Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
icmp コマンド~ import webvpn webcontent コマンド
icmp コマンド~ import webvpn webcontent コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

icmp コマンド~ import webvpn webcontent コマンド

icmp

icmp unreachable

icmp-object

id-cert-issuer

id-mismatch

id-randomization

id-usage(暗号 CA トラストポイント)

igmp

igmp access-group

igmp forward interface

igmp join-group

igmp limit

igmp query-interval

igmp query-max-response-time

igmp query-timeout

igmp static-group

igmp version

ignore-ipsec-keyusage

ignore lsa mospf

ike-retry-count

im

imap4s

import webvpn customization

import webvpn plug-in protocol

import webvpn translation-table

import webvpn url-list

import webvpn webcontent

icmp コマンド~ import webvpn webcontent コマンド

icmp

適応型セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックのアクセス ルールを設定するには、 icmp コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name

no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name

 
構文の説明

deny

条件が一致した場合にアクセスを拒否します。

icmp_type

(任意)ICMP メッセージ タイプ( 表 13-1 を参照)。

if_name

インターフェイス名。

ip_address

ICMP メッセージをインターフェイスに送信するホストの IP アドレス。

net_mask

ip_address に適用されるマスク。

permit

条件が一致した場合にアクセスを許可します。

 
デフォルト

適応型セキュリティ アプライアンスのデフォルト動作は、適応型セキュリティ アプライアンス インターフェイス への すべての ICMP トラフィックを許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

icmp コマンドは、任意の適応型セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックを制御します。ICMP コントロール リストを設定しない場合、適応型セキュリティ アプライアンスでは、外部インターフェイスを含む任意のインターフェイスで終端するすべての ICMP トラフィックを受け入れます。ただし、デフォルトでは、適応型セキュリティ アプライアンスはブロードキャスト アドレスに向けられた ICMP エコー要求に応答しません。

適応型セキュリティ アプライアンスはトラフィックが着信するインターフェイスに送信される ICMP トラフィックにのみ応答します。ICMP トラフィックは、インターフェイスを介して遠方のインターフェイスに送信できません。

icmp deny コマンドはインターフェイスへの ping をディセーブルにし、icmp permit コマンドはインターフェイスへの ping をイネーブルにします。ping をディセーブルにすると、適応型セキュリティ アプライアンスをネットワーク上で検出できません。これは設定可能なプロキシ ping ともいいます。

保護されたインターフェイス上の宛先に向けて適応型セキュリティ アプライアンス 経由で ルーティングされる ICMP トラフィックに対しては、access-list extended または access-group コマンドを使用します。

ICMP 到達不能メッセージ タイプ(タイプ 3)の権限を付与することをお薦めします。ICMP 到達不能メッセージを拒否すると、ICMP Path MTU Discovery(PMTUD)がディセーブルになるため、IPSec と PPTP トラフィックが停止する場合があります。Path MTU Discovery(PMTUD)の詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP コントロール リストがインターフェイスに設定されている場合、適応型セキュリティ アプライアンスは最初に、指定された ICMP トラフィックを照合し、次にそのインターフェイス上の他のすべての ICMP トラフィックに暗黙的な拒否を適用します。つまり、最初に照合されたエントリが許可エントリの場合、ICMP パケットは引き続き処理されます。最初に照合されたエントリが拒否エントリであるか、エントリが照合されない場合、適応型セキュリティ アプライアンスは ICMP パケットを廃棄し、syslog メッセージを生成します。例外は、ICMP コントロール リストが設定されない場合で、この場合は permit ステートメントが使用されます。

表 13-1 に、サポートされる ICMP タイプ値を示します。

 

表 13-1 ICMP タイプとリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

8

echo

11

time-exceeded

次に、すべての ping 要求を拒否し、外部インターフェイスでのすべての到達不能メッセージを許可する例を示します。

hostname(config)# icmp permit any unreachable outside
 

ICMP トラフィックを拒否する追加の各インターフェイスについて、 icmp deny any interface コマンドの入力を続行します。

次に、ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 のホストが外部インターフェイスに ping することを許可する例を示します。

hostname(config)# icmp permit host 172.16.2.15 echo-reply outside
hostname(config)# icmp permit 172.22.1.0 255.255.0.0 echo-reply outside
hostname(config)# icmp permit any unreachable outside
 

 
関連コマンド

コマンド
説明

clear configure icmp

ICMP コンフィギュレーションをクリアします。

debug icmp

ICMP のデバッグ情報の表示をイネーブルにします。

show icmp

ICMP コンフィギュレーションを表示します。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

icmp unreachable

適応型セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに到達不能な ICMP メッセージ レート制限を設定するには、 icmp unreachable コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

icmp unreachable rate-limit rate burst-size size
no icmp unreachable rate-limit rate burst-size size

 
構文の説明

rate-limit rate

到達不能メッセージのレート制限を毎秒 1 ~ 100 メッセージの間で設定します。デフォルトは毎秒 1 メッセージです。

burst-size size

1 ~ 10 のバースト レートを設定します。このキーワードはシステムで現在使用されていないため、任意の値を選択できます。

 
デフォルト

デフォルトのレート制限は毎秒 1 メッセージです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

ICMP メッセージ(到達不能メッセージを含む)が適応型セキュリティ アプライアンス インターフェイスで終端することを許可する場合( icmp コマンドを参照)、到達不能メッセージのレートを制御できます。

このコマンドと、 set connection decrement-ttl コマンドは、適応型セキュリティ アプライアンスをホップの 1 つとして表示する適応型セキュリティ アプライアンスを経由した traceroute を許可するために必要です。

次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection decrement-ttl
hostname(config-pmap-c)# exit
hostname(config)# icmp permit host 172.16.2.15 echo-reply outside
hostname(config)# icmp permit 172.22.1.0 255.255.0.0 echo-reply outside
hostname(config)# icmp permit any unreachable outside
hostname(config)# icmp unreachable rate-limit 50 burst-size 1
 

 
関連コマンド

コマンド
説明

clear configure icmp

ICMP コンフィギュレーションをクリアします。

debug icmp

ICMP のデバッグ情報の表示をイネーブルにします。

set connection decrement-ttl

パケットの Time To Live(TTL; 存続可能時間)の値をデクリメントします。

show icmp

ICMP コンフィギュレーションを表示します。

timeout icmp

ICMP のアイドル タイムアウトを設定します。

icmp-object

icmp-type オブジェクト グループを追加するには、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。

icmp-object icmp_type

no group-object icmp_type

 
構文の説明

icmp_type

icmp-type 名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Icmp-type コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

icmp-object コマンドは object-group コマンドと一緒に使用して、icmp-type オブジェクトを定義します。このコマンドは icmp-type コンフィギュレーション モードで使用します。

ICMP タイプの番号と名前は次のとおりです。

 

番号
ICMP タイプ名

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

address-mask-request

18

address-mask-reply

31

conversion-error

32

mobile-redirect

次に、icmp-type コンフィギュレーション モードで icmp-object コマンドを使用する例を示します。

hostname(config)# object-group icmp-type icmp_allowed
hostname(config-icmp-type)# icmp-object echo
hostname(config-icmp-type)# icmp-object time-exceeded
hostname(config-icmp-type)# exit
 

 
関連コマンド

コマンド
説明

clear configure object-group

すべての object-group コマンドをコンフィギュレーションから削除します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

コンフィギュレーションを最適化するためのオブジェクト グループを定義します。

port-object

サービス オブジェクト グループにポート オブジェクトを追加します。

show running-config object-group

現在のオブジェクト グループを表示します。

id-cert-issuer

このトラストポイントに関連付けられている CA から発行されたピア証明書をシステムで受け入れるかどうかを示すには、暗号 CA トラストポイント コンフィギュレーション モードで id-cert-issuer コマンドを使用します。CA によって発行され、トラストポイントに関連付けられた証明書を拒否するには、このコマンドの no 形式を使用します。このコマンドは、広く使用されるルート CA を表すトラストポイントに対して有用です。

id-cert-issuer

no id-cert-issuer

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定はイネーブルです(ID 証明書は受け入れられます)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用して、証明書の受け入れを、広く使用されるルート CA の下位 CA から発行される証明書に制限します。この機能を許可しない場合、適応型セキュリティ アプライアンスは、この発行者によって署名された IKE ピア証明書をすべて拒否します。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の発行者によって署名されたアイデンティティ ID 証明書の受け入れを管理者に許可する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# id-cert-issuer
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント サブモードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment retry count

登録要求の送信を再試行する回数を指定します。

enrollment retry period

登録要求の送信を試行するまでの待機時間を分単位で指定します。

enrollment terminal

このトラストポイントを使用したカット アンド ペースト登録を指定します。

id-mismatch

過剰な DNS ID 不一致のロギングをイネーブルにするには、パラメータ コンフィギュレーション モードで id-mismatch コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

id-mismatch [count number duration seconds] action log

no id-mismatch [count number duration seconds] [action log]

 
構文の説明

count number

システム メッセージ ログが送信される前の不一致インスタンスの最大数。

duration seconds

モニタする期間(秒単位)。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。コマンドをイネーブルにするときにオプションを指定しない場合、デフォルト レートは 3 秒間で 30 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

DNS ID 不一致のレートが高いことは、キャッシュ ポイズニング攻撃を意味していることがあります。このコマンドは、そのような試行をモニタおよびアラートするためにイネーブルにできます。不一致レートが設定値を超えた場合、集約されたシステム メッセージ ログが出力されます。 id-mismatch コマンドによって、通常のイベントベースのシステム メッセージ ログへの追加情報がシステム管理者に提供されます。

次に、DNS インスペクション ポリシー マップ内で ID 不一致をイネーブルにする方法の例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# id-mismatch action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

id-randomization

DNS クエリーの DNS ID をランダム化するには、パラメータ コンフィギュレーション モードで id-randomization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

id-randomization

no id-randomization

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトではディセーブルです。DNS クエリーからの DNS ID は変更されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ID のランダム化は、キャッシュ ポイズニング攻撃からの保護に役立ちます。

次に、DNS インスペクション ポリシー マップ内で ID のランダム化をイネーブルにする方法の例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# id-randomization
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

id-usage(暗号 CA トラストポイント)

証明書の登録されている ID の使用方法を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで id-usage コマンドを使用します。証明書の使用方法をデフォルトの ssl-ipsec に設定するには、このコマンドの no 形式を使用します。

id-usage {ssl-ipsec | code-signer}

no id-usage {ssl-ipsec | code-signer}

 
構文の説明

code-signer

この証明書によって表現されるデバイス ID は、リモート ユーザに提供されるアプレットを検証するための Java コード署名者として使用されます。

ssl-ipsec

(デフォルト)この証明書によって表現されるデバイス ID は、SSL または IPSec 暗号化通信のサーバ側 ID として使用されます。

 
デフォルト

id-usage コマンドのデフォルトは ssl-ipsec です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

リモート アクセス VPN では、事実上すべてのネットワーク アプリケーションまたはリソースへのアクセスを許可するために、配置の要件に基づいて、SSL、IPSec、または両方のプロトコルを使用できます。 id-usage コマンドでは、証明書で保護されたさまざまなリソースへのアクセスのタイプを指定できます。

CA ID(場合によってはデバイス ID も)は、CA で発行される証明書に基づいています。暗号 CA トラストポイント モード内のすべてのコマンドは、CA 固有のコンフィギュレーション パラメータを制御し、これらのコマンドは、適応型セキュリティ アプライアンスが CA 証明書を取得する方法、適応型セキュリティ アプライアンスがその証明書を CA から取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定します。

id-usage コマンドの単一インスタンスのみがトラストポイント コンフィギュレーションに存在できます。code-signer または ssl-ipsec あるいは両方のトラストポイントをイネーブルにするには、いずれかのオプションまたは両方のオプションを指定する単一インスタンスを使用します。

次に、トラストポイント central で暗号 CA トラストポイント コンフィギュレーション モードを開始し、このトラストポイントに code-signer 証明書を指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# id-usage code-signer
hostname(config-ca-trustpoint)#
 

次に、トラストポイント general で暗号 CA トラストポイント コンフィギュレーション モードを開始し、このトラストポイントを code-signer 証明書と、SSL または IPSec 接続用のサーバ側 ID の両方として指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# id-usage code-signer ssl-ipsec
hostname(config-ca-trustpoint)#
 

次に、トラストポイント checkin1 で暗号 CA トラストポイント コンフィギュレーション モードを開始し、トラストポイントの使用を SSL または IPSec 接続に制限するためにトラストポイントをリセットする例を示します。

hostname(config)# crypto ca trustpoint checkin1
hostname(config-ca-trustpoint)# no id-usage ssl-ipsec
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

java-trustpoint

指定されたトラストポイント ロケーションからの PKCS12 証明書およびキー関連情報を使用するために WebVPN Java オブジェクト署名ファシリティを設定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書を指定します。

trust-point(tunnel-group ipsec-attributes モード)

IKE ピアに送信する証明書を識別する名前を指定します。

validation-policy

ユーザ接続に関連付けられた証明書を検証するための条件を指定します。

igmp

インターフェイスでの IGMP 処理を復元するには、インターフェイス コンフィギュレーション モードで igmp コマンドを使用します。インターフェイスで IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。

igmp

no igmp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

イネーブル

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

実行コンフィギュレーションではこのコマンドの no 形式のみが表示されます。

次に、選択されたインターフェイスでの IGMP 処理をディセーブルにする例を示します。

hostname(config-if)# no igmp
 

 
関連コマンド

コマンド
説明

show igmp groups

適応型セキュリティ アプライアンスに直接接続されている受信者、および IGMP を通じて学習された受信者を含むマルチキャスト グループを表示します。

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp access-group

インターフェイスを利用するサブネット上のホストが加入できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで igmp access-group コマンドを使用します。インターフェイス上のグループをディセーブルにするには、このコマンドの no 形式を使用します。

igmp access-group acl

no igmp access-group acl

 
構文の説明

acl

IP アクセス リスト名。標準または拡張アクセス リストを指定できます。ただし、拡張アクセス リストを指定する場合、宛先アドレスのみが照合されます。ソースの場合は any を指定する必要があります。

 
デフォルト

インターフェイス上のすべてのグループが加入できます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

次に、アクセス リスト 1 で許可されたホストがグループに加入するように制限する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp access-group 1
 

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp forward interface

受信したすべての IGMP ホスト レポートの転送をイネーブルにし、指定したインターフェイスでメッセージを受信できるようにするには、インターフェイス コンフィギュレーション モードで igmp forward interface コマンドを使用します。転送を削除するには、このコマンドの no 形式を使用します。

igmp forward interface if-name

no igmp forward interface if-name

 
構文の説明

if-name

インターフェイスの論理名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドを入力インターフェイスで入力します。このコマンドは Stub Multicast Routing(SMR; スタブ マルチキャスト ルーティング)に使用され、PIM と同時に設定できません。

次に、IGMP ホスト レポートを現在のインターフェイスから指定されたインターフェイスに転送する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp forward interface outside
 

 
関連コマンド

コマンド
説明

show igmp interface

インターフェイスのマルチキャスト情報を表示します。

igmp join-group

指定されたグループのローカル接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp join-group コマンドを使用します。グループのメンバーシップを取り消すには、このコマンドの no 形式を使用します。

igmp join-group group-address

no igmp join-group group-address

 
構文の説明

group-address

マルチキャスト グループの IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドは、適応型セキュリティ アプライアンス インターフェイスがマルチキャスト グループのメンバーになるように設定します。 igmp join-group コマンドを実行すると、適応型セキュリティ アプライアンスは、指定されたマルチキャスト グループ宛てのマルチパケットの受け入れと転送の両方を行います。

マルチキャスト グループのメンバーにならずにマルチキャスト トラフィックを転送するようセキュリティ アプライアンスを設定するには、 igmp static-group コマンドを使用します。

次に、選択されたインターフェイスが IGMP グループ 255.2.2.2 に加入するように設定する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp join-group 225.2.2.2

 
関連コマンド

コマンド
説明

igmp static-group

指定されたマルチキャスト グループの静的に接続されたメンバーになるようにインターフェイスを設定します。

igmp limit

IGMP ステートの数をインターフェイス単位で制限するには、インターフェイス コンフィギュレーション モードで igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。

igmp limit number

no igmp limit [ number ]

 
構文の説明

number

インターフェイス上で許可される IGMP ステートの数。有効な値の範囲は、0 ~ 500 です。デフォルト値は 500 です。この値を 0 に設定すると、学習したグループが追加されることを防ぎますが、手動で定義したメンバーシップ( igmp join-group および igmp static-group コマンドを使用)は引き続き許可されます。

 
デフォルト

デフォルトは 500 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。このコマンドは、 igmp max-groups コマンドに代わります。

次に、インターフェイスの IGMP ステートの数を 250 に制限する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp limit 250
 

 
関連コマンド

コマンド
説明

igmp

インターフェイスの IGMP 処理を復元します。

igmp join-group

指定されたグループのローカル接続されたメンバーになるようにインターフェイスを設定します。

igmp static-group

指定されたマルチキャスト グループの静的に接続されたメンバーになるようにインターフェイスを設定します。

igmp query-interval

IGMP ホスト クエリー メッセージがインターフェイスによって送信される頻度を設定するには、インターフェイス コンフィギュレーション モードで igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。

igmp query-interval seconds

no igmp query-interval seconds

 
構文の説明

seconds

IGMP ホスト クエリー メッセージを送信する秒単位の頻度。有効な値の範囲は、1 ~ 3600 です。デフォルトは 125 秒です。

 
デフォルト

デフォルトのクエリー間隔は 125 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

マルチキャスト ルータは、インターフェイスに接続されたネットワーク上でメンバーを持つマルチキャスト グループを検出するために、ホスト クエリー メッセージを送信します。ホストは、特定のグループについてマルチキャスト パケットを受信することを示す IGMP レポート メッセージで応答します。ホスト クエリー メッセージは、アドレスが 224.0.0.1、TTL 値が 1 の all-hosts マルチキャスト グループにアドレス指定されます。

次に示す LAN の指定ルータが、IGMP ホスト クエリー メッセージを送信する唯一のルータとなります。

IGMP バージョン 1 では、指定ルータは LAN 上で実行するマルチキャスト ルーティング プロトコルに応じて選択されます。

IGMP バージョン 2 では、指定ルータはサブネット上で最も小さい IP アドレスを持つマルチキャスト ルータです。

ルータがタイムアウト期間( igmp query-timeout コマンドで制御される)にクエリーを受け取らない場合、そのルータがクエリアになります。


注意 この値を変更すると、マルチキャスト転送に重大な影響を及ぼすことがあります。

次に、IGMP クエリー間隔を 120 秒に変更する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-interval 120
 

 
関連コマンド

コマンド
説明

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最大応答時間を設定します。

igmp query-timeout

前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最大応答時間を指定するには、インターフェイス コンフィギュレーション モードで igmp query-max-response-time コマンドを使用します。デフォルトの応答時間値に戻すには、このコマンドの no 形式を使用します。

igmp query-max-response-time seconds

no igmp query-max-response-time [ seconds ]

 
構文の説明

seconds

IGMP クエリーでアドバタイズされる秒単位の最大応答時間。有効な値は 1 ~ 25 です。デフォルト値は 10 秒です。

 
デフォルト

10 秒

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

このコマンドは、IGMP バージョン 2 または 3 が実行中の場合のみ有効です。

このコマンドは、ルータがグループを削除する前に、応答側が IGMP クエリー メッセージに応答できる期間を制御します。

次に、最大クエリー応答時間を 8 秒に変更する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-max-response-time 8
 

 
関連コマンド

コマンド
説明

igmp query-interval

IGMP ホスト クエリー メッセージがインターフェイスによって送信される頻度を設定します。

igmp query-timeout

前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。

igmp query-timeout

前のクエリアがクエリーを停止した後、インターフェイスがクエリアとして引き継ぐまでのタイムアウト期間を設定するには、インターフェイス コンフィギュレーション モードで igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

igmp query-timeout seconds

no igmp query-timeout [ seconds ]

 
構文の説明

seconds

前のクエリアがクエリーを停止した後、ルータがクエリアとして引き継ぐまでルータが待機する秒数。有効値は、60 ~ 300 秒です。デフォルト値は 255 秒です。

 
デフォルト

デフォルトのクエリー間隔は 255 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IGMP バージョン 2 または 3 が必要です。

次に、ルータが最後のクエリーを受信してから、インターフェイスのクエリアとして引き継ぐまでに、ルータが 200 秒待機するように設定する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp query-timeout 200
 

 
関連コマンド

コマンド
説明

igmp query-interval

IGMP ホスト クエリー メッセージがインターフェイスによって送信される頻度を設定します。

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最大応答時間を設定します。

igmp static-group

指定されたマルチキャスト グループの静的に接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。

igmp static-group group

no igmp static-group group

 
構文の説明

group

IP マルチキャスト グループ アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

igmp static-group コマンドを設定すると、適応型セキュリティ アプライアンス インターフェイスそれ自体は、指定されたグループ宛てのマルチキャスト パケットを受け入れず、転送のみ行います。適応型セキュリティ アプライアンスが、特定のマルチキャスト グループ向けのマルチキャスト パケットの受け入れと転送を両方実行するように設定するには、 igmp join-group コマンドを使用します。 igmp join-group コマンドが igmp static-group コマンドと同じグループ アドレス用に設定された場合、 igmp join-group コマンドが優先され、グループはローカルに結合したグループのように動作します。

次に、選択されたインターフェイスをマルチキャスト グループ 239.100.100.101 に追加する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp static-group 239.100.100.101
 

 
関連コマンド

コマンド
説明

igmp join-group

指定されたグループのローカル接続されたメンバーになるようにインターフェイスを設定します。

igmp version

インターフェイスで使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで igmp version コマンドを使用します。バージョンをデフォルトに戻すには、このコマンドの no 形式を使用します。

igmp version { 1 | 2 }

no igmp version [ 1 | 2 ]

 
構文の説明

1

IGMP バージョン 1。

2

IGMP バージョン 2。

 
デフォルト

IGMP バージョン 2。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。

 
使用上のガイドライン

サブネット上のすべてのルータは同じバージョンの IGMP をサポートする必要があります。ホストは任意の IGMP バージョン(1 または 2)を持つことができ、適応型セキュリティ アプライアンスはホストの存在を正しく検出し、ホストを適切に照会します。

igmp query-max-response-time igmp query-timeout などの一部のコマンドでは IGMP バージョン 2 が必要です。

次に、選択されたインターフェイスで IGMP バージョン 1 を使用するように設定する例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# igmp version 1
 

 
関連コマンド

コマンド
説明

igmp query-max-response-time

IGMP クエリーでアドバタイズされる最大応答時間を設定します。

igmp query-timeout

前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。

ignore-ipsec-keyusage

IPsec クライアント証明書のキー使用チェックを抑制するには、設定 CA トラストポイント コンフィギュレーション モードで ignore-ipsec-keyusage コマンドを使用します。キー使用チェックを再開するには、このコマンドの no 形式を使用します。

ignore-ipsec-keyusage

no ignore-ipsec-keyusage

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

設定 CA トラストポイント コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドは安全策として導入され、同時に非推奨になりました。キー使用チェックの抑制は、将来のリリースでは提供されない場合もあることに注意してください。

 
使用上のガイドライン

このコマンドの使用は、IPsec リモート クライアント証明書のキー使用および拡張されたキー使用の拡張が検証されないということを示します。このコマンドはキー使用チェックを無視するため、準拠しない場合の導入に役に立ちます。

次に、キー使用チェックの結果を無視する方法の例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)#
hostname(config-ca-trustpoint)# ignore-ipsec-keyusage
Notice: This command has been deprecated
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

暗号 CA トラストポイント コンフィギュレーション モードを開始します。

ignore lsa mospf

ルータが LSA タイプ 6 MOSPF パケットを受信したときに syslog メッセージの送信を抑制するには、ルータ コンフィギュレーション モードで ignore lsa mospf コマンドを使用します。syslog メッセージの送信を復元するには、このコマンドの no 形式を使用します。

ignore lsa mospf

no ignore lsa mospf

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

タイプ 6 MOSPF パケットはサポートされません。

次に、LSA タイプ 6 MOSPF パケットを無視する例を示します。

hostname(config-router)# ignore lsa mospf
 

 
関連コマンド

コマンド
説明

show running-config router ospf

OSPF ルータ コンフィギュレーションを表示します。

ike-retry-count

IKE を使用する Cisco AnyConnect VPN Client が、接続を試行するために SSL にフォールバックする前に実行する接続の再試行の最大数を設定するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで ike-retry-count コマンドを使用します。このコマンドを設定から削除し、再試行の最大数をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

ike-retry-count { none | value }

no ike-retry-count [ none | value ]

 
構文の説明

none

再試行を許可しないことを指定します。

value

Cisco AnyConnect VPN Client が最初の接続失敗後に実行する接続再試行の最大数(1 ~ 10)を指定します。

 
デフォルト

許可されているデフォルトの再試行回数は 3 回です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco AnyConnect VPN Client が IKE を使用して接続を試行する回数を制御するには、 ike-retry-count コマンドを使用します。このコマンドに指定された再試行回数の後、クライアントが IKE を使用して接続に失敗した場合、接続を試行するために SSL にフォールバックします。この値は Cisco AnyConnect VPN Client に存在する任意の値より優先されます。


) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドで svc および ipsec 引数が設定されている必要があります。


次に、FirstGroup という名前のグループ ポリシーで IKE 再試行回数を 7 回に設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# ike-retry-count 7
hostname(config-group-webvpn)#
 

次に、Finance という名前のユーザ名で IKE 再試行回数を 9 回に設定する例を示します。

hostname(config)# username Finance attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# ike-retry-count 9
hostname(config-group-webvpn)#
 

 
関連コマンド

コマンド
説明

group-policy

グループ ポリシーを作成または編集します。

ike-retry-timeout

IKE 再試行間隔の秒数を指定します。

username

適応型セキュリティ アプライアンスのデータベースにユーザを追加します。

vpn-tunnel-protocol

VPN トンネル タイプ(IPSec、L2TP over IPSec、または WebVPN)を設定します。

webvpn (group-policy または username モード)

グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードを開始します。

im

SIP 経由のインスタント メッセージングをイネーブルにするには、パラメータ コンフィギュレーション モードで im コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

im

no im

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、SIP インスペクション ポリシー マップで SIP を介したインスタント メッセージングをイネーブルにする方法の例を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# im
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

imap4s

IMAP4S コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで imap4s コマンドを使用します。IMAP4S コマンド モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。

IMAP4 は、インターネット サーバがユーザ宛ての電子メールを受信および保持するためのクライアント/サーバ プロトコルです。ユーザ(または電子メール クライアント)はメールの見出しおよび送信者のみ表示して、メールをダウンロードするかどうかを決めることができます。また、サーバ上に複数のフォルダやメールボックスを作成して操作すること、メッセージを削除すること、または特定の部分やメッセージ全体を検索することもできます。IMAP はメールを操作する間、サーバに継続的にアクセスする必要があります。IMAP4S を使用すると、SSL 接続を介して電子メールを受信できます。

imap4s

no imap4s

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、IMAP4S コンフィギュレーション モードを開始する例を示します。

hostname(config)# imap4s
hostname(config-imap4s)#

 
関連コマンド

コマンド
説明

clear configure imap4s

IMAP4S コンフィギュレーションを削除します。

show running-config imap4s

IMAP4S の実行コンフィギュレーションを表示します。

import webvpn customization

適応型セキュリティ アプライアンスのフラッシュ デバイス上にカスタマイゼーション オブジェクトをロードするには、特権 EXEC モードで import webvpn customization コマンドを使用します。

import webvpn customization name URL

 
構文の説明

name

カスタマイゼーション オブジェクトを識別する名前。最大 64 文字です。

URL

XML カスタマイゼーション オブジェクトのソースへのリモート パス。最大 255 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

import customization コマンドを入力する前に、WebVPN が適応型セキュリティ アプライアンス インターフェイス上でイネーブルになっていることを確認してください。そのためには、 show running-config コマンドを入力します。

カスタマイゼーション オブジェクトをインポートすると、適応型セキュリティ アプライアンスでは次のことを実行します。

カスタマイゼーション オブジェクトを URL から適応型セキュリティ アプライアンスのファイル システム disk0:/csco_config/customization に MD5 name としてコピーします。

ファイルに対して基本的な XML 構文チェックを実行します。無効な場合、適応型セキュリティ アプライアンスはファイルを削除します。

index.ini のファイルにレコード MD5 name が含まれていることを確認します。含まれていない場合、適応型セキュリティ アプライアンスはファイルに MD5 name を追加します。

MD5 name ファイルを ramfs name として RAMFS /csco_config/customization/ にコピーします。

次に、カスタマイゼーション オブジェクト General.xml を URL 209.165.201.22/customization からセキュリティ アプライアンスにインポートし、 custom1 という名前を付ける例を示します。

hostname# import webvpn customization custom1 tftp://209.165.201.22/customization /General.xml
Accessing tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/custom1...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

 

 
関連コマンド

コマンド
説明

revert webvpn customization

指定されたカスタマイゼーション オブジェクトを適応型セキュリティ アプライアンスのフラッシュ デバイスから削除します。

show import webvpn customization

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在するカスタマイゼーション オブジェクトを示します。

import webvpn plug-in protocol

適応型セキュリティ アプライアンスのフラッシュ デバイスにプラグインをインストールするには、特権 EXEC モードで import webvpn plug-in protocol コマンドを入力します。

import webvpn plug-in protocol protocol URL

 
構文の説明

protocol

rdp

Remote Desktop Protocol プラグインにより、リモート ユーザは Microsoft Terminal Services が実行するコンピュータに接続できます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナル版は、Web サイト http://properjavardp.sourceforge.net/ にあります。

ssh,telnet

セキュア シェル プラグインにより、リモート ユーザがリモート コンピュータへのセキュア チャネルを確立したり、リモート ユーザが Telnet を使用してリモート コンピュータに接続したりできます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナル版は、Web サイト http://javassh.org/ にあります。


注意 import webvpn plug-in protocol ssh,telnet URL コマンドは、SSH プラグインと Telnet プラグインの両方をインストールします。このコマンドを SSH と Telnet について 1 回ずつ入力しないでくださいssh,telnet という文字列を入力するときは、スペースを含めないでください。これらの要件に従っていない import webvpn plug-in protocol コマンドを削除するには、revert webvpn plug-in protocol コマンドを使用します。

vnc

Virtual Network Computing プラグインを使用すると、リモート ユーザはリモート デスクトップ共有をオンにしたコンピュータを、モニタ、キーボード、およびマウスを使用して表示および制御できます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナル版は、Web サイト http://www.tightvnc.com/ にあります。

URL

プラグインのソースへのリモート パス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

プラグインをインストールする前に、次の処理を実行します。

クライアントレス SSL VPN(「webvpn」)が適応型セキュリティ アプライアンスのインターフェイス上でイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。

「plugins」という名前の一時ディレクトリをローカル TFTP サーバ(ホスト名は「local_tftp_server」など)に作成し、プラグインをシスコの Web サイトから「plugins」ディレクトリにダウンロードします。TFTP サーバのホスト名またはアドレスと、必要なプラグインへのパスを、 import webvpn plug-in protocol コマンドの URL フィールドに入力します。

プラグインをインポートすると、適応型セキュリティ アプライアンスでは次の処理を実行します。

URL に指定された jar ファイルを解凍します。

適応型セキュリティ アプライアンスのファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込みます。

ASDM の URL アトリビュートの横のドロップダウン メニューにデータを読み込みます。

今後のすべてのクライアントレス SSL VPN セッション用にプラグインをイネーブルにし、ポータル ページのメイン メニュー オプションと、Address フィールドの横のドロップダウン メニューのオプションを追加します。 表 13-2 に、ポータル ページのメイン メニューとアドレス フィールドへの変更を示します。

表 13-2 クライアントレス SSL VPN ポータル ページへのプラグインの影響

プラグイン
ポータル ページに追加されるメイン メニュー オプション
ポータル ページに追加される Address フィールドのオプション

rdp

ターミナル サーバ

rdp://

ssh,telnet

SSH

ssh://

Telnet

telnet://

vnc

VNC クライアント

vnc://

適応型セキュリティ アプライアンスでは、 import webvpn plug-in protocol コマンドをコンフィギュレーション内に保持しません。代わりに、 csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ 適応型セキュリティ アプライアンスはプライマリ 適応型セキュリティ アプライアンスからプラグインを取得します。

クライアントレス SSL VPN セッション内のユーザがポータル ページ上の関連するメニュー オプションをクリックすると、ポータル ページにはインターフェイスへのウィンドウとヘルプ ペインが表示されます。ユーザはドロップダウン メニューに表示されたプロトコルを選択し、Address フィールドに URL を入力してセッションを確立できます。


) SSH クライアントは SSH バージョン 1.0 のみサポートします。

一部の Java プラグインでは、接続先サービスへのセッションが設定されていなくても、接続済みまたはオンラインというステータスが報告される場合もあります。ステータスを報告するのはオープン ソース プラグインで、適応型セキュリティ アプライアンスではありません。


それぞれの import webvpn plug-in protocol コマンドを削除し、プロトコルのサポートをディセーブルにするには、 revert webvpn plug-in protocol コマンドを使用します。

次のコマンドは、RDP 用のクライアントレス SSL VPN サポートを追加します。

hostname# import webvpn plug-in protocol rdp tftp://209.165.201.22/plugins/rdp-plugin.jar
Accessing tftp://209.165.201.22/plugins/rdp-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/rdp...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)
 

次のコマンドは、SSH および Telnet 用のクライアントレス SSL VPN サポートを追加します。

hostname# import webvpn plug-in protocol ssh,telnet tftp://209.165.201.22/plugins/ssh-plugin.jar
 
Accessing tftp://209.165.201.22/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/ssh...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
238510 bytes copied in 3.650 secs (79503 bytes/sec)
 

次のコマンドは、VNC 用のクライアントレス SSL VPN サポートを追加します。

hostname# import webvpn plug-in protocol vnc tftp://209.165.201.22/plugins/vnc-plugin.jar
 
Accessing tftp://209.165.201.22/plugins/vnc-plugin.jar...!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/vnc...
!!!!!!!!!!!!!!!
58147 bytes copied in 2.40 secs (29073 bytes/sec)
hostname#

 
関連コマンド

コマンド
説明

revert webvpn plug-in protocol

指定されたプラグインを適応型セキュリティ アプライアンスのフラッシュ デバイスから削除します。

show import webvpn plug-in

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在するプラグインのリストを示します。

import webvpn translation-table

SSL VPN 接続を確立中のリモート ユーザに表示される用語を変換するために使用する変換テーブルをインポートするには、特権 EXEC モードで import webvpn translation-table コマンドを使用します。

import webvpn translation-table translation_domain language language url

 
構文の説明

language

変換テーブルの言語を指定します。 language の値はブラウザの言語オプションで表すような方法で入力します。

translation_domain

リモート ユーザに表示される機能エリアと関連するメッセージ。 表 13-3 に、使用可能な変換ドメインを示します。

url

カスタマイゼーション オブジェクトを作成するために使用される XML ファイルの URL を指定します。

 
デフォルト

このコマンドには、デフォルト動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。

リモート ユーザに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。 表 13-3 に、変換ドメインと変換される機能エリアを示します。

表 13-3 変換ドメインと影響を受ける機能エリア

変換ドメイン
変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザ インターフェイスに表示されるメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。

banners

リモート ユーザに表示されるバナーと、VPN アクセスが拒否されたときのメッセージ。

PortForwarder

ポート フォワーディング ユーザに表示されるメッセージ。

url-list

ユーザがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。適応型セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログイン ページ、ログアウト ページ、ポータルページ、および URL ブックマーク はカスタマイズできるため、 適応型セキュリティ アプライアンスは、ダイナミックに customization および url-list 変換ドメイン テンプレートを生成して、これらの機能エリアへの変更を自動的にそのテンプレートに反映させます。

export webvpn translation-table コマンドを使用して変換ドメインのテンプレートをダウンロードし、メッセージに変更を加え、 import webvpn translation-table コマンドを使用してオブジェクトを作成します。使用可能なオブジェクトは show import webvpn translation-table コマンドで表示できます。

language は、ブラウザの言語オプションで表すような方法で指定してください。たとえば Microsoft Internet Explorer では、中国語には省略形 zh を使用します。適応型セキュリティ アプライアンスにインポートされる変換テーブルにも、 zh という名前を付ける必要があります。

AnyConnect 変換ドメインの場合を除き、カスタマイゼーション オブジェクトを作成し、そのオブジェクト内で使用する変換テーブルを指定し、グループ ポリシーまたはユーザ向けのカスタマイズを指定するまでは、変換テーブルに何の影響もなく、メッセージは変換されません。AnyConnect ドメインの変換テーブルへの変更は、AnyConnect クライアント ユーザにすぐに表示されます。詳細については、 import webvpn customization コマンドを参照してください。

次に、クライアント ユーザ インターフェイスに影響を与える変換ドメイン用の変換テーブルをインポートし、変換テーブルが中国語用であることを指定する例を示します。 show import webvpn translation-table コマンドによって新規オブジェクトが表示されます。

hostname# import webvpn translation-table anyconnect language zh tftp://209.165.200.225/anyconnect
hostname# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
hostname# show import webvpn translation-table
Translation Tables' Templates:
customization
AnyConnect
CSD
PortForwarder
url-list
webvpn
Citrix-plugin
RPC-plugin
Telnet-SSH-plugin
VNC-plugin
 
Translation Tables:
zh AnyConnect

 
関連コマンド

コマンド
説明

export webvpn translation-table

変換テーブルをエクスポートします。

import webvpn customization

変換テーブルを参照するカスタマイゼーション オブジェクトをインポートします。

revert

変換テーブルをフラッシュから削除します。

show import webvpn translation-table

使用可能な変換テーブル テンプレートと変換テーブルを表示します。

import webvpn url-list

適応型セキュリティ アプライアンスのフラッシュ デバイス上に URL リストをロードするには、特権 EXEC モードで import webvpn url-list コマンドを使用します。

import webvpn url-list name URL

 
構文の説明

name

URL リストを識別する名前。最大 64 文字です。

URL

URL リストのソースへのリモート パス。最大 255 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

import url-list コマンドを入力する前に、WebVPN が適応型セキュリティ アプライアンス インターフェイス上でイネーブルになっていることを確認してください。そのためには、 show running-config コマンドを入力します。

URL リストをインポートするとき、適応型セキュリティ アプライアンスでは次のことを実行します。

URL リストを URL から適応型セキュリティ アプライアンスのファイル システム disk0:/csco_config/url-lists に name on flash = base 64 name としてコピーします。

ファイルに対して基本的な XML 構文チェックを実行します。無効な場合、適応型セキュリティ アプライアンスはファイルを削除します。

index.ini のファイルにレコード base 64 name が含まれているか確認します。含まれていない場合、適応型セキュリティ アプライアンスはファイルに base 64 name を追加します。

name ファイルを RAMFS /csco_config/url-lists/ に ramfs name = name と指定してコピーします。

次に、URL リスト NewList.xml を URL 209.165.201.22/url-lists からセキュリティ アプライアンスにインポートし、URL リストに ABCList という名前を付ける例を示します。

hostname# import webvpn url-list ABCList tftp://209.165.201.22/url-lists/NewList.xml
Accessing tftp://209.165.201.22/url-lists/NewList.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/ABClist...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
329994 bytes copied in 5.350 secs (65998 bytes/sec)

 

 
関連コマンド

コマンド
説明

revert webvpn url-list

指定された URL リストを適応型セキュリティ アプライアンスのフラッシュ デバイスから削除します。

show import webvpn url-list

適応型セキュリティ アプライアンスのフラッシュ デバイスに存在する URL リストを示します。

import webvpn webcontent

リモート クライアントレス SSL VPN ユーザに表示されるフラッシュ メモリのコンテンツをインポートするには、特権 EXEC モードで import webvpn webcontent コマンドを使用します。

import webvpn webcontent < destination url > < source url >

 
構文の説明

< source url >

コンテンツがある適応型セキュリティ アプライアンスのフラッシュ メモリの URL。最大 64 文字です。

< destination url >

エクスポート先の URL 。最大 255 文字です。

 
デフォルト

このコマンドにデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

webcontent オプションを使用してインポートされるコンテンツはリモート クライアントレス ユーザに表示されます。これには、クライアントレス ポータルに表示されるヘルプ コンテンツと、ユーザ画面をカスタマイズするカスタマイゼーション オブジェクトによって使用されるロゴがあります。

パス /+CSCOE+/ を含む URL にインポートされるコンテンツは、権限のあるユーザにのみ表示されます。

パス /+CSCOU+/ を含む URL にインポートされたコンテンツは、権限のないユーザと権限のあるユーザの両方に表示されます。

たとえば、/+CSCOU+/logo.gif としてインポートされた企業ロゴはポータル カスタマイゼーション オブジェクト内で使用でき、ログイン ページおよびポータル ページに表示できます。同じ logo.gif ファイルが /+CSCOE+/logo.gif としてインポートされると、正常にログインしたリモート ユーザにのみ表示されます。

各種のアプリケーション画面に表示されるヘルプ コンテンツは、特定の URL にインポートされる必要があります。 表 13-4 に、標準のクライアントレス アプリケーション用に表示されるヘルプ コンテンツ用の URL と画面エリアを示します。

表 13-4 標準のクライアントレス アプリケーション

URL
クライアントレス画面エリア

/+CSCOE+/help/< language >/app-access-hlp.inc

Application Access

/+CSCOE+/help/< language >/file-access-hlp.inc

Browse Networks

/+CSCOE+/help/< language >/net_access_hlp.html

AnyConnect クライアント

/+CSCOE+/help/< language >/web-access-help.inc

Web Access

表 13-5 に、オプションのプラグイン クライアントレス アプリケーション用に表示されるヘルプ コンテンツ用の URL と画面エリアを示します。

表 13-5 プラグイン クライアントレス アプリケーション

URL
クライアントレス画面エリア

/+CSCOE+/help/< language >/ica-hlp.inc

MetaFrame Access

/+CSCOE+/help/< language >/rdp-hlp.inc

ターミナル サーバ

/+CSCOE+/help/< language >/ssh,telnet-hlp.inc

Telnet/SSH サーバ

/+CSCOE+/help/< language >/vnc-hlp.inc

VNC 接続

URL パスの < language > はヘルプ コンテンツに指定する言語の省略形です。適応型セキュリティ アプライアンスでは実際にファイルを指定した言語に変換するわけではありませんが、ファイルに言語の省略形のラベルを付けます。

次に、HTML ファイル application_access_help.html を 209.165.200.225 の tftp サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/application_access_help.html
!!!!* Web resource `+CSCOE+/help/en/ap-access-hlp.inc' was successfully initialized
hostname#

 

次に、HTML ファイル application_access_help.html を 209.165.200.225 の tftp サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。

hostname# import webvpn webcontent /+CSCOE+/help/en/app-access-hlp.inc tftp://209.165.200.225/application_access_help.html
!!!!* Web resource `+CSCOE+/help/en/ap-access-hlp.inc' was successfully initialized
hostname#

 
関連コマンド

コマンド
説明

export webvpn webcontent

クライアントレス SSL VPN ユーザに表示できる以前インポートしたコンテンツをエクスポートします。

revert webvpn webcontent

コンテンツをフラッシュ メモリから削除します。

show import webvpn webcontent

インポートされたコンテンツに関する情報を表示します。