Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
nac-policy コマンド~ override-svc-download コマンド
nac-policy コマンド~ override-svc-download コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

nac-policy コマンド~ override-svc-download コマンド

nac-policy

nac-settings

name

name(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

nameif

names

name-separator

name-server

nat(グローバル)

nat(オブジェクト)

nat(VPN ロード バランシング)

nat-rewrite

nbns-server(トンネル グループ webvpn アトリビュート モード)

nbns-server(webvpn モード)

neighbor

neighbor(EIGRP)

nem

network

network(EIGRP)

network-acl

network area

network-object

nop

nt-auth-domain-controller

ntp authenticate

ntp authentication-key

ntp server

ntp trusted-key

num-packets

object-group

object-group search

object network

object service

ocsp disable-nonce

ocsp url

onscreen-keyboard

ospf authentication

ospf authentication-key

ospf cost

ospf database-filter

ospf dead-interval

ospf hello-interval

ospf message-digest-key

ospf mtu-ignore

ospf network point-to-point non-broadcast

ospf priority

ospf retransmit-interval

ospf transmit-delay

otp expiration

outstanding

override-account-disable

override-svc-download

nac-policy コマンド~ override-svc-download コマンド

nac-policy

Cisco Network Admission Control(NAC)ポリシーを作成、またはこのポリシーにアクセスし、そのタイプを指定するには、グローバル コンフィギュレーション モードで nac-policy コマンドを使用します。コンフィギュレーションから NAC ポリシーを削除するには、このコマンドの no 形式を使用します。

nac-policy nac-policy-name nac-framework

[ no ] nac-policy nac-policy-name nac-framework

 
構文の説明

nac-policy-name

NAC ポリシーの名前。NAC ポリシーの名前にする最大 64 文字のストリングを入力します。 show running-config nac-policy コマンドは、セキュリティ アプライアンス上にすでに存在する各 NAC ポリシーの名前および設定を表示します。

nac-framework

NAC フレームワークを使用してリモート ホスト用のネットワーク アクセス ポリシーを提供することを指定します。適応型セキュリティ アプライアンスの NAC フレームワーク サービスを提供するネットワーク上には、Cisco Access Control Server が存在している必要があります。

このタイプを指定した場合、config--nac ポリシー nac フレームワーク コンフィギュレーション モードの状態にあることをプロンプトによって示されます。このモードでは、NAC フレームワーク ポリシーを設定できます。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

グループ ポリシーを割り当てる各 NAC アプライアンスに 1 回ずつこのコマンドを使用します。次に、 nac-settings コマンドを使用して、適切な各グループ ポリシーに NAC ポリシーを割り当てます。IPSec または Cisco AnyConnect VPN トンネルのセットアップ時に、適応型セキュリティ アプライアンスは、使用中のグループ ポリシーに関連付けられた NAC ポリシーを適用します。

NAC ポリシーが 1 つ以上のグループ ポリシーにすでに割り当てられている場合は、 no nac-policy name コマンドを使用して、NAC ポリシーを削除できません。

次のコマンドは、nac-framework1 という NAC フレームワーク ポリシーを作成してアクセスします。

hostname(config)# nac-policy nac-framework1 nac-framework
hostname(config-nac-policy-nac-framework)
 

次のコマンドは、nac-framework1 という NAC フレームワーク ポリシーを削除します。

hostname(config)# no nac-policy nac-framework1
hostname(config-nac-policy-nac-framework)
 

 
関連コマンド

コマンド
説明

show running-config nac-policy

適応型セキュリティ アプライアンス上の各 NAC ポリシーのコンフィギュレーションを表示します。

show nac-policy

適応型セキュリティ アプライアンスでの NAC ポリシー使用状況の統計情報を表示します。

clear nac-policy

NAC ポリシー使用状況の統計情報をリセットします。

nac-settings

NAC ポリシーをグループ ポリシーに割り当てます。

clear configure nac-policy

グループ ポリシーに割り当てられているものを除き、すべての NAC ポリシーを実行コンフィギュレーションから削除します。

nac-settings

NAC ポリシーをグループ ポリシーに割り当てるには、次のように、グループ ポリシー コンフィギュレーション モードで nac-settings コマンドを使用します。

nac-settings { value nac-policy-name | none }

[ no ] nac-settings { value nac-policy-name | none }

 
構文の説明

nac-policy-name

グループ ポリシーに割り当てる NAC ポリシー。指定する NAC ポリシーは、適応型セキュリティ アプライアンスのコンフィギュレーションに存在している必要があります。 show running-config nac-policy コマンドは、各 NAC ポリシーの名前および設定を表示します。

none

グループ ポリシーから nac-policy-name を削除し、このグループ ポリシーの NAC ポリシーの使用をディセーブルにします。グループ ポリシーは、デフォルト グループ ポリシーから nac-settings 値を継承しません。

value

指定する NAC ポリシーをグループ ポリシーに割り当てます。

 
デフォルト

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

nac-policy コマンドを使用して、NAC ポリシーの名前およびタイプを指定してから、このコマンドを使用してそのポリシーをグループ ポリシーに割り当てます。

show running-config nac-policy コマンドは、各 NAC ポリシーの名前および設定を表示します。

NAC ポリシーをグループ ポリシーに割り当てると、適応型セキュリティ アプライアンスは、そのグループ ポリシーに対する NAC を自動的にイネーブルにします。

次のコマンドは、グループ ポリシーから nac-policy-name を削除します。グループ ポリシーは、デフォルト グループ ポリシーから nac-settings 値を継承します。

hostname(config-group-policy)# no nac-settings
hostname(config-group-policy)
 

次のコマンドは、グループ ポリシーから nac-policy-name を削除し、このグループ ポリシーの NAC ポリシーの使用をディセーブルにします。グループ ポリシーは、デフォルト グループ ポリシーから nac-settings 値を継承しません。

hostname(config-group-policy)# nac-settings none
hostname(config-group-policy)
 

 
関連コマンド

コマンド
説明

nac-policy

Cisco NAC ポリシーを作成してアクセスし、そのタイプを指定します。

show running-config nac-policy

適応型セキュリティ アプライアンス上の各 NAC ポリシーのコンフィギュレーションを表示します。

show nac-policy

適応型セキュリティ アプライアンスでの NAC ポリシー使用状況の統計情報を表示します。

show vpn-session_summary.db

IPSec セッション、WebVPN セッション、および NAC セッションの数を表示します。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

name

名前を IP アドレスに関連付けるには、グローバル コンフィギュレーション モードで name コマンドを使用します。テキストの名前の使用をディセーブルにするだけで、コンフィギュレーションからは削除しないようにするには、このコマンドの no 形式を使用します。

name ip_address name [description text]]

no name ip_address [ name [description text ]]

 
構文の説明

description

(任意)IP アドレスの名前について、説明を入力します。

ip_address

名前を付けるホストの IP アドレスを指定します。

name

IP アドレスに割り当てる名前を指定します。a ~ z、A ~ Z、0 ~ 9、ダッシュ、およびアンダースコアの文字を使用します。 name は、63 文字以下にする必要があります。また、 name を数字で始めることはできません。

text

説明のテキストを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.0(4)

オプションの説明を含めるため、このコマンドが拡張されました。

8.3(1)

nat コマンドまたは access-list コマンドでは、名前付き IP アドレスを使用できなくなりました。代わりに、 object network names を使用する必要があります。オブジェクト グループ内の network-object コマンドは、 object network names を受け入れますが、これまでと同様に name コマンドで指定した名前付き IP アドレスも使用できます。

 
使用上のガイドライン

名前と IP アドレスの関連付けをイネーブルにするには、 names コマンドを使用します。IP アドレスに関連付けできる名前は 1 つだけです。

最初に names コマンドを使用した後、 name コマンドを使用する必要があります。names コマンドを使用した直後、 write memory コマンドを使用する前に name コマンドを使用します。

name コマンドを使用して、ホストをテキストの名前で指定し、テキスト ストリングを IP アドレスにマップできます。 no name コマンドにより、テキストの名前の使用をディセーブルにしても、コンフィギュレーションからは削除しないようにすることができます。 clear configure name コマンドを使用して、コンフィギュレーションから名前のリストをクリアします。

name 値の表示をディセーブルにするには、 no names コマンドを使用します。

コンフィギュレーションには name と names の両方のコマンドが保存されます。

name コマンドでは、ネットワーク マスクへの名前の割り当てをサポートしていません。たとえば、次のコマンドは拒否されます。

hostname(config)# name 255.255.255.0 class-C-mask

) マスクが要求されるコマンドはいずれも、受け入れたネットワーク マスクとして名前を処理できません。


次に、 names コマンドにより、 name コマンドの使用をイネーブルにできる例を示します。 name コマンドは、192.168.42.3 への参照の代わりに sa_inside を、209.165.201.3 への参照の代わりに sa_outside を使用します。IP アドレスをネットワーク インターフェイスに割り当てる際に、これらの名前を ip address コマンドとともに使用できます。 no names コマンドは、 name コマンドの値の表示をディセーブルにします。その後、 names コマンドを再度使用すると、 name コマンドの値の表示が元に戻ります。

hostname(config)# names
hostname(config)# name 192.168.42.3 sa_inside
hostname(config)# name 209.165.201.3 sa_outside
 
hostname(config-if)# ip address inside sa_inside 255.255.255.0
hostname(config-if)# ip address outside sa_outside 255.255.255.224
 
hostname(config)# show ip address
System IP Addresses:
inside ip address sa_inside mask 255.255.255.0
outside ip address sa_outside mask 255.255.255.224
 
hostname(config)# no names
hostname(config)# show ip address
System IP Addresses:
inside ip address 192.168.42.3 mask 255.255.255.0
outside ip address 209.165.201.3 mask 255.255.255.224
 
hostname(config)# names
hostname(config)# show ip address
System IP Addresses:
inside ip address sa_inside mask 255.255.255.0
outside ip address sa_outside mask 255.255.255.224

 
関連コマンド

コマンド
説明

clear configure name

コンフィギュレーションから名前のリストをクリアします。

names

名前と IP アドレスの関連付けをイネーブルにします。

show running-config name

IP アドレスに関連付けられた名前を表示します。

name(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

ボットネット トラフィック フィルタのブラックリストまたはホワイトリストにドメイン名を追加するには、ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション モードで name コマンドを使用します。名前を削除するには、このコマンドの no 形式を使用します。スタティック データベースを使用すると、ホワイトリストまたはブラックリストに追加するドメイン名または IP アドレスでダイナミック データベースを増強できます。

name domain_name

no name domain_name

 
構文の説明

domain_name

ブラックリストに名前を追加します。このコマンドは、複数のエントリに対して複数回入力できます。最大 1000 個のブラックリスト エントリを追加できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック フィルタ ホワイトリストまたはブラックリスト コンフィギュレーション モードを開始した後、 address コマンドおよび name コマンドを使用して、適切な名前としてホワイトリストに、または不適切な名前としてブラックリストにタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動で入力できます。

このコマンドは、複数のエントリに対して複数回入力できます。最大 1000 個のブラックリスト エントリと、最大 1000 個のホワイトリスト エントリを追加できます。

スタティック データベースにドメイン名を追加すると、適応型セキュリティ アプライアンスは 1 分待機してから、そのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスのペアを DNS ホスト キャッシュ に追加します(この処理はバックグランドで行われます。この処理による影響を受けることなく、適応型セキュリティ アプライアンスの設定を継続できます)。

適応型セキュリティ アプライアンスにドメイン ネーム サーバが設定されていない、または使用できない場合は、その他の手段としてボットネット トラフィック フィルタ スヌーピングを使用する DNS パケットをイネーブルにできます( inspect dns dynamic-filter-snooping コマンドを参照)。DNS スヌーピングを使用すると、感染したホストがスタティック データベースに存在する名前の DNS 要求を送信した場合に、適応型セキュリティ アプライアンスは、DNS パケット内のドメイン名と関連 IP アドレスを検索し、その名前と IP アドレスを DNS 逆ルックアップ キャッシュに追加します。DNS 逆ルックアップ キャッシュについては、 inspect dns dynamic-filter-snooping コマンドを参照してください。

DNS ホスト キャッシュのエントリは、DNS サーバによって提供される Time to Live(TTL; 存続可能時間)値を持ちます。最大許容 TTL 値は 1 日(24 時間)です。DNS サーバがそれより長い TTL を指定する場合は、最大の 1 日に切り捨てられます。

DNS ホスト キャッシュの場合、エントリのタイムアウト後、適応型セキュリティ アプライアンスは定期的にエントリの更新を要求します。

次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

nameif

インターフェイスの名前を指定するには、インターフェイス コンフィギュレーション モードで nameif コマンドを使用します。名前を削除するには、このコマンドの no 形式を使用します。インターフェイス名は、適応型セキュリティ アプライアンスのすべてのコンフィギュレーション コマンドで、インターフェイス タイプおよびインターフェイス ID(gigabitethernet0/1 など)の代わりに使用されます。このため、トラフィックがインターフェイスを通過できるようにするには、あらかじめインターフェイス名が必要です。

nameif name

no nameif

 
構文の説明

name

最大 48 文字の名前を設定します。名前では、大文字と小文字は区別されません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モード コマンドに変更されました。

 
使用上のガイドライン

サブインターフェイスでは、 nameif コマンドを入力する前に、 vlan コマンドを使用して VLAN を割り当てる必要があります。

新しい値を指定してこのコマンドを再度入力して、名前を変更できます。 no 形式では入力しないでください。この形式でコマンドを使用すると、その名前を参照するすべてのコマンドが削除されるためです。

次の例では、2 つのインターフェイスの名前を「inside」および「outside」として設定します。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet0/0
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear xlate

既存の接続に対するすべての変換をリセットして、その結果として接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

security-level

インターフェイスのセキュリティ レベルを設定します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

names

名前と IP アドレスの関連付けをイネーブルにするには、グローバル コンフィギュレーション モードで names コマンドを使用します。IP アドレスに関連付けできる名前は 1 つだけです。 name 値の表示をディセーブルにするには、 no names コマンドを使用します。

names

no names

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

名前と IP アドレスの関連付けをイネーブルにするには、 names コマンドを使用します。IP アドレスに関連付けできる名前は 1 つだけです。

最初に names コマンドを使用した後、 name コマンドを使用する必要があります。names コマンドを使用した直後、 write memory コマンドを使用する前に name コマンドを使用します。

name 値の表示をディセーブルにするには、 no names コマンドを使用します。

コンフィギュレーションには name と names の両方のコマンドが保存されます。

次に、 names コマンドにより、 name コマンドの使用をイネーブルにできる例を示します。 name コマンドは、192.168.42.3 への参照の代わりに sa_inside を、209.165.201.3 への参照の代わりに sa_outside を使用します。IP アドレスをネットワーク インターフェイスに割り当てる際に、これらの名前を ip address コマンドとともに使用できます。 no names コマンドは、 name コマンドの値の表示をディセーブルにします。その後、 names コマンドを再度使用すると、 name コマンドの値の表示が元に戻ります。

hostname(config)# names
hostname(config)# name 192.168.42.3 sa_inside
hostname(config)# name 209.165.201.3 sa_outside
 
hostname(config-if)# ip address inside sa_inside 255.255.255.0
hostname(config-if)# ip address outside sa_outside 255.255.255.224
 
hostname(config)# show ip address
System IP Addresses:
inside ip address sa_inside mask 255.255.255.0
outside ip address sa_outside mask 255.255.255.224
 
hostname(config)# no names
hostname(config)# show ip address
System IP Addresses:
inside ip address 192.168.42.3 mask 255.255.255.0
outside ip address 209.165.201.3 mask 255.255.255.224
 
hostname(config)# names
hostname(config)# show ip address
System IP Addresses:
inside ip address sa_inside mask 255.255.255.0
outside ip address sa_outside mask 255.255.255.224
 

 
関連コマンド

コマンド
説明

clear configure name

コンフィギュレーションから名前のリストをクリアします。

name

名前を IP アドレスに関連付けます。

show running-config name

IP アドレスに関連付けられた名前のリストを表示します。

show running-config names

IP アドレスと名前の変換を表示します。

name-separator

電子メールのユーザ名/パスワードと VPN のユーザ名/パスワードのデリミタとして文字を指定するには、適切な電子メール プロキシ モードで name-separator コマンドを使用します。デフォルトの「:」に戻すには、このコマンドの no バージョンを使用します。

name-separator [ symbol ]

no name-separator

 
構文の説明

symbol

(任意)電子メールのユーザ名/パスワードと VPN のユーザ名/パスワードの区切り文字。「@」(アットマーク)、「|」(パイプ)、「:」(コロン)、「#」(ハッシュ)、「,」(カンマ)、および「;」(セミコロン)から選択します。

 
デフォルト

デフォルトは「:」(コロン)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

pop3s

--

--

--

Imap4s

--

--

--

Smtps

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

名前の区切り文字は、サーバの区切り文字とは異なる必要があります。

次に、POP3S で名前の区切り文字としてハッシュ(#)を設定する例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# name-separator #

 
関連コマンド

コマンド
説明

server-separator

電子メールおよびサーバの名前を区切ります。

name-server

1 つ以上の DNS サーバを指定するには、DNS サーバ グループ コンフィギュレーション モードで name-server コマンドを使用します。1 つ以上のサーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは DNS を使用して、SSL VPN 設定または証明書設定内のサーバ名を解決します(サポートされるコマンドのリストについては、「使用上のガイドライン」を参照してください)。サーバ名を定義するその他の機能(AAA など)は、DNS 解決をサポートしていません。IP アドレスを入力するか、または手動で name コマンドを使用して名前を IP アドレスに解決する必要があります。

name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]

no name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]

 
構文の説明

ip_address

DNS サーバの IP アドレスを指定します。別々のコマンドとして最大 6 個のアドレスを指定することも、便宜的に 1 つのコマンドで、最大 6 個のアドレスをスペースで区切って指定することもできます。1 つのコマンドに複数のサーバを入力すると、適応型セキュリティ アプライアンスは、コンフィギュレーションに別々のコマンドで各サーバを保存します。適応型セキュリティ アプライアンスは、応答を受信するまで、各 DNS サーバを順番に試します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DNS サーバ グループ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

DNS ルックアップをイネーブルにするには、DNS サーバ グループ コンフィギュレーション モードで domain-name コマンドを設定します。DNS ルックアップをイネーブルにしない場合は、DNS サーバを使用しません。

DNS 解決をサポートする SSL VPN コマンドは、次のとおりです。

server(pop3s)

server(imap4s)

server(smtps)

port-forward

url-list

DNS 解決をサポートする証明書コマンドは、次のとおりです。

enrollment url

url

name コマンドを使用して、名前および IP アドレスを手動で入力できます。

次の例では、3 つの DNS サーバを「dnsgroup1」のグループに追加します。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# name-server 10.1.1.1 10.2.3.4 192.168.5.5
 

適応型セキュリティ アプライアンスは、次のように、別々のコマンドとしてコンフィギュレーションを保存します。

name-server 10.1.1.1
name-server 10.2.3.4
name-server 192.168.5.5
 

さらに 2 つのサーバを追加するには、それらのサーバを 1 つのコマンドとして入力できます。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# name-server 10.5.1.1 10.8.3.8
 

DNS サーバ グループ コンフィギュレーションを確認するには、グローバル コンフィギュレーション モードで show running-config dns コマンドを入力します。

hostname(config)# show running-config dns
name-server 10.1.1.1
name-server 10.2.3.4
name-server 192.168.5.5
name-server 10.5.1.1
name-server 10.8.3.8
...
 

または、それらのサーバを 2 つの別々のコマンドとしても入力できます。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# name-server 10.5.1.1
hostname(config)# name-server 10.8.3.8
 

複数のサーバを削除するには、それらのサーバを複数のコマンドとして入力することも、次のように 1 つのコマンドで入力することもできます。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# no name-server 10.5.1.1 10.8.3.8
 

 
関連コマンド

コマンド
説明

domain-name

デフォルトのドメイン名を設定します。

retries

適応型セキュリティ アプライアンスが応答を受信しないときに、DNS サーバのリストを再試行する回数を指定します。

timeout

次の DNS サーバを試行するまでに待機する時間を指定します。

show running-config dns server-group

既存の DNS サーバ グループ コンフィギュレーションのうちの 1 つまたはすべてを表示します。

nat(グローバル)

Twice NAT を設定するには、グローバル コンフィギュレーション モードで nat コマンドを使用します。Twice NAT コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

スタティック NAT の場合:

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source static { real_obj | any } { mapped_obj | interface | any }}
[ destination static { mapped_obj | interface } { real_obj | any }]
[ service { real_src_mapped_dest_svc_obj | any } mapped_src_real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

no nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source static { real_obj | any } { mapped_obj | interface | any }}
[ destination static { mapped_obj | interface } { real_obj | any }]
[ service { real_src_mapped_dest_svc_obj | any } mapped_src_real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

ダイナミック NAT の場合:

nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source dynamic { real_obj | any } { mapped_obj [ interface ] | interface }
[ destination static { mapped_obj | interface } { real_obj | any }]
[ service { mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

no nat [ ( real_ifc , mapped_ifc ) ] [ line | { after-object [ line ]}]
source dynamic { real_obj | any } { mapped_obj [ interface ] | interface }
[ destination static { mapped_obj | interface } { real_obj | any }]
[ service { mapped_dest_svc_obj real_dest_svc_obj ] [ dns ] [ unidirectional ] [ inactive ] [ description desc ]

または

no nat { line | after-auto line }

 
構文の説明

( real_ifc , mapped_ifc )

(任意)実際のインターフェイスおよびマッピング インターフェイスを指定します。実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。インターフェイスのいずれかまたは両方に any キーワードも指定できます。トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。 any は使用できません。

Twice NAT は送信元アドレスと宛先アドレスの両方を変換するため、これらのインターフェイスを送信元インターフェイスと宛先インターフェイスとして考えると理解しやすくなります。

after-auto

NAT テーブルのセクション 3 の最後の、ネットワーク オブジェクト NAT ルールの後にルールを挿入します。デフォルトでは、Twice NAT ルールはセクション 1 に追加されます。 line 引数を使用して、セクション 3 の任意の場所にルールを挿入できます。

any

(任意)ワイルドカードの値を指定します。主な any の使用は、次のとおりです。

インターフェイス:インターフェイスのいずれかまたは両方に any を使用できます(たとえば、 (any,outside) など)。インターフェイスを指定しない場合は、 any がデフォルトです。 any は、トランスペアレント モードでは使用できません。

スタティック NAT 送信元の実際の IP アドレスおよびマッピング IP アドレス: source static any any を指定して、すべてのアドレスに対してアイデンティティ NAT をイネーブルに設定できます。

ダイナミック NAT またはダイナミック PAT 送信元の実際のアドレス: source dynamic any mapped_obj を指定して、送信元インターフェイス上のすべてのアドレスを変換できます。

スタティック NAT の場合、実際の送信元ポート/マッピング宛先ポートに対しても、送信元または宛先の実際のアドレスに対しても、 any を使用できますが(マッピング アドレスとしての any は除く)、これらを使用すると、予期せぬ動作が発生する可能性があります。

description desc

(任意)最大 200 文字で説明を入力します。

destination

(任意)宛先アドレスの変換を設定します。Twice NAT の主な機能は宛先 IP アドレスを組み込むことですが、宛先アドレスはオプションです。宛先アドレスを指定する場合は、そのアドレスのスタティック変換を設定するか、単にアイデンティティ NAT を変換に使用できます。実際のアドレスのネットワーク オブジェクト グループの使用、ルールの手動並べ替えなど、Twice NAT のその他の性質を一部利用するために、宛先アドレスを指定せずに Twice NAT を設定することができます。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

dns

(任意)DNS 応答を変換します。DNS インスペクションがイネーブルであることを確認してください( inspect dns )(デフォルトでイネーブルです)。 destination アドレスを設定する場合は、 dns キーワードを設定できません。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

dynamic

送信元アドレスのダイナミック NAT またはダイナミック PAT を設定します。宛先の変換は常に固定です。

inactive

(任意)コマンドを削除する必要がなく、このルールを非アクティブにするには、 inactive キーワードを使用します。これを再度アクティブにするには、 inactive キーワード以外のコマンド全体を再入力します。

interface

(任意)インターフェイス IP アドレスをマッピング アドレスとして使用します。

ダイナミック NAT の送信元マッピング アドレスに対して、マッピングされたオブジェクトまたはグループの後に続けて interface キーワードを指定した場合、マッピング インターフェイスの IP アドレスは、その他のすべてのマッピング アドレスがすでに割り当てられている場合に限って使用されます。

ダイナミック PAT の場合は、送信元マッピング アドレスに対して interface だけを指定できます。

ポート変換を使用するスタティック NAT(送信元または宛先)の場合は、 service キーワードも設定するようにします。

このオプションの場合、 mapped_ifc に特定のインターフェイスを設定する必要があります。

このオプションは、トランスペアレント モードでは使用できません。

line

(任意)NAT テーブルのセクション 1 の任意の場所にルールを挿入します。デフォルトでは、セクション 1 の最後に NAT ルールが追加されます(詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください)。その代わりに、セクション 3 に(ネットワーク オブジェクト NAT ルールの後に)ルールを追加する場合は、 after-auto line オプションを使用します。

mapped_dest_svc_obj

(任意)ダイナミック NAT およびダイナミック PAT の場合は、マッピング宛先ポートを指定します(宛先の変換は常に固定です)。詳細については、 service キーワードを参照してください。

mapped_object

マッピングされたネットワーク オブジェクトまたはオブジェクト グループ( object network または object-group network )を指定します。

ダイナミック NAT の場合は、一般に、アドレスの小さい方のグループにマッピングするようにアドレスの大きい方のグループを設定します。

必要に応じて、このマッピング IP アドレスを異なるダイナミック NAT ルール間で共有できます。

ダイナミック PAT の場合は、単一のアドレスにマッピングするアドレスのグループを設定します。実際のアドレスを選択した単一のマッピング アドレスに変換するか、またはマッピング インターフェイス アドレスに変換できます。インターフェイス アドレスを使用する場合は、マッピング アドレスにネットワーク オブジェクトを設定しないでください。この代わりに、 interface キーワードを使用します。

スタティック NAT の場合、マッピングは通常 1 対 1 であるため、実際のアドレスはマッピング アドレスと同じ数存在します。ただし、必要に応じて、アドレスの数が異なることがあります。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

mapped_src_real_dest_svc_obj

(任意)スタティック NAT の場合は、マッピング送信元ポート、実際の宛先ポート、またはその両方を指定します。詳細については、 service キーワードを参照してください。

real_dest_svc_obj

(任意)ダイナミック NAT およびダイナミック PAT の場合は、実際の宛先ポートを指定します(宛先の変換は常に固定です)。詳細については、 service キーワードを参照してください。

real_ifc

(任意)パケットが発信される可能性のあるインターフェイスの名前を指定します。送信元オプション。送信元オプションの場合、origin_ifc は実際のインターフェイスです。宛先オプションの場合、real_ifc はマッピング インターフェイスです。

real_object

実際のネットワーク オブジェクトまたはオブジェクト グループ( object network または object-group network )を指定します。

real_src_mapped_dest_svc_obj

(任意)スタティック NAT の場合は、実際の送信元ポート、マッピング宛先ポート、またはその両方を指定します。詳細については、 service キーワードを参照してください。

service

(任意)ポート変換を指定します。

ダイナミック NAT およびダイナミック PAT:ダイナミック NAT およびダイナミック PAT では、(追加的な)ポート変換はサポートされません。ただし、 宛先 の変換は常に固定であるため、宛先ポートのポート変換を実行できます。サービス オブジェクト( object service )に送信元ポートと宛先ポートの両方を含めることができますが、この場合は宛先ポートだけを使用します。送信元ポートを指定しても無視されます。

ポート変換を使用するスタティック NAT:両方のサービス オブジェクトに送信元ポートまたは宛先ポートの いずれか を指定する必要があります。ご使用のアプリケーションが固定の送信元ポートを使用する場合(一部の DNS サーバなど)に送信元ポートおよび宛先ポートの両方を指定する必要がありますが、固定の送信元ポートはめったに使用されません。

送信元ポート変換の場合、オブジェクトは送信元サービスを指定する必要があります。この場合、コマンドのサービス オブジェクトの順番は、 service real mapped です。宛先ポート変換の場合、オブジェクトは宛先サービスを指定する必要があります。この場合、サービス オブジェクトの順番は、 service real mapped です。オブジェクトの送信元ポートと宛先ポートの両方を指定するまれなケースでは、最初のサービス オブジェクトには実際の送信元ポート/マッピング宛先ポートを、2 番めのサービス オブジェクトにはマッピング送信元ポート/実際の宛先ポートを含めます。「送信元」および「宛先」の用語については、「使用上のガイドライン」の項を参照してください。

アイデンティティ ポート変換の場合は、実際のポートとマッピング ポートの両方(コンフィギュレーションに応じて、送信元ポート、宛先ポート、またはその両方)に同じサービス オブジェクトを使用するだけです。「不一致」( neq )演算子はサポートされません。

NAT では TCP または UDP だけをサポートします。ポートの変換時、実際のサービス オブジェクトおよびマッピング サービス オブジェクトのプロトコルが同一であること(両方 TCP であるか、両方 UDP であるか)を確認します。

source

送信元アドレスの変換を設定します。

static

スタティック NAT またはポート変換を使用するスタティック NAT を設定します。

unidirectional

(任意)スタティック NAT の場合は、変換を送信元から宛先への単方向にします。宛先アドレスは、送信元アドレスへのトラフィックを開始できません。テストを目的とする場合は、このオプションが便利です。

 
デフォルト

デフォルトでは、NAT テーブルのセクション 1 の最後にルールが追加されます。

real_ifc および mapped_ifc のデフォルト値は any で、すべてのインターフェイスにルールが適用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

Twice NAT を使用すると、単一のルールで送信元アドレスと宛先アドレスの両方を指定できます。送信元アドレスと宛先アドレスの両方を指定すると、たとえば、宛先 X に向かう場合は送信元アドレスを A に変換し、宛先 Y に向かう場合には送信元アドレスを B に変換する必要があることを指定できます。


) スタティック NAT の場合、ルールは双方向であるため、たとえば、特定の接続が「宛先」アドレスから発生する場合でも、このガイドを通じてのコマンドおよび説明では「送信元」および「宛先」が使用されていることに注意してください。たとえば、ポート変換を使用するスタティック NAT を設定し、送信元アドレスを Telnet サーバとして指定する場合に、Telnet サーバに向かうすべてのトラフィックのポートを 2323 から 23 に変換するには、このコマンドで、変換する送信元ポート(実際:23、マッピング:2323)を指定する必要があります。Telnet サーバ アドレスを送信元アドレスとして指定しているため、その送信元ポートを指定します。


宛先アドレスはオプションです。宛先アドレスを指定する場合は、宛先アドレスを自身(アイデンティティ NAT)にマップするか、または別のアドレスにマップできます。宛先マッピングは常にスタティック マッピングです。

また、Twice NAT は、ポート変換を使用するスタティック NAT のサービス オブジェクトを使用できます。ネットワーク オブジェクト NAT はインライン定義だけを受け入れます。

Twice NAT とネットワーク オブジェクト NAT の違いについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

Twice NAT ルールは、NAT ルール テーブルのセクション 1 に追加されます。指定した場合は、セクション 3 に追加されます。NAT の順序の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

マッピング アドレスの注意事項

マッピング IP アドレス プールに次のアドレスを含めることはできません。

マッピング インターフェイス IP アドレス。ルールに any インターフェイスを指定した場合は、すべてのインターフェイス IP アドレスが無効になります。インターフェイス PAT(ルーテッド モードだけ)の場合は、IP アドレスの代わりに interface キーワードを使用します。

(トランスペアレント モード)管理 IP アドレス。

(ダイナミック NAT)VPN がイネーブルの場合、スタンバイ インターフェイス IP アドレス。

既存の VPN プール アドレス。

前提条件

実際のアドレスとマッピング アドレスの両方に、ネットワーク オブジェクトまたはネットワーク オブジェクト グループ( object network または object-group network コマンド)を設定します。ネットワーク オブジェクト グループは、連続していない IP アドレス範囲または複数のホストやサブネットを含むマッピング アドレス プールの作成に特に便利です。

ポート変換を使用するスタティック NAT の場合は、TCP または UDP のサービス オブジェクト( object service コマンド)を設定します。

NAT で使用されるオブジェクトおよびオブジェクト グループは定義をクリアできないため、必ず IP アドレスを含んでいます。

変換セッションのクリア

NAT コンフィギュレーションを変更する場合、既存の変換がタイムアウトするまで待たずに新しい NAT 情報を使用するために、clear xlate コマンドを使用して変換テーブルをクリアできます。ただし、変換テーブルをクリアすると、現在の接続がすべて切断されます。

次の例では、2 つの異なるサーバにアクセスする、10.1.2.0/24 ネットワーク上のホストがあります。このホストが 209.165.201.11 のサーバにアクセスする場合、実際のアドレスは 209.165.202.129: port に変換されます。このホストが 209.165.200.225 のサーバにアクセスする場合、実際のアドレスは 209.165.202.130: port に変換されます。

hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
 
hostname(config)# object network DMZnetwork1
hostname(config-network-object)# subnet 209.165.201.0 255.255.255.224
 
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
 

hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination static DMZnetwork1 DMZnetwork1

 

hostname(config)# object network DMZnetwork2
hostname(config-network-object)# subnet 209.165.200.224 255.255.255.224
 
hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
 

hostname(config)# nat (inside,dmz) source dynamic myInsideNetwork PATaddress2 destination static DMZnetwork2 DMZnetwork2

 

次に、送信元ポートおよび宛先ポートの使用例を示します。10.1.2.0/24 ネットワーク上のホストが、Web サービスおよび Telnet サービスの両方で使用する単一のホストにアクセスします。ホストが Web サービスのためにサーバにアクセスする場合、実際のアドレスは 209.165.202.129: port に変換されます。ホストが Telnet サービスのために同じサーバにアクセスする場合、実際のアドレスは 209.165.202.130: port に変換されます。

hostname(config)# object network myInsideNetwork
hostname(config-network-object)# subnet 10.1.2.0 255.255.255.0
 
hostname(config)# object network TelnetWebServer
hostname(config-network-object)# host 209.165.201.11
 
hostname(config)# object network PATaddress1
hostname(config-network-object)# host 209.165.202.129
 
hostname(config)# object service TelnetObj
hostname(config-service-object)# service tcp destination eq telnet
 

hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress1 destination static TelnetWebServer TelnetWebServer service TelnetObj TelnetObj

 

hostname(config)# object network PATaddress2
hostname(config-network-object)# host 209.165.202.130
 
hostname(config)# object service HTTPObj
hostname(config-service-object)# service tcp destination eq http
 

hostname(config)# nat (inside,outside) source dynamic myInsideNetwork PATaddress2 destination static TelnetWebServer TelnetWebServer service HTTPObj HTTPObj

 

次に、ポート変換を使用するスタティック インターフェイス NAT の使用例を示します。外部にあるホストが、宛先ポート 65000 ~ 65004 を指定して外部インターフェイス IP アドレスに接続することにより、内部にある FTP サーバにアクセスします。トラフィックは、192.168.10.100:6500 ~ :65004 の内部 FTP サーバに変換されません。コマンドで指定した送信元アドレスとポートを変換するため、サービス オブジェクトには送信元ポートの範囲(宛先ポートではなく)を指定することに注意してください。宛先ポートは「any」です。スタティック NAT は双方向であるため、「送信元」および「宛先」を使用して一次的にコマンドのキーワードを扱うものであり、パケット内の実際の送信元および実際の宛先のアドレスとポートは、パケットを送信するホストによって異なります。この例では、外部から内部への接続が発生しているため、FTP サーバの「送信元」アドレスとポートは、実際には発信元パケット内では宛先アドレスとポートになります。

hostname(config)# object service FTP_PASV_PORT_RANGE

hostname(config-service-obvject)# service tcp source range 65000 65004

 

hostname(config)# object network HOST_FTP_SERVER

hostname(config-network-obvject)# host 192.168.10.100

 

hostname(config)# nat (inside,outside) source static HOST_FTP_SERVER interface service FTP_PASV_PORT_RANGE FTP_PASV_PORT_RANGE

 

 
関連コマンド

コマンド
説明

clear configure nat

NAT コンフィギュレーション(Twice NAT とネットワーク オブジェクト NAT の両方)を削除します。

show nat

NAT ポリシーの統計情報を表示します。

show nat pool

NAT プールに関する情報を表示します。

show running-config nat

NAT コンフィギュレーションを表示します。

show xlate

NAT セッション(xlate)情報を表示します。

nat(オブジェクト)

ネットワーク オブジェクト用の NAT を設定するには、ネットワーク オブジェクト コンフィギュレーション モードで nat コマンドを使用します。NAT コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ダイナミック NAT およびダイナミック PAT の場合:

nat [ ( real_ifc , mapped_ifc ) ] dynamic
{ mapped_inline_host_ip [ interface ] | mapped_obj [ interface ] | interface } [ dns ]

no nat [ ( real_ifc , mapped_ifc ) ] dynamic
{ mapped_host_ip [ interface ] | mapped_obj [ interface ] | interface } [ dns ]

スタティック NAT およびポート変換を使用するスタティック NAT の場合:

nat [ ( real_ifc , mapped_ifc ) ] static { mapped_inline_ip | mapped_obj | interface } { dns | service { tcp | udp } real_port mapped_port ]

no nat [ ( real_ifc , mapped_ifc ) ] static { mapped_inline_ip | mapped_obj | interface } { dns | service { tcp | udp } real_port mapped_port ]

 
構文の説明

( real_ifc , mapped_ifc )

(任意)スタティック NAT の場合は、実際のインターフェイスおよびマッピング インターフェイスを指定します。実際のインターフェイスおよびマッピング インターフェイスを指定しない場合は、すべてのインターフェイスが使用されます。インターフェイスのいずれかまたは両方に any キーワードも指定できます。コマンドにカッコを含めるようにします。トランスペアレント モードでは、実際のインターフェイスおよびマッピング インターフェイスを指定する必要があります。 any は使用できません。

dns

(任意)DNS 応答を変換します。DNS インスペクション( inspect dns )がイネーブルであることを確認してください(デフォルトでイネーブルです)。 service キーワードを指定する場合は(スタティック NAT の場合)、このオプションを使用できません。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

dynamic

ダイナミック NAT またはダイナミック PAT を設定します。

interface

(任意)ダイナミック NAT では、マッピング IP アドレス、マッピングされたオブジェクトまたはグループの後に続けて interface キーワードを指定した場合、マッピング インターフェイスの IP アドレスは、その他のすべてのマッピング アドレスがすでに割り当てられている場合に限って使用されます。

ダイナミック PAT では、マッピング IP アドレス、マッピングされたオブジェクトまたはグループの代わりに interface キーワードを指定した場合、マッピング IP アドレスのインターフェイス IP アドレスを使用します。インターフェイス IP アドレスを使用する場合はこのキーワードを使用する必要があります。インラインまたはオブジェクトとしては入力できません。

ポート変換を使用するスタティック NAT では、 service キーワードを設定する場合にも interface キーワードを指定できます。

このオプションの場合、 mapped_ifc に特定のインターフェイスを設定する必要があります。

トランスペアレント モードでは、 interface を指定できません。

mapped_inline_host_ip

マッピング アドレスをインライン値として指定します。 dynamic を指定する場合は、ホスト IP アドレスを使用してダイナミック PAT を設定します。

mapped_inline_ip

スタティック NAT の場合は、マッピング IP アドレスをインライン値として指定します。マッピングされたネットワークのネットマスクまたは範囲は、実際のネットワークのネットマスクまたは範囲と同じです。たとえば、実際のネットワークがホストである場合、このアドレスはホストのアドレスになります。範囲の場合は、マッピング アドレスには実際の範囲と同じ数のアドレスが含まれます。たとえば、実際のアドレスが 10.1.1.1 ~ 10.1.1.6 の範囲で定義されている場合、マッピング アドレスとして 172.20.1.1 を指定するには、マッピングされた範囲に 172.20.1.1 ~ 172.20.1.6 が含まれます。

mapped_obj

1 つ以上のマッピング IP アドレスをネットワーク オブジェクト( object network )またはオブジェクト グループ( object-group network )として指定します。

ダイナミック NAT の場合は、オブジェクトまたはグループにサブネットを含めることはできません。必要に応じて、このマッピングされたオブジェクトを異なるダイナミック NAT ルール間で共有できます。無効化されたマッピング IP アドレスについては、「マッピング アドレスの注意事項」を参照してください。

スタティック NAT の場合、通常は、1 対 1 のマッピングに対応するように、実際のアドレスと同じ数のマッピング アドレスを設定します。ただし、アドレスの数が一致しない場合もあります。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

mapped_port

(任意)マッピング TCP ポートまたは UDP ポートを指定します。リテラル名または 0 ~ 65535 の範囲の数字でポートを指定できます。

real_port

(任意)スタティック NAT の場合は、実際の TCP ポートまたは UDP ポートを指定します。リテラル名または 0 ~ 65535 の範囲の数字でポートを指定できます。

service { tcp | udp }

(任意)ポート変換を使用するスタティック NAT の場合は、ポート変換用のプロトコルを指定します。TCP および UDP だけがサポートされます。

static

スタティック NAT またはポート変換を使用するスタティック NAT を設定します。

 
デフォルト

real_ifc および mapped_ifc のデフォルト値は any で、すべてのインターフェイスにルールが適用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

オブジェクト ネットワーク コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

パケットが適応型セキュリティ アプライアンスに入ると、送信元と宛先の両方の IP アドレスがネットワーク オブジェクト NAT ルールと照合されてチェックされます。パケット内の送信元アドレスおよび宛先アドレスについて、別々に照合を行う場合は違うルールで変換できます。これらのルールは相互に関連せず、トラフィックに応じてルールをさまざまに組み合わせて使用できます。

ルール同士を 2 つ 1 組みで使用することはないため、宛先 X に向かう場合は送信元アドレスを A に変換し、宛先 Y に向かう場合には送信元アドレスを B に変換するように指定することはできません。このような機能には Twice NAT を使用します(Twice NAT により、単一のルールに送信元アドレスおよび宛先アドレスを指定できます)。

Twice NAT とネットワーク オブジェクト NAT の違いについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

ネットワーク オブジェクト NAT ルールは、NAT ルール テーブルのセクション 2 に追加されます。NAT の順序の詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

コンフィギュレーションによっては、必要に応じてマッピング アドレスをインラインで設定したり、マッピング アドレスとしてネットワーク オブジェクトまたはネットワーク オブジェクト グループを作成したりできます( object network コマンドまたは object-group network コマンド)。ネットワーク オブジェクト グループは、連続していない IP アドレス範囲または複数のホストやサブネットを含むマッピング アドレス プールの作成に特に便利です。

NAT で使用されるオブジェクトおよびオブジェクト グループは定義をクリアできないため、必ず IP アドレスを含んでいます。

特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。複数の NAT ルールを設定する場合は、 object network obj-10.10.10.1-01 、object network obj-10.10.10.1-02 などのように、同じ IP アドレスを指定する複数のオブジェクトを作成する必要があります。

マッピング アドレスの注意事項

マッピング IP アドレス プールに次のアドレスを含めることはできません。

マッピング インターフェイス IP アドレス。ルールに any インターフェイスを指定した場合は、すべてのインターフェイス IP アドレスが無効になります。インターフェイス PAT(ルーテッド モードだけ)の場合は、IP アドレスの代わりに interface キーワードを使用します。

(トランスペアレント モード)管理 IP アドレス。

(ダイナミック NAT)VPN がイネーブルの場合、スタンバイ インターフェイス IP アドレス。

既存の VPN プール アドレス。

変換セッションのクリア

NAT コンフィギュレーションを変更する場合、既存の変換がタイムアウトするまで待たずに新しい NAT 情報を使用するために、clear xlate コマンドを使用して変換テーブルをクリアできます。ただし、変換テーブルをクリアすると、現在の接続がすべて切断されます。

ダイナミック NAT の例

次の例では、外部アドレス 2.2.2.1 ~ 2.2.2.10 の範囲の背後に 192.168.2.0 ネットワークを隠すダイナミック NAT を設定します。

hostname(config)# object network my-range-obj
hostname(config-network-object)# range 2.2.2.1 2.2.2.10
hostname(config)# object network my-inside-net
hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
hostname(config-network-object)# nat (inside,outside) dynamic my-range-obj
 

次の例では、ダイナミック PAT バックアップを使用するダイナミック NAT を設定します。内部ネットワーク 10.76.11.0 上のホストは、最初に nat-range1 プール(10.10.10.10 ~ 10.10.10.20)にマップされます。nat-range1 プール内のすべてのアドレスを割り当てた後、pat-ip1 アドレス(10.10.10.21)を使用してダイナミック PAT が実行されます。PAT 変換も使い尽くすような予想できない状態が発生した場合に、外部インターフェイス アドレスを使用してダイナミック PAT が実行されます。

hostname(config)# object network nat-range1
hostname(config-network-object)# range 10.10.10.10 10.10.10.20
 
hostname(config-network-object)# object network pat-ip1
hostname(config-network-object)# host 10.10.10.21
 
hostname(config-network-object)# object-group network nat-pat-grp
hostname(config-network-object)# network-object object nat-range1
hostname(config-network-object)# network-object object pat-ip1
 
hostname(config-network-object)# object network my_net_obj5
hostname(config-network-object)# subnet 10.76.11.0 255.255.255.0
hostname(config-network-object)# nat (inside,outside) dynamic nat-pat-grp interface
 

ダイナミック PAT の例

次の例では、アドレス 2.2.2.2 の背後に 192.168.2.0 ネットワークを隠すダイナミック PAT を設定します。

hostname(config)# object network my-inside-net
hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
hostname(config-network-object)# nat (inside,outside) dynamic 2.2.2.2
 

次の例では、外部インターフェイス アドレスの背後に 192.168.2.0 ネットワークを隠すダイナミック PAT を設定します。

hostname(config)# object network my-inside-net
hostname(config-network-object)# subnet 192.168.2.0 255.255.255.0
hostname(config-network-object)# nat (inside,outside) dynamic interface
 

スタティック NAT の例

次の例では、内部にある実際のホスト 1.1.1.1 の、DNS リライトがイネーブルに設定された外部にある 2.2.2.2 へのスタティック NAT を設定します。

hostname(config)# object network my-host-obj1
hostname(config-network-object)# host 1.1.1.1
hostname(config-network-object)# nat (inside,outside) static 2.2.2.2 dns
 

次の例では、内部にある実際のホスト 1.1.1.1 の、マッピングされたオブジェクトを使用する外部にある 2.2.2.2 へのスタティック NAT を設定します。

hostname(config)# object network my-mapped-obj
hostname(config-network-object)# host 2.2.2.2
 
hostname(config-network-object)# object network my-host-obj1
hostname(config-network-object)# host 1.1.1.1
hostname(config-network-object)# nat (inside,outside) static my-mapped-obj
 

次の例では、1.1.1.1 の TCP ポート 21 の、外部インターフェイスのポート 2121 への、ポート変換を使用するスタティック NAT を設定します。

hostname(config)# object network my-ftp-server
hostname(config-network-object)# host 1.1.1.1
hostname(config-network-object)# nat (inside,outside) static interface service tcp 21 2121
 

アイデンティティ NAT の例

次の例では、インライン マッピング アドレスを使用して、ホスト アドレスを自身にマップします。

hostname(config)# object network my-host-obj1

hostname(config-network-object)# host 10.1.1.1

hostname(config-network-object)# nat (inside,outside) static 10.1.1.1

 

次の例では、ネットワーク オブジェクトを使用して、ホスト アドレスを自身にマップします。

hostname(config)# object network my-host-obj1-identity

hostname(config-network-object)# host 10.1.1.1

 

hostname(config-network-object)# object network my-host-obj1

hostname(config-network-object)# host 10.1.1.1

hostname(config-network-object)# nat (inside,outside) static my-host-obj1-identity

 

 
関連コマンド

コマンド
説明

clear configure nat

NAT コンフィギュレーション(Twice NAT とネットワーク オブジェクト NAT の両方)を削除します。

show nat

NAT ポリシーの統計情報を表示します。

show nat pool

NAT プールに関する情報を表示します。

show running-config nat

NAT コンフィギュレーションを表示します。

show xlate

xlate 情報を表示します。

nat(VPN ロード バランシング)

このデバイスの IP アドレスを NAT が変換する先の IP アドレスを設定するには、VPN ロード バランシング コンフィギュレーション モードで nat コマンドを使用します。この NAT 変換をディセーブルにするには、このコマンドの no 形式を使用します。

nat ip-address

no nat [ ip-adddress ]

 
構文の説明

ip-address

このデバイスの IP アドレスをこの NAT で変換する先の IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始する必要があります。

このコマンドの no nat 形式では、オプションの ip-address 値を指定する場合、IP アドレスが実行コンフィギュレーションの既存の NAT IP アドレスと一致する必要があります。

次の例は、NAT で変換されたアドレスを 192.168.10.10 に設定する nat コマンドを含む、VPN load-balancing コマンドのシーケンスです。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# nat 192.168.10.10
hostname(config-load-balancing)# priority 9
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster port 9023
hostname(config-load-balancing)# participate
 

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

nat-rewrite

DNS 応答の A レコードに組み込まれた IP アドレスの NAT リライトをイネーブルにするには、パラメータ コンフィギュレーション モードで nat-rewrite コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

nat-rewrite

no nat-rewrite

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

NAT リライトは、デフォルトでイネーブルです。この機能は、 policy-map type inspect dns を定義していなくても、 inspect dns を設定していれば、イネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで明示的に no nat-rewrite を開始する必要があります。 inspect dns が設定されていない場合、NAT リライトは実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

この機能は、DNS 応答の A タイプ Resource Record(RR; リソース レコード)の NAT 変換を実行します。

次に、DNS インスペクション ポリシー マップの NAT リライトをイネーブルにする例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# nat-rewrite
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

nbns-server(トンネル グループ webvpn アトリビュート モード)

NBNS サーバを設定するには、トンネル グループ webvpn コンフィギュレーション モードで nbns-server コマンドを使用します。コンフィギュレーションから NBNS サーバを削除するには、このコマンドの no 形式を使用します。

適応型セキュリティ アプライアンスは、NetBIOS 名を IP アドレスにマップするために NBNS サーバに照会します。WebVPN では、リモート システム上のファイルへのアクセスまたはファイルの共有に NetBIOS が必要です。

nbns-server { ipaddr | hostname } [ master ] [ timeout timeout ] [ retry retries ]

no nbns-server

 
構文の説明

hostname

NBNS サーバのホスト名を指定します。

ipaddr

NBNS サーバの IP アドレスを指定します。

master

これは WINS サーバではなく、マスター ブラウザであることを示します。

retry

再試行値が後に続くことを示します。

retries

NBNS サーバへのクエリーを再試行する回数を指定します。適応型セキュリティ アプライアンスは、エラー メッセージを送信するまでに、ここに指定する回数、サーバのリストを循環して使用します。デフォルト値は 2 で、指定できる範囲は 1 ~ 10 です。

timeout

タイムアウト値が後に続くことを示します。

timeout

NBNS サーバが 1 つだけ存在する場合は同じサーバに、複数存在する場合は別のサーバに、適応型セキュリティ アプライアンスがクエリーを再送信するまでに待機する時間を指定します。デフォルトのタイムアウトは 2 秒で、指定できる範囲は 1 ~ 30 秒です。

 
デフォルト

NBNS サーバは、デフォルトでは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

webvpn モードからトンネル グループ webvpn コンフィギュレーション モードに移行しました。

 
使用上のガイドライン

リリース 7.1(1) では、webvpn コンフィギュレーション モードでこのコマンドを入力した場合、トンネル グループ webvpn アトリビュート コンフィギュレーション モードの同じコマンドに変換されます。

サーバ エントリは最大 3 つです。冗長性のために、設定する最初のサーバはプライマリ サーバで、その他のサーバはバックアップです。

no オプションを使用して、コンフィギュレーションから一致するエントリを削除します。

次に、IP アドレス 10.10.10.19、タイムアウト値 10 秒、再試行回数 8 回のマスター ブラウザである NBNS サーバを使用するトンネル グループ「test」を設定する例を示します。また、IP アドレス 10.10.10.24、タイムアウト値 15 秒、再試行回数 8 回の NBNS WINS サーバを設定する例も示します。

hostname(config)# tunnel-group test type webvpn
hostname(config)# tunnel-group test webvpn-attributes
hostname(config-tunnel-webvpn)# nbns-server 10.10.10.19 master timeout 10 retry 8
hostname(config-tunnel-webvpn)# nbns-server 10.10.10.24 timeout 15 retry 8
hostname(config-tunnel-webvpn)#
 

 
関連コマンド

コマンド
説明

clear configure group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーのコンフィギュレーションを削除します。

show running-config group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの実行コンフィギュレーションを表示します。

tunnel-group webvpn-attributes

指定したトンネル グループの WebVPN アトリビュートを指定します。

nbns-server(webvpn モード)

NBNS サーバを設定するには、トンネル グループ webvpn コンフィギュレーション モードで nbns-server コマンドを使用します。コンフィギュレーションから NBNS サーバを削除するには、このコマンドの no 形式を使用します。

適応型セキュリティ アプライアンスは、NetBIOS 名を IP アドレスにマップするために NBNS サーバに照会します。WebVPN では、リモート システム上のファイルへのアクセスまたはファイルの共有に NetBIOS が必要です。

nbns-server { ipaddr | hostname } [ master ] [ timeout timeout ] [ retry retries ]

no nbns-server

 
構文の説明

hostname

NBNS サーバのホスト名を指定します。

ipaddr

NBNS サーバの IP アドレスを指定します。

master

これは WINS サーバではなく、マスター ブラウザであることを示します。

retry

再試行値が後に続くことを示します。

retries

NBNS サーバへのクエリーを再試行する回数を指定します。適応型セキュリティ アプライアンスは、エラー メッセージを送信するまでに、ここに指定する回数、サーバのリストを循環して使用します。デフォルト値は 2 で、指定できる範囲は 1 ~ 10 です。

timeout

タイムアウト値が後に続くことを示します。

timeout

NBNS サーバが 1 つだけ存在する場合は同じサーバに、複数存在する場合は別のサーバに、適応型セキュリティ アプライアンスがクエリーを再送信するまでに待機する時間を指定します。デフォルトのタイムアウトは 2 秒で、指定できる範囲は 1 ~ 30 秒です。

 
デフォルト

NBNS サーバは、デフォルトでは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

webvpn モードからトンネル グループ webvpn コンフィギュレーション モードに移行しました。

 
使用上のガイドライン

このコマンドは、webvpn コンフィギュレーション モードでは廃止されました。トンネル グループ webvpn アトリビュート コンフィギュレーション モードの nbns-server コマンドがこれに代わります。リリース 7.1(1) では、webvpn コンフィギュレーション モードでこのコマンドを入力した場合、トンネル グループ webvpn アトリビュート モードの同じコマンドに変換されます。

サーバ エントリは最大 3 つです。冗長性のために、設定する最初のサーバはプライマリ サーバで、その他のサーバはバックアップです。

no オプションを使用して、コンフィギュレーションから一致するエントリを削除します。

次に、IP アドレス 10.10.10.19、タイムアウト値 10 秒、再試行回数 8 回のマスター ブラウザである NBNS サーバを設定する例を示します。また、IP アドレス 10.10.10.24、タイムアウト値 15 秒、再試行回数 8 回の NBNS WINS サーバを設定する例も示します。

hostname(config)# webvpn
hostname(config-webvpn)# nbns-server 10.10.10.19 master timeout 10 retry 8
hostname(config-webvpn)# nbns-server 10.10.10.24 timeout 15 retry 8

neighbor

ポイントツーポイントの非ブロードキャスト ネットワーク上のスタティック ネイバーを定義するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。コンフィギュレーションから静的に定義されたネイバーを削除するには、このコマンドの no 形式を使用します。 neighbor コマンドは、VPN トンネル経由で OSPF ルートをアドバタイズするために使用されます。

neighbor ip_address [ interface name ]

no neighbor ip_address [ interface name ]

 
構文の説明

interface name

(任意) nameif コマンドで指定されたインターフェイス名。このインターフェイスを経由してネイバーに到達可能です。

ip_address

ネイバー ルータの IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

既知の非ブロードキャスト ネットワーク ネイバーごとに、ネイバー エントリが 1 つ含まれている必要があります。ネイバー アドレスは、インターフェイスのプライマリ アドレス上に存在する必要があります。

ネイバーが、直接接続されたシステムのインターフェイスのいずれとも同じネットワーク上に存在しない場合は、 interface オプションを指定する必要があります。さらに、ネイバーに到達するためのスタティック ルートを作成する必要があります。

次の例では、192.168.1.1 のアドレスを持つネイバー ルータを定義します。

hostname(config-router)# neighbor 192.168.1.1
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

neighbor(EIGRP)

ルーティング情報を交換するために使用する EIGRP ネイバー ルータを定義するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。ネイバー エントリを削除するには、このコマンドの no 形式を使用します。

neighbor ip_address interface name

no neighbor ip_address interface name

 
構文の説明

interface name

nameif コマンドで指定されたインターフェイス名。このインターフェイスを経由してネイバーに到達可能です。

ip_address

ネイバー ルータの IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

複数のネイバー ステートメントを使用して、特定の EIGRP ネイバーとのピアリング セッションを確立できます。EIGRP がルーティング アップデートを交換するときに使用するインターフェイスをネイバー ステートメントで指定する必要があります。2 つの EIGRP ネイバーがルーティング アップデートを交換するときに使用するインターフェイスは、同じネットワークの IP アドレスを指定して設定する必要があります。


) インターフェイスに対して passive-interface コマンドを設定すると、そのインターフェイス上ですべての着信および発信のルーティング アップデートおよび hello メッセージを抑制します。パッシブとして設定されたインターフェイス上では、EIGRP ネイバー隣接関係を確立または維持できません。


EIGRP hello メッセージは、 neighbor コマンドを使用して定義されたネイバーへのユニキャスト メッセージとして送信されます。

次の例では、192.168.1.1 および 192.168.2.2 のネイバーによる EIGRP ピアリング セッションを設定します。

hostname(config)# router eigrp 100
hostname(config-router)# network 192.168.0.0
hostname(config-router)# neighbor 192.168.1.1 interface outside
hostname(config-router)# neighbor 192.168.2.2 interface branch_office
 

 
関連コマンド

コマンド
説明

debug eigrp neighbors

EIGRP ネイバー メッセージのデバッグ情報を表示します。

show eigrp neighbors

EIGRP ネイバー テーブルを表示します。

nem

ハードウェア クライアントのネットワーク拡張モードをイネーブルにするには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。NEM をディセーブルにするには、 nem disable コマンドを使用します。実行コンフィギュレーションから NEM アトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから値を継承できるようになります。

nem { enable | disable }

no nem

 
構文の説明

disable

ネットワーク拡張モードをディセーブルにします。

enable

ネットワーク拡張モードをイネーブルにします。

 
デフォルト

ネットワーク拡張モードはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
使用上のガイドライン

ネットワーク拡張モードを使用すると、ハードウェア クライアントは、VPN トンネルを介したリモート プライベート ネットワークに対して、ルーティング可能なネットワークを 1 つ提示できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークから適応型セキュリティ アプライアンスの背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、適応型セキュリティ アプライアンスの背後にあるデバイスは、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワーク上のデバイスに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要がありますが、トンネルの確立後はどちら側からもデータ交換を開始できます。

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、FirstGroup というグループ ポリシーの NEM を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable

network

RIP ルーティング プロセス用のネットワークのリストを指定するには、ルータ コンフィギュレーション モードで network コマンドを使用します。ネットワーク定義を削除するには、このコマンドの no 形式を使用します。

network ip_addr

no network ip_addr

 
構文の説明

ip_addr

直接接続されたネットワークの IP アドレス。指定されたネットワークに接続するインターフェイスは、RIP ルーティング プロセスに参加します。

 
デフォルト

ネットワークは指定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

指定されたネットワーク番号にサブネット情報を含めないでください。ルータで使用できる network コマンドの数に制限はありません。RIP ルーティング アップデートは、指定されたネットワーク上のインターフェイスだけを経由して送受信されます。また、インターフェイスのネットワークを指定しない場合、インターフェイスは、どの RIP アップデートでもアドバタイズされません。

次の例では、10.0.0.0 および 192.168.7.0 のネットワークに接続されたすべてのインターフェイスで使用するルーティング プロトコルとして、RIP を定義します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# network 192.168.7.0
 

 
関連コマンド

コマンド
説明

router rip

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

network(EIGRP)

EIGRP ルーティング プロセス用のネットワークのリストを指定するには、ルータ コンフィギュレーション モードで network コマンドを使用します。ネットワーク定義を削除するには、このコマンドの no 形式を使用します。

network ip_addr [ mask ]

no network ip_addr [ mask ]

 
構文の説明

ip_addr

直接接続されたネットワークの IP アドレス。指定されたネットワークに接続するインターフェイスは、EIGRP ルーティング プロセスに参加します。

mask

(任意)IP アドレスのネットワーク マスク。

 
デフォルト

ネットワークは指定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

network コマンドは、指定されたネットワーク内の IP アドレスを 1 つ以上持つすべてのインターフェイスで EIGRP を開始します。このコマンドは、指定されたネットワークから接続されているサブネットを EIGRP トポロジ テーブルに挿入します。

このとき、適応型セキュリティ アプライアンスは、一致するインターフェイスを通るネイバーを確立します。適応型セキュリティ アプライアンスで設定できる network コマンドの数に制限はありません。

次の例では、10.0.0.0 および 192.168.7.0 のネットワークに接続されたすべてのインターフェイスで使用するルーティング プロトコルとして、EIGRP を定義します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0 255.0.0.0
hostname(config-router)# network 192.168.7.0 255.255.255.0
 

 
関連コマンド

コマンド
説明

show eigrp interfaces

EIGRP に設定されているインターフェイスに関する情報を表示します。

show eigrp topology

EIGRP トポロジ テーブルを表示します。

network-acl

access-list コマンドを使用して以前設定したファイアウォール ACL 名を指定するには、ダイナミック アクセス ポリシー レコード コンフィギュレーション モードで network-acl コマンドを使用します。既存のネットワーク ACL を削除するには、このコマンドの no 形式を使用します。すべてのネットワーク ACL を削除するには、引数を指定せずにこのコマンドを使用します。

network-acl name

no network-acl [ name ]

 
構文の説明

name

ネットワーク ACL の名前を指定します。最大 240 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック アクセス ポリシー レコード コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを複数回使用して、複数のファイアウォール ACL を DAP レコードに割り当てます。

適応型セキュリティ アプライアンスは、指定する ACL をそれぞれ確認し、許可ルールだけ、または拒否ルールだけをアクセス リスト エントリとして含むようにします。指定された ACL のいずれかに、許可ルールと拒否ルールが混在して含まれる場合、適応型セキュリティ アプライアンスはコマンドを拒否します。

次に、Finance Restrictions というネットワーク ACL を Finance という DAP レコードに適用する例を示します。

hostname(config)# dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# network-acl Finance Restrictions
hostname(config-dynamic-access-policy-record)#
 

 
関連コマンド

コマンド
説明

access-policy

ファイアウォール アクセス ポリシーを設定します。

dynamic-access-policy-record

DAP レコードを作成します。

show running-config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定した DAP レコードの実行コンフィギュレーションを表示します。

network area

OSPF が実行されるインターフェイスを定義し、このインターフェイスのエリア ID を定義するには、ルータ コンフィギュレーション モードで network area コマンドを使用します。アドレス/ネットマスクのペアで定義されたインターフェイス用の OSPF ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

network addr mask area area_id

no network addr mask area area_id

 
構文の説明

addr

IP アドレス。

area area_id

OSPF アドレス範囲に関連付けるエリアを指定します。 area_id は、IP アドレス形式または 10 進表記のいずれかで指定できます。10 進表記で指定する場合、有効な値の範囲は 0 ~ 4294967295 です。

mask

ネットワーク マスク。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

インターフェイス上で機能する OSPF の場合、インターフェイスのアドレスは、 network area コマンドによって指定した範囲に含まれている必要があります。インターフェイスの IP アドレスが network area コマンドで指定した範囲外の場合、このコマンドにより、そのインターフェイス上で OSPF がイネーブルになることはありません。

適応型セキュリティ アプライアンスで使用できる network area コマンドの数に制限はありません。

次の例では、192.168.1.1 インターフェイスで OSPF をイネーブルにし、これをエリア 2 に割り当てます。

hostname(config-router)# network 192.168.1.1 255.255.255.0 area 2
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

network-object

ホスト オブジェクト、ネットワーク オブジェクト、またはサブネット オブジェクトをネットワーク オブジェクト グループに追加するには、ネットワーク コンフィギュレーション モードで network-object コマンドを使用します。ネットワーク オブジェクトを削除するには、このコマンドの no 形式を使用します。

network-object host host_addr | host_name

[no] network-object host host_addr | host_name

network-object net_addr netmask

[no] network-object net_addr netmask

network-object object net_obj_name

[no] network-object object net_obj_name

 
構文の説明

host

ホスト オブジェクトを指定します。

host_addr

ホストの IP アドレスを指定します( name コマンドを使用してホスト名が定義されていない場合)。

host_name

ホスト名を指定します( name コマンドを使用してホスト名が定義されている場合)。

net_addr

サブネット オブジェクトを定義する netmask で使用するネットワーク アドレスを指定します。

netmask

サブネット オブジェクトを定義する net_addr で使用するネットマスクを指定します。

net_obj_name

ネットワーク オブジェクト グループに追加するネットワーク オブジェクトの名前を指定します。

object

ネットワーク オブジェクトを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ネットワーク コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

object-group コマンドとともに network-object コマンドを使用して、ネットワーク コンフィギュレーション モードでホスト オブジェクト、ネットワーク オブジェクト、またはサブネット オブジェクトを定義します。

次に、ネットワーク コンフィギュレーション モードで network-object コマンドを使用して、新しいホスト オブジェクトをネットワーク オブジェクト グループに作成する例を示します。

hostname(config)# object-group network sjj_eng_ftp_servers
hostname(config-network-object-group)# network-object host sjj.eng.ftp
hostname(config-network-object-group)# network-object host 172.16.56.195
hostname(config-network-object-group)# network-object 192.168.1.0 255.255.255.224
hostname(config-network-object-group)# group-object sjc_eng_ftp_servers
hostname(config-network-object-group)# quit
hostname(config)#

 
関連コマンド

コマンド
説明

clear configure object-group

すべての object-group コマンドをコンフィギュレーションから削除します。

group-object

ネットワーク オブジェクト グループを追加します。

object-group

コンフィギュレーションを最適化するためのオブジェクト グループを定義します。

port-object

サービス オブジェクト グループにポート オブジェクトを追加します。

show running-config object-group

現在のオブジェクト グループを表示します。

nop

IP オプション インスペクションにより、パケット内で動作なしの IP オプションを見つけたときのアクションを定義するには、パラメータ コンフィギュレーション モードで nop コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

nop action {allow | clear}

no nop action {allow | clear}

 
構文の説明

allow

動作なしの IP オプションを含むパケットの通過を許可するように、適応型セキュリティ アプライアンスに指示します。

clear

動作なしの IP オプションをパケットからクリアし、パケットの通過を許可するように、適応型セキュリティ アプライアンスに指示します。

 
デフォルト

デフォルトでは、IP オプション インスペクションは、動作なしの IP オプションを含むパケットをドロップします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップ内で設定できます。

適応型セキュリティ アプライアンスの通過が許可される特定の IP オプションが含まれる IP パケットを制御するように、IP オプション インスペクションを設定できます。このインスペクションを設定することで、パケットを通過させたり、指定した IP オプションをクリアしてからパケットを通過させたりするように、適応型セキュリティ アプライアンスに指示できます。

IP ヘッダー内の Options フィールドには、オプションが含まれない場合も、1 つ以上のオプションが含まれる場合もあるため、フィールドの合計の長さは可変になります。ただし、IP ヘッダーは 32 ビットの倍数である必要があります。すべてのオプションのビット数が 32 ビットの倍数でない場合、No Operation(NOP; 動作なし)または IP オプション 1 を「内部パディング」として使用し、オプションを 32 ビットの境界に合わせます。

次の例は、ポリシー マップ内で IP オプション インスペクションのアクションを設定する方法を示しています。

hostname(config)# policy-map type inspect ip-options ip-options_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# eool action allow
hostname(config-pmap-p)# nop action allow
hostname(config-pmap-p)# router-alert action allow
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

nt-auth-domain-controller

このサーバの NT プライマリ ドメイン コントローラの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで nt-auth-domain-controller コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

nt-auth-domain-controller string

no nt-auth-domain-controller

 
構文の説明

string

このサーバのプライマリ ドメイン コントローラの名前を最大 16 文字で指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが有効なのは、NT 認証 AAA サーバの場合だけです。まず、 aaa-server host コマンドを使用して、ホスト コンフィギュレーション モードを開始する必要があります。 string 変数に入れる名前は、サーバ自体の NT エントリと一致しなければなりません。

次の例では、このサーバの NT プライマリ ドメイン コントローラの名前を「primary1」として設定します。

hostname(config)# aaa-server svrgrp1 protocol nt
hostname(configaaa-sesrver-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# nt-auth-domain-controller primary1
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

aaa server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

ntp authenticate

NTP サーバによる認証をイネーブルにするには、グローバル コンフィギュレーション モードで ntp authenticate コマンドを使用します。NTP 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ntp authenticate

no ntp authenticate

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

認証をイネーブルにすると、適応型セキュリティ アプライアンスは、パケット内の正しい信頼できるキーを使用する場合だけ、NTP サーバと通信します( ntp trusted-key コマンドを参照)。また、適応型セキュリティ アプライアンスは、認証キーを使用して NTP サーバと同期します( ntp authentication-key コマンドを参照)。

次の例では、NTP パケットで認証キー 42 を提供するシステムだけに同期するように、適応型セキュリティ アプライアンスを設定します。

hostname(config)# ntp authenticate
hostname(config)# ntp authentication-key 42 md5 aNiceKey
hostname(config)# ntp trusted-key 42
 

 
関連コマンド

コマンド
説明

ntp authentication-key

NTP サーバと同期するために、暗号化された認証キーを設定します。

ntp server

NTP サーバを指定します。

ntp trusted-key

NTP サーバによる認証用パケットで使用するための、適応型セキュリティ アプライアンスのキー ID を指定します。

show ntp associations

適応型セキュリティ アプライアンスが関連付けられている NTP サーバを表示します。

show ntp status

NTP アソシエーションのステータスを表示します。

ntp authentication-key

NTP サーバによる認証のためのキーを設定するには、グローバル コンフィギュレーション モードで ntp authentication-key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

ntp authentication-key key_id md5 key

no ntp authentication-key key_id [ md5 [0 | 8] key ]

 
構文の説明

0

(任意)<key_value> がプレーン テキストであることを示します。0 または 8 が示されない場合、形式はプレーン テキストです。

8

(任意)<key_value> が暗号化されたテキストであることを示します。0 または 8 が示されない場合、形式はプレーン テキストです。

key

キー値を最大 32 文字のストリングとして設定します。

key_id

キー ID を 1 ~ 4294967295 の範囲で指定します。 ntp trusted-key コマンドを使用して、この ID を信頼できるキーとして指定する必要があります。

md5

認証アルゴリズムを、サポートされる唯一のアルゴリズムである MD5 として指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

NTP 認証を使用するには、 ntp authenticate コマンドも設定します。

次の例では、認証をイネーブルにし、信頼できるキー ID 1 および 2 を指定して、信頼できる各キーの認証キーを設定します。

hostname(config)# ntp authenticate
hostname(config)# ntp trusted-key 1
hostname(config)# ntp trusted-key 2
hostname(config)# ntp authentication-key 1 md5 aNiceKey
hostname(config)# ntp authentication-key 2 md5 aNiceKey2
 

 
関連コマンド

コマンド
説明

ntp authenticate

NTP 認証をイネーブルにします。

ntp server

NTP サーバを指定します。

ntp trusted-key

NTP サーバによる認証用パケットで使用するための、適応型セキュリティ アプライアンスのキー ID を指定します。

show ntp associations

適応型セキュリティ アプライアンスが関連付けられている NTP サーバを表示します。

show ntp status

NTP アソシエーションのステータスを表示します。

ntp server

NTP サーバを指定して、適応型セキュリティ アプライアンス上の時間を設定するには、グローバル コンフィギュレーション モードで ntp server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。複数のサーバを指定することができます。適応型セキュリティ アプライアンスは、最も正確なサーバを使用します。マルチ コンテキスト モードでは、システム コンフィギュレーションの NTP サーバだけを設定します。

ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

no ntp server ip_address [ key key_id ] [ source interface_name ] [ prefer ]

 
構文の説明

ip_address

NTP サーバの IP アドレスを設定します。

key key_id

ntp authenticate コマンドを使用して認証をイネーブルにする場合は、このサーバの信頼できるキー ID を設定します。 ntp trusted-key コマンドも参照してください。

source interface_name

ルーティング テーブル内のデフォルトのインターフェイスを使用しない場合は、NTP パケットの発信インターフェイスを指定します。マルチ コンテキスト モードのシステムにはインターフェイスが含まれないため、管理コンテキストで定義されたインターフェイス名を指定します。

prefer

複数のサーバが同じように正確である場合は、この NTP サーバを優先サーバとして設定します。NTP は、最も正確なサーバを判断し、そのサーバに同期するアルゴリズムを使用します。サーバが同じように正確である場合、 prefer キーワードで、これらのサーバの中から使用するサーバを指定します。ただし、サーバが優先サーバよりもさらに顕著に正確である場合、適応型セキュリティ アプライアンスは、より正確なサーバを使用します。たとえば、適応型セキュリティ アプライアンスは、優先されるストラタム 3 のサーバよりもストラタム 2 のサーバを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、送信元インターフェイスをオプションにするように変更されました。

次の例では、2 つの NTP サーバを指定し、キー ID 1 および 2 に対する認証をイネーブルにします。

hostname(config)# ntp server 10.1.1.1 key 1 prefer
hostname(config)# ntp server 10.2.1.1 key 2
hostname(config)# ntp authenticate
hostname(config)# ntp trusted-key 1
hostname(config)# ntp trusted-key 2
hostname(config)# ntp authentication-key 1 md5 aNiceKey
hostname(config)# ntp authentication-key 2 md5 aNiceKey2
 

 
関連コマンド

コマンド
説明

ntp authenticate

NTP 認証をイネーブルにします。

ntp authentication-key

NTP サーバと同期するために、暗号化された認証キーを設定します。

ntp trusted-key

NTP サーバによる認証用パケットで使用するための、適応型セキュリティ アプライアンスのキー ID を指定します。

show ntp associations

適応型セキュリティ アプライアンスが関連付けられている NTP サーバを表示します。

show ntp status

NTP アソシエーションのステータスを表示します。

ntp trusted-key

NTP サーバによる認証に必要となる、信頼できるキーにする認証キー ID を指定するには、グローバル コンフィギュレーション モードで ntp trusted-key コマンドを使用します。信頼できるキーを削除するには、このコマンドの no 形式を使用します。複数のサーバで使用するために、信頼できるキーを複数入力できます。

ntp trusted-key key_id

no ntp trusted-key key_id

 
構文の説明

key_id

キー ID を 1 ~ 4294967295 の範囲で設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

NTP 認証を使用するには、 ntp authenticate コマンドも設定します。サーバと同期するには、 ntp authentication-key コマンドを使用して、キー ID の認証キーを設定します。

次の例では、認証をイネーブルにし、信頼できるキー ID 1 および 2 を指定して、信頼できる各キーの認証キーを設定します。

hostname(config)# ntp authenticate
hostname(config)# ntp trusted-key 1
hostname(config)# ntp trusted-key 2
hostname(config)# ntp authentication-key 1 md5 aNiceKey
hostname(config)# ntp authentication-key 2 md5 aNiceKey2
 

 
関連コマンド

コマンド
説明

ntp authenticate

NTP 認証をイネーブルにします。

ntp authentication-key

NTP サーバと同期するために、暗号化された認証キーを設定します。

ntp server

NTP サーバを指定します。

show ntp associations

適応型セキュリティ アプライアンスが関連付けられている NTP サーバを表示します。

show ntp status

NTP アソシエーションのステータスを表示します。

num-packets

SLA 動作中に送信される要求パケットの数を指定するには、SLA モニタ プロトコル コンフィギュレーション モードで num-packets コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

num-packets number

no num-packets number

 
構文の説明

number

SLA 動作中に送信されるパケットの数。有効な値は、1 ~ 100 です。

 
デフォルト

エコー タイプ用に送信されるデフォルトのパケット数は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

パケット損失により、不正確な到着可能性情報を防止するには、送信されるデフォルトのパケット数を増やします。

次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。この例では、エコー要求パケットのペイロード サイズを 48 バイト、SLA 動作中に送信されるエコー要求の数を 5 に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# num-packets 5
hostname(config-sla-monitor-echo)# request-data-size 48
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

request-data-size

要求パケットのペイロードのサイズを指定します。

sla monitor

SLA モニタリング動作を定義します。

type echo

SLA 動作をエコー応答時間プローブ動作として設定します。

object-group

コンフィギュレーションを最適化するために使用できるオブジェクト グループを定義するには、グローバル コンフィギュレーション モードで object-group コマンドを使用します。コンフィギュレーションからオブジェクト グループを削除するには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

object-group { protocol | network | icmp-type } grp_name

no object-group { protocol | network | icmp-type } grp_name

object-group service grp_name [tcp | udp | tcp-udp ]

no object-group service grp_name [tcp | udp | tcp-udp ]

 
構文の説明

grp_name

オブジェクト グループ(1 ~ 64 文字)を指定します。文字、数字、および「_」、「-」、「.」の文字を任意に組み合わせて使用できます。

icmp-type

エコーおよびエコー応答などの ICMP タイプのグループを定義します。メインの object-group icmp-type コマンドを入力した後に、 icmp-object コマンドと group-object コマンドを使用して、ICMP オブジェクトを ICMP タイプ グループに追加します。

network

ホストのグループまたはサブネット IP アドレスを定義します。メインの object-group network コマンドを入力した後に、 network-object コマンドと group-object コマンドを使用して、ネットワーク オブジェクトをネットワーク グループに追加します。

protocol

TCP および UDP などのプロトコルのグループを定義します。メインの object-group protocol コマンドを入力した後に、 protocol-object コマンドと group-object コマンドを使用して、プロトコル オブジェクトをプロトコル グループに追加します。

service

拡張サービス オブジェクト グループは、コマンド ラインで tcp、udp、または tcp-udp が指定されていない場合、TCP サービス、UDP サービス、ICMP タイプ サービス、および任意のプロトコルを混在させて定義します。メインの object-group service コマンドを入力した後に、 service-object コマンドと group-object コマンドを使用して、サービス オブジェクトをサービス グループに追加します。

コマンド ラインで tcp、udp、または tcp-udp のいずれかをオプションとして指定した場合、service は、「eq smtp」、「range 2000 2010」などの TCP/UDP ポート仕様の標準のサービス オブジェクト グループを定義します。この場合は、メインの object-group service コマンドを入力した後に、 port-object コマンドと group-object コマンドを使用して、ポート オブジェクトをサービス グループに追加します。

tcp

TCP 用に使用するサービス グループを指定します。

tcp-udp

TCP および UDP 用に使用できるサービス グループを指定します。

udp

UDP 用に使用するサービス グループを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ホスト、プロトコル、またはサービスなどのオブジェクトはグループ化できます。この場合、グループ名を使用して単一のコマンドを発行し、そのグループ内のすべてのアイテムに適用できます。

object-group コマンドを使用してグループを定義した後、任意の適応型セキュリティ アプライアンス コマンドを使用すると、コマンドがそのグループ内のすべてのアイテムに適用されます。この機能により、コンフィギュレーションのサイズを非常に小さくすることができます。

オブジェクト グループを定義したら、次のように、該当するすべての適応型セキュリティ アプライアンス コマンドでグループ名の前に object-group キーワードを使用する必要があります。

hostname# show running-config object-group group_name
 

ここで、 group_name はグループの名前です。

次に、オブジェクト グループを定義してすぐにオブジェクト グループを使用する例を示します。

hostname(config)# access-list access_list_name permit tcp any object-group group_name
 

また、 access list コマンドの引数をグループ化できます。

 

1 個単位の引数
オブジェクト グループによる代替

protocol

object-group protocol

host and subnet

object-group network

service

object-group service

icmp_type

object-group icmp_type

コマンドを階層的にグループ化できます。オブジェクト グループは、別のオブジェクト グループのメンバーにできます。

オブジェクト グループを使用する場合は、次のようにする必要があります。

次のように、すべてのコマンドでオブジェクト グループ名の前に object-group キーワードを使用します。

hostname(config)# access-list acl permit tcp object-group remotes object-group locals object-group eng_svc
 

ここで、 remotes および locals は、サンプルのオブジェクト グループ名です。

オブジェクト グループを空にしないでください。

オブジェクト グループがコマンドで現在使用されている場合は、そのオブジェクト グループを削除したり、空にしたりできません。

メインの object-group コマンドを入力した後、コマンド モードがそれに対応するモードに変わります。オブジェクト グループは、新しいモードで定義されます。アクティブになっているモードは、コマンド プロンプトの形式で示されます。たとえば、コンフィギュレーション端末モードのプロンプトは次のように表示されます。

hostname(config)#
 

ここで、 hostname は、適応型セキュリティ アプライアンスの名前です。

ただし、 object-group コマンドを入力した場合は、プロンプトが次のように表示されます。

hostname(config-type)#
 

ここで、 hostname は適応型セキュリティ アプライアンスの名前で、 type はオブジェクトグループ タイプです。

exit quit 、または access-list などの有効な任意の config-mode コマンドを使用して、 object-group モードを終了し、 object-group メイン コマンドを終了します。

show running-config object-group コマンドは、 show running-config object-group grp_id コマンドが入力された場合はその grp_id によって、 show running-config object-group grp_type コマンドを入力した場合はそのグループ タイプによって定義されたすべてのオブジェクト グループを表示します。引数を指定せずに show running-config object-group コマンドを入力した場合は、定義されたすべてのオブジェクト グループが表示されます。

clear configure object-group コマンドを使用して、以前定義した object-group コマンドのグループを削除します。引数を指定せずに clear configure object-group コマンドを使用して、コマンドで使用されていない定義済みオブジェクト グループをすべて削除できます。 grp_type 引数は、そのグループ タイプに対してだけ、コマンドで使用されていない定義済みオブジェクト グループをすべて削除します。

その他のすべての適応型セキュリティ アプライアンス コマンドは、 show running-config コマンドおよび clear configure コマンドを含め、 object-group モードで使用できます。

オブジェクトグループ モード内でのコマンドは、 show running-config object-group write 、または config のコマンドによって表示したり保存したりするときにインデントされて表示されます。

オブジェクトグループ モード内でのコマンドは、メイン コマンドと同じコマンド権限レベルです。

access-list コマンドで 2 つ以上のオブジェクト グループを使用する場合は、最初のグループの要素を先頭に、2 番めのグループの要素が結合され、最初と 2 番めのグループの要素がつながったものに 3 番めのグループの要素が結合されるというように順次、このコマンドで使用されるすべてのオブジェクト グループの要素が 1 つに結合されます。

説明テキストの開始位置は、 description キーワードの後に続く空白スペース(ブランクまたはタブ)の直後の文字です。

次に、 object-group icmp-type モードを使用して、新しい icmp-type オブジェクト グループを作成する例を示します。

hostname(config)# object-group icmp-type icmp-allowed
hostname(config-icmp-object-group)# icmp-object echo
hostname(config-icmp-object-group)# icmp-object time-exceeded
hostname(config-icmp-object-group)# exit
 

次に、 object-group network コマンドを使用して、新しいネットワーク オブジェクト グループを作成する例を示します。

hostname(config)# object-group network sjc_eng_ftp_servers
hostname(config-network-object-group)# network-object host sjc.eng.ftp.servcers
hostname(config-network-object-group)# network-object host 172.23.56.194
hostname(config-network-object-group)# network-object 192.1.1.0 255.255.255.224
hostname(config-network-object-group)# exit
 

次に、 object-group network コマンドを使用して、新しいネットワーク オブジェクト グループを作成し、それを既存のオブジェクトグループにマップする例を示します。

hostname(config)# object-group network sjc_ftp_servers
hostname(config-network-object-group)# network-object host sjc.ftp.servers
hostname(config-network-object-group)# network-object host 172.23.56.195
hostname(config-network-object-group)# network-object 193.1.1.0 255.255.255.224
hostname(config-network-object-group)# group-object sjc_eng_ftp_servers
hostname(config-network-object-group)# exit
 

次に、 object-group protocol モードを使用して、新しいプロトコル オブジェクト グループを作成する例を示します。

hostname(config)# object-group protocol proto_grp_1
hostname(config-protocol-object-group)# protocol-object udp
hostname(config-protocol-object-group)# protocol-object ipsec
hostname(config-protocol-object-group)# exit
 
hostname(config)# object-group protocol proto_grp_2
hostname(config-protocol-object-group)# protocol-object tcp
hostname(config-protocol-object-group)# group-object proto_grp_1
hostname(config-protocol-object-group)# exit
 

次に、 object-group service モードを使用して、新しいポート(サービス)オブジェクト グループを作成する例を示します。

hostname(config)# object-group service eng_service tcp
hostname(config-service-object-group)# group-object eng_www_service
hostname(config-service-object-group)# port-object eq ftp
hostname(config-service-object-group)# port-object range 2000 2005
hostname(config-service-object-group)# exit
 

次に、テキストの説明をオブジェクト グループに追加する例、およびテキストの説明を削除する例を示します。

hostname(config)# object-group protocol protos1
hostname(config-protocol-object-group)# description This group of protocols is for our internal network
 
hostname(config-protocol-object-group)# show running-config object-group id protos1
object-group protocol protos1
description: This group of protocols is for our internal network
 
hostname(config-protocol-object-group)# no description
hostname(config-protocol-object-group)# show running-config object-group id protos1
object-group protocol protos1
 

次に、 group-object モードを使用して、以前定義したオブジェクトで構成される新しいオブジェクト グループを作成する例を示します。

hostname(config)# object-group network host_grp_1
hostname(config-network-object-group)# network-object host 192.168.1.1
hostname(config-network-object-group)# network-object host 192.168.1.2
hostname(config-network-object-group)# exit
 
hostname(config)# object-group network host_grp_2
hostname(config-network-object-group)# network-object host 172.23.56.1
hostname(config-network-object-group)# network-object host 172.23.56.2
hostname(config-network-object-group)# exit
 
hostname(config)# object-group network all_hosts
hostname(config-network-object-group)# group-object host_grp_1
hostname(config-network-object-group)# group-object host_grp_2
hostname(config-network-object-group)# exit
 
hostname(config)# access-list grp_1 permit tcp object-group host_grp_1 any eq ftp
hostname(config)#access-list grp_2 permit tcp object-group host_grp_2 any eq smtp
hostname(config)#access-list all permit tcp object-group all_hosts any eq www
 

group-object コマンドを使用しない場合、 host_grp_1 および host_grp_2 にすでに定義されているすべての IP アドレスを含めるように、 all_hosts グループを定義する必要があります。 group-object コマンドを使用すると、重複するホストの定義が排除されます。

次に、オブジェクト グループを使用して、アクセス リストの設定を簡易化する例を示します。

hostname(config)# object-group network remote
hostname(config-network-object-group)# network-object host kqk.suu.dri.ixx
hostname(config-network-object-group)# network-object host kqk.suu.pyl.gnl
 
hostname(config)# object-group network locals
hostname(config-network-object-group)# network-object host 209.165.200.225
hostname(config-network-object-group)# network-object host 209.165.200.230
hostname(config-network-object-group)# network-object host 209.165.200.235
hostname(config-network-object-group)# network-object host 209.165.200.240
 
hostname(config)# object-group service eng_svc tcp
hostname(config-service-object-group)# port-object eq www
hostname(config-service-object-group)# port-object eq smtp
hostname(config-service-object-group)# port-object range 25000 25100
 

グループ化を使用しない場合に必要な 24 行に代わり、このグループ化を行うと、1 行でアクセス リストを設定できるようになります。代替として、グループ化を使用する場合、アクセス リストの設定は次のようになります。

hostname(config)# access-list acl permit tcp object-group remote object-group locals object-group eng_svc
 

次に、 service-object サブコマンドの使用例を示します。これは、TCP サービスおよび UDP サービスをグループ化する場合に便利です。

 
hostname(config)# object-group network remote
hostname(config-network-object-group)# network-object host kqk.suu.dri.ixx
hostname(config-network-object-group)# network-object host kqk.suu.pyl.gnl
 
hostname(config)# object-group network locals
hostname(config-network-object-group)# network-object host 209.165.200.225
hostname(config-network-object-group)# network-object host 209.165.200.230
hostname(config-network-object-group)# network-object host 209.165.200.235
hostname(config-network-object-group)# network-object host 209.165.200.240
 
hostname(config)# object-group service usr_svc
hostname(config-service-object-group)# service-object tcp destination eq www
hostname(config-service-object-group)# service-object tcp destination eq https
hostname(config-service-object-group)# service-object tcp destination eq pop3
hostname(config-service-object-group)# service-object udp destination eq ntp
hostname(config-service-object-group)# service-object udp destination eq domain
 
hostname(config)# access-list acl permit object-group usr_svc object-group locals object-group remote
 

show running-config object-group コマンドおよび write コマンドにより、オブジェクト グループ名で設定されたアクセス リストを表示できます。show access-list コマンドは、オブジェクト グループ化を使用せず、アクセス リスト エントリを個々のエントリに展開して表示します。


 
関連コマンド

コマンド
説明

clear configure object-group

すべての object group コマンドをコンフィギュレーションから削除します。

group-object

ネットワーク オブジェクト グループを追加します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

port-object

サービス オブジェクト グループにポート オブジェクトを追加します。

show running-config object-group

現在のオブジェクト グループを表示します。

object-group search

ACL の最適化をイネーブルにするには、グローバル コンフィギュレーション モードで object-group search access-control コマンドを使用します。ACL の最適化をディセーブルにするには、このコマンドの no 形式を使用します。

object-group-search access-control

[no] object-group-search access-control

 
構文の説明

access-control

アクセス コントロール ドメインを検索します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

object-group-search コマンドは、インバウンド方向のすべての ACL を最適化します。

object-group-search コマンドがイネーブルの場合、古い NP ルールはすべて、ソフト NP から削除され、オブジェクトグループ ID を使用して再挿入されます。このコマンドがディセーブルの場合、古いルールはすべて、ソフト NP から削除され、オブジェクト グループを拡張することで再挿入されます。

次に、 object-group-search コマンドを使用して、ACL の最適化をイネーブルにする例を示します。

hostname(config)# object-group-search access-control
 

次に、 object-group-search がイネーブルに設定されていないときの show access-list コマンドの出力例を示します。

hostname# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 9 elements
access-list KH-BLK-Tunnel line 1 extended permit ip object-group KH-LAN object-group BLK-LAN 0x724c956b
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0 192.168.4.0 255.255.255.0 (hitcnt=10) 0x30fe29a6
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0 192.168.4.0 255.255.255.0 (hitcnt=4) 0xc6ef2338
access-list KH-BLK-Tunnel line 1 extended permit ip 192.168.97.0 255.255.255.0 14.14.14.0 255.255.255.0 (hitcnt=2) 0xce8596ec
access-list KH-BLK-Tunnel line 1 extended permit ip 13.13.13.0 255.255.255.0 14.14.14.0 255.255.255.0 (hitcnt=0) 0x9a2f1c4d
access-list KH-BLK-Tunnel line 2 extended permit ospf interface pppoe1 host 87.139.87.200 (hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended permit ip interface pppoe1 any (hitcnt=0) 0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
access-list KH-BLK-Tunnel line 5 extended deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0) 0x9d979934
access-list KH-BLK-Tunnel line 6 extended permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0) 0xa52a0761
 

次に、 object-group-search がイネーブルに設定されているときの show access-list コマンドの出力例を示します。

hostname# show access-list KH-BLK-Tunnel
access-list KH-BLK-Tunnel; 6 elements
access-list KH-BLK-Tunnel line 1 extended permit ip object-group KH-LAN(1) object-group BLK-LAN(2)(hitcount=16) 0x724c956b
access-list KH-BLK-Tunnel line 2 extended permit ospf interface pppoe1 host 87.139.87.200 (hitcnt=0) 0xb62d5832
access-list KH-BLK-Tunnel line 3 extended permit ip interface pppoe1 any (hitcnt=0) 0xa2c9ed34
access-list KH-BLK-Tunnel line 4 extended permit ip host 1.1.1.1 any (hitcnt=0) 0xd06f7e6b
access-list KH-BLK-Tunnel line 5 extended deny ip 1.1.0.0 255.255.0.0 any (hitcnt=0) 0x9d979934

access-list KH-BLK-Tunnel line 6 extended permit ip 1.1.1.0 255.255.255.0 any (hitcnt=0) 0xa52a0761

 
関連コマンド

コマンド
説明

clear config object-group search

オブジェクト グループ検索コンフィギュレーションをクリアします。

show object-group

オブジェクト グループがネットワーク オブジェクト グループ タイプの場合にヒット カウントを表示します。

show running-config object-group

現在のオブジェクト グループを表示します。

show running-config object-group-search

実行コンフィギュレーション内のオブジェクト グループ検索コンフィギュレーションを表示します。

object network

名前付きネットワーク オブジェクトを、そのオブジェクトを使用しているすべてのコンフィギュレーションに反映させるように設定するには、オブジェクト コンフィギュレーション モードで object network コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。

object network object name [ rename new_obj_name ] { host ip_addr | subnet net_addr net_mask | range ip_addr_1 ip_addr2 } description text

[no] object network object name [ rename new_obj_name ] { host ip_addr | subnet net_addr net_mask | range ip_addr_1 ip_addr2 } description text

 
構文の説明

description

ネットワーク オブジェクトに対する説明を指定します(最大 200 文字)。

host

ホスト ネットワーク オブジェクトを定義します。

ip_addr

マッピング IP アドレスを指定します。

ip_addr_1

マッピング IP アドレスを指定します。

ip_addr_2

マッピング IP アドレスを指定します。

net_addr

net-mask とともにサブネット ネットワーク オブジェクトを定義します。

net_mask

net-addr とともにサブネット ネットワーク オブジェクトを定義します。

new_obj_name

(任意)新しい名前をネットワーク オブジェクトに割り当てます。

object name

ネットワーク オブジェクトの名前を指定します。

range

ポートの範囲を指定します。

rename

(任意)指定されたオブジェクトを新しいオブジェクト名に変更します。

subnet

net-addr および net-mask とともにサブネット ネットワーク オブジェクトを定義します。

text

ネットワーク オブジェクトの説明のテキストを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

ネットワーク オブジェクトには、ホスト、ネットワーク、または範囲の IP アドレスを含むことができます。また、このネットワーク オブジェクトに対して NAT ルールをイネーブルにできます。


) 特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。複数の NAT ルールを設定する場合は、object network obj-10.10.10.1-01、object network obj-10.10.10.1-02 などのように、同じ IP アドレスを指定する複数のオブジェクトを作成する必要があります。


オブジェクト名は、サービス オブジェクトを指定する必須パラメータです。名前には、1 ~ 64 文字で、文字、数字、およびアンダースコア、ハイフン、カンマ、ピリオドの特殊文字を使用できます。オブジェクト名は文字で始める必要があります。

ネットワーク オブジェクトおよびネットワーク オブジェクト グループは、同じネームスペースを共有する必要があります。abc という名前でネットワーク オブジェクトが存在する場合、abc という名前のネットワーク オブジェクト グループは作成できません。必要に応じて、rename キーワード を使用してネットワーク オブジェクトの名前を変更できます。

ネットワーク オブジェクト名は、IP アドレスとマスクの 1 つのペアだけに関連付けられる必要があります。

ネットワーク オブジェクトは、NAT パラメータをサポートしている必要があります。

既存のネットワーク オブジェクトを異なる IP アドレスとマスクのペアを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。

次に、ネットワーク オブジェクトを作成する例を示します。

hostname (config)# object network OBJECT1
hostname (config-network-object)# host 1.1.1.1
hostname (config-network-object)# object network OBJECT1
hostname (config-network-object)# host 2.2.2.2

 
関連コマンド

コマンド
説明

clear configure object

作成されたすべてのオブジェクトをクリアします。

object service

サービス オブジェクトを、そのオブジェクトを使用しているすべてのコンフィギュレーションに自動的に反映させるように設定するには、サービス オブジェクト コンフィギュレーション モードで object service コマンドを使用します。オブジェクトを削除するには、このコマンドの no 形式を使用します。

object service object name [ rename new_obj_name ] { protocol | icmp icmp-type | icmp6 icmp6-type | tcp | udp | [ source [ operator ] begin-port [ end-port ]] [[ operator ] begin-port [ end - port ]]}

[no] object service object name [ rename new_obj_name ] { protocol | icmp icmp-type | icmp6 icmp6-type | tcp | udp | [ source [ operator ] begin-port [ end-port ]] [[ operator ] begin-port [ end - port ]]}

 
構文の説明

begin-port

サポートされる TCP または UDP のポート名を指定します。

end-port

サポートされる TCP または UDP のポート名を指定します。

icmp

サービス タイプが ICMP 接続用であることを指定します。

icmp6

サービス タイプが ICMP バージョン 6 接続用であることを指定します。

icmp-type

ICMP タイプに名前を付けます。

icmp6-type

ICMP バージョン 6 タイプに名前を付けます。

new_obj_name

新しく名前を変更したサービス オブジェクトの名前を指定します。

object name

既存のサービス オブジェクトの名前を指定します。

operator

単一のポート/コード値を指定し、プロトコル用のポートの設定に対応します。

protocol

使用されているプロトコルのタイプを指定します。

rename

(任意)指定されたオブジェクトを新しいオブジェクト名に変更します。

source

送信元ポートを指定します。

tcp

サービス タイプが TCP 接続用であることを指定します。

udp

サービス タイプが UDP 接続用であることを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

サービス オブジェクト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

サービス オブジェクトは、プロトコル、ICMP、ICMPv6、TCP、または UDP のポートあるいはポート範囲を含むことができます。

オブジェクト名は、サービス オブジェクトを指定する必須パラメータです。名前には、1 ~ 64 文字で、文字、数字、およびアンダースコア、ハイフン、カンマ、ピリオドの特殊文字を使用できます。オブジェクト名は文字で始める必要があります。

サービス オブジェクト名は、プロトコルは 1 つだけ、ポートは 1 つ以上に関連付ける必要があります。

既存のサービス オブジェクトを別のプロトコルおよび 1 つ以上の別のポートを使用して設定する場合、新しいコンフィギュレーションにより、既存のプロトコルおよび 1 つ以上のポートが新しい設定に置き換わります。

eq neq lt gt 、および range などの演算子は、特定のプロトコル用のポートの設定に対応します。演算子が指定されていない場合、デフォルトの演算子は eq です。

次に、サービス オブジェクトを作成する例を示します。

hostname(config)# object service SERVOBJECT1
hostname(config-service-object)# service tcp source eq www destination eq ssh

 
関連コマンド

コマンド
説明

clear configure object

作成されたすべてのオブジェクトをクリアします。

ocsp disable-nonce

ナンス拡張をディセーブルにするには、暗号 CA トラストポイント コンフィギュレーション モードで ocsp disable-nonce コマンドを使用します。デフォルトでは、OCSP 要求にナンス拡張を含めます。ナンス拡張では、リプレイ アタックを回避するために、要求と応答を暗号化してバインドします。ただし、一部の OCSP サーバは、この照合ナンス拡張を含まない事前生成された応答を使用します。これらのサーバで OCSP を使用するには、ナンス拡張をディセーブルにする必要があります。ナンス拡張を再度イネーブルにするには、このコマンドの no 形式を使用します。

ocsp disable-nonce

no ocsp disable-nonce

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトでは、OCSP 要求はナンス拡張を含みません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、OCSP 要求には OCSP ナンス拡張は含まれず、適応型セキュリティ アプライアンスはこれをチェックしません。

次に、newtrust というトラストポイントのナンス拡張をディセーブルにする例を示します。

hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# ocsp disable-nonce
hostname(config-ca-trustpoint)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

暗号 CA トラストポイント モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。

match certificate

OCSP 上書きルールを設定します。

ocsp url

トラストポイントに関連付けられているすべての証明書をチェックするために使用する OCSP サーバを指定します。

revocation-check

失効確認に使用する方法、および確認を行う順序を指定します。

ocsp url

クライアント証明書の AIA 拡張で指定されたサーバではなく、適応型セキュリティ アプライアンスの OCSP サーバを、トラストポイントに関連付けられたすべての証明書のチェックに使用するように設定するには、暗号 CA トラストポイント コンフィギュレーション モードで ocsp url コマンドを使用します。コンフィギュレーションからサーバを削除するには、このコマンドの no 形式を使用します。

ocsp url URL

no ocsp url

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、HTTP URL だけをサポートします。トラストポイント単位に URL を 1 つだけ指定できます。

適応型セキュリティ アプライアンスでは、OCSP サーバの URL を定義するために 3 つの方法が用意されており、ユーザが定義する方法に従って、次の順序で OCSP サーバの使用を試します。

match certificate コマンドを使用して設定する OCSP サーバ。

ocsp url コマンドを使用して設定する OCSP サーバ。

クライアント証明書の AIA フィールドの OCSP サーバ。

match certificate コマンドまたは ocsp url コマンドによって OCSP URL を設定しない場合、適応型セキュリティ アプライアンスは、クライアント証明書の AIA 拡張の OCSP サーバを使用します。証明書に AIA 拡張がない場合、失効ステータスのチェックは失敗します。

次に、URL http://10.1.124.22 の OCSP サーバを設定する例を示します。

hostname(config)# crypto ca trustpoint newtrust
hostname(config-ca-trustpoint)# ocsp url http://10.1.124.22
hostname(config-ca-trustpoint)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

暗号 CA トラストポイント モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。

match certificate

OCSP 上書きルールを設定します。

ocsp disable-nonce

OCSP 要求のナンス拡張をディセーブルにします。

revocation-check

失効確認に使用する方法、および確認を行う順序を指定します。

onscreen-keyboard

ログイン ペインまたはログイン/パスワードを要求するすべてのペインに、オンスクリーン キーボードを挿入するには、webvpn モードで the onscreen-keyboard コマンドを使用します。以前設定したオンスクリーン キーボードを削除するには、このコマンドの no バージョンを使用します。

onscreen-keyboard {logon | all}

no onscreen-keyboard [logon | all]

 
構文の説明

logon

ログイン ペインに対してオンスクリーン キーボードを挿入します。

all

ログイン ペイン、およびログイン/パスワードを要求するその他のすべてのペインに対してオンスクリーン キーボードを挿入します。

 
デフォルト

オンスクリーン キーボードはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

オンスクリーン キーボードを使用すると、キーを入力する必要がなく、ユーザの資格情報を入力できます。

次に、ログイン ページに対してオンスクリーン キーボードをイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# onscreen-keyboard logon
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

webvpn

webvpn モードを開始します。このモードでは、クライアントレス SSLVPN 接続のアトリビュートを設定できます。

ospf authentication

OSPF 認証の使用をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf authentication コマンドを使用します。デフォルトの認証スタンスに戻すには、このコマンドの no 形式を使用します。

ospf authentication [ message-digest | null ]

no ospf authentication

 
構文の説明

message-digest

(任意)OSPF メッセージ ダイジェスト認証を使用するように指定します。

null

(任意)OSPF 認証を使用しないように指定します。

 
デフォルト

デフォルトでは、OSPF 認証はイネーブルではありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ospf authentication コマンドを使用する前に、 ospf authentication-key コマンドを使用して、インターフェイス用のパスワードを設定します。 message-digest キーワードを使用する場合は、 ospf message-digest-key コマンドを使用して、インターフェイス用のメッセージ ダイジェスト キーを設定します。

下位互換性のため、エリアの認証タイプは引き続きサポートされます。認証タイプがインターフェイスで指定されていない場合は、エリアの認証タイプが使用されます(エリアのデフォルトはヌル認証です)。

このコマンドをオプションを指定せずに使用すると、簡易パスワード認証がイネーブルになります。

次に、選択されたインターフェイスで OSPF の簡易パスワード認証をイネーブルにする例を示します。

hostname(config-if)# ospf authentication
hostname(config-if)#
 

 
関連コマンド

コマンド
説明

ospf authentication-key

ネイバー ルーティング デバイスによって使用されるパスワードを指定します。

ospf message-digest-key

MD5 認証をイネーブルにし、MD5 キーを指定します。

ospf authentication-key

ネイバー ルーティング デバイスによって使用されるパスワードを指定するには、インターフェイス コンフィギュレーション モードで ospf authentication-key コマンドを使用します。パスワードを削除するには、このコマンドの no 形式を使用します。

ospf authentication-key [0 | 8] password

no ospf authentication-key

 
構文の説明

0

暗号化されていないパスワードが後に続くことを指定します。

8

暗号化されたパスワードが後に続くことを指定します。

password

ネイバー ルーティング デバイスで使用する OSPF 認証パスワードを割り当てます。パスワードは 8 文字以下にする必要があります。文字と文字の間に空白スペースを含めることができます。パスワードの先頭と最後にあるスペースは無視されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドで作成されるパスワードは、ルーティング プロトコル パケットの発信時に OSPF ヘッダーに直接挿入されるキーとして使用されます。インターフェイス単位で各ネットワークに、別々のパスワードを割り当てることができます。同じネットワーク上のすべてのネイバー ルータには、OSPF 情報を交換できるように、同じパスワードを設定する必要があります。

次に、OSPF 認証のパスワードを指定する例を示します。

hostname(config-if)# ospf authentication-key 8 yWIvi0qJAnGK5MRWQzrhIohkGP1wKb

 
関連コマンド

コマンド
説明

area authentication

指定されたエリアの OSPF 認証をイネーブルにします。

ospf authentication

OSPF 認証の使用をイネーブルにします。

ospf cost

インターフェイス経由でパケットを送信するコストを指定するには、インターフェイス コンフィギュレーション モードで ospf cost コマンドを使用します。インターフェイス コストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

ospf cost interface_cost

no ospf cost

 
構文の説明

interface_cost

インターフェイス経由でパケットを送信するコスト(リンクステート メトリック)。これは、0 ~ 65535 の符号なし整数値です。0 は、インターフェイスに直接接続されたネットワークを表し、帯域幅が大きいインターフェイスほど、そのインターフェイスを通ってパケットを送信するための関連コストが下がります。つまり、コストの値が大きいと帯域幅の小さいインターフェイスを表し、コストの値が小さいと帯域幅の大きいインターフェイスを表します。

適応型セキュリティ アプライアンスの OSPF インターフェイスのデフォルト コストは 10 です。このデフォルトは、デフォルト コストがファスト イーサネットおよびギガビット イーサネットの場合 1、10BaseT の場合 10 である Cisco IOS ソフトウェアとは異なります。ご使用のネットワークで ECMP を使用している場合は、この点を考慮することが重要です。

 
デフォルト

デフォルトの interface_cost は 10 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ospf cost コマンドを使用して、インターフェイス上でパケットを送信するコストを明示的に指定できます。 interface_cost パラメータは、0 ~ 65535 の符号なし整数値です。

no ospf cost コマンドを使用すると、パス コストをデフォルト値にリセットできます。

次に、選択したインターフェイス上でパケットを送信するコストを指定する例を示します。

hostname(config-if)# ospf cost 4
 

 
関連コマンド

コマンド
説明

show running-config interface

指定したインターフェイス コンフィギュレーションを表示します。

ospf database-filter

同期中およびフラッディング中に OSPF インターフェイスに対して、すべての発信 LSA をフィルタリングして排除するには、インターフェイス コンフィギュレーション モードで ospf database-filter コマンドを使用します。LSA を元に戻すには、このコマンドの no 形式を使用します。

ospf database-filter all out

no ospf database-filter all out

 
構文の説明

all out

OSPF インターフェイスに対してすべての発信 LSA をフィルタリングします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ospf database-filter コマンドは、OSPF インターフェイスに対して発信 LSA をフィルタリングします。 no ospf database-filter all out コマンドは、インターフェイスに対して LSA のフォワーディングを元に戻します。

次に、発信 LSA をフィルタリングする ospf database-filter コマンドの使用例を示します。

hostname(config-if)# ospf database-filter all out
 

 
関連コマンド

コマンド
説明

show interface

インターフェイスのステータス情報を表示します。

ospf dead-interval

ネイバーがルータのダウンを宣言するまでの間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf dead-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ospf dead-interval seconds

no ospf dead-interval

 
構文の説明

seconds

hello パケットが確認されていない時間の長さ。 seconds のデフォルトは、 ospf hello-interval コマンドで設定された間隔の 4 倍です(1 ~ 65535 の範囲)。

 
デフォルト

seconds のデフォルト値は、 ospf hello-interval コマンドで設定された間隔の 4 倍です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ospf dead-interval コマンドを使用して、ネイバーがルータのダウンを宣言するまでのデッド間隔(hello パケットが確認されない時間の長さ)を設定できます。 seconds 引数はデッド間隔を指定ます。ネットワーク上のすべてのノードで同じ設定にする必要があります。 seconds のデフォルトは、 ospf hello-interval コマンドで設定された間隔の 4 倍です(1 ~ 65535 の範囲)。

no ospf dead-interval コマンドを使用して、デフォルトの間隔値に戻すことができます。

次の例では、OSPF デッド間隔を 1 分に設定します。

hostname(config-if)# ospf dead-interval 60
 

 
関連コマンド

コマンド
説明

ospf hello-interval

インターフェイス上で送信される hello パケット間の間隔を指定します。

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

ospf hello-interval

インターフェイス上で送信される hello パケット間の間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

ospf hello-interval seconds

no ospf hello-interval

 
構文の説明

seconds

インターフェイス上で送信される hello パケット間の間隔を指定します。有効な値は 1 ~ 65535 秒です。

 
デフォルト

hello-interval seconds のデフォルト値は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

この値は、hello パケットでアドバタイズされます。hello 間隔を小さくするほど、トポロジの変更が速く検出されますが、ルーティング トラフィックの増加につながります。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じにする必要があります。

次の例では、OSPF hello 間隔を 5 秒に設定します。

hostname(config-if)# ospf hello-interval 5
 

 
関連コマンド

コマンド
説明

ospf dead-interval

ネイバーがルータのダウンを宣言するまでの間隔を指定します。

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

ospf message-digest-key

OSPF MD5 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf message-digest-key コマンドを使用します。MD5 キーを削除するには、このコマンドの no 形式を使用します。

ospf message-digest-key key-id md5 [0 | 8] key

no ospf message-digest-key

 
構文の説明

key-id

MD5 認証をイネーブルにし、数値の認証キー ID 番号を指定します。有効な値は 1 ~ 255 です。

md5 key

最大 16 バイトの英数字のパスワード。キーの文字間にスペースを含めることができます。キーの先頭と最後にあるスペースは無視されます。MD5 認証では、通信の整合性の確認、発信元の認証、および適時性のチェックが行われます。

0

暗号化されていないパスワードが後に続くことを指定します。

8

暗号化されたパスワードが後に続くことを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ospf message-digest-key コマンドを使用して、MD5 認証をイネーブルに設定できます。このコマンドの no 形式を使用して、古い MD5 キーを削除できます。 key_id は、認証キー用の 1 ~ 255 の数値の ID です。 key は、最大 16 バイトの英数字のパスワードです。MD5 では、通信の整合性の確認、発信元の認証、および適時性のチェックが行われます。

次に、OSPF 認証用の MD5 キーを指定する例を示します。

hostname(config-if)# ospf message-digest-key 3 md5 8 yWIvi0qJAnGK5MRWQzrhIohkGP1wKb
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリア認証をイネーブルにします。

ospf authentication

OSPF 認証の使用をイネーブルにします。

ospf mtu-ignore

データベース パケット受信時の OSPF Maximum Transmission Unit(MTU; 最大転送ユニット)の不一致検出をディセーブルにするには、インターフェイス コンフィギュレーション モードで ospf mtu-ignore コマンドを使用します。MTU の不一致検出を元に戻すには、このコマンドの no 形式を使用します。

ospf mtu-ignore

no ospf mtu-ignore

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、 ospf mtu-ignore はイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

OSPF は、ネイバーが共通のインターフェイス上で同じ MTU を使用しているかどうかをチェックします。このチェックは、ネイバーが Database Descriptor(DBD; データベース記述子)パケットを交換するときに実行されます。DBD パケットの受信側 MTU が、着信インターフェイスで設定されている IP MTU よりも大きい場合、OSPF の隣接関係は確立されません。 ospf mtu-ignore コマンドにより、DBD パケットの受信時の OSPF MTU 不一致検出はディセーブルになります。これは、デフォルトでイネーブルです。

次に、 ospf mtu-ignore コマンドをディセーブルにする例を示します。

hostname(config-if)# ospf mtu-ignore
 

 
関連コマンド

コマンド
説明

show interface

インターフェイスのステータス情報を表示します。

ospf network point-to-point non-broadcast

OSPF インターフェイスをポイントツーポイントの非ブロードキャスト ネットワークとして設定するには、インターフェイス コンフィギュレーション モードで ospf network point-to-point non-broadcast コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。 ospf network point-to-point non-broadcast コマンドを使用して、VPN トンネル経由の OSPF ルートを通します。

ospf network point-to-point non-broadcast

no ospf network point-to-point non-broadcast

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイスがポイントツーポイントとして指定されている場合、OSPF ネイバーを手動で設定する必要があります。動的に検出することはできません。OSPF ネイバーを手動で設定するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。

インターフェイスがポイントツーポイントとして設定されている場合は、次の制限が適用されます。

インターフェイスにネイバーを 1 つだけ定義できます。

暗号化エンドポイントを指すスタティック ルートを定義する必要があります。

インターフェイスは、ネイバーが明示的に設定されない限り、隣接関係が成立しません。

インターフェイス上でトンネル経由の OSPF が実行されている場合、アップストリーム ルータを使用する通常の OSPF を同じインターフェイス上で実行できません。

OSPF アップデートが VPN トンネルをパススルーするようにするには、OSPF ネイバーを指定する前に、暗号マップをインターフェイスにバインドする必要があります。OSPF ネイバーを指定した後に暗号マップをインターフェイスにバインドした場合は、 clear local-host all コマンドを使用して OSPF 接続をクリアし、OSPF の隣接関係を VPN トンネル経由で確立できるようにします。

次に、選択したインターフェイスをポイントツーポイントの非ブロードキャスト インターフェイスとして設定する例を示します。

hostname(config-if)# ospf network point-to-point non-broadcast
hostname(config-if)#
 

 
関連コマンド

コマンド
説明

neighbor

手動で設定された OSPF ネイバーを指定します。

show interface

インターフェイスのステータス情報を表示します。

ospf priority

OSPF ルータ プライオリティを変更するには、インターフェイス コンフィギュレーション モードで ospf priority コマンドを使用します。デフォルトのプライオリティに戻すには、このコマンドの no 形式を使用します。

ospf priority number

no ospf priority [ number ]

 
構文の説明

number

ルータのプライオリティを指定します。有効な値は 0 ~ 255 です。

 
デフォルト

number のデフォルト値は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ネットワークに接続された 2 つのルータの両方が、指定ルータになることを試みた場合は、ルータ プライオリティの高い方のルータが優先されます。プライオリティが同じ場合、より高位のルータ ID を持つルータが優先されます。ルータ プライオリティがゼロに設定されたルータは、指定ルータまたはバックアップ指定ルータになるためには不適切です。ルータ プライオリティは、マルチアクセス ネットワークへの(つまり、ポイントツーポイント ネットワークへは向かわない)インターフェイスに対してだけ設定します。

次に、選択したインターフェイスで OSPF プライオリティを変更する例を示します。

hostname(config-if)# ospf priority 4
hostname(config-if)#
 

 
関連コマンド

コマンド
説明

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

ospf retransmit-interval

インターフェイスに属する隣接関係の LSA 再送信間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ospf retransmit-interval seconds

no ospf retransmit-interval [ seconds ]

 
構文の説明

seconds

インターフェイスに属する隣接ルータの LSA 再送信間隔を指定します。有効な値は 1 ~ 65535 秒です。

 
デフォルト

retransmit-interval seconds のデフォルト値は 5 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ルータは、LSA をそのネイバーに送信する場合、確認応答メッセージを受信するまで LSA を保持します。ルータは、確認応答を受信しなかった場合、LSA を再送信します。

このパラメータの設定は控えめにしないと、不要な再送信が行われることになります。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

次に、LSA の再送信間隔を変更する例を示します。

hostname(config-if)# ospf retransmit-interval 15
hostname(config-if)#
 

 
関連コマンド

コマンド
説明

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

ospf transmit-delay

インターフェイス上でのリンクステート アップデート パケットの送信に必要な推定時間を設定するには、インターフェイス コンフィギュレーション モードで ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ospf transmit-delay seconds

no ospf transmit-delay [ seconds ]

 
構文の説明

seconds

インターフェイス上でのリンクステート アップデート パケットの送信に必要な推定時間を設定します。デフォルト値は 1 秒で、指定できる範囲は 1 ~ 65535 秒です。

 
デフォルト

seconds のデフォルト値は 1 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

アップデート パケットの LSA のエージングは、送信するまでに、 seconds 引数で指定した時間ずつ増分される必要があります。割り当てる値は、インターフェイスの送信遅延および伝搬遅延を考慮する必要があります。

遅延分を足さずに、リンク経由で送信した場合、LSA がリンク経由で伝搬される時間は考慮されません。この設定は、非常に速度の遅いリンクでより顕著になります。

次の例では、選択したインターフェイスの送信遅延を 3 秒に設定します。

hostname(config-if)# ospf restransmit-delay 3
hostname(config-if)#
 

 
関連コマンド

コマンド
説明

show ospf interface

OSPF 関連のインターフェイス情報を表示します。

otp expiration

ローカルの Certificate Authority(CA; 認証局)の登録ページ用に発行された One-Time Password(OTP; ワンタイム パスワード)が有効な期間(時間単位)を指定するには、CA サーバ コンフィギュレーション モードで otp expiration コマンドを使用します。期間をデフォルトの時間数にリセットするには、このコマンドの no 形式を使用します。

otp expiration timeout

no otp expiration

 
構文の説明

timeout

登録ページ用の OTP が期限切れになるまでに、ローカル CA サーバの証明書を登録しなければならない期間(時間単位)を指定します。有効な値は、1 ~ 720 時間(30 日)です。

 
デフォルト

デフォルトで、証明書登録の OTP の有効期限は 72 時間(3 日)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

OTP 期限切れまでの期間には、CA サーバの登録ページにログインしなければならない期間(時間数)を指定します。ユーザが証明書のためのログインと登録を行った時点で、 enrollment retrieval コマンドで指定された期間が始まります。


) 登録インターフェイス ページを使用する証明書用の登録のためのユーザ OTP は、そのユーザが発行した証明書およびキーペアを含む PKCS12 ファイルのロックを解除するためのパスワードとしても使用されます。


次の例では、登録ページの OTP を 24 時間適用することを指定します。

hostname(config)# crypto ca server
hostname(config-ca-server)# otp expiration 24
hostname(config-ca-server)#

次の例では、OTP の期間をデフォルトの 72 時間にリセットします。

hostname(config)# crypto ca server
hostname(config-ca-server))# no otp expiration
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

enrollment-retrieval

登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定します。

show crypto ca server

認証局の設定を表示します。

outstanding

未認証の電子メール プロキシ セッションの数を制限するには、適切な電子メール プロキシ コンフィギュレーション モードで outstanding コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。

outstanding { number }

no outstanding

 
構文の説明

number

未認証のセッションを許可する数。指定できる範囲は 1 ~ 1000 です。

 
デフォルト

デフォルトは 20 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

pop3s

--

--

--

Imap4s

--

--

--

Smtps

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの no バージョンを使用して、コンフィギュレーションからアトリビュートを削除します。これにより、未認証のセッション数は無制限に許可されます。これは、電子メール ポート上の DoS 攻撃も制限します。

電子メール プロキシ接続には次の 3 つの状態があります。

1. 新しい電子メール接続は、「未認証」の状態になります。

2. 接続がユーザ名を示すと、「認証中」の状態になります。

3. 適応型セキュリティ アプライアンスが接続を認証すると、「認証済み」の状態になります。

未認証の状態の接続数が設定された制限を超えた場合、適応型セキュリティ アプライアンスは、最も古い未認証接続を終了し、過負荷を防止します。認証済み接続を終了することはありません。

次に、POP3S 電子メール プロキシに対して、制限を 12 個の未認証セッションとして設定する例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# outstanding 12

 

override-account-disable

AAA サーバからのアカウント ディセーブル表示をオーバーライドするには、トンネル グループ一般アトリビュート コンフィギュレーション モードで override-account-disable コマンドを使用します。オーバーライドをディセーブルにするには、このコマンドの no 形式を使用します。

override-account-disable

no override-account-disable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1.1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、「アカウント ディセーブル」表示を返す、NT LDAP を使用する RADIUS や Kerberos などのサーバに対して有効です。

このアトリビュートを IPSec RA および WebVPN トンネル グループに対して設定できます。

次の例では、WebVPN トンネル グループ「testgroup」に対して、AAA サーバからの「アカウント ディセーブル」表示のオーバーライドを許可します。

hostname(config)# tunnel-group testgroup type webvpn
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

次の例では、IPSec リモート アクセス トンネル グループ「QAgroup」に対して、AAA サーバからの「アカウント ディセーブル」表示のオーバーライドを許可します。

hostname(config)# tunnel-group QAgroup type ipsec-ra
hostname(config)# tunnel-group QAgroup general-attributes
hostname(config-tunnel-general)# override-account-disable
hostname(config-tunnel-general)#
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

特定のトンネル グループのトンネル グループ データベースまたはコンフィギュレーションをクリアします。

tunnel-group general-attributes

トンネル グループ一般アトリビュート値を設定します。

override-svc-download

AnyConnect または SSL VPN クライアントのダウンロード用のグループ ポリシー コンフィギュレーションまたはユーザ名アトリビュート コンフィギュレーションをオーバーライドするように、接続プロファイルを設定するには、トンネル グループ webvpn アトリビュート コンフィギュレーション モードで override-svc-download コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

override-svc-download enable

no override-svc-download enable

 
デフォルト

デフォルトはディセーブルです。適応型セキュリティ アプライアンスは、クライアントのダウンロード用のグループ ポリシー コンフィギュレーションまたはユーザ名アトリビュート コンフィギュレーションをオーバーライドしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

セキュリティ アプライアンスは、 vpn-tunnel-protocol コマンドを使用して、クライアントレス、SSL VPN、またはその両方がグループ ポリシー アトリビュートまたはユーザ名アトリビュートでイネーブルになっているかどうかを基準に、リモート ユーザに対してクライアントレス、AnyConnect、または SSL VPN のクライアント接続を許可します。 svc ask コマンドは、クライアントをダウンロードするか、WebVPN ホームページに戻るかをユーザにプロンプトで表示することにより、クライアント ユーザの操作性をさらに修正します。

ただし、特定のトンネル グループでログインしているクライアントレス ユーザに対して、クライアントレス SSL VPN ホームページを表示させる前に期限切れになるダウンロード プロンプトを待機させて遅延が発生しないようにする場合があります。 override-svc-download コマンドを使用して接続プロファイルレベルで、これらのユーザの遅延を防止できます。このコマンドは、 vpn-tunnel-protocol コマンドまたは svc ask コマンドの設定にかかわらず、接続プロファイルを使用してログインするユーザには、クライアントレス SSL VPN ホームページをすぐに表示させます。

次の例では、接続プロファイル engineering のトンネル グループ webvpn アトリビュート コンフィギュレーション モードを開始し、この接続プロファイルをイネーブルにして、クライアント ダウンロード プロンプト用のグループ ポリシー アトリビュートおよびユーザ名アトリビュートの設定をオーバーライドします。

hostname(config)# tunnel-group engineering webvpn-attributes
hostname(config-tunnel-webvpn)# override-svc-download

 
関連コマンド

コマンド
説明

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。