Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
eigrp log-neighbor-warnings コマンド~ functions コマンド
eigrp log-neighbor-warnings コマンド~ functions コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

eigrp log-neighbor-warnings コマンド~ functions コマンド

eigrp log-neighbor-changes

eigrp log-neighbor-warnings

eigrp router-id

eigrp stub

eject

email

enable

enable(webvpn)

enable gprs

enable password

endpoint

endpoint-mapper

enforcenextupdate

enrollment-retrieval

enrollment retry count

enrollment retry period

enrollment terminal

enrollment url

enrollment-retrieval

eool

eou allow

eou clientless

eou initialize

eou max-retry

eou port

eou revalidate

eou timeout

erase

esp

established

exceed-mss

exempt-list

exit

expiry-time

export

export webvpn customization

export webvpn translation-table

export webvpn url-list

export webvpn webcontent

failover

failover active

failover exec

failover group

failover interface ip

failover interface-policy

failover key

failover lan enable

failover lan interface

failover lan unit

failover link

failover mac address

failover polltime

failover polltime interface

failover reload-standby

failover replication http

failover reset

failover timeout

fallback

file-bookmarks

file-browsing

file-encoding

file-entry

filter

filter activex

filter ftp

filter https

filter java

filter url

fips enable

fips self-test poweron

firewall transparent

flow-export delay flow-create

flow-export destination

flowcontrol

format

forward interface

fqdn

fragment

frequency

fsck

ftp mode passive

functions(削除されました)

eigrp log-neighbor-warnings コマンド~ functions コマンド

eigrp log-neighbor-changes

EIGRP ネイバー隣接の変更のロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。

eigrp log-neighbor-changes

no eigrp log-neighbor-changes

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

eigrp log-neighbor-changes コマンドはデフォルトでイネーブルになっています。このコマンドの no 形式だけが実行コンフィギュレーションに表示されます。

次に、EIGRP ネイバー変更のロギングをディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# no eigrp log-neighbor-changes
 

 
関連コマンド

コマンド
説明

eigrp log-neighbor-warnings

ネイバー警告メッセージのロギングをイネーブルにします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

eigrp log-neighbor-warnings

EIGRP ネイバー警告メッセージのロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-warnings コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。

eigrp log-neighbor-warnings [ seconds ]

no eigrp log-neighbor-warnings

 
構文の説明

seconds

(任意)ネイバー警告メッセージの繰り返し時間間隔(秒単位)。有効な値は 1 ~ 65535 です。この間隔の間に警告が繰り返し発生した場合はロギングされません。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。すべてのネイバー警告メッセージがロギングされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

eigrp log-neighbor-warnings コマンドはデフォルトでイネーブルになっています。このコマンドの no 形式だけが実行コンフィギュレーションに表示されます。

次に、EIGRP ネイバー警告メッセージのロギングをディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# no eigrp log-neighbor-warnings
 

次に、EIGRP ネイバー警告メッセージをロギングし、5 分(300 秒)間隔で警告メッセージを繰り返す例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# eigrp log-neighbor-warnings 300
 

 
関連コマンド

コマンド
説明

eigrp log-neighbor-messages

EIGRP ネイバー隣接での変更のロギングをイネーブルにします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

eigrp router-id

EIGRP ルーティング プロセスが使用するルータ ID を指定するには、ルータ コンフィギュレーション モードで eigrp router-id コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

eigrp router-id ip-addr

no eigrp router-id [ ip-addr ]

 
構文の説明

ip-addr

IP アドレス形式(ドット付き 10 進数)のルータ ID。0.0.0.0 または 255.255.255.255 はルータ ID として使用できません。

 
デフォルト

指定しない場合、適応型セキュリティ アプライアンス上で最上位の IP アドレスがルータ ID として使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

eigrp router-id コマンドが設定されていない場合、EIGRP プロセスの開始時に適応型セキュリティ アプライアンス上で最上位の IP アドレスが自動的にルータ ID として使用されます。ルータ ID は、 no router eigrp コマンドを使用して EIGRP プロセスを削除するか、 eigrp router-id コマンドを使用してルータ ID を手動で設定しない限り変更されません。

ルータ ID は外部ルートの発信元ルータの識別に使用されます。ローカル ルータ ID で外部ルートが受信された場合、そのルートは廃棄されます。これを回避するには、 eigrp router-id コマンドを使用して、ルータ ID のグローバル アドレスを指定します。

EIGRP ルータごとに一意の値を設定する必要があります。

次に、EIGRP ルーティング プロセス用の固定ルータ ID として 172.16.1.3 を設定する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# eigrp router-id 172.16.1.3
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

eigrp stub

EIGRP ルーティング プロセスをスタブ ルーティング プロセスとして設定するには、ルータ コンフィギュレーション モードで eigrp stub コマンドを使用します。EIGRP スタブ ルーティングを削除するには、このコマンドの no 形式を使用します。

eigrp stub [ receive-only] | {[ connected ] [ redistributed ] [ static ] [ summary ]}

no eigrp stub [ receive-only] | {[ connected ] [ redistributed ] [ static ] [ summary ]}

 
構文の説明

connected

(任意)接続ルートをアドバタイズします。

receive-only

(任意)適応型セキュリティ アプライアンスを受信専用ネイバーとして設定します。

redistributed

(任意)他のルーティング プロトコルから再配布されたルートをアドバタイズします。

static

(任意)スタティック ルートをアドバタイズします。

summary

(任意)集約ルートをアドバタイズします。

 
デフォルト

スタブ ルーティングはイネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

eigrp stub コマンドを使用して、適応型セキュリティ アプライアンスをスタブとして設定します。この場合、適応型セキュリティ アプライアンスはすべての IP トラフィックをディストリビューション ルータに転送します。

receive-only キーワードを使用すると、適応型セキュリティ アプライアンスがルートを自律システム内の他のルータと共有しないように制限され、適応型セキュリティ アプライアンスは EIGRP ネイバーからのみ更新を受信します。 receive-only キーワードとその他のキーワードは一緒に使用できません。

キーワード connected static summary redistributed は、単独または複数を組み合わせて指定できます。これらのキーワードを eigrp stub コマンドと一緒に使用すると、特定のキーワードで指定されたルート タイプだけが送信されます。

connected キーワードを指定すると、EIGRP スタブ ルーティング プロセスが接続ルートを送信できます。接続ルートが network ステートメントで扱われない場合、EIGRP プロセスで redistribute コマンドを使用して接続ルートを再配布する必要が生じる場合があります。

static キーワードを指定すると、EIGRP スタブ ルーティング プロセスがスタティック ルートを送信できます。このオプションを設定しないと、EIGRP はスタティック ルートを一切送信しません。スタティック ルートが network ステートメントで扱われない場合、EIGRP プロセスで redistribute コマンドを使用してスタティック ルートを再配布する必要が生じる場合があります。

summary キーワードを指定すると、EIGRP スタブ ルーティング プロセスが集約ルートを送信できます。集約ルートは summary-address eigrp コマンドを使用して手動で作成することも、 auto-summary コマンドをイネーブルにして自動的に作成することもできます(デフォルトでは auto-summary がイネーブルです)。

redistributed キーワードを指定すると、EIGRP スタブ ルーティング プロセスが、他のルーティングプロトコルから EIGRP ルーティング プロセスに再配布されたルートを送信できます。このオプションを設定しないと、EIGRP は再配布ルートをアドバタイズしません。

次に、 eigrp stub コマンドを使用して、適応型セキュリティ アプライアンスを、接続ルートと集約ルートをアドバタイズする EIGRP スタブとして設定する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# eigrp stub connected summary
 

次に、 eigrp stub コマンドを使用して、適応型セキュリティ アプライアンスを、接続ルートとスタティック ルートをアドバタイズする EIGRP スタブとして設定する例を示します。集約ルートの送信は許可されません。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# eigrp stub connected static
 

次に、 eigrp stub コマンドを使用して、適応型セキュリティ アプライアンスを、EIGRP 更新の受信専用 EIGRP スタブとして設定する例を示します。接続ルート、集約ルート、およびスタティック ルート情報は送信されません。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0 eigrp
hostname(config-router)# eigrp stub receive-only
 

次に、 eigrp stub コマンドを使用して、適応型セキュリティ アプライアンスを、他のルーティング プロトコルから EIGRP に再配布されたルートをアドバタイズする EIGRP スタブとして設定する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# eigrp stub redistributed
 

次に、オプションの引数を指定しないで eigrp stub コマンドを使用する例を示します。引数を指定しないで使用すると、 eigrp stub コマンドは、デフォルトで接続ルートとスタティック ルートをアドバタイズします。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# eigrp stub

 
関連コマンド

コマンド
説明

router eigrp

実行コンフィギュレーションから EIGRP ルータ コンフィギュレーション モード コマンドをクリアします。

show running-config router eigrp

実行コンフィギュレーションの EIGRP ルータ コンフィギュレーション モード コマンドを表示します。

eject

ASA 5500 シリーズの外部コンパクト フラッシュ デバイスの取り外しをサポートするには、ユーザ EXEC モードで eject コマンドを使用します。

eject [/ noconfirm ] disk1:

 
構文の説明

disk1:

取り出すデバイスを指定します。

/noconfirm

セキュリティ アプライアンスから外部フラッシュ デバイスを物理的に取り外す前に、デバイスの取り外しを確認する必要がないことを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

eject コマンドを使用すると、ASA 5500 シリーズ セキュリティ アプライアンスからコンパクト フラッシュ デバイスを安全に取り外すことができます。

次に、 eject コマンドを使用して、セキュリティ アプライアンスからデバイスを物理的に取り外す前に、 disk1 を正常にシャットダウンする方法の例を示します。

hostname# eject /noconfig disk1:
It is now safe to remove disk1:
hostname# show version
Cisco Adaptive Security Appliance Software Version 8.0(2)34
 
Compiled on Fri 18-May-07 10:28 by juser System image file is "disk0:/cdisk.asa"
Config file at boot was "startup-config"
 
wef5520 up 5 hours 36 mins
 
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
Slot 1: Compact Flash has been ejected!
It may be removed and a new device installed.
BIOS Flash M50FW016 @ 0xffe00000, 2048KB
<---More--->
 

 
関連コマンド

コマンド
説明

show version

オペレーティング システム ソフトウェアに関する情報を表示します。

email

登録中に、指定された電子メール アドレスを証明書のサブジェクト代替名の拡張に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで email コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

email address

no email

 
構文の説明

address

電子メール アドレスを指定します。 address の最大の長さは 64 文字です。

 
デフォルト

デフォルト設定は設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の登録要求に電子メールアドレス user1@user.net を含める例を示します。

hostname(config)# crypto ca-trustpoint central
hostname(ca-trustpoint)# email user1@user.net
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca-trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enable

特権 EXEC モードを開始するには、ユーザ EXEC モードで enable コマンドを使用します。

enable [ level ]

 
構文の説明

level

(任意)特権レベルは 0 ~ 15 です。イネーブル認証( aaa authentication enable console コマンド)では使用しません。

 
デフォルト

イネーブル認証を使用( aaa authentication enable console コマンドを使用)していない限り、特権レベル 15 を開始します。イネーブル認証を使用している場合、デフォルト レベルはユーザ名に設定されたレベルによって異なります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

デフォルトのイネーブル パスワードはブランクです。パスワードを設定するには、 enable password コマンドを参照してください。

イネーブル認証を使用していない場合、 enable コマンドを入力すると、ユーザ名が enable_ level に変わり、デフォルト レベルは 15 になります。イネーブル認証を使用( aaa authentication enable console コマンドを使用)している場合、ユーザ名とそれに関連付けられたレベルが保持されます。ユーザ名の保持は、コマンド認可(ローカルまたは TACACS+ を使用した aaa authorization command コマンド)にとって重要です。

レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザ EXEC モードを開始します。その中間のレベルを使用するには、ローカル コマンド認可をイネーブルにし( aaa authorization command LOCAL コマンド)、 privilege コマンドを使用してこれらのコマンドを別の特権レベルに設定します。TACACS+ コマンド認可では、適応型セキュリティ アプライアンスに設定されている特権レベルは使用されません。

現在の特権レベルを表示するには、 show curpriv コマンドを使用します。

特権 EXEC モードを終了するには、 disable コマンドを入力します。

次に、特権 EXEC モードを開始する例を示します。

hostname> enable
Password: Pa$$w0rd
hostname#
 

次に、レベル 10 の特権 EXEC モードを開始する例を示します。

hostname> enable 10
Password: Pa$$w0rd10
hostname#
 

 
関連コマンド

コマンド
説明

enable password

イネーブル パスワードを設定します。

disable

特権 EXEC モードを終了します。

aaa authorization command

コマンド認可を設定します。

privilege

ローカル コマンド認可のためのコマンド特権レベルを設定します。

show curpriv

現在ログインしているユーザ名とユーザの特権レベルを表示します。

enable(webvpn)

以前に設定したインターフェイスで WebVPN または電子メール プロキシ アクセスをイネーブルにするには、enable コマンドを使用します。WebVPN では、webvpn モードでこのコマンドを使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)では、該当する電子メール プロキシ モードでこのコマンドを使用します。インターフェイスで WebVPN をディセーブルにするには、このコマンドの no バージョンを使用します。

enable ifname

no enable

 
構文の説明

ifname

以前に設定したインターフェイスを指定します。 nameif コマンドを使用して、インターフェイスを設定します。

 
デフォルト

WebVPN はデフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn

--

--

--

Imap4s

--

--

--

pop3s

--

--

--

SMTPS

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、Outside という名前のインターフェイスで WebVPN をイネーブルにする方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# enable Outside
 

次に、Outside という名前のインターフェイスで POP3S 電子メール プロキシを設定する方法の例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# enable Outside

 

enable gprs

RADIUS アカウンティングにより GPRS をイネーブルにするには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで enable gprs コマンドを使用します。このモードには inspect radius-accounting コマンドを使用してアクセスします。セキュリティ アプライアンスは、セカンダリ PDP コンテキストを適切に処理するために、アカウンティング要求停止メッセージに 3GPP VSA 26-10415 があるかどうかをチェックします。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

enable gprs

no enable gprs

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このオプションは、デフォルトではディセーブルです。この機能をイネーブルにするには、GTP ライセンスが必要です。

次に、RADIUS アカウンティングによって GPRS をイネーブルにする方法の例を示します。

hostname(config)# policy-map type inspect radius-accounting ra
hostname(config-pmap)# parameters
hostname(config-pmap-p)# enable gprs

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングのインスペクションを設定します。

parameters

インスペクション ポリシー マップのパラメータを設定します。

enable password

特権 EXEC モードのイネーブル パスワードを設定するには、グローバル コンフィギュレーション モードで enable password コマンドを使用します。15 以外のレベルのパスワードを削除するには、このコマンドの no 形式を使用します。レベル 15 のパスワードは削除できません。

enable password password [level level ] [ encrypted ]

no enable password level level

 
構文の説明

encrypted

(任意)パスワードが暗号化された形式であることを指定します。パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。何らかの理由でパスワードを別の適応型セキュリティ アプライアンスにコピーする必要があるにもかかわらず、元のパスワードがわからない場合、暗号化されたパスワードとこのキーワードを使用して、 enable password コマンドを入力します。通常、このキーワードは、 show running-config enable コマンドを入力したときにだけ表示されます。

level level

(任意)0 ~ 15 の特権レベルのパスワードを設定します。

password

パスワードに、大文字と小文字が区別される 3 ~ 32 文字の英数字および特殊文字の文字列を設定します。パスワードには疑問符とスペースを除く任意の文字を使用できます。

 
デフォルト

デフォルトのパスワードはブランクです。デフォルト レベルは 15 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

イネーブル レベル 15(デフォルト レベル)のデフォルトのパスワードはブランクです。パスワードをブランクにリセットする場合は、 password 引数に値を入力しないでください。

マルチ コンテキスト モードでは、各コンテキストだけでなく、システム コンフィギュレーションにもイネーブル パスワードを作成できます。

デフォルトである 15 以外の特権レベルを使用するには、ローカル コマンド認可を設定し( aaa authorization command コマンドを参照し、 LOCAL キーワードを指定)、 privilege コマンドを使用して、コマンドを別の特権レベルに設定します。ローカル コマンド認可を設定しない場合は、イネーブル レベルが無視され、設定したレベルにかかわらずレベル 15 にアクセスできます。現在の特権レベルを表示するには、 show curpriv コマンドを使用します。

レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザ EXEC モードを開始します。

次に、イネーブル パスワードを Pa$$w0rd に設定する例を示します。

hostname(config)# enable password Pa$$w0rd
 

次に、レベル 10 のイネーブル パスワードを Pa$$w0rd10 に設定する例を示します。

hostname(config)# enable password Pa$$w0rd10 level 10
 

次に、イネーブル パスワードを別の適応型セキュリティ アプライアンスからコピーした暗号化パスワードに設定する例を示します。

hostname(config)# enable password jMorNbK0514fadBh encrypted
 

 
関連コマンド

コマンド
説明

aaa authorization command

コマンド認可を設定します。

enable

特権 EXEC モードを開始します。

privilege

ローカル コマンド認可のためのコマンド特権レベルを設定します。

show curpriv

現在ログインしているユーザ名とユーザの特権レベルを表示します。

show running-config enable

イネーブル パスワードを暗号化された形式で表示します。

endpoint

H.323 プロトコル インスペクションのために HSI グループにエンドポイントを追加するには、HSI グループ コンフィギュレーション モードで endpoint コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

endpoint ip_address if_name

no endpoint ip_address if_name

 
構文の説明

if_name

エンドポイントがセキュリティ アプライアンスに接続されるインターフェイス。

ip_address

追加するエンドポイントの IP アドレス。HSI グループにつき最大で 10 個のエンドポイントが許可されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HSI グループ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、H.323 インスペクション ポリシー マップでエンドポイントを HSI グループに追加する方法の例を示します。

hostname(config-pmap-p)# hsi-group 10
hostname(config-h225-map-hsi-grp)# endpoint 10.3.6.1 inside
hostname(config-h225-map-hsi-grp)# endpoint 10.10.25.5 outside
 

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

hsi-group

HSI グループを作成します。

hsi

HSI を HSI グループに追加します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

endpoint-mapper

DCERPC インスペクションのためにエンドポイント マッパー オプションを設定するには、パラメータ コンフィギュレーション モードで endpoint-mapper コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

endpoint-mapper [epm-service-only] [lookup-operation [timeout value]]

no endpoint-mapper [epm-service-only] [lookup-operation [timeout value]]

 
構文の説明

epm-service-only

バインディング時にエンドポイント マッパー サービスを適用することを指定します。

lookup-operation

エンドポイント マッパー サービスのルックアップ オペレーションをイネーブルすることを指定します。

timeout value

ルックアップ オペレーションからのピンホールのタイムアウトを指定します。範囲は 0:0:1 ~ 1193:0:0 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、DCERPC ポリシー マップにエンドポイント マッパーを設定する方法の例を示します。

hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# endpoint-mapper epm-service-only
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

enforcenextupdate

NextUpdate CRL フィールドの処理方法を指定するには、Ca-CRL コンフィギュレーション モードで enforcenextupdate コマンドを使用します。失効した、または不明な NextUpdate フィールドを許可するには、このコマンドの no 形式を使用します。

enforcenextupdate

no enforcenextupdate

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定は実行(オン)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Ca-CRL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

設定する場合、このコマンドは失効していない NextUpdate フィールドが CRL にあることを要求します。使用しない場合、適応型セキュリティ アプライアンスは、CRL の不明または失効した NextUpdate フィールドを許可します。

次に、Ca-CRL コンフィギュレーション モードを開始し、CRL の NextUpdate フィールドをトラストポイント central に対して期限切れにしないことを要求する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# enforcenextupdate
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

cache-time

キャッシュの更新時間を分単位で指定します。

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enrollment-retrieval

登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定するには、ローカル CA サーバ コンフィギュレーション モードで enrollment-retrieval コマンドを使用します。期間をデフォルトの時間数(24)にリセットするには、このコマンドの no 形式を使用します。

enrollment-retrieval timeout

no enrollment-retrieval

 
構文の説明

timeout

何時間以内にユーザがローカル CA 登録 Web ページから発行された証明書を取得しなければならないかを指定します。有効なタイムアウト値の範囲は 1 ~ 720 時間です。

 
デフォルト

デフォルトでは、PKCS12 登録ファイルは 24 時間保存されて取得できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

PKCS12 登録ファイルには発行された証明書とキー ペアが含まれています。ファイルはローカル CA サーバに保存され、 enrollment-retrieval コマンドで指定された時間内は登録 Web ページから取得できます。

ユーザが登録可能とマークされている場合、そのユーザは otp expiration の時間内であればそのパスワードを使用して登録できます。ユーザが正常に登録すると、PKCS12 ファイルが生成および保存され、コピーが登録 Web ページを経由して返されます。何らかの理由でファイルのコピーが再度必要になった場合(登録しようとしてダウンロードに失敗した場合など)、ユーザは enrollment-retrieval コマンドで指定した時間内であれば新しくコピーを取得できます。


) この時間は、OTP の有効期限とは関係ありません。


次に、証明書の発行後 48 時間以内は PKCS12 登録ファイルをローカル CA サーバから取得できるように指定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# enrollment-retrieval 48
hostname(config-ca-server)#
 

次に、取得可能時間をデフォルトの 24 時間にリセットする例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# no enrollment-retrieval
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

OTP expiration

CA 登録ページ用に発行されたワンタイム パスワードの有効期間を時間単位で指定します。

smtp from-address

CA サーバが生成するすべての電子メールの送信者フィールドに使用する電子メール アドレスを指定します。

smtp subject

ローカル CA サーバが生成するすべての電子メールの件名フィールドに表示されるテキストを指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

enrollment retry count

再試行回数を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで enrollment retry count コマンドを使用します。証明書を要求した後、適応型セキュリティ アプライアンスは CA からの証明書の受信を待ちます。設定された再試行期間内に適応型セキュリティ アプライアンスが証明書を受信しない場合、別の証明書要求が送信されます。適応型セキュリティ アプライアンスが応答を受信するか、設定された再試行回数に達するまで、要求は繰り返されます。再試行回数のデフォルト設定に戻すには、このコマンドの no 形式を使用します。

enrollment retry count number

no enrollment retry count

 
構文の説明

number

登録要求の送信を試行する最大回数です。有効な再試行の範囲は 0、1 ~ 100 です。

 
デフォルト

number のデフォルト設定は 0(無制限)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドはオプションであり、自動登録を設定している場合のみ適用されます。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central 内で登録の再試行回数を 20 回に設定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment retry count 20
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment retry period

登録要求を再送信するまでの待機時間を分単位で指定します。

enrollment retry period

再試行期間を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで enrollment retry period コマンドを使用します。証明書を要求した後、適応型セキュリティ アプライアンスは CA からの証明書の受信を待ちます。指定された再試行期間内に適応型セキュリティ アプライアンスが証明書を受信しない場合、別の証明書要求が送信されます。再試行期間のデフォルト設定に戻すには、このコマンドの no 形式を使用します。

enrollment retry period minutes

no enrollment retry period

 
構文の説明

minutes

登録要求の送信を試行する分単位の間隔。有効な範囲は 1 ~ 60 分です。

 
デフォルト

デフォルトの設定は 1 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドはオプションであり、自動登録を設定している場合のみ適用されます。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central 内で登録の再試行期間を 10 分に設定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment retry period 10
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

すべての登録パラメータをシステムのデフォルト値に戻します。

enrollment retry count

登録を要求する再試行の回数を定義します。

enrollment terminal

このトラストポイントでの(手動登録とも呼ばれる)カット アンド ペースト登録を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで enrollment terminal コマンドを使用します。このコマンドのデフォルト設定に戻すには、このコマンドの no 形式を使用します。

enrollment terminal

no enrollment terminal

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの設定はオフです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の CA 登録のカット アンド ペースト方式を指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment terminal
hostname(ca-trustpoint)#

 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment retry count

登録要求の送信を再試行する回数を指定します。

enrollment retry period

登録要求を再送信するまでの待機時間を分単位で指定します。

enrollment url

このトラストポイントでの自動登録(SCEP)を指定し、URL を設定します。

enrollment url

このトラストポイントで登録して、登録 URL を設定する自動登録(SCEP)を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで enrollment url コマンドを使用します。このコマンドのデフォルト設定に戻すには、このコマンドの no 形式を使用します。

enrollment url url

no enrollment url

 
構文の説明

url

自動登録で使用する URL の名前を指定します。最大の長さは 1000 文字(実質上の無制限)です。

 
デフォルト

デフォルトの設定はオフです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の SCEP 登録を URL https://enrollsite で指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment url https://enrollsite
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment retry count

登録要求の送信を再試行する回数を指定します。

enrollment retry period

登録要求を再送信するまでの待機時間を分単位で指定します。

enrollment terminal

このトラストポイントを使用したカット アンド ペースト登録を指定します。

enrollment-retrieval

登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定するには、ローカル CA サーバ コンフィギュレーション モードで enrollment-retrieval コマンドを使用します。期間をデフォルトの時間数(24)にリセットするには、このコマンドの no 形式を使用します。

enrollment-retrieval timeout

no enrollment-retrieval

 
構文の説明

timeout

何時間以内にユーザがローカル CA 登録 Web ページから発行された証明書を取得しなければならないかを指定します。有効なタイムアウト値の範囲は 1 ~ 720 時間です。

 
デフォルト

デフォルトでは、PKCS12 登録ファイルは 24 時間保存されて取得できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

PKCS12 登録ファイルには発行された証明書とキー ペアが含まれています。ファイルはローカル CA サーバに保存され、 enrollment-retrieval コマンドで指定された時間内は登録 Web ページから取得できます。

ユーザが登録可能とマークされている場合、そのユーザは otp expiration の時間内であればそのパスワードを使用して登録できます。ユーザが正常に登録すると、PKCS12 ファイルが生成および保存され、コピーが登録 Web ページを経由して返されます。何らかの理由でファイルのコピーが再度必要になった場合(登録しようとしてダウンロードに失敗した場合など)、ユーザは enrollment-retrieval コマンドで指定した時間内であれば新しくコピーを取得できます。


) この時間は、OTP の有効期限とは関係ありません。


次に、証明書の発行後 48 時間以内は PKCS12 登録ファイルをローカル CA サーバから取得できるように指定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# enrollment-retrieval 48
hostname(config-ca-server)#
 

次に、取得可能時間をデフォルトの 24 時間にリセットする例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# no enrollment-retrieval
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

OTP expiration

CA 登録ページ用に発行されたワンタイム パスワードの有効期間を時間単位で指定します。

smtp from-address

CA サーバが生成するすべての電子メールの送信者フィールドに使用する電子メール アドレスを指定します。

smtp subject

ローカル CA サーバが生成するすべての電子メールの件名フィールドに表示されるテキストを指定します。

subject-name-default

CA サーバが発行するすべてのユーザ証明書でユーザ名とともに使用される汎用的なサブジェクト名 DN を指定します。

eool

パケットに End of Option List(EOOL)オプションが発生した場合の、IP オプション インスペクションのアクションを定義するには、パラメータ コンフィギュレーション モードで eool コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

eool action {allow | clear}

no eool action {allow | clear}

 
構文の説明

allow

End of Option List IP オプションが含まれるパケットを送受信するように適応型セキュリティ アプライアンスに指示します。

clear

End of Option List IP オプションをパケットから消去して、パケットを送受信するように適応型セキュリティ アプライアンスに指示します。

 
デフォルト

デフォルトでは、IP オプション インスペクションは、End of Option List IP オプションが含まれるパケットをドロップします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップ内で設定できます。

適応型セキュリティ アプライアンスの通過が許可される特定の IP オプションが含まれる IP パケットを制御するように、IP オプション インスペクションを設定できます。このインスペクションを設定することで、パケットを通過させたり、指定した IP オプションをクリアしてからパケットを通過させたりするように、適応型セキュリティ アプライアンスに指示できます。

End of Option List オプションにはゼロ バイトが 1 つだけ含まれます。これは、すべてのオプションの最後に付けられ、オプションのリストの終了を示します。これは、ヘッダーの長さに関して、ヘッダーの最後とは一致しない場合があります。

次の例は、ポリシー マップ内で IP オプション インスペクションのアクションを設定する方法を示しています。

hostname(config)# policy-map type inspect ip-options ip-options_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# eool action allow
hostname(config-pmap-p)# nop action allow
hostname(config-pmap-p)# router-alert action allow
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

eou allow

NAC フレームワーク コンフィギュレーションでクライアントレス認証をイネーブルにするには、グローバル コンフィギュレーション モードで eou allow コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

eou allow { audit | clientless | none }

no eou allow { audit | clientless | none }

 
構文の説明

audit

監査サーバがクライアントレス認証を実行します。

clientless

Cisco ACS がクライアントレス認証を実行します。

none

クライアントレス認証をディセーブルにします。

 
デフォルト

デフォルトのコンフィギュレーションには、 eou allow clientless コンフィギュレーションが含まれています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

audit オプションが追加されました。

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、次の条件が両方とも満たされた場合にだけこのコマンドを使用します。

グループ ポリシーが、NAC フレームワーク NAC ポリシー タイプを使用するように設定されている。

セッションのホストが EAPoUDP 要求に応答しない。

次に、ACS の使用をイネーブルにしてクライアントレス認証を実行する例を示します。

hostname(config)# eou allow clientless
hostname(config)#
 

次に、監査サーバを使用してクライアント認証を実行するように適応型セキュリティ アプライアンスを設定する方法の例を示します。

hostname(config)# eou allow audit
hostname(config)#
 

次に、管理サーバの使用をディセーブルにする方法の例を示します。

hostname(config)# no eou allow clientless
hostname(config)#
 

 
関連コマンド

コマンド
説明

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

eou clientless

NAC フレームワーク コンフィギュレーションでのクライアントレス認証用に ACS に送信されるユーザ名とパスワードを変更します。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

eou clientless

NAC フレームワーク コンフィギュレーションでのクライアントレス認証用にアクセス コントロール サーバに送信するユーザ名とパスワードを変更するには、グローバル コンフィギュレーション モードで eou clientless コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou clientless username username password password

no eou clientless username username password password

 
構文の説明

password

EAPoUDP 要求に応答しないリモート ホストのクライアントレス認証を得るためにアクセス コントロール サーバに送信したパスワードを変更します。

password

クライアントレス ホストをサポートするために、アクセス コントロール サーバに設定したパスワードを入力します。4 ~ 32 文字の ASCII 文字を入力します。

username

EAPoUDP 要求に応答しないリモートホストのクライアントレス認証を取得するためにアクセス コントロール サーバに送信したユーザ名を変更します。

username

クライアントレス ホストをサポートするために、アクセス コントロール サーバに設定したユーザ名を入力します。1 ~ 64 文字の ASCII 文字を入力します。前後のスペース、ポンド記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、山カッコ(< と >)は使用できません。

 
デフォルト

ユーザ名およびパスワード アトリビュートの両方のデフォルト値は clientless です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、次の条件をすべて満たしている場合にのみ有効です。

クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバが設定されている。

適応型セキュリティ アプライアンス上でクライアントレス認証がイネーブルになっている。

適応型セキュリティ アプライアンス上にネットワーク アドミッション コントロールが設定されている。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、クライアントレス認証のユーザ名を sherlock に変更する例を示します。

hostname(config)# eou clientless username sherlock
hostname(config)#
 

次に、クライアントレス認証のユーザ名をデフォルト値である clientless に変更する例を示します。

hostname(config)# no eou clientless username
hostname(config)#
 

次に、クライアントレス認証のパスワードを secret に変更する例を示します。

hostname(config)# eou clientless password secret
hostname(config)#
 

次に、クライアントレス認証のパスワードをデフォルト値である clientless に変更する例を示します。

hostname(config)# no eou clientless password
hostname(config)#
 
 

 
関連コマンド

コマンド
説明

eou allow

NAC フレームワーク コンフィギュレーションでのクライアントレス認証をイネーブルにします。

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

debug nac

NAC フレームワーク イベントのロギングをイネーブルにします。

eou initialize

1 つ以上の NAC フレームワーク セッションに割り当てられたリソースを消去し、セッションごとに新しい無条件のポスチャ確認を開始するには、特権 EXEC モードで eou initialize コマンドを使用します。

eou initialize { all | group tunnel-group | ip ip-address }

 
構文の説明

all

この適応型セキュリティ アプライアンス上のすべての NAC フレームワーク セッションを再確認します。

group

トンネル グループに割り当てられているすべての NAC フレームワーク セッションを再確認します。

ip

単一の NAC フレームワーク セッションを再確認します。

ip-address

トンネルのリモート ピア側の IP アドレス。

tunnel-group

トンネルをセットアップするパラメータのネゴシエーションに使用されるトンネル グループの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

リモート ピアのポスチャに変更が発生した場合や、割り当てられたアクセス ポリシー(ダウンロードされた ACL)が変更された場合に、セッションに割り当てられたリソースを消去するには、このコマンドを使用します。このコマンドを入力すると、ポスチャ確認に使用される EAPoUDP アソシエーションとアクセス ポリシーが消去されます。NAC デフォルト ACL は再確認時には有効です。そのためセッションを初期化すると、ユーザのトラフィックが妨げられる可能性があります。このコマンドは、ポスチャ確認から免除されているピアには作用しません。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、すべての NAC フレームワーク セッションを初期化する例を示します。

hostname# eou initialize all
hostname
 

次に、tg1 という名前のトンネル グループに割り当てられたすべての NAC フレームワーク セッションを初期化する例を示します。

hostname# eou initialize group tg1
hostname
 

次に、IP アドレス 209.165. 200.225 が設定されているエンドポイントの NAC フレームワーク セッションを初期化する例を示します。

hostname# eou initialize 209.165.200.225
hostname
 

 
関連コマンド

コマンド
説明

eou revalidate

1 つ以上の NAC フレームワーク セッションのポスチャ再確認をただちに強制します。

reval-period

NAC フレームワーク セッションでの成功したポスチャ確認の間隔を指定します。

sq-period

NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

debug nac

NAC フレームワーク イベントのロギングをイネーブルにします。

eou max-retry

適応型セキュリティ アプライアンスが EAP over UDP メッセージをリモート コンピュータに再送信する回数を変更するには、グローバル コンフィギュレーション モードで eou max-retry コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou max-retry retries

no eou max-retry

 
構文の説明

retries

再送信タイマー期限切れの応答で送信された連続再試行の回数を制限します。値は 1 ~ 3 の範囲で入力します。

 
デフォルト

デフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、次の条件をすべて満たしている場合にのみ有効です。

クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバが設定されている。

適応型セキュリティ アプライアンス上でクライアントレス認証がイネーブルになっている。

適応型セキュリティ アプライアンス上にネットワーク アドミッション コントロールが設定されている。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、EAP over UDP 再送信の回数を 1 回に制限する例を示します。

hostname(config)# eou max-retry 1
hostname(config)#
 

次に、EAP over UDP 再送信の回数をデフォルト値の 3 回に変更する例を示します。

hostname(config)# no eou max-retry
hostname(config)#
 

 
関連コマンド

eou timeout

NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。

sq-period

NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

debug nac

NAC フレームワーク イベントのロギングをイネーブルにします。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

eou port

NAC フレームワーク コンフィギュレーションで Cisco Trust Agent と通信する EAP over UDP のポート番号を変更するには、グローバル コンフィギュレーション モードで eou port コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou port port_number

no eou port

 
構文の説明

port_number

EAP over UDP 通信用に指定される、クライアント エンドポイント上のポート番号。この番号は Cisco Trust Agent 上で設定されるポート番号です。値は 1024 ~ 65535 の範囲で入力します。

 
デフォルト

デフォルト値は 21862 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、EAP over UDP 通信用ポート番号を 62445 に変更する例を示します。

hostname(config)# eou port 62445
hostname(config)#
 

次に、EAP over UDP 通信用ポート番号をデフォルト値に変更する例を示します。

hostname(config)# no eou port
hostname(config)#
 

 
関連コマンド

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

eou initialize

1 つ以上の NAC フレームワーク セッションに割り当てられているリソースを消去し、セッションごとに新しい無条件のポスチャ確認を開始します。

eou revalidate

1 つ以上の NAC フレームワーク セッションのポスチャ再確認をただちに強制します。

show vpn-session_summary.db

VLAN マッピング セッション データを含む、IPSec、Cisco AnyConnect、NAC の各セッションの数を表示します。

show vpn-session.db

VLAN マッピングと NAC の結果を含む、VPN セッションの情報を表示します。

eou revalidate

1 つ以上の NAC フレームワーク セッションのポスチャ再確認をただちに強制するには、特権 EXEC モードで eou revalidate コマンドを使用します。

eou revalidate { all | group tunnel-group | ip ip-address }

 
構文の説明

all

この適応型セキュリティ アプライアンス上のすべての NAC フレームワーク セッションを再確認します。

group

トンネル グループに割り当てられているすべての NAC フレームワーク セッションを再確認します。

ip

単一の NAC フレームワーク セッションを再確認します。

ip-address

トンネルのリモート ピア側の IP アドレス。

tunnel-group

トンネルをセットアップするパラメータのネゴシエーションに使用されるトンネル グループの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ピアのポスチャまたは割り当てられたアクセス ポリシー(ダウンロードされた ACL)が変更された場合、このコマンドを使用します。このコマンドは新しい無条件のポスチャ確認を開始します。コマンドを入力する前に有効であったポスチャ確認と割り当てられたアクセス ポリシーは、新しいポスチャ確認が成功するか失敗するまで有効のままです。このコマンドは、ポスチャ確認から免除されているピアには作用しません。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、すべての NAC フレームワーク セッションを再確認する例を示します。

hostname# eou revalidate all
hostname
 

次に、tg-1 という名前のトンネル グループに割り当てられたすべての NAC フレームワーク セッションを再確認する例を示します。

hostname# eou revalidate group tg-1
hostname
 

次に、IP アドレス 209.165 200.225 が設定されているエンドポイントの NAC フレームワーク セッションを再確認する例を示します。

hostname# eou revalidate ip 209.165.200.225
hostname
 

 
関連コマンド

コマンド
説明

eou initialize

1 つ以上の NAC フレームワーク セッションに割り当てられているリソースを消去し、セッションごとに新しい無条件のポスチャ確認を開始します。

eou timeout

NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。

reval-period

NAC フレームワーク セッションでの成功したポスチャ確認の間隔を指定します。

sq-period

NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

eou timeout

NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後の待機秒数を変更するには、グローバル コンフィギュレーション モードで eou timeout コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou timeout {hold-period | retransmit } seconds

no eou timeout {hold-period | retransmit }

 
構文の説明

hold-period

EAPoUDP メッセージ送信後の最長待機時間は EAPoUDP 再試行数と同じです。 eou initialize コマンドまたは eou revalidate コマンドでも、このタイマーを消去できます。このタイマーの期限が切れると、適応型セキュリティ アプライアンスは EAP over UDP とリモート ホストとの関連付けを新たに開始します。

retransmit

EAPoUDP メッセージ送信後の最長待機時間。リモート ホストから応答があると、このタイマーは消去されます。 eou initialize コマンドまたは eou revalidate コマンドでも、このタイマーを消去できます。このタイマーの期限が切れると、適応型セキュリティ アプライアンスは EAPoUDP メッセージをリモート ホストに再送します。

seconds

適応型セキュリティ アプライアンスが待機する秒数。hold-period アトリビュートには範囲 60 ~ 86400 の値を、retransmit アトリビュートには範囲 1 ~ 60 の値を入力します。

 
デフォルト

hold-period アトリビュートのデフォルト値は 180 です。

retransmit アトリビュートのデフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間を 120 秒に変更する例を示します。

hostname(config)# eou timeout hold-period 120
hostname(config)#
 

次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間をデフォルト値に変更する例を示します。

hostname(config)# no eou timeout hold-period
hostname(config)#
 

次に、再送信タイマーを 6 秒に変更する例を示します。

hostname(config)# eou timeout retransmit 6
hostname(config)#
 

次に、再送信タイマーをデフォルト値に変更する例を示します。

hostname(config)# no eou timeout retransmit
hostname(config)#
 

 
関連コマンド

コマンド
説明

debug eou

EAP over UDP イベントのロギングをイネーブルにして、NAC フレームワーク メッセージをデバッグします。

eou max-retry

適応型セキュリティ アプライアンスが EAP over UDP メッセージをリモート コンピュータに再送する回数を変更します。

erase

ファイル システムを消去して再フォーマットするには、特権 EXEC モードで erase コマンドを使用します。このコマンドは、非表示のシステム ファイルを含むすべてのファイルを上書きし、ファイル システムを消去してから、ファイル システムを再インストールします。

erase [disk0: | disk1: | flash:]

 
構文の説明

disk0 :

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

(任意)外部のコンパクト フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。


注意 フラッシュ メモリを消去すると、フラッシュ メモリに保存されているライセンス情報も削除されます。フラッシュ メモリを消去する前に、ライセンス情報を保存してください。

ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 のエイリアスです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

erase コマンドは、OxFF パターンを使用してフラッシュ メモリ上のすべてのデータを消去し、空のファイル システム割り当てテーブルをデバイスに書き換えます。

すべての可視ファイル(非表示のシステム ファイル以外)を削除するには、 erase コマンドではなく、 delete /recursive コマンドを入力します。


) Cisco ASA 5500 シリーズの適応型セキュリティ アプライアンスでは、erase コマンドを実行すると、ディスク上のすべてのユーザ データが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイル システムの制御構造をリセットするだけです。ロウ ディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。


次に、ファイル システムを消去して再フォーマットする例を示します。

hostname# erase flash:
 

 
関連コマンド

コマンド
説明

delete

非表示のシステム ファイルを除く、すべての可視ファイルを削除します。

format

すべてのファイル(非表示のシステム ファイルを含む)を消去して、ファイル システムをフォーマットします。

esp

IPSec Pass Thru インスペクション用に esp トンネルと AH トンネルのパラメータを指定するには、パラメータ コンフィギュレーション モードで esp コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

{ esp | ah } [per-client-max num ] [timeout time]

no { esp | ah } [per-client-max num ] [timeout time]

 
構文の説明

esp

esp トンネルのパラメータを指定します。

ah

AH トンネルのパラメータを指定します。

per-client-max num

1 つのクライアントからの最大トンネルを指定します。

timeout time

esp トンネルのアイドル タイムアウトを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、UDP 500 トラフィックを許可する方法の例を示します。

hostname(config)# access-list test-udp-acl extended permit udp any any eq 500
hostname(config)# class-map test-udp-class
hostname(config-pmap-c)# match access-list test-udp-acl
 
hostname(config)# policy-map type inspect ipsec-pass-thru ipsec-map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# esp per-client-max 32 timeout 00:06:00
hostname(config-pmap-p)# ah per-client-max 16 timeout 00:05:00
 
hostname(config)# policy-map test-udp-policy
hostname(config-pmap)# class test-udp-class
hostname(config-pmap-c)# inspect ipsec-pass-thru ipsec-map
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

established

確立されている接続に基づくポート上のリターン接続を許可するには、グローバル コンフィギュレーション モードで established コマンドを使用します。established 機能をディセーブルにするには、このコマンドの no 形式を使用します。

est ablished est_ protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port [-port]]

no est ablished est_ protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port [-port]]

 
構文の説明

est_protocol

確立されている接続のルックアップに使用する IP プロトコル(UDP または TCP)を指定します。

dest_port

確立されている接続のルックアップに使用する宛先ポートを指定します。

permitfrom

(任意)指定されたポートから発信されるリターン プロトコル接続を許可します。

permitto

(任意)指定されたポート宛てのリターン プロトコル接続を許可します。

port [ -port ]

(任意)リターン接続の(UDP または TCP)宛先ポートを指定します。

protocol

(任意)リターン接続により使用される IP プロトコル(UDP または TCP)。

source_port

(任意)確立されている接続のルックアップに使用する送信元ポートを指定します。

 
デフォルト

デフォルトは次のとおりです。

dest_port --0(ワイルドカード)

source_port --0(ワイルドカード)

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

to および from キーワードが、CLI から削除されました。代わりに permitto および permitfrom キーワードを使用してください。

 
使用上のガイドライン

established コマンドは、発信接続に対するリターン アクセスが適応型セキュリティ アプライアンスを通過することを許可します。このコマンドは、ネットワークから発信され、適応型セキュリティ アプライアンスによって保護されている元の接続、および外部ホスト上の同じ 2 つのデバイス間の着信であるリターン接続を扱います。established コマンドを使用すると、接続のルックアップに使用する宛先ポートを指定できます。この追加によって、コマンドをさらに制御できるようになり、宛先ポートは既知であるが、送信元ポートは不明のプロトコルをサポートできます。permitto キーワードと permitfrom キーワードは、リターン着信接続を定義します。


注意 established コマンドには、常に permitto キーワードと permitfrom キーワードを指定することを推奨します。これらのキーワードを指定せずに established コマンドを使用すると、外部システムに接続したときに、その外部システムが接続に関係する内部ホストに無制限に接続できるため、セキュリティ リスクを負う可能性があります。この状況は、内部システムへの攻撃に利用されるおそれがあります。

次に、established コマンドを正しく使用しなかった場合に発生する可能性のあるセキュリティ違反の一連の例を示します。

この例は、内部システムがポート 4000 上の外部ホストに TCP 接続を作成した場合、外部ホストは任意のプロトコルを使用して任意のポート上に戻れることを示しています。

hostname(config)# established tcp 4000 0
 

使用するポートをプロトコルが指定しない場合、送信元ポートおよび宛先ポートを 0 に指定できます。必要な場合に限り、ワイルドカード ポート(0)を使用します。

hostname(config)# established tcp 0 0
 

) established コマンドが正しく動作するには、クライアントが permitto キーワードで指定したポート上でリッスンしている必要があります。


established コマンドは、nat 0 コマンド(global コマンドがない)を付けて使用できます。


) established コマンドは PAT と一緒に使用できません。


適応型セキュリティ アプライアンスは、 established コマンドと連携して XDMCP をサポートしています。


注意 適応型セキュリティ アプライアンスを介して XWindows システム アプリケーションを使用すると、セキュリティ リスクを負う可能性があります。

XDMCP はデフォルトでオンになっていますが、established コマンドを次のように入力するまでセッションは確立されません。

hostname(config)# established tcp 6000 0 permitto tcp 6000 permitfrom tcp 1024-65535
 

established コマンドを入力すると、内部の XDMCP(UNIX または ReflectionX)搭載ホストが、外部の XDMCP 搭載 XWindows サーバにアクセスできるようになります。UDP/177 ベースの XDMCP が TCP ベースの XWindows セッションをネゴシエートし、それに続く TCP リターン接続が許可されます。リターン トラフィックの送信元ポートが不明であるため、 source_port フィールドを 0(ワイルドカード)と指定します。 dest_port は、6000 + n である必要があります。ここで、 n は、ローカル ディスプレイ番号を表します。この UNIX コマンドを使用して、この値を変更します。

hostname(config)# setenv DISPLAY hostname:displaynumber.screennumber
 

established コマンドが必要な理由は、多くの TCP 接続が(ユーザの対話に基づき)生成され、これらの接続に使用される送信元ポートが不明であるためです。宛先ポートだけがスタティックです。適応型セキュリティ アプライアンスは、XDMCP フィックスアップを透過的に行います。設定は不要ですが、TCP セッションに対応するには established コマンドを入力する必要があります。

次に、プロトコル A を使用した送信元ポート C からポート B を宛先とする、2 つのホスト間の接続の例を示します。適応型セキュリティ アプライアンスを通過するリターン接続とプロトコル D(プロトコル D はプロトコル A と異なる場合があります)を許可するには、送信元ポートはポート F に対応し、宛先ポートはポート E に対応している必要があります。

hostname(config)# established A B C permitto D E permitfrom D F
 

次に、内部ホストから外部ホストに対し、TCP 宛先ポート 6060 と任意の送信元ポートを使用して接続を開始する方法の例を示します。適応型セキュリティ アプライアンスは、このホスト間に TCP 宛先ポート 6061 と任意の TCP 送信元ポートを経由するリターン トラフィックを許可します。

hostname(config)# established tcp 6060 0 permitto tcp 6061 permitfrom tcp 0
 

次に、内部ホストから外部ホストに対し、UDP 宛先ポート 6060 と任意の送信元ポートを使用して接続を開始する方法の例を示します。適応型セキュリティ アプライアンスは、このホスト間に TCP 宛先ポート 6061 と TCP 送信元ポート 1024-65535 を経由するリターン トラフィックを許可します。

hostname(config)# established udp 6060 0 permitto tcp 6061 permitfrom tcp 1024-65535
 

次に、ローカル ホストが外部のホストに対してポート 9999 上で TCP 接続を開始する方法の例を示します。この例では、外部ホストのポート 4242 からのパケットがローカル ホストのポート 5454 に戻ることが許可されます。

hostname(config)# established tcp 9999 permitto tcp 5454 permitfrom tcp 4242
 

 
関連コマンド

コマンド
説明

clear configure established

確立されたコマンドをすべて削除します。

show running-config established

確立されている接続に基づく、許可済みの着信接続を表示します。

exceed-mss

スリーウェイ ハンドシェイク中に、ピアによって設定された TCP の最大セグメント サイズを超過するデータ長のパケットを許可またはドロップするには、TCP マップ コンフィギュレーション モードで exceed-mss コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

exceed-mss { allow | drop }

no exceed-mss { allow | drop }

 
構文の説明

allow

MSS を超過するパケットを許可します。これがデフォルト設定です。

drop

MSS を超過するパケットをドロップします。

 
デフォルト

デフォルトでは、パケットは許可されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(4)/8.0(4)

デフォルト値が drop から allow に変更されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。スリーウェイ ハンドシェイク中に、ピアによって設定された TCP の最大セグメント サイズを超過するデータ長の TCP パケットをドロップするには、TCP マップ コンフィギュレーション モードの exceed-mss コマンドを使用します。

次に、MSS を超過する場合にポート 21 でフローをドロップする例を示します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# exceed-mss drop
hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq ftp
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection advanced-options

TCP 正規化などの拡張接続機能を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

exempt-list

ポスチャ確認を免除するリモート コンピュータ タイプのリストにエントリを追加するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで exempt-list コマンドを使用します。免除リストからエントリを削除するには、このコマンドの no 形式を使用し、削除するエントリのオペレーティング システムと ACL を指定します。

exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

no exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

 
構文の説明

acl-name

適応型セキュリティ アプライアンスのコンフィギュレーションに含まれる ACL の名前。指定する場合は、 filter キーワードの次に指定する必要があります。

disable

2 つの機能のいずれかを次のように実行します。

「os-name」の後に入力すると、適応型セキュリティ アプライアンスは免除を無視し、そのオペレーティング システムを実行しているリモート ホストに NAC ポスチャ確認を適用します。

acl-name の後に入力すると、適応型セキュリティ アプライアンスはそのオペレーティング システムを免除しますが、関連するトラフィックに ACL は割り当てられません。

filter

ACL を適用して、コンピュータのオペレーティング システムが os name に一致した場合にトラフィックをフィルタリングします。filter と acl-name のペアはオプションです。

os

オペレーティング システムのポスチャ確認を免除します。

os name

オペレーティング システムの名前。引用符は、名前にスペースが入っている場合のみ必要です( "Windows XP" など)。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

nac ポリシー nac フレームワーク コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

コマンド名が vpn-nac-exempt から exempt-list に変更されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドでオペレーティング システムを指定しても、すでに例外リストに追加されているエントリが上書きされることはありません。このコマンドは、免除するオペレーティング システムと ACL ごとに 1 回入力します。

no exempt-list コマンドは、NAC フレームワーク ポリシーからすべての免除を削除します。このコマンドの no 形式を発行するときにエントリを指定すると、そのエントリが免除リストから削除されます。

この NAC ポリシーに関連付けられている免除リストからすべてのエントリを削除するには、追加のキーワードを指定せずにこのコマンドの no 形式を使用します。

次に、Windows XP を実行しているすべてのホストを、ポスチャ確認を免除するコンピュータのリストに追加する例を示します。

hostname(config-group-policy)# exempt-list os "Windows XP"
hostname(config-group-policy)
 

次に、Windows XP を実行しているホストをすべて免除し、これらのホストからのトラフィックに acl-1 という ACL を適用する例を示します。

hostname(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-1
hostname(config-nac-policy-nac-framework)
 

次に、免除リストから同じエントリを削除する例を示します。

hostname(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-1
hostname(config-nac-policy-nac-framework)
 

次に、免除リストからすべてのエントリを削除する例を示します。

hostname(config-nac-policy-nac-framework)# no exempt-list
hostname(config-nac-policy-nac-framework)
 

 
関連コマンド

コマンド
説明

nac-policy

Cisco NAC ポリシーを作成してアクセスし、そのタイプを指定します。

nac-settings

NAC ポリシーをグループ ポリシーに割り当てます。

show vpn-session_summary.db

IPSec、Cisco AnyConnect、および NAC の各セッションの数を表示します。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

debug nac

NAC フレームワーク イベントのロギングをイネーブルにします。

exit

現在のコンフィギュレーション モードを終了するか、特権 EXEC モードまたはユーザ EXEC モードからログアウトするには、 exit コマンドを使用します。

exit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

キー シーケンス Ctrl+Z を使用しても、グローバル コンフィギュレーションおよびそれより上位のモードを終了できます。このキー シーケンスは、特権 EXEC モードまたはユーザ EXEC モードでは機能しません。

特権 EXEC モードまたはユーザ EXEC モードで exit コマンドを入力すると、適応型セキュリティ アプライアンスからログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。

次に、 exit コマンドを使用してグローバル コンフィギュレーション モードを終了して、セッションからログアウトする方法の例を示します。

hostname(config)# exit
hostname# exit
 
Logoff
 

次に、 exit コマンドを使用してグローバル コンフィギュレーション モードを終了し、次に disable コマンドを使用して特権 EXEC モードを終了する方法の例を示します。

hostname(config)# exit
hostname# disable
hostname>

 
関連コマンド

コマンド
説明

quit

コンフィギュレーション モードを終了するか、または特権 EXEC モードまたはユーザ EXEC モードからログアウトします。

expiry-time

オブジェクトのキャッシングが、オブジェクトを再確認せずに期限切れになる時刻を設定するには、キャッシュ コンフィギュレーション モードで expiry-time コマンドを使用します。コンフィギュレーションから期限切れ時刻を削除してデフォルト値にリセットするには、このコマンドの no 形式を使用します。

expiry-time time

no expiry-time

 
構文の説明

time

適応型セキュリティ アプライアンスがオブジェクトを再確認せずにキャッシュする場合に必要な時間(分単位)。

 
デフォルト

1 分。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

キャッシュ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

有効期限は、適応型セキュリティ アプライアンスがオブジェクトを再確認せずにキャッシュする場合に必要な時間を分単位で表したものです。再確認は、コンテンツを再び確認することによって行われます。

次に、有効期限の値を 13 分に設定する方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)#expiry-time 13
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードを開始します。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシュをディセーブルにします。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシュに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

export

クライアントにエクスポートする証明書を指定するには、CTL プロバイダー コンフィギュレーション モードで export コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

export certificate trustpoint_name

no export certificate [ trustpoint_name]

 
構文の説明

certificate trustpoint_name

クライアントにエクスポートする証明書を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CTL プロバイダー コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CTL プロバイダー コンフィギュレーション モードで export コマンドを使用して、クライアントにエクスポートする証明書を指定します。トラストポイント名は、crypto ca trustpoint コマンドで定義します。CTL クライアントが作成した証明書信頼リスト ファイルに証明書が追加されます。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。

hostname(config)# ctl-provider my_ctl
hostname(config-ctl-provider)# client interface inside 172.23.45.1
hostname(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
hostname(config-ctl-provider)# export certificate ccm_proxy
hostname(config-ctl-provider)# ctl install
 

 
関連コマンド

コマンド
説明

ctl

CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールします。

ctl-provider

CTL プロバイダー モードで CTL プロバイダー インスタンスを設定します。

client

CTL プロバイダーへの接続が許可されるクライアントを指定し、クライアント認証用のユーザ名とパスワードも指定します。

service

CTL プロバイダーがリッスンするポートを指定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

export webvpn customization

クライアントレス SSL VPN ユーザに表示される画面をカスタマイズする カスタマイゼーション オブジェクトをエクスポートするには、特権 EXEC モードで export webvpn customization コマンドを使用します。

export webvpn customization name url

 
構文の説明

name

カスタマイゼーション オブジェクトを識別する名前。最大 64 文字です。

url

XML カスタマイゼーション オブジェクトをエクスポートする URL/filename 形式のリモート パスとファイル名(最大 255 文字)。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

カスタマイゼーション オブジェクトはキャッシュ メモリ内にある XML ファイルで、クライアントレス SSL VPN ユーザに表示される画面(ログイン画面およびログアウト画面、ポータル ページ、使用可能な言語など)をカスタマイズします。カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。

カスタマイゼーション オブジェクトによって作成される Template という XML ファイルには空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎を提供します。このオブジェクトは、変更したりキャッシュ メモリから削除したりはできませんが、エクスポートおよび編集して、再度適応型セキュリティ アプライアンスに新しいカスタマイゼーション オブジェクトとしてインポートすることはできます。

Template の内容は、DfltCustomization オブジェクトの初期状態と同じです。

export webvpn customization コマンドを使用してカスタマイゼーション オブジェクトをエクスポートし、XML タグを変更し、 import webvpn customization コマンドを使用してそのファイルを新しいオブジェクトとしてインポートできます。

次に、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、dflt_custom という名前の XML ファイルを作成する例を示します。

hostname# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
hostname#

 
関連コマンド

コマンド
説明

import webvpn customization

XML ファイルをカスタマイゼーション オブジェクトとしてキャッシュ メモリにインポートします。

revert webvpn customization

キャッシュ メモリからカスタマイゼーション オブジェクトを削除します。

show import webvpn customization

キャッシュ メモリにあるカスタマイゼーション オブジェクトに関する情報を表示します。

export webvpn translation-table

SSL VPN 接続を確立するリモート ユーザに表示される用語の変換に使用される変換テーブルをエクスポートするには、特権 EXEC モードで export webvpn translation-table コマンドを使用します。

export webvpn translation-table translation_domain {language language | template} url

 
構文の説明

language

事前にインポート済みの変換テーブル名を指定します。値は、ブラウザの言語オプションの表現に従って入力します。

translation_domain

機能エリアおよび関連するメッセージです。 表 11-1 に、使用可能な変換ドメインを示します。

url

オブジェクトの URL を指定します。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。

リモート ユーザに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。 表 11-1 に、変換ドメインと変換される機能エリアを示します。

表 11-1 変換ドメインと影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

banners

リモート ユーザに表示されるバナーと、VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。適応型セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログイン ページ、ログアウト ページ、ポータルページ、および URL ブックマーク はカスタマイズできるため、 適応型セキュリティ アプライアンスは、ダイナミックに customization および url-list 変換ドメイン テンプレートを生成して、これらの機能エリアへの変更を自動的にそのテンプレートに反映させます。

以前にインポートされた変換テーブルをエクスポートすると、URL の場所にそのテーブルの XML ファイルが作成されます。 show import webvpn translation-table コマンドを使用して、使用可能なテンプレートと以前にインポートされたテーブルのリストを表示できます。

export webvpn translation-table コマンドを使用してテンプレートまたは変換テーブルをダウンロードし、メッセージを変更してから、 import webvpn translation-table コマンドを使用して変換テーブルをインポートします。

次に、変換ドメイン customization 用のテンプレートをエクスポートする例を示します。このドメインは、 クライアントレス SSL VPN 接続を確立するリモート ユーザがカスタマイズおよび表示可能なログイン ページ、ログアウト ページ、ポータル ページ、およびすべてのメッセージを変換するために使用します。適応型セキュリティ アプライアンスは、 Sales という名前の XML ファイルを作成します。

hostname# export webvpn translation-table customization template tftp://209.165.200.225/Sales
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 

次に、 zh という名前の、以前にインポートされた中国語用変換テーブルをエクスポートする例を示します。この短縮形 zh は、Microsoft Internet Explorer ブラウザの [Internet Options] で中国語に指定されている短縮形に準拠しています。 適応型セキュリティ アプライアンスは、 Chinese という名前の XML ファイルを作成します。

hostname# export webvpn translation-table customization language zh tftp://209.165.200.225/Chinese
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 

 
関連コマンド

コマンド
説明

import webvpn translation-table

変換テーブルをインポートします。

revert

キャッシュ メモリから変換テーブルを削除します。

show import webvpn translation-table

インポートした変換テーブルに関する情報を表示します。

export webvpn url-list

URL リストをリモートの場所にエクスポートするには、特権 EXEC モードで export webvpn url-list コマンドを使用します。

export webvpn url-list name url

 
構文の説明

name

URL リストを識別する名前。最大 64 文字です。

URL

URL リストのソースへのリモート パス。最大 255 文字です。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、WebVPN には URL リストはありません。

Template というオブジェクトは、 export webvpn url-list コマンドを使用したダウンロードに使用できます。Template を変更および削除することはできません。Template の内容を編集してカスタムの URL リストとして保存し、 import webvpn url-list コマンドを使用してインポートし、カスタム URL リストに追加できます。

以前にインポートされた URL リストをエクスポートすると、URL の場所にリストの XML ファイルが作成されます。 show import webvpn url-list コマンドを使用すると、使用可能なテンプレートと以前にインポートされたテーブルのリストを表示できます。

次に、 servers という URL リストをエクスポートする例を示します。

hostname# export webvpn url-list servers2 tftp://209.165.200.225
hostname#
 
 

 
関連コマンド

コマンド
説明

import webvpn url-list

URL リストをインポートします。

revert webvpn url-list

キャッシュ メモリから URL リストを削除します。

show import webvpn url-list

インポートされた URL リストに関する情報を表示します。

export webvpn webcontent

リモートのクライアントレス SSL VPN ユーザに表示されるフラッシュ メモリにある、以前にインポートされたコンテンツをエクスポートするには、特権 EXEC モードで export webvpn webcontent コマンドを使用します。

export webvpn webcontent < source url > < destination url >

 
構文の説明

< source url >

コンテンツがある適応型セキュリティ アプライアンスのフラッシュ メモリの URL。最大 64 文字です。

< destination url >

エクスポート先の URL 。最大 255 文字です。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

webcontent オプションを指定してエクスポートされるコンテンツは、リモートのクライアントレスユーザに表示されるコンテンツです。これには、クライアントレス ポータルに表示される、以前にインポートされたヘルプ コンテンツや、カスタマイゼーション オブジェクトが使用するロゴなどがあります。

export webvpn webcontent コマンドの後に疑問符( ? )を入力すると、エクスポート可能なコンテンツのリストを表示できます。次の例を参考にしてください。

hostname# export webvpn webcontent ?
 
Select webcontent to export:
/+CSCOE+/help/en/app-access-hlp.inc
/+CSCOU+/cisco_logo.gif

次に、ファイル logo.gif を、tftp を使用して 209.165.200.225 にファイル名 logo_copy.gif としてエクスポートする例を示します。

hostname# export webvpn webcontent /+CSCOU+/logo.gif tftp://209.165.200.225/logo_copy.gif
!!!!* Web resource `/+CSCOU+/logo.gif' was successfully initialized

 
関連コマンド

コマンド
説明

import webvpn webcontent

クライアントレス SSL VPN ユーザに表示されるコンテンツをインポートします。

revert webvpn webcontent

コンテンツをフラッシュ メモリから削除します。

show import webvpn webcontent

インポートされたコンテンツに関する情報を表示します。

failover

フェールオーバーをイネーブルにするには、グローバル コンフィギュレーション モードで failover コマンドを使用します。フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。

failover

no failover

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

フェールオーバーはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、コンフィギュレーションでフェールオーバーをイネーブルまたはディセーブルにすることに制限されています( failover active コマンドを参照してください)。

 
使用上のガイドライン

フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信されるすべての情報は、フェールオーバー キーで通信のセキュリティを保護しない限り、クリア テキストで送信されます。VPN トンネルを終了するために適応型セキュリティ アプライアンスを使用する場合、この情報には、このトンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクを負う可能性があります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終了する場合は、フェールオーバー キーを使用してフェールオーバー通信のセキュリティを保護することを推奨します。

ASA 5505 デバイスではステートレス フェールオーバーのみが許可されます。さらに、Easy VPN ハードウェア クライアントとして機能していない場合に限ります。

次に、フェールオーバーをディセーブルする例を示します。

hostname(config)# no failover
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure failover

failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。

failover active

スタンバイ装置をアクティブに切り替えます。

show failover

装置のフェールオーバー ステータスに関する情報を表示します。

show running-config failover

実行コンフィギュレーションの failover コマンドを表示します。

failover active

スタンバイ用適応型セキュリティ アプライアンスまたはフェールオーバー グループをアクティブ状態に切り替えるには、特権 EXEC モードで failover active コマンドを使用します。アクティブな適応型セキュリティ アプライアンスまたはフェールオーバー グループをスタンバイに切り替えるには、このコマンドの no 形式を使用します。

failover active [ group group_id ]

no failover active [ group group_id ]

 
構文の説明

group group_id

(任意)アクティブにするフェールオーバー グループを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、新しいフェールオーバー グループを含めるように変更されました。

 
使用上のガイドライン

failover active コマンドを使用して、スタンバイ装置からフェールオーバー スイッチを起動します。または、アクティブ装置から no failover active コマンドを使用して、フェールオーバー スイッチを起動します。この機能を使用して、障害が発生した装置をサービスに戻し、メンテナンスのためにアクティブ装置を強制的にオフラインにできます。ステートフル フェールオーバーを使用していない場合、すべてのアクティブな接続はドロップされるため、フェールオーバーが発生した後、クライアントはそれらの接続を再度確立する必要があります。

フェールオーバー グループの切り替えは、Active/Active フェールオーバーでのみ使用できます。フェールオーバー グループを指定せずに Active/Active フェールオーバー装置に failover active コマンドを入力した場合、装置上のすべてのグループがアクティブになります。

次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。

hostname# failover active group 1
 

 
関連コマンド

コマンド
説明

failover reset

適応型セキュリティ アプライアンスを、障害が発生した状態からスタンバイに変更します。

failover exec

フェールオーバー ペアの特定の装置でコマンドを実行するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで failover exec コマンドを使用します。

failover exec { active | standby | mate } cmd_string

 
構文の説明

active

コマンドをフェールオーバー ペアのアクティブ装置またはフェールオーバー グループで実行することを指定します。アクティブ装置またはフェールオーバー グループで入力されたコンフィギュレーション コマンドは、スタンバイ装置またはフェールオーバー グループに複製されます。

cmd_string

実行されるコマンド。表示コマンド、コンフィギュレーション コマンド、および EXEC コマンドがサポートされています。

mate

コマンドをフェールオーバー ピアで実行することを指定します。

standby

コマンドをフェールオーバー ペアのスタンバイ装置またはフェールオーバー グループで実行することを指定します。スタンバイ装置またはフェールオーバー グループで実行されるコンフィギュレーション コマンドは、アクティブ装置またはフェールオーバー グループに複製されません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

failover exec コマンドを使用して、コマンドをフェールオーバー ペアの特定の装置に送信できます。

コンフィギュレーション コマンドはアクティブ装置またはコンテキストからスタンバイ装置またはコンテキストに複製されるため、どちらの装置にログインしていても、 failover exec コマンドを使用して適切な装置にコンフィギュレーション コマンドを入力できます。たとえば、スタンバイ装置にログインしている場合、 failover exec active コマンドを使用してコンフィギュレーションの変更をアクティブ装置に送信できます。これらの変更はその後スタンバイ装置に複製されます。 failover exec コマンドを使用して、コンフィギュレーション コマンドをスタンバイ装置またはコンテキストに送信しないでください。これらのコンフィギュレーションの変更はアクティブ装置に複製されず、2 つのコンフィギュレーション間の同期が取れなくなります。

コンフィギュレーション コマンド、実行コマンド、および show コマンドの出力結果は現在のターミナル セッションに表示されるため、 failover exec コマンドを使用してピア装置で show コマンドを発行し、結果を現在の端末に表示できます。

ピア装置でコマンドを実行するには、ローカル装置でコマンドを実行できる権限が必要です。

コマンド モード

failover exec コマンドは、ターミナル セッションのコマンド モードとは別のコマンド モード状態を維持します。デフォルトでは、 failover exec コマンド モードは指定されたデバイスのグローバル コンフィギュレーション モードです。 failover exec コマンドを使用して、適切なコマンド( interface コマンドなど)を送信することで、そのコマンド モードを変更できます。

指定されたデバイスの failover exec コマンド モードを変更しても、デバイスへのアクセスに使用しているセッションのコマンド モードは変更されません。たとえば、フェールオーバー ペアのアクティブ装置にログインし、グローバル コンフィギュレーション モードで次のコマンドを発行した場合、ユーザはグローバル コンフィギュレーション モードのままですが、 failover exec コマンドを使用して送信されたコマンドはインターフェイス コンフィギュレーション モードで実行されます。

hostname(config)# failover exec interface GigabitEthernet0/1
hostname(config)#
 

デバイスに対する現在のセッションのコマンド モードを変更しても、 failover exec コマンドで使用されるコマンド モードには影響しません。たとえば、アクティブ装置のインターフェイス コンフィギュレーション モードにいて、 failover exec のコマンド モードを変更していない場合、次のコマンドはグローバル コンフィギュレーション モードで実行されます。

hostname(config-if)# failover exec active router ospf 100
hostname(config-if)#
 

failover exec コマンドで送信されたコマンドが実行される、指定されたデバイスのコマンド モードを表示するには、 show failover exec コマンドを使用します。

セキュリティ上の留意事項

failover exec コマンドはフェールオーバー リンクを使用して、コマンドをピア装置に送信し、ピア装置からコマンド実行の出力を受信します。 failover key コマンドを使用してフェールオーバー リンクを暗号化し、盗聴や中間者攻撃を防止する必要があります。

制限事項

ゼロダウンタイム アップグレード手順を使用して片方の装置をアップグレードし、もう一方をしない場合、 failover exec コマンドを機能させるには、両方の装置でこのコマンドをサポートするソフトウェアが実行されている必要があります。

コマンド補完とコンテキスト ヘルプは、 cmd_string 引数のコマンドには使用できません。

マルチ コンテキスト モードでは、ピア装置のピア コンテキストにだけコマンドを送信できます。別のコンテキストにコマンドを送信するには、まずログインしている装置でそのコンテキストに変更する必要があります。

failover exec コマンドでは、次のコマンドは使用できません。

changeto

debug undebug

スタンバイ装置が障害発生状態でも、サービス カードが原因の障害であれば、 failover exec コマンドから引き続きコマンドを受信できます。他の原因の場合、リモート コマンドの実行は失敗します。

failover exec コマンドを使用して、フェールオーバー ピアで特権 EXEC モードからグローバル コンフィギュレーション モードに切り替えることはできません。たとえば、現在の装置が特権 EXEC モードにある場合、 failover exec mate configure terminal と入力すると、 show failover exec mate の出力には、failover exec セッションがグローバル コンフィギュレーション モードであると表示されます。ただし、現在の装置でグローバル コンフィギュレーション モードを開始するまで、 failover exec を使用してピア装置にコンフィギュレーション コマンドを入力しても失敗します。

failover exec mate failover exec mate コマンド など、再帰的な failover exec コマンドは入力できません。

ユーザによる入力や確認が必要なコマンドには、 /nonconfirm オプションを使用する必要があります。

次に、 failover exec コマンドを使用して、アクティブ装置のフェールオーバー情報を表示する方法の例を示します。コマンドが実行される装置がアクティブ装置であるため、コマンドはローカルに実行されます。

hostname(config)# failover exec active show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: failover GigabitEthernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(2), Mate 8.0(2)
Last Failover at: 09:31:50 jst May 2 2004
This host: Primary - Active
Active time: 2483 (sec)
slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
admin Interface outside (192.168.5.101): Normal
admin Interface inside (192.168.0.1): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
admin Interface outside (192.168.5.111): Normal
admin Interface inside (192.168.0.11): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
 
Stateful Failover Logical Update Statistics
Link : failover GigabitEthernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 328 0 328 0
sys cmd 329 0 329 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 0 0
Xlate_Timeout 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 329
Xmit Q: 0 1 329
hostname(config)#
 
 

次に、 failover exec コマンドを使用して、ピア装置のフェールオーバー ステータスを表示する例を示します。コマンドはアクティブ装置であるプライマリ装置で実行されるため、表示される情報はセカンダリ装置(スタンバイ装置)からのものです。

hostname(config)# failover exec mate show failover
 
Failover On
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(2), Mate 8.0(2)
Last Failover at: 09:19:59 jst May 2 2004
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
admin Interface outside (192.168.5.111): Normal
admin Interface inside (192.168.0.11): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
Other host: Primary - Active
Active time: 2604 (sec)
slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
admin Interface outside (192.168.5.101): Normal
admin Interface inside (192.168.0.1): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
 
Stateful Failover Logical Update Statistics
Link : failover GigabitEthernet0/3 (up)
Stateful Obj xmit xerr rcv rerr
General 344 0 344 0
sys cmd 344 0 344 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 0 0
Xlate_Timeout 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 344
Xmit Q: 0 1 344
 
 

次に、 failover exec コマンドを使用して、フェールオーバー ピアのフェールオーバー コンフィギュレーションを表示する例を示します。コマンドはアクティブ装置であるプライマリ装置で実行されるため、表示される情報はセカンダリ装置(スタンバイ装置)からのものです。

 
hostname(config)# failover exec mate show running-config failover
 
failover
failover lan interface failover GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover polltime interface 3 holdtime 15
failover link failover GigabitEthernet0/3
failover interface ip failover 10.0.5.1 255.255.255.0 standby 10.0.5.2
ciscoasa(config)#
 

次に、 failover exec コマンドを使用して、スタンバイ装置からアクティブ装置上にコンテキストを作成する例を示します。コマンドはアクティブ装置から元のスタンバイ装置へと複製されます。「Creating context」メッセージが 2 つあることに注目してください。一方はコンテキスト作成時のピア装置からの failover exec コマンド出力で、もう一方は複製されたコマンドがコンテキストをローカルに作成したときにローカル装置から出力されたものです。

 
hostname(config)# show context
 
Context Name Class Interfaces URL
*admin default GigabitEthernet0/0, disk0:/admin.cfg
GigabitEthernet0/1
 
Total active Security Contexts: 1
 
! The following is executed in the system execution space on the standby unit.
 
hostname(config)# failover exec active context text
 
Creating context 'text'... Done. (2)
Creating context 'text'... Done. (3)
 
hostname(config)# show context
Context Name Class Interfaces URL
*admin default GigabitEthernet0/0, disk0:/admin.cfg
GigabitEthernet0/1
text default (not entered)
 
Total active Security Contexts: 2
 

次に、 failover exec コマンドを使用して、コンフィギュレーション コマンドをスタンバイ状態のフェールオーバー ピアに送信したときに返される警告の例を示します。

hostname# failover exec mate static (inside,outside) 192.168.5.241 192.168.0.241
 
**** WARNING ****
Configuration Replication is NOT performed from Standby unit to Active unit.
Configurations are no longer synchronized.
hostname(config)#
 
 

次に、 failover exec コマンドを使用して、 show interface コマンドをスタンバイ装置に送信する例を示します。

hostname(config)# failover exec standby show interface
 
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
MAC address 000b.fcf8.c290, MTU 1500
IP address 192.168.5.111, subnet mask 255.255.255.0
216 packets input, 27030 bytes, 0 no buffer
Received 2 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
284 packets output, 32124 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max blocks): hardware (0/0) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/0)
Traffic Statistics for "outside":
215 packets input, 23096 bytes
284 packets output, 26976 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 21 bytes/sec
1 minute output rate 0 pkts/sec, 23 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 21 bytes/sec
5 minute output rate 0 pkts/sec, 24 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/1 "inside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps
Auto-Duplex(Half-duplex), Auto-Speed(10 Mbps)
MAC address 000b.fcf8.c291, MTU 1500
IP address 192.168.0.11, subnet mask 255.255.255.0
214 packets input, 26902 bytes, 0 no buffer
Received 1 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
215 packets output, 27028 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max blocks): hardware (0/0) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/0)
Traffic Statistics for "inside":
214 packets input, 23050 bytes
215 packets output, 23140 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 21 bytes/sec
1 minute output rate 0 pkts/sec, 21 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 21 bytes/sec
5 minute output rate 0 pkts/sec, 21 bytes/sec
5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/2 "failover", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
Description: LAN/STATE Failover Interface
MAC address 000b.fcf8.c293, MTU 1500
IP address 10.0.5.2, subnet mask 255.255.255.0
1991 packets input, 408734 bytes, 0 no buffer
Received 1 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
1835 packets output, 254114 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max blocks): hardware (0/0) software (0/0)
output queue (curr/max blocks): hardware (0/2) software (0/0)
Traffic Statistics for "failover":
1913 packets input, 345310 bytes
1755 packets output, 212452 bytes
0 packets dropped
1 minute input rate 1 pkts/sec, 319 bytes/sec
1 minute output rate 1 pkts/sec, 194 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 1 pkts/sec, 318 bytes/sec
5 minute output rate 1 pkts/sec, 192 bytes/sec
5 minute drop rate, 0 pkts/sec
.
.
.
 

次に、不正なコマンドをピア装置に送信したときに返されるエラー メッセージの例を示します。

hostname# failover exec mate bad command
 
bad command
^
ERROR: % Invalid input detected at '^' marker.
 

次に、フェールオーバーがディセーブルのときに failover exec コマンドを使用すると返されるエラー メッセージの例を示します。

hostname(config)# failover exec mate show failover
 
ERROR: Cannot execute command on mate because failover is disabled
 

 
関連コマンド

コマンド
説明

debug fover

フェールオーバー関連のデバッグ メッセージを表示します。

debug xml

failover exec コマンドが使用する XML パーサーのデバッグ メッセージを表示します。

show failover exec

failover exec コマンド モードを表示します。

failover group

Active/Active フェールオーバー グループを設定するには、グローバル コンフィギュレーション モードで failover group コマンドを使用します。フェールオーバー グループを削除するには、このコマンドの no 形式を使用します。

failover group num

no failover group num

 
構文の説明

num

フェールオーバー グループの番号。有効な値は 1 または 2 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

最大 2 つのフェールオーバー グループを定義できます。 failover group コマンドは、マルチ コンテキスト モード用に設定されたデバイスのシステム コンテキストにだけ追加できます。フェールオーバーがディセーブルの場合にのみ、フェールオーバー グループを作成および削除できます。

このコマンドを入力すると、フェールオーバー グループ コマンド モードを開始します。 primary secondary preempt replication http interface-policy mac address polltime interface の各コマンドは、フェールオーバー グループ コンフィギュレーション モードで使用できます。グローバル コンフィギュレーション モードに戻るには、 exit コマンドを使用します。


failover polltime interfacefailover interface-policyfailover replication httpfailover mac address の各コマンドは、Active/Active フェールオーバー コンフィギュレーションに影響を与えません。それらのコマンドは、フェールオーバー グループ コンフィギュレーション モードの polltime interfaceinterface-policyreplication httpmac address の各コマンドによって上書きされます。


フェールオーバー グループを削除するときは、フェールオーバー グループ 1 を最後に削除する必要があります。フェールオーバー グループ 1 には、常に管理コンテキストが含まれています。フェールオーバー グループに割り当てられていないコンテキストは、デフォルトによりフェールオーバー グループ 1 に割り当てられます。コンテキストが明示的に割り当てられているフェールオーバー グループは削除できません。


) 同じネットワークに複数の Active/Active フェールオーバー ペアがある場合、あるペアのインターフェイスと別のペアのインターフェイスに同じデフォルトの仮想 MAC アドレスが割り当てられている可能性があります。これは、デフォルトの仮想 MAC アドレスを決定する方法が原因です。ネットワーク上の MAC アドレスを重複しないようにするには、mac address コマンドを使用して、各物理インターフェイスに必ずアクティブとスタンバイの仮想 MAC アドレスを割り当ててください。


次に、2 つのフェールオーバー グループに対して適用可能なコンフィギュレーションの例を一部示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

asr-group

非対称のルーティング インターフェイス グループ ID を指定します。

interface-policy

モニタリングがインターフェイス障害を検出したときのフェールオーバーポリシーを指定します。

join-failover-group

コンテキストをフェールオーバー グループに割り当てます。

mac address

フェールオーバー グループ内のコンテキストの仮想 MAC アドレスを定義します。

polltime interface

モニタされているインターフェイスに送信される hello メッセージの間隔を指定します。

preempt

リブート後、プライオリティがより高い装置がアクティブ装置になるように指定します。

primary

プライマリ装置に、フェールオーバー グループに対するより高いプライオリティを指定します。

replication http

選択されたフェールオーバー グループに対して HTTP セッションの複製を指定します。

secondary

セカンダリ装置に、フェールオーバー グループに対するより高いプライオリティを指定します。

failover interface ip

フェールオーバー インターフェイスとステートフル フェールオーバー インターフェイスに対して、IPv4 アドレスとマスク、または IPv6 アドレスとプレフィクスを指定するには、グローバル コンフィギュレーション モードで failover interface ip コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]

no failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]

 
構文の説明

if_name

フェールオーバーまたはステートフル フェールオーバー インターフェイスのインターフェイス名です。

ip_address mask

プライマリ デバイス上のフェールオーバーまたはステートフル フェールオーバー インターフェイスに対して、IP アドレスとマスクを指定します。

ipv6_address

プライマリ デバイス上のフェールオーバーまたはステートフル フェールオーバー インターフェイスに対して、IPv6 アドレスを指定します。

prefix

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィクス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。

standby ip_address

セカンダリ デバイスがプライマリ デバイスとの通信に使用する IP アドレスを指定します。

standby ipv6_address

セカンダリ デバイスがプライマリ デバイスとの通信に使用する IPv6 アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(2)

IPv6 アドレスのサポートがコマンドに追加されました。

 
使用上のガイドライン

スタンバイ アドレスは、プライマリ アドレスと同じサブネットにある必要があります。

コンフィギュレーションに適用できる failvover interface ip コマンドは 1 つだけです。そのため、フェールオーバー インターフェイスには IPv6 アドレスまたは IPv4 アドレスのいずれか 1 つを割り当てることができます。IPv6 アドレスおよび IPv4 アドレスの両方をインターフェイスに割り当てることはできません。

フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイスは、適応型セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで稼動し、インターフェイスがシステムにグローバルである場合でも、レイヤ 3 の機能です。

マルチ コンテキスト モードでは、システム コンテキストでフェールオーバーを設定します( monitor-interface コマンドを除く)。

このコマンドは、適応型セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。

次に、フェールオーバー インターフェイスに IPv4 アドレスとマスクを指定する方法の例を示します。

hostname(config)# failover interface ip lanlink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

次に、フェールオーバー インターフェイスに IPv6 アドレスとプレフィクスを指定する方法の例を示します。

hostname(config)# failover interface ip lanlink 2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71
 

 
関連コマンド

コマンド
説明

clear configure failover

failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。

failover lan interface

フェールオーバー通信に使用するインターフェイスを指定します。

failover link

ステートフル フェールオーバーに使用するインターフェイスを指定します。

monitor-interface

指定されたインターフェイスのヘルスをモニタします。

show running-config failover

実行コンフィギュレーションの failover コマンドを表示します。

failover interface-policy

モニタリングがインターフェイス障害を検出したときのフェールオーバーのポリシーを指定するには、グローバル コンフィギュレーション モードで failover interface-policy コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

failover interface-policy num [ % ]

no failover interface-policy num [ % ]

 
構文の説明

num

パーセンテージとして使用されるときは 1 ~ 100 の数字を指定し、番号として使用されるときは 1 からインターフェイスの最大数の数字を指定します。

%

(任意) num の数字が、モニタ対象インターフェイスのパーセンテージであることを指定します。

 
デフォルト

デフォルトは次のとおりです。

num は 1 です。

物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

num 引数とオプションの % キーワードの間にはスペースを挿入しません。

障害が発生したインターフェイスの数が設定済みポリシーの基準を満たし、他の適応型セキュリティ アプライアンスが正常に機能している場合、適応型セキュリティ アプライアンスは自身を障害としてマークし、場合によってはフェールオーバーが発生します(アクティブな適応型セキュリティ アプライアンスに障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。


) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用して、各フェールオーバー グループのインターフェイス ポリシーを設定します。


次に、フェールオーバー ポリシーを指定する 2 つの方法の例を示します。

hostname(config)# failover interface-policy 20%
 
hostname(config)# failover interface-policy 5
 

 
関連コマンド

コマンド
説明

failover polltime

装置とインターフェイスのポーリング回数を指定します。

failover reset

障害が発生した装置を、障害が発生していない状態に戻します。

monitor-interface

フェールオーバーのためにモニタ対象にするインターフェイスを指定します。

show failover

装置のフェールオーバー状態に関する情報を表示します。

failover key

フェールオーバー ペアの装置間における暗号化および認証された通信のキーを指定するには、グローバル コンフィギュレーション モードで failover key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

failover key { secret | hex key }

no failover key

 
構文の説明

hex key

暗号キーの 16 進値を指定します。キーは 32 個の 16 進文字(0 ~ 9、a ~ f)にする必要があります。

secret

英数字の共有秘密を指定します。秘密には 1 ~ 63 文字を指定できます。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 failover lan key から failover key に変更されました。

7.0(4)

このコマンドは、 hex key キーワードおよび引数を含めるように変更されました。

 
使用上のガイドライン

装置間のフェールオーバー通信を暗号化して認証するには、共有秘密または 16 進キーを使用して両方の装置を設定する必要があります。フェールオーバー キーを指定しない場合、フェールオーバー通信はクリアで送信されます。


) PIX 適応型セキュリティ アプライアンス プラットフォームでは、装置を接続するために専用のシリアルフェールオーバー ケーブルを使用している場合、フェールオーバー キーが設定されていても、このフェールオーバー リンク経由の通信は暗号化されません。フェールオーバー キーは LAN ベースのフェールオーバー通信だけを暗号化します。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信されるすべての情報は、フェールオーバー キーで通信のセキュリティを保護しない限り、クリア テキストで送信されます。VPN トンネルを終了するために適応型セキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクを負う可能性があります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終了する場合は、フェールオーバー キーを使用してフェールオーバー通信のセキュリティを保護することを推奨します。

次に、フェールオーバー ペアの装置間のフェールオーバー通信を保護するために共有秘密を指定する方法の例を示します。

hostname(config)# failover key abcdefg
 

次に、フェールオーバー ペアの装置間のフェールオーバー通信を保護するために 16 進キーを指定する方法の例を示します。

hostname(config)# failover key hex 6a1ed228381cf5c68557cb0c32e614dc
 

 
関連コマンド

コマンド
説明

show running-config failover

実行コンフィギュレーションの failover コマンドを表示します。

failover lan enable

LAN ベースのフェールオーバーを PIX 適応型セキュリティ アプライアンス上でイネーブルにするには、グローバル コンフィギュレーション モードで failover lan enable コマンドを使用します。LAN ベースのフェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。

failover lan enable

no failover lan enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

イネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドの no 形式を使用して LAN ベースのフェールオーバーをディセーブルして、フェールオーバー ケーブルが接続されている場合は、ケーブル ベースのフェールオーバーが使用されます。このコマンドは、PIX 適応型セキュリティ アプライアンスでのみ使用できます。


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信されるすべての情報は、フェールオーバー キーで通信のセキュリティを保護しない限り、クリア テキストで送信されます。VPN トンネルを終了するために適応型セキュリティ アプライアンスを使用する場合、この情報には、このトンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクを負う可能性があります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終了する場合は、フェールオーバー キーを使用してフェールオーバー通信のセキュリティを保護することを推奨します。

次に、LAN ベースのフェールオーバーをイネーブルにする例を示します。

hostname(config)# failover lan enable
 

 
関連コマンド

コマンド
説明

failover lan interface

フェールオーバー通信に使用するインターフェイスを指定します。

failover lan unit

LAN ベースのフェールオーバーでの、プライマリ装置またはセカンダリ装置を指定します。

show failover

装置のフェールオーバー ステータスに関する情報を表示します。

show running-config failover

実行コンフィギュレーションの failover コマンドを表示します。

failover lan interface

フェールオーバー通信に使用されるインターフェイスを指定するには、グローバル コンフィギュレーション モードで failover lan interface コマンドを使用します。フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。

failover lan interface if_name { phy_if [. sub_if ] | vlan_if ]}

no failover lan interface [ if_name { phy_if [. sub_if ] | vlan_if ]}]

 
構文の説明

if_name

フェールオーバー専用の適応型セキュリティ アプライアンス インターフェイスの名前を指定します。

phy_if

物理インターフェイスを指定します。

sub_if

(任意)サブインターフェイス番号を指定します。

vlan_if

ASA 5505 適応型セキュリティ アプライアンス上で使用され、VLAN インターフェイスをフェールオーバー リンクとして指定します。

 
デフォルト

設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 phy_if 引数を含めるように変更されました。

7.2(1)

このコマンドは、 vlan_if 引数を含めるように変更されました。

 
使用上のガイドライン

LAN フェールオーバーでは、フェールオーバー トラフィックを送信するための専用のインターフェイスが必要です。ただし、ステートフル フェールオーバー リンクに対しては、LAN フェールオーバー インターフェイスを使用することもできます。


) LAN フェールオーバーとステートフル フェールオーバーの両方に対して同じインターフェイスを使用する場合、インターフェイスには LAN ベースのフェールオーバーとステートフル フェールオーバーの両方のトラフィックを処理するための十分な容量が必要です。


デバイス上の使用されていない任意のイーサネット インターフェイスを、フェールオーバー インターフェイスとして使用できます。現在名前を付けて設定されているインターフェイスは指定できません。フェールオーバー インターフェイスは、通常のネットワーキング インターフェイスとしては設定されません。フェールオーバー通信専用です。このインターフェイスは、フェールオーバー リンク(およびオプションで状態リンク)だけに使用する必要があります。LAN ベースのフェールオーバー リンクを接続するには、そのリンク上にホストもルータもない専用スイッチを使用することも、装置を直接リンクするクロスオーバー イーサネット ケーブルを使用することもできます。


) VLAN を使用する場合は、フェールオーバー リンクの専用 VLAN を使用します。フェールオーバー リンク VLAN を他の VLAN と共有すると、断続的なトラフィック障害や ping および ARP 障害が発生する場合があります。スイッチを使用してフェールオーバー リンクを接続する場合、スイッチ上の専用インターフェイスと、適応型セキュリティ アプライアンス上の専用インターフェイスをフェールオーバー リンク用に使用してください。通常のネットワーク トラフィックを伝送するサブインターフェイスを持つインターフェイスを共有しないでください。


マルチ コンテキスト モードで実行しているシステム上では、フェールオーバー リンクはシステム コンテキスト内にあります。このインターフェイスと状態リンク(使用されている場合)は、システム コンテキスト内にある設定可能な唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。


このコマンドの no 形式でも、フェールオーバー インターフェイスの IP アドレス設定を消去できます。

このコマンドは、適応型セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信されるすべての情報は、フェールオーバー キーで通信のセキュリティを保護しない限り、クリア テキストで送信されます。VPN トンネルを終了するために適応型セキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクを負う可能性があります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終了する場合は、フェールオーバー キーを使用してフェールオーバー通信のセキュリティを保護することを推奨します。

次に、PIX 500 シリーズ適応型セキュリティ アプライアンス上に、フェールオーバー LAN インターフェイスを設定する例を示します。

hostname(config)# failover lan interface folink Ethernet4
 

次に、ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA 5505 適応型セキュリティ アプライアンスを除く)上に、サブインターフェイスを使用してフェールオーバー LAN インターフェイスを設定する例を示します。

hostname(config)# failover lan interface folink GigabitEthernet0/3.1
 

次に、ASA 5505 適応型セキュリティ アプライアンス上に、フェールオーバー LAN インターフェイスを設定する例を示します。

hostname(config)# failover lan interface folink Vlan6
 

 
関連コマンド

コマンド
説明

failover lan enable

PIX 適応型セキュリティ アプライアンス上で、LAN ベースのフェールオーバーをイネーブルにします。

failover lan unit

LAN ベースのフェールオーバーでの、プライマリ装置またはセカンダリ装置を指定します。

failover link

ステートフル フェールオーバー インターフェイスを指定します。

failover lan unit

LAN フェールオーバー設定で適応型セキュリティ アプライアンスをプライマリ装置またはセカンダリ装置のいずれかに設定するには、グローバル コンフィギュレーション モードで failover lan unit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

failover lan unit { primary | secondary }

no failover lan unit { primary | secondary }

 
構文の説明

primary

適応型セキュリティ アプライアンスをプライマリ装置として指定します。

secondary

セキュリティ アプライアンスをセカンダリ装置として指定します。

 
デフォルト

セカンダリです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

Active/Standby フェールオーバーの場合、フェールオーバー装置のプライマリ宛先およびセカンダリ宛先とは、起動時にいずれの装置がアクティブになるかを意味します。次の状態が発生すると、プライマリ装置がブート時にアクティブ装置になります。

プライマリ装置およびセカンダリ装置の両方が、最初のフェールオーバー ポーリング チェック内にブート シーケンスを完了した。

プライマリ装置がセカンダリ装置の前にブートした。

プライマリ装置がブートするときにセカンダリ装置がすでにアクティブである場合、プライマリ装置は制御せず、スタンバイ装置になります。この場合、強制的にプライマリ装置をアクティブ ステータスに戻すには、 no failover active コマンドをセカンダリ(アクティブ)装置に発行する必要があります。

Active/Active フェールオーバーの場合、各フェールオーバー グループにはプライマリ装置またはセカンダリ装置のプリファレンスが割り当てられます。このプリファレンスは、(フェールオーバー ポーリング期間内で)両方の装置が同時に起動したとき、フェールオーバー グループのコンテキストにあるフェールオーバー ペアのうち、起動時にアクティブになる装置を決定します。

このコマンドは、適応型セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。

次に、LAN ベースのフェールオーバーで適応型セキュリティ アプライアンスをプライマリ装置として設定する例を示します。

hostname(config)# failover lan unit primary
 

 
関連コマンド

コマンド
説明

failover lan enable

PIX 適応型セキュリティ アプライアンス上で、LAN ベースのフェールオーバーをイネーブルにします。

failover lan interface

フェールオーバー通信に使用するインターフェイスを指定します。

failover link

ステートフル フェールオーバー インターフェイスを指定するには、グローバル コンフィギュレーション モードで failover link コマンドを使用します。ステートフル フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。

failover link if_name [ phy_if ]

no failover link

 
構文の説明

if_name

ステートフル フェールオーバー専用の適応型セキュリティ アプライアンス インターフェイスの名前を指定します。

phy_if

(任意)物理インターフェイスまたは論理インターフェイスのポートを指定します。ステートフル フェールオーバー インターフェイスが、フェールオーバー通信に割り当てられたインターフェイスまたは標準ファイアウォール インターフェイスを共有している場合、この引数は必要ありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 phy_if 引数を含めるように変更されました。

7.0(4)

このコマンドは、標準ファイアウォール インターフェイスを受け入れるように変更されました。

 
使用上のガイドライン

このコマンドはステートフル フェールオーバーをサポートしない ASA 5505 シリーズ適応型セキュリティ アプライアンスでは利用できません。

フェールオーバー通信または標準ファイアウォール インターフェイスを共有していない場合、物理インターフェイスまたは論理インターフェイスの引数が必要です。

failover link コマンドは、ステートフル フェールオーバーをイネーブルにします。ステートフル フェールオーバーをディセーブルにするには、no failover link コマンドを入力します。専用のステートフル フェールオーバー インターフェイスを使用している場合、 no failover link コマンドを実行すると、ステートフル フェールオーバー インターフェイスの IP アドレス設定も消去されます。

ステートフル フェールオーバーを使用するには、すべての状態情報を渡すようにステートフル フェールオーバー リンクを設定する必要があります。ステートフル フェールオーバー リンクの設定には、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンク専用のイーサネット インターフェイスを使用できます。

LAN ベースのフェールオーバーを使用している場合、フェールオーバー リンクを共有できます。

Inside インターフェイスなどの通常のデータ インターフェイスを共有できます。ただし、このオプションは推奨されていません。

ステートフル フェールオーバー リンク専用のイーサネット インターフェイスを使用している場合、スイッチまたはクロス ケーブルのいずれかを使用して、装置を直接接続できます。スイッチを使用する場合、このリンク上には他のホストまたはルータは設定できません。


) 適応型セキュリティ アプライアンスに直接接続する Cisco スイッチ ポート上で PortFast オプションをイネーブルにします。


フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合、使用できる最速のイーサネット インターフェイスを使用する必要があります。インターフェイス上でパフォーマンスの問題が発生する場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

ステートフル フェールオーバー リンクとしてデータ インターフェイスを使用する場合は、そのインターフェイスをステートフル フェールオーバー リンクとして指定すると次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスをステートフル フェールオーバー インターフェイスと共有すると、リプレイ アタックを受けやすくなります。さらに、大容量のステートフル フェールオーバー トラフィックがインターフェイスに送信される可能性があり、そのネットワーク セグメントでパフォーマンスの問題が発生するおそれがあります。


) ステートフル フェールオーバー インターフェイスとしてデータ インターフェイスを使用することは、シングル コンテキストのルーテッド モードのみでサポートされています。


マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキスト内にあります。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスで設定されている場合を除き、ステートフル フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信されるすべての情報は、フェールオーバー キーで通信のセキュリティを保護しない限り、クリア テキストで送信されます。VPN トンネルを終了するために適応型セキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクを負う可能性があります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終了する場合は、フェールオーバー キーを使用してフェールオーバー通信のセキュリティを保護することを推奨します。

次に、ステートフル フェールオーバー インターフェイスとして専用インターフェイスを指定する方法の例を示します。この例のインターフェイスには、既存のコンフィギュレーションはありません。

hostname(config)# failover link stateful_if e4
INFO: Non-failover interface config is cleared on Ethernet4 and its sub-interfaces
 

 
関連コマンド

コマンド
説明

failover interface ip

failover コマンドおよびステートフル フェールオーバー インターフェイスの IP アドレスを設定します。

failover lan interface

フェールオーバー通信に使用するインターフェイスを指定します。

failover mac address

物理インターフェイスにフェールオーバー仮想 MAC アドレスを指定するには、グローバル コンフィギュレーション モードで failover mac address コマンドを使用します。仮想 MAC アドレスを削除するには、このコマンドの no 形式を使用します。

failover mac address phy_if active_mac standby_mac

no failover mac address phy_if active_mac standby_mac

 
構文の説明

phy_if

MAC アドレスを設定するインターフェイスの物理名です。

active_mac

アクティブな適応型セキュリティ アプライアンスの、指定されたインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。

standby_mac

スタンバイ適応型セキュリティ アプライアンスの、指定されたインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。

 
デフォルト

設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

failover mac address コマンドは、Active/Standby フェールオーバー ペア用の仮想 MAC アドレスを設定します。仮想 MAC アドレスが定義されていない場合、各フェールオーバー装置はブート時にインターフェイスの Burned-In MAC Address を使用し、それらのアドレスをフェールオーバー ピアと交換します。プライマリ装置上のインターフェイスの MAC アドレスは、アクティブ装置のインターフェイスに使用されます。

ただし、両方の装置が同時にオンラインにならず、セカンダリ装置が最初にブートしてアクティブになった場合は、そのインターフェイスの Burned-In MAC Address を使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更により、ネットワーク トラフィックが中断される可能性があります。インターフェイスに仮想 MAC アドレスを設定すると、セカンダリ装置がプライマリ装置の前にオンラインになる場合でも、セカンダリ装置がアクティブ装置であるときに正しい MAC アドレスが必ず使用されるようになります。

LAN ベースのフェールオーバー用に設定されているインターフェイスには、 failover mac address コマンドは必要ありません(したがって、このコマンドは使用できません)。これは、フェールオーバーが発生しても、 failover lan interface コマンドによって IP アドレスおよび MAC アドレスが変更されないためです。適応型セキュリティ アプライアンスが Active/Active フェールオーバーに設定されている場合、このコマンドは無効です。

failover mac address コマンドをコンフィギュレーションに追加する場合は、仮想 MAC アドレスを設定し、そのコンフィギュレーションをフラッシュ メモリに保存し、次にフェールオーバー ペアをリロードすることが最も良い方法です。アクティブ接続があるときに仮想 MAC アドレスが追加されると、それらのアクティブ接続は停止します。また、 failover mac address コマンドを含む完全なコンフィギュレーションをセカンダリ 適応型セキュリティ アプライアンスのフラッシュ メモリに書き込んで、仮想 MAC アドレス指定を有効にする必要があります。

failover mac address がプライマリ装置のコンフィギュレーションで指定されている場合、そのフェールオーバー MAC アドレスはセカンダリ装置のブートストラップ コンフィギュレーションでも指定する必要があります。


) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用して、フェールオーバー グループのインターフェイスごとに仮想 MAC アドレスを設定します。


次に、intf2 という名前のインターフェイスに、アクティブおよびスタンバイの MAC アドレスを設定する例を示します。

hostname(config)# failover mac address Ethernet0/2 00a0.c969.87c8 00a0.c918.95d8
 

 
関連コマンド

コマンド
説明

show interface

インターフェイス ステータス、コンフィギュレーション、および統計情報を表示します。

failover polltime

フェールオーバー装置のポーリング期間およびホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover polltime コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。

failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]

no failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]

 
構文の説明

holdtime time

(任意)装置がフェールオーバー リンクで hello メッセージを受信する期間を設定します。この期間が経過すると、ピア装置は障害状態であると宣言されます。

有効な値は 3 ~ 45 秒ですが、オプションの msec キーワードが指定されている場合は 800 ~ 999 ミリ秒となります。

msec

(任意)指定する時間がミリ秒単位であることを指定します。

poll_time

hello メッセージの間隔。

有効な値は 1 ~ 15 秒ですが、オプションの msec キーワードが指定されている場合は 200 ~ 999 ミリ秒となります。

unit

(任意)装置のポーリング期間およびホールド タイムにコマンドを使用することを指定します。

コマンドにこのキーワードを追加してもコマンドへの影響はありませんが、コンフィギュレーションにおいて、このコマンドと failover polltime interface コマンドの識別が容易になります。

 
デフォルト

PIX 適応型セキュリティ アプライアンス上のデフォルト値は次のとおりです。

poll_time は 15 秒です。

holdtime time は 45 秒です。

ASA 適応型セキュリティ アプライアンス上のデフォルト値は次のとおりです。

poll_time は 1 秒です。

holdtime time は 15 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 failover poll コマンドから failover polltime コマンドに変更され、 unit キーワードおよび holdtime キーワードが追加されました。

7.2(1)

msec キーワードが holdtime キーワードに追加されました。 polltime の最短値が 500 ミリ秒から 200 ミリ秒に短縮されました。 holdtime の最短値が 3 秒から 800 ミリ秒に短縮されました。

 
使用上のガイドライン

装置のポーリング期間の 3 倍未満の holdtime 値は入力できません。ポーリング期間が短いほど、適応型セキュリティ アプライアンスはより速く障害を検出して、フェールオーバーをトリガーできます。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要な切り替えが発生する可能性があります。

hello パケットが、あるポーリング期間にフェールオーバー通信インターフェイスまたはケーブルで受信されない場合、追加テストが残りのインターフェイス全体で実施されます。ホールド タイム内にピア装置から応答がない場合、この装置に障害が発生したと見なされ、障害が発生した装置がアクティブ装置である場合は、代わりにスタンドバイ装置がアクティブ装置になります。

failover polltime [ unit ] コマンドと failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。


) CTIQBE トラフィックがフェールオーバー コンフィギュレーションの適応型セキュリティ アプライアンスをパススルーする場合は、適応型セキュリティ アプライアンスのフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。


次に、装置のポーリング間隔を 3 秒に変更する例を示します。

hostname(config)# failover polltime 3
 

次に、適応型セキュリティ アプライアンスが 200 ミリ秒ごとに hello パケットを送信し、800 ミリ秒内にフェールオーバー インターフェイスで hello パケットが受信されない場合、フェールオーバーするように設定する例を示します。このコマンドには、オプションの unit キーワードが含まれます。

hostname(config)# failover polltime unit msec 200 holdtime msec 800
 

 
関連コマンド

コマンド
説明

failover polltime interface

Active/Standby フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。

polltime interface

Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。

show failover

フェールオーバー コンフィギュレーションの情報を表示します。

failover polltime interface

Active/Standby フェールオーバー コンフィギュレーションでデータ インターフェイスのポーリング期間とホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover polltime interface コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。

failover polltime interface [ msec ] time [ holdtime time ]

no failover polltime interface [ msec ] time [ holdtime time ]

 
構文の説明

holdtime time

(任意)データ インターフェイスで hello メッセージを受信する期間を設定します。この期間が経過すると、ピアは障害状態であると宣言されます。有効な値は 5 ~ 75 秒です。

interface time

インターフェイス モニタリングのポーリング期間を指定します。有効な値の範囲は 1 ~ 15 秒です。オプションの msec キーワードを使用した場合、有効な値は 500 ~ 999 ミリ秒です。

msec

(任意)指定する時間がミリ秒単位であることを指定します。

 
デフォルト

デフォルト値は次のとおりです。

ポーリングの time は 5 秒です。

holdtime time は、ポーリングの time の 5 倍です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 failover poll コマンドから failover polltime コマンドに変更され、 unit interface holdtime の各キーワードが追加されました。

7.2(1)

オプションの holdtime time とポーリング期間をミリ秒単位で指定する機能が追加されました。

 
使用上のガイドライン

failover polltime interface コマンドを使用して、hello パケットをデータ インターフェイスで送信する頻度を変更します。このコマンドは、Active/Standby フェールオーバーに対してのみ使用できます。Active/Active フェールオーバーの場合、 failover polltime interface コマンドではなく、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。

装置のポーリング期間の 5 倍未満の holdtime 値は入力できません。ポーリング期間が短いほど、適応型セキュリティ アプライアンスはより速く障害を検出して、フェールオーバーをトリガーできます。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要な切り替えが発生する可能性があります。ホールド タイムの半分が経過したときに、インターフェイスで hello パケットが受信されていない場合は、インターフェイスのテストが開始されます。

failover polltime unit コマンドと failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。


) CTIQBE トラフィックがフェールオーバー コンフィギュレーションの適応型セキュリティ アプライアンスをパススルーする場合は、適応型セキュリティ アプライアンスのフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。


次に、インターフェイスのポーリング間隔を 15 秒に設定する例を示します。

hostname(config)# failover polltime interface 15
 

次に、インターフェイスのポーリング間隔を 500 ミリ秒、ホールド タイムを 5 秒に設定する例を示します。

hostname(config)# failover polltime interface msec 500 holdtime 5
 

 
関連コマンド

コマンド
説明

failover polltime

装置のフェールオーバー ポーリング期間とホールド タイムを指定します。

polltime interface

Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間を指定します。

show failover

フェールオーバー コンフィギュレーションの情報を表示します。

failover reload-standby

スタンバイ装置を強制的にリブートするには、特権 EXEC モードで failover reload-standby コマンドを使用します。

failover reload-standby

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、フェールオーバー装置が同期しない場合に使用します。スタンバイ装置は、ブートが終了した後で、再起動してアクティブ装置に再度同期します。

次に、スタンバイ装置を強制的にリブートするために、アクティブ装置で failover reload-standby コマンドを使用する方法の例を示します。

hostname# failover reload-standby
 

 
関連コマンド

コマンド
説明

write standby

実行コンフィギュレーションを、スタンバイ装置のメモリに書き込みます。

failover replication http

HTTP(ポート 80)接続の複製をイネーブルにするには、グローバル コンフィギュレーション モードで failover replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。

failover replication http

no failover replication http

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは failover replicate http から failover replication http に変更されました。

 
使用上のガイドライン

デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、適応型セキュリティ アプライアンスは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 failover replication http コマンドは、ステートフル フェールオーバーの環境で HTTP セッションのステートフル複製をイネーブルにしますが、システムのパフォーマンスに悪影響を及ぼす可能性があります。

Active/Active フェールオーバー コンフィギュレーションでは、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用して、各フェールオーバー グループの HTTP セッションの複製を制御します。

次に、HTTP 接続の複製をイネーブルにする方法の例を示します。

hostname(config)# failover replication http
 

 
関連コマンド

コマンド
説明

replication http

特定のフェールオーバー グループで HTTP セッションの複製をイネーブルにします。

show running-config failover

実行コンフィギュレーションの failover コマンドを表示します。

failover reset

障害が発生した適応型セキュリティ アプライアンスを障害のない状態に戻すには、特権 EXEC モードで failover reset コマンドを使用します。

failover reset [ group group_id ]

 
構文の説明

group

(任意)フェールオーバー グループを指定します。 group キーワードが適用されるのは、Active/Active フェールオーバーのみです。

group_id

フェールオーバー グループの番号。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、オプションのフェールオーバー グループ ID を許可するように変更されました。

 
使用上のガイドライン

failover reset コマンドにより、障害が発生した装置またはグループを障害のない状態に変更できます。 failover reset コマンドは、どちらの装置からでも入力できますが、常にアクティブ装置でコマンドを入力することを推奨します。アクティブ装置で failover reset コマンドを入力すると、スタンバイ装置を障害のない状態にします。

装置のフェールオーバー ステータスは、 show failover コマンドまたは show failover state コマンドで表示できます。

このコマンドの no 形式はありません。

Active/Active フェールオーバーで failover reset を入力すると、装置全体がリセットされます。コマンドでフェールオーバー グループを指定すると、指定されたグループだけがリセットされます。

次に、障害が発生した装置を、障害のない状態に変更する方法の例を示します。

hostname# failover reset
 

 
関連コマンド

コマンド
説明

failover interface-policy

モニタリングがインターフェイス障害を検出するときのフェールオーバーのポリシーを指定します。

show failover

装置のフェールオーバー ステータスに関する情報を表示します。

failover timeout

非対称ルーテッド セッションのフェールオーバーの再接続タイムアウト値を指定するには、グローバル コンフィギュレーション モードで failover timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。

failover timeout hh [ : mm :[ : ss ]

no failover timeout [ hh [ : mm :[ : ss ]]

 
構文の説明

hh

タイムアウト値を時間単位で指定します。有効な値の範囲は -1 ~ 1193 です。デフォルトでは、この値は 0 に設定されています。

この値を -1 に設定すると、タイムアウトがディセーブルにされ、任意の時間が経過した後でも接続を再開できます。

他のタイムアウト値を指定しないでこの値を 0 に設定すると、コマンドはデフォルト値に戻り、接続を再開できません。 no failover timeout コマンドを入力しても、この値をデフォルト(0)に設定できます。

(注) デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。

mm

(任意)タイムアウト値を分単位で指定します。有効な値の範囲は 0 ~ 59 です。デフォルトでは、この値は 0 に設定されています。

ss

(任意)タイムアウト値を秒単位で指定します。有効な値の範囲は 0 ~ 59 です。デフォルトでは、この値は 0 に設定されています。

 
デフォルト

デフォルトでは、 hh mm ss は 0 です。この設定では接続を再開できません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドがコマンド リストに表示されるように変更されました。

 
使用上のガイドライン

このコマンドは、 nailed オプションを指定した static コマンドとともに使用します。 nailed オプションを使用すると、起動後またはシステムがアクティブになった後に、指定された時間内で接続を再確立できます。 failover timeout コマンドは、その時間を指定します。設定しない場合は、接続を再確立できません。 failover timeout コマンドは、 asr-group コマンドに影響しません。


nailed オプションを static コマンドに追加すると、その接続で TCP ステート トラッキングとシーケンス チェックがスキップされます。


このコマンドの no 形式を入力すると、デフォルト値に戻ります。 failover timeout 0 を入力しても、デフォルト値に戻ります。デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。

次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。

hostname(config)# failover timeout 12:30
hostname(config)# show running-config failover
no failover
failover timeout 12:30:00
 

 
関連コマンド

コマンド
説明

static

ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換ルールを設定します。

fallback

接続の完全性が低下したときに VoIP から PSTN にフォールバックするために Cisco Intercompany Media Engine が使用するフォールバック タイマーを設定するには、UC-IME コンフィギュレーション モードで fallback コマンドを使用します。フォールバック設定を削除するには、このコマンドの no 形式を使用します。

fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }

no fallback fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }

 
構文の説明

filename

感度ファイルのファイル名を指定します。.fbs ファイル拡張子が含まれる、ディスクにあるファイルの名前を入力します。ファイル名を指定するには、 disk0:/file001.fbs など、ローカル ディスクのパスを含めることができます。

hold-down timer

PSTN にフォールバックするかどうかを Cisco UCM に通知するまでに適応型セキュリティ アプライアンスが待機する時間を設定します。

monitoring timer

インターネットから受信する RTP パケットのサンプルを適応型セキュリティ アプライアンスが収集する間隔を設定します。適応型セキュリティ アプライアンスはデータ サンプルを使用して、PSTN へのフォールバックがコールに必要かどうかを判断します。

sensitivity-file

コール中 PSTN フォールバックに使用するファイルを指定します。この感度ファイルは適応型セキュリティ アプライアンスによって解析され、RMA ライブラリに入ります。

timer_millisec

モニタリング タイマーの長さをミリ秒単位で指定します。10 ~ 600 の範囲で整数を入力します。デフォルトのモニタリング タイマーの長さは 100 ミリ秒です。

timer_sec

ホールドダウン タイマーの長さを秒単位で指定します。10 ~ 360 の範囲で整数を入力します。デフォルトのホールドダウン タイマーの長さは 20 秒です。

 
デフォルト

デフォルトのモニタリング タイマーの長さは 100 ミリ秒です。

デフォルトのホールドダウン タイマーの長さは 20 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

UC-IME コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco Intercompany Media Engine のフォールバック タイマーを指定します。

インターネットの接続品質は時間によって大きく異なります。その結果、接続品質が良好であるために VoIP 経由でコールを送信しても、コール中に接続品質が劣化することがあります。全体的に良好なエンド ユーザ エクスペリエンスを保障するため、Cisco Intercompany Media Engine は、コール中フォールバックを実行しようとします。

コール中フォールバックを実行するには、インターネットから受信する RTP パケットを適応型セキュリティ アプライアンスでモニタし、RTP Monitoring Algorithm(RMA)API に情報を送信する必要があります。RMA API は、フォールバックが必要かどうかを適応型セキュリティ アプライアンスに示します。フォールバックが必要な場合、適応型セキュリティ アプライアンスは REFER メッセージを Cisco UCM に送信し、そのコールを PSTN にフォールバックする必要があることを伝えます。


) SIP インスペクションに対して Cisco Intercompany Media Engine プロキシがイネーブルの場合、フォールバック タイマーは変更できません。フォールバック タイマーを変更する前に、Cisco Intercompany Media Engine プロキシを SIP インスペクションから削除します。


次に、フォールバック タイマーを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。

hostname(config)# uc-ime local_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30
 

次に、感度ファイルを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。

hostname(config)# uc-ime local_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback sensitivity-file local_uc-ime_fallback_policy
 

 
関連コマンド

コマンド
説明

show running-config uc-ime

Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します。

show uc-ime

フォールバック通知、マッピング サービス セッション、およびシグナリング セッションに関する統計情報または詳細情報を表示します。

uc-ime

Cisco Intercompany Media Engine プロキシ インスタンスを適応型セキュリティ アプライアンスに作成します。

file-bookmarks

認証された WebVPN ユーザに対して表示される WebVPN ホームページの File Bookmarks タイトルまたは File Bookmarks リンクをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで file-bookmarks コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

file-bookmarks { link {style value } | title {style value | text value }}

no file-bookmarks { link {style value } | title {style value | text value }}

 
構文の説明

link

リンクを変更することを指定します。

title

タイトルを変更することを指定します。

style

HTML スタイルを変更することを指定します。

text

テキストを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または CSS パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのリンクのスタイルは
color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。

デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。

デフォルトのタイトルのテキストは「File Folder Bookmarks」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは、任意の有効な CSS パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、W3C の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、File Bookmarks のタイトルを「Corporate File Bookmarks」にカスタマイズする例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# file-bookmarks title text Corporate File Bookmarks

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] ボックスをカスタマイズします。

web-bookmarks

WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。

file-browsing

ファイル サーバまたは共有の CIFS/FTP ファイル ブラウジングをイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで file-browsing コマンドを使用します。

file-browsing enable | disable

enable | disable

ファイル サーバまたは共有を参照する機能をイネーブルまたはディセーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

次の使用上の注意事項はファイル ブラウジングに適用されます。

ファイル ブラウジングでは国際化はサポートされていません。

ブラウジングには NBNS(マスター ブラウザまたは WINS)が必要です。NBNS がないか設定されていない場合は、DNS が使用されます。

適応型セキュリティ アプライアンスは、さまざまなソースからのアトリビュート値を適用できます。次の階層に従って、アトリビュート値を適用します。

1. DAP レコード

2. ユーザ名

3. グループ ポリシー

4. トンネル グループのグループ ポリシー

5. デフォルトのグループ ポリシー

したがって、アトリビュートの DAP 値は、ユーザ、グループ ポリシー、またはトンネル グループに設定されたものよりも優先順位が高くなります。

DAP レコードのアトリビュートをイネーブルまたはディセーブルにすると、適応型セキュリティ アプライアンスはその値を適用して実行します。たとえば、DAP webvpn モードでファイル ブラウジングをディセーブルにすると、それ以降適応型セキュリティ アプライアンスは値を探しません。代わりに、 file-browsing コマンドの no 値を設定すると、アトリビュートは DAP レコード内に存在しないため、適応型セキュリティ アプライアンスは、ユーザ名の AAA アトリビュートに移動するか、必要に応じてグループ ポリシーに移動して、適用する値を検出します。

次に、Finance という DAP レコードのファイル ブラウジングをイネーブルにする方法の例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dap-webvpn)# file-browsing enable
hostname(config-dap-webvpn)#

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

file-entry

アクセス先のファイル サーバの名前を入力する機能をイネーブルまたはディセーブルにします。

file-encoding

Common Internet File System サーバからのページの文字エンコーディングを指定するには、webvpn コンフィギュレーション モードで file-encoding コマンドを使用します。file-encoding アトリビュートの値を削除するには、このコマンドの no 形式を使用します。

file-encoding {server-name | server-ip-addr } charset

no file-encoding {server-name | server-ip-addr }

 
構文の説明

charset

http://www.iana.org/assignments/character-sets で指定されている有効な文字セットの 1 つと等しい、40 文字までの文字列。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

この文字列では、大文字と小文字が区別されません。適応型セキュリティ アプライアンス コンフィギュレーション内では、コマンド インタプリタによって大文字が小文字に変換されます。

server-ip-addr

文字エンコーディングを指定する CIFS サーバのドット付き 10 進表記の IP アドレス。

server-name

文字エンコーディングを指定する CIFS サーバの名前。

適応型セキュリティ アプライアンスは指定した大文字や小文字を保持しますが、名前をサーバと照合する場合は大文字と小文字の区別を無視します。

 
デフォルト

WebVPN コンフィギュレーションに明示的な file-encoding エントリを持たないすべての CIFS サーバからのページは、character-encoding アトリビュートから文字エンコーディング値を継承します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

webvpn character-encoding アトリビュートの値とは異なる文字エンコーディングが必要なすべての CIFS サーバに対する file-encoding エントリを入力します。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding アトリビュートの値を符号化します。符号化が行われなかった場合は、character-encoding アトリビュートの値を継承します。リモート ユーザのブラウザは、この値を文字エンコーディング セットのエントリにマッピングして、使用する適切な文字セットを決定します。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding アトリビュートも設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding アトリビュートによって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。


) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。日本語 Shift_JIS 文字エンコーディングを使用している場合、フォント ファミリを入れ替えるには、次の例で示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してこれらの値の設定を含めるか、webvpn カスタマイゼーション コマンドモードで no page style コマンドを入力してフォント ファミリを削除する必要があります。


次に、「CISCO-server-jp」という名前の CIFS サーバの file-encoding アトリビュートが日本語 Shift_JIS 文字をサポートするように設定し、フォント ファミリを削除し、デフォルトの背景色を保持する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# file-encoding CISCO-server-jp shift_jis
F1-asa1(config-webvpn)# customization DfltCustomization
F1-asa1(config-webvpn-custom)# page style background-color:white
F1-asa1(config-webvpn-custom)#
 

次に、CIFS サーバ 10.86.5.174 の file-encoding アトリビュートが IBM860(エイリアス「CP860」)文字をサポートするように設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# file-encoding 10.86.5.174 cp860
hostname(config-webvpn)

 
関連コマンド

コマンド
説明

character-encoding

WebVPN コンフィギュレーションの file-encoding エントリで指定されたサーバからのページを除く、すべての WebVPN ポータル ページで使用されるグローバルな文字エンコーディングを指定します。

show running-config [ all ] webvpn

WebVPN の実行コンフィギュレーションを表示します。デフォルト コンフィギュレーションを組み込むには all キーワードを使用します。

debug webvpn cifs

Common Internet File System に関するデバッグ メッセージを表示します。

file-entry

アクセスするファイル サーバ名を入力するユーザ機能をイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで file-entry コマンドを使用します。

file-entry enable | disable

enable | disable

アクセス先のファイル サーバの名前を入力する機能をイネーブルまたはディセーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、さまざまなソースからのアトリビュート値を適用できます。次の階層に従って、アトリビュート値を適用します。

1. DAP レコード

2. ユーザ名

3. グループ ポリシー

4. 接続プロファイルのグループ ポリシー(トンネル グループ)

5. デフォルトのグループ ポリシー

以降、ユーザ、グループ ポリシー、または接続プロファイルに設定されているアトリビュートよりも高いプライオリティを持つアトリビュートの DAP 値が続きます。

DAP レコードのアトリビュートをイネーブルまたはディセーブルにすると、適応型セキュリティ アプライアンスはその値を適用して実行します。たとえば、DAP webvpn モードでファイル エントリをディセーブルにすると、それ以降適応型セキュリティ アプライアンスは値を探しません。代わりに、 file-entry コマンドの no 値を設定すると、アトリビュートは DAP レコード内に存在しないため、適応型セキュリティ アプライアンスはユーザ名の AAA アトリビュートに移動するか、必要に応じてグループ ポリシーに移動して適用する値を検出します。

次に、Finance という DAP レコードのファイル エントリをイネーブルにする方法の例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dap-webvpn)# file-entry enable
hostname(config-dap-webvpn)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

file-browsing

ファイル サーバまたは共有を参照する機能をイネーブルまたはディセーブルにします。

filter

このグループ ポリシーまたはユーザ名の WebVPN 接続に使用するアクセス リストの名前を指定するには、webvpn コンフィギュレーション モードで filter コマンドを使用します。 filter none コマンドを発行して作成されたヌル値を含むアクセス リストを削除するには、このコマンドの no 形式を使用します。

filter { value ACLname | none }

no filter

 
構文の説明

none

webvpntype アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。

value ACLname

事前に設定済みのアクセス リストの名前を指定します。

 
デフォルト

WebVPN アクセス リストは、 filter コマンドを使用して指定するまで適用されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。フィルタ値を継承しないようにするには、 filter value none コマンドを使用します。

このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 filter コマンドを使用して、これらの ACL を WebVPN トラフィックに適用します。

WebVPN は、 vpn-filter コマンドで定義された ACL を使用しません。

次に、FirstGroup という名前のグループ ポリシーの acl_in という名前のアクセス リストを呼び出すフィルタを設定する方法の例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# filter acl_in
 

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

filter activex

適応型セキュリティ アプライアンスを通過する HTTP トラフィックの ActiveX オブジェクトを削除するには、グローバル コンフィギュレーション モードで filter activex コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

filter activex | java < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask>

no filter activex | java < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask>

 
構文の説明

port

フィルタリングが適用される TCP ポート。一般的に、これはポート 21 ですが、他の値も受け入れられます。ポート 21 には、http または url リテラルを使用できます。許可される値の範囲は、0 ~ 65535 です。well-known ポートとそのリテラル値のリストについては、を参照してください。

- port

(任意)ポート範囲を指定します。

except

先行の filter 条件に対する例外を作成します。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定すると、すべてのホストを指定できます。

mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ActiveX オブジェクトは、保護されたネットワーク上のホストやサーバを攻撃することを目的としたコードを含んでいる場合があるため、セキュリティ リスクを負う可能性があります。filter activex コマンドを使用して、ActiveX オブジェクトをディセーブルにできます。

ActiveX コントロールは、以前は OLE コントロールまたは OCX コントロールと呼ばれており、Web ページまたは他のアプリケーションに挿入できるコンポーネントです。これらのコントロールには、情報を収集または表示するためのカスタム フォームや、カレンダ、多数のサードパーティ フォームがあります。技術としては、ワークステーションの障害、ネットワーク セキュリティの問題、サーバへの攻撃など、ActiveX によりネットワーク クライアントに問題が発生する可能性があります。

filter activex command コマンドは、HTML Web ページ内で HTML <object> コマンドをコメント アウトすることにより、それらをブロックします。HTML ファイルの ActiveX フィルタリングは、<APPLET> と </APPLET> タグおよび <OBJECT CLASSID> と </OBJECT> タグをコメントで選択的に置き換えることにより実行されます。入れ子タグのフィルタリングは、トップ レベルのタグをコメントに変換することでサポートされています。


注意 <object> タグは、Java アプレット、イメージ ファイル、およびマルチメディア オブジェクトでも使用されており、このコマンドによってそれらもブロックされます。

<object> タグまたは </object> HTML タグがネットワーク パケット間で分割されている場合、またはタグ内のコードが MTU 内のバイト数よりも長い場合、適応型セキュリティ アプライアンスはタグをブロックできません。

ActiveX ブロッキングは、 alias コマンドで参照されている IP アドレスにユーザがアクセスした場合、または WebVPN トラフィックの場合は実行されません。

次に、すべての発信接続で Activex オブジェクトがブロックされるように指定する例を示します。

hostname(config)# filter activex 80 0 0 0 0
 

このコマンドは、ポート 80 で任意のローカル ホストから受信し、任意の外部ホスト接続に送信される Web トラフィックに、ActiveX オブジェクトのブロッキングを適用することを指定します。

 
関連コマンド

コマンド
説明

filter url

トラフィックを URL フィルタリング サーバに送ります。

filter java

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除します。

show running-config filter

フィルタリング コンフィギュレーションを表示します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

filter ftp

Websense サーバまたは N2H2 サーバによりフィルタリングされる FTP トラフィックを指定するには、グローバル コンフィギュレーション モードで filter ftp コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

filter ftp < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ interact-block ]

no filter ftp < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ interact-block ]

 
構文の説明

port

フィルタリングが適用される TCP ポート。一般的に、これはポート 21 ですが、他の値も受け入れられます。ポート 80 には ftp リテラルを使用できます。

- port

(任意)ポート範囲を指定します。

except

先行の filter 条件に対する例外を作成します。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定すると、すべてのホストを指定できます。

mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

allow

(任意)サーバが利用できない場合に、フィルタリングなしで発信接続が適応型セキュリティ アプライアンスを通過します。このオプションを省略した場合、および N2H2 サーバまたは Websense サーバがオフラインの場合、適応型セキュリティ アプライアンスは、N2H2 サーバまたは Websense サーバがオンラインに戻るまで、発信ポート 80(Web)トラフィックを停止します。

interact-block

(任意)ユーザがインタラクティブ FTP プログラムを使用して FTP サーバに接続しないようにします。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

filter ftp コマンドは、Websense サーバまたは N2H2 サーバによってフィルタリングされる FTP トラフィックを指定します。

この機能をイネーブルにした後で、ユーザが FTP GET 要求をサーバに発行すると、適応型セキュリティ アプライアンスは FTP サーバと Websense サーバまたは N2H2 サーバに同時に要求を送信します。Websense サーバまたは N2H2 サーバが接続を許可する場合、適応型セキュリティ アプライアンスは正常な FTP の戻りコードを変更せずにユーザに送信します。たとえば、正常な戻りコードは「250: CWD command successful」です。

Websense サーバまたは N2H2 サーバが接続を拒否する場合、適応型セキュリティ アプライアンスは、接続が拒否されたことを表示するように FTP の戻りコードを変更します。たとえば、適応型セキュリティ アプライアンスはコード 250 を「550 Requested file is prohibited by URL filtering policy」に変更します(Websense は FTP GET コマンドだけをフィルタリングし、PUT コマンドはフィルタリングしません)。

interactive-block オプションを使用して、ディレクトリ パス全体を提供しないインタラクティブ FTP セッションを防ぎます。インタラクティブ FTP クライアントでは、ユーザはパス全体を入力せずにディレクトリを変更できます。たとえば、ユーザは cd /public/files の代わりに cd ./files と入力する可能性があります。これらのコマンドを使用する前に、URL フィルタリング サーバを指定してイネーブルにする必要があります。

次に、FTP フィルタリングをイネーブルにする例を示します。

hostname(config)# url-server (perimeter) host 10.0.1.1
hostname(config)# filter ftp 21 0 0 0 0
hostname(config)# filter ftp except 10.0.2.54 255.255.255.255 0 0
 

 
関連コマンド

コマンド
説明

filter https

Websense サーバまたは N2H2 サーバによってフィルタリングされる HTTPS トラフィックを指定します。

filter java

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除します。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show running-config filter

フィルタリング コンフィギュレーションを表示します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

filter https

N2H2 サーバまたは Websense サーバによりフィルタリングされる HTTPS トラフィックを指定するには、グローバル コンフィギュレーション モードで filter https コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

filter https < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ]

no filter https < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ]

 
構文の説明

port

フィルタリングが適用される TCP ポート。一般的に、これはポート 443 ですが、他の値も受け入れられます。ポート 443 には https リテラルを使用できます。

- port

(任意)ポート範囲を指定します。

except

(任意)先行の filter 条件に対する例外を作成します。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定すると、すべてのホストを指定できます。

mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

allow

(任意)サーバが利用できない場合に、フィルタリングなしで発信接続が適応型セキュリティ アプライアンスを通過します。このオプションを省略した場合、および N2H2 サーバまたは Websense サーバがオフラインの場合、適応型セキュリティ アプライアンスは、N2H2 サーバまたは Websense サーバがオンラインに戻るまで、発信ポート 443 トラフィックを停止します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、外部 Websense サーバまたは N2H2 フィルタリング サーバを使用して、HTTPS サイトおよび FTP サイトのフィルタリングをサポートします。

HTTPS フィルタリングは、サイトが許可されない場合に SSL 接続ネゴシエーションの完了を防ぐことにより動作します。ブラウザには、「The Page or the content cannot be displayed」などのエラー メッセージが表示されます。

HTTPS コンテンツは暗号化されているため、適応型セキュリティ アプライアンスはディレクトリおよびファイル名の情報なしで URL ルックアップを送信します。

次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTPS 接続をフィルタリングする例を示します。

hostname(config)# url-server (perimeter) host 10.0.1.1
hostname(config)# filter https 443 0 0 0 0
hostname(config)# filter https except 10.0.2.54 255.255.255.255 0 0
 

 
関連コマンド

コマンド
説明

filter activex

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから ActiveX オブジェクトを削除します。

filter java

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除します。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show running-config filter

フィルタリング コンフィギュレーションを表示します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

filter java

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除するには、グローバル コンフィギュレーション モードで filter java コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]

no filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]

 
構文の説明

port

フィルタリングが適用される TCP ポート。一般的に、これはポート 80 ですが、他の値も受け入れられます。ポート 80 には、http または url リテラルを使用できます。

port - port

(任意)ポート範囲を指定します。

except

(任意)先行の filter 条件に対する例外を作成します。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定すると、すべてのホストを指定できます。

local_mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

Java アプレットは、保護されたネットワーク上のホストやサーバを攻撃することを目的としたコードを含んでいる場合があるため、セキュリティ リスクを負う可能性があります。filter java コマンドを使用して、Java アプレットを削除できます。

filter java コマンドは、発信接続から適応型セキュリティ アプライアンスに返る Java アプレットをフィルタリングします。ユーザは、引き続き HTML ページを受信できますが、アプレットに対する Web ページのソースがコメント アウトされるため、アプレットは実行できません。 filter java コマンドは、WebVPN トラフィックをフィルタリングしません。

applet または /applet HTML タグがネットワーク パケット間で分割されている場合、またはタグ内のコードが MTU 内のバイト数よりも長い場合、適応型セキュリティ アプライアンスはタグをブロックできません。Java アプレットが <object> タグに含まれていることがわかっていれば、 filter activex コマンドを使用して削除します。

次に、すべての発信接続で Java アプレットがブロックされるように指定する例を示します。

hostname(config)# filter java 80 0 0 0 0
 

このコマンドは、ポート 80 で任意のローカル ホストから受信し、任意の外部ホスト接続に送信される Web トラフィックに、Java アプレットのブロッキングを適用することを指定します。

次に、保護されたネットワーク上のホストに Java アプレットをダウンロードすることをブロックする例を示します。

hostname(config)# filter java http 192.168.3.3 255.255.255.255 0 0
 

このコマンドは、ホスト 192.168.3.3 が Java アプレットをダウンロードしないようにします。

 
関連コマンド

コマンド
説明

filter activex

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから ActiveX オブジェクトを削除します。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show running-config filter

フィルタリング コンフィギュレーションを表示します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

filter url

トラフィックを URL フィルタリング サーバに送信するには、グローバル コンフィギュレーション モードで filter url コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

filter url < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]

no filter url < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]

 
構文の説明

allow

サーバが利用できない場合に、フィルタリングなしで発信接続が適応型セキュリティ アプライアンスを通過します。このオプションを省略した場合、および N2H2 サーバまたは Websense サーバがオフラインの場合、適応型セキュリティ アプライアンスは、N2H2 サーバまたは Websense サーバがオンラインに戻るまで、発信ポート 80(Web)トラフィックを停止します。

cgi_truncate

URL のパラメータ リストに、疑問符(?)から始まる CGI スクリプトなどのリストがある場合は、疑問符を含む疑問符以降のすべての文字を削除することにより、フィルタリング サーバに送信された URL を切り捨てます。

except

先行の filter 条件に対する例外を作成します。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

http

ポート 80 を指定します。ポート 80 を示す 80 の代わりに http または www を入力できます。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定すると、すべてのホストを指定できます。

local_mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用すると、すべてのホストを指定できます。

longurl-deny

URL が URL バッファ サイズの制限を超えている場合、または URL バッファが利用できない場合に、URL 要求を拒否します。

longurl-truncate

URL が URL バッファの制限を超えている場合に、発信ホスト名または発信 IP アドレスだけを N2H2 サーバまたは Websense サーバに送信します。

mask

任意のマスク。

- port

(任意)フィルタリングが適用される TCP ポート。一般的に、これはポート 80 ですが、他の値も受け入れられます。ポート 80 には、http または url リテラルを使用できます。ハイフンの後に別のポートを追加すると、ポートの範囲をオプションで指定します。

proxy-block

ユーザが HTTP プロキシ サーバに接続できないようにします。

url

適応型セキュリティ アプライアンスを通過するデータから URL をフィルタリングします。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

filter url コマンドを使用することで、N2H2 または Websense フィルタリング アプリケーションを使用して指示したワールドワイド ウェブ URL に、発信ユーザがアクセスしないようにします。


url-server コマンド設定してから、filter url コマンドを発行する必要があります。


filter url コマンドの allow オプションは、N2H2 サーバまたは Websense サーバがオフラインになった場合の適応型セキュリティ アプライアンスの動作を決定します。filter url コマンドで allow オプションを使用している場合、N2H2 サーバまたは Websense サーバがオフラインになると、ポート 80 トラフィックはフィルタリングなしで適応型セキュリティ アプライアンスを通過します。allow オプションを設定しない場合、サーバがオフラインになると、適応型セキュリティ アプライアンスは、サーバがオンラインに戻るまで、発信ポート 80(Web)のトラフィックを停止するか、または他の URL サーバが利用できる場合は、次の URL サーバに制御を譲渡します。


) allow オプションが設定されている場合、N2H2 サーバまたは Websense サーバがオフラインになると、適応型セキュリティ アプライアンスは制御を代替サーバに譲渡します。


N2H2 サーバまたは Websense サーバは、適応型セキュリティ アプライアンスと連動して、企業のセキュリティ ポリシーに基づいて、ユーザが Web サイトにアクセスすることを拒否します。

フィルタリング サーバの使用

Websense プロトコル バージョン 4 は、ホストと適応型セキュリティ アプライアンスの間のグループとユーザ名の認証をイネーブルにします。適応型セキュリティ アプライアンスがユーザ名のルックアップを実行し、次に、Websense サーバが URL フィルタリングとユーザ名ロギングを処理します。

N2H2 サーバは、IFP Server を実行している Windows ワークステーション(2000、NT、または XP)であり、推奨する最小メモリとして 512 MB のメモリを搭載している必要があります。また、N2H2 サービス用の長い URL のサポートは、Websense の上限よりも少ない 3 KB に制限されます。

Websense プロトコルのバージョン 4 には、次の機能拡張があります。

URL フィルタリングを使用すると、適応型セキュリティ アプライアンスは、発信 URL 要求を Websense サーバ上に定義されているポリシーと照合してチェックします。

ユーザ名ロギングは、Websense サーバ上のユーザ名、グループ、およびドメイン名を追跡します。

ユーザ名ルックアップを使用すると、適応型セキュリティ アプライアンスがユーザ認証テーブルを使用して、ホストの IP アドレスをユーザ名にマッピングできます。

Websense に関する情報は、次の Web サイトで入手できます。

http://www.websense.com/

設定手順

次の手順を実行して、URL フィルタリングを行います。


ステップ 1 N2H2 サーバまたは Websense サーバに、url-server コマンドの、該当するベンダー固有の形式を指示します。

ステップ 2 filter コマンドでフィルタリングをイネーブルにします。

ステップ 3 必要に応じて、url-cache コマンドを使用して、スループットを改善します。ただし、このコマンドは Websense ログを更新しないため、Websense アカウンティング レポートに影響を与える可能性があります。url-cache コマンドを使用する前に Websense 実行ログを集めてください。

ステップ 4 show url-cache statistics コマンドおよび show perfmon コマンドを使用して、実行情報を表示します。


 

長い URL の扱い

Websense フィルタリング サーバでは最大 4 KB の URL、N2H2 フィルタリング サーバでは最大 3 KB の URL のフィルタリングがサポートされています。

最大の許可サイズよりも長い URL 要求を処理できるようにするには、 longurl-truncate および cgi-truncate オプションを使用します。

最大サイズよりも URL が長い場合、longurl-truncate オプションまたは longurl-deny オプションがイネーブルになっていないと、パケットは適応型セキュリティ アプライアンスによりドロップされます。

longurl-truncate オプションを使用すると、許可された最大の長さよりも URL が長い場合、適応型セキュリティ アプライアンスは URL のホスト名または IP アドレスの一部だけを、評価のためにフィルタリング サーバに送信します。許可された最大の長さよりも URL が長い場合に、発信 URL トラフィックを拒否するには、longurl-deny オプションを使用します。

パラメータなしで CGI スクリプトの場所とスクリプト名だけが含まれるように CGI URL を切り捨てるには、cgi-truncate オプションを使用します。長い HTTP 要求の多くは CGI 要求です。パラメータ リストが非常に長い場合、パラメータ リストを含む完全な CGI 要求を待機および送信すると、メモリ リソースがすべて使われて、適応型セキュリティ アプライアンスのパフォーマンスに影響を及ぼします。

HTTP 応答のバッファリング

デフォルトでは、ユーザが特定の Web サイトに接続する要求を発行すると、適応型セキュリティ アプライアンスは Web サーバとフィルタリング サーバに同時に要求を送信します。フィルタリング サーバが Web コンテンツ サーバよりも前に応答しない場合、Web サーバからの応答はドロップされます。これが原因で、Web クライアントからは Web サーバの応答が遅れているように見えます。

HTTP 応答バッファをイネーブルにすることにより、Web コンテンツ サーバからの応答はバッファされ、フィルタリング サーバが接続を許可すると、要求したユーザに応答が転送されます。これにより、発生する可能性があった遅延を防ぐことができます。

HTTP の応答バッファをイネーブルにするには、次のコマンドを入力します。

url-block block block-buffer-limit
 

バッファされるブロックの最大数に block-buffer を置き換えます。許可される値は 1 ~ 128 です。これは、一度にバッファできる 1550 バイトのブロック数を指定します。

次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTP 接続をフィルタリングする例を示します。

hostname(config)# url-server (perimeter) host 10.0.1.1
hostname(config)# filter url 80 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

次に、ポート 8080 上でリッスンするプロキシ サーバに向かう発信 HTTP 接続をすべてブロックする例を示します。

hostname(config)# filter url 8080 0 0 0 0 proxy-block
 

 
関連コマンド

コマンド
説明

filter activex

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから ActiveX オブジェクトを削除します。

filter java

適応型セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

fips enable

システムまたはモジュールで FIPS に準拠するためのポリシー チェックをイネーブルにするには、グローバル コンフィギュレーション モードで fips enable コマンドを使用します。ポリシー チェックをディセーブルにするには、このコマンドの no 形式を使用します。

fips enable

no fips enable

 
構文の説明

enable

FIPS に準拠するためのポリシー チェックをイネーブルまたはディセーブルします。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

FIPS 準拠の動作モードで実行するには、fips enable コマンドと、セキュリティ ポリシーに指定されている適切な設定の両方を適用する必要があります。内部 API によって、デバイスは強制的に実行されている適切なコンフィギュレーションに移行できます。

「fips enable」がスタートアップ コンフィギュレーションにある場合、FIPS POST が実行されて、次のコンソール メッセージが表示されます。

Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
....
Cryptochecksum (unchanged): 6c6d2f77 ef13898e 682c9f94 9c2d5ba9
 
INFO: FIPS Power-On Self-Test in process. Estimated completion in 90 seconds.
......................................................
INFO: FIPS Power-On Self-Test complete.
Type help or '?' for a list of available commands.
sw8-5520>

次に、システムで強制的に FIPS に準拠するためのポリシー チェックの例を示します。

sw8-ASA(config)# fips enable
 

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。

crashinfo console disable

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、およびコンフィギュレーションをディセーブルにします。

fips self-test poweron

電源投入時自己診断テストを実行します。

show crashinfo console

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行います。

show running-config fips

適応型セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

fips self-test poweron

電源投入時自己診断テストを実行するには、特権 EXEC モードで fips self-test powereon コマンドを使用します。

fips self-test poweron

 
構文の説明

poweron

電源投入時自己診断テストを実行します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを実行すると、デバイスは FIPS 140-2 準拠に必要な自己診断テストをすべて実行します。テストは、暗号アルゴリズム テスト、ソフトウェア整合性テスト、およびクリティカル機能テストで構成されています。

電源投入時自己診断テストを実行するシステムの例を示します。

sw8-5520(config)# fips self-test poweron
 

 
関連コマンド

コマンド
説明

clear configure fips

NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。

crashinfo console disable

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、およびコンフィギュレーションをディセーブルにします。

fips enable

システムまたはモジュールで FIPS 準拠を強制するためのポリシー チェックをイネーブルまたはディセーブルにします。

show crashinfo console

フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行います。

show running-config fips

適応型セキュリティ アプライアンスで実行されている FIPS コンフィギュレーションを表示します。

firewall transparent

ファイアウォール モードをトランスペアレント モードに設定するには、グローバル コンフィギュレーション モードで firewall transparent コマンドを使用します。ルーテッド モードに戻すには、このコマンドの no 形式を使用します。トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」の機能を果たすレイヤ 2 のファイアウォールで、接続装置に対するルータ ホップとしては見なされません。

firewall transparent

no firewall transparent

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、すべてのコンテキストに対して 1 つのファイアウォール モードだけを使用できます。システム コンフィギュレーションでモードを設定する必要があります。このコマンドは、情報提供だけを目的として各コンテキスト コンフィギュレーションにも表示されますが、コンテキストにこのコマンドを入力することはできません。

コマンドの多くは両方のモードでサポートされていないため、モードを変更すると、適応型セキュリティ アプライアンスによってコンフィギュレーションが消去されます。データが入力されたコンフィギュレーションがすでにある場合、モードを変更する前にコンフィギュレーションのバックアップを作成してください。新しいコンフィギュレーションを作成するときに、このバックアップを参照として使用できます。

firewall transparent コマンドを使用してモードを変更する適応型セキュリティ アプライアンスに、テキスト コンフィギュレーションをダウンロードする場合は、そのコマンドを必ずコンフィギュレーションの先頭に配置してください。適応型セキュリティ アプライアンスは、コマンドを読み込むとすぐにモードを変更し、その後ダウンロードしたコンフィギュレーションを読み込みます。このコマンドがコンフィギュレーションの後ろに配置されていると、適応型セキュリティ アプライアンスは、コンフィギュレーション内でこのコマンドよりも前に配置されている行をすべて消去します。

次に、ファイアウォール モードをトランスペアレント モードに変更する例を示します。

hostname(config)# firewall transparent
 

 
関連コマンド

コマンド
説明

arp-inspection

ARP パケットとスタティック ARP エントリを比較する ARP インスペクションをイネーブルにします。

mac-address-table static

MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

mac-learn

MAC アドレス ラーニングをディセーブルにします。

show firewall

ファイアウォール モードを示します。

show mac-address-table

ダイナミック エントリおよびスタティック エントリを含む MAC アドレス テーブルを表示します。

flow-export delay flow-create

flow-create イベントのエクスポートを遅らせるには、グローバル コンフィギュレーション モードで flow-export delay flow-create コマンドを使用します。遅らせることなく flow-create イベントをエクスポートするには、このコマンドの no 形式を使用します。

flow-export delay flow-create seconds

no flow-export delay flow-create seconds

 
構文の説明

seconds

flow-create イベントをエクスポートする場合の遅延時間を秒単位で指定します。有効な値は 1 ~ 180 秒です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.1(2)

このコマンドが追加されました。

 
使用上のガイドライン

flow-export delay flow-create コマンドが設定されていない場合、flow-create イベントは遅れることなくエクスポートされます。

設定した遅延時間の前にフローがティアダウンすると、flow-create イベントは送信されず、extend flow teardown イベントが送信されます。

次に、flow-create イベントのエクスポートを 10 秒間遅らせる方法の例を示します。

hostname(config)# flow-export delay flow-create 10
 

 
関連コマンド

コマンド
説明

clear flow-export counters

NetFlow のランタイム カウンタをすべてゼロにリセットします。

flow-export destination interface-name ipv4-address | hostname udp-port

NetFlow コレクタの IP アドレスまたはホスト名と、NetFlow コレクタがリッスンする UDP ポートを指定します。

flow-export template timeout-rate minutes

テンプレート情報が NetFlow コレクタに送信される間隔を制御します。

logging flow-export-syslogs enable

logging flow-export-syslogs disable コマンドを入力した後に、syslog メッセージをイネーブルにし、さらに NetFlow データに関連付けられた syslog メッセージをイネーブルにします。

show flow-export counters

NetFlow のランタイム カウンタのセットを表示します。

flow-export destination

NetFlow パケットが送信されるコレクタを設定するには、グローバル コンフィギュレーション モードで flow-export destination コマンドを使用します。NetFlow パケットのコレクタを削除するには、このコマンドの no 形式を使用します。

flow-export destination interface-name ipv4-address | hostname udp-port

no flow-export destination interface-name ipv4-address | hostname udp-port

 
構文の説明

hostname

NetFlow コレクタのホスト名を指定します。

interface-name

インターフェイス名を指定します。これを介して、宛先に到達できるようになります。

ipv4-address

NetFlow コレクタの IP アドレスを指定します。IPv4 だけがサポートされます。

udp-port

NetFlow コレクタがリッスンしている UDP ポートを指定します。有効な値は 1 ~ 65535 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.1(1)

このコマンドが追加されました。

8.1(2)

フロー エクスポート宛先の最大数が 5 つに増えました。

 
使用上のガイドライン

flow-export destination コマンドを使用すると、NetFlow データを NetFlow コレクタにエクスポートするようにセキュリティ アプライアンスを設定できます。


) セキュリティ コンテキストごとに最大 5 つのエクスポート宛先(コレクタ)を入力できます。新しい宛先を入力すると、テンプレート レコードが新たに追加されたコレクタに送信されます。宛先を 6 つ以上追加しようとすると、次のエラー メッセージが表示されます。

「ERROR: A maximum of 5 flow-export destinations can be configured.」


セキュリティ アプライアンスが NetFlow データをエクスポートするように設定されている場合にパフォーマンスを向上させるには、 logging flow-export-syslogs disable コマンドを入力して、(NetFlow でもキャプチャされる)冗長な syslog メッセージをディセーブルにすることを推奨します。

次に、NetFlow データにコレクタを設定する方法の例を示します。

hostname(config)# flow-export destination inside 209.165.200.224 2055
 

 
関連コマンド

コマンド
説明

clear flow-export counters

NetFlow のランタイム カウンタをすべてゼロにリセットします。

flow-export delay flow-create seconds

時間を指定すると、その時間だけ flow-create イベントのエクスポートを遅らせます。

flow-export template timeout-rate minutes

テンプレート情報が NetFlow コレクタに送信される間隔を制御します。

logging flow-export-syslogs enable

logging flow-export-syslogs disable コマンドを入力した後に、syslog メッセージをイネーブルにし、さらに NetFlow データに関連付けられた syslog メッセージをイネーブルにします。

show flow-export counters

NetFlow のランタイム カウンタのセットを表示します。

flowcontrol

フロー制御のポーズ(XOFF)フレームを 10 ギガビット イーサネット インターフェイスでのみイネーブルにするには、インターフェイス コンフィギュレーション モードで flowcontrol コマンドを使用します。ポーズ フレームをディセーブルにするには、このコマンドの no 形式を使用します。

flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]

no flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]

 
構文の説明

low_water

低ウォーターマークを 0 ~ 511 KB の間で設定します。Network Interface Controller(NIC;ネットワーク インターフェイス コントローラ)がポーズ フレームを送信した後、バッファ使用率が低ウォーターマークを下回ると、NIC は XON フレームを送信します。リンク パートナーが XON フレームを受信すると、トラフィックを再開できます。デフォルトは、64 KB です。

pause_time

ポーズの更新しきい値を 0 ~ 65535 の間で設定します。リンク パートナーは XON フレームの受信後にトラフィックを再開できます。または、ポーズ フレーム内のこのタイマー値で制御される XOFF の期限が切れると、トラフィックを再開できます。バッファ使用率が継続的に高ウォーターマークを上回る場合、ポーズ フレームが繰り返し送信され、ポーズ更新しきい値によって制御されます。デフォルトは 26624 です。

noconfirm

確認せずにこのコマンドを適用します。このコマンドはインターフェイスをリセットするため、このオプションを使用しない場合、コンフィギュレーションの変更を確認するように求められます。

high_water

高ウォーターマークを 0 ~ 511 KB の間で設定します。バッファ使用率が高ウォーターマークを上回る場合、NIC はポーズ フレームを送信します。デフォルトは 128 KB です。

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

デフォルトではポーズ フレームはディセーブルです。

デフォルトの高ウォーターマークは 128 KB です。

デフォルトの低ウォーターマークは 64 KB です。

デフォルトのポーズ更新しきい値は 26664 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは物理インターフェイスに入力します。

トラフィック バーストが発生した場合、NIC 上で FIFO バッファのバッファ容量をバーストが超過し、リング バッファを受信すると、パケットがドロップされます。フロー制御のポーズ フレームをイネーブルにすると、この問題を軽減できます。

このコマンドをイネーブルにすると、FIFO バッファ使用率に基づいて NIC ハードウェアによって、ポーズ フレーム(XOFF)および XON フレームが自動的に生成されます。

1. バッファ使用率が高ウォーターマークを上回ると、NIC はポーズ フレームを送信します。

2. ポーズが送信された後、バッファ使用率が低ウォーターマークを下回ると、NIC は XON フレームを送信します。

3. リンク パートナーは XON フレームの受信後にトラフィックを再開できます。または、ポーズ フレーム内のタイマー値で制御される XOFF の期限が切れると、トラフィックを再開できます。

4. バッファ使用率が継続的に高ウォーターマークを上回る場合、NIC はポーズ フレームを繰り返し送信し、ポーズ更新しきい値によって制御されます。

このコマンドを使用すると、次の警告が表示されます。

Changing flow-control parameters will reset the interface. Packets may be lost during the reset.
Proceed with flow-control changes?
 

プロンプトを表示させずにパラメータを変更するには、 noconfirm キーワードを使用します。


) 802.3x で定義されたフロー制御フレームだけがサポートされます。プライオリティベースのフロー制御はサポートされていません。


次に、デフォルト設定を使用してポーズ フレームをイネーブルにする例を示します。

hostname(config)# interface tengigabitethernet 1/0
hostname(config-if)# flowcontrol send on
Changing flow-control parameters will reset the interface. Packets may be lost during the reset.
Proceed with flow-control changes?
hostname(config-if)# y

 
関連コマンド

コマンド
説明

interface

インターフェイス コンフィギュレーション モードを開始します。

format

すべてのファイルを消去してファイル システムをフォーマットするには、特権 EXEC モードで format コマンドを使用します。このコマンドは、非表示のシステム ファイルを含むファイル システム上のすべてのファイルを消去し、ファイル システムを再インストールします。

format {disk0: | disk1: | flash:}

 
構文の説明

disk0 :

内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの場合は、 flash キーワードのエイリアスが disk0 になっています。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

format コマンドは、指定されたファイル システム上のすべてのデータを消去し、デバイスに FAT 情報を再度書き込みます。


注意 format コマンドは、破損したフラッシュ メモリをクリーン アップするために必要な場合にのみ、細心の注意を払って使用してください。

すべての可視ファイル(非表示のシステム ファイル以外)を削除するには、 format コマンドではなく、 delete /recursive コマンドを入力します。


) Cisco PIX 適応型セキュリティ アプライアンスでは、erase コマンドおよび format コマンドは両方とも、0xFF パターンを使用してユーザ データを破棄します。

破損したファイル システムを修復する場合は、format コマンドを入力する前に fsck コマンドを試してください。



) Cisco ASA 5500 シリーズの適応型セキュリティ アプライアンスでは、erase コマンドを実行すると、ディスク上のすべてのユーザ データが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイル システムの制御構造をリセットするだけです。ロウ ディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。

破損したファイル システムを修復する場合は、format コマンドを入力する前に fsck コマンドを試してください。


次に、フラッシュ メモリをフォーマットする方法の例を示します。

hostname# format flash:

 
関連コマンド

コマンド
説明

delete

ユーザに表示されるすべてのファイルを削除します。

erase

すべてのファイルを削除し、フラッシュ メモリをフォーマットします。

fsck

破損したファイル システムを修復します。

forward interface

スイッチが組み込まれたモデル(ASA 5505 適応型セキュリティ アプライアンスなど)では、インターフェイス コンフィギュレーション モードで forward interface コマンドを使用して、1 つの VLAN から別の VLAN に接続を開始できるように接続を復元します。1 つの VLAN から別の VLAN に接続を開始しないようにするには、このコマンドの no 形式を使用します。ライセンスがサポートする VLAN の数によっては、1 つの VLAN だけに制限する必要が生じる場合があります。

forward interface vlan number

no forward interface vlan number

 
構文の説明

vlan number

この VLAN インターフェイスでトラフィックを開始できない VLAN ID を指定します。

 
デフォルト

デフォルトでは、すべてのインターフェイスは他のすべてのインターフェイスに対してトラフィックを開始できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ルーテッド モードの場合、ASA 5505 適応型セキュリティ アプライアンスの Base ライセンスではアクティブな VLAN を 3 つまで、Security Plus ライセンスでは 5 つまで設定できます。アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。いずれのライセンスでも、非アクティブな VLAN を ASA 5505 適応型セキュリティ アプライアンス上に 5 つまで設定できますが、それらの VLAN をアクティブにする場合は、ライセンスに関する次のガイドラインを必ず遵守してください。

Base ライセンスの場合、3 つめの VLAN を no forward interface コマンドで設定し、この VLAN から別の VLAN に接続を開始しないようにする必要があります。

たとえば、インターネット アクセス用に外部に割り当てた VLAN が 1 つ、内部ワーク ネットワーク用に割り当てた VLAN が 1 つ、さらにホーム ネットワーク用に割り当てた 3 つめの VLAN があるとします。ホーム ネットワークはワーク ネットワークにアクセスする必要はありません。そのため、ホーム VLAN には no forward interface コマンドを使用します。ワーク ネットワークはホーム ネットワークにアクセスできますが、ホーム ネットワークはワーク ネットワークにアクセスできません。

nameif コマンドで設定した VLAN インターフェイスがすでに 2 つある場合、必ず no forward interface コマンドを入力してから、3 つめのインターフェイスで nameif コマンドを入力します。適応型セキュリティ アプライアンスでは、ASA 5505 適応型セキュリティ アプライアンスで Base ライセンスを使用する場合、3 つの VLAN インターフェイスが完全に機能するようには設定できません。

次の例では、3 つの VLAN インターフェイスを設定します。3 つめのホーム インターフェイスはトラフィックをワーク インターフェイスに転送できません。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address dhcp
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif work
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200
hostname(config-if)# nameif home
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
...

 
関連コマンド

コマンド
説明

backup interface

たとえば、ISP のバックアップ リンクになるようにインターフェイスを割り当てます。

clear interface

show interface コマンドのカウンタをクリアします。

interface vlan

VLAN インターフェイスを作成し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

switchport access vlan

スイッチ ポートを VLAN に割り当てます。

fqdn

登録中に、指定された FQDN を証明書のサブジェクト代替名の拡張に含めるには、暗号 CA トラストポイント コンフィギュレーション モードで fqdn コマンドを使用します。fqdn のデフォルト設定に戻すには、このコマンドの no 形式を使用します。

fqdn [ fqdn | none ]

no fqdn

 
構文の説明

fqdn

完全修飾ドメイン名を指定します。 fqdn の最大の長さは 64 文字です。

none

非完全修飾ドメイン名を指定します。

 
デフォルト

デフォルト設定では、FQDN は含まれません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

証明書を使用した Nokia VPN クライアントの認証をサポートするように適応型セキュリティ アプライアンスを設定する場合、 none キーワードを使用します。Nokia VPN クライアントの証明書認証のサポートに関する詳細は、 crypto isakmp identity コマンドまたは isakmp identity コマンドを参照してください。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の登録要求に FQDN エンジニアリングを含める例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# fqdn engineering
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment retry count

登録要求の送信を再試行する回数を指定します。

enrollment retry period

登録要求の送信を試行するまでの待機時間を分単位で指定します。

enrollment terminal

このトラストポイントを使用したカット アンド ペースト登録を指定します。

fragment

パケットのフラグメンテーションを管理する機能を追加して NFS との互換性を向上させるには、グローバル コンフィギュレーション モードで fragment コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

fragment { size | chain | timeout limit } [ interface ]

no fragment { size | chain | timeout limit } interface

 
構文の説明

chain limit

完全な IP パケットがフラグメント化されるパケット数の最大値を指定します。

interface

(任意)適応型セキュリティ アプライアンスのインターフェイスを指定します。interface が指定されていない場合、このコマンドはすべてのインターフェイスに適用されます。

size limit

再構成のために待機している IP 再構成データベースに含めることができる、フラグメントの最大数を設定します。

(注) 適応型セキュリティ アプライアンスは、キュー サイズが 3 分の 2 以上になると、既存のファブリック チェーンの一部ではないフラグメントを受け入れません。キューの残りの 3 分の 1 は、その一部がすでにキューに入っている不完全なフラグメント チェーンと同じ送信元 IP アドレスまたは宛先 IP アドレスおよび IP 識別番号を持つフラグメントを受け入れるために使用されます。この制限は DoS 保護メカニズムであり、フラグメント フラッディング攻撃が発生した場合に、適切なフラグメント チェーンを再構築するために役立ちます。

timeout limit

フラグメント化されたパケット全体の受信を待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントを受信したときに開始します。指定した秒数以内にパケットのフラグメントをすべて受信できない場合、それまでに受信したパケット フラグメントはすべて廃棄されます。

 
デフォルト

デフォルトは次のとおりです。

chain は 24 パケットです。

interface はすべてのインターフェイスです。

size は 200 です。

timeout は 5 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 chain size timeout のいずれかの引数を必ず選択するように変更されました。ソフトウェアの以前のリリースでサポートされていたように、これらの引数を入力せずに、 fragment コマンドを入力することはできなくなりました。

 
使用上のガイドライン

デフォルトでは、適応型セキュリティ アプライアンスは、完全な IP パケットを再構築するために、最大 24 個のフラグメントを受け入れます。ネットワーク セキュリティ ポリシーに基づいて、フラグメント化されたパケットが適応型セキュリティ アプライアンスを通過できなくなるように適応型セキュリティ アプライアンスを設定することを検討してください。これを行うには、各インターフェイスで fragment chain 1 interface コマンドを入力します。制限を 1 に設定すると、すべてのパケットが完全な状態、つまり、フラグメント化されていない状態である必要があります。

適応型セキュリティ アプライアンスを通過するネットワーク トラフィックのほとんどが NFS である場合、データベースのオーバーフローを防ぐため、さらに調整が必要になる可能性があります。

WAN インターフェイスなどのように NFS サーバとクライアントの間の MTU サイズが小さな環境では、chain キーワードをさらに調整する必要があります。この場合、NFS overTCP を使用して効率を改善することを推奨します。

size limit に大きな値を設定すると、適応型セキュリティ アプライアンスは、さらにフラグメント フラッディングによる DoS 攻撃を受けやすくなります。 size limit に 1550 プールまたは 16384 プール内のブロック合計数以上の値を設定しないでください。

デフォルト値では、フラグメント フラッディングによって発生する DoS 攻撃が制限されます。

次に、フラグメント化したパケットを outside インターフェイスおよび inside インターフェイスで防ぐ方法の例を示します。

hostname(config)# fragment chain 1 outside
hostname(config)# fragment chain 1 inside
 

パケットをフラグメント化しないそれぞれの追加インターフェイスに対して、fragment chain 1 interface コマンドの入力を続けます。

次に、outside インターフェイスのフラグメント データベースを、最大サイズ 2000、最大チェーン長 45、待ち時間 10 秒に設定する方法の例を示します。

hostname(config)# fragment size 2000 outside
hostname(config)# fragment chain 45 outside
hostname(config)# fragment timeout 10 outside

 
関連コマンド

コマンド
説明

clear configure fragment

すべての IP フラグメント再構成コンフィギュレーションを、デフォルトにリセットします。

clear fragment

IP フラグメント再構成モジュールの動作データをクリアします。

show fragment

IP フラグメント再構成モジュールの動作データを表示します。

show running-config fragment

IP フラグメント再構成コンフィギュレーションを表示します。

frequency

選択した SLA 動作が繰り返される頻度を設定するには、SLA モニタ プロトコル コンフィギュレーション モードで frequency コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

frequency seconds

no frequency

 
構文の説明

seconds

SLA プローブ間の秒数。有効な値は 1 ~ 604800 秒です。この値は timeout 値未満にはできません。

 
デフォルト

デフォルトの間隔は 60 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

動作中、SLA 動作は指定の頻度で繰り返し実行されます。たとえば、60 秒の頻度に設定した ipIcmpEcho オペレーションは、動作中、エコー要求パケットの送信を 60 秒ごとに 1 回繰り返し実行します。たとえば、エコー オペレーションのデフォルトのパケット数は 1 です。このパケットは、オペレーションの開始時に送信され、60 秒後に再度送信されます。

個々の SLA 動作で、指定した頻度値より実行に時間がかかる場合、「busy」という統計情報カウンタの値が増え、オペレーションはすぐに繰り返されません。

frequency コマンドに指定する値は、 timeout コマンドに指定した値未満にはできません。

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度は 3 秒、タイムアウト値は 1000 ミリ秒に設定されます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability

 
関連コマンド

コマンド
説明

sla monitor

SLA モニタリング動作を定義します。

timeout

SLA 動作が応答を待機する期間を定義します。

fsck

ファイル システムのチェックを実行し、破損を修復するには、特権 EXEC モードで fsck コマンドを使用します。

fsck [ /noconfirm ] { disk0: | disk1: | flash: }

 
構文の説明

/noconfirm

(任意)修復確認のプロンプトを表示しません。

disk0 :

内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

内部フラッシュ メモリを指定し、続けてコロンを入力します。 flash キーワードは disk0 のエイリアスです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

fsck コマンドは破損したファイル システムをチェックし、修復を試みます。元に戻すことのできない方法を試みる前に、まずこのコマンドを使用してください。

FSCK ユーティリティが(電源障害や異常シャットダウンなどによる)ディスク破損のインスタンスを修復する場合、このユーティリティは FSCK xxx .REC という名前のリカバリ ファイルを作成します。これらのファイルには、FSCK が実行されたときに回復されたファイルの一部またはファイル全体が含まれています。まれに、これらのファイルを調査してデータを回復する必要があることがありますが、一般的にこれらのファイルは不要であり、削除しても問題ありません。


) FSCK ユーティリティは起動時に自動的に実行されるため、fsck コマンドを手動で入力しなくても、これらのリカバリ ファイルを見つける場合があります。


次に、フラッシュ メモリのファイル システムをチェックする方法の例を示します。

hostname# fsck disk0:
 

 
関連コマンド

コマンド
説明

delete

ユーザに表示されるすべてのファイルを削除します。

erase

すべてのファイルを削除し、フラッシュ メモリをフォーマットします。

format

非表示のシステム ファイルを含むファイル システム上のすべてのファイルを削除し、ファイル システムを再インストールします。

ftp mode passive

FTP モードをパッシブに設定するには、グローバル コンフィギュレーション モードで ftp mode passive コマンドを使用します。FTP クライアントをアクティブ モードにリセットするには、このコマンドの no 形式を使用します。

ftp mode passive

no ftp mode passive

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

ftp mode passive コマンドは、FTP モードをパッシブに設定します。適応型セキュリティ アプライアンスでは FTP を使用して、イメージ ファイルやコンフィギュレーション ファイルを FTP サーバにアップロードしたり、FTP サーバからのダウンロードしたりできます。 ftp mode passive コマンドは、適応型セキュリティ アプライアンス上の FTP クライアントが FTP サーバと対話する方法を制御します。

パッシブ FTP では、クライアントが制御接続とデータ接続の両方を開始します。受動モードはサーバ状態を参照します。つまり、サーバは、クライアントによって開始された制御接続とデータ接続の両方を受動的に受け入れます。

受動モードでは、宛先ポートと送信元ポートは両方とも(1023 より大きい)一時ポートです。クライアントが passive コマンドを発行してパッシブなデータ接続の設定を開始するため、このモードはクライアントにより設定されます。受動モードでのデータ接続の受信者であるサーバは、特定の接続をリッスンしているポート番号で応答します。

次に、FTP モードをパッシブに設定する例を示します。

hostname(config)# ftp mode passive
 

 
関連コマンド

copy

イメージ ファイルやコンフィギュレーション ファイルを FTP サーバとの間でアップロードまたはダウンロードします。

debug ftp client

FTP クライアントのアクティビティに関する詳細な情報を表示します。

show running-config ftp mode

FTP クライアント コンフィギュレーションを表示します。

functions(削除されました)

リリース 8.0(2) では functions コマンドは使用できません。このコマンドは廃止され、下位互換性のためにだけこのコマンド リファレンスに残されています。import および export コマンドを使用して、Web サイト、ファイル アクセス、プラグインの URL リスト、カスタマイズ、および言語変換を作成してください。

このユーザまたはグループ ポリシーに対して、WebVPN 経由でポート フォワーディング Java アプレット、Citrix サポート、ファイル アクセス、ファイル ブラウジング、ファイル サーバ エントリ、webtype ACL のアプリケーション、HTTP プロキシ、ポート フォワーディング、または URL エントリの自動ダウンロードを設定するには、webvpn コンフィギュレーション モードで functions コマンドを使用します。設定済みの機能を削除するには、このコマンドの no 形式を使用します。

functions { auto-download | citrix | file-access | file-browsing | file-entry | filter | http-proxy | url-entry | port-forward | none }

no functions [ auto-download | citrix | file-access | file-browsing | file-entry | filter | url-entry | port-forward ]

 
構文の説明

auto-download

WebVPN ログインの際に、ポート フォワーディング Java アプレットの自動ダウンロードをイネーブルまたはディセーブルにします。最初にポート フォワーディング、Outlook または Exchange プロキシ、HTTP プロキシをイネーブルにする必要があります。

citrix

MetaFrame アプリケーション サーバからリモート ユーザへの終端サービスのサポートをイネーブルまたはディセーブルにします。このキーワードを使用すると、セキュリティ アプライアンスがセキュアな Citrix コンフィギュレーション内のセキュアなゲートウェイとして動作できます。これらのサービスにより、ユーザは標準の Web ブラウザから MetaFrame アプリケーションにアクセスできます。

file-access

ファイル アクセスをイネーブルまたはディセーブルにします。イネーブルの場合、WebVPN のホームページにはサーバ リスト内のファイル サーバが一覧表示されます。ファイル ブラウジングやファイル エントリをイネーブルにするには、ファイル アクセスをイネーブルにする必要があります。

file-browsing

ファイル サーバおよび共有のブラウジングをイネーブルまたはディセーブルにします。ファイル サーバのユーザ エントリを許可するには、ファイル ブラウジングをイネーブルにする必要があります。

file-entry

ファイル サーバの名前を入力するユーザ機能をイネーブルまたはディセーブルにします。

filter

webtype ACL を適用します。イネーブルにすると、適応型セキュリティ アプライアンスは webvpn の filter コマンドで定義された webtype ACL を適用します。

http-proxy

リモート ユーザへの HTTP アプレット プロキシの転送をイネーブルまたはディセーブルにします。このプロキシは、Java、ActiveX、および Flash など、適切なマングリングを妨げるテクノロジーに役立ちます。このプロキシを使用するとマングリングはバイパスされますが、セキュリティ アプライアンスは引き続き確実に使用されます。転送されたプロキシはブラウザの古いプロキシ設定を自動的に変更し、すべての HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。このプロキシは HTML、CSS、JavaScript、VBScript、ActiveX、および Java など、すべてのクライアント側のテクノロジーを実質的にサポートします。サポートしているブラウザは、Microsoft Internet Explorer だけです。

none

すべての WebVPN functions にヌル値を設定します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから機能を継承しないようにします。

port-forward

ポート フォワーディングをイネーブルにします。イネーブルにすると、適応型セキュリティ アプライアンスは webvpn の port-forward コマンドで定義されたポート フォワーディング リストを使用します。

url-entry

URL のユーザ エントリをイネーブルまたはディセーブルにします。イネーブルになっても、適応型セキュリティ アプライアンスは引き続き、設定された任意の URL またはネットワーク ACL に URL を制限します。URL エントリをディセーブルにすると、適応型セキュリティ アプライアンスは WebVPN ユーザをホームページ上の URL に制限します。

 
デフォルト

デフォルトでは、この機能はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドは非推奨のコマンドになりました。

7.1(1)

auto-download キーワードと citrix キーワードが追加されました。

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

functions none コマンドを発行して作成されたヌル値を含むすべての設定済み機能を削除するには、このコマンドの no 形式を引数なしで使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。機能の値を継承しないようにするには、 functions none コマンドを使用します。

次に、FirstGroup という名前のグループ ポリシーに対して、ファイル アクセスとファイル ブラウジングを設定する方法の例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# functions file-access file-browsing

 
関連コマンド

コマンド
説明

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。