Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
client-access-rule コマンド~ crl configure コマンド
client-access-rule コマンド~ crl configure コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

client-access-rule コマンド~ crl configure コマンド

client-access-rule

client(CTL プロバイダー)

client(TLS プロキシ)

client-firewall

client trust-point

client-types(暗号 CA トラストポイント)

client-update

clock set

clock summer-time

clock timezone

cluster-ctl-file

cluster encryption

cluster ip address

cluster key

cluster-mode

cluster port

command-alias

command-queue

compatible rfc1583

compression

config-register

configure factory-default

configure http

configure memory

configure net

configure terminal

config-url

console timeout

content-length

context

copy

copy capture

coredump enable

crashinfo console disable

crashinfo force

crashinfo save disable

crashinfo test

crl

crl configure

client-access-rule コマンド~ crl configure コマンド

client-access-rule

適応型セキュリティ アプライアンスを介して IPSec によって接続できるリモート アクセス クライアントのタイプおよびバージョンを制限するルールを設定するには、グループ ポリシー コンフィギュレーション モードで client-access-rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

すべてのルールを削除するには、priority 引数だけを指定して no client-access-rule コマンドを使用します。これにより、 client-access-rule none コマンドを発行して作成されたヌル ルールを含む、設定されているすべてのルールが削除されます。

クライアント アクセス ルールがない場合、ユーザは、デフォルト グループ ポリシーにあるすべてのルールを継承します。ユーザがクライアント アクセス ルールを継承しないようにするには、 client-access-rule none コマンドを使用します。その結果、すべてのクライアントのタイプおよびバージョンで接続できるようになります。

client-access-rul e priority {permit | deny} type type version version | none

no client-access-rul e priority [ {permit | deny} type type version version ]

 
構文の説明

deny

特定のタイプおよび/またはバージョンのデバイスに対して接続を拒否します。

none

クライアント アクセス ルールを許可しません。client-access-rule にヌル値を設定する結果、制限が許可されなくなります。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

permit

特定のタイプおよび/またはバージョンのデバイスに対して接続を許可します。

priority

ルールのプライオリティを指定します。一番小さい整数値を持つルールのプライオリティが一番高くなります。したがって、クライアントのタイプおよび/またはバージョンと一致するルールのうちで最小の整数値を持つルールが適用されます。プライオリティの低いルールが矛盾している場合、適応型セキュリティ アプライアンスはそのルールを無視します。

type type

デバイス タイプを指定するフリーフォームの文字列で、VPN 3002 などです。文字列は、* 文字をワイルドカードとして使用できる点を除き、 show vpn-sessiondb remote で表示される値と完全に一致する必要があります。

version version

デバイス バージョンを指定するフリーフォームの文字列で、7.0 などです。文字列は、* 文字をワイルドカードとして使用できる点を除き、 show vpn-sessiondb remote で表示される値と完全に一致する必要があります。

 
デフォルト

デフォルトでは、アクセス ルールはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

次の注意事項に従ってルールを作成してください。

ルールをまったく定義していない場合、適応型セキュリティ アプライアンスではすべての接続タイプが許可されます。

クライアントがいずれのルールにも一致しない場合、適応型セキュリティ アプライアンスではその接続が拒否されます。つまり、拒否ルールを定義する場合は、許可ルールも最低 1 つ定義する必要があります。許可ルールを定義しないと、適応型セキュリティ アプライアンスによってすべての接続が拒否されます。

ソフトウェア クライアントおよびハードウェア クライアントの両方で、タイプおよびバージョンが show vpn-sessiondb remote で表示される値と完全に一致する必要があります。

* 文字はワイルドカードです。各ルールで複数回使用できます。たとえば、 client-access-rule3 deny type * version 3.* と指定した場合は、リリース バージョン 3.x のソフトウェアを実行しているすべてのクライアント タイプを拒否する、プライオリティ 3 のクライアント アクセス ルールが作成されます。

グループ ポリシーあたり最大 25 個のルールを作成できます。

1 組のルール全体で 255 文字までの制限があります。

クライアントのタイプおよび/またはバージョンを送信しないクライアントのために n/a を使用できます。

次の例では、FirstGroup というグループ ポリシーのクライアント アクセス ルールを作成する方法を示します。このルールでは、ソフトウェア バージョン 4.1 を実行している VPN クライアントが許可される一方で、すべての VPN 3002 ハードウェア クライアントが拒否されます。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-access-rule 1 d t VPN3002 v *
hostname(config-group-policy)# client-access-rule 2 p * v 4.1

client(CTL プロバイダー)

証明書信頼リスト プロバイダーへの接続を許可するクライアントを指定するか、クライアント認証用のユーザ名およびパスワードを指定するには、CTL プロバイダー コンフィギュレーション モード client コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

client [[ interface if_name] ipv4_addr] | [username user_name password password [encrypted]]

no client [[ interface if_name] ipv4_addr] | [username user_name password password [encrypted]]

 
構文の説明

encrypted

パスワードの暗号化を指定します。

interface if_name

接続を許可するインターフェイスを指定します。

ipv4_addr

クライアントの IP アドレスを指定します。

username user_name

クライアント認証用のユーザ名を指定します。

password password

クライアント認証用のパスワードを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL プロバイダー コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CTL プロバイダーへの接続を許可するクライアントを指定する場合、およびクライアント認証用のユーザ名およびパスワードを設定する場合は、CTL プロバイダー コンフィギュレーション モードで client コマンドを使用します。複数のコマンドを発行して、複数のクライアントを定義できます。このユーザ名およびパスワードは、CallManager クラスタの CCM 管理者のユーザ名およびパスワードと一致する必要があります。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl
hostname(config-ctl-provider)# client interface inside 172.23.45.1
hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
hostname(config-ctl-provider)# export certificate ccm_proxy
hostname(config-ctl-provider)# ctl install
 

 
関連コマンド

コマンド
説明

ctl

CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールします。

ctl-provider

CTL プロバイダー モードで CTL プロバイダー インスタンスを設定します。

export

クライアントにエクスポートする証明書を指定します。

service

CTL プロバイダーがリッスンするポートを指定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

client(TLS プロキシ)

トラストポイント、キーペア、および暗号スイートを設定するには、TLS プロキシ コンフィギュレーション モード client コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

client [ cipher-suite cipher_suite] | [ldc [issuer ca_tp_name | key-pair key_label]]

no client [ cipher-suite cipher_suite] | [ldc [issuer ca_tp_name | key-pair key_label]

 
構文の説明

cipher-suite cipher_suite

暗号スイートを指定します。含まれるオプションは、des-sha1、3des-sha1、aes128-sha1、aes256-sha1、および null-sha1 です。

issuer ca_tp_name

クライアント ダイナミック証明書を発行するローカル CA トラストポイントを指定します。

keypair key_label

クライアント ダイナミック証明書で使用する RSA キーペアを指定します。

ldc

ローカル ダイナミック証明書の発行者またはキーペアを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TLS プロキシ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

TLS プロキシの TLS クライアント ロールとしてセキュリティ アプライアンスの TLS ハンドシェイク パラメータを制御するには、TLS プロキシ コンフィギュレーション モードで client コマンドを使用します。これには、暗号スイート コンフィギュレーションや、ローカル ダイナミック証明書の発行者またはキーペアの設定を含みます。クライアント ダイナミック証明書を発行するローカル CA は、crypto ca trustpoint コマンドで定義します。トラストポイントは proxy-ldc-issuer が設定されているかデフォルトのローカル CA サーバ(LOCAL-CA-SERVER)である必要があります。

キーペア値は、crypto key generate コマンドによって生成されている必要があります。

クライアント プロキシ(サーバに対する TLS クライアントとして機能するプロキシ)の場合は、ユーザ定義の暗号スイートによってデフォルトの暗号スイートや ssl encryption コマンドによって定義されている暗号スイートが置換されます。このコマンドを使用すると 2 つの TLS セッションで異なる暗号を使用できます。CallManager サーバには AES 暗号を使用する必要があります。

次の例では、TLS プロキシ インスタンスを作成する方法を示します。

hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point ccm_proxy
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common
 

 
関連コマンド

コマンド
説明

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

show tls-proxy

TLS プロキシを表示します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

client-firewall

適応型セキュリティ アプライアンスが IKE トンネル ネゴシエーション中に VPN クライアントに配信するパーソナル ファイアウォール ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで client-firewall コマンドを使用します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を使用します。

すべてのファイアウォール ポリシーを削除するには、引数なしで no client-firewall コマンドを使用します。これにより、 client-firewall none コマンドを発行して作成されたヌル ポリシーなど、設定されているすべてのファイアウォール ポリシーが削除されます。

ファイアウォール ポリシーがない場合、ユーザは、デフォルトまたは他のグループ ポリシーにあるすべてのファイアウォール ポリシーを継承します。そのファイアウォール ポリシーをユーザが継承しないようにするには、 client-firewall none コマンドを使用します。

client-firewall none

client-firewall { opt | req } custom vendor-id num product-id num policy {AYT | CPP acl-in acl acl-out acl } [description string ]

client-firewall { opt | req } zonelabs-integrity


) ファイアウォール タイプが zonelabs-integrity の場合は、引数を含めないでください。ポリシーは Zone Labs Integrity Server によって確定されます。


client-firewall { opt | req } zonelabs-zonealarm policy {AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } zonelabs-zonealarmorpro policy {AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } zonelabs-zonealarmpro policy {AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } cisco-integrated acl-in acl acl-out acl }

client-firewall { opt | req } sygate-personal

client-firewall { opt | req } sygate-personal-pro

client-firewall { opt | req } sygate-personal-agent

client-firewall { opt | req } networkice-blackice

client-firewall { opt | req } cisco-security-agent

 
構文の説明

acl-in <acl>

クライアントで着信トラフィックに使用されるポリシーを規定します。

acl-out <acl>

クライアントで発信トラフィックに使用されるポリシーを規定します。

AYT

クライアント PC のファイアウォール アプリケーションでファイアウォール ポリシーを管理することを指定します。適応型セキュリティ アプライアンスでは、ファイアウォールが実行されていることを確認する検査を行います。適応型セキュリティ アプライアンスは「実行中かどうか」を問い合わせ、応答がなければトンネルを切断します。

cisco-integrated

Cisco 統合ファイアウォール タイプを指定します。

cisco-security-agent

Cisco Intrusion Prevention Security Agent ファイアウォール タイプを指定します。

CPP

VPN クライアント ファイアウォール ポリシーのソースとして、Policy Pushed を指定します。

custom

カスタム ファイアウォール タイプを指定します。

description <string>

ファイアウォールの説明です。

networkice-blackice

Network ICE Black ICE ファイアウォール タイプを指定します。

none

クライアント ファイアウォール ポリシーがないことを示します。ヌル値のファイアウォール ポリシーが設定されるため、ファイアウォール ポリシーは拒否されます。指定したグループ ポリシーやデフォルトからファイアウォール ポリシーが継承されません。

opt

オプションのファイアウォール タイプを示します。

product-id

ファイアウォール製品を識別します。

req

必須のファイアウォール タイプを示します。

sygate-personal

Sygate Personal ファイアウォール タイプを指定します。

sygate-personal-pro

Sygate Personal Pro ファイアウォール タイプを指定します。

sygate-security-agent

Sygate Security Agent ファイアウォール タイプを指定します。

vendor-id

ファイアウォール ベンダーを指定します。

zonelabs-integrity

Zone Labs Integrity Server ファイアウォール タイプを指定します。

zonelabs-zonealarm

Zone Labs ZoneAlarm ファイアウォール タイプを指定します。

zonelabs-zonealarmorpro policy

Zone Labs Zone Alarm または Pro ファイアウォール タイプを指定します。

zonelabs-zonealarmpro policy

Zone Labs Zone Alarm Pro ファイアウォール タイプを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

zonelabs-integrity ファイアウォール タイプが追加されました。

 
使用上のガイドライン

このコマンドのインスタンスは 1 つだけ設定できます。

次の例では、FirstGroup というグループ ポリシーに対して Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# client-firewall req cisco-security-agent

client trust-point

Cisco Unified Presence Server(CUPS)の TLS プロキシを設定するときに、TLS ハンドシェイクで提示するプロキシ トラストポイント証明書を指定するには、TLS プロキシ コンフィギュレーション モードで client trust-point コマンドを使用します。プロキシ トラストポイント証明書を削除するには、このコマンドの no 形式を使用します。

client trust-point proxy_trustpoint

no client trust-point [ proxy_trustpoint ]

 
構文の説明

proxy_trustpoint

crypto ca trustpoint コマンドによって定義されるトラストポイントを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TLS プロキシ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

client trust-point コマンドは、TLS クライアントのロールを適応型セキュリティ アプライアンスがになう場合に、TLS ハンドシェイクで適応型セキュリティ アプライアンスが使用するトラストポイントおよび関連する証明書を指定します。証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

自己署名証明書、認証局に登録された証明書、またはインポートされたクレデンシャルからの証明書を使用できます。 client trust-point コマンドは、グローバルな ssl trust-point コマンドよりも優先されます。

次に、client trust-point コマンドを使用して、TLS サーバとの TLS ハンドシェイクでトラストポイント「ent_y_proxy」を使用するよう指定する例を示します。ハンドシェイクは、エンティティ Y から TLS サーバのあるエンティティ X に対して行われます。ASA はエンティティ Y の TLS プロキシとして機能します。

hostname(config-tlsp)# client trust-point ent_y_proxy
 

 
関連コマンド

コマンド
説明

client(TLS プロキシ)

TLS プロキシ インスタンスのトラストポイント、キーペア、および暗号スイートを設定します。

server trust-point

適応型セキュリティ アプライアンスが TLS サーバの役割をになう場合に、TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

tls-proxy

TLS プロキシ インスタンスを設定します。

client-types(暗号 CA トラストポイント)

ユーザ接続に関連付けられている証明書を検証するためにこのトラストポイントで使用できるクライアント接続タイプを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで client-types コマンドを使用します。指定した接続でそのトラストポイントを使用できないことを指定するには、このコマンドの no 形式を使用します。

[no] client-types {ssl | ipsec}

 
構文の説明

ipsec

トラストポイントと関連付けられている Certificate Authority(CA; 認証局)証明書およびポリシーを IPSec 接続の検証に使用できることを指定します。

ssl

トラストポイントと関連付けられている Certificate Authority(CA; 認証局)証明書およびポリシーを SSL 接続の検証に使用できることを指定します。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 
コマンド履歴

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

同じ CA 証明書に複数のトラストポイントが関連付けられている場合、特定のクライアント タイプに設定できるのは、そのうち 1 つのトラストポイントだけです。一方、別々のトラストポイントを別々のクライアント タイプに設定することはできます。

すでにクライアント タイプの設定されているトラストポイントが同じ CA 証明書にある場合に、同じクライアント タイプ設定を持つ新しいトラストポイントは設定できません。このコマンドの no 形式では、設定がクリアされるため、そのトラストポイントはいずれのクライアントの検証にも使用できなくなります。

リモート アクセス VPN では、配置の要件に応じて、Secure Sockets Layer(SSL)VPN、IP Security(IPSec; IP セキュリティ)、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、SSL トラストポイントとして指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# client-types ssl
hostname(config-ca-trustpoint)#
 

次に、トラストポイント checkin1 の暗号 CA トラストポイント コンフィギュレーション モードを開始し、IPsec トラストポイントとして指定する例を示します。

hostname(config)# crypto ca trustpoint checkin1
hostname(config-ca-trustpoint)# client-types ipsec
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

id-usage

トラストポイントの登録された ID の使用方法を指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

client-update

アクティブなすべてのリモート VPN ソフトウェア クライアントとハードウェア クライアント、および Auto Update クライアントとして設定されている適応型セキュリティ アプライアンスに対する client-update を発行するには、すべてのトンネル グループまたは特定のトンネル グループに対して、特権 EXEC モードで client-update コマンドを使用します。

VPN ソフトウェア クライアントとハードウェア クライアント、および Auto Update クライアントとして設定されている適応型セキュリティ アプライアンスなど、client-update のパラメータをグローバル レベルで設定および変更するには、グローバル コンフィギュレーション モードで client-update コマンドを使用します。

VPN ソフトウェア クライアントおよびハードウェア クライアントの client-update tunnel-group IPSec-attributes パラメータを設定および変更するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで client-update コマンドを使用します。

リビジョン番号のリストにあるソフトウェア バージョンをすでに実行しているクライアントでは、ソフトウェアをアップデートする必要はありません。リストにあるソフトウェア バージョンを実行していないクライアントでは、アップデートが必要です。

クライアント アップデートをディセーブルにするには、このコマンドの no 形式を使用します。

グローバル コンフィギュレーション モードのコマンド:

client-update { enable | component { asdm | image } | device-id dev_string |
family family_name | type type } url url-string rev-nums rev-nums }

no client-update { enable | component { asdm | image } | device-id dev_string |
family family_name | type type } url url-string rev-nums rev-nums }

トンネル グループ ipsec アトリビュート モードのコマンド:

client-update type type url url-string rev-nums rev-nums

no client-update type type url url-string rev-nums rev-nums

特権 EXEC モードのコマンド:

client-update { all | tunnel-group }

no client-update tunnel-group

 
構文の説明

all

(特権 EXEC モードだけで使用可能)すべてのトンネル グループのすべてのアクティブ リモート クライアントにアクションを適用します。キーワード all はこのコマンドの no 形式では使用できません。

component { asdm | image }

Auto Update クライアントとして設定されている適応型セキュリティ アプライアンスのソフトウェア コンポーネント。

device-id dev_string

Auto Update クライアントがそのクライアント自体を一意の文字列で識別するように設定してある場合に、そのクライアントで使用する文字列と同じ文字列を指定します。最大長は 63 文字です。

enable

(グローバル コンフィギュレーション モードだけで使用可能)リモート クライアント ソフトウェア アップデートをイネーブルにします。

family family_name

Auto Update クライアントがそのクライアント自体をデバイス ファミリで識別するように設定してある場合に、使用するデバイス ファミリと同じデバイス ファミリを指定します。指定できる値は、asa、pix、または最大長 7 文字のテキスト文字列です。

rev-nums rev-nums

(特権 EXEC モードでは使用不可)このクライアントのソフトウェア イメージまたはファームウェア イメージを指定します。Windows の場合は、WIN9X、WinNT、および vpn3002 クライアントを、カンマで区切り、任意の順序で 4 個まで入力します。適応型セキュリティ アプライアンスでは、1 個だけ許可されます。文字列の最大長は 127 文字です。

tunnel-group

(特権 EXEC モードだけで使用可能)リモート クライアント アップデートで有効なトンネル グループの名前を指定します。

type type

(特権 EXEC モードでは使用不可)クライアント アップデートを通知するリモート PC のオペレーティング システムまたは適応型セキュリティ アプライアンス(Auto Update クライアントとして設定)のタイプを指定します。このリストは、次の値で構成されます。

asa5505:Cisco 5505 適応型セキュリティ アプライアンス

asa5510:Cisco 5510 適応型セキュリティ アプライアンス

asa5520:Cisco 5520 適応型セキュリティ アプライアンス

asa5540:Cisco 適応型セキュリティ アプライアンス

linux:Linux クライアント

mac:MAC OS X クライアント

pix-515:Cisco PIX 515 ファイアウォール

pix-515e:Cisco PIX 515E ファイアウォール

pix-525:Cisco PIX 525 ファイアウォール

pix-535:Cisco PIX 535 ファイアウォール

Windows:すべての Windows ベース プラットフォーム

WIN9X:Windows 95、Windows 98、Windows ME の各プラットフォーム

WinNT:Windows NT 4.0、Windows 2000、Windows XP の各プラットフォーム

vpn3002:VPN 3002 ハードウェア クライアント

15 文字までのテキスト文字列

url url-string

(特権 EXEC モードでは使用不可)ソフトウェア イメージまたはファームウェア イメージの URL を指定します。この URL は、このクライアントに適したファイルを指している必要があります。最大文字列長は 255 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

グローバル コンフィギュレーション

--

--

--

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

トンネル グループ ipsec アトリビュート コンフィギュレーション モードが追加されました。

7.2(1)

Auto Update Server として設定されている適応型セキュリティ アプライアンスをサポートするために、キーワード component device-id 、および family とその引数が追加されました。

 
使用上のガイドライン

トンネル グループ ipsec アトリビュート コンフィギュレーション モードでは、IPSec リモート アクセス トンネル グループ タイプに対してだけこのアトリビュートを適用できます。

client-update コマンドでは、アップデートをイネーブルにすること、アップデートを適用するクライアントのタイプおよびリビジョン番号を指定すること、アップデートの入手元の URL または IP アドレスを指定すること、および Windows クライアントの場合に、オプションで、VPN クライアント バージョンをアップデートする必要性をユーザに通知することができます。Windows クライアントの場合は、ユーザにアップデートを実行させるための仕組みを準備できます。VPN 3002 ハードウェア クライアントのユーザの場合、アップデートは、通知なしで自動的に実行されます。クライアント タイプが別の適応型セキュリティ アプライアンスの場合、この適応型セキュリティ アプライアンスは Auto Update Server として機能します。

クライアント アップデートの仕組みを設定するには、次の手順を行います。


ステップ 1 グローバル コンフィギュレーション モードで、次のコマンドを入力してクライアント アップデートをイネーブルにします。

hostname(config)# client-update enable
hostname(config)#
 

ステップ 2 グローバル コンフィギュレーション モードで、特定のタイプのすべてのクライアントに適用するクライアント アップデートのパラメータを設定します。つまり、クライアントのタイプを指定し、アップデートされたイメージを取得する URL または IP アドレスを指定します。Auto Update クライアントの場合は、ソフトウェア コンポーネントとして ASDM またはブート イメージを指定します。リビジョン番号も指定する必要があります。ユーザのクライアント リビジョン番号が指定したリビジョン番号のいずれかと一致している場合は、クライアントをアップデートする必要はありません。このコマンドは、適応型セキュリティ アプライアンス全体で、指定したタイプのすべてのクライアントのクライアント アップデート パラメータを設定します。次の例を参考にしてください。

hostname(config)# client-update type windows url https://support/updates/ rev-nums 4.6.1
hostname(config)#
 

VPN 3002 ハードウェア クライアントのトンネル グループを設定する場合の図については、「例」の項を参照してください。


) すべての Windows クライアントおよび Auto Update クライアントで、URL のプレフィクスとして、プロトコル「http://」、または「https://」を使用する必要があります。VPN3002 ハードウェア クライアントの場合は、代わりに、プロトコル「tftp://」を指定する必要があります。


または、Windows クライアントおよび VPN3002 ハードウェア クライアントの場合に、特定のタイプのすべてのクライアントに対してではなく、個々のトンネル グループに対してだけクライアント アップデートを設定することもできます。(ステップ 3 を参照)。


https://support/updates/vpnclient.exe などのように URL の末尾にアプリケーション名を含めることによって、ブラウザにアプリケーションを自動的に開始させることができます。


ステップ 3 クライアント アップデートをイネーブルにすれば、特定の ipsec-ra トンネル グループに対して 1 組のクライアント アップデート パラメータを定義できます。これを行うには、トンネル グループ ipsec アトリビュート モードで、トンネル グループの名前とタイプおよびアップデートされたイメージの取得元である URL または IP アドレスを指定します。リビジョン番号も指定する必要があります。ユーザのクライアント リビジョン番号が指定したリビジョン番号のいずれかと一致している場合は、クライアントをアップデートする必要はありません。たとえば、すべての Windows クライアントに対するクライアント アップデートを発行するには、次のようにします。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-tunnel-ipsec)# client-update type windows url https://support/updates/ rev-nums 4.6.1
hostname(config-tunnel-ipsec)#
 

VPN 3002 ハードウェア クライアントのトンネル グループを設定する場合の図については、「例」の項を参照してください。VPN 3002 クライアントは、ユーザの介入なしにアップデートされます。ユーザは通知メッセージを受け取りません。

ステップ 4 任意で、期限切れの Windows クライアントを使用しているアクティブ ユーザに、VPN クライアントをアップデートする必要性を示す通知を送信できます。該当するユーザには、ブラウザを起動して、URL に指定されているサイトからアップデートされたソフトウェアをダウンロードする機会を提供する、ポップアップ ウィンドウが表示されます。このメッセージで設定可能な部分は URL だけです(手順 2 または 3 を参照)。アクティブではないユーザは、次回ログインしたときに通知メッセージを受け取ります。この通知は、すべてのトンネル グループのすべてのアクティブ クライアントに送信するか、特定のトンネル グループのクライアントに送信することができます。たとえば、すべてのトンネル グループのすべてのアクティブ クライアントに通知するには、特権 EXEC モードで次のコマンドを入力します。

hostname# client-update all
hostname#
 

ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致している場合は、クライアントをアップデートする必要はなく、ユーザは通知メッセージを受け取りません。VPN 3002 クライアントは、ユーザの介入なしにアップデートされます。ユーザは通知メッセージを受け取りません。


 


) クライアント アップデート タイプに windows(Windows ベースのすべてのプラットフォーム)を指定した後で同じエンティティに対してクライアント アップデート タイプ win9x または winnt を入力する場合は、まずこのコマンドの no 形式を使用して windows クライアント タイプを削除してから、新たな client-update コマンドを使用して新たなクライアント タイプを指定する必要があります。


次に、グローバル コンフィギュレーション モードで入力して、すべてのトンネル グループのすべてのアクティブ リモート クライアントに対してクライアント アップデートをイネーブルにする例を示します。

hostname(config)# client-update enable
hostname#
 

次の例は、Windows(win9x、winnt、または windows)だけにあてはまります。次に、グローバル コンフィギュレーション モードで入力されて、Windows ベースのすべてのクライアントのクライアント アップデート パラメータを設定する例を示します。リビジョン番号 4.7 とアップデートを取得する URL の https://support/updates を指定しています。

hostname(config)# client-update type windows url https://support/updates/ rev-nums 4.7
hostname(config)#
 

次の例は VPN 3002 ハードウェア クライアントだけにあてはまります。次に、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで入力されて、IPSec リモート アクセス トンネル グループ「salesgrp」のクライアント アップデート パラメータを設定する例を示します。この例では、リビジョン番号 4.7 を指定し、IP アドレス 192.168.1.1 のサイトからアップデートされたソフトウェアを取得するために TFTP プロトコルを使用しています。

hostname(config)# tunnel-group salesgrp type ipsec-ra
hostname(config)# tunnel-group salesgrp ipsec-attributes
hostname(config-tunnel-ipsec)# client-update type vpn3002 url tftp:192.168.1.1 rev-nums 4.7
hostname(config-tunnel-ipsec)#
 

次の例では、Auto Update クライアントとして設定されている Cisco 5520 適応型セキュリティ アプライアンス クライアントに対してクライアント アップデートを発行する方法を示します。

hostname(config)# client-update type asa5520 component asdm url http://192.168.1.114/aus/asdm501.bin rev-nums 7.2(1)
 

次に、特権 EXEC モードで入力されて、「remotegrp」というトンネル グループに含まれており、クライアント ソフトウェアのアップデートを必要としている接続中のすべてのリモート クライアントに、クライアント アップデート通知を送信する例を示します。他のグループのクライアントはアップデート通知を受け取りません。

hostname# client-update remotegrp
hostname#

 
関連コマンド

コマンド
説明

clear configure client-update

クライアントアップデート コンフィギュレーション全体をクリアします。

show running-config client-update

現在のクライアント アップデート コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

clock set

適応型セキュリティ アプライアンスのクロックを手動で設定するには、特権 EXEC モードで clock set コマンドを使用します。

clock set hh : mm : ss { month day | day month } year

 
構文の説明

day

1 ~ 31 の日付を設定します。月日は、標準日付形式に応じて、たとえば、 april 1 または 1 april などと入力できます。

hh : mm : ss

24 時間形式の時間、分、および秒を設定します。たとえば、8:54 pm の場合は 20:54:00 を設定します。

month

月を設定します。月日は、標準の日付形式に応じて、 april 1 または 1 april などと入力できます。

year

たとえば、 2004 など、4 桁で年を設定します。年の範囲は 1993 ~ 2035 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

clock コンフィギュレーション コマンドを入力していない場合に clock set コマンドで使用されるデフォルトの時間帯は UTC です。 clock set コマンドを入力した後で clock timezone コマンドを使用して時間帯を変更する場合は、新しい時間帯に合わせて時刻が自動的に調整されます。一方、 clock timezone コマンドで時間帯を設定した後で clock set コマンドを入力する場合は、UTC ではなく新しい時間帯に合わせて時刻を入力してください。同様に、 clock set コマンドの後で clock summer-time コマンドを入力する場合は、夏時間に合わせて時刻が調整されます。 clock summer-time コマンドの後で clock set コマンドを入力する場合は、夏時間に合わせた正しい時刻を入力してください。

このコマンドで設定される時刻は、ハードウェア チップの時刻であり、コンフィギュレーション ファイルには保存されません。この時刻はリブートしても保持されます。他の clock コマンドと異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、 clock set コマンドの新しい時刻を設定する必要があります。

次に、時間帯に MST を設定し、夏時間に米国のデフォルト期間を設定し、MDT の現在時刻に 2004 年 7 月 27 日の 1:15 p.m. を設定する例を示します。

hostname(config)# clock timezone MST -7
hostname(config)# clock summer-time MDT recurring
hostname(config)# exit
hostname# clock set 13:15:0 jul 27 2004
hostname# show clock
13:15:00.652 MDT Tue Jul 27 2004
 

次に、クロックに UTC 時間帯の 2004 年 7 月 27 日 8:15 を設定してから、時間帯に MST を、夏時間に米国のデフォルト期間を設定する例を示します。終了時刻(MDT の 1:15)は、前出の例と同じです。

hostname# clock set 20:15:0 jul 27 2004
hostname# configure terminal
hostname(config)# clock timezone MST -7
hostname(config)# clock summer-time MDT recurring
hostname# show clock
13:15:00.652 MDT Tue Jul 27 2004
 

 
関連コマンド

コマンド
説明

clock summer-time

夏時間を表示する日付の範囲を設定します。

clock timezone

時間帯を設定します。

show clock

現在時刻を表示します。

clock summer-time

適応型セキュリティ アプライアンスで夏時間を表示する日付範囲を設定するには、グローバル コンフィギュレーション モードで clock summer-time コマンドを使用します。夏時間の日付をディセーブルにするには、このコマンドの no 形式を使用します。

clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]

no clock summer-time [ zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]]

clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]

no clock summer-time [ zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]]

 
構文の説明

date

夏時間の開始日および終了日を特定の年の特定の日付で指定します。このキーワードを使用する場合は、日付を毎年再設定する必要があります。

day

1 ~ 31 の日付を設定します。月日は、標準日付形式に応じて、たとえば、 April 1 または 1 April などと入力できます。

hh:mm

24 時間形式の時間および分を設定します。

month

文字列で月を設定します。 date コマンドに対する月日は、標準日付形式に応じて、たとえば、 April 1 または 1 April などと入力できます。

offset

(任意)夏時間に合わせて変更する時間を分単位で設定します。デフォルトでは、この値は 60 分です。

recurring

夏時間の開始日および終了日を年の特定の日付ではなく、月日および時間の形式で指定します。このキーワードを使用すると、日付範囲の反復を設定でき、毎年変更する必要がありません。日付を指定していない場合、適応型セキュリティ アプライアンスでは、米国のデフォルトの日付範囲である、3 月の第 2 日曜日の 2:00 a.m. から 11 月の第 1 日曜日の 2:00 a.m. までです。

week

(任意)月の第何週であるのかを 1 ~ 4 の整数か文字 first または last で指定します。たとえば、途中で翌月に変わる第 5 週に含まれることがある日付の場合は、 last を指定します。

weekday

(任意) Monday Tuesday Wednesday などの曜日を指定します。

year

たとえば、 2004 など、4 桁で年を設定します。年の範囲は 1993 ~ 2035 です。

zone

PDT Pacific Daylight Time(太平洋夏時間)など、文字列で時間帯を指定します。このコマンドで設定した日付範囲に従って適応型セキュリティ アプライアンスで夏時間を表示する場合、時間帯はここで設定した値に変更されます。基本時間帯に UTC 以外の時間帯を設定する場合は、 clock timezone を参照してください。

 
デフォルト

デフォルト オフセットは 60 分です。

デフォルトの反復日付範囲は、3 月の第 2 日曜日の 2:00 a.m. から 11 月の第 1 日曜日の 2:00 a.m. までです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

デフォルトの反復日付範囲が 3 月の第 2 日曜日の 2:00 a.m. から 11 月の第 1 日曜日の 2:00 a.m. までに変更されました。

 
使用上のガイドライン

南半球の場合、適応型セキュリティ アプライアンスでは、10 月から 3 月までなど、開始月を終了月よりも列挙順で後にすることができます。

次に、オーストラリアの夏時間の日付範囲を設定する例を示します。

hostname(config)# clock summer-time PDT recurring last Sunday October 2:00 last Sunday March 2:00
 

一部の国では、夏時間が特定の日付から開始されます。次の例では、2004 年 4 月 1 日 3 a.m. から夏時間を開始し、2004 年 10 月 1 日 4 a.m で終了するように設定しています。

hostname(config)# clock summer-time UTC date 1 April 2004 3:00 1 October 2004 4:00
 

 
関連コマンド

コマンド
説明

clock set

適応型セキュリティ アプライアンスのクロックを手動で設定します。

clock timezone

時間帯を設定します。

ntp server

NTP サーバを指定します。

show clock

現在時刻を表示します。

clock timezone

適応型セキュリティ アプライアンス クロックの時間帯を設定するには、グローバル コンフィギュレーション モードで clock timezone コマンドを使用します。時間帯にデフォルトの UTC を設定し直すには、このコマンドの no 形式を使用します。 clock set コマンドや NTP サーバから取得する時刻は UTC 時間で設定されます。時間帯は、このコマンドを使用して、UTC のオフセットとして設定する必要があります。

clock timezone zone [ - ] hours [ minutes ]

no clock timezone [ zone [ - ] hours [ minutes ]]

 
構文の説明

zone

PST Pacific Standard Time(太平洋標準時間)など、文字列で時間帯を指定します。

[ - ] hours

UTC からのオフセットを示す時間数を設定します。たとえば、PST は -8 時間です。

minutes

(任意)UTC からのオフセットを示す分単位の時間数を設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

夏時間を設定するには、 clock summer-time コマンドを参照してください。

次に、時間帯に UTC から -8 時間の太平洋標準時間を設定する例を示します。

hostname(config)# clock timezone PST -8
 

 
関連コマンド

コマンド
説明

clock set

適応型セキュリティ アプライアンスのクロックを手動で設定します。

clock summer-time

夏時間を表示する日付の範囲を設定します。

ntp server

NTP サーバを指定します。

show clock

現在時刻を表示します。

cluster-ctl-file

フラッシュ メモリに格納されている既存の CTL ファイルからすでに作成されたトラストポイントを使用するには、CTL ファイル コンフィギュレーション モードで cluster-ctl-file コマンドを使用します。新規 CTL ファイルを作成できるように CTL ファイル コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

cluster-ctl-file filename_path

no cluster-ctl-file filename_path

 
構文の説明

filename_path

ディスクまたはフラッシュ メモリに格納されている CTL ファイルのパスとファイル名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL ファイル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが設定されている場合、Phone Proxy では、フラッシュ メモリに格納されている CTL ファイルを解析し、その CTL ファイルからトラストポイントをインストールして、新規 CTL ファイルを作成するときにフラッシュのそのファイルを使用します。

次に、 cluster-ctl-file コマンドを使用してフラッシュ メモリに格納されている CTL ファイルを解析し、そのファイルからトラストポイントをインストールする例を示します。

hostname(config-ctl-file)# cluster-ctl-file disk0:/old_ctlfile.tlv
 

 
関連コマンド

コマンド
説明

ctl-file(グローバル)

Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。

ctl-file(Phone-Proxy)

Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。

phone-proxy

Phone Proxy インスタンスを設定します。

cluster encryption

仮想ロード バランシング クラスタで交換されるメッセージの暗号化をイネーブルにするには、VPN ロード バランシング コンフィギュレーション モードで、 cluster encryption コマンドを使用します。暗号化をディセーブルにするには、このコマンドの no 形式を使用します。

cluster encryption

no cluster encryption


) VPN ロード バランシングには、アクティブな 3DES/AES ライセンスが必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。


 
構文の説明

このコマンドには、引数または変数はありません。

 
デフォルト

暗号化はデフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、仮想ロード バランシング クラスタで交換されるメッセージの暗号化のオン/オフを切り替えます。

cluster encryption コマンドを設定する前に、まず vpn load-balancing コマンドを使用して VPN ロード バランシング モードを開始する必要があります。クラスタ暗号化をイネーブルにする前に、 cluster key コマンドを使用してクラスタの共有秘密キーを設定する必要もあります。


) 暗号化を使用するときは、まず isakmp enable inside コマンドを設定する必要があります。この inside は、ロード バランシング内部インターフェイスを示します。ロード バランシング内部インターフェイスで ISAKMP がイネーブルになっていない場合は、クラスタ暗号化を設定しようとしたときにエラー メッセージが出されます。


次に、仮想ロード バランシング クラスタの暗号化をイネーブルにする cluster encryption コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster key 123456789
hostname(config-load-balancing)# cluster encryption
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

cluster key

クラスタの共有秘密キーを指定します。

vpn load-balancing

VPN ロード バランシング モードを開始します。

cluster ip address

仮想ロード バランシング クラスタの IP アドレスを設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster ip address コマンドを使用します。IP アドレスの指定を削除するには、このコマンドの no 形式を使用します。

cluster ip address ip-address

no cluster ip address [ ip-address ]

 
構文の説明

ip-address

仮想ロード バランシング クラスタに割り当てる IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず vpn load-balancing コマンドを使用して VPN ロード バランシング コンフィギュレーション モードを開始し、その仮想クラスタ IP アドレスで参照するインターフェイスを設定する必要があります。

クラスタ IP アドレスは、仮想クラスタを設定するインターフェイスと同じサブネットにある必要があります。

このコマンドの no 形式でオプションの ip-address 値を指定する場合、 no cluster ip address コマンドが完了されるためには、その値が既存のクラスタ IP アドレスと一致している必要があります。

次に、仮想ロード バランシング クラスタの IP アドレスに 209.165.202.224 を設定する cluster ip address コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

interface

デバイスのインターフェイスを設定します。

nameif

インターフェイスの名前を指定します。

vpn load-balancing

VPN ロード バランシング モードを開始します。

cluster key

仮想ロード バランシング クラスタでの IPSec Site-to-Site トンネル交換の共有秘密キーを設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster key コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

cluster key shared-secret

no cluster key [ shared-secret ]

 
構文の説明

shared-secret

VPN ロード バランシング クラスタの共有秘密キーを定義する 3 ~ 17 文字の文字列。この文字列に特殊文字列を含むことはできますが、スペースを含むことはできません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング コンフィギュレーション モードを開始する必要があります。 cluster key コマンドで定義する秘密キーは、クラスタ暗号化でも使用されます。

クラスタ暗号化をイネーブルにする前に、 cluster key コマンドを使用してクラスタの共有秘密キーを設定する必要があります。

このコマンドの no cluster key 形式で shared-secret の値を指定する場合、その共有秘密値は既存のコンフィギュレーションと一致する必要があります。

次に、仮想ロード バランシング クラスタの共有秘密に 123456789 を設定する cluster key コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster key 123456789
hostname(config-load-balancing)# cluster encryption
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

cluster-mode

クラスタのセキュリティ モードを指定するには、Phone-Proxy コンフィギュレーション モードで cluster-mode コマンドを使用します。クラスタのセキュリティ モードにデフォルト モードを設定するには、このコマンドの no 形式を使用します。

cluster-mode [mixed | nonsecure]

no cluster-mode [mixed | nonsecure]

 
構文の説明

mixed

Phone Proxy 機能を設定するときにクラスタ モードに混合モードを指定します。

nonsecure

Phone Proxy 機能を設定するときにクラスタ モードに非セキュア モードを指定します。

 
デフォルト

デフォルトのクラスタ モードは、非セキュアです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

混合モード クラスタ(セキュア モードと非セキュア モードの両方)で実行されるように Phone Proxy を設定する場合に、一部の電話が認証済みモードまたは暗号化モードになるように設定されている場合は、LDC 発行者も設定する必要があります。

hostname(config)# crypto key generate rsa label ldc_signer_key modulus 1024
hostname(config)# crypto key generate rsa label phone_common modulus 1024
hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point internal_PP_myctl
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common
 

次に、 cluster-mode コマンドを使用して Phone Proxy のセキュリティ モードに混合(IP 電話はセキュア モードと非セキュア モードで作動)を設定する例を示します。

hostname(config-phone-proxy)# cluster-mode mixed
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

tls-proxy

TLS プロキシ インスタンスを設定します。

cluster port

仮想ロード バランシング クラスタの UDP ポートを設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster port コマンドを使用します。ポートの指定を削除するには、このコマンドの no 形式を使用します。

cluster port port

no cluster port [ port ]

 
構文の説明

port

仮想ロード バランシング クラスタに割り当てる UDP ポート。

 
デフォルト

デフォルトのクラスタ ポートは 9023 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング コンフィギュレーション モードを開始する必要があります。

任意の有効な UDP ポート番号を指定できます。指定できる範囲は 1 ~ 65535 です。

このコマンドの no cluster port 形式で port の値を指定する場合は、設定されている既存のポート番号と一致するポート番号を指定する必要があります。

次に、仮想ロード バランシング クラスタの UDP ポートに 9023 を設定する cluster port address コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster port 9023
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

command-alias

コマンドのエイリアスを作成するには、グローバル コンフィギュレーション モードで command-alias コマンドを使用します。エイリアスを削除するには、このコマンドの no 形式を使用します。コマンドのエイリアスを入力した場合、起動されるのは元のコマンドです。コマンド エイリアスを作成するのは、次のように、長いコマンドのショートカットを作成する場合です。

command-alias mode command_alias original_command

no command-alias mode command_alias original_command

 
構文の説明

command_alias

既存のコマンドに対する新しい名前を指定します。

mode

exec (ユーザ EXEC モードおよび特権 EXEC モード)、 configure interface など、コマンド エイリアスを作成するコマンド モードを指定します。

original_command

コマンド エイリアスを作成する既存コマンド、またはコマンドおよびキーワードを指定します。

 
デフォルト

デフォルトでは、次のユーザ EXEC モード エイリアスが設定されています。

h help

lo logout

p ping

s show

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

任意のコマンドの最初の部分を表すエイリアスを作成でき、通常のように、追加のキーワードおよび引数を引き続き入力できます。

CLI ヘルプを使用する場合、コマンドエイリアスはアスタリスク(*)で示され、次のフォーマットで表示されます。

*command-alias=original-command
 

たとえば、 lo コマンドエイリアスは、「lo,」で開始される他の特権 EXEC モード コマンドとともに次のように表示されます。

hostname# lo?
*lo=logout login logout
 

異なるモードで同じエイリアスを使用できます。たとえば、次のように、異なるコマンドのエイリアスとして、特権 EXEC モードおよびコンフィギュレーション モードで「happy」を使用できます。

hostname(config)# happy?
 
configure mode commands/options:
*happy="username employee1 password test"
 
exec mode commands/options:
*happy=enable
 

エイリアスを除外してコマンドだけをリストするには、入力行をスペースで開始します。コマンド エイリアスも除外するには、コマンドを入力する前にスペースを入れます。次の例では、happy? コマンドの前にスペースがあるため、エイリアス「happy」は表示されていません。

hostname(config)# alias exec test enable
hostname(config)# exit
hostname# happy?
ERROR: % Unrecognized command
 

コマンド同様、CLI ヘルプを使用すると、コマンド エイリアスに続けることができる引数およびキーワードを表示できます。

完全なコマンド エイリアスを入力する必要があります。短縮したエイリアスは受け入れられません。次の例の場合、パーサーでは、hap コマンドがエイリアス「happy」を示していると認識しません。

hostname# hap
% Ambiguous command: "hap"
 

次の例では、 copy running-config startup-config コマンドを表すコマンド エイリアス「 save 」を作成する方法を示します。

hostname(config)# command-alias exec save copy running-config startup-config
hostname(config)# exit
hostname# save
 
Source filename [running-config]?
Cryptochecksum: 50d131d9 8626c515 0c698f7f 613ae54e
 
2209 bytes copied in 0.210 secs
hostname#
 

 
関連コマンド

コマンド
説明

clear configure command-alias

デフォルト以外のすべてのコマンド エイリアスをクリアします。

show running-config command-alias

設定されている、デフォルト以外のすべてのコマンド エイリアスを表示します。

command-queue

応答の待機中にキューイングされる MGCP コマンドの最大数を指定するには、MGCP マップ コンフィギュレーション モードで command-queue コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

command-queue limit

no command-queue limit

 
構文の説明

limit

キューイングするコマンドの最大数を 1 ~ 2147483647 で指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

MGCP コマンド キューのデフォルトは 200 個です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

MGCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

応答の待機中にキューイングされる MGCP コマンドの最大数を指定するには、 command-queue コマンドを使用します。指定できる値の範囲は、1 ~ 4294967295 です。デフォルトは 200 個です。制限に達しているときに新規コマンドが到着した場合は、最も長時間キューイングされているコマンドが削除されます。

次に、MGCP コマンド キューを 150 コマンドに制限する例を示します。

hostname(config)# mgcp-map mgcp_policy
hostname(config-mgcp-map)#command-queue 150
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報の表示をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP のコンフィギュレーションおよびセッションの情報を表示します。

timeout

この時間の経過後に MGCP メディアまたは MGCP PAT xlate 接続が閉じられる、アイドル タイムアウトを設定します。

compatible rfc1583

RFC 1583 に準拠した集約ルート コストの計算に使用される方式に戻すには、ルータ コンフィギュレーション モードで compatible rfc1583 コマンドを使用します。RFC 1583 互換性をディセーブルにするには、このコマンドの no 形式を使用します。

compatible rfc1583

no compatible rfc1583

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

コンフィギュレーションには、このコマンドの no 形式だけが記述されます。

次の例では、RFC 1583 互換のルート サマリー コスト計算をディセーブルにする方法を示します。

hostname(config-router)# no compatible rfc1583
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

compression

SVC 接続および WebVPN 接続の圧縮をイネーブルにするには、グローバル コンフィギュレーション モードで compression コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。

compression { all | svc | http-comp }

no compression { all | svc | http-comp }

 
構文の説明

all

使用可能なすべての圧縮技術をイネーブルにすることを指定します。

svc

SVC 接続の圧縮を指定します。

http-comp

WebVPN 接続の圧縮を指定します。

 
デフォルト

デフォルトは all です。使用可能なすべての圧縮技術がイネーブルになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

SVC 接続の場合、グローバル コンフィギュレーション モードで設定された compression コマンドは、グループ ポリシー webvpn モードおよびユーザ名 webvpn モードで設定された svc compression コマンドより優先されます。

たとえば、特定のグループに対する svc compression コマンドをグループ ポリシー webvpn モードで入力した後で、グローバル コンフィギュレーション モードで no compression コマンドを入力した場合は、そのグループに設定した svc compression コマンド設定より優先されます。

逆に、グローバル コンフィギュレーション モードで compression コマンドによって圧縮を取り消した場合は、すべてのグループ コンフィギュレーションが有効になり、グループ コンフィギュレーションによって最終的な圧縮動作が決まります。

no compression コマンドで圧縮をディセーブルにした場合は、新規接続だけに影響します。アクティブ接続は影響を受けません。

次の例では、SVC 接続の圧縮をオンにしています。

hostname(config)# compression svc
 

次の例では、SVC 接続および WebVPN 接続の圧縮をディセーブルにしています。

hostname(config)# no compression svc http-comp

 
関連コマンド

コマンド
説明

show webvpn svc

SVC インストールに関する情報を表示します。

svc

特定のグループまたはユーザに対して SVC をイネーブルするか必須にします。

svc compression

特定のグループまたはユーザに対して SVC 接続を介する HTTP データの圧縮をイネーブルにします。

config-register

適応型セキュリティ アプライアンスを次回リロードするときに使用されるコンフィギュレーション レジスタ値を設定するには、グローバル コンフィギュレーション モードで config-register コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、ASA 5500 適応型セキュリティ アプライアンスだけでサポートされています。コンフィギュレーション レジスタ値によって、起動に使用するイメージおよびその他の起動パラメータが決まります。

config-register hex_value

no config-register

 
構文の説明

hex_value

0x0 ~ 0xFFFFFFFF の 16 進数でコンフィギュレーション レジスタ値を設定します。この数は 32 ビットを表し、各 16 進文字は 4 ビットを表します。各ビットは異なる特性を制御します。ただし、ビット 32 ~ 20 は将来使用するために予約されていてユーザは設定できないか、適応型セキュリティ アプライアンスでは現在使用されていないため、これらのビットを表す 3 文字には常に 0 が設定されることから、これらの文字は無視できます。関係のあるビットは 5 個の 16 進文字 0x nnnnn で表されます。

先行 0 を含める必要はありません。末尾の 0 は含める必要があります。たとえば、0x2001 は 0x02001 に相当しますが、0x10000 の場合は、すべてのゼロが必須です。関係のあるビットで使用可能な値の詳細については、 表 7-1 を参照してください。

 
デフォルト

デフォルト値は 0x1 です。その場合は、ローカル イメージおよびスタートアップ コンフィギュレーションを使用して起動されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

この 5 文字は、0 ~ 4 で、右から左に番号付けされています。この番号付けは、16 進数および 2 進数の標準的な方式です。各文字について 1 つの値を選択でき、適宜、値を組み合わせたり照合したりできます。たとえば、文字番号 3 に対して 0 または 2 のいずれかを選択できます。一部の値は、他の値と競合した場合に優先されます。たとえば、TFTP サーバおよびローカル イメージの両方から起動するように適応型セキュリティ アプライアンスを設定する 0x2011 を設定してある場合、適応型セキュリティ アプライアンスは TFTP サーバから起動されます。この値は、適応型セキュリティ アプライアンスを TFTP から起動できない場合は、直接 ROMMON で起動することも指定しているため、デフォルト イメージから起動することを指定しているアクションは無視されます。

値 0 は、別途指定されていなければ、アクションなしであることを意味します。

表 7-1 に、各 16 進文字と関連付けられているアクションを示します。文字ごとに 1 個の値を選択してください。

 

表 7-1 コンフィギュレーション レジスタ値

プレフィクス
16 進文字数 4、3、2、1、および 0

0x

0

0

01

02

02

1

起動時の 10 秒間の ROMMON カウントダウンをディセーブルにします。通常は、カウントダウン中に Esc を押して ROMMON を開始できます。

2

この値を設定すると、TFTP サーバから起動されるように適応型セキュリティ アプライアンスを設定しており、その起動が失敗した場合、直接 ROMMON で起動されます。

1

ROMMON ブート パラメータの指定に従い、TFTP サーバ イメージから起動します( boot system tftp コマンドがある場合、そのコマンドと同じです)。この値は、文字 1 に設定した値より優先されます。

1

最初の boot system local_flash コマンドによって指定されたイメージを起動します。そのイメージをロードできない場合、適応型セキュリティ アプライアンスでは、正常に起動されるまで、後続の boot system コマンドで指定されたイメージの起動を試行します。

3 5 7 9

特定の boot system local_flash コマンドによって指定されたイメージを起動します。値 3 なら、最初の boot system コマンドで指定されているイメージが起動され、値 5 なら 2 番めのイメージが起動されるという具合です。

イメージが正常に起動されない場合に、適応型セキュリティ アプライアンスでは別の boot system コマンド イメージへのフォールバックを行いません(これが、値 1 を使用する場合と値 3 を使用する場合の違いです)。一方、適応型セキュリティ アプライアンスには、起動が失敗した場合に内部フラッシュ メモリのルート ディレクトリで見つかった任意のイメージから起動を試行するという、フェールセーフ機能があります。フェールセーフ機能が発動されないようにするには、ルート以外のディレクトリにイメージを格納してください。

43

スタートアップ コンフィギュレーションを無視して、デフォルト コンフィギュレーションをロードします。

2 4 6 8

ROMMON から引数なしで boot コマンドを入力した場合、適応型セキュリティ アプライアンスでは、特定の boot system local_flash コマンドによって指定されたイメージを起動します。値 3 なら、最初の boot system コマンドで指定されているイメージが起動され、値 5 なら 2 番めのイメージが起動されるという具合です。この値では、イメージは自動的に起動されません。

5

上記の両方のアクションが実行されます。

1.今後使用するために予約されています。

2.文字番号 0 および 1 を設定してイメージを自動的に起動するようにしていない場合、適応型セキュリティ アプライアンスは直接 ROMMON で起動されます。

3.service password-recovery コマンドを使用してパスワード回復をディセーブルにしてある場合は、スタートアップ コンフィギュレーションを無視するようにコンフィギュレーション レジスタを設定できません。

コンフィギュレーション レジスタ値はスタンバイ ユニットにコピーされませんが、そのコンフィギュレーション レジスタをアクティブ ユニットに設定すると次の警告が表示されます。

WARNING The configuration register is not synchronized with the standby, their values may not match.
 

コンフィギュレーション レジスタ値は confreg コマンドを使用して ROMMON でも設定できます。

次に、デフォルト イメージから起動するようにコンフィギュレーション レジスタを設定する例を示します。

hostname(config)# config-register 0x1
 

 
関連コマンド

コマンド
説明

boot

ブート イメージおよびスタートアップ コンフィギュレーションを設定します。

service password-recovery

パスワード回復をイネーブルまたはディセーブルにします。

configure factory-default

工場出荷時のデフォルト コンフィギュレーションに戻すには、グローバル コンフィギュレーション モードで configure factory-default コマンドを使用します。工場出荷時のデフォルト コンフィギュレーションは、シスコが新規の適応型セキュリティ アプライアンスに適用したコンフィギュレーションです。このコマンドは、PIX 525 と PIX 535 適応型セキュリティ アプライアンスを除くすべてのプラットフォームでサポートされています。

configure factory-default [ ip_address [ mask ]]

 
構文の説明

ip_address

デフォルト アドレスの 192.168.1.1 を使用する代わりに、管理インターフェイスまたは内部インターフェイスで使用する IP アドレスを設定します。ご使用のモデルに設定されるインターフェイスの詳細については、「使用上のガイドライン」を参照してください。

mask

インターフェイスのサブネット マスクを設定します。マスクを設定していない場合、適応型セキュリティ アプライアンスではその IP アドレス クラスに適したマスクが使用されます。

 
デフォルト

デフォルトの IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

ASA 5505 適応型セキュリティ アプライアンス用に工場出荷時のデフォルト コンフィギュレーションが追加されました。

 
使用上のガイドライン

PIX 515/515E および ASA 5510 以上の適応型セキュリティ アプライアンスの場合は、工場出荷時のデフォルト コンフィギュレーションで管理用のインターフェイスが自動的に設定され、そのインターフェイスを使用して接続できる ASDM を使用してコンフィギュレーションを完了できます。ASA 5505 適応型セキュリティ アプライアンスの場合は、工場出荷時のデフォルト コンフィギュレーションにより、適応型セキュリティ アプライアンスをネットワークですぐ使用できるようにインターフェイスおよび NAT が自動的に設定されます。

トランスペアレント モードでは、インターフェイスの IP アドレスがサポートされていない一方で、このコマンドで実行されるアクションの 1 つではインターフェイスの IP アドレスを設定するため、このコマンドは、ルーテッド ファイアウォール モードだけで使用可能です。このコマンドは、シングル コンテキスト モードだけで使用可能です。コンフィギュレーションがクリアされた適応型セキュリティ アプライアンスには、このコマンドで自動的に設定しようとしても、コンテキストが定義されていません。

このコマンドは、現在の実行コンフィギュレーションをクリアしてから、複数のコマンドを設定します。

configure factory-default コマンドで IP アドレスを設定すると、 http コマンドでは、指定したサブネットが使用されます。同様に、 dhcpd address コマンドの範囲は、指定したサブネット内のアドレスが対象になります。

工場出荷時のデフォルト コンフィギュレーションに戻した後で、 write memory コマンドを使用して内部フラッシュ メモリに保存してください。事前に boot config コマンドを設定して別の場所を設定していた場合でも、この write memory コマンドではスタートアップ コンフィギュレーションのデフォルトの場所に実行コンフィギュレーションが保存されます。これはコンフィギュレーションがクリアされたときに、このパスもクリアされたためです。


boot system コマンドが設定されていた場合、このコマンドでは、他のコンフィギュレーションと一緒にそのコマンドもクリアされます。boot system コマンドを使用すると、外部フラッシュ メモリ カードに格納されているイメージなど、特定のイメージから起動できます。工場出荷時のコンフィギュレーションに戻した後で、次回適応型セキュリティ アプライアンスをリロードすると、内部フラッシュ メモリに格納されている最初のイメージから起動されます。内部フラッシュ メモリにイメージが格納されていない場合、適応型セキュリティ アプライアンスは起動されません。


フル コンフィギュレーションで有用な追加の設定を設定する場合は、 setup コマンドを参照してください。

ASA 5505 適応型セキュリティ アプライアンス コンフィギュレーション

ASA 5505 適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションでは、次の内容が設定されます。

Ethernet 0/1 ~ 0/7 スイッチ ポートを含む内部 VLAN 1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、VLAN 1 IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。

Ethernet 0/0 スイッチ ポートを含む外部 VLAN 2 インターフェイス。VLAN 2 では DHCP を使用して IP アドレスを取得します。

デフォルト ルートも DHCP から取得されます。

外部にアクセスするすべての IP アドレスは、インターフェイス PAT を使用して変換されます。

デフォルトでは、内部のユーザはアクセス リストによって外部にアクセスでき、外部のユーザは内部へのアクセスを許可されません。

適応型セキュリティ アプライアンスでは DHCP サーバがイネーブルにされているため、VLAN 1 インターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。

interface Ethernet 0/0
switchport access vlan 2
no shutdown
interface Ethernet 0/1
switchport access vlan 1
no shutdown
interface Ethernet 0/2
switchport access vlan 1
no shutdown
interface Ethernet 0/3
switchport access vlan 1
no shutdown
interface Ethernet 0/4
switchport access vlan 1
no shutdown
interface Ethernet 0/5
switchport access vlan 1
no shutdown
interface Ethernet 0/6
switchport access vlan 1
no shutdown
interface Ethernet 0/7
switchport access vlan 1
no shutdown
interface vlan2
nameif outside
no shutdown
ip address dhcp setroute
interface vlan1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100
no shutdown
global (outside) 1 interface
nat (inside) 1 0 0
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational

ASA 5510 以上の適応型セキュリティ アプライアンス コンフィギュレーション

ASA 5510 以上の適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションでは、次の内容が設定されます。

管理 Management 0/0 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。

適応型セキュリティ アプライアンスでは DHCP サーバがイネーブルにされているため、このインターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。

interface management 0/0
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

PIX 515/515E セキュリティ アプライアンス コンフィギュレーション

PIX 515/515E セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションでは、次の内容が設定されます。

内部 Ethernet1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。

適応型セキュリティ アプライアンスでは DHCP サーバがイネーブルにされているため、このインターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。

interface ethernet 1
ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management
 

次に、工場出荷時のデフォルト コンフィギュレーションにリセットし、IP アドレス 10.1.1.1 をインターフェイスに割り当ててから、この新しいコンフィギュレーションをスタートアップ コンフィギュレーションとして保存する例を示します。

hostname(config)# configure factory-default 10.1.1.1 255.255.255.0
Based on the inside IP address and mask, the DHCP address
pool size is reduced to 253 from the platform limit 256
 
WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.
 
Begin to apply factory-default configuration:
Clear all configuration
...
hostname(config)#
hostname(config)# copy running-config startup-config
 

 
関連コマンド

コマンド
説明

boot system

起動元のソフトウェア イメージを設定します。

clear configure

実行コンフィギュレーションをクリアします。

copy running-config startup-config

実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

setup

適応型セキュリティ アプライアンスの基本設定を設定するプロンプトを出します。

show running-config

実行コンフィギュレーションを表示します。

configure http

HTTP(S) サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure http コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

configure http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

 
構文の説明

: password

(任意)HTTP(S) 認証用のパスワードを指定します。

: port

(任意)ポートを指定します。HTTP のデフォルトは 80 です。HTTPS のデフォルトは 443 です。

@

(任意)名前および/またはパスワードを入力する場合は、サーバ IP アドレスの前にアットマーク(@)を付けます。

filename

コンフィギュレーション ファイル名を指定します。

http [ s ]

HTTP または HTTPS を指定します。

path

(任意)ファイル名のパスを指定します。

server

サーバの IP アドレスまたは名前を指定します。IPv6 サーバ アドレスでポートを指定する場合は、IP アドレスに含まれているコロンがポート番号の前のコロンと混同されないために、IP アドレスを角カッコで囲む必要があります。たとえば、次のアドレスおよびポートを入力します。

[fe80::2e0:b6ff:fe01:3b7a]:8080

user

(任意)HTTP(S) 認証用のユーザを指定します。

 
デフォルト

HTTP のデフォルト ポートは 80 です。HTTPS のデフォルト ポートは 443 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。マージによって実行コンフィギュレーションに存在しているコマンドが削除されることはありません。そのコマンドは新しいコンフィギュレーションでは設定されないだけです。

このコマンドは copy http running-config コマンドと同じです。マルチ コンテキスト モードでは、copy http running-config コマンドはシステム実行スペースだけで使用可能であるため、単一コンテキストで使用する場合は、 configure http コマンドが代替になります。

次に、コンフィギュレーション ファイルを HTTPS サーバから実行コンフィギュレーションにコピーする例を示します。

hostname(config)# configure https://user1:pa$$w0rd@10.1.1.1/configs/newconfig.cfg
 

 
関連コマンド

コマンド
説明

clear configure

実行コンフィギュレーションをクリアします。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

configure factory-default

CLI で入力されたコマンドを実行コンフィギュレーションに追加します。

show running-config

実行コンフィギュレーションを表示します。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure memory コマンドを使用します。

configure memory

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。マージによって実行コンフィギュレーションに存在しているコマンドが削除されることはありません。そのコマンドは新しいコンフィギュレーションでは設定されないだけです。

コンフィギュレーションをマージしないようにするには、実行コンフィギュレーションをクリアしてから、 configure memory コマンドを入力して新しいコンフィギュレーションをロードできます。ただし、実行コンフィギュレーションをクリアすると適応型セキュリティ アプライアンスを介するすべての通信が中断されます。

このコマンドは、 copy startup-config running-config コマンドと同等です。

マルチ コンテキスト モードの場合は、 config-url コマンドで指定した場所に、コンテキスト スタートアップ コンフィギュレーションがあります。

次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーする例を示します。

hostname(config)# configure memory

 
関連コマンド

コマンド
説明

clear configure

実行コンフィギュレーションをクリアします。

configure http

指定された HTTP(S) URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

configure factory-default

CLI で入力されたコマンドを実行コンフィギュレーションに追加します。

show running-config

実行コンフィギュレーションを表示します。

configure net

TFTP サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure net コマンドを使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

configure net [ server : [ filename ] | : filename ]

 
構文の説明

: filename

パスとファイル名を指定します。 tftp-server コマンドを使用してすでにファイル名を設定してある場合、この引数はオプションです。

tftp-server コマンドで名前を指定するとともにこのコマンドでファイル名を指定した場合、適応型セキュリティ アプライアンスでは、 tftp-server コマンドのファイル名をディレクトリとして扱い、 configure net コマンドのファイル名をそのディレクトリの下のファイル名であるとして追加します。

tftp-server コマンドの値を上書きするには、パスとファイル名の前にスラッシュを入力します。スラッシュは、パスが tftpboot ディレクトリに対する相対パスではなく、絶対パスであることを示します。このファイル用に生成される URL には、ファイル名パスの前にダブル スラッシュ(//)が含まれます。必要なファイルが tftpboot ディレクトリにある場合は、ファイル名パスに tftpboot ディレクトリへのパスを含めることができます。

tftp-server コマンドを使用して TFTP サーバのアドレスを指定した場合は、コロン(:)の後にファイル名だけを入力できます。

server :

TFTP サーバの IP アドレスまたは名前を設定します。 tftp-server コマンドで設定したアドレスがあっても、このアドレスが優先されます。IPv6 サーバ アドレスの場合は、IP アドレスに含まれているコロンがファイル名の前のコロンと混同されないために、IP アドレスを角カッコで囲む必要があります。たとえば、次のアドレスを入力します。

[fe80::2e0:b6ff:fe01:3b7a]

デフォルトのゲートウェイ インターフェイスは最もセキュリティが高いインターフェイスですが、 tftp-server コマンドを使用して別のインターフェイス名を設定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。マージによって実行コンフィギュレーションに存在しているコマンドが削除されることはありません。そのコマンドは新しいコンフィギュレーションでは設定されないだけです。

このコマンドは copy tftp running-config コマンドと同じです。マルチ コンテキスト モードでは、copy tftp running-config コマンドはシステム実行スペースだけで使用可能であるため、単一コンテキストで使用する場合は、 configure net コマンドが代替になります。

次に、 tftp-server コマンドでサーバおよびファイル名を設定してから、 configure net コマンドを使用してサーバを上書きする例を示します。同じファイル名が使用されます。

hostname(config)# tftp-server inside 10.1.1.1 configs/config1
hostname(config)# configure net 10.2.2.2:
 

次に、サーバおよびファイル名を上書きする例を示します。ファイル名のデフォルト パスは/tftpboot/configs/config1 です。ファイル名の前にスラッシュ(/)を付けていない場合は、デフォルトで、パスの/tftpboot/の部分が組み込まれます。ここでは、このパスを上書きしますが、ファイルはやはり tftpboot にあるため、パス tftpboot を configure net コマンドに含めます。

hostname(config)# tftp-server inside 10.1.1.1 configs/config1
hostname(config)# configure net 10.2.2.2:/tftpboot/oldconfigs/config1
 

次に、 tftp-server コマンドだけでサーバを設定する例を示します。 configure net コマンドでは、ファイル名だけを指定します。

hostname(config)# tftp-server inside 10.1.1.1
hostname(config)# configure net :configs/config1
 

 
関連コマンド

コマンド
説明

configure http

指定された HTTP(S) URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。

show running-config

実行コンフィギュレーションを表示します。

tftp-server

他のコマンドで使用するためのデフォルトの TFTP サーバおよびパスを設定します。

write net

実行コンフィギュレーションを TFTP サーバにコピーします。

configure terminal

コマンド ラインで実行コンフィギュレーションを設定するには、特権 EXEC モードで configure terminal コマンドを使用します。このコマンドはグローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、コンフィギュレーションを変更するコマンドを入力できます。

configure terminal

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、グローバル コンフィギュレーション モードを開始する例を示します。

hostname# configure terminal
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure

実行コンフィギュレーションをクリアします。

configure http

指定された HTTP(S) URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

show running-config

実行コンフィギュレーションを表示します。

config-url

コンテキスト コンフィギュレーションをダウンロードする URL を指定するには、コンテキスト コンフィギュレーション モードで config-url コマンドを使用します。

config-url url

 
構文の説明

url

コンテキスト コンフィギュレーション URL を設定します。管理コンテキストからすべてのリモート URL にアクセスできる必要があります。次の URL 構文を参照してください。

disk0:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は内部フラッシュ メモリを指します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は外部フラッシュ メモリ カードを指します。

flash:/ [ path / ] filename

この URL は内部フラッシュ メモリを示します。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

コンテキスト URL を追加すると、即座にコンテキストがロードされ、適用されます。


config-url コマンドを入力する前に allocate-interface コマンドを入力してください。適応型セキュリティ アプライアンスでは、コンテキストでコンテキスト コンフィギュレーションをロードする前にコンテキストにインターフェイスを割り当てる必要があります。インターフェイスを参照するコマンド(interfacenatglobal など)がコンテキスト コンフィギュレーションに含まれている可能性があるためです。最初に config-url コマンドを入力した場合、適応型セキュリティ アプライアンスでは、コンテキスト コンフィギュレーションを即座にロードします。インターフェイスを参照するなんらかのコマンドがコンテキストに含まれていると、そのコマンドは失敗します。


ファイル名にファイル拡張子は不要ですが、「.cfg」を使用することを推奨します。

管理コンテキスト ファイルは、内部フラッシュ メモリに格納されている必要があります。

HTTP サーバまたは HTTPS サーバからコンテキスト コンフィギュレーションをダウンロードした場合に、 copy running-config startup-config コマンドを使用して、そのサーバに変更を保存し直すことはできません。ただし、 copy tftp コマンドを使用して、実行コンフィギュレーションを TFTP サーバにコピーすることはできます。

サーバが利用できないか、ファイルが存在しないためにシステムでコンテキスト コンフィギュレーション ファイルを取得できない場合は、コマンドライン インターフェイスで設定できる状態になった空のコンテキストが作成されます。

URL を変更するには、新しい URL を指定して config-url コマンドを入力し直します。

適応型セキュリティ アプライアンスは、新しいコンフィギュレーションと現在の実行コンフィギュレーションをマージします。同じ URL を再度入力した場合も、保存されているコンフィギュレーションが実行コンフィギュレーションとマージされます。このマージでは、新しいコンフィギュレーションの新しいすべてのコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同一であれば、変更はありません。コマンドが競合しているか、コマンドがコンテキストの実行に影響する場合、マージの影響はコマンドによって異なります。エラーが出される場合もあれば、予期しない結果になる場合もあります。実行コンフィギュレーションが空(サーバを利用できなかった、コンフィギュレーションがダウンロードされていないなど)の場合は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしないようにするには、実行コンフィギュレーションをクリアした後で、新しい URL からコンフィギュレーションをリロードできます。ただし、実行コンフィギュレーションをクリアするとそのコンテキストを介するすべての通信が中断されます。

次に、管理コンテキストに「administrator」を設定し、内部フラッシュ メモリに「administrator」というコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加する例を示します。

hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
 
hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
 

 
関連コマンド

コマンド
説明

allocate-interface

コンテキストにインターフェイスを割り当てます。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

console timeout

適応型セキュリティ アプライアンスに対するコンソール接続のアイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで console timeout コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

console timeout number

no console timeout [ number ]

 
構文の説明

number

この時間の経過後にコンソール セッションが終了される、アイドル時間を分単位(0 ~ 60)で指定します。

 
デフォルト

デフォルト タイムアウトは 0 で、コンソール セッションがタイムアウトしないことを意味します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

console timeout コマンドは、適応型セキュリティ アプライアンスに対する認証済みモード、イネーブル モード、またはコンフィギュレーション モードのすべてのユーザ セッションのタイムアウト値を設定します。 console timeout コマンドでは Telnet および SSH のタイムアウトは変更されません。これらのアクセス方法については、独自のタイムアウト値が維持されます。

no console timeout コマンドは、コンソール タイムアウト値をデフォルト タイムアウトの 0 にリセットします。この値はコンソールがタイムアウトしないことを意味します。

次の例では、コンソール タイムアウトを 15 分に設定する方法を示します。

hostname(config)# console timeout 15

 
関連コマンド

コマンド
説明

clear configure console

デフォルトのコンソール接続設定に戻します。

clear configure timeout

コンフィギュレーションのアイドル時間継続時間をデフォルトに戻します。

show running-config console timeout

適応型セキュリティ アプライアンスに対するコンソール接続のアイドル タイムアウトを表示します。

content-length

HTTP メッセージ本文の長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで content-length コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]

no content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]

 
構文の説明

action

メッセージがこのインスペクションで不合格になった場合に実行するアクションを指定します。

allow

メッセージを許可します。

bytes

バイト数を指定します。許可される範囲は min オプションの場合 1 ~ 65535、 max オプションの場合 1 ~ 50000000 です。

drop

接続を閉じます。

log

(任意)syslog を生成します。

max

(任意)許可される最大コンテンツ長を指定します。

min

許可される最小コンテンツ長を指定します。

reset

TCP リセット メッセージをクライアントおよびサーバに送信します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

content-length コマンドをイネーブルにした場合、適応型セキュリティ アプライアンスでは、設定されている範囲内のメッセージだけを許可し、範囲外のメッセージに対しては指定されているアクションを実行します。適応型セキュリティ アプライアンスに TCP 接続をリセットさせて、Syslog エントリを作成させるには、 action キーワードを使用します。

次に、100 バイト以上で 2000 バイト以下のメッセージに HTTP トラフィックを制限する例を示します。メッセージがこの範囲に入らない場合、適応型セキュリティ アプライアンスではその TCP 接続をリセットし、Syslog エントリを作成します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# content-length min 100 max 2000 action reset log
hostname(config-http-map)# exit
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

debug appfw

拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。

inspect http

アプリケーション インスペクション用に特定の HTTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで context コマンドを使用します。コンテキストを削除するには、このコマンドの no 形式を使用します。コンテキスト コンフィギュレーション モードでは、コンテキストで使用できるコンフィギュレーション ファイル URL とインターフェイスを指定できます。

context name

no context name [ noconfirm ]

 
構文の説明

name

32 文字までの文字列で名前を設定します。コンテキスト名は、大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。

「System」および「Null」(大文字と小文字の両方)は予約されている名前であり、使用できません。

noconfirm

(任意)確認のプロンプトを出さないでコンテキストを削除します。このオプションは自動スクリプトで役立ちます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

管理コンテキストがない場合(コンフィギュレーションをクリアしたなど)、最初に追加する必要のあるコンテキストは、管理コンテキストです。管理コンテキストを追加する場合は、 admin-context コマンドを参照してください。管理コンテキストを指定してあれば、 context コマンドを入力してその管理コンテキストを設定できます。

コンテキストは、システム コンフィギュレーションを編集することによってだけ削除できます。このコマンドの no 形式を使用して、現在の管理コンテキストは削除できません。現在の管理コンテキストは、 clear configure context コマンドを使用してすべてのコンテキストを削除する場合に限り削除できます。

次に、管理コンテキストに「administrator」を設定し、内部フラッシュ メモリに「administrator」というコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加する例を示します。

hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
 
hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
 
 

 
関連コマンド

コマンド
説明

allocate-interface

コンテキストにインターフェイスを割り当てます。

changeto

コンテキストとシステム実行スペースの間で切り替えます。

config-url

コンテキスト コンフィギュレーションの場所を指定します。

join-failover-group

コンテキストをフェールオーバー グループに割り当てます。

show context

コンテキスト情報を表示します。

copy

1 つの場所から別の場所にファイルをコピーするには、特権 EXEC モードで copy コマンドを使用します。

copy [ /noconfirm | /pcap ] { url | running-config | startup-config } { running-config | startup-config | url }

 
構文の説明

/noconfirm

確認のプロンプトを出さないでファイルをコピーします。

/pcap

事前に設定済みの TFTP サーバに対するデフォルトを指定します。デフォルトの TFTP サーバを設定する場合は、 tftp-server コマンドを参照してください。

running-config

メモリに格納されている実行コンフィギュレーションを指定します。

startup-config

フラッシュ メモリに格納されているスタートアップ コンフィギュレーションを指定します。シングル モード用またはマルチ コンテキスト モードのシステム用のスタートアップ コンフィギュレーションは、フラッシュ メモリに格納された隠しファイルです。コンテキスト内からの場合、スタートアップ コンフィギュレーションの場所は、 config-url コマンドで指定されます。たとえば、 config-url コマンドで HTTP サーバを指定してから、 copy startup-config running-config コマンドを入力した場合、適応型セキュリティ アプライアンスでは、管理コンテキスト インターフェイスを使用して HTTP サーバからスタートアップ コンフィギュレーションをコピーします。

url

コピーするソース ファイルまたは宛先ファイルを指定します。ソース URL と宛先 URL の組み合わせの一部は許可されません。たとえば、リモート サーバから別のリモート サーバへのコピーはできません。このコマンドはローカルとリモートの場所の間でファイルをコピーするために使用されます。コンテキスト内では、コンテキスト インターフェイスを使用して、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションを TFTP サーバまたは FTP サーバにコピーできますが、サーバから実行コンフィギュレーションやスタートアップ コンフィギュレーションへはコピーできません。他のオプションについては、 startup-config キーワードを参照してください。TFTP サーバから実行コンテキスト コンフィギュレーションにダウンロードするには、 configure net コマンドを使用します。

次の URL 構文を使用してください。

cache: /[ path / ] filename ]

このオプションは、ファイル システム内のキャッシュ メモリを示します。

capture: /[ path / ] filename ]

このオプションは、キャプチャ バッファ内の出力を示します。

disk0:/ [ path / ] filename ]

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、内部フラッシュ メモリを示します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename ]

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、外部フラッシュ メモリ カードを示します。

flash:/ [ path / ] filename ]

このオプションは、内部フラッシュ カードを示します。ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、 flash disk0 のエイリアスです。

smb: /[ path / ] filename ]

このオプションは、UNIX サーバのローカル ファイル システムを示します。サーバ メッセージ ブロック ファイル システム プロトコルは、LAN マネージャおよび同様なネットワーク オペレーティング システムで、データをパッケージ化するためおよび他のシステムと情報を交換するために使用されます。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename ]

system:/ [ path / ] filename ]

このオプションは、ファイル システム内のシステム メモリを示します。

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

サーバ アドレスへのルートを上書きする場合は、 nameif interface コマンドを使用してインターフェイス名を指定します。

パス名にスペースを含めることはできません。パス名がスペースを含む場合は、 copy tftp コマンドの代わりに tftp-server コマンドでパスを設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

DNS 名のサポートが追加されました。

8.0(2)

smb: URL オプションが追加されました。

 
使用上のガイドライン

コンフィギュレーションを実行コンフィギュレーションにコピーすると、2 つのコンフィギュレーションがマージされます。このマージでは、新しいコンフィギュレーションの新しいすべてのコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同一であれば、変更はありません。コマンドが競合しているか、コマンドがコンテキストの実行に影響する場合、マージの影響はコマンドによって異なります。エラーが出される場合もあれば、予期しない結果になる場合もあります。

RSA キーを NVRAM に保存できない場合は、次のエラー メッセージが表示されます。

ERROR: NV RAM does not have enough space to save keypair keypair name

次の例では、システム実行スペースでディスクから TFTP サーバにファイルをコピーする方法を示します。

hostname(config)# copy disk0:my_context/my_context.cfg tftp://10.7.0.80/my_context/my_context.cfg
 

次の例では、ディスク上の 1 つの場所からそのディスク上の別の場所にファイルをコピーする方法を示します。宛先ファイルの名前は、ソース ファイルの名前か、別の名前のいずれかにすることができます。

hostname(config)# copy disk0:my_context.cfg disk:my_context/my_context.cfg
 

次の例では、TFTP サーバから内部フラッシュ メモリに ASDM ファイルをコピーする方法を示します。

hostname(config)# copy tftp://10.7.0.80/asdm700.bin disk0:asdm700.bin
 

次の例では、コンテキスト内の実行コンフィギュレーションを TFTP サーバにコピーする方法を示します。

hostname(config)# copy running-config tftp://10.7.0.80/my_context/my_context.cfg
 

copy コマンドでは、上記の例を使用する次のバージョンで示すように、IP アドレスに加えて DNS 名もサポートしています。

hostname(config)# copy running-config tftp://www.example.com/my_context/my_context.cfg

 
関連コマンド

コマンド
説明

configure net

TFTP サーバから実行コンフィギュレーションにファイルをコピーします。

copy capture

キャプチャ ファイルを TFTP サーバにコピーします。

tftp-server

デフォルト TFTP サーバを設定します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write net

実行コンフィギュレーションを TFTP サーバにコピーします。

copy capture

キャプチャ ファイルをサーバにコピーするには、特権 EXEC モードで copy capture コマンドを使用します。

copy [ /noconfirm ] [ /pcap ] capture: [ context_name / ] buffer_name url

 
構文の説明

/noconfirm

確認のプロンプトを出さないでファイルをコピーします。

/pcap

パケット キャプチャを未加工データとしてコピーします。

buffer_name

キャプチャを識別する一意の名前。

context_name /

セキュリティ コンテキストに定義されているパケット キャプチャをコピーします。

url

パケット キャプチャ ファイルをコピーする宛先を指定します。次の URL 構文を参照してください。

disk0:/ [ path / ] filename

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、内部フラッシュ カードを示します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、外部フラッシュ カードを示します。

flash:/ [ path / ] filename

このオプションは、内部フラッシュ カードを示します。ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、 flash disk0 のエイリアスです。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。

パス名にスペースを含めることはできません。パス名がスペースを含む場合は、 copy tftp コマンドの代わりに tftp-server コマンドでパスを設定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、フル パスを指定しないで copy capture コマンドを入力した場合に出されるプロンプトの例を示します。

hostname(config)# copy capture:abc tftp
Address or name of remote host [171.68.11.129]?
Source file name [username/cdisk]?
copying capture to tftp://171.68.11.129/username/cdisk:
[yes|no|again]? y
!!!!!!!!!!!!!
 

次のようにフル パスを指定できます。

hostname(config)# copy capture:abc tftp:171.68.11.129/tftpboot/abc.cap
 

TFTP サーバがすでに設定されている場合は、次のように場所またはファイル名を未指定にすることができます。

hostname(config)# tftp-server outside 171.68.11.129 tftp/cdisk
hostname(config)# copy capture:abc tftp:/tftp/abc.cap
 

 
関連コマンド

コマンド
説明

capture

パケット スニッフィングおよびネットワーク障害の切り分けのためにパケット キャプチャ機能をイネーブルにします。

clear capture

キャプチャ バッファをクリアします。

show capture

オプションが指定されていない場合は、キャプチャ コンフィギュレーションを表示します。

coredump enable

コアダンプ機能をイネーブルにするには、coredump コマンドを使用します。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

coredump enable [filesystem < disk0: | disk1: | flash:> [size <default | <size_in_MB>]]

[no] coredump enable [filesystem < disk0: | disk1: | flash:> [size <default | <size_in_MB>]]

 
構文の説明

coredump enable

コアダンプ機能をイネーブルにします。

filesystem < disk0: | disk1 : | flash:>

コアダンプ ファイルの保存先にするディスクを指定します。

size

適応型セキュリティ アプライアンス フラッシュにコアダンプ ファイル システム イメージ用に割り当てる合計サイズ(MB 単位)を定義します。「default」にすると、適切な値が適応型セキュリティ アプライアンスによって計算されるため、ここでは「default」が推奨値です。「size_in_MB」を選択した場合、適応型セキュリティ アプライアンスではデフォルト値を上書きして、MB 単位で指定された値をコアダンプ ファイルシステム用に割り当てます(スペースを使用可能な場合)。コアダンプを設定するときに、使用可能なスペースが十分ではない場合は、エラー メッセージが出力されます。「size」は入れ物であると考えることができます。つまり、生成されるコアダンプに使用されるディスク スペースは、決してこの「size」を超えられません。

 
デフォルト

デフォルトでは、コアダンプはイネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、コアダンプ機能をイネーブルまたはディセーブルにします。この機能をイネーブルにすると、大量のトラブルシューティング情報を得られます。この機能をディセーブルにした場合は、システムがクラッシュしたときに、いずれのコンポーネントについてもコアダンプ ファイルが生成されません。この機能をディセーブルにしても、事前に存在していたコアダンプ ファイルシステム イメージおよび/またはコアダンプ ファイルシステム イメージの内容は削除されません。ユーザがコアダンプをイネーブルにする場合は、コアダンプ ファイルシステムの作成を許可するようにプロンプトが出されます。このプロンプトは、単なる確認であり、作成されるコアダンプ ファイルシステムのサイズ(MB 単位)を含んでいます。コアダンプをイネーブルまたはディセーブルにした後でコンフィギュレーションを保存することが重要です。

コアダンプをイネーブルにすると、次のファイル要素が作成されますが、ユーザはこれらを直接操作できません。

coredumpfsys:コアダンプ イメージを含むディレクトリ

coredumpfsysimage.bin:コアダンプの管理に使用されるコアダンプ ファイルシステム イメージ

coredumpinfo:コアダンプ ログを格納するディレクトリ


) コアダンプをディセーブルにしても([no] coredump enable)、crashinfo ファイルの生成には影響しません。


適応型セキュリティ アプライアンスでのアプリケーションまたはシステムのクラッシュをトラブルシューティングするために、コアダンプ機能をイネーブルにするよう Cisco TAC から要請されることがあります。


) 後続のコアダンプで、今回のコアダンプを格納するために事前に存在していたコアダンプが削除される場合があるため、都合のよいときに、コアダンプ ファイルを必ずアーカイブしておいてください。コアダンプ ファイルは設定したファイルシステム(「disk0:/coredumpfsys」、「disk1:/coredumpfsys」など)に配置され、他のセキュリティ アプライアンス ファイル同様、セキュリティ アプライアンスから転送できます。


コアダンプをイネーブルにするには、次の手順を実行します。


ステップ 1 /ルート ディレクトリになっていることを確認します。「pwd」を実行して、コンソールのディレクトリの場所を確認します。

ステップ 2 「cd disk0:/」、「cd disk1:/」、または「cd flash:/」にディレクトリを適宜変更します。

ステップ 3 「coredump enable」でコアダンプをイネーブルにします。


 

次の例では、coredump コマンドの使用方法を示します。


) これらの例の各感嘆符「!」は、書き込まれるコアダンプ ファイルシステムの 1 MB を表します。


デフォルト コンフィギュレーション パラメータを使用。この例では、コアダンプ ファイルシステムの作成に、常に「disk0:」を使用します。

hostname(config)# coredump enable
Warning: Enabling coredump on an ASA5505 platform will delay the reload of the system in the event of software forced reload. The exact time depends on the size of the coredump generated.
Proceed with coredump filesystem allocation of 60 MB on 'disk0:' (Note this may take a while) [confirm]
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

この例では、ファイルシステムおよびサイズを指定する方法を示します。この例では、ユーザが指定した 120 MB のコアダンプ ファイルシステムが disk1: に作成されます。

hostname(config)# coredump enable filesystem disk1: size 120
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Proceed with coredump filesystem allocation of 120 MB
on 'disk1:' (Note this may take a while) ? [confirm]
Making coredump file system image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

この例では、120 MB のコアダンプ ファイルシステムから 100 MB のコアダンプ ファイルシステムにサイズ変更する方法を示します。


) 120 MB のコアダンプ ファイルシステムの内容は保持されないため、これを実行する場合は、その前に、事前に存在しているコアダンプを必ずアーカイブしてください。


hostname(config)# coredump enable filesystem disk1: size 100
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Proceeding with resizing to 100 MB results in
deletion of current 120 MB coredump filesystem and
its contents on 'disk1:', proceed ? [confirm]
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

この例では、最初に disk0: でコアダンプをイネーブルにしてから、disk1: でイネーブルにするように変更しています。「default」キーワードの使用方法にも注意してください。


) コアダンプ ファイルシステムを 2 つアクティブにすることはできないため、続行するには、事前に存在しているコアダンプ ファイルシステムの削除を許可する必要があります。


hostname(config)# coredump enable filesystem disk1: size default
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Coredump is currently configured on 'disk0:', upon successful
configuration on 'disk1:', the coredump filesystem will be
deleted on 'disk0:', proceed ? [confirm]
Proceed with coredump filesystem allocation of 100 MB
on 'disk1:' (Note this may take a while) ? [confirm]
Making coredump file system image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

次の例では、コアダンプ ファイルシステムをディセーブルにする方法を示します。

hostname(config)# no coredump enable
This command disables coredumps from happening. Note however the current coredump filesystem image & it’s contents are not touched.
To reenable coredumps, just enter the command you originally used to configure the coredump filesystem.
2 short examples of disable/reenable of coredumps:

デフォルトを使用する場合:

hostname(config)# coredump enable
hostname(config)# no coredump enable
hostname(config)# coredump enable
 

値を明示的に指定する場合:

hostname(config)# coredump enable filesystem disk1: size 200
hostname(config)# no coredump enable
hostname(config)# coredump enable filesystem disk1: size 200

 
関連コマンド

コマンド
説明

clear configure coredump

コアダンプ ファイルシステムとコアダンプ ファイルシステムの内容をシステムから削除します。コアダンプ ログもクリアします。この操作によりコアダンプがディセーブルになり、コンフィギュレーションが変更されるため、この操作の実行後はコンフィギュレーションを保存する必要があります。

clear coredump

コアダンプ ファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプ ログをクリアします。コアダンプ ファイルシステム自体での作業はないため、コアダンプ コンフィギュレーションが変更されたり、影響を受けたりすることはありません。

show coredump filesystem

コアダンプ ファイルシステムにあるファイルを表示し、コアダンプ ファイルシステムの空き容量に関する手掛かりも示します。

show coredump log

コアダンプ ログを表示します。

crashinfo console disable

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行うには、グローバル コンフィギュレーション モードで crashinfo console disable コマンドを使用します。

crashinfo console disable

no crashinfo console disable

 
構文の説明

disable

クラッシュした場合のコンソール出力を抑制します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドがサポートされるようになりました。

 
使用上のガイドライン

このコマンドを使用すると、コンソールへのクラッシュ情報の出力を抑制できます。クラッシュ情報には、デバイスに接続しているすべてのユーザに表示することが適切ではない、機密情報が含まれている可能性があります。このコマンドを使用する場合は、クラッシュ情報がフラッシュに書き込まることも確認する必要があります。デバイスのリブート後にその情報を調査できます。このコマンドは、crashinfo および checkheaps の出力に影響します。これらの出力はフラッシュに保存され、トラブルシューティングに十分な内容です。

hostname(config)# crashinfo console disable
 

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。

fips enable

システムまたはモジュールで FIPS 準拠を強制するためのポリシー チェックをイネーブルまたはディセーブルにします。

fips self-test poweron

電源投入時自己診断テストを実行します。

show crashinfo console

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行います。

show running-config fips

セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

crashinfo force

セキュリティ アプライアンスを強制的にクラッシュさせるには、特権 EXEC モードで crashinfo force コマンドを使用します。

crashinfo force [ page-fault | watchdog ]

 
構文の説明

page-fault

(任意)適応型セキュリティ アプライアンスにページ フォールトによるクラッシュを強制します。

watchdog

(任意)適応型セキュリティ アプライアンスにウォッチドッグによるクラッシュを強制します。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、フラッシュ メモリにクラッシュ情報ファイルを保存します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

crashinfo force コマンドを使用すると、クラッシュ出力の生成をテストできます。クラッシュ出力には、実際のクラッシュと crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドによるクラッシュを区別する情報は含まれていません(これらのコマンドでは実際のクラッシュが発生するため)。は、クラッシュ ダンプの完了後に、適応型セキュリティ アプライアンスがリロードされます。


注意 実稼動環境では crashinfo force コマンドを使用しないでください。crashinfo force コマンドは、適応型セキュリティ アプライアンスをクラッシュさせ、リロードを強制します。

次に、 crashinfo force page-fault コマンドを入力したときに表示される警告の例を示します。

hostname# crashinfo force page-fault
WARNING: This command will force the XXX to crash and reboot.
Do you wish to proceed? [confirm]:
 

復帰(キーボードの Return キーまたは Enter キーを押す)、「 Y 」、または「 y 」を入力すると、適応型セキュリティ アプライアンスがクラッシュしてリロードされます。このいずれの応答も肯定応答であると見なされます。これ以外の文字は、いずれも no であると見なされ、適応型セキュリティ アプライアンスはコマンドライン プロンプトに戻ります。

 
関連コマンド

clear crashinfo

クラッシュ情報ファイルの内容をクリアします。

crashinfo save disable

フラッシュ メモリにクラッシュ情報を書き込めないようにします。

crashinfo test

適応型セキュリティ アプライアンスでフラッシュ メモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。

show crashinfo

クラッシュ情報ファイルの内容を表示します。

crashinfo save disable

フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにするには、グローバル コンフィギュレーション モードで crashinfo save コマンドを使用します。フラッシュ メモリへのクラッシュ情報の書き込みを許可して、デフォルトの動作に戻すには、このコマンドの no 形式を使用します。

crashinfo save disable

no crashinfo save disable

 
構文の説明

このコマンドには、デフォルトの引数およびキーワードはありません。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、フラッシュ メモリにクラッシュ情報ファイルを保存します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

crashinfo save enable コマンドは非推奨であり、有効なオプションではなくなりました。代わりに no crashinfo save disable コマンドを使用します。

 
使用上のガイドライン

クラッシュ情報は、まずフラッシュ メモリに書き込まれ、次にコンソールに書き込まれます。


) 起動時に適応型セキュリティ アプライアンスがクラッシュした場合、クラッシュ情報ファイルは保存されません。クラッシュ情報をフラッシュ メモリに保存するには、まず、適応型セキュリティ アプライアンスの初期化が完了しており、実行されている必要があります。


フラッシュ メモリへのクラッシュ情報の保存を再度イネーブルにするには、no crashinfo save disable コマンドを使用します。

hostname(config)# crashinfo save disable

 
関連コマンド

clear crashinfo

クラッシュ ファイルの内容をクリアします。

crashinfo force

適応型セキュリティ アプライアンスを強制的にクラッシュさせます。

crashinfo test

適応型セキュリティ アプライアンスでフラッシュ メモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。

show crashinfo

クラッシュ ファイルの内容を表示します。

crashinfo test

フラッシュ メモリのファイルにクラッシュ情報を保存する適応型セキュリティ アプライアンスの機能をテストするには、特権 EXEC モードで crashinfo test コマンドを使用します。

crashinfo test

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

前のクラッシュ情報ファイルがフラッシュ メモリにすでに存在している場合、そのファイルは上書きされます。


crashinfo test コマンドを入力しても適応型セキュリティ アプライアンスはクラッシュしません。


次に、クラッシュ情報ファイル テストの出力例を示します。

hostname# crashinfo test

 
関連コマンド

clear crashinfo

クラッシュ ファイルの内容を削除します。

crashinfo force

適応型セキュリティ アプライアンスを強制的にクラッシュさせます。

crashinfo save disable

フラッシュ メモリにクラッシュ情報を書き込めないようにします。

show crashinfo

クラッシュ ファイルの内容を表示します。

crl

CRL コンフィギュレーション オプションを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで crl コマンドを使用します。

crl { required | optional | nocheck }

 
構文の説明

required

ピア証明書を検証するために必須の CRL が使用可能である必要があります。

optional

必須の CRL が使用可能ではない場合も、適応型セキュリティ アプライアンスはピア証明書を受け入れます。

nocheck

CRL 検査を実行しないように適応型セキュリティ アプライアンスに指示します。

 
デフォルト

デフォルト値は nocheck です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。次の一連の revocation-check コマンドで置換されています。

crl optional revocation-check crl none に置き換えられました。

crl required revocation-check crl に置き換えられました。

crl nocheck revocation-check none に置き換えられました。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central を検証するためにピア証明書の CRL が使用可能であることを必要とする例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl required
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crypto ca trustpoint

トラストポイント サブモードを開始します。

crl configure

CRL コンフィギュレーション モードを開始します。

url

CRL を取得するための URL を指定します。

crl configure

crl コンフィギュレーション モードを開始するには、暗号 CA トラストポイント コンフィギュレーション モードで crl configure コマンドを使用します。

crl configure

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central で crl コンフィギュレーション モードを開始する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。