Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
intercept-dhcp コマンド~ issuer-name コマンド
intercept-dhcp コマンド~ issuer-name コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

intercept-dhcp コマンド~ issuer-name コマンド

intercept-dhcp

interface

interface(VPN ロード バランシング)

interface-policy

internal-password

interval maximum

invalid-ack

ip address

ip address dhcp

ip address pppoe

ip-address-privacy

ip audit attack

ip audit info

ip audit interface

ip audit name

ip audit signature

ip-comp

ip local pool

ip-phone-bypass

ips

ipsec-udp

ipsec-udp-port

ip verify reverse-path

ipv6 access-list

ipv6 access-list webtype

ipv6 address

ipv6 enable

ipv6 enforce-eui64

ipv6 icmp

ipv6 local pool

ipv6 nd dad attempts

ipv6 nd ns-interval

ipv6 nd prefix

ipv6 nd ra-interval

ipv6 nd ra-lifetime

ipv6 nd reachable-time

ipv6 nd suppress-ra

ipv6 neighbor

ipv6 route

ipv6-address-pool(トンネル グループ一般アトリビュート モード)

ipv6-address-pools

ipv6-vpn-filter

isakmp am-disable

isakmp disconnect-notify

isakmp enable

isakmp identity

isakmp ikev1-user-authentication

isakmp ipsec-over-tcp

isakmp keepalive

isakmp nat-traversal

isakmp policy authentication

isakmp policy encryption

isakmp policy group

isakmp policy hash

isakmp policy lifetime

isakmp reload-wait

issuer

issuer-name

intercept-dhcp コマンド~ issuer-name コマンド

intercept-dhcp

DHCP 代行受信をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで intercept-dhcp enable コマンドを使用します。DHCP 代行受信をディセーブルにするには、 intercept-dhcp disable コマンドを使用します。実行コンフィギュレーションから intercept-dhcp アトリビュートを削除し、ユーザがデフォルトまたは他のグループ ポリシーから DHCP 代行受信コンフィギュレーションを継承できるようにするには、 no intercept-dhcp コマンドを使用します。

intercept-dhcp netmask { enable | disable }

no intercept-dhcp

 
構文の説明

disable

DHCP 代行受信をディセーブルにします。

enable

DHCP 代行受信をイネーブルにします。

netmask

トンネル IP アドレスのサブネット マスクを提供します。

 
デフォルト

DHCP 代行受信はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

スプリット トンネル オプションが 255 バイトを超えていると、Microsoft XP に異常が発生し、ドメイン名が破損します。この問題を回避するには、適応型セキュリティ アプライアンスで送信ルートの数を 27 ~ 40 ルートに制限します。ルートの数は、ルートのクラスによって異なります。

DHCP 代行受信を使用すると、Microsoft XP クライアントは、適応型セキュリティ アプライアンスに対してスプリット トンネリングを使用できます。適応型セキュリティ アプライアンスは、Microsoft Windows XP クライアントの DHCP Inform メッセージに直接応答し、そのクライアントにトンネル IP アドレスのサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。XP 以前の Windows クライアントに対しては、DHCP 代行受信によりドメイン名とサブネット マスクが提供されます。この機能は、DHCP サーバの使用に利点がない環境で有用です。

次の例は、FirstGroup というグループ ポリシーに DHCP 代行受信を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# intercept-dhcp enable

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで interface コマンドを使用します。冗長インターフェイス、サブインターフェイス、または VLAN インターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスまたはマッピングされているインターフェイスは削除できません。

物理インターフェイスの場合(すべてのモデルで使用可能):

interface physical_interface

冗長インターフェイスの場合(組み込みスイッチがあるモデルでは使用不可):

interface redundant number

no interface redundant number

サブインターフェイスの場合(組み込みスイッチがあるモデルでは使用不可):

interface { physical_interface | redundant number } . subinterface

no interface { physical_interface | redundant number } . subinterface

VLAN インターフェイスの場合(組み込みスイッチがあるモデルで使用可能):

interface vlan number

no interface vlan number

マッピング名が割り当てられているマルチ コンテキスト モードの場合:

interface mapped_name

 
構文の説明

mapped_name

マルチ コンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。

physical_interface

物理インターフェイスのタイプ、スロット、およびポート番号を、 type [ slot / ] port として指定します。タイプとスロット/ポートの間のスペースは任意です。

物理インターフェイスには、次のタイプがあります。

ethernet

gigabitethernet

tengigabitethernet

management

タイプの後にスロット/ポートを入力します(例: gigabitethernet 0/1 )。シャーシに組み込まれたインターフェイスはスロット 0 に割り当てられ、4GE SSM などのインターフェイス カード上のインターフェイス(または組み込み 4GE SSM)はスロット 1 に割り当てられます。

管理インターフェイスは、管理トラフィック専用に設計されたファスト イーサネット インターフェイスで、 management 0/0 または 0/1 として指定されています。ただし、必要に応じて通過トラフィック用に使用することもできます( management-only コマンドを参照)。トランスペアレント ファイアウォール モードでは、通過トラフィックで使用できる 2 つのインターフェイスに加えて、管理インターフェイスも使用できます。また、管理インターフェイスにサブインターフェイスを追加し、マルチ コンテキスト モードの各セキュリティ コンテキストで管理を提供することができます。

インターフェイスのタイプ、スロット、およびポート番号を確認するには、お使いのモデルに付属のハードウェアに関するマニュアルを参照してください。

redundant number

論理冗長インターフェイスを指定します。 number は 1 ~ 8 の間で指定します。冗長インターフェイスは、アクティブな物理インターフェイスとスタンバイ物理インターフェイスをペアにします( member-interface コマンドを参照)。アクティブなインターフェイスに障害が発生した場合、スタンバイ インターフェイスがアクティブになり、トラフィックの受け渡しを開始します。

すべての適応型セキュリティ アプライアンスのコンフィギュレーションは、メンバー物理インターフェイスではなく、論理冗長インターフェイスを参照します。

redundant と ID の間のスペースは任意です。

subinterface

論理サブインターフェイスを示す 1 ~ 4294967293 の整数を指定します。サブインターフェイスの最大数は、使用している適応型セキュリティ アプライアンスのモデルによって異なります。組み込みスイッチのあるモデル(ASA 5505 適応型セキュリティ アプライアンスなど)では、サブインターフェイスは使用できません。プラットフォームごとのサブインターフェイス(または VLAN)の最大数については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。1 つ以上の VLAN サブインターフェイスを持つインターフェイスは、自動的に 802.1Q トランクとして設定されます。

vlan number

組み込みスイッチのあるモデルでは、VLAN ID 番号を 1 から 4090 の間で指定します。VLAN 1 では、デフォルトで VLAN インターフェイス ID がイネーブルに設定されています。

対応するインターフェイス経由でルーティングするように SSC 管理トラフィックを設定するには、 allow-ssc-mgmt キーワードを指定します。このキーワードでは、同時に 1 つの VLAN のみを設定できます。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、すべての物理インターフェイスに対して interface コマンドを自動的に生成します。

マルチ コンテキスト モードでは、適応型セキュリティ アプライアンスは、 allocate-interface コマンドを使用してコンテキストに割り当てられたインターフェイスすべてに対して、 interface コマンドを自動的に生成します。

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバー物理インターフェイスもイネーブルになっている必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、新しいサブインターフェイスの命名規則が適用できるように、また、インターフェイス コンフィギュレーション モードで引数が独立したコマンドとなるように変更されました。

7.2(1)

interface vlan コマンドが、ASA 5505 適応型セキュリティ アプライアンスにある組み込みスイッチをサポートするために追加されました。

8.0(2)

interface redundant コマンドが追加されました。

8.2(1)

allow-ssc-mgmt キーワードが、ASA 5505 適応型セキュリティ アプライアンスでの SSC の設定をサポートするために interface vlan コマンドに追加されました。

 
使用上のガイドライン

インターフェイス コンフィギュレーション モードでは、インターフェイスのタイプやセキュリティ コンテキスト モードによって、(物理インターフェイスの)ハードウェアの設定、名前、VLAN、IP アドレスの割り当て、およびその他のさまざまな設定ができます。

マルチ コンテキスト モードでは、 allocate-interface コマンドを使用してマッピング名を割り当てた場合、その名前を指定する必要があります。

すべてのモデルは、物理インターフェイスのパラメータを設定できます。

ASA 5505 適応型セキュリティ アプライアンスなどの組み込みスイッチのあるモデルを除くすべてのモデルは、論理冗長インターフェイスを作成できます。

ASA 5505 適応型セキュリティ アプライアンスなどの組み込みスイッチのあるモデルを除くすべてのモデルは、VLAN に割り当てられる論理サブインターフェイスを作成できます。組み込みスイッチのあるモデルには、VLAN インターフェイスに割り当て可能なスイッチ ポート(このコマンドでは物理インターフェイスと呼ばれます)が含まれます。この場合、VLAN のサブインターフェイスを作成する代わりに、すべての物理インターフェイスから独立した VLAN インターフェイスを作成します。その後、1 つ以上の物理インターフェイスを VLAN インターフェイスに割り当てできます。

イネーブルになっているインターフェイスをトラフィックが通過できるようにするには、インターフェイス コンフィギュレーション モードのコマンドである nameif および ip address (ルーテッド モード用)を設定します。サブインターフェイスの場合は、 vlan コマンドも設定します。スイッチの物理インターフェイスの場合は、 switchport access vlan コマンドを使用して物理インターフェイスを VLAN インターフェイスに割り当てます。

インターフェイス設定を変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するときは、 clear local-host コマンドを使用して接続を消去できます。

デフォルト セキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに「inside」という名前を付け、 security-level コマンドを使用してセキュリティ レベルを明示的に設定しない場合、適応型セキュリティ アプライアンスによりセキュリティ レベルは 100 に設定されます。

マルチ コンテキスト モードのガイドライン

各コンテキスト内からコンテキスト インターフェイスを設定します。

すでにシステム コンフィギュレーションのコンテキストに割り当て済みのコンテキスト インターフェイスを設定します。他のインターフェイスは使用できません。

システム コンフィギュレーションのイーサネット設定値、冗長インターフェイス、およびサブインターフェイスを設定します。他のコンフィギュレーションは使用できません。フェールオーバー インターフェイスの場合は、例外的にシステム コンフィギュレーションで設定されます。フェールオーバー インターフェイスは、このコマンドを使用して設定しないでください。

トランスペアレント ファイアウォールのガイドライン

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。

サブインターフェイスのガイドライン

サブインターフェイスの最大数:現在のプラットフォームで使用可能なサブインターフェイス数を確認するには、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』のライセンス情報を参照してください。

タグ付きでないパケットが物理インターフェイスを通過しないようにする:サブインターフェイスを使用する場合、物理インターフェイスはタグ付きでないパケットを通過させるため、一般的には、物理インターフェイスでもトラフィックを通過させないようにします。このプロパティは、冗長インターフェイスのペアのアクティブな物理インターフェイスの場合にもあてはまります。物理インターフェイスまたは冗長インターフェイスは、サブインターフェイスでトラフィックを通過させるためにイネーブルにする必要があります。そのため、 nameif コマンドを省略することにより、物理インターフェイスまたは冗長インターフェイスのトラフィックの通過を確実に防ぐようにします。物理インターフェイスまたは冗長インターフェイスをタグ付きでないパケットが通過できるようにする場合は、通常どおり nameif コマンドを設定できます。

冗長インターフェイスのガイドライン

フェールオーバーのガイドライン:

フェールオーバーまたは状態リンク用に冗長インターフェイスを使用する場合、プライマリ装置だけでなくセカンダリ装置上でも、基本的なコンフィギュレーションの一部として冗長インターフェイスを設定する必要があります。

フェールオーバーまたは状態リンク用に冗長インターフェイスを使用する場合、2 つの装置間にスイッチまたはハブを配置する必要があります。これらの装置は直接接続できません。スイッチまたはハブを配置しない場合、プライマリ装置のアクティブなポートをセカンダリ装置のスタンバイ ポートに直接接続することができます。

フェールオーバー用の冗長インターフェイスを、 monitor-interface コマンドを使用してモニタできます。この場合、論理冗長インターフェイスの名前を必ず参照してください。

アクティブなインターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイス レベルのフェールオーバーのモニタ中に、このアクティビティが原因で、冗長インターフェイスに障害が発生していると見なされることはありません。両方の物理インターフェイスに障害が発生した場合にのみ、冗長インターフェイスに障害が発生していると見なされます。

冗長インターフェイスの MAC Address:冗長インターフェイスでは、最初に追加する物理インターフェイスの MAC アドレスが使用されます。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが妨げられないように同じ MAC アドレスが維持されます。

物理インターフェイスのガイドライン:メンバー インターフェイスを追加する場合は、次のガイドラインに従ってください。

両方のメンバー インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず no nameif コマンドを使用して名前を削除する必要があります。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが物理パラメータ( speed コマンド、 duplex コマンド、 description コマンド、 shutdown コマンドなど)です。また、 default help などの実行時コマンドを入力することもできます。

アクティブなインターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

組み込みスイッチのガイドライン

組み込みスイッチのあるモデルの場合、物理インターフェイスのみに対して物理パラメータおよびスイッチ パラメータ(VLAN 割り当てを含む)を指定します。その他のすべてのパラメータは、VLAN インターフェイスに対して設定します。

ASA 5505 適応型セキュリティ アプライアンス上で、VLAN を SSC 管理インターフェイスとして動作するよう設定するには、 interface vlan number alllow-ssc-mgmt コマンドを使用します。SSC 管理 VLAN 設定には、VLAN ID、IP アドレス、ゲートウェイ、およびホスト IP アドレスの 4 つのエントリが含まれます。管理トラフィックが入ることができるよう、SSC 上でアクセス リスト エントリを作成するためには、ホスト アドレスが必要となります。管理パラメータを設定すると、VLAN はスイッチ ポートに割り当てられ、SSC 管理ポートとして使用できるようになります。このコマンドは、SSC がインストールされた ASA 5505 適応型セキュリティ アプライアンスでのみ使用可能で、 hw-module module slot_num recover configure vlanid number コマンドを置き換えます。

ASA 5505 適応型セキュリティ アプライアンスをトランスペアレント ファイアウォール モードで使用する場合、設定できるアクティブな VLAN は、Base ライセンスで 2 つ、Security Plus ライセンスで 3 つです。このうち 1 つは、フェールオーバー用として使用する必要があります。ルーテッド モードの場合、アクティブな VLAN は Base ライセンスで 3 つまで、Security Plus ライセンスで 5 つまで設定できます。アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。アクティブな VLAN の数をライセンスに従って制限している限り、VLAN はいくつでも設定できます。Base ライセンスでは、3 番めの VLAN は、別の VLAN に対するトラフィックの開始のみのために設定できます。3 番めの VLAN は、 no forward interface コマンドを使用して制限します。Security Plus ライセンスでは、通常のトラフィック用に 3 つ、フェールオーバー用に 1 つ、ISP へのバックアップ リンクとして 1 つの VLAN インターフェイスを設定できます。ただし、フェールオーバー VLAN インターフェイスは、 interface vlan コマンドを使用して設定することはできません。物理インターフェイスをフェールオーバー VLAN ID に割り当てた後、 failover lan コマンドを使用して、VLAN インターフェイスを作成および設定します。ISP へのバックアップ リンクは、プライマリ VLAN 設定で backup interface コマンドを使用して指定する必要があります。このインターフェイスは、プライマリ インターフェイスでエラーが発生しない限り、トラフィックを通過させません。詳細については、 backup interface コマンドを参照してください。

管理専用インターフェイス

ASA 5510 以降の適応型セキュリティ アプライアンスには、1 つ以上の専用の管理インターフェイス(Management 0/0 および Management 0/1)が含まれており、適応型セキュリティ アプライアンスへのトラフィックがサポートされています。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 および 0/1 では、管理専用モードをディセーブルにして、他のインターフェイスと同じように、このインターフェイスをトラフィックが通過できるようにすることができます。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 または 0/1 インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。

次の例では、シングル モードで物理インターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

次の例では、シングル モードでサブインターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次の例では、マルチ コンテキスト モードでシステム コンフィギュレーションのインターフェイス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# no shutdown
hostname(config-subif)# context contextA
hostname(config-ctx)# ...
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
 

次の例では、マルチ コンテキスト モードでコンテキスト コンフィギュレーションのパラメータを設定します。

hostname/contextA(config)# interface gigabitethernet0/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# no shutdown
 

次の例では、3 つの VLAN インターフェイスを設定します。3 番めのホーム インターフェイスは、トラフィックを作業インターフェイスに転送できません。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address dhcp
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif work
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200
hostname(config-if)# nameif home
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 

次の例では、フェールオーバー インターフェイスを含む 5 つの VLAN インターフェイスを設定します。フェールオーバー インターフェイスは、 failover lan コマンドを使用して別に設定します。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

次の例では、2 つの冗長インターフェイスを作成します。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 0/0
hostname(config-if)# member-interface gigabitethernet 0/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 0/2
hostname(config-if)# member-interface gigabitethernet 0/3
 

次の例では、この VLAN インターフェイスを SSC 管理インターフェイスとして使用するよう指定します。

hostname(config)# interface vlan20 allow-ssc-mgmt
hostname(config-if)# description management vlan
hostname(config-if)# ip address 209.165.200.254
hostname(config-if)# nameif management
 

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

member-interface

インターフェイスを冗長インターフェイスに割り当てます。

clear interface

show interface コマンドのカウンタをクリアします。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

vlan

VLAN をサブインターフェイスに割り当てます。

interface(VPN ロード バランシング)

VPN ロード バランシング仮想クラスタで VPN ロード バランシングのデフォルト以外のパブリックまたはプライベート インターフェイスを指定するには、VPN ロード バランシング モードで interface コマンドを使用します。インターフェイスの指定を削除して、デフォルト インターフェイスに戻すには、このコマンドの no 形式を使用します。

interface { lbprivate | lbpublic} interface-name ]

no interface { lbprivate | lbpublic }

 
構文の説明

interface-name

VPN ロード バランシング クラスタのパブリックまたはプライベート インターフェイスとして設定するインターフェイスの名前。

lbprivate

このコマンドが VPN ロード バランシングのプライベート インターフェイスを設定するように指定します。

lbpublic

このコマンドが VPN ロード バランシングのパブリック インターフェイスを設定するように指定します。

 
デフォルト

interface コマンドを省略した場合、デフォルトでは、 lbprivate インターフェイスは inside として、 lbpublic インターフェイスは outside として設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング モードに入る必要があります。

また、事前に interface ip address 、および nameif コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。

このコマンドの no 形式を使用すると、インターフェイスがデフォルトに戻ります。

次に、 vpn load-balancing コマンド シーケンスの例を示します。このコマンド シーケンスには、クラスタのパブリック インターフェイスを「test」インターフェイスとして指定する interface コマンドと、クラスタのプライベート インターフェイスをデフォルト(inside)に戻す interface コマンドが含まれています。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# no interface lbprivate
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

interface-policy

モニタ中にインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

interface-policy num [ % ]

no interface-policy num [ % ]

 
構文の説明

num

1 ~ 100 の数を指定するか(パーセンテージとして使用する場合)、または 1 からインターフェイスの最大数までの数を指定します。

%

(任意) num の数字が、モニタ対象インターフェイスのパーセンテージであることを指定します。

 
デフォルト

装置に対して failover interface-policy コマンドが設定されている場合は、その値が interface-policy フェールオーバー グループ コマンドのデフォルトと見なされます。設定されていなければ、 num は 1 になっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

num 引数とオプションの % キーワードの間にはスペースを挿入しません。

障害が発生したインターフェイスの数が設定済みポリシーの基準を満たしており、他の適応型セキュリティ アプライアンスが正常に機能している場合、適応型セキュリティ アプライアンスは自身を障害としてマークし、フェールオーバーが発生します(アクティブな適応型セキュリティ アプライアンスに障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。

次の例(抜粋)では、フェールオーバー グループに対して適用可能なコンフィギュレーションを示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# interface-policy 25%
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover interface-policy

インターフェイス モニタリング ポリシーを設定します。

monitor-interface

フェールオーバーのためにモニタ対象にするインターフェイスを指定します。

internal-password

クライアントレス SSL VPN ポータル ページに追加のパスワード フィールドを表示するには、webvpn コンフィギュレーション モードで internal-password コマンドを使用します。この追加パスワードは、適応型セキュリティ アプライアンスにより、SSO が使用可能なファイル サーバへのユーザの認証に使用されます。

内部パスワードを使用する機能をディセーブルにするには、このコマンドの no バージョンを使用します。

internal-password enable

no internal password

 
構文の説明

enable

内部パスワードの使用をイネーブルにします。

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

イネーブルの場合、エンド ユーザはクライアントレス SSL VPN セッションへのログイン時に 2 番めのパスワードを入力します。クライアントレス SSL VPN サーバから認証サーバに、ユーザ名とパスワードを含む SSO 認証要求が、HTTPS を使用して送信されます。認証サーバが認証要求を承認すると、クライアントレス SSL VPN サーバに SSO 認証クッキーを戻します。このクッキーはセキュリティ アプライアンス上にユーザの代わりに保持され、ユーザの認証に使用されて、SSO サーバにより保護されたドメイン内の Web サイトをセキュリティで保護します。

内部パスワード機能は、内部パスワードを SSL VPN パスワードとは異なるパスワードにする必要がある場合に便利です。具体的には、適応型セキュリティ アプライアンスへの認証にワンタイム パスワードを使用でき、内部サイト用に別のパスワードを使用できます。

次の例は、内部パスワードをイネーブルにする方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# internal password enable
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSLVPN 接続のアトリビュートを設定できます。

interval maximum

DDNS アップデート方式によるアップデート試行の最大間隔を設定するには、DDNS アップデート方式モードで interval コマンドを使用します。実行コンフィギュレーションから DDNS アップデート方式の間隔を削除するには、このコマンドの no 形式を使用します。

interval maximum days hours minutes seconds

no interval maximum days hours minutes seconds

 
構文の説明

days

アップデート試行の間隔(日)を 0 ~ 364 の範囲の数で指定します。

hours

アップデート試行の間隔(時間)を 0 ~ 23 の範囲の数で指定します。

minutes

アップデート試行の間隔(分)を 0 ~ 59 の範囲の数で指定します。

seconds

アップデート試行の間隔(秒単位)を 0 ~ 59 の範囲の数で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DDNS アップデート方式コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

日、時間、分、秒がまとめて加算され、合計の間隔となります。

次の例では、3 分 15 秒ごとにアップデートを試行する ddns-2 という方式が設定されます。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# interval maximum 0 0 3 15
 

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

Dynamic DNS(DDNS; ダイナミック DNS)アップデート方式を、適応型セキュリティ アプライアンスのインターフェイスまたは DDNS アップデート ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

dhcp-client update dns

DHCP クライアントが DHCP サーバに渡すアップデート パラメータを設定します。

dhcpd update dns

DHCP サーバによるダイナミック DNS アップデートの実行をイネーブルにします。

invalid-ack

ACK が無効なパケットのアクションを設定するには、TCP マップ コンフィギュレーション モードで invalid-ack コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

invalid-ack { allow | drop }

no invalid-ack

 
構文の説明

allow

ACK が無効なパケットを許可します。

drop

ACK が無効なパケットをドロップします。

 
デフォルト

デフォルトのアクションでは、ACK が無効なパケットはドロップされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map :TCP 正規化アクションを指定します。

a. invalid-ack :TCP マップ コンフィギュレーション モードでは、 invalid-ack コマンドおよびその他の多数のコマンドを入力できます。

2. class-map :TCP 正規化を実行するトラフィックを指定します。

3. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced-options :作成した TCP マップを指定します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

以下のインスタンスで、無効な ACK が発生する場合があります。

TCP 接続 SYN-ACK 受信ステータスで、受信した TCP パケットの ACK 番号が次に送出される TCP パケットのシーケンス番号と正確に一致していない場合、そのパケットの ACK は無効です。

受信 TCP パケットの ACK 番号が次に送出される TCP パケットのシーケンス番号より大きい場合は常に、その ACK は無効です。


) WAAS 接続では、ACK が無効な TCP パケットは自動的に許可されます。


次の例では、ACK が無効なパケットを許可するよう適応型セキュリティ アプライアンスを設定します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# invalid-ack allow
hostname(config)# class-map cmap
hostname(config-cmap)# match any
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

サービス ポリシーに対してトラフィックを指定します。

policy-map

サービス ポリシー内でトラフィックに適用するアクションを指定します。

set connection advanced-options

TCP 正規化をイネーブルにします。

service-policy

サービス ポリシーをインターフェイスに適用します。

show running-config tcp-map

TCP マップ コンフィギュレーションを表示します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

ip address

インターフェイスの IP アドレス(ルーテッド モード)または管理アドレスの IP アドレス(トランスペアレント モード)を設定するには、 ip address コマンドを使用します。ルーテッド モードの場合は、インターフェイス コンフィギュレーション モードでこのコマンドを入力します。トランスペアレント モードの場合は、グローバル コンフィギュレーション モードでこのコマンドを入力します。IP アドレスを削除するには、このコマンドの no 形式を使用します。また、このコマンドではフェールオーバー用のスタンバイ アドレスを設定します。

ip address ip_address [ mask ] [ standby ip_address ]

no ip address [ ip_address ]

 
構文の説明

ip_address

インターフェイスの IP アドレス(ルーテッド モード)、または管理 IP アドレス(トランスペアレント モード)。

mask

(任意)IP アドレスのサブネット マスク。マスクを設定しない場合、適応型セキュリティ アプライアンスでは IP アドレス クラスのデフォルト マスクが使用されます。

standby ip_address

(任意)フェールオーバー用のスタンバイ装置の IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが、ルーテッド モードに対して、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。

 
使用上のガイドライン

シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスはそれぞれ一意のサブネット上にある必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイス上にある場合、各 IP アドレスは一意である必要があり、ただし同じサブネット上に存在する必要があります。インターフェイスが一意の場合、必要に応じてこの IP アドレスを他のコンテキストで使用することができます。

トランスペアレント ファイアウォールは、IP ルーティングに参加しません。適応型セキュリティ アプライアンスの IP コンフィギュレーションでは、管理 IP アドレスの設定のみが必要です。このアドレスは、適応型セキュリティ アプライアンス上で発信するトラフィック(システム メッセージや AAA サーバとの通信など)の送信元アドレスとして、適応型セキュリティ アプライアンスによってこのアドレスが使用されるために必要となります。また、このアドレスをリモート管理アクセスに使用することもできます。このアドレスは、アップストリーム ルータおよびダウンストリーム ルータと同じサブネット上にある必要があります。マルチ コンテキスト モードの場合は、各コンテキスト内で管理 IP アドレスを設定します。

スタンバイ IP アドレスは、メイン IP アドレスと同じサブネット上にある必要があります。

次の例では、2 つのインターフェイスの IP アドレスとスタンバイ アドレスを設定します。

hostname(config)# interface gigabitethernet0/2
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/3
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0 standby 10.1.2.2
hostname(config-if)# no shutdown
 

次の例では、トランスペアレント ファイアウォールの管理アドレスとスタンバイ アドレスを設定します。

hostname(config)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address dhcp

インターフェイスで DHCP サーバから IP アドレスを取得できるように設定します。

show ip address

インターフェイスに割り当てられた IP アドレスを表示します。

ip address dhcp

DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイス コンフィギュレーション モードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントをディセーブルにするには、このコマンドの no 形式を使用します。

ip address dhcp [ setroute ]

no ip address dhcp

 
構文の説明

setroute

(任意)DHCP サーバから提供されるデフォルト ルートを適応型セキュリティ アプライアンスが使用できるようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モード コマンドに変更されました。また、外部インターフェイスだけでなくすべてのインターフェイス上で、このコマンドをイネーブルにできるようになりました。

 
使用上のガイドライン

DHCP リースをリセットして新しいリースを要求するには、このコマンドを再入力します。

no shutdown コマンドを使用してインターフェイスをイネーブルにせずに ip address dhcp コマンドを入力すると、一部の DHCP 要求が送信されない場合があります。


) 適応型セキュリティ アプライアンスでは、32 秒より短いタイムアウトが設定されたリースはすべて拒否されます。


次の例では、gigabitethernet0/1 インターフェイス上で DHCP をイネーブルにします。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# no shutdown
hostname(config-if)# ip address dhcp
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address

インターフェイスの IP アドレス、またはトランスペアレント ファイアウォールの管理 IP アドレスを設定します。

show ip address dhcp

DHCP サーバから取得した IP アドレスを表示します。

ip address pppoe

PPPoE をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip address pppoe コマンドを使用します。PPPoE をディセーブルにするには、このコマンドの no 形式を使用します。

ip address [ ip_address [ mask ]] p ppoe [ setroute ]

no ip address [ ip_address [ mask ]] p ppoe

 
構文の説明

ip_address

IP アドレスを PPPoE サーバから受信する代わりに手動で設定します。

mask

IP アドレスのサブネット マスクを指定します。マスクを設定しない場合、適応型セキュリティ アプライアンスでは IP アドレス クラスのデフォルト マスクが使用されます。

setroute

適応型セキュリティ アプライアンスで、PPPoE サーバから提供されるデフォルト ルートを使用するようにします。PPPoE サーバがデフォルト ルートを送信しない場合、適応型セキュリティ アプライアンスはゲートウェイとしてアクセス コンセントレータのアドレスによりデフォルト ルートを作成します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

PPPoE では、広く普及している規格であるイーサネットと PPP の 2 つを組み合わせて、クライアント システムに IP アドレスを割り当てる認証方式を提供します。ISP が PPPoE を導入している理由は、PPPoE が既存のリモート アクセス インフラストラクチャを使用する高速ブロードバンド アクセスをサポートしており、顧客が簡単に使用できるためです。

PPPoE を使用して IP アドレスを設定する前に、 vpdn コマンドを設定して、ユーザ名、パスワード、および認証プロトコルを設定します。複数のインターフェイスで(たとえば ISP へのバックアップ リンク用に)このコマンドをイネーブルにする場合、必要に応じて pppoe client vpdn group コマンドを使用して、各インターフェイスを異なる VPDN グループに割り当てることができます。

Maximum Transmission Unit(MTU; 最大伝送ユニット)のサイズは、自動的に 1492 バイトに設定されます。この値は、イーサネット フレーム内の PPPoE 伝送を許可するための正しい値です。

PPPoE セッションをリセットして再起動するには、このコマンドを再度入力します。

このコマンドは、 ip address コマンドまたは ip address dhcp コマンドと同時には設定できません。

次の例では、Gigabitethernet0/1 インターフェイス上で PPPoE をイネーブルにします。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address pppoe
hostname(config-if)# no shutdown
 

次の例では、PPPoE インターフェイスに対して IP アドレスを手動で設定します。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 pppoe
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ip address

インターフェイスの IP アドレスを設定します。

pppoe client vpdn group

このインターフェイスを特定の VPDN グループに割り当てます。

show ip address pppoe

PPPoE サーバから取得した IP アドレスを表示します。

vpdn group

作成します。

ip-address-privacy

IP アドレスのプライバシーをイネーブルにするには、パラメータ コンフィギュレーション モードで ip-address-privacy コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

ip-address-privacy

no ip-address-privacy

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、SIP インスペクション ポリシー マップにおいて、SIP 上での IP アドレスのプライバシーをイネーブルにする方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# ip-address-privacy
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

ip audit attack

攻撃シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit attack コマンドを使用します。デフォルト アクションに戻す(接続をリセットする)には、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。

ip audit attack [ action [ alarm ] [ drop ] [ reset ]]

no ip audit attack

 
構文の説明

action

(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、適応型セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、適応型セキュリティ アプライアンスではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。

alarm

(デフォルト)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

(任意)パケットをドロップします。

reset

(任意)パケットをドロップし、接続を閉じます。

 
デフォルト

デフォルト アクションは、アラームの送信です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

次の例では、攻撃シグニチャに一致するパケットに対するデフォルト アクションを、アラームおよびリセットに設定します。内部インターフェイスの監査ポリシーでは、このデフォルトを無効にしてアラームのみに設定しますが、外部インターフェイスのポリシーでは、 ip audit attack コマンドで設定されたデフォルト設定を使用します。

hostname(config)# ip audit attack action alarm reset
hostname(config)# ip audit name insidepolicy attack action alarm
hostname(config)# ip audit name outsidepolicy attack
hostname(config)# ip audit interface inside insidepolicy
hostname(config)# ip audit interface outside outsidepolicy
 

 
関連コマンド

コマンド
説明

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit attack

ip audit attack コマンドのコンフィギュレーションを表示します。

ip audit info

情報シグニチャに一致するパケットに対するデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit info コマンドを使用します。デフォルト アクションに戻す(アラームを生成する)には、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。

ip audit info [ action [ alarm ] [ drop ] [ reset ]]

no ip audit info

 
構文の説明

action

(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、適応型セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、適応型セキュリティ アプライアンスではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。

alarm

(デフォルト)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

drop

(任意)パケットをドロップします。

reset

(任意)パケットをドロップし、接続を閉じます。

 
デフォルト

デフォルト アクションは、アラームの生成です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

次の例では、情報シグニチャに一致するパケットに対するデフォルト アクションを、アラームおよびリセットに設定します。内部インターフェイスの監査ポリシーでは、このデフォルトを無効にしてアラームおよびドロップに設定しますが、外部インターフェイスのポリシーでは、 ip audit info コマンドで設定されたデフォルト設定を使用します。

hostname(config)# ip audit info action alarm reset
hostname(config)# ip audit name insidepolicy info action alarm drop
hostname(config)# ip audit name outsidepolicy info
hostname(config)# ip audit interface inside insidepolicy
hostname(config)# ip audit interface outside outsidepolicy
 

 
関連コマンド

コマンド
説明

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit info

ip audit info コマンドのコンフィギュレーションを表示します。

ip audit interface

インターフェイスに監査ポリシーを割り当てるには、グローバル コンフィギュレーション モードで ip audit interface コマンドを使用します。インターフェイスからポリシーを削除するには、このコマンドの no 形式を使用します。

ip audit interface interface_name policy_name

no ip audit interface interface_name policy_name

 
構文の説明

interface_name

インターフェイス名を指定します。

policy_name

ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例では、監査ポリシーを内部インターフェイスと外部インターフェイスに適用します。

hostname(config)# ip audit name insidepolicy1 attack action alarm
hostname(config)# ip audit name insidepolicy2 info action alarm
hostname(config)# ip audit name outsidepolicy1 attack action reset
hostname(config)# ip audit name outsidepolicy2 info action alarm
hostname(config)# ip audit interface inside insidepolicy1
hostname(config)# ip audit interface inside insidepolicy2
hostname(config)# ip audit interface outside outsidepolicy1
hostname(config)# ip audit interface outside outsidepolicy2
 

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

ip audit signature

シグニチャをディセーブルにします。

show running-config ip audit interface

ip audit interface コマンドのコンフィギュレーションを表示します。

ip audit name

パケットが定義済みの攻撃シグニチャまたは情報シグニチャに一致する場合に実行するアクションを識別する、名前付き監査ポリシーを作成するには、グローバル コンフィギュレーション モードで ip audit name コマンドを使用します。シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあります。ポリシーを削除するには、 no 形式のコマンドを使用します。

ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]

no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]

 
構文の説明

action

(任意)一連のアクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、適応型セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、適応型セキュリティ アプライアンスでは、 ip audit attack コマンドと ip audit info コマンドで設定されたデフォルト アクションを使用します。

alarm

(任意)パケットがシグニチャに一致したことを示すシステム メッセージを生成します。

attack

攻撃シグニチャの監査ポリシーを作成します。パケットは、DoS 攻撃や不正な FTP コマンドなど、ネットワークに対する攻撃の一部である可能性があります。

drop

(任意)パケットをドロップします。

info

情報シグニチャの監査ポリシーを作成します。パケットは、現時点でネットワークを攻撃することはありませんが、ポート スイープなど、情報収集アクティビティの一部である可能性があります。

name

ポリシーの名前を設定します。

reset

(任意)パケットをドロップし、接続を閉じます。

 
デフォルト

ip audit attack コマンドと ip audit info コマンドを使用してデフォルト アクションを変更していない場合、攻撃シグニチャと情報シグニチャに対するデフォルト アクションは、アラームの生成です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ポリシーを適用するには、 ip audit interface コマンドを使用してインターフェイスにポリシーを割り当てます。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

トラフィックがシグニチャに一致する場合、そのトラフィックに対してアクションを実行するときは、 shun コマンドを使用して、攻撃元ホストからの新しい接続を防止し、既存の接続からのパケットを拒否します。

次の例では、攻撃シグニチャと情報シグニチャに対してアラームを生成するように、内部インターフェイスの監査ポリシーを設定します。一方、外部インターフェイスのポリシーでは、攻撃の接続をリセットします。

hostname(config)# ip audit name insidepolicy1 attack action alarm
hostname(config)# ip audit name insidepolicy2 info action alarm
hostname(config)# ip audit name outsidepolicy1 attack action reset
hostname(config)# ip audit name outsidepolicy2 info action alarm
hostname(config)# ip audit interface inside insidepolicy1
hostname(config)# ip audit interface inside insidepolicy2
hostname(config)# ip audit interface outside outsidepolicy1
hostname(config)# ip audit interface outside outsidepolicy2
 

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit signature

シグニチャをディセーブルにします。

shun

特定の送信元アドレスと宛先アドレスが指定されたパケットをブロックします。

ip audit signature

監査ポリシーのシグニチャをディセーブルにするには、グローバル コンフィギュレーション モードで ip audit signature コマンドを使用します。シグニチャを再度イネーブルにするには、このコマンドの no 形式を使用します。正当なトラフィックがシグニチャに継続的に一致する場合、シグニチャをディセーブルにするリスクがあっても多数のアラームを回避したいときは、シグニチャをディセーブルにできます。

ip audit signature signature_number disable

no ip audit signature signature_number

 
構文の説明

signature_number

ディセーブルにするシグニチャの番号を指定します。サポートされているシグニチャのリストについては、 表 15-1 を参照してください。

disable

シグニチャをディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

表 15-1 に、サポートされているシグニチャとシステム メッセージ番号を示します。

 

表 15-1 シグニチャ ID とシステム メッセージ番号

シグニチャ ID
メッセージ番号
シグニチャ タイトル
シグニチャ タイプ
説明

1000

400000

IP options-Bad Option List

情報

IP データグラム ヘッダーにある IP オプションのリストが不完全か、または変造されている IP データグラムを受信した場合にトリガーされます。IP オプションのリストには、さまざまなネットワーク管理タスクやデバッグ タスクを実行する 1 つ以上のオプションが含まれています。

1001

400001

IP options-Record Packet Route

情報

データグラムの IP オプション リストにオプション 7(Record Packet Route)を含む IP データグラムを受信した場合にトリガーされます。

1002

400002

IP options-Timestamp

情報

データグラムの IP オプション リストにオプション 4(Timestamp)を含む IP データグラムを受信した場合にトリガーされます。

1003

400003

IP options-Security

情報

データグラムの IP オプション リストにオプション 2(Security options)を含む IP データグラムを受信した場合にトリガーされます。

1004

400004

IP options-Loose Source Route

情報

データグラムの IP オプション リストにオプション 3(Loose Source Route)を含む IP データグラムを受信した場合にトリガーされます。

1005

400005

IP options-SATNET ID

情報

データグラムの IP オプション リストにオプション 8(SATNET stream identifier)を含む IP データグラムを受信した場合にトリガーされます。

1006

400006

IP options-Strict Source Route

情報

データグラムの IP オプション リストにオプション 2(Strict Source Routing)を含む IP データグラムを受信した場合にトリガーされます。

1100

400007

IP Fragment Attack

攻撃

オフセット フィールドのオフセット値が 0 より大きく 5 より小さい IP データグラムを受信した場合にトリガーされます。

1102

400008

IP Impossible Packet

攻撃

送信元と宛先が同一アドレスの IP パケットが到着した場合にトリガーされます。このシグニチャは、いわゆる Land 攻撃を捕捉します。

1103

400009

IP Overlapping Fragments (Teardrop)

攻撃

同じ IP データグラム内に含まれている 2 つのフラグメントのオフセット値が、そのデータグラム内の位置決めを共有していることを示す場合にトリガーされます。これは、フラグメント A がフラグメント B によって完全に上書きされるか、またはフラグメント A がフラグメント B によって部分的に上書きされることを意味します。オペレーティング システムによっては、このように重複するフラグメントが正しく処理されず、重複フラグメントを受信すると例外をスローしたり、他の不適切な動作を行ったりします。Teardrop 攻撃では、これを悪用して DoS 状態を引き起こします。

2000

400010

ICMP Echo Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 0(Echo Reply)に設定された IP データグラムを受信した場合にトリガーされます。

2001

400011

ICMP Host Unreachable

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 3(Host Unreachable)に設定された IP データグラムを受信した場合にトリガーされます。

2002

400012

ICMP Source Quench

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 4(Source Quench)に設定された IP データグラムを受信した場合にトリガーされます。

2003

400013

ICMP Redirect

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 5(Redirect)に設定された IP データグラムを受信した場合にトリガーされます。

2004

400014

ICMP Echo Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 8(Echo Request)に設定された IP データグラムを受信した場合にトリガーされます。

2005

400015

ICMP Time Exceeded for a Datagram

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 11(Time Exceeded for a Datagram)に設定された IP データグラムを受信した場合にトリガーされます。

2006

400016

ICMP Parameter Problem on Datagram

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 12(Parameter Problem on Datagram)に設定された IP データグラムを受信した場合にトリガーされます。

2007

400017

ICMP Timestamp Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 13(Timestamp Request)に設定された IP データグラムを受信した場合にトリガーされます。

2008

400018

ICMP Timestamp Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 14(Timestamp Reply)に設定された IP データグラムを受信した場合にトリガーされます。

2009

400019

ICMP Information Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 15(Information Request)に設定された IP データグラムを受信した場合にトリガーされます。

2010

400020

ICMP Information Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 16(ICMP Information Reply)に設定された IP データグラムを受信した場合にトリガーされます。

2011

400021

ICMP Address Mask Request

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 17(Address Mask Request)に設定された IP データグラムを受信した場合にトリガーされます。

2012

400022

ICMP Address Mask Reply

情報

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、ICMP ヘッダーのタイプ フィールドが 18(Address Mask Reply)に設定された IP データグラムを受信した場合にトリガーされます。

2150

400023

Fragmented ICMP Traffic

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、他にも 1(ICMP)に設定されたフラグメント フラグが存在するか、またはオフセット フィールドにオフセット値が指定されている IP データグラムを受信した場合にトリガーされます。

2151

400024

Large ICMP Traffic

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、IP 長が 1024 より大きい IP データグラムを受信した場合にトリガーされます。

2154

400025

Ping of Death Attack

攻撃

IP ヘッダーのプロトコル フィールドが 1(ICMP)で、Last Fragment ビットが設定され、(IP オフセット * 8)+(IP データ長)> 65535 になっている(このフラグメントの元のパケットでの開始位置を示す 8 バイト単位の IP オフセットと、残りのパケットの合計が、IP パケットの最大サイズより大きくなっている)IP データグラムを受信した場合にトリガーされます。

3040

400026

TCP NULL flags

攻撃

SYN、FIN、ACK、または RST のどのフラグも設定されていない 1 つの TCP パケットが、特定のホストに送信された場合にトリガーされます。

3041

400027

TCP SYN+FIN flags

攻撃

SYN および FIN のフラグが設定されている 1 つの TCP パケットが、特定のホストに送信された場合にトリガーされます。

3042

400028

TCP FIN only flags

攻撃

1 つの孤立した TCP FIN パケットが、特定のホストの特権ポート(ポート番号が 1024 未満)に送信された場合にトリガーされます。

3153

400029

FTP Improper Address Specified

情報

要求側ホストと異なるアドレスを指定して port コマンドが発行された場合にトリガーされます。

3154

400030

FTP Improper Port Specified

情報

1024 未満または 65535 より大きい値のデータ ポートを指定して port コマンドが発行された場合にトリガーされます。

4050

400031

UDP Bomb attack

攻撃

指定されている UDP 長が、指定されている IP 長より短い場合にトリガーされます。この不正な形式のパケット タイプは、サービス拒絶の試みと関連付けられています。

4051

400032

UDP Snork attack

攻撃

送信元ポートが 135、7、または 19 のいずれかで、宛先ポートが 135 になっている UDP パケットが検出された場合にトリガーされます。

4052

400033

UDP Chargen DoS attack

攻撃

このシグニチャは、送信元ポートが 7、宛先ポートが 19 になっている UDP パケットが検出された場合にトリガーされます。

6050

400034

DNS HINFO Request

情報

DNS サーバから HINFO レコードへのアクセスが試みられた場合にトリガーされます。

6051

400035

DNS Zone Transfer

情報

送信元ポートが 53 の通常の DNS ゾーン転送によってトリガーされます。

6052

400036

DNS Zone Transfer from High Port

情報

送信元ポートが 53 以外の不正な DNS ゾーン転送によってトリガーされます。

6053

400037

DNS Request for All Records

情報

すべてのレコードに対する DNS 要求によってトリガーされます。

6100

400038

RPC Port Registration

情報

ターゲット ホストで新しい RPC サービスを登録する試みがあった場合にトリガーされます。

6101

400039

RPC Port Unregistration

情報

ターゲット ホストで既存の RPC サービスを登録解除する試みがあった場合にトリガーされます。

6102

400040

RPC Dump

情報

ターゲット ホストに対して RPC ダンプ要求が発行された場合にトリガーされます。

6103

400041

Proxied RPC Request

攻撃

ターゲット ホストのポートマッパーにプロキシ RPC 要求が送信された場合にトリガーされます。

6150

400042

ypserv (YP server daemon) Portmap Request

情報

YP サーバ デーモン(ypserv)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6151

400043

ypbind (YP bind daemon) Portmap Request

情報

YP バインド デーモン(ypbind)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6152

400044

yppasswdd (YP password daemon) Portmap Request

情報

YP パスワード デーモン(yppasswdd)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6153

400045

ypupdated (YP update daemon) Portmap Request

情報

YP 更新デーモン(ypupdated)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6154

400046

ypxfrd (YP transfer daemon) Portmap Request

情報

YP 転送デーモン(ypxfrd)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6155

400047

mountd (mount daemon) Portmap Request

情報

マウント デーモン(mountd)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6175

400048

rexd (remote execution daemon) Portmap Request

情報

リモート実行デーモン(rexd)ポートのポートマッパーに対して要求が行われた場合にトリガーされます。

6180

400049

rexd (remote execution daemon) Attempt

情報

rexd プログラムの呼び出しが行われた場合にトリガーされます。リモート実行デーモンは、プログラムをリモートで実行する役割を担うサーバです。rexd プログラムの呼び出しは、システム リソースへの不正アクセスの試みを示している可能性があります。

6190

400050

statd Buffer Overflow

攻撃

サイズの大きな statd 要求が送信された場合にトリガーされます。これは、バッファをオーバーフローさせてシステム リソースにアクセスしようとする試みの可能性があります。

次の例では、シグニチャ 6100 をディセーブルにします。

hostname(config)# ip audit signature 6100 disable

 
関連コマンド

コマンド
説明

ip audit attack

攻撃シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit info

情報シグニチャに一致するパケットのデフォルト アクションを設定します。

ip audit interface

インターフェイスに監査ポリシーを割り当てます。

ip audit name

パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。

show running-config ip audit signature

ip audit signature コマンドのコンフィギュレーションを表示します。

ip-comp

LZS IP 圧縮をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-comp enable コマンドを使用します。IP 圧縮をディセーブルにするには、 ip-comp disable コマンドを使用します。

実行コンフィギュレーションから ip-comp アトリビュートを削除するには、このコマンドの no 形式を使用します。これによって、値を別のグループ ポリシーから継承できるようになります。

ip-comp { enable | disable}

no ip-comp

 
構文の説明

disable

IP 圧縮をディセーブルにします。

enable

IP 圧縮をイネーブルにします。

 
デフォルト

IP 圧縮はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

データ圧縮をイネーブルにすると、モデムで接続しているリモート ダイヤルイン ユーザのデータ伝送速度が向上する場合があります。


注意 データ圧縮を行うと、各ユーザ セッションのメモリの必要量と CPU 使用率が増加するため、適応型セキュリティ アプライアンス全体のスループットが低下します。このため、モデムで接続しているリモート ユーザに対してのみ、データ圧縮をイネーブルにすることを推奨します。モデム ユーザに固有のグループ ポリシーを設計し、このユーザに対してのみ圧縮をイネーブルにします。

エンドポイントで IP 圧縮トラフィックが生成される場合、パケットの不正な圧縮解除を防ぐために、IP 圧縮をディセーブルにする必要があります。特定の LAN-to-LAN トンネルで IP 圧縮がイネーブルになっている場合、トンネルの一方からもう一方に IP 圧縮データを渡そうとするときに、ホスト A はホスト B と通信できません。

次の例は、「FirstGroup」というグループ ポリシーに対して IP 圧縮をイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ip-comp enable

 

ip local pool

VPN リモートアクセス トンネルに使用する IP アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。

ip local pool poolname first-address--last-address [ mask mask ]

no ip local pool poolname

 
構文の説明

first-address

IP アドレスの範囲の開始アドレスを指定します。

last-address

IP アドレスの範囲の最終アドレスを指定します。

mask mask

(任意)アドレス プールのサブネット マスクを指定します。

poolname

IP アドレス プールの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

VPN クライアントに割り当てられた IP アドレスが非標準のネットワークに属する場合は、マスク値を指定する必要があります。デフォルト マスクを使用すると、データが誤ってルーティングされる可能性があります。一般的な例として、IP ローカル プールに、デフォルトではクラス A ネットワークの 10.10.10.0/255.255.255.0 のアドレスが含まれている場合を考えます。この場合、VPN クライアントが異なるインターフェイス上の 10 ネットワーク内の異なるサブネットにアクセスしようとすると、ルーティングの問題が発生する可能性があります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 経由で使用可能で、10.10.10.0 ネットワークが VPN トンネル経由で使用可能な場合、VPN クライアントのインターフェイス 1 では、プリンタ宛てのデータのルーティング先について混乱が生じます。10.10.10.0 と 10.10.100.0 のサブネットは両方とも 10.0.0.0 クラス A ネットワークに該当するため、プリンタのデータは VPN トンネル経由で送信される可能性があります。

次の例では、firstpool という名前の IP アドレス プールを設定します。開始アドレスは 10.20.30.40 で、終了アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。

hostname(config)# ip local pool firstpool 10.20.30.40-10.20.30.50 mask 255.255.255.0
 

 
関連コマンド

コマンド
説明

clear configure ip local pool

すべての IP ローカル プールを削除します。

show running-config ip local pool

IP プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。

ip-phone-bypass

IP Phone バイパスをイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-phone-bypass enable コマンドを使用します。IP Phone バイパスをディセーブルにするには、 ip-phone-bypass disable コマンドを使用します。IP Phone バイパス アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、IP Phone バイパスの値を別のグループ ポリシーから継承できます。

IP Phone バイパスにより、ハードウェア クライアントの背後にある IP 電話の接続に、ユーザ認証プロセスが不要になります。イネーブルの場合、セキュア ユニット認証は有効なままになります。

ip-phone-bypass { enable | disable }

no ip-phone-bypass

 
構文の説明

disable

IP Phone バイパスをディセーブルにします。

enable

IP Phone バイパスをイネーブルにします。

 
デフォルト

IP Phone バイパスはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IP Phone バイパスを設定する必要があるのは、ユーザ認証をイネーブルにした場合のみです。

また、mac-exempt を設定してクライアントの認証を免除する必要があります。詳細については、「vpnclient mac-exempt」を参照してください。

次の例は、FirstGroup というグループ ポリシーに対して IP Phone バイパスをイネーブルにする方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ip-phone-bypass enable

 
関連コマンド

コマンド
説明

user-authentication

ハードウェア クライアントの背後にいるユーザに対して、接続前に適応型セキュリティ アプライアンスに識別情報を示すように要求します。

ips

ASA 5500 シリーズ適応型セキュリティ アプライアンスは、AIP SSM をサポートしています。AIP SSM は、予防的なフル装備の侵入防御サービスを提供する拡張 IPS ソフトウェアを実行し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックが、お客様のネットワークに影響を与える前に阻止します。この適応型セキュリティ アプライアンスから、インスペクションのためにトラフィックを AIP SSM に転送するには、クラス コンフィギュレーション モードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

no ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

 
構文の説明

fail-close

AIP SSM に障害が発生した場合にトラフィックをブロックします。

fail-open

AIP SSM に障害が発生した場合にトラフィックを許可します。

inline

AIP SSM にパケットを転送します。パケットは、IPS 動作の結果としてドロップされる場合があります。

promiscuous

AIP SSM に対するパケットを複製します。元のパケットを AIP SSM でドロップすることはできません。

sensor { sensor_name | mapped_name }

このトラフィックに仮想センサー名を設定します。AIP SSM(バージョン 6.0 以上)で仮想センサーを使用する場合、この引数を使ってセンサー名を指定できます。使用できるセンサー名を参照するには、 ips ... sensor ? コマンドを入力します。使用可能なセンサーが表示されます。 show ips コマンドも使用できます。

適応型セキュリティ アプライアンス上でマルチ コンテキスト モードを使用する場合、指定できるセンサーはコンテキストに割り当てたセンサーのみです( allocate-ips コマンドを参照)。コンテキスト内で設定されている場合、 mapped_name を使用します。

センサー名を指定しない場合、トラフィックはデフォルトのセンサーを使用します。マルチ コンテキスト モードの場合、コンテキストのデフォルトのセンサーを指定できます。シングル モードの場合、またはマルチ モードでデフォルトのセンサーを指定しない場合、トラフィックは AIP SSM に設定されているデフォルトのセンサーを使用します。

AIP SSM に存在していない名前を入力すると、エラーが発生し、コマンドは拒否されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(2)

仮想センサーのサポートが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスに ips コマンドを設定する前または設定した後に、AIP SSM にセキュリティ ポリシーを設定します。適応型セキュリティ アプライアンスから AIP SSM へのセッションを確立するか( session コマンド)、または管理インターフェイス上で SSH や Telnet を使用して AIP SSM に直接接続することができます。または、ASDM を使用することもできます。AIP SSM の設定の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。

ips コマンドを設定するには、まず class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。

AIP SSM は、適応型セキュリティ アプライアンスから独立したアプリケーションを実行します。ただし、そのアプリケーションは適応型セキュリティ アプライアンスのトラフィック フローに統合されます。AIP SSM 自体には、管理インターフェイス以外に、外部インターフェイスは含まれていません。適応型セキュリティ アプライアンス上のトラフィックのクラスに ips コマンドを適用すると、トラフィックは、適応型セキュリティ アプライアンスおよび AIP SSM AIP SSM を次のように通過します。

1. トラフィックが適応型セキュリティ アプライアンスに入ります。

2. ファイアウォール ポリシーが適用されます。

3. トラフィックはバックプレーンを経由して AIP SSM に送信されます( inline キーワードを使用。AIP SSM に対するトラフィックのコピーの送信のみについては、 promiscuous キーワードを参照してください)。

4. AIP SSM で、そのセキュリティ ポリシーがトラフィックに適用され、適切な処理が実行されます。

5. 有効なトラフィックが、バックプレーンを経由して適応型セキュリティ アプライアンスに返送されます。ただし、AIP SSM がそのセキュリティ ポリシーに従って一部のトラフィックをブロックする場合があり、そのトラフィックは受け渡しされません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックが適応型セキュリティ アプライアンスから出ます。

次の例では、無差別モードですべての IP トラフィックを AIP SSM に転送し、何らかの理由で AIP SSM カードに障害が発生した場合には、すべての IP トラフィックをブロックします。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを、インライン モードで AIP SSM に転送し、何らかの理由で AIP SSM カードに障害が発生した場合は、すべてのトラフィックの通過を許可します。my-ips-class トラフィックには sensor1 が使用され、my-ips-class2 トラフィックには sensor2 が使用されます。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
 

 
関連コマンド

コマンド
説明

allocate-ips

セキュリティ コンテキストに仮想センサーを割り当てます。

class

トラフィック分類に使用するクラス マップを指定します。

class-map

ポリシー マップで使用するトラフィックを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在の ポリシー マップ コンフィギュレーションをすべて表示します。

ipsec-udp

IPSec over UDP をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ipsec-udp enable コマンドを使用します。IPSec over UDP をディセーブルにするには、 ipsec-udp disable コマンドを使用します。IPSec over UDP アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。これによって、IPSec over UDP の値を別のグループ ポリシーから継承できるようになります。

IPSec over UDP(IPSec through NAT と呼ばれる場合もある)を使用すると、Cisco VPN Client またはハードウェア クライアントから、NAT を実行している適応型セキュリティ アプライアンスに UDP を介して接続できます。

ipsec-udp {enable | disable}

no ipsec-udp

 
構文の説明

disable

IPSec over UDP をディセーブルにします。

enable

IPSec over UDP をイネーブルにします。

 
デフォルト

IPSec over UDP はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

IPSec over UDP を使用するには、 ipsec-udp-port コマンドも設定する必要があります。

また、Cisco VPN Client も、IPSec over UDP を使用するように設定する必要があります(デフォルトで使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するように設定する必要はありません。

IPSec over UDP は独自の方式であり、リモートアクセス接続のみに適用され、モード コンフィギュレーションを必要とします。これは、SA のネゴシエート中に適応型セキュリティ アプライアンスがクライアントとコンフィギュレーション パラメータを交換することを意味します。

IPSec over UDP を使用すると、システム パフォーマンスがわずかに低下する場合があります。

次の例は、FirstGroup というグループ ポリシーに IPSec over UDP を設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable

 
関連コマンド

コマンド
説明

ipsec-udp-port

適応型セキュリティ アプライアンスが UDP トラフィックをリッスンするポートを指定します。

ipsec-udp-port

IPSec over UDP の UDP ポート番号を設定するには、グループ ポリシー コンフィギュレーション モードで ipsec-udp-port コマンドを使用します。UDP ポートをディセーブルにするには、このコマンドの no 形式を使用します。これによって、IPSec over UDP ポートの値を別のグループ ポリシーから継承できるようになります。

IPSec ネゴシエーションでは、適応型セキュリティ アプライアンスは設定済みのポート上でリッスンし、他のフィルタ ルールによって UDP トラフィックがドロップされる場合でも、そのポートに対する UDP トラフィックを転送します。

ipsec-udp-port port

no ipsec-udp-port

 
構文の説明

port

UDP ポート番号を、4001 ~ 49151 の整数で指定します。

 
デフォルト

デフォルトのポートは 10000 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

この機能をイネーブルにした複数のグループ ポリシーを設定できます。グループ ポリシーごとに、別々のポート番号を使用できます。

次の例は、FirstGroup というグループ ポリシーの IPSec UDP ポートをポート 4025 に設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp-port 4025

 
関連コマンド

コマンド
説明

ipsec-udp

Cisco VPN Client またはハードウェア クライアントから、NAT を実行している適応型セキュリティ アプライアンスに UDP を介して接続できるようにします。

ip verify reverse-path

ユニキャスト RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。ユニキャスト RPF は、ルーティング テーブルに従って、すべてのパケットの送信元 IP アドレスが正しい送信元インターフェイスに一致することを保証することにより、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用して実際の送信元を隠す)を防ぎます。

ip verify reverse-path interface interface_name

no ip verify reverse-path interface interface_name

 
構文の説明

interface_name

ユニキャスト RPF をイネーブルにするインターフェイス。

 
デフォルト

この機能はデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

通常、適応型セキュリティ アプライアンスは、パケットの転送先を決定する場合に宛先アドレスのみを参照します。ユニキャスト RPF は、送信元アドレスも参照するように適応型セキュリティ アプライアンスに指示します。この機能が Reverse Path Forwarding(RPF)と呼ばれるのはこのためです。適応型セキュリティ アプライアンスを通過できるようにするすべてのトラフィックについて、送信元アドレスに戻るルートを適応型セキュリティ アプライアンス ルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックについては、適応型セキュリティ アプライアンスはデフォルト ルートを使用してユニキャスト RPF 保護を機能させることができます。外部インターフェイスからトラフィックが着信し、その送信元アドレスがルーティング テーブルに存在しない場合、適応型セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

ルーティング テーブルに存在するアドレスから外部インターフェイスにトラフィックが着信し、そのアドレスが内部インターフェイスに関連付けられている場合、適応型セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが着信した場合、一致したルート(デフォルト ルート)は外部インターフェイスを示すため、適応型セキュリティ アプライアンスはパケットをドロップします。

ユニキャスト RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。

UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットによって使用されるのと同じインターフェイスに到着したことを保証するためにチェックされます。

次の例では、外部インターフェイス上でユニキャスト RPF をイネーブルにします。

hostname(config)# ip verify reverse-path interface outside
 

 
関連コマンド

コマンド
説明

clear configure ip verify reverse-path

ip verify reverse-path コンフィギュレーションをクリアします。

clear ip verify statistics

ユニキャスト RPF の統計情報をクリアします。

show ip verify statistics

ユニキャスト RPF 統計情報を表示します。

show running-config ip verify reverse-path

ip verify reverse-path コンフィギュレーションを表示します。

ipv6 access-list

IPv6 アクセス リストを設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。ACE を削除するには、このコマンドの no 形式を使用します。

ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

no ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

no ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

 
構文の説明

any

IPv6 プレフィクス ::/0 の短縮形で、任意の IPv6 アドレスを示します。

default

(任意)ACE 用に syslog メッセージ 106100 が生成されるように指定します。

deny

条件に一致する場合、アクセスを拒否します。

destination-ipv6-address

トラフィックを受信するホストの IPv6 アドレス。

destination-ipv6-prefix

トラフィックの宛先となる IPv6 ネットワーク アドレス。

disable

(任意)syslog メッセージングをディセーブルにします。

host

アドレスが特定のホストを指すよう指定します。

icmp6

適応型セキュリティ アプライアンスを通過する ICMPv6 トラフィックにアクセス ルールが適用されるように指定します。

icmp_type

アクセス ルールによってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 255)、または次の ICMP タイプ リテラルのいずれかを指定できます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

icmp_type 引数 を省略すると、すべての ICMP タイプを示します。

icmp_type_obj_grp_id

(任意)オブジェクト グループの ICMP タイプ ID を指定します。

id

アクセス リストの名前または番号。

interval secs

(任意)syslog メッセージ 106100 を生成する時間間隔を指定します。有効値の範囲は 1 ~ 600 秒です。デフォルトの間隔は 300 秒です。この値は、非アクティブのフローを削除するためのタイムアウト値としても使用されます。

level

(任意)メッセージ 106100 の syslog レベルを指定します。有効値の範囲は 0 ~ 7 です。デフォルトのレベルは 6(情報)です。

line line-num

(任意)アクセス ルールを挿入するリスト内の行番号。行番号を指定しない場合、ACE はアクセス リストの末尾に追加されます。

log

(任意)ACE のロギング アクションを指定します。 log キーワードを指定しない場合や、 log default キーワードを指定した場合、ACE によってパケットが拒否されると、メッセージ 106023 が生成されます。log キーワードを単独で指定した場合や、レベルまたは間隔と一緒に指定した場合、ACE によってパケットが拒否されると、メッセージ 106100 が生成されます。アクセス リストの末尾にある暗黙的な拒否によって拒否されるパケットについては、ログに記録されません。ロギングをイネーブルにするには、ACE でパケットを明示的に拒否する必要があります。

network_obj_grp_id

既存のネットワーク オブジェクト グループの ID。

object-group

(任意)オブジェクト グループを指定します。

operator

(任意)送信元 IP アドレスを宛先 IP アドレスと比較するための演算子を指定します。 operator は、送信元 IP アドレスまたは宛先 IP アドレスのポートを比較します。使用できる演算子は、 lt (より小さい)、 gt (より大きい)、 eq (等しい)、 neq (等しくない)、および range (含まれる範囲)です。デフォルトですべてのポートを含めるには、演算子およびポートを指定せずに ipv6 access-list コマンドを使用します。

permit

条件が一致した場合にアクセスを許可します。

port

(任意)アクセスを許可または拒否するポートを指定します。 port 引数を入力する場合は、0 ~ 65535 の数を使用するか、 protocol tcp または udp であればリテラル名を使用して、ポートを指定できます。

使用可能な TCP リテラル名は、aol、bgp、chargen、 cifc citrix-ica 、cmd、ctiqbe、daytime、discard、 domain 、echo、exec、finger、 ftp 、ftp-data、gopher、h323、hostname、http、https、ident、irc、kerberos、klogin、kshell、ldap、ldaps、login、lotusnotes、lpd、netbios-ssn、 nntp pop2 pop3 、pptp、rsh、rtsp、 smtp 、sqlnet、 ssh sunrpc、tacacs、talk、telnet、uucp、whois、www です。

使用可能な UDP リテラル名は、biff、bootpc、bootps、cifs、discard、dnsix、domain、echo、http、isakmp、kerberos、mobile-ip、nameserver、netbios-dgm、netbios-ns、ntp、pcanywhere-status、pim-auto-rp、radius、radius-acct、rip、secureid-udp、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、www、xdmcp です。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィクス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。

protocol

IP プロトコルの名前または番号。有効値は、 icmp ip tcp udp のいずれか、または IP プロトコル番号を表す 1 ~ 254 の範囲の整数です。

protocol_obj_grp_id

既存のプロトコル オブジェクト グループの ID。

service_obj_grp_id

(任意)オブジェクト グループを指定します。

source-ipv6-address

トラフィックを送信するホストの IPv6 アドレス。

source-ipv6-prefix

ネットワーク トラフィックの発信元の IPv6 ネットワーク アドレス。

 
デフォルト

log キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは、6(情報)です。

デフォルトのロギング間隔は 300 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

アクセス リストは、適応型セキュリティ アプライアンスが通過を許可またはブロックするトラフィックを定義します。 ipv6 access-list コマンドを使用すると、IPv6 アドレスがポートまたはプロトコルへのアクセスを許可または拒否されるかどうかを指定できます。各コマンドは、ACE と呼ばれます。同じアクセス リスト名を持つ 1 つ以上の ACE は、アクセス リストと呼ばれます。アクセス リストをインターフェイスに適用するには、 access-group コマンドを使用します。

適応型セキュリティ アプライアンスでは、アクセス リストを使用してアクセスを特別に許可しない限り、外部インターフェイスから内部インターフェイスへのパケットはすべて拒否されます。内部インターフェイスから外部インターフェイスへのすべてのパケットは、特にアクセスを拒否しない限り、デフォルトで許可されます。

IPv6 固有である点を除くと、 ipv6 access-list コマンドは ip access-list コマンドと類似しています。アクセス リストの詳細については、 access-list extended コマンドを参照してください。

ipv6 access-list icmp コマンドは、適応型セキュリティ アプライアンスを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および着信を許可する ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。

オブジェクト グループの設定方法については、 object-group コマンドを参照してください。

次の例では、TCP を使用するすべてのホストが 3001:1::203:A0FF:FED6:162D のサーバにアクセスできるようにします。

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D
 

次の例では、eq とポートを使用して、FTP へのアクセスのみを拒否します。

hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq ftp
hostname(config)# access-group acl_out in interface inside
 

次の例では、lt を使用して、ポート 2025 より小さいすべてのポートへのアクセスを許可します。その結果、既知のポート(1 ~ 1024)へのアクセスが許可されます。

hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1

 
関連コマンド

コマンド
説明

access-group

アクセス リストをインターフェイスに割り当てます。

ipv6 icmp

適応型セキュリティ アプライアンスのインターフェイスに着信する ICMP メッセージに対して、アクセス ルールを設定します。

object-group

オブジェクト グループ(アドレス、ICMP タイプ、およびサービス)を作成します。

ipv6 access-list webtype

クライアントレス SSL VPN のフィルタリングをサポートするコンフィギュレーションに追加できる IPv6 アクセス リストを作成するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用し、構文の全文字列をコンフィギュレーションに記載されているとおりに指定します。

ipv6 access-list id webtype { deny | permit } url [ url_string | any ]

no ipv6 access-list id webtype { deny | permit } url [ url_string | any ]

 
構文の説明

any

すべての対象へのアクセスを指定します。

deny

条件に一致する場合、アクセスを拒否します。

id

アクセス リストの名前または番号。

permit

条件が一致した場合にアクセスを許可します。

url

フィルタリングに URL を使用することを指定します。

url_string

(任意)フィルタリングする URL を指定します。

 
デフォルト

デフォルトは次のとおりです。

適応型セキュリティ アプライアンスでは、特にアクセスを許可しない限り、発信元インターフェイス上のすべてのパケットが拒否されます。

ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

次のワイルドカード文字を使用して、Webtype アクセス リスト エントリで複数のワイルドカードを定義できます。

文字がない、または任意の数の文字と一致させるには、アスタリスク「*」を入力します。

任意の 1 文字と正確に一致させるには、疑問符「?」を入力します。

ある範囲内の任意の 1 文字と一致する範囲演算子を作成するには、角カッコ「[ ]」で囲みます。

この項の例は、IPv6 Webtype アクセス リストでワイルドカードを使用する方法を示しています。

次の例では、http://www.cisco.com/ および http://wwz.caco.com/ という URL が一致します。

ipv6 access-list test webtype permit url http://ww?.c*co*/
 

次の例では、http://www.cisco.com および ftp://wwz.carrier.com という URL が一致します。

ipv6 access-list test webtype permit url *://ww?.c*co*/
 

次の例では、http://www.cisco.com:80 および https://www.cisco.com:81 という URL が一致します。

ipv6 access-list test webtype permit url *://ww?.c*co*:8[01]/
 

前述の例の範囲演算子 [ ] は、0 または 1 いずれかの文字が発生することを指定します。

次の例では、http://www.google.com および http://www.boogie.com という URL が一致します。

ipv6 access-list test webtype permit url http://www.[a-z]oo?*/
 

前述の例の範囲演算子 [ ] は、a ~ z の範囲の任意の文字が発生することを指定します。

次の例では、http://www.cisco.com/anything/crazy/url/ddtscgiz という URL が一致します。

ipv6 access-list test webtype permit url htt*://*/*cgi?*
 

) すべての http URL に一致させるには、以前の方法のように http://* ではなく、http://*/* と入力する必要があります。


 
関連コマンド

コマンド
説明

access-group

コンフィギュレーションの最適化に使用できるオブジェクト グループを定義します。

access-list ethertype

EtherType に基づいてトラフィックを制御するアクセス リストを設定します。

access-list extended

アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。

clear access-group

アクセス リスト カウンタをクリアします。

show running-config access-list

適応型セキュリティ アプライアンスで実行されているアクセス リスト コンフィギュレーションを表示します。

ipv6 address

IPv6 をイネーブルにし、インターフェイス上(ルーテッド モード)または管理アドレス用の IPv6 アドレス(トランスペアレント モード)を設定するには、インターフェイス コンフィギュレーション モードで ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。

ipv6 address { autoconfig | { ipv6-prefix / prefix-length [ eui-64 ] [ standby ipv6-prefix ]}} | { ipv6-address link-local [ standby ipv6-address ]}

no ipv6 address { autoconfig | { ipv6-prefix / prefix-length [ eui-64 ] [ standby ipv6-prefix ]}} | { ipv6-address link-local [ standby ipv6-address ]}

 
構文の説明

autoconfig

インターフェイス上でステートレス自動設定を使用して、IPv6 アドレスの自動設定をイネーブルにします。トランスペアレント ファイアウォール モードではサポートされません。

eui-64

(任意)IPv6 アドレスの下位 64 ビットにインターフェイス ID を使用するよう指定します。

ipv6-address

インターフェイスに割り当てられた IPv6 リンクローカル アドレス。

ipv6-prefix

インターフェイスに割り当てられた IPv6 ネットワーク アドレス。

link-local

アドレスがリンクローカル アドレスであることを指定します。

prefix-length

アドレスの高次の連続ビットのうち、何個が IPv6 プレフィクス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。

standby

(任意)フェールオーバー ペアのセカンダリ装置またはフェールオーバー グループによって使用されるインターフェイス アドレスを指定します。 eui-64 オプションが使用されている場合、スタンバイ アドレスを指定する必要はありません。インターフェイスのリンクローカル アドレスが使用されます。

 
デフォルト

IPv6 はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

8.2(2)

スタンバイ アドレスのサポートがこのコマンドに追加されました。

 
使用上のガイドライン

インターフェイス上で IPv6 アドレスを設定すると、IPv6 がそのインターフェイス上でイネーブルになります。IPv6 アドレスの指定後に ipv6 enable コマンドを使用する必要はありません。

ipv6 address autoconfig コマンドは、ステートレス自動設定を使用して、インターフェイス上で IPv6 アドレスの自動設定をイネーブルにするために使用されます。アドレスは、ルータ アドバタイズメント メッセージで受信されたプレフィクスに基づいて設定されます。リンクローカル アドレスが設定されていない場合は、このインターフェイス用に自動的に生成されます。そのリンクローカル アドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

ipv6 address eui-64 コマンドは、インターフェイスの IPv6 アドレスを設定するために使用されます。オプションの eui-64 が指定されている場合は、アドレスの下位 64 ビットに EUI-64 インターフェイス ID が使用されます。 prefix-length 引数に指定した値が 64 ビットより大きい場合は、プレフィクス ビットがインターフェイス ID よりも優先されます。指定したアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

Modified EUI-64 形式のインターフェイス ID は、リンク レイヤ アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することにより、48 ビット リンク レイヤ(MAC)アドレスから生成されます。選択したアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、高次バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスの 64 ビット インターフェイス ID は、02E0:B6FF:FE01:3B7A となります。

ipv6 address link-local コマンドは、インターフェイスの IPv6 リンクローカル アドレスの設定に使用されます。このコマンドで指定する ipv6-address は、インターフェイス用に自動的に生成されるリンクローカル アドレスより優先されます。リンクローカル アドレスは、リンクローカル プレフィクス FE80::/64 と、Modified EUI-64 形式のインターフェイス ID で構成されます。MAC アドレス 00E0.B601.3B7A のインターフェイスのリンクローカル アドレスは、FE80::2E0:B6FF:FE01:3B7A となります。指定したアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。

フェールオーバー設定では、 standby アドレスはセカンダリ デバイスまたはフェールオーバー グループ上のインターフェイスで使用されるアドレスを示します。フェールオーバー設定では、 autoconfig の使用はサポートされていません。 eui-64 キーワードを使用する場合、スタンバイ アドレスを指定する必要はありません。Modified EUI-64 形式のインターフェイス ID が自動的に使用されます。

トランスペアレント ファイアウォール モードでは、ファイアウォール インターフェイスにはグローバル コンフィギュレーション モードで、管理専用インターフェイスにはインターフェイス コンフィギュレーション モードで、 ipv6 address コマンドが使用できます。

次の例では、選択したインターフェイスのグローバル アドレスとして 3FFE:C00:0:1::576/64 を割り当てます。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 address 3ffe:c00:0:1::576/64
 

次の例では、選択したインターフェイスに IPv6 アドレスを自動的に割り当てます。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# ipv6 address autoconfig
 

次の例では、選択したインターフェイスに IPv6 アドレス 3FFE:C00:0:1::/64 を割り当て、アドレスの下位 64 ビットで EUI-64 インターフェイス ID を指定します。このデバイスがフェールオーバー ペアの片方である場合、 standby キーワードを指定する必要はありません。スタンバイ アドレスが Modified EUI-64 インターフェイス ID を使用して自動的に作成されます。

hostname(config)# interface gigabitethernet 0/2
hostname(onfig-if)# ipv6 address 3FFE:C00:0:1::/64 eui-64
 

次の例では、選択したインターフェイスのリンク レベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てます。

hostname(config)# interface gigabitethernet 0/3
hostname(config-if)# ipv6 address FE80::260:3EFF:FE11:6670 link-local
 

次の例では、選択したインターフェイスのグローバル アドレスとして 3FFE:C00:0:1::576/64 を、スタンバイ装置上の対応するインターフェイスのアドレスとして 3FFE:C00:0:1::575 を割り当てます。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 address 3ffe:c00:0:1::576/64 standby 3ffe:c00:0:1::575
 

次の例では、フェールオーバー ペアのプライマリ装置上の選択したインターフェイスのリンク レベル アドレスとして FE80::260:3EFF:FE11:6670 を、セカンダリ装置上の対応するインターフェイスのリンク レベル アドレスとして FE80::260:3EFF:FE11:6671 を指定します。

hostname(config)# interface gigabitethernet 0/3
hostname(config-if)# ipv6 address FE80::260:3EFF:FE11:6670 link-local standby FE80::260:3EFF:FE11:6671
 

 
関連コマンド

コマンド
説明

debug ipv6 interface

IPv6 インターフェイスのデバッグ情報を表示します。

show ipv6 interface

IPv6 用に設定されたインターフェイスのステータスを表示します。

ipv6 enable

明示的な IPv6 アドレスが設定されていない場合に IPv6 処理をイネーブルにするには、 ipv6 enable コマンドを使用します。明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 enable

no ipv6 enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IPv6 はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

ipv6 enable コマンドは、インターフェイス上で IPv6 リンクローカル ユニキャスト アドレスを自動的に設定し、インターフェイスの IPv6 処理をイネーブルにします。

no ipv6 enable コマンドは、明示的な IPv6 アドレスが指定されているインターフェイス上では IPv6 処理をディセーブルにしません。

次の例では、選択したインターフェイス上で IPv6 処理をイネーブルにします。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 enable
 

 
関連コマンド

コマンド
説明

ipv6 address

インターフェイスの IPv6 アドレスを設定し、そのインターフェイス上で IPv6 処理をイネーブルにします。

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 enforce-eui64

ローカルリンク上の IPv6 アドレスで Modified EUI-64 形式インターフェイス ID を強制的に使用するには、グローバル コンフィギュレーション モードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の強制をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 enforce-eui64 if_name

no ipv6 enforce-eui64 if_name

 
構文の説明

if_name

nameif コマンドで指定したとおりにインターフェイスの名前を指定し、そのインターフェイスの Modified EUI-64 アドレス形式の強制をイネーブルにします。

 
デフォルト

Modified EUI-64 形式の強制使用はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

このコマンドがインターフェイス上でイネーブルの場合、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスと照合され、インターフェイス ID に Modified EUI-64 形式が使用されていることが確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を使用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

%PIX|ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の確認は、フローが生成された場合に限り行われます。既存のフローからのパケットはチェックされません。また、アドレスの確認はローカル リンク上のホストに限り行われます。ルータの背後にあるホストから受信したパケットはアドレス形式の確認に失敗し、ドロップされます。その送信元 MAC アドレスが、ホストの MAC アドレスではなくルータの MAC アドレスとなるためです。

Modified EUI-64 形式のインターフェイス ID は、リンク レイヤ アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することにより、48 ビット リンク レイヤ(MAC)アドレスから生成されます。選択したアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、高次バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスの 64 ビット インターフェイス ID は、02E0:B6FF:FE01:3B7A となります。

次の例では、内部インターフェイスで受信した IPv6 アドレスに対する Modified EUI-64 形式の強制をイネーブルにします。

hostname(config)# ipv6 enforce-eui64 inside
 

 
関連コマンド

コマンド
説明

ipv6 address

インターフェイスの IPv6 アドレスを設定します。

ipv6 enable

インターフェイス上で IPv6 をイネーブルにします。

ipv6 icmp

インターフェイスの ICMP アクセス ルールを設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス ルールを削除するには、このコマンドの no 形式を使用します。

ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name

 
構文の説明

any

任意の IPv6 アドレスを指定するキーワード。IPv6 プレフィクス ::/0 の省略形。

deny

選択したインターフェイス上で、指定した ICMP トラフィックを拒否します。

host

アドレスが特定のホストを指すよう指定します。

icmp-type

アクセス ルールによってフィルタリングされる ICMP メッセージ タイプを指定します。値は、有効な ICMP タイプ番号(0 ~ 255)、または次の ICMP タイプ リテラルのいずれかを指定できます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

if-name

nameif コマンドで指定した、アクセス ルールの適用先となるインターフェイスの名前。

ipv6-address

ICMPv6 メッセージをインターフェイスに送信するホストの IPv6 アドレス。

ipv6-prefix

ICMPv6 メッセージをインターフェイスに送信する IPv6 ネットワーク。

permit

選択したインターフェイス上で、指定した ICMP トラフィックを許可します。

prefix-length

IPv6 プレフィクスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィクスのネットワーク部分を構成しているかを指定します。プレフィクスの長さの前に、スラッシュ(/)を入力する必要があります。

 
デフォルト

ICMP アクセス ルールが定義されていない場合、ICMP トラフィックはすべて許可されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

IPv6 機能の ICMP は、IPv4 の ICMP と同じです。ICMPv6 では、ICMP エコー要求メッセージおよび応答メッセージに類似した ICMP 宛先到達不能メッセージおよび情報メッセージなどのエラー メッセージが生成されます。さらに、IPv6 の ICMP パケットは IPv6 ネイバー探索処理およびパス MTU 探索に使用されます。

インターフェイスに ICMP ルールが定義されていない場合、IPv6 ICMP トラフィックはすべて許可されます。

インターフェイスに ICMP ルールが定義されている場合は、最初に一致したルールが処理され、それ以降のルールはすべて暗黙的に拒否されます。たとえば、最初に一致したルールが許可ルールの場合、その ICMP パケットは処理されます。最初に一致したルールが拒否ルールの場合や、ICMP パケットがそのインターフェイス上のどのルールにも一致しなかった場合、適応型セキュリティ アプライアンスはその ICMP パケットを廃棄し、syslog メッセージを生成します。

このため、ICMP ルールに入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否するルールを入力した後に、そのネットワーク上にある特定のホストからの ICMP トラフィックを許可するルールを入力した場合、そのホスト ルールは処理されません。ICMP トラフィックは、ネットワーク ルールによってブロックされます。ただし、ホスト ルールを入力してから、ネットワーク ルールを入力した場合、ホストの ICMP トラフィックは許可されますが、それ以外の当該ネットワークからの ICMP トラフィックはすべてブロックされます。

ipv6 icmp コマンドは、適応型セキュリティ アプライアンスのインターフェイスに着信する ICMP トラフィックのアクセス ルールを設定します。パススルー ICMP トラフィックのアクセス ルールを設定するには、 ipv6 access-list コマンドを参照してください。

次の例では、外部インターフェイスで、すべての ping 要求を拒否し、すべての Packet Too Big メッセージを許可します(パス MTU 探索をサポートするため)。

hostname(config)# ipv6 icmp deny any echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

次の例では、ホスト 2000:0:0:4::2 またはプレフィクス 2001::/64 上のホストに、外部インターフェイスへの ping を許可します。

hostname(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
hostname(config)# ipv6 icmp permit 2001::/64 echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

 
関連コマンド

コマンド
説明

ipv6 access-list

アクセス リストを設定します。

ipv6 local pool

リモート クライアントへのアドレスの割り当てに使用する IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses

no ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses

 
構文の説明

ipv6_address

設定する IPv6 アドレス プールを指定します。形式は x:x:x:: です。

number_of_addresses

範囲:1 ~ 16384。

pool_name

この IPv6 アドレス プールに割り当てる名前を指定します。

prefix_length

範囲:0 ~ 128。

 
デフォルト

デフォルトでは、IPv6 ローカル アドレス プールは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

IPv6 ローカル プールを割り当てるには、トンネル グループで ipv6-local-pool コマンドを使用するか、またはグループ ポリシーで ipv6-address-pools (「s」に注意)コマンドを使用します。グループ ポリシーの ipv6-address-pools 設定によって、トンネル グループの ipv6-address-pool 設定が上書きされます。

次の例では、config-general コンフィギュレーション モードに入り、firstipv6pool という IPv6 アドレス プールを、リモート クライアントへのアドレスの割り当てに使用するように設定します。

hostname(config)# ipv6 local pool firstipv6pool 2001:DB8::1001/32 100

hostname(config)#

 
関連コマンド

コマンド
説明

ipv6-address-pool

IPv6 アドレス プールを VPN トンネル グループ ポリシーに関連付けます。

ipv6-address-pools

IPv6 アドレス プールを VPN グループ ポリシーに関連付けます。

clear configure ipv6 local pool

設定済みの IPv6 ローカル プールをすべて消去します。

show running-config ipv6

IPv6 のコンフィギュレーションを表示します。

ipv6 nd dad attempts

重複アドレスの検出中にインターフェイス上で送信される連続的なネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信される重複アドレス検出メッセージの数をデフォルトに戻すには、このコマンドの no 形式を使用します。

ipv6 nd dad attempts value

no ipv6 nd dad [ attempts value ]

 
構文の説明

value

0 ~ 600 の数。0 を入力すると、指定したインターフェイス上で重複アドレス検出がディセーブルになります。1 を入力すると、後続の送信はなく、1 回だけ送信するように設定されます。デフォルト値は 1 つのメッセージです。

 
デフォルト

デフォルトの試行回数は 1 回です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。

管理上ダウン状態にあるインターフェイスでは、重複アドレス検出は一時停止されます。インターフェイスが管理上ダウン状態にある場合、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。

インターフェイスが管理上アップ状態に戻ると、インターフェイス上で重複アドレス検出が自動的に再開されます。管理上アップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスに対して重複アドレス検出が再開されます。


) インターフェイスのリンクローカル アドレスに対して重複アドレス検出が実行されている間、他の IPv6 アドレスは引き続き一時的な状態に設定されます。リンクローカル アドレスに対する重複アドレス検出が完了すると、残りの IPv6 アドレスに対して重複アドレス検出が実行されます。


重複アドレス検出によって重複アドレスが特定された場合、そのアドレスは状態が DUPLICATE に設定され、使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address FE80::1 on outside
 

重複アドレスがインターフェイスのグローバル アドレスの場合、そのアドレスは使用されなくなり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address 3000::4 on outside
 

重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定されたまま保持されますが、アドレスの状態は DUPLICATE に設定されます。

インターフェイスのリンクローカル アドレスが変更された場合は、新しいリンクローカル アドレスに対して重複アドレス検出が実行され、そのインターフェイスに関連付けられている他の IPv6 アドレスがすべて再生成されます(重複アドレス検出は新しいリンクローカル アドレスに対してのみ実行されます)。

次の例では、インターフェイスの一時的なユニキャスト IPv6 アドレスに対して重複アドレス検出が実行されている間に、5 つの連続したネイバー送信要求メッセージが送信されるように設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd dad attempts 5
 

次の例では、選択したインターフェイス上で重複アドレス検出をディセーブルにします。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# ipv6 nd dad attempts 0
 

 
関連コマンド

コマンド
説明

ipv6 nd ns-interval

インターフェイスで IPv6 ネイバー送信要求メッセージが送信される間隔を設定します。

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ns-interval

インターフェイス上で IPv6 ネイバー送信要求メッセージを再送信する間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ns-interval value

no ipv6 nd ns-interval [ value ]

 
構文の説明

value

IPv6 ネイバー送信要求メッセージの送信間隔(ミリ秒単位)。有効な値の範囲は 1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。

 
デフォルト

ネイバー送信要求メッセージの送信間隔は 1000 ミリ秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

この値は、このインターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。

次の例では、Gigabitethernet 0/0 に対して IPv6 ネイバー送信要求メッセージの送信間隔を 9000 ミリ秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ns-interval 9000
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd prefix

IPv6 ルータ アドバタイズメントに含める IPv6 プレフィクスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィクスを削除するには、このコマンドの no 形式を使用します。

ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]

no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]

 
構文の説明

at valid-date preferred-date

ライフタイムとプリファレンスが期限切れになる日付と時刻。プレフィクスは、指定した日付と時刻に到達するまで有効になります。有効期限の形式は、 date-valid-expire month-valid-expire hh:mm-valid-expire date-prefer-expire month-prefer-expire hh:mm-prefer-expire です。

default

デフォルト値が使用されます。

infinite

(任意)有効なライフタイムは期限切れになりません。

ipv6-prefix

ルータ アドバタイズメントに含める IPv6 ネットワーク番号。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

no-advertise

(任意)ローカル リンク上のホストに対して、指定したプレフィクスが IPv6 自動設定に使用されないことを示します。

no-autoconfig

(任意)ローカル リンク上のホストに対して、指定したプレフィクスが IPv6 自動設定に使用できないことを示します。

off-link

(任意)指定したプレフィクスがオンリンクの判別に使用されないことを示します。

preferred-lifetime

指定した IPv6 プレフィクスが優先されたものとしてアドバタイズされる時間(秒単位)。有効な値の範囲は、0 ~ 4294967295 秒です。最大値は無限を表します。infinite として指定することもできます。デフォルトは、604800(7 日)です。

prefix-length

IPv6 プレフィクスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィクスのネットワーク部分を構成しているかを指定します。プレフィクスの長さの前に、スラッシュ(/)を入力する必要があります。

valid-lifetime

指定した IPv6 プレフィクスが有効なものとしてアドバタイズされる時間。有効な値の範囲は、0 ~ 4294967295 秒です。最大値は無限を表します。 infinite として指定することもできます。デフォルトは、2592000(30 日)です。

 
デフォルト

IPv6 ルータ アドバタイズメントを発信するインターフェイス上で設定されたすべてのプレフィクスがアドバタイズされる場合、有効ライフタイム 2592000 秒(30 日)と優先ライフタイム 604800 秒(7 日)が使用され、「onlink」フラグと「autoconfig」フラグの両方が設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、プレフィクスをアドバタイズするかどうかなど、プレフィクスごとの個別のパラメータを制御できます。

デフォルトでは、 ipv6 address コマンドを使用してインターフェイス上のアドレスとして設定されたプレフィクスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメントのプレフィクスを設定すると、そのプレフィクスだけがアドバタイズされます。

default キーワードを使用すると、すべてのプレフィクスのデフォルト パラメータを設定できます。

日付を設定して、プレフィクスの有効期限を指定できます。有効ライフタイムと優先ライフタイムは、リアルタイムでカウントダウンされます。有効期限に到達すると、プレフィクスはアドバタイズされなくなります。

onlink が「オン」(デフォルト)の場合、指定したプレフィクスはリンクに割り当てられます。指定したプレフィクスを含むアドレスにトラフィックを送信するノードでは、宛先をリンク上でローカルに到達可能なものと見なします。

autoconfig が「オン」(デフォルト)の場合、ローカル リンク上のホストに対して、指定したプレフィクスが IPv6 自動設定に使用可能であることを示します。

次の例では、指定したインターフェイスから送信されるルータ アドバタイズメントに、IPv6 プレフィクス 2001:200::/35、有効ライフタイム 1000 秒、および優先ライフタイム 900 秒を含めます。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd prefix 2001:200::/35 1000 900
 

 
関連コマンド

コマンド
説明

ipv6 address

IPv6 アドレスを設定し、インターフェイス上で IPv6 処理をイネーブルにします。

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ra-interval

インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-interval [ msec ] value

no ipv6 nd ra-interval [[ msec ] value ]

 
構文の説明

msec

(任意)指定した値がミリ秒単位であることを示します。このキーワードがない場合、指定した値は秒単位となります。

value

IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は 3 ~ 1800 秒ですが、 msec キーワードが指定されている場合は 500 ~ 1800000 ミリ秒となります。デフォルトは 200 秒です。

 
デフォルト

200 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ipv6 nd ra-lifetime コマンドを使用して適応型セキュリティ アプライアンスをデフォルト ルータとして設定した場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードと同期させないようにするには、使用する実際の値を、指定した値の 20 % 以内でランダムに調整します。

次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントの送信間隔を 201 秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ra-interval 201
 

 
関連コマンド

コマンド
説明

ipv6 nd ra-lifetime

IPv6 ルータ アドバタイズメントのライフタイムを設定します。

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd ra-lifetime

インターフェイス上で IPv6 ルータ アドバタイズメントの「ルータ ライフタイム」値を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ipv6 nd ra-lifetime seconds

no ipv6 nd ra-lifetime [ seconds ]

 
構文の説明

seconds

このインターフェイスにおけるデフォルト ルータとしての適応型セキュリティ アプライアンスの有効期間。有効な値の範囲は、0 ~ 9000 秒です。デフォルトは 1800 秒です。0 は、適応型セキュリティ アプライアンスを選択したインターフェイス上のデフォルト ルータと見なさないことを示します。

 
デフォルト

1800 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

「ルータ ライフタイム」値は、インターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。この値は、このインターフェイスにおけるデフォルト ルータとしての適応型セキュリティ アプライアンスの有効期間を示します。

値を 0 以外の値に設定した場合、適応型セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なすことを示します。「ルータ ライフタイム」値を 0 以外の値に設定する場合は、ルータ アドバタイズメントの送信間隔より小さくしないでください。

値を 0 に設定した場合、適応型セキュリティ アプライアンスをこのインターフェイス上のデフォルト ルータと見なさないことを示します。

次の例では、選択したインターフェイスに対して IPv6 ルータ アドバタイズメントのライフタイムを 1801 秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd ra-lifetime 1801
 

 
関連コマンド

コマンド
説明

ipv6 nd ra-interval

インターフェイスで IPv6 ルータ アドバタイズメント メッセージが送信される時間間隔を設定します。

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd reachable-time

到達可能性の確認イベントが発生した後にリモート IPv6 ノードを到達可能と見なす時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルトの時間に戻すには、このコマンドの no 形式を使用します。

ipv6 nd reachable-time value

no ipv6 nd reachable-time [ value ]

 
構文の説明

value

リモート IPv6 ノードを到達可能と見なす時間(ミリ秒単位)。有効な値の範囲は、0 ~ 3600000 ミリ秒です。デフォルト値は 0 です。

value に 0 を設定した場合、到達可能な時間は不確定として送信されます。到達可能時間値の設定および追跡は、受信側のデバイスに依存します。

 
デフォルト

0 ミリ秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

時間を設定すると、使用不可能なネイバーを検出できます。時間を短く設定すると、使用不可能なネイバーをより迅速に検出できます。ただし、時間を短くするほど、IPv6 ネットワークの帯域幅の消費量と、IPv6 ネットワーク デバイスすべての処理リソースの消費量が増加します。通常の IPv6 動作において、設定時間を大幅に短くすることは推奨できません。

このコマンドを 0 に設定した場合に適応型セキュリティ アプライアンスで使用される実際の値を含んだ到達可能時間を確認するには、 show ipv6 interface コマンドを使用して、適用される ND 到達可能時間などの IPv6 インターフェイスの情報を表示します。

次の例では、選択したインターフェイスに対して IPv6 到達可能時間を 1700000 ミリ秒に設定します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd reachable-time 1700000
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 nd suppress-ra

LAN インターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにするには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイス上で IPv6 ルータ アドバタイズメントの送信を再度イネーブルにするには、このコマンドの no 形式を使用します。

ipv6 nd suppress-ra

no ipv6 nd suppress-ra

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IPv6 ユニキャスト ルーティングがイネーブルの場合は、LAN インターフェイス上でルータ アドバタイズメントが自動的に送信されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

LAN 以外のタイプのインターフェイス(たとえば、シリアル インターフェイスやトンネル インターフェイス)上で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。

次の例では、選択したインターフェイス上で IPv6 ルータ アドバタイズメントを送信しないようにします。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# ipv6 nd suppress-ra
 

 
関連コマンド

コマンド
説明

show ipv6 interface

IPv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

ipv6 neighbor

IPv6 ネイバー探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。ネイバー探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。

ipv6 neighbor ipv6_address if_name mac_address

no ipv6 neighbor ipv6_address if_name [ mac_address ]

 
構文の説明

if_name

nameif コマンドによって指定される内部インターフェイス名または外部インターフェイス名。

ipv6_address

ローカルのデータリンク アドレスに対応する IPv6 アドレス。

mac_address

ローカルのデータライン(ハードウェア MAC)アドレス。

 
デフォルト

スタティック エントリは IPv6 ネイバー探索キャッシュに設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

ipv6 neighbor コマンドは、 arp コマンドと類似しています。指定した IPv6 アドレスのエントリが(IPv6 ネイバー探索プロセスでラーニングされた)ネイバー探索キャッシュにすでに存在する場合、そのエントリはスタティック エントリに自動的に変換されます。 copy コマンドを使用してコンフィギュレーションを格納すると、これらのエントリがコンフィギュレーションに格納されます。

IPv6 ネイバー探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。

clear ipv6 neighbors コマンドは、スタティック エントリを除く IPv6 ネイバー探索キャッシュのすべてのエントリを削除します。 no ipv6 neighbor コマンドは、指定したスタティック エントリをネイバー探索キャッシュから削除します。このコマンドでは、ダイナミック エントリ(IPv6 ネイバー探索プロセスからラーニングされたエントリ)はキャッシュから削除されません。 no ipv6 enable コマンドを使用してインターフェイス上で IPv6 をディセーブルにすると、そのインターフェイスに設定された IPv6 ネイバー探索キャッシュのすべてのエントリが、スタティック エントリを除いて削除されます(エントリの状態は INCMP [Incomplete] に変更されます)。

IPv6 ネイバー探索キャッシュのスタティック エントリは、ネイバー探索プロセスによって変更されません。

次の例では、IPv6 アドレス 3001:1::45A および MAC アドレス 0002.7D1A.9472 の内部ホストのスタティック エントリをネイバー探索キャッシュに追加します。

hostname(config)# ipv6 neighbor 3001:1::45A inside 0002.7D1A.9472
 

 
関連コマンド

コマンド
説明

clear ipv6 neighbors

スタティック エントリを除く、IPv6 ネイバー探索キャッシュ内のすべてのエントリを削除します。

show ipv6 neighbor

IPv6 ネイバー キャッシュ情報を表示します。

ipv6 route

IPv6 ルーティング テーブルに IPv6 ルートを追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。

ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]

no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]

 
構文の説明

administrative-distance

(任意)ルートのアドミニストレーティブ ディスタンス。デフォルト値は 1 です。この場合、スタティック ルートは、接続ルートを除く他のあらゆるタイプのルートに優先します。

if_name

ルートの設定対象となるインターフェイスの名前。

ipv6-address

指定したネットワークに到達するために使用可能なネクストホップの IPv6 アドレス。

ipv6-prefix

スタティック ルートの宛先となる IPv6 ネットワーク。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

prefix-length

IPv6 プレフィクスの長さ。この値は、アドレスの高次の連続ビットのうち、何個がプレフィクスのネットワーク部分を構成しているかを指定します。プレフィクスの長さの前に、スラッシュ(/)を入力する必要があります。

tunneled

(任意)ルートを VPN トラフィックのデフォルト トンネル ゲートウェイとして指定します。

 
デフォルト

デフォルトでは、 administrative-distance は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.2(1)

トランスペアレント ファイアウォール モードのサポートが追加されました。

 
使用上のガイドライン

IPv6 ルーティング テーブルの内容を表示するには、 show ipv6 route コマンドを使用します。

標準のデフォルト ルートに加えて、トンネル トラフィック用に別のデフォルト ルートを定義できます。 tunneled オプションを使用してデフォルト ルートを作成すると、適応型セキュリティ アプライアンスに着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。

tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。

トンネル ルートの出力インターフェイスで、ユニキャスト RPF( ip verify reverse-path )をイネーブルにしないでください。トンネル ルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。

トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションでエラーが発生します。

VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、トンネル ルートでは使用しないでください。これらのインスペクション エンジンは、トンネル ルートを無視します。

tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。

次の例では、ネットワーク 7fff::0/32 に対するパケットを、アドミニストレーティブ ディスタンス 110 で、3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングします。

hostname(config)# ipv6 route inside 7fff::0/32 3FFE:1100:0:CC00::1 110
 

 
関連コマンド

コマンド
説明

debug ipv6 route

IPv6 ルーティング テーブル アップデートおよびルート キャッシュ アップデートのデバッグ メッセージを表示します。

show ipv6 route

IPv6 ルーティング テーブルの現在の内容を表示します。

ipv6-address-pool(トンネル グループ一般アトリビュート モード)

リモート クライアントにアドレスを割り当てるための IPv6 アドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで ipv6-address-pool コマンドを使用します。IPv6 アドレス プールを削除するには、このコマンドの no 形式を使用します。

ipv6-address-pool [( interface_name )] ipv6_address_pool1 [... ipv6_ address_pool6 ]

no ipv6-address-pool [( interface_name )] ipv6_ address_pool1 [... ipv6_ address_pool6 ]

 
構文の説明

interface_name

(任意)アドレス プールに使用するインターフェイスを指定します。

ipv6_ address_pool

ipv6 local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。

グループ ポリシーの ipv6-address-pools コマンドの IPv6 アドレス プールの設定により、トンネル グループの ipv6-address-pool コマンドの IPv6 アドレス プールの設定が上書きされます。

プールの指定順序は重要です。適応型セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

次の例では、config-tunnel-general コンフィギュレーション モードを開始し、IPSec リモートアクセス トンネル グループのテスト対象のリモート クライアントにアドレスを割り当てるための IPv6 アドレス プールのリストを指定します。

hostname(config)# tunnel-group test type remote-access
hostname(config)# tunnel-group test general-attributes
hostname(config-tunnel-general)# ipv6-address-pool (inside) ipv6addrpool1 ipv6addrpool2 ipv6addrpool3
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

ipv6-address-pools

グループ ポリシーの IPv6 アドレス プールの設定値を設定します。これらの設定値により、トンネル グループの設定値が上書きされます。

ipv6 local pool

VPN リモート アクセス トンネルに使用する IP アドレス プールを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group

トンネル グループを設定します。

ipv6-address-pools

リモート クライアントへのアドレスの割り当てに使用する、最大 6 つの IPv6 アドレス プールのリストを指定するには、グループ ポリシー アトリビュート コンフィギュレーション モードで ipv6- address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシー ソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]

no ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]

ipv6- address-pools none

no ipv6- address-pools none

 
構文の説明

ipv6_ address_pool

ipv6 local pool コマンドで設定した最大 6 つの IPv6 アドレス プールの名前を指定します。IPv6 アドレス プールの名前を区切るには、スペースを使用します。

none

IPv6 アドレス プールが何も設定されていないことを指定し、他のグループ ポリシー ソースからの継承をディセーブルにします。

value

アドレスの割り当てに使用する、最大 6 つの IPv6 アドレス プールを含むリストを指定します。

 
デフォルト

デフォルトでは、IPv6 アドレス プールのアトリビュートは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

IPv6 アドレス プールを設定するには、 ipv6 local pool コマンドを使用します。

ipv6-address-pools コマンドでプールの指定順序は重要です。適応型セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

ipv6- address-pools none コマンドは、このアトリビュートが DefaultGrpPolicy などの他のポリシー ソースから継承されることをディセーブルにします。 no ipv6-address-pools none コマンドは、コンフィギュレーションから ipv6-address-pools none コマンドを削除し、デフォルトの値(継承を許可)に戻します。

次の例では、config-general コンフィギュレーション モードを開始し、firstipv6pool という IPv6 アドレス プールをリモート クライアントへのアドレスの割り当てに使用するように設定し、そのプールを GroupPolicy1 に関連付けます。

hostname(config)# ipv6 local pool firstipv6pool 2001:DB8::1000/32 100
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# ipv6-address-pools value firstipv6pool
hostname(config-group-policy)#
 

 
関連コマンド

コマンド
説明

ipv6 local pool

VPN のグループ ポリシーで使用する IPv6 アドレス プールを設定します。

clear configure group-policy

設定されているすべてのグループ ポリシーをクリアします。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

ipv6-vpn-filter

VPN 接続に使用する ACL の名前を指定するには、グループ ポリシーまたはユーザ名モードで ipv6-vpn-filter コマンドを使用します。 ipv6-vpn-filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値が継承されないようにするには、 ipv6-vpn-filter none コマンドを使用します。

このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 ipv6-vpn-filter コマンドを使用して、これらの ACL を適用します。

ipv6-vpn-filter { value IPV6-ACL-NAME | none }

no ipv6-vpn-filter

 
構文の説明

none

アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。

value IPV6-ACL-NAME

事前に設定済みのアクセス リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

クライアントレス SSL VPN では、 ipv6-vpn-filter コマンドで定義された ACL は使用されません。

次の例では、FirstGroup という名前のグループ ポリシーの ipv6_acl_vpn という名前のアクセス リストを呼び出すフィルタを設定する方法を示しています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipv6-vpn-filter value ipv6_acl_vpn

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

isakmp am-disable

アグレッシブ モードの着信接続をディセーブルにするには、グローバル コンフィギュレーション モードで isakmp am-disable コマンドを使用します。アグレッシブ モードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。

isakmp am-disable

no isakmp am-disable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値はイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp am-disable コマンドに置き換えられました。

次に、グローバル コンフィギュレーション モードでの入力で、アグレッシブ モードの着信接続をディセーブルにする例を示します。

hostname(config)# isakmp am-disable
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp disconnect-notify

ピアに対する切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp disconnect-notify

no isakmp disconnect-notify

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp disconnect-notify コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

hostname(config)# isakmp disconnect-notify
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp enable

IPSec ピアが適応型セキュリティ アプライアンスと通信するインターフェイス上で ISAKMP ネゴシエーションをイネーブルにするには、グローバル コンフィギュレーション モードで isakmp enable コマンドを使用します。インターフェイスで ISAKMP をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp enable interface-name

no isakmp enable interface-name

 
構文の説明

interface-name

ISAKMP ネゴシエーションをイネーブルまたはディセーブルにするインターフェイスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp enable コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。

hostname(config)# no isakmp enable inside
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp identity

フェーズ 2 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

isakmp identity {address | hostname | key-id key-id-string | auto }

no isakmp identity {address | hostname | key-id key-id-string | auto }

 
構文の説明

address

ISAKMP の識別情報を交換するホストの IP アドレスを使用します。

auto

ISKMP ネゴシエーションを、接続タイプ(事前共有キーの IP アドレス、または証明書認証用の証明書 DN)によって判別します。

hostname

ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。

key-id key_id_string

リモート ピアが事前共有キーを検索するために使用する文字列を指定します。

 
デフォルト

デフォルトの ISAKMP ID は、 isakmp identity hostname です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp identity コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。

hostname(config)# isakmp identity auto
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp ikev1-user-authentication

IKE 中にハイブリッド認証を設定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで isakmp ikev1-user-authentication コマンドを使用します。ハイブリッド認証をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }

no isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }

 
構文の説明

hybrid

IKE の使用時にハイブリッド XAUTH 認証を指定します。

interface

(任意)ユーザ認証方式を設定するインターフェイスを指定します。

none

IKE の使用時にユーザ認証をディセーブルにします。

xauth

XAUTH(拡張ユーザ認証とも呼ばれる)を指定します。

 
デフォルト

デフォルトの認証方式は XAUTH(拡張ユーザ認証)です。デフォルトの interface はすべてのインターフェイスです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンス認証や、RADIUS、TACACS+、または SecurID といったリモート VPN ユーザ認証用の別の従来方式にデジタル証明書を使用する場合は、このコマンドを使用します。このコマンドは、IKE のフェーズ 1 を次の 2 つのステップに分け、それらのステップを合わせてハイブリッド認証と呼びます。

1. 適応型セキュリティ アプライアンスは、リモート VPN ユーザに対して標準の公開キー技術を使用して認証を行います。この認証により、単方向で認証される IKE セキュリティ アソシエーションが確立されます。

2. 次に、XAUTH 交換によってリモート VPN ユーザが認証されます。この拡張認証では、サポートされている従来の認証方式のいずれかが使用されます。


) 認証タイプをハイブリッドに設定するには、認証サーバを設定し、事前共有キーを作成して、トラストポイントを設定する必要があります。


オプションの interface パラメータを省略すると、コマンドはすべてのインターフェイスに適用され、インターフェイスごとにコマンドが指定されていない場合にバックアップとして機能します。トンネル グループに 2 つの isakmp ikev1-user-authentication コマンドを指定した場合、一方は interface パラメータを使用し、もう一方はそれを使用しません。インターフェイスを指定するコマンドは、その特定のインターフェイスに対して優先されます。

次のコマンド例では、example-group と呼ばれるトンネル グループの内部インターフェイスでハイブリッド XAUTH をイネーブルにします。

hostname(config)# tunnel-group example-group type ipsec-ra
hostname(config)# tunnel-group example-group ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp ikev1-user-authentication (inside) hybrid
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバを定義します。

pre-shared-key

IKE 接続をサポートする事前共有キーを作成します。

tunnel-group

IPSec、L2TP/IPSec、および WebVPN 接続に固有のレコードを含むデータベースを作成および管理します。

isakmp ipsec-over-tcp

IPSec over TCP をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp ipsec-over-tcp コマンドを使用します。IPSec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp ipsec-over-tcp [ port port1...port10 ]

no isakmp ipsec-over-tcp [ port port1...port10 ]

 
構文の説明

port port1...port10

(任意)デバイスが IPSec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号には 1 ~ 65535 の範囲の数値を指定できます。デフォルトのポート番号は 10000 です。

 
デフォルト

デフォルト値はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp ipsec-over-tcp コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、IPSec over TCP をポート 45 でイネーブルにします。

hostname(config)# isakmp ipsec-over-tcp port 45
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp keepalive

IKE DPD を設定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで isakmp keepalive コマンドを使用します。IKE キープアライブは、すべてのトンネル グループで、デフォルトのしきい値およびリトライ値を使用して、デフォルトでイネーブルになっています。キープアライブ パラメータを、デフォルトのしきい値およびリトライ値を使用してイネーブルに戻すには、このコマンドの no 形式を使用します。

isakmp keepalive [ threshold seconds ] [ retry seconds ] [ disable ]

no isakmp keepalive disable

 
構文の説明

disable

IKE キープアライブ処理(デフォルトではイネーブル)をディセーブルにします。

retry seconds

キープアライブ応答が受信されなくなった後のリトライの間隔を秒単位で指定します。指定できる範囲は 2 ~ 10 秒です。デフォルトは 2 秒です。

threshold seconds

キープアライブのモニタリングを開始するまで、ピアがアイドル状態を維持できる秒数を指定します。指定できる範囲は 10 ~ 3600 秒です。デフォルトは、LAN-to-LAN グループでは 10 秒、リモートアクセス グループでは 300 秒です。

 
デフォルト

リモートアクセス グループのデフォルトは、しきい値が 300 秒、リトライが 2 秒です。

LAN-to-LAN グループのデフォルトは、しきい値が 10 秒、リトライが 2 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモートアクセスおよび IPSec LAN-to-LAN トンネル グループ タイプのみに適用できます。

次の例では、config-ipsec コンフィギュレーション モードで、IP アドレス 209.165.200.225 を持つ IPSec LAN-to-LAN トンネル グループに対して、IKE DPD を設定し、しきい値を 15 に設定し、リトライ間隔を 10 に指定します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

isakmp nat-traversal

NAT トラバーサルをグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP がイネーブルになっていることを確認してから(イネーブルにするには isakmp enable コマンドを使用します)、 isakmp nat-traversal コマンドを使用します。NAT トラバーサルがイネーブルの場合、これをディセーブルにするには、このコマンドの no 形式を使用します。

isakmp nat-traversal natkeepalive

no isakmp nat-traversal natkeepalive

 
構文の説明

natkeepalive

NAT キープアライブ間隔を、10 ~ 3600 秒の範囲で設定します。デフォルトは 20 秒です。

 
デフォルト

デフォルトで、NAT トラバーサル( isakmp nat-traversal )はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp nat-traversal コマンドに置き換えられました。

 
使用上のガイドライン

Network Address Translation(NAT; ネットワーク アドレス変換)は、Port Address Translation(PAT; ポート アドレス変換)も含めて、IPSec も使用されている多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを問題なく通過することを妨げる非互換性が数多くあります。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。

適応型セキュリティ アプライアンスでは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおりに NAT トラバーサルをサポートしています。また、NAT トラバーサルは、ダイナミックとスタティックの両方の暗号マップについてサポートされています。

このコマンドは、適応型セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。暗号マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。

次の例では、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにしてから 30 秒間隔での NAT トラバーサルをイネーブルにします。

hostname(config)# isakmp enable
hostname(config)# isakmp nat-traversal 30

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy authentication

IKE ポリシー内の認証方式を指定するには、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。

isakmp policy priority authentication { crack | pre-share | rsa-sig }

 
構文の説明

crack

認証方式として、IKE Challenge/Response for Authenticated Cryptographic Keys(CRACK)を指定します。

pre-share

認証方式として事前共有キーを指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

rsa-sig

認証方式として RSA シグニチャを指定します。

RSA シグニチャにより、IKE ネゴシエーションに対して否認防止を実行できます。これは基本的に、ユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。

 
デフォルト

デフォルトの ISAKMP ポリシー認証は pre-share です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。7.0 で DSA-Sig が追加されました。

 
使用上のガイドライン

RSA シグニチャを指定する場合は、Certification Authority(CA; 認証局)から証明書を取得するように、適応型セキュリティ アプライアンスとそのピアを設定する必要があります。事前共有キーを指定する場合は、適応型セキュリティ アプライアンスとそのピア内に、事前共有キーを別々に設定する必要があります。

次の例は、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 の IKE ポリシー内で RSA シグニチャの認証方式を使用するように設定します。

hostname(config)# isakmp policy 40 authentication rsa-sig
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy encryption

IKE ポリシー内で使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

no isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }

 
構文の説明

3des

IKE ポリシーで、Triple DES 暗号化アルゴリズムを使用することを指定します。

aes

IKE ポリシーで使用する暗号化アルゴリズムが、128 ビット キーを使用する AES であることを指定します。

aes-192

IKE ポリシーで使用する暗号化アルゴリズムが、192 ビット キーを使用する AES であることを指定します。

aes-256

IKE ポリシーで使用する暗号化アルゴリズムが、256 ビット キーを使用する AES であることを指定します。

des

IKE ポリシーで使用する暗号化アルゴリズムが、56 ビット DES-CBC であることを指定します。

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

 
デフォルト

デフォルトの ISAKMP ポリシー暗号化は、 3des です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp policy encryption コマンドに置き換えられました。

次の例は、グローバル コンフィギュレーション モードで、 isakmp policy encryption コマンドを使用する方法を示しています。この例では、プライオリティ番号 25 を指定して IKE ポリシー内で 128 ビット キーの AES 暗号化アルゴリズムを使用するように設定します。

hostname(config)# isakmp policy 25 encryption aes
 

次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。

hostname(config)# isakmp policy 40 encryption 3des
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy group

IKE ポリシーの Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority group { 1 | 2 | 5 }

no isakmp policy priority group

 
構文の説明

group 1

IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。これがデフォルト値です。

group 2

IKE ポリシーで、1024 ビットの Diffie-Hellman グループ 2 を使用することを指定します。

group 5

IKE ポリシーで、1536 ビットの Diffie-Hellman グループ 5 を使用することを指定します。

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

 
デフォルト

デフォルトは group 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。group 7 が追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp policy group コマンドに置き換えられました。

8.0(4)

group 7 コマンド オプションは廃止されました。group 7 を設定しようとすると、エラー メッセージが生成され、代わりに group 5 が使用されます。

 
使用上のガイドライン

グループ オプションには、768 ビット(DH Group 1)、1024 ビット(DH Group 2)、および 1536 ビット(DH Group 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。


) Cisco VPN Client バージョン 3.x 以降では、isakmp policy で DH group 2 を設定する必要があります(DH group 1 を設定した場合、Cisco VPN Client は接続できません)。

AES は、VPN-3DES のライセンスがあるセキュリティ アプライアンスに限りサポートされます。AES が提供するキーのサイズは大きいため、ISAKMP ネゴシエーションでは、Diffie-Hellman(DH)グループ 1 または 2 ではなく、グループ 5 を使用する必要があります。この設定には、isakmp policy priority group 5 コマンドを使用します。


次の例は、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 の IKE ポリシーに対し、グループ 2、1024 ビットの Diffie Hellman を使用するように設定しています。

hostname(config)# isakmp policy 40 group 2
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy hash

IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority hash { md5 | sha }

no isakmp policy priority hash

 
構文の説明

md5

IKE ポリシーで使用するハッシュ アルゴリズムとして、MD5(HMAC バリアント)を指定します。

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

sha

IKE ポリシーで使用するハッシュ アルゴリズムとして、SHA-1(HMAC バリアント)を指定します。

 
デフォルト

デフォルトのハッシュ アルゴリズムは SHA-1(HMAC バリアント)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp policy hash コマンドに置き換えられました。

 
使用上のガイドライン

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。

次の例は、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 を指定して、IKE ポリシー内で MD5 ハッシュ アルゴリズムを使用するように設定します。

hostname(config)# isakmp policy 40 hash md5
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp policy lifetime

IKE セキュリティ アソシエーションの期限が満了するまでのライフタイムを指定するには、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用します。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority lifetime seconds

no isakmp policy priority lifetime

 
構文の説明

priority

Internet Key Exchange(IKE; インターネット キー エクスチェンジ)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

seconds

各セキュリティ アソシエーションが期限切れになるまでの秒数を指定します。有限のライフタイムを提示するには、120 ~ 2147483647 秒の整数を使用します。無限のライフタイムを提示するには、0 秒を使用します。

 
デフォルト

デフォルト値は 86,400 秒(1 日)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp policy lifetime コマンドに置き換えられました。

 
使用上のガイドライン

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。

ライフタイムを長くするほど、適応型セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨しますが、ピアがライフタイムを提示していなければ、無限のライフタイムを指定できます。


) IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。
次の例は、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用する方法を示しています。この例では、プライオリティ番号 40 を指定して IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。


この例では、グローバル コンフィギュレーション モードで、プライオリティ番号 40 を指定して IKE ポリシー内に IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。

hostname(config)# isakmp policy 40 lifetime 50400
 
 

次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。

hostname(config)# isakmp policy 40 lifetime 0
 

 
関連コマンド

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

isakmp reload-wait

すべてのアクティブなセッションが自主的に終了するまで待機してから適応型セキュリティ アプライアンスをリブートできるようにするには、グローバル コンフィギュレーション モードで isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずに適応型セキュリティ アプライアンスをリブートするには、このコマンドの no 形式を使用します。

isakmp reload-wait

no isakmp reload-wait

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

7.2(1)

このコマンドは非推奨のコマンドになりました。 crypto isakmp reload-wait コマンドに置き換えられました。

次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してから適応型セキュリティ アプライアンスをリブートするように設定します。

hostname(config)# isakmp reload-wait
 

 
関連コマンド

コマンド
説明

clear configure isakmp

すべての ISAKMP コンフィギュレーションをクリアします。

clear configure isakmp policy

すべての ISAKMP ポリシー コンフィギュレーションをクリアします。

clear isakmp sa

IKE ランタイム SA データベースをクリアします。

show running-config isakmp

アクティブなコンフィギュレーションをすべて表示します。

issuer

アサーションを SAML タイプの SSO サーバに送信するセキュリティ デバイスを指定するには、特定の SAML タイプ用の webvpn-sso-saml コンフィギュレーション モードで、 issuer コマンドを使用します。発行者名を削除するには、このコマンドの no 形式を使用します。

issuer identifier

no issuer [ identifier ]

 
構文の説明

identifier

セキュリティ デバイス名を指定します。通常は、デバイスのホスト名です。ID は、65 文字未満の英数字で指定する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn-sso-saml コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

次の例では、asa1.mycompany.com という名前のセキュリティ デバイスの発行者名を指定します。

hostname(config-webvpn)# sso server myhostname type saml-v1.1-post
hostname(config-webvpn-sso-saml# issuer asa1.example.com
hostname(config-webvpn-sso-saml#

 
関連コマンド

コマンド
説明

assertion-consumer-url

セキュリティ デバイスが SAML タイプ SSO サーバのアサーション コンシューマ サービスへの通信に使用する URL を指定します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

trustpoint

SAML タイプのブラウザ アサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

issuer-name

すべての発行済み証明書の発行者名 DN を指定するには、ローカル Certificate Authority(CA; 認証局)サーバ コンフィギュレーション モードで issuer-name コマンドを使用します。認証局の証明書からサブジェクト DN を削除するには、このコマンドの no 形式を使用します。

issuer-name DN-string

no issuer-name [ DN-string ]

 
構文の説明

DN-string

自己署名 CA 証明書のサブジェクト名 DN でもある、証明書の認定者名を指定します。アトリビュート値のペアを区切るにはカンマを使用します。カンマを含む値は、引用符で囲んでください。発行者名は、500 文字未満の英数字で指定する必要があります。

 
デフォルト

デフォルトの発行者名は、cn= hostame.domain-name (cn=asa.example.com など)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(1)

このコマンドが追加されました。

8.0(2)

DN-string 値にカンマを含めるための引用符のサポートが追加されました。

 
使用上のガイドライン

このコマンドは、このローカル CA サーバによって作成されたすべての証明書に表示される発行者名を指定します。発行者名をデフォルトの CA 名とは異なる名前にする場合、このオプションのコマンドを使用します。


) CA サーバをイネーブルにし、no shutdown コマンドを発行して証明書を生成すると、この発行者名コンフィギュレーションは変更できなくなります。


次の例では、証明書認証を設定します。

hostname(config)# crypto ca server
hostname(config-ca-server)# issuer-name cn=asa-ca.example.com,ou=Eng,o=Example,c="cisco systems, inc.”
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

keysize

証明書の登録で生成される公開キーと秘密キーのサイズを指定します。

flifetime

CA 証明書と発行済みの証明書のライフタイムを指定します。

show crypto ca server

ローカル CA の特性を表示します。

show crypto ca server cert-db

ローカル CA サーバ証明書を表示します。