 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキスト パスワードではなく、暗号化されたパスワードのみをサーバが格納して比較するために、よりセキュアです。このプロトコルでは、MPPE によりデータ暗号化のためのキーも生成されます。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。

authentication ms-chap-v2

no authentication ms-chap-v2

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ PPP アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプのみに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体または指定されたトンネル グループだけをクリアします。

show running-config tunnel-group

指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

authentication pap

L2TP over IPSec 接続の場合に、PPP の PAP 認証を許可するには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで authentication pap コマンドを使用します。このプロトコルは、認証中にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。

コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。

authentication pap

no authentication pap

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトでは、PAP は許可された認証プロトコルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ PPP アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプのみに適用できます。

次に、config-ppp コンフィギュレーション モードで入力されて、pppremotegrps というトンネル グループの PPP 接続に対する PAP を許可する例を示します。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication pap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication-certificate

接続を確立している WebVPN クライアントから証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
構文の説明

interface-name

接続を確立するために使用するインターフェイスの名前。使用可能なインターフェイス名は、次のとおりです。

inside GigabitEthernet0/1 インターフェイスの名前

outside GigabitEthernet0/0 インターフェイスの名前

 
デフォルト

authentication-certificate コマンドを省略すると、クライアント証明書認証はディセーブルになります。

interface-name を authentication-certificate コマンドで指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを有効にするには、WebVPN が対応するインターフェイスですでにイネーブルになっている必要があります。インターフェイスを設定して名前を付けるには、 interface IP address 、および nameif コマンドを使用します。

このコマンドは、WebVPN クライアント接続にのみ適用されます。ただし、 管理 接続のクライアント証明書認証を http authentication-certificate コマンドを使って指定することは、WebVPN をサポートしないプラットフォームも含めてすべてのプラットフォームで可能です。

適応型セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

適応型セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルでない場合。

適応型セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルであるが、AAA 認証がイネーブルでない場合。

適応型セキュリティ アプライアンスは証明書を取得するために、クライアントをローカル CA の証明書登録ページにリダイレクトします。

ローカル CA と AAA 認証の両方がイネーブルの場合。

クライアントは AAA 認証ページにリダイレクトされます。設定されている場合、ローカル CA の登録ページのリンクもクライアントに表示します。

次に、外部インターフェイスの WebVPN ユーザ接続の証明書認証を設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

authentication(トンネル グループ webvpn コンフィギュレーション モード)

トンネル グループのメンバーが認証にデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

適応型セキュリティ アプライアンスへの ASDM 管理接続に対する証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl trust-point

SSL 証明書トラストポイントを設定します。

 
 

authentication-port

このホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ コンフィギュレーション ホスト コンフィギュレーション モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドでは、認証機能の割り当て先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。

authentication-port port

no authentication-port

 
構文の説明

port

RADIUS 認証用のポート番号で、範囲は 1 ~ 65535。

 
デフォルト

デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートが指定されていない場合は、RADIUS 認証のデフォルト ポート番号(1645)が使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとのサーバ ポートの指定がサポートされるようになりました。

 
使用上のガイドライン

RADIUS 認証サーバがポート 1645 以外を使用する場合、RADIUS サービスを開始する前に、 aaa-server コマンドで適応型セキュリティ アプライアンスに適切なポートを設定する必要があります。

このコマンドは、RADIUS 用に設定されているサーバ グループに限り有効です。

次に、ホスト「1.2.3.4」上で「srvgrp1」という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、認証ポートを 1650 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドまたは ASDM ユーザ認証により指定されたサーバ上の LOCAL、TACACS+、または RADIUS ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

authentication-server-group(imap4s、pop3s、smtps)

電子メール プロキシに使用する一連の認証サーバを指定するには、各種モードで authentication-server-group コマンドを使用します。コンフィギュレーションから認証サーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、ユーザを認証してユーザ ID を確認します。

authentication-server-group group_tag

no authentication-server-group

 
構文の説明

group_tag

事前に設定済みの認証サーバまたはサーバ グループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認証サーバは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

AAA 認証を設定する場合は、このアトリビュートも設定する必要があります。設定しないと、認証に常に失敗します。

次に、「IMAP4SSVRS」という一連の認証サーバを使用するように IMAP4S 電子メール プロキシを設定する方法の例を示します。

hostname(config)# imap4s
hostname(config-imap4s)# authentication-server-group IMAP4SSVRS

 
関連コマンド

コマンド
説明

aaa-server host

認証、許可、およびアカウンティング サーバを設定します。

authentication-server-group(トンネル グループ一般アトリビュート)

トンネル グループのユーザ認証に使用する AAA サーバ グループを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで authentication-server-group コマンドを使用します。アトリビュートをデフォルトに戻すには、このコマンドの no 形式を使用します。

authentication-server-group [( interface_name )] server_group [ LOCAL | NONE ]

no authentication-server-group [( interface_name )] server_group

 
構文の説明

interface_name

(任意)IPSec トンネルが終端するインターフェイスを指定します。

LOCAL

(任意)通信障害によりサーバ グループにあるすべてのサーバが非アクティブになった場合に、ローカル ユーザ データベースに対する認証を要求します。

server_group

事前に設定済みの認証サーバまたはサーバ グループを指定します。

 
デフォルト

このコマンドのサーバ グループのデフォルト設定は、 LOCAL です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに移動されました。

8.0(2)

このコマンドは、IPSec 接続でインターフェイスごとの認証ができるように拡張されました。

 
使用上のガイドライン

このアトリビュートは、すべてのトンネル グループ タイプに適用できます。

認証サーバを設定するには、 aaa-server コマンドを使用します。また、過去に設定された AAA サーバ グループにサーバを追加するには、 aaa-server-host コマンドを使用します。

次に、config-general コンフィギュレーション モードで入力されて、remotegrp という IPSec リモート アクセス トンネル グループに対して aaa-server456 という認証サーバ グループを設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authentication-server-group aaa-server456
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成し、グループ固有およびすべてのグループ ホスト共通の AAA サーバ パラメータを設定します。

aaa-server host

過去に設定した AAA サーバ グループにサーバを追加し、ホスト固有の AAA サーバ パラメータを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

authorization-required

接続前にユーザの認証成功を要求するには、各種モードで authorization-required コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。

authorization-required

no authorization-required

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、authorization-required はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに移動されました。

7.2(1)

webvpn コンフィギュレーション モードが imap4s、pop3s、および smtps コンフィギュレーション モードに置き換えられました。

次に、グローバル コンフィギュレーション モードで入力されて、remotegrp というリモート アクセス トンネル グループを介して接続するユーザに対して、完全な DN に基づく認可を要求する例を示します。最初のコマンドは、remotegrp というリモート グループのトンネル グループ タイプに ipsec_ra(IPSec リモート アクセス)を設定します。2 つめのコマンドは、特定のトンネル グループのトンネル グループ一般アトリビュート コンフィギュレーション モードを開始します。最後のコマンドは、名前付きのトンネル グループに認可が必要なことを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

authorization-dn-attributes

認可用のユーザ名として使用するプライマリおよびセカンダリ サブジェクト DN フィールドを指定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定した証明書マップ エントリを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

authorization-server-group

WebVPN および電子メール プロキシに使用する一連の認可サーバを指定するには、各種モードで authorization-server-group コマンドを使用します。コンフィギュレーションから認可サーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、ネットワーク リソースに対してユーザが許可されているアクセス レベルを認可を使用して確認します。

authorization-server-group group_tag

no authorization-server-group

 
構文の説明

group_tag

過去に設定した認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認可サーバは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに移動されました。

 
使用上のガイドライン

このコマンドを webvpn コンフィギュレーション モードで入力した場合は、トンネル グループ一般アトリビュート モードの同じコマンドに変換されます。

VPN 認可が LOCAL として定義されている場合、デフォルト グループ ポリシーの DfltGrpPolicy に設定されているアトリビュートが強制されます。

次に、「POP3Spermit」という一連の認可サーバを使用するように POP3S 電子メール プロキシを設定する方法の例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# authorization-server-group POP3Spermit
 

次に、config-general コンフィギュレーション モードで入力されて、「remotegrp」という IPSec リモート アクセス トンネル グループに対して「aaa-server78」という認可サーバ グループを設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-server-group aaa-server78
hostname(config-tunnel-general)#
 

 
関連コマンド

コマンド
説明

aaa-server host

認証、許可、およびアカウンティング サーバを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

auth-prompt

適応型セキュリティ アプライアンスを介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。

auth-prompt prompt [ prompt | accept | reject ] string

no auth-prompt prompt [ prompt | accept | reject ]

 
構文の説明

accept

Telnet を介したユーザ認証を受け入れる場合に、プロンプトとして string を表示します。

prompt

このキーワードの後に、AAA チャレンジ プロンプト ストリングが続きます。

reject

Telnet を介したユーザ認証を拒否する場合に、プロンプトとして string を表示します。

string

最大 235 文字の英数字または 31 単語のストリング。最初に達した、いずれかの最大数により制限されます。特殊文字、スペース、および句読点を使用できます。疑問符を入力するか、Enter キーを押すとストリングが終了します(疑問符はストリング内に表示されます)。

 
デフォルト

認証プロンプトを指定しない場合は、次のようになります。

FTP ユーザには FTP authentication が表示されます。

HTTP ユーザには HTTP Authentication が表示されます。

Telnet ユーザにはチャレンジ テキストが表示されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

セマンティックに小さな変更が加えられました。

 
使用上のガイドライン

auth-prompt コマンドでは、TACACS+ または RADIUS サーバからのユーザ認証が必要な場合に、適応型セキュリティ アプライアンスを介した HTTP、FTP、および Telnet アクセスに対する AAA チャレンジ テキストを指定できます。このテキストは主に装飾目的であり、ログイン時に、ユーザ名とパスワード プロンプトの上にユーザに対して表示されます。

ユーザ認証が Telnet から実行される場合は、認証試行が AAA サーバで受け入れられたか拒否されたかを示す異なるステータス プロンプトを表示するために accept オプションと reject オプションを使用できます。

AAA サーバがユーザを認証すると、適応型セキュリティ アプライアンスにより、auth-prompt accept テキストが指定されている場合はユーザに対して表示されます。認証に失敗すると、reject テキストが指定されている場合は表示されます。HTTP および FTP セッションの認証では、プロンプトにチャレンジ テキストのみが表示されます。accept テキストも reject テキストも表示されません。


) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字が表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字が表示されます。


次に、認証プロンプトに「Please enter your username and password」というストリングを設定する例を示します。

hostname(config)# auth-prompt prompt Please enter your username and password
 

コンフィギュレーションにこのストリングを追加すると、ユーザに対して次のとおり表示されます。

Please enter your username and password
User Name:
Password:
 

Telnet ユーザに対しては、適応型セキュリティ アプライアンスが認証試行を受け入れるまたは拒否する場合に表示するメッセージを別々に指定することもできます。次の例を参考にしてください。

hostname(config)# auth-prompt reject Authentication failed. Try again.
hostname(config)# auth-prompt accept Authentication succeeded.
 

次に、認証に成功したときの認証プロンプトに「You're OK.」というストリングを設定する例を示します。

hostname(config)# auth-prompt accept You’re OK.

 

認証に成功すると、ユーザに対して次のメッセージが表示されます。

You’re OK.

 
関連コマンド

コマンド
説明

clear configure auth-prompt

過去に指定した認証プロンプト チャレンジ テキストがある場合、そのテキストを削除してデフォルト値に戻します。

show running-config auth-prompt

現在の認証プロンプト チャレンジ テキストを表示します。

auto-signon

クライアントレス SSL VPN 接続のユーザ ログイン資格情報が内部サーバに自動的に渡るように適応型セキュリティ アプライアンスを設定するには、webvpn コンフィギュレーション、WebVPN グループ コンフィギュレーション、または WebVPN ユーザ名コンフィギュレーション モードの 3 つのモードのいずれかで auto-signon コマンドを使用します。認証方式は、NTLM(NTLMv1 および NTLMv2 を含む)または HTTP Basic 認証、あるいはその両方が可能です。auto-signon を特定のサーバに対してディセーブルにするには、このコマンドの no 形式を元の ip uri 、および auth-type 引数で使用します。auto-signon をすべてのサーバに対してディセーブルにするには、このコマンドの no 形式を引数なしで使用します。

auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }

no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }]

 
構文の説明

 
構文の説明構文の説明

all

NTLM および HTTP Basic 認証方式の両方を指定します。

allow

特定のサーバに対する認証をイネーブルにします。

auth-type

認証方式の選択をイネーブルにします。

basic

HTTP Basic 認証方式を指定します。

ftp

Ftp および cifs 認証タイプ。

ip

IP アドレスおよびマスクで認証先のサーバを指定することを指定します。

ip-address

ip-mask と併用して、認証先のサーバの IP アドレス範囲を指定します。

ip-mask

ip-address と併用して、認証先のサーバの IP アドレス範囲を特定します。

ntlm

NTLMv1 認証方式を指定します。

resource-mask

認証先のサーバの URI マスクを指定します。

uri

URI マスクで認証先のサーバを指定することを指定します。

 
デフォルト

デフォルトでは、この機能はすべてのサーバに対してディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション(グローバル)

--

--

--

WebVPN グループ ポリシー コンフィギュレーション

--

--

--

WebVPN ユーザ名コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

8.0(1)

NTLMv2 サポートが追加されました。 ntlm キーワードには、NTLMv1 と NTLMv2 の両方が含まれます。

 
使用上のガイドライン

auto-signon コマンドは、クライアントレス SSL VPN ユーザに対するシングル サインオン方式です。このコマンドは、NTLM 認証、HTTP Basic 認証、あるいはその両方を使用する認証用にログイン資格情報(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力できます。コマンドは入力順に(早く入力したコマンドが優先)処理されます。

auto-signon 機能は、webvpn コンフィギュレーション グループ ポリシー、webvpn コンフィギュレーション、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。一般的な優先動作が適用されます。ユーザ名はグループに優先され、グループはグローバルに優先されます。いずれのモードを選択するかは、必要な認証範囲により異なります。

モード
範囲

webvpn コンフィギュレーション

すべての WebVPN ユーザをグローバルに

WebVPN グループ コンフィギュレーション

グループ ポリシーで定義されている WebVPN ユーザのサブセット

WebVPN ユーザ名コンフィギュレーション

個々の WebVPN ユーザ

次のコマンド例では、すべてのクライアントレス ユーザに対して、NTLM 認証を使用する auto-signon を設定します。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type ntlm
 

次のコマンド例では、すべてのクライアントレス ユーザに対して、HTTP Basic 認証を使用する auto-signon を設定します。認証先のサーバは、URI マスク https://*.example.com/* により定義されます。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
 
次のコマンド例では、クライアントレス ユーザ グループ ポリシー ExamplePolicy に対して、HTTP Basic 認証または NTLM 認証を使用 auto-signon を設定します。認証先のサーバは、URI マスク https://*.example.com/*: により定義されます。
 
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 

次のコマンド例では、Anyuser というユーザに対して、HTTP Basic 認証を使用する auto-signon を設定します。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type basic

 
関連コマンド

コマンド
説明

show running-config webvpn auto-signon

実行コンフィギュレーションの auto-signon 割り当てを表示します。

auto-summary

サブネット ルートのネットワークレベルのルートへの自動集約をイネーブルにするには、ルータ コンフィギュレーション モードで auto-summary コマンドを使用します。ルート集約をディセーブルにするには、このコマンドの no 形式を使用します。

auto-summary

no auto-summary

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ルート集約は、RIP バージョン 1、RIP バージョン 2、および EIGRP でイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

EIGRP のサポートが追加されました。

 
使用上のガイドライン

ルート集約により、ルーティング テーブルのルーティング情報の量が減ります。

RIP バージョン 1 は、常に自動集約を使用します。RIP バージョン 1 では自動集約をディセーブルにできません。

RIP バージョン 2 を使用している場合は、 no auto-summary コマンドを指定することにより自動集約をオフにできます。未接続のサブネット間でルーティングを実行する必要がある場合、自動集約をディセーブルにします。自動集約がディセーブルのとき、サブネットはアドバタイズされます。

EIGRP 集約ルートには、アドミニストレーティブ ディスタンス値が 5 に指定されています。この値は設定できません。

実行コンフィギュレーションではこのコマンドの no 形式のみが表示されます。

次に、RIP ルート集約をディセーブルにする例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# version 2
hostname(config-router)# no auto-summary
 

次に、自動 EIGRP ルート集約をディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# no auto-summary
 

 
関連コマンド

コマンド
説明

clear configure router

すべての router コマンドおよびルータ コンフィギュレーション モード コマンドを実行コンフィギュレーションからクリアします。

router eigrp

EIGRP ルーティング プロセスをイネーブルにし、EIGRP ルータ コンフィギュレーション モードを開始します。

router rip

RIP ルーティング プロセスをイネーブルにし、RIP ルータ コンフィギュレーション モードを開始します。

show running-config router

実行コンフィギュレーションの router コマンドおよびルータ コンフィギュレーション モード コマンドを表示します。

auto-update device-id

Auto Update Server で使用するために適応型セキュリティ アプライアンス デバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。

auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

 
構文の説明

hardware-serial

デバイスを一意に識別するために、適応型セキュリティ アプライアンスのハードウェア シリアル番号を使用します。

hostname

デバイスを一意に識別するために、適応型セキュリティ アプライアンスのホスト名を使用します。

ipaddress [ if_name ]

適応型セキュリティ アプライアンスを一意に識別するために、適応型セキュリティ アプライアンスの IP アドレスを使用します。デフォルトでは、適応型セキュリティ アプライアンスは Auto Update Server との通信に使用するインターフェイスを使用します。別の IP アドレスを使用する場合は、 if_name を指定します。

mac-address [ if_name ]

適応型セキュリティ アプライアンスを一意に識別するために、適応型セキュリティ アプライアンスの MAC アドレスを使用します。デフォルトでは、適応型セキュリティ アプライアンスは Auto Update Server との通信に使用するインターフェイスの MAC アドレスを使用します。別の MAC アドレスを使用する場合は、 if_name を指定します。

string text

デバイスを Auto Update Server に対して一意に識別するためのテキスト ストリングを指定します。

 
デフォルト

デフォルト ID は、hostname です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、デバイス ID をシリアル番号に設定する例を示します。

hostname(config)# auto-update device-id hardware-serial
 

 
関連コマンド

auto-update poll-period

Auto Update Server からのアップデートを適応型セキュリティ アプライアンスが確認する頻度を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

タイムアウト期間内に Auto Update Server に接続されない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server コンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server コンフィギュレーションを表示します。

auto-update poll-at

セキュリティ アプライアンスが Auto Update Server をポーリングする特定の時間をスケジューリングするには、グローバル コンフィギュレーション モードで auto-update poll-at コマンドを使用します。セキュリティ アプライアンスが Auto Update Server をポーリングするように指定されたスケジューリング時間をすべて削除するには、このコマンドの no 形式を使用します。

auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

no auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

 
構文の説明

days-of-the-week

Monday、Tuesday、Wednesday、Thursday、Friday、Saturday および Sunday から任意の 1 つの曜日、または複数の曜日の組み合わせ。他に、daily(月曜から日曜)、weekdays(月曜から金曜)および weekend(土曜と日曜)の値も使用できます。

randomize minutes

指定した開始時間以降、ポーリングをランダム化する期間を指定します。1 ~ 1439 分です。

retry_count

Auto Update Server への接続の初回試行が失敗した場合に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続試行間隔の待機時間を指定します。デフォルトは 5 分です。指定できる範囲は 1 ~ 35791 分です。

time

ポーリング開始時間を HH:MM 形式で時間指定します。たとえば、8:00 は午前 8:00 を、20:00 は午後 8:00 を示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

auto-update poll-at コマンドでは、アップデート確認のためにポーリングをする時間を指定します。 randomize オプションをイネーブルにした場合、ポーリングは開始する time から指定された分数の範囲内でランダムな時間に実行されます。 auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。

次に、セキュリティ アプライアンスが Auto Update Server を毎週金曜と土曜の夜、午後 10:00 から午後 11:00 の間のランダムな時間にポーリングをする例を示します。セキュリティ アプライアンスがサーバに接続できない場合、10 分ごとにさらに 2 回試行します。

hostname(config)# auto-update poll-at Friday Saturday 22:00 randomize 60 2 10
hostname(config)# auto-update server http://192.168.1.114/aus/autoupdate.asp

 
関連コマンド

auto-update device-id

Auto Update Server で使用するための適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

Auto Update Server からのアップデートを適応型セキュリティ アプライアンスが確認する頻度を設定します。

auto-update timeout

タイムアウト期間内に Auto Update Server に接続されない場合、トラフィックが適応型セキュリティ アプライアンスを通過するのを停止します。

clear configure auto-update

Auto Update Server コンフィギュレーションをクリアします。

management-access

セキュリティ アプライアンスの内部管理インターフェイスへのアクセスをイネーブルにします。

show running-config auto-update

Auto Update Server コンフィギュレーションを表示します。

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からのアップデートを確認する頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。パラメータをデフォルトに戻すには、このコマンドの no 形式を使用します。

auto-update poll-period poll_period [ retry_count [ retry_period ]]

no auto-update poll-period poll_period [ retry_count [ retry_period ]]

 
構文の説明

poll_period

Auto Update Server をポーリングする頻度を 1 ~ 35791 の間で分単位で指定します。デフォルトは 720 分(12 時間)です。

retry_count

Auto Update Server への接続の初回試行が失敗した場合に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続試行間隔の待機時間を 1 ~ 35791 の間で分単位で指定します。デフォルトは 5 分です。

 
デフォルト

デフォルト ポーリング期間は 720 分(12 時間)です。

Auto Update Server への接続の初回試行が失敗した場合の、デフォルトの再接続試行回数は 0 です。

接続試行間隔のデフォルトの待機時間は 5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。

次に、ポーリング期間を 360 分、再試行を 1 回、および再試行期間を 3 分に設定する例を示します。

hostname(config)# auto-update poll-period 360 1 3
 

 
関連コマンド

auto-update device-id

Auto Update Server で使用するための適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

タイムアウト期間内に Auto Update Server に接続されない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server コンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server コンフィギュレーションを表示します。

auto-update server

Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは定期的に Auto Update Server に接続して、コンフィギュレーション、オペレーティング システム、および ASDM アップデートがあるかを確認します。

auto-update server url [ source interface ] [ verify-certificate ]

no auto-update server url [ source interface ] [ verify-certificate ]

 
構文の説明

interface

Auto-Update Server に要求を送信する際に使用するインターフェイスを指定します。

url

Auto Update Server の場所を次の構文を使用して指定します。 http [ s ] : [[ user:password@ ] location [: port ]] / pathname

verify_certificate

Auto Update Server から返された証明書を確認します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

複数サーバのサポートを追加するために、このコマンドは変更されました。

 
使用上のガイドライン

自動アップデートで動作するように複数のサーバを設定できます。アップデートを確認するとき、最初のサーバへの接続を実行し、接続に失敗した場合は次のサーバに接続します。これは、すべてのサーバに対する試行が完了するまで続けられます。すべてのサーバへの接続に失敗した場合、auto-update poll-period に接続再試行が設定されているときは、最初のサーバから再試行します。

自動アップデート機能が正常に動作するように、 boot system configuration コマンドを使用して有効なブート イメージを必ず指定する必要があります。同様に、自動アップデートでは ASDM ソフトウェア イメージをアップデートするように、 asdm image コマンドも使用する必要があります。

source interface 引数に指定されたインターフェイスが management-access コマンドで指定されたインターフェイスと同じ場合、Auto Update Server への要求は VPN トンネルで送信されます。

次に、Auto Update Server URL を設定して、外部インターフェイスを指定する例を示します。

hostname(config)# auto-update server http://10.1.1.1:1741/ source outside

 
関連コマンド

auto-update device-id

Auto Update Server で使用するための適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

Auto Update Server からのアップデートを適応型セキュリティ アプライアンスが確認する頻度を設定します。

auto-update timeout

タイムアウト期間内に Auto Update Server に接続されない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server コンフィギュレーションをクリアします。

management-access

セキュリティ アプライアンスの内部管理インターフェイスへのアクセスをイネーブルにします。

show running-config auto-update

Auto Update Server コンフィギュレーションを表示します。

auto-update timeout

Auto Update Server への接続のタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを指定します。タイムアウト期間中に Auto Update Server に接続されなかった場合は、適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスを通過するすべてのトラフィックを停止します。必ず最新のイメージおよびコンフィギュレーションを適応型セキュリティ アプライアンスが保持しているように、タイムアウトを設定します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

auto-update timeout period

no auto-update timeout [ period ]

 
構文の説明

period

タイムアウト期間を 1 ~ 35791 の間の分単位で指定します。デフォルトは 0 です。これは、タイムアウトなしの意味です。タイムアウトは 0 に設定できません。0 に戻すには、このコマンドの no 形式を使用します。

 
デフォルト

デフォルト タイムアウトは 0 です。これは、適応型セキュリティ アプライアンスが一切タイムアウトしないように設定します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

タイムアウト条件は、システム ログ メッセージ 201008 で報告されます。

次に、タイムアウトを 24 時間に設定する例を示します。

hostname(config)# auto-update timeout 1440

 
関連コマンド

auto-update device-id

Auto Update Server で使用するための適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

Auto Update Server からのアップデートを適応型セキュリティ アプライアンスが確認する頻度を設定します。

auto-update server

Auto Update Server を指定します。

clear configure auto-update

Auto Update Server コンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server コンフィギュレーションを表示します。