Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
l2tp tunnel hello コマンド~ log-adj-changes コマンド
l2tp tunnel hello コマンド~ log-adj-changes コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

l2tp tunnel hello コマンド~ log-adj-changes コマンド

l2tp tunnel hello

ldap attribute-map

ldap-attribute-map(AAA サーバ ホスト モード)

ldap-base-dn

ldap-defaults

ldap-dn

ldap-group-base-dn

ldap-login-dn

ldap-login-password

ldap-naming-attribute

ldap-over-ssl

ldap-scope

leap-bypass

license-server address

license-server backup address

license-server backup backup-id

license-server backup enable

license-server enable

license-server port

license-server refresh-interval

license-server secret

lifetime(CA サーバ モード)

limit-resource

lmfactor

log

log-adj-changes

l2tp tunnel hello コマンド~ log-adj-changes コマンド

l2tp tunnel hello

L2TP over IPSec 接続で hello メッセージの間隔を指定するには、グローバル コンフィギュレーション モードで l2tp tunnel hello コマンドを使用します。間隔をデフォルトに戻すには、このコマンドの no 形式を使用します。

l2tp tunnel hello interval

no l2tp tunnel hello interval

 
構文の説明

interval

秒単位の hello メッセージの間隔。デフォルトは 60 秒です。指定できる範囲は 10 ~ 300 秒です。

 
デフォルト

デフォルトは 60 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

l2tp tunnel hello コマンドにより、適応型セキュリティ アプライアンスが L2TP 接続の物理層の問題を検出できるようになります。デフォルトは 60 秒です。より小さい値を設定すると、問題のある接続がより早く切断されます。

次に、hello メッセージの間隔を 30 秒に設定する例を示します。

hostname(config)# l2tp tunnel hello 30

 
関連コマンド

コマンド
説明

show vpn-sessiondbdetail remote filter protocol L2TPOverIPSec

L2TP 接続の詳細を表示します。

vpn-tunnel-protocol l2tp-ipsec

特定のトンネル グループに対して L2TP をトンネリング プロトコルとしてイネーブルにします。

ldap attribute-map

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために LDAP アトリビュート マップを作成して名前を付けるには、グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

ldap attribute-map map-name

no ldap attribute-map map-name

 
構文の説明

 
構文の説明構文の説明

map-name

LDAP アトリビュート マップのユーザ定義名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ldap attribute-map コマンドを使用すると、独自のアトリビュートの名前および値をシスコ アトリビュート名にマッピングできます。その後、作成されたアトリビュート マップを LDAP サーバにバインドできます。一般的な手順は次のとおりです。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていないアトリビュート マップを作成します。このコマンドは LDAP アトリビュート マップ モードを開始します。

2. LDAP アトリビュート マップ モードで map-name コマンドと map-value コマンドを使用し、アトリビュート マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、アトリビュート マップを LDAP サーバにバインドします。このコマンドには ldap の後にハイフンがありますので注意してください。


) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュート名と値の両方を理解し、さらにユーザ定義アトリビュート名と値を理解しておく必要があります。


次のコマンド例では、グローバル コンフィギュレーション モードを開始し、読み込みまたは LDAP サーバにバインドする前に myldapmap という LDAP アトリビュート マップを作成します。

hostname(config)# ldap attribute-map myldapmap
hostname(config-ldap-attribute-map)#

 
関連コマンド

コマンド
説明

ldap-attribute-map(AAA サーバ ホスト モード)

LDAP アトリビュート マップを LDAP サーバにバインドします。

map-name

ユーザ定義の LDAP アトリビュート名を、Cisco LDAP アトリビュート名にマッピングします。

map-value

ユーザ定義のアトリビュート値をシスコ アトリビュート名にマッピングします。

show running-config ldap attribute-map

実行中の特定の LDAP アトリビュート マップまたは実行中のすべてのアトリビュート マップを表示します。

clear configure ldap attribute-map

すべての LDAP アトリビュート マップを削除します。

ldap-attribute-map(AAA サーバ ホスト モード)

既存のマッピング設定を LDAP ホストにバインドするには、AAA サーバ ホスト コンフィギュレーション モードで ldap-attribute-map コマンドを実行します。バインドを削除するには、このコマンドの no 形式を使用します。

ldap-attribute-map map-name

no ldap-attribute-map map-name

 
構文の説明

 
構文の説明構文の説明

map-name

LDAP アトリビュート マッピング設定を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シスコ定義の LDAP アトリビュート名が使い勝手がよくないまたは他の要件を満たさない場合は、独自のアトリビュート名を作成し、シスコ アトリビュートにマッピングしてから、作成したアトリビュート設定を LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていないアトリビュート マップを作成します。このコマンドは LDAP アトリビュート マップ モードを開始します。このコマンドには「ldap」の後にハイフンがありませんので注意してください。

2. LDAP アトリビュート マップ モードで map-name および map-value コマンドを使用してアトリビュート マッピング設定を読み込みます。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用してアトリビュート マップ設定を LDAP サーバにバインドします。

次のコマンド例では、AAA サーバ ホスト コンフィギュレーション モードを開始し、既存の myldapmap というアトリビュート マップを ldapsvr1 という LDAP サーバにバインドします。

hostname(config)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# ldap-attribute-map myldapmap
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

map-name

ユーザ定義の LDAP アトリビュート名を、Cisco LDAP アトリビュート名にマッピングします。

map-value

ユーザ定義のアトリビュート値をシスコ アトリビュートにマッピングします。

show running-config ldap attribute-map

特定の実行 ldap アトリビュート マッピング設定またはすべての実行アトリビュート マッピング設定を表示します。

clear configure ldap attribute-map

すべての LDAP アトリビュート マップを削除します。

ldap-base-dn

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-base-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除、つまり一覧の先頭から検索するように戻すには、このコマンドの no 形式を使用します。

ldap-base-dn string

no ldap-base-dn

 
構文の説明

string

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定する、大文字と小文字が区別される最大 128 文字のストリング。たとえば、OU=Cisco。ストリングにスペースは使用できませんが、他の特殊文字は使用できます。

 
デフォルト

一覧の先頭から検索を開始します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このリリースで変更された既存のコマンドです。

 
使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。

次に、ホスト 1.2.3.4 上で srvgrp1 という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ベース DN を starthere として設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-base-dn starthere
hostname(config-aaa-server-host)# exit
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

ldap-scope

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定します。

ldap-naming-attribute

LDAP サーバ上のエントリを一意に識別する、1 つ以上の相対識別名アトリビュートを指定します。

ldap-login-dn

システムがバインドするディレクトリ オブジェクト名を指定します。

ldap-login-password

ログイン DN のパスワードを指定します。

ldap-defaults

LDAP デフォルト値を定義するには、crl 設定コンフィギュレーション モードで ldap-defaults コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。デフォルト値は LDAP サーバが要求する場合にのみ使用します。LDAP デフォルトなしを指定するには、このコマンドの no 形式を使用します。

ldap-defaults server [ port ]

no ldap-defaults

 
構文の説明

port

(任意)LDAP サーバ ポートを指定します。このパラメータが指定されていない場合、適応型セキュリティ アプライアンスは標準 LDAP ポート(389)を使用します。

server

LDAP サーバの IP アドレスまたはドメイン名を指定します。CRL 分散ポイント内にすでに存在する場合は、この値より優先されます。

 
デフォルト

デフォルト設定は設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl 設定コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、デフォルト ポート(389)上に LDAP デフォルト値を定義する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# ldap-defaults ldapdomain4 8389
 

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方法として LDAP を指定します。

ldap-dn

CRL 取得に認証が必要な LDAP サーバに X.500 識別名およびパスワードを渡すには、crl 設定コンフィギュレーション モードで ldap-dn コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバで必要な場合のみ使用されます。LDAP DN なしを指定するには、このコマンドの no 形式を使用します。

ldap-dn x.500-name password

no ldap-dn

 
構文の説明

password

この識別名のパスワードを定義します。最大のフィールドの長さは 128 文字です。

x.500-name

この CRL データベースにアクセスするディレクトリ パスを定義します。たとえば、cn=crl、ou=certs、o=CAName、c=US。最大のフィールドの長さは 128 文字です。

 
デフォルト

デフォルト設定は、オフです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl 設定コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central の X.500 の名前を CN=admin、OU=devtest、O=engineering、またパスワードを xxzzyy に指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# ldap-dn cn=admin,ou=devtest,o=engineering xxzzyy
 

 
関連コマンド

コマンド
説明

crl configure

crl 設定コンフィギュレーション モードを開始します。

crypto ca trustpoint

ca トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方法として LDAP を指定します。

ldap-group-base-dn

Dynamic Access Policy がグループ検索に使用する Active Directory 階層のベース グループを指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-group-base-dn コマンドを使用します。実行コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

ldap-group-base-dn [ string ]

no ldap-group-base-dn [ string ]

 
構文の説明

string

サーバが検索を開始する Active Directory 階層の位置を指定する、大文字と小文字が区別される最大 128 文字のストリング。たとえば、ou=Employees。ストリングにスペースは使用できませんが、他の特殊文字は使用できます。

 
デフォルト

デフォルトの動作や値はありません。グループ検索 DN を指定しない場合、検索はベース DN から開始されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

ldap-group-base-dn コマンドは、LDAP を使用する Active Directory サーバにのみ適用され、 show ad-groups コマンドがグループ検索を開始することに使用する Active Directory 階層レベルを指定します。検索により取得されたグループは、特定のポリシーの選択基準に従ってダイナミック グループ ポリシーにより使用されます。

次に、組織ユニット(ou)レベル Employees をグループ ベース DN の検索開始位置に設定する例を示します。

hostname(config-aaa-server-host)# ldap-group-base-dn ou=Employees

 
関連コマンド

コマンド
説明

group-search-timeout

グループのリストについて Active Directory サーバからの応答を適応型セキュリティ アプライアンスが待機する時間を調整します。

show ad-groups

Active Directory サーバ上でリストされるグループを表示します。

ldap-login-dn

システムがバインドするディレクトリ オブジェクト名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-login-dn コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。

ldap-login-dn string

no ldap-login-dn

 
構文の説明

string

LDAP 階層のディレクトリ オブジェクト名を指定する、大文字と小文字が区別される最大 128 文字のストリング。ストリングにスペースは使用できませんが、他の特殊文字は使用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。サポートされるストリングの最大の長さは、128 文字です。

Microsoft Active Directory サーバを含む LDAP サーバの一部では、他の LDAP 動作要求を受け入れる前に適応型セキュリティ アプライアンスが認証されたバインドを介してハンドシェイクを確立する必要があります。適応型セキュリティ アプライアンスは、Login DN フィールドをユーザ認証要求にアタッチすることで認証されたバインドに対して自身を識別します。Login DN フィールドは、適応型セキュリティ アプライアンスの認証特性を記述します。特性は、管理者特権を持つユーザの特性に対応している必要があります。

string 変数には、VPN コンセントレータ認証バインドのディレクトリ オブジェクト名を入力します。たとえば、cn=Administrator、cn=users、ou=people、dc=XYZ Corporation、dc=com。匿名アクセスに対しては、このフィールドを空欄のままにします。

次に、ホスト 1.2.3.4 上で svrgrp1 という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン DN を myobjectname として設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-login-dn myobjectname
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

ldap-base-dn

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定します。

ldap-login-password

ログイン DN のパスワードを指定します。このコマンドは LDAP サーバでのみ有効です。

ldap-naming-attribute

LDAP サーバ上のエントリを一意に識別する、1 つ以上の相対識別名アトリビュートを指定します。

ldap-scope

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定します。

ldap-login-password

LDAP サーバのログイン パスワードを指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-login-password コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。パスワード指定を削除するには、このコマンドの no 形式を使用します。

ldap-login-password string

no ldap-login-password

 
構文の説明

string

大文字と小文字が区別される最大 64 文字の長さの英数字パスワード。パスワードにスペースは含められません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。パスワード ストリングの最大の長さは、64 文字です。

次に、ホスト 1.2.3.4 上で srvgrp1 という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン パスワードを obscurepassword として設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server)# timeout 9
hostname(config-aaa-server)# retry 7
hostname(config-aaa-server)# ldap-login-password obscurepassword
hostname(config-aaa-server)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

ldap-base-dn

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定します。

ldap-login-dn

システムがバインドするディレクトリ オブジェクト名を指定します。

ldap-naming-attribute

LDAP サーバ上のエントリを一意に識別する、1 つ以上の相対識別名アトリビュートを指定します。

ldap-scope

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定します。

ldap-naming-attribute

相対識別名アトリビュートを指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-naming-attribute コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。

ldap-naming-attribute string

no ldap-naming-attribute

 
構文の説明

string

LDAP サーバ上のエントリを一意に識別する、大文字と小文字が区別される最大 128 文字の英数字から構成される相対識別名アトリビュート。ストリングにスペースは使用できませんが、他の特殊文字は使用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

LDAP サーバ上のエントリを一意に識別する、相対識別名アトリビュートを入力します。通常の命名アトリビュートは、通常名(cn)およびユーザ ID(uid)です。

このコマンドは LDAP サーバでのみ有効です。サポートされるストリングの最大の長さは、128 文字です。

次に、ホスト 1.2.3.4 上で srvgrp1 という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 命名アトリビュートを cn として設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-naming-attribute cn
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

ldap-base-dn

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定します。

ldap-login-dn

システムがバインドするディレクトリ オブジェクト名を指定します。

ldap-login-password

ログイン DN のパスワードを指定します。このコマンドは LDAP サーバでのみ有効です。

ldap-scope

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定します。

ldap-over-ssl

セキュアな SSL 接続を適応型セキュリティ アプライアンスと LDAP サーバの間で確立するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-over-ssl コマンドを使用します。接続で SSL をディセーブルにするには、このコマンドの no 形式を使用します。

ldap-over-ssl enable

no ldap-over-ssl enable

 
構文の説明

enable

SSL によって LDAP サーバへの接続がセキュアになるように指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、適応型セキュリティ アプライアンスと LDAP サーバ間の接続を SSL によってセキュアにすることを指定することに使用します。


) プレーン テキスト認証を使用している場合は、この機能をイネーブルにすることを推奨します。「sasl-mechanism」コマンドを参照してください


次のコマンドでは、AAA サーバ ホスト コンフィギュレーション モードを開始し、適応型セキュリティ アプライアンスと IP アドレス 10.10.0.1 の ldapsvr1 という LDAP サーバ間の接続で SSL をイネーブルにします。プレーン SASL 認証メカニズムも設定します。

hostname(config)# aaa-server ldapsvr1 protocol ldap
hostname(config-aaa-server-host)# aaa-server ldapsvr1 host 10.10.0.1
hostname(config-aaa-server-host)# ldap-over-ssl enable
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

sasl-mechanism

LDAP クライアントとサーバ間の SASL 認証を指定します。

server-type

LDAP サーバ ベンダーに Microsoft または Sun のいずれかを指定します。

ldap attribute-map(グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成して名前を付けます。

ldap-scope

サーバが認可要求を受信した場合に検索する LDAP 階層の範囲を指定するには、AAA サーバ ホスト コンフィギュレーション モードで ldap-scope コマンドを実行します。AAA サーバ ホスト コンフィギュレーション モードは、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。この指定を削除するには、このコマンドの no 形式を使用します。

ldap-scope scope

no ldap-scope

 
構文の説明

scope

サーバが認可要求を受信した場合に検索する LDAP 階層のレベル数。次の値が有効です。

onelevel :Base DN の 下の 1 レベルのみを検索します。

subtree :Base DN の 下のすべてのレベルを検索します。

 
デフォルト

デフォルト値は onelevel です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このリリースで変更された既存のコマンドです。

 
使用上のガイドライン

範囲に onelevel を指定すると、Base DN の下の 1 レベルのみが検索されるために検索が速くなります。 subtree を指定すると、Base DN の下のすべてのレベルが検索されるために遅くなります。

このコマンドは LDAP サーバでのみ有効です。

次に、ホスト 1.2.3.4 上で svrgrp1 という LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 範囲にサブツリー レベルを含めるように設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol ldap
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# ldap-scope subtree
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

ldap-base-dn

サーバが認可要求を受信した場合に検索を開始する LDAP 階層の位置を指定します。

ldap-login-dn

システムがバインドするディレクトリ オブジェクト名を指定します。

ldap-login-password

ログイン DN のパスワードを指定します。このコマンドは LDAP サーバでのみ有効です。

ldap-naming-attribute

LDAP サーバ上のエントリを一意に識別する、1 つ以上の相対識別名アトリビュートを指定します。

leap-bypass

LEAP Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで leap-bypass enable コマンドを使用します。LEAP Bypass をディセーブルにするには、 leap-bypass disable コマンドを使用します。実行コンフィギュレーションから LEAP Bypass アトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションにより、他のグループ ポリシーから LEAP Bypass に値を継承できます。

leap-bypass { enable | disable }

no leap-bypass

 
構文の説明

disable

LEAP Bypass をディセーブルにします。

enable

LEAP Bypass をイネーブルにします。

 
デフォルト

LEAP Bypass はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

イネーブルの場合、LEAP Bypass は VPN ハードウェア クライアントの背後のワイヤレス デバイスからの LEAP パケットがユーザ認証に先がけて VPN トンネルを通過することを許可します。これにより、シスコのワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、デバイスは再度ユーザ認証に従って認証できます。

この機能は、インタラクティブ ハードウェア クライアント認証をイネーブルにすると意図したとおりに動作しません。

詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。


) 未認証のトラフィックにトンネル通過を許可すると、セキュリティ リスクがある可能性があります。


次に、「FirstGroup」というグループ ポリシーに LEAP Bypass を設定する方法の例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# leap-bypass enable

 
関連コマンド

コマンド
説明

secure-unit-authentication

VPN ハードウェア クライアントに対して、クライアントがトンネルを開始するたびにユーザ名およびパスワードの認証を要求します。

user-authentication

VPN ハードウェア クライアントを使用しているユーザに対して、接続前に適応型セキュリティ アプライアンスに自身を識別することを要求します。

license-server address

参加者が使用する共有ライセンス サーバの IP アドレスおよび共有秘密を指定するには、グローバル コンフィギュレーション モードで license-server address コマンドを使用します。共有ライセンスへの参加をディセーブルにするには、このコマンドの no 形式を使用します。共有ライセンスを使用すると、多数の SSL VPN セッションの購入および適応型セキュリティ アプライアンスのグループ間で必要に応じてセッションを共有できます。共有には、適応型セキュリティ アプライアンスのうち 1 台を共有ライセンス サーバに、また残りを共有ライセンス参加者として設定します。

license-server address address secret secret [ port port ]

no license-server address [ address secret secret [ port port ]]

 
構文の説明

address

共有ライセンス サーバの IP アドレスを指定します。

port port

(任意) license-server port コマンドを使用してサーバ コンフィギュレーションのデフォルト ポートを変更した場合、バックアップ サーバのポートを 1 ~ 65535 の間で一致するように設定します。デフォルトのポートは 50554 です。

secret secret

共有秘密を指定します。秘密は、 license-server secret コマンドを使用してサーバに設定した秘密と一致させる必要があります。

 
コマンド デフォルト

デフォルトのポートは 50554 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

共有ライセンス参加者は、共有ライセンス参加キーを保持する必要があります。インストールされているライセンスを確認するには、 show activation-key コマンドを使用します。

各参加者に対して 1 つの共有ライセンス サーバのみを指定できます。

次に、共有ライセンスの動作手順を示します。

1. いずれの適応型セキュリティ アプライアンスを共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれの適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. (任意)別の適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。


) 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。


4. 共有ライセンスサーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. 適応型セキュリティ アプライアンスを参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。


) 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。


6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。


) 共有ライセンスサーバは、ローカル セッションを使い果たした場合に共有ライセンス プールに参加もできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。


) 適応型セキュリティ アプライアンスは、サーバと参加者間のすべての通信の暗号化に SSL を使用します。


参加者とサーバ間の通信問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。

参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。

24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。

参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

次に、ライセンス サーバの IP アドレスおよび共有秘密、ならびにバックアップ ライセンス サーバの IP アドレスの設定例を示します。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup address 10.1.1.2

 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server backup address

参加者が使用する共有ライセンス バックアップ サーバの IP アドレスを指定するには、グローバル コンフィギュレーション モードで license-server backup address コマンドを使用します。バックアップ サーバの使用をディセーブルにするには、このコマンドの no 形式を使用します。

license-server backup address address

no license-server address [ address ]

 
構文の説明

address

共有ライセンス バックアップ サーバの IP アドレスを指定します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

共有ライセンス バックアップ サーバでは、 license-server backup enable コマンドを設定する必要があります。

次に、ライセンス サーバの IP アドレスおよび共有秘密、ならびにバックアップ ライセンス サーバの IP アドレスの設定例を示します。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup address 10.1.1.2

 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server backup backup-id

メインの共有ライセンス サーバ コンフィギュレーションの共有ライセンス バックアップ サーバを指定するには、グローバル コンフィギュレーション モードで license-server backup backup-id コマンドを使用します。バックアップ サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

license-server backup address backup-id serial_number [ ha-backup-id ha_serial_number ]

no license-server backup address [ backup-id serial_number [ ha-backup-id ha_serial_number ]]

 
構文の説明

address

共有ライセンス バックアップ サーバの IP アドレスを指定します。

backup-id serial_number

共有ライセンス バックアップ サーバのシリアル番号を指定します。

ha-backup-id ha_serial_number

バックアップ サーバでフェールオーバーを使用する場合、セカンダリ共有ライセンス バックアップ サーバのシリアル番号を指定します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

バックアップ サーバ 1 台およびバックアップ サーバの任意のスタンバイ ユニットのみを指定できます。

バックアップ サーバのシリアル番号を表示するには、 show activation-key コマンドを入力します。

参加者がバックアップ サーバとなることをイネーブルにするには、 license-server backup enable コマンドを使用します。

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。critical レベルの syslog メッセージが 15 日目と再度 30 日目に送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。


) メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。


次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server backup enable

共有ライセンス バックアップ サーバになるこのユニットをイネーブルにするには、グローバル コンフィギュレーション モードで license-server backup enable コマンドを使用します。バックアップ サーバをディセーブルにするには、このコマンドの no 形式を使用します。

license-server backup enable interface_name

no license-server enable interface_name

 
構文の説明

interface_name

参加者がバックアップ サーバに接続するインターフェイスを指定します。このコマンドは必要なインターフェイスの数だけ繰り返せます。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

バックアップ サーバは、共有ライセンス参加キーを保持する必要があります。

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。critical レベルの syslog メッセージが 15 日目と再度 30 日目に送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。


) メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。


次に、ライセンス サーバおよび共有秘密を指定し、このユニットを inside インターフェイスおよび dmz インターフェイスでバックアップ共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server address 10.1.1.1 secret farscape

hostname(config)# license-server backup enable inside
hostname(config)# license-server backup enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server enable

このユニットを共有ライセンス サーバとして指定するには、グローバル コンフィギュレーション モードで license-server enable コマンドを使用します。共有ライセンス サーバをディセーブルにするには、このコマンドの no 形式を使用します。共有ライセンスを使用すると、多数の SSL VPN セッションの購入および適応型セキュリティ アプライアンスのグループ間で必要に応じてセッションを共有できます。共有には、適応型セキュリティ アプライアンスのうち 1 台を共有ライセンス サーバに、また残りを共有ライセンス参加者として設定します。

license-server enable interface_name

no license-server enable interface_name

 
構文の説明

interface_name

参加者がサーバにコンタクトするインターフェイスを指定します。このコマンドは必要なインターフェイスの数だけ繰り返せます。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

共有ライセンス サーバは、共有ライセンス サーバ キーを保持する必要があります。インストールされているライセンスを確認するには、 show activation-key コマンドを使用します。

次に、共有ライセンスの動作手順を示します。

1. いずれの適応型セキュリティ アプライアンスを共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれの適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. (任意)別の適応型セキュリティ アプライアンスを共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。


) 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。


4. 共有ライセンスサーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. 適応型セキュリティ アプライアンスを参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。


) 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。


6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。


) 共有ライセンスサーバは、ローカル セッションを使い果たした場合に共有ライセンス プールに参加もできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。


a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。


) 適応型セキュリティ アプライアンスは、サーバと参加者間のすべての通信の暗号化に SSL を使用します。


参加者とサーバ間の通信問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。

参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。

24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。

参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server port

共有ライセンス サーバが参加者からの SSL 接続をリッスンするポートを設定するには、グローバル コンフィギュレーション モードで license-server port コマンドを使用します。デフォルト ポートに戻すには、このコマンドの no 形式を使用します。

license-server port port

no license-server port [ port ]

 
構文の説明

seconds

サーバが参加者からの SSL 接続をリッスンするポートを 1 ~ 65535 の間で設定します。デフォルトは、TCP ポート 50554 です。

 
コマンド デフォルト

デフォルトのポートは 50554 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトからポートを変更する場合、 license-server address コマンドを使用して各参加者に対して同じポートを必ず設定します。

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server refresh-interval

共有ライセンス サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定するには、グローバル コンフィギュレーション モードで license-server refresh-interval コマンドを使用します。デフォルト更新間隔に戻すには、このコマンドの no 形式を使用します。

license-server refresh-interval seconds

no license-server refresh-interval [ seconds ]

 
構文の説明

seconds

更新間隔を 10 ~ 300 秒の間で設定します。デフォルトは 30 秒です。

 
コマンド デフォルト

デフォルトは 30 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

各参加者は定期的に SSL を使用して共有ライセンスサーバと通信します。これにより、共有ライセンスサーバは現在のライセンス使用状況を追跡し、ライセンス要求を受信して応答できます。

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server secret

共有秘密を共有ライセンス サーバに設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

license-server secret

共有ライセンス サーバに共有秘密を設定するには、グローバル コンフィギュレーション モードで license-server secret コマンドを使用します。秘密を削除するには、このコマンドの no 形式を使用します。

license-server secret secret

no license-server secret secret

 
構文の説明

secret

共有秘密を 4 ~ 128 文字の ASCII 文字列で設定します。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

license-server address コマンド内にこの秘密を指定している参加者であればいずれもライセンス サーバを使用できます。

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

hostname(config)# license-server secret farscape

hostname(config)# license-server refresh-interval 100
hostname(config)# license-server port 40000
hostname(config)# license-server backup 10.1.1.2 backup-id JMX0916L0Z4 ha-backup-id JMX1378N0W3
hostname(config)# license-server enable inside
hostname(config)# license-server enable dmz
 

 
関連コマンド

コマンド
説明

activation-key

ライセンス アクティベーション キーを入力します。

clear configure license-server

共有ライセンス サーバ コンフィギュレーションをクリアします。

clear shared license

共有ライセンス統計情報をクリアします。

license-server address

共有ライセンス サーバの IP アドレスと参加者の共有秘密を指定します。

license-server backup address

参加者の共有ライセンス バックアップ サーバを指定します。

license-server backup backup-id

メインの共有ライセンス サーバのバックアップ サーバの IP アドレスおよびシリアル番号を指定します。

license-server backup enable

共有ライセンス バックアップ サーバになるユニットをイネーブルにします。

license-server enable

共有ライセンス サーバになるユニットをイネーブルにします。

license-server port

サーバが参加者からの SSL 接続をリッスンするポートを設定します。

license-server refresh-interval

サーバと通信する頻度を設定するために参加者に提供される更新間隔を設定します。

show activation-key

インストールされている現在のライセンスを表示します。

show running-config license-server

共有ライセンス サーバ コンフィギュレーションを表示します。

show shared license

共有ライセンス統計情報を表示します。

show vpn-sessiondb

VPN セッションのライセンス情報を表示します。

lifetime(CA サーバ モード)

ローカル Certificate Authority(CA; 認証局)証明書、発行される各ユーザ証明書、または Certificate Revocation List(CRL; 証明書失効リスト)が有効な期間を指定するには、CA サーバ コンフィギュレーション モードで lifetime コマンドを使用します。ライフタイムをデフォルト設定に戻すには、このコマンドの no 形式を使用します。

lifetime {ca-certificate | certificate | crl} time

no lifetime {ca-certificate | certificate | crl}

 
構文の説明

ca-certificate

ローカル CA サーバ証明書のライフタイムを指定します。

certificate

CA サーバが発行するすべてのユーザ証明書のライフタイムを指定します。

crl

CRL のライフタイムを指定します。

time

CA 証明書およびすべての発行される証明書に対して、 time は証明書が有効な日数を指定します。有効な範囲は 1 ~ 3650 日です。

CRL に対して、 time は CRL が有効な時間数を指定します。CRL の有効な範囲は 1 ~ 720 時間です。

 
デフォルト

デフォルトのライフタイムは次のとおりです。

CA 証明書:3 年

発行される証明書:1 年

CRL:6 時間

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

証明書または CRL が有効な日数または時間数を指定することにより、このコマンドは証明書または CRL に含まれる有効期限を決定します。

次に、CA が 3 か月有効な証明書を発行するように設定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# lifetime certificate 90
hostname(config-ca-server))#
 

次に、CA が 2 日間有効な CRL を発行するように設定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# lifetime crl 48
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

cdp-url

Certificate revocation list Distribution Point(CDP; 証明書失効リスト分散ポイント)が CA 発行の証明書に含まれるように指定します。

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server crl issue

CRL を強制的に発行します。

show crypto ca server

ローカル CA 設定の詳細を ASCII テキストで表示します。

show crypto ca server cert-db

ローカル CA サーバ証明書を表示します。

show crypto ca server crl

ローカル CA の現在の CRL を表示します。

limit-resource

マルチ コンテキスト モードのクラスのリソース制限を指定するには、クラス コンフィギュレーション モードで limit-resource コマンドを使用します。制限をデフォルトに戻すには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

limit-resource { all 0 | [ rate ] resource_name number [ % ]}

no limit-resource { all | [ rate ] resource_name }

 
構文の説明

all 0

すべてのリソースの制限を無制限に設定します。

number [ % ]

リソース制限を 1 以上の固定値として指定する、または 1 ~ 100 の間のシステム制限の割合として指定します(パーセント記号(%)とともに使用された場合)。無制限のリソースを示すには、制限に 0 を設定します。システム制限のないリソースに対しては、割合(%)は設定できません。絶対値のみが設定できます。

rate

リソースに対して 1 秒あたりのレートを設定することを指定します。1 秒あたりのレートを設定できるリソースについては、 表 17-1 を参照してください。

resource_name

制限を設定するリソース名を指定します。この制限は、 all に設定した制限より優先されます。

 
デフォルト

すべてのリソースは無制限に設定されます。ただし、次の制限は例外で 1 コンテキストあたりの最大制限がデフォルトで設定されます。

Telnet セッション:5 セッション。

SSH セッション:5 セッション。

IPSec セッション:5 セッション。

MAC アドレス:65,535 エントリ。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

クラスのリソースを制限する場合、適応型セキュリティ アプライアンスはクラスに割り当てられた各コンテキストに対してリソースの一部を取っておきません。適応型セキュリティ アプライアンスは、コンテキストに対する最大制限を設定します。リソースをオーバーサブスクライブした場合、またはリソースの一部を無制限にする場合、少数のコンテキストがリソースを「使い果たす」可能性があり、他のコンテキストへのサービスに影響を与える場合があります。

表 17-1 に、リソース タイプおよび制限の一覧を示します。「 show resource types 」コマンドも参照してください。

 

表 17-1 リソースの名前と制限

リソース名
レートまたは同時接続数
コンテキストあたりの最小と最大数
システム制限1
説明

mac-addresses

同時接続数

該当なし

65,535

トランスペアレント ファイアウォール モードに対しては、MAC アドレス テーブル内で許可される MAC アドレス数。

conns

同時接続数またはレート

該当なし

同時接続:使用するプラットフォームの接続制限については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

レート:該当なし

1 台のホストと他の複数台のホスト間の接続を含む、任意の 2 台のホスト間の TCP または UDP 接続。

inspects

レート

該当なし

該当なし

アプリケーション インスペクション。

hosts

同時接続数

該当なし

該当なし

適応型セキュリティ アプライアンスを経由して接続できるホスト。

asdm

同時接続数

最小 1

最大 5

32

ASDM 管理セッション。

(注) ASDM セッションは 2 つの HTTPS 接続を使用します。1 つはモニタリング用で常に存在し、もう 1 つは設定変更用で変更をするときにのみ存在します。たとえば、32 の ASDM セッションのシステム制限は、64 の HTTPS セッションの制限を表します。

ssh

同時接続数

最小 1

最大 5

100

SSH セッション。

syslogs

レート

該当なし

該当なし

システム ログ メッセージ。

telnet

同時接続数

最小 1

最大 5

100

Telnet セッション。

xlates

同時接続数

該当なし

該当なし

アドレス変換。

1.このカラムの値が該当なしの場合、リソースに対するハード システム制限がないためリソースの割合は設定できません。

次に、接続のデフォルト クラスの制限に、無制限ではなく 10 % を設定する例を示します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のリソースはすべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

 
関連コマンド

コマンド
説明

class

リソース クラスを作成します。

context

セキュリティ コンテキストを設定します。

member

コンテキストをリソース クラスに割り当てます。

show resource allocation

リソースを各クラスにどのように割り当てたかを表示します。

show resource types

制限を設定できるリソース タイプを表示します。

lmfactor

最終更新タイムスタンプのみを持つキャッシング オブジェクトに再検証ポリシーを設定し、他のサーバ設定の有効期限値をなしに設定するには、キャッシュ コンフィギュレーション モードで lmfactor コマンドを実行します。このようなオブジェクトの再検証に新しいポリシーを設定するには、このコマンドを再度使用します。アトリビュートをデフォルト値の 20 に戻すには、このコマンドの no バージョンを入力します。

lmfactor value

no lmfactor

 
構文の説明

value

0 ~ 100 の範囲の整数。

 
デフォルト

デフォルト値は 20 です。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

キャッシュ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、lmfactor の値を使用してキャッシュ オブジェクトが変更されないと考えられる期間を推定します。これは有効期限として知られています。適応型セキュリティ アプライアンスは、最終更新からの経過時間に lmfactor をかけることにより有効期限を推定します。

lmfactor に 0 を設定すると即時の再検証を強制するのと同等となり、100 を設定すると再検証まで許容可能な最長時間となります。

次に、lmfactor に 30 を設定する方法の例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# lmfactor 30
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードを開始します。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシュをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

log

モジュラ ポリシー フレームワークを使用する場合に、 match コマンドまたはクラス マップに一致するパケットをログに記録するには、一致またはクラス コンフィギュレーション モードで log コマンドを使用します。このログ アクションは、アプリケーション トラフィックに対してインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用可能です。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

l og

no log

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match または class コマンドを入力してアプリケーション トラフィックを識別した後で( class コマンドは、さらに match コマンドを含んでいる既存の class-map type inspect コマンドを参照する)、 log コマンドを入力して match コマンドまたは class コマンドに一致するすべてのパケットのログを記録できます。

レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップと一致する場合にログを送信する例を示します。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

log-adj-changes

OSPF ネイバーが起動または停止した場合に、ルータが syslog メッセージを送信するように設定するには、ルータ コンフィギュレーション モードで log-adj-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。

log-adj-changes [ detail ]

no log-adj-changes [ detail ]

 
構文の説明

detail

(任意)ネイバーが起動または停止した場合だけではなく、ステートが変更されるたびに syslog メッセージを送信します。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

log-adj-changes コマンドは、デフォルトでイネーブルです。このコマンドの no 形式で削除しない限り、実行コンフィギュレーションに表示されます。

次に、OSPF ネイバーが起動または停止した場合の syslog メッセージの送信をディセーブルにする例を示します。

hostname(config)# router ospf 5
hostname(config-router)# no log-adj-changes
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。