Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
packet-tracer コマンド~ pwd コマンド
packet-tracer コマンド~ pwd コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

packet-tracer コマンド~ pwd コマンド

packet-tracer

page style

pager

parameters

participate

passive-interface

passive-interface(EIGRP)

passwd

password encryption aes

password(暗号 CA トラストポイント)

password-management

password-parameter

password-prompt

password-storage

peer-id-validate

perfmon

periodic

permit errors

permit response

pfs

phone-proxy

pim

pim accept-register

pim bidir-neighbor-filter

pim dr-priority

pim hello-interval

pim join-prune-interval

pim neighbor-filter

pim old-register-checksum

pim rp-address

pim spt-threshold infinity

ping

police

policy

policy-map

policy-map type inspect

policy-server-secret

polltime interface

pop3s

port

port-forward

port-forward-name

port-object

post-max-size

pppoe client route distance

pppoe client route track

pppoe client secondary

pre-fill-username

preempt

prefix-list

prefix-list description

prefix-list sequence-number

pre-shared-key

primary

priority

priority(VPN ロード バランシング)

priority-queue

privilege

prompt

protocol-enforcement

protocol http

protocol ldap

protocol scep

protocol-object

protocol-violation

proxy-bypass

proxy-ldc-issuer

proxy-server

publish-crl

pwd

packet-tracer コマンド~ pwd コマンド

packet-tracer

パケット スニッフィングおよびネットワーク障害隔離を実行するパケット トレース機能をイネーブルにするには、特権 EXEC コンフィギュレーション モードで packet-tracer コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

packet-tracer input [ src_int ] protocol src_addr src_port dest_addr dest_port [ detailed ] [ xml ]

no packet-tracer

 
構文の説明

input src_int

パケット トレースの送信元インターフェイスを指定します。

protocol

パケット トレースのプロトコル タイプを指定します。利用できるプロトコル タイプのキーワードは、 icmp rawip tcp 、または udp です。

src_addr

パケット トレースの送信元アドレスを指定します。

src_port

パケット トレースの送信元ポートを指定します。

dest_addr

パケット トレースの宛先アドレスを指定します。

dest_port

パケット トレースの宛先ポートを指定します。

detailed

(任意)詳細なパケット トレース情報を提供します。

xml

(任意)XML 形式でトレース キャプチャを表示します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

パケットのキャプチャに加えて、セキュリティ アプライアンスを通過するパケットのライフスパンをトレースすることで、パケットが想定どおりに動作しているかどうかを確認できます。 packet-tracer コマンドを使用すると、次の処理ができます。

実動ネットワークのすべてのパケット ドロップをデバッグする。

コンフィギュレーションが意図したとおりに機能していることを確認する。

パケットに適用可能なすべてのルールと、そのルールが追加される原因となった CLI コマンド行を表示する。

データ パス内でのパケット変化を時系列で表示する。

トレーサ パケットをデータ パスに挿入する。

packet-tracer コマンドを使用すると、パケットに関する詳細情報、およびパケットがセキュリティ アプライアンスによってどのように処理されたかが表示されます。コンフィギュレーションからのコマンドが原因でパケットがドロップしたのではない場合、 packet-tracer コマンドにより、原因に関する詳細な情報が読みやすい形式で表示されます。たとえば、ヘッダーの検証が無効なためにパケットがドロップされた場合、「packet dropped due to bad ip header (reason)」というメッセージが表示されます。

内部ホスト 10.2.25.3 から外部ホスト 209.165.202.158 へのパケットについて、パケット トレースをイネーブルにして詳細情報を表示するには、次のように入力します。

hostname# packet-tracer input inside tcp 10.2.25.3 www 209.165.202.158 aol detailed
 

 
関連コマンド

コマンド
説明

capture

トレース パケットを含めて、パケット情報をキャプチャします。

show capture

オプションが指定されていない場合は、キャプチャ コンフィギュレーションを表示します。

page style

WebVPN ユーザがセキュリティ アプライアンスに接続したときに表示される WebVPN ページをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで page style コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

page style value

[ no ] page style value

 
構文の説明

value

Cascading Style Sheet(CSS)パラメータ(最大 256 文字)。

 
デフォルト

デフォルトのページ スタイルは、background-color:white;font-family:Arial,Helv,sans-serif です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、ページ スタイルを large にカスタマイズする例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# page style font-size:large

 
関連コマンド

コマンド
説明

logo

WebVPN ページのロゴをカスタマイズします。

title

WebVPN ページのタイトルをカスタマイズします。

pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでのデフォルトのページ行数を設定するには、グローバル コンフィギュレーション モードで pager コマンドを使用します。

pager [lines] lines

 
構文の説明

[ lines ] lines

---more--- 」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。デフォルトは 24 行です。0 は、ページの制限がないことを示します。指定できる範囲は 0 ~ 2147483647 行です。 lines キーワードは任意です。このキーワードの有無にかかわらず、コマンドは同じです。

 
デフォルト

デフォルトは 24 行です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、特権 EXEC モード コマンドからグローバル コンフィギュレーション モード コマンドに変更されました。 terminal pager コマンドが特権 EXEC モード コマンドとして追加されました。

 
使用上のガイドライン

このコマンドは、Telnet セッション用のデフォルトのページ行設定を変更します。現在のセッションのみに対して一時的に設定を変更する場合は、 terminal pager コマンドを使用します。

管理コンテキストに Telnet で接続した場合、 pager コマンドの設定が異なる他のコンテキストに変更しても、ページ行設定は使用中のセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。

次に、表示される行数を 20 に変更する例を示します。

hostname(config)# pager 20
 

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定をクリアします。

show running-config terminal

現在の端末設定を表示します。

terminal

システム ログ メッセージが Telnet セッションで表示されるようにします。

terminal pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

グローバル コンフィギュレーション モードでの端末の表示幅を設定します。

parameters

パラメータ コンフィギュレーション モードを開始して、インスペクション ポリシー マップのパラメータを設定するには、ポリシー マップ コンフィギュレーション モードで parameters コマンドを使用します。

parameters

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 のポリシー マップ( policy-map コマンド)で、 inspect コマンドを使用してインスペクション エンジンをイネーブルにする場合は、 policy-map type inspect コマンドで作成されたインスペクション ポリシー マップで定義されているアクションを、オプションでイネーブルにすることもできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。dns_policy_map は、インスペクション ポリシー マップの名前です。

インスペクション ポリシー マップは、1 つ以上の parameters コマンドをサポートする場合があります。パラメータはインスペクション エンジンの動作に影響します。パラメータ コンフィギュレーション モードで使用できるコマンドは、アプリケーションによって異なります。

次に、デフォルトのインスペクション ポリシー マップ内に DNS パケットの最大メッセージ長を設定する例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# message-length maximum 512
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

participate

デバイスを仮想ロード バランシング クラスタに強制的に参加させるには、VPN ロード バランシング コンフィギュレーション モードで participate コマンドを使用します。クラスタに参加しているデバイスをクラスタから削除するには、このコマンドの no 形式を使用します。

participate

no participate

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト動作では、デバイスは VPN ロード バランシング クラスタには参加しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

VPN ロード バランシング モードを開始するには、 interface コマンドおよび nameif コマンドを使用してインターフェイスを設定してから、 vpn load-balancing コマンドを使用する必要があります。また、事前に cluster ip コマンドを使用してクラスタの IP アドレスを設定し、仮想クラスタの IP アドレスが参照するインターフェイスを設定しておく必要があります。

このコマンドは、このデバイスを強制的に仮想ロード バランシング クラスタに参加させます。デバイスの参加をイネーブルにするには、このコマンドを明示的に発行する必要があります。

同じクラスタに参加しているすべてのデバイスは、同一のクラスタ固有の値(IP アドレス、暗号化設定、暗号キー、およびポート)を共有する必要があります。


) 暗号化を使用する場合は、事前に isakmp enable inside コマンドを設定しておく必要があります。inside には、load-balancing inside インターフェイスを指定します。load-balancing inside インターフェイス上で isakmp がイネーブルになっていない場合、クラスタ暗号化を設定しようとするとエラー メッセージが表示されます。

cluster encryption コマンドを設定したときには isakmp がイネーブルであった場合でも、participate コマンドを設定する前にディセーブルにした場合は、participate コマンドの入力時にエラー メッセージが表示され、そのローカル デバイスはクラスタに参加しません。


次に、現在のデバイスの VPN ロード バランシング クラスタへの参加をイネーブルにする participate コマンドが含まれた、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# participate
 

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

passive-interface

インターフェイスでの RIP ルーティング アップデートの送信をディセーブルにするには、ルータ コンフィギュレーション モードで passive-interface コマンドを使用します。インターフェイスでの RIP ルーティング アップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface { default | if_name }

no passive-interface { default | if_name }

 
構文の説明

default

(任意)すべてのインターフェイスを受動モードに設定します。

if_name

(任意)指定したインターフェイスを受動モードに設定します。

 
デフォルト

すべてのインターフェイスは RIP がイネーブルの場合にアクティブ RIP に対してイネーブルになります。

インターフェイスまたは default キーワードが指定されていない場合、コマンドはデフォルトの default となり、コンフィギュレーションには passive-interface default と表示されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス上で受動 RIP をイネーブルにします。インターフェイスは RIP ルーティング ブロードキャストをリッスンし、その情報を使用してルーティング テーブルに値を入力しますが、ルーティング アップデートはブロードキャストしません。

次に、outside インターフェイスを受動 RIP に設定する例を示します。セキュリティ アプライアンスのその他のインターフェイスは RIP アップデートを送受信します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# passive-interface outside
 

 
関連コマンド

コマンド
説明

clear configure rip

実行コンフィギュレーションからすべての RIP コマンドをクリアします。

router rip

RIP ルーティング プロセスをイネーブルにし、RIP ルータ コンフィギュレーション モードを開始します。

show running-config rip

実行コンフィギュレーションの RIP コマンドを表示します。

passive-interface(EIGRP)

インターフェイスでの EIGRP ルーティング アップデートの送受信をディセーブルにするには、ルータ コンフィギュレーション モードで passive-interface コマンドを使用します。インターフェイスでのルーティング アップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface { default | if_name }

no passive-interface { default | if_name }

 
構文の説明

default

(任意)すべてのインターフェイスを受動モードに設定します。

if_name

(任意) nameif コマンドで指定された、受動モードにするインターフェイスの名前。

 
デフォルト

対象のインターフェイスに対してルーティングがイネーブルになっている場合、すべてのインターフェイスはアクティブ ルーティング(ルーティング アップデートの送受信)がイネーブルになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

EIGRP ルーティングのサポートが追加されました。

 
使用上のガイドライン

インターフェイスのパッシブ ルーティングをイネーブルにします。EIGRP の場合、このコマンドにより対象のインターフェイスでのルーティング アップデートの送受信がディセーブルになります。

EIGRP コンフィギュレーションには、複数の passive-interface コマンドを含めることができます。 passive-interface default コマンドを使用してすべてのインターフェイスで EIGRP ルーティングをディセーブルにしてから、 no passive-interface コマンドを使用して特定のインターフェイスで EIGRP ルーティングをイネーブルにできます。

次に、outside インターフェイスを受動 EIGRP に設定する例を示します。セキュリティ アプライアンスのその他のインターフェイスは EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# passive-interface outside
 

次に、inside インターフェイス以外のすべてのインターフェイスを受動 EIGRP に設定する例を示します。inside インターフェイスだけが EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# passive-interface default
hostname(config-router)# no passive-interface inside
 

 
関連コマンド

コマンド
説明

show running-config router

実行コンフィギュレーションのルータ コンフィギュレーション コマンドをすべて表示します。

passwd

ログイン パスワードを設定するには、グローバル コンフィギュレーション モードで passwd コマンドを使用します。パスワードをデフォルトに戻して「cisco」に設定するには、このコマンドの no 形式を使用します。Telnet または SSH を使用して、デフォルト ユーザとして CLI にアクセスするときに、ログイン パスワードの入力を求められます。ログイン パスワードを入力すると、ユーザ EXEC モードが開始されます。

{ passwd | password } password [ encrypted ]

no { passwd | password } password

 
構文の説明

encrypted

(任意)パスワードが暗号化された形式であることを指定します。パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。何らかの理由でパスワードを別の適応型セキュリティ アプライアンスにコピーする必要があるのに元のパスワードがわからない場合は、暗号化されたパスワードとこのキーワードを使用して passwd コマンドを入力します。通常、このキーワードは show running-config passwd コマンドを入力した場合のみ表示されます。

passwd | password

どちらのコマンドでも入力できます。これらは互いにエイリアス関係にあります。

password

パスワードを、大文字と小文字が区別される最大 80 文字の文字列として設定します。パスワードにスペースを含めることはできません。

 
デフォルト

デフォルトのパスワードは「cisco」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このログイン パスワードはデフォルト ユーザ用です。 aaa authentication console コマンドを使用して Telnet または SSH のユーザごとに CLI 認証を設定した場合、このパスワードは使用されません。

次に、パスワードを Pa$$w0rd に設定する例を示します。

hostname(config)# passwd Pa$$w0rd
 

次に、別の適応型セキュリティ アプライアンスからコピーした、暗号化されたパスワードをパスワードに設定する例を示します。

hostname(config)# passwd jMorNbK0514fadBh encrypted
 

 
関連コマンド

コマンド
説明

clear configure passwd

ログイン パスワードをクリアします。

enable

特権 EXEC モードを開始します。

enable password

イネーブル パスワードを設定します。

show curpriv

現在ログインしているユーザ名とユーザの特権レベルを表示します。

show running-config passwd

暗号化された形式でログイン パスワードを表示します。

password encryption aes

パスワードの暗号化をイネーブルにするには、グローバル コンフィギュレーション モードで password encryption aes コマンドを使用します。パスワードの暗号化をディセーブルにするには、このコマンドの no 形式を使用します。

password encryption aes

no password encryption aes

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

パスワードの暗号化がオンになり、マスター パス フレーズが使用可能になると、ただちにすべてのユーザ パスワードが暗号化されます。実行コンフィギュレーションには、パスワードは暗号化された形式で表示されます。パスワードの暗号化をイネーブルにした時点でパス フレーズが設定されていなくても、パス フレーズは将来的に使用可能になるという前提で、コマンドは成功します。このコマンドは、フェールオーバー ピア間で自動的に同期されます。

write erase コマンドに続いて reload コマンドを使用すると、マスター パスフレーズが紛失された場合にパスフレーズが削除されます。

次に、パスワードの暗号化をイネーブルにする例を示します。

Router (config)# password encryption aes

 
関連コマンド

コマンド
説明

key config-key password-encryption

暗号キーの生成に使用されるパスフレーズを設定します。

write erase

reload コマンドを続いて使用すると、マスター パスフレーズが紛失された場合にパスフレーズを削除します。

password(暗号 CA トラストポイント)

登録中に CA に登録されるチャレンジ フレーズを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで password コマンドを使用します。通常、CA はこのフレーズを使用して、その後の失効要求を認証します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

password string

no password

 
構文の説明

string

パスワードの名前を文字列として指定します。最初の文字に数字は指定できません。文字列には、80 文字以下の任意の英数字(スペースを含む)を指定できます。数字 - スペース - 任意の文字の形式ではパスワードを指定できません。数字の後にスペースを使用すると、問題が発生します。たとえば、「hello 21」は適切なパスワードですが、「21 hello」は不適切です。パスワード チェックでは、大文字と小文字が区別されます。たとえば、パスワード「Secret」とパスワード「secret」は異なります。

 
デフォルト

デフォルトの設定は、パスワードを含めません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、実際の証明書登録を開始する前に、証明書の失効パスワードを指定できます。指定したパスワードは、適応型セキュリティ アプライアンスにより、アップデートされたコンフィギュレーションが NVRAM に書き込まれるときに暗号化されます。

このコマンドがイネーブルになっていない場合は、証明書登録中にパスワードの入力を求められることはありません。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、CA に登録されたチャレンジ フレーズをトラストポイント central の登録要求に含める例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# password zzxxyy
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

password-management

パスワード管理をイネーブルにするには、トンネル グループ一般アトリビュート コンフィギュレーション モードで password-management コマンドを使用します。パスワード管理をディセーブルにするには、このコマンドの no 形式を使用します。日数をデフォルト値にリセットするには、 password-expire-in-days キーワードを指定してこのコマンドの no 形式を使用します。

password-management [ password-expire-in-days days ]

no password-management

no password-management password-expire-in-days [ days ]

 
構文の説明

days

現在のパスワードが期限切れになるまでの日数(0 ~ 180)を指定します。このパラメータは、 password-expire-in-days キーワードを指定する場合は必須です。

password-expire-in-
days

(任意)現在のパスワードが期限切れになるまでの日数がこの直後のパラメータにより指定され、適応型セキュリティ アプライアンスからユーザにパスワードの期限切れが迫っていることを知らせる警告が開始されることを示します。このオプションは LDAP サーバでのみ有効です。詳細については、「使用上の注意事項」の項を参照してください。

 
デフォルト

このコマンドを指定しない場合、パスワード管理は発生しません。 password-expire-in-days キーワードを指定しない場合、デフォルトで現在のパスワードの期限が切れる 14 日前から警告が開始されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは、LDAP の場合のみサポートされています。

パスワード管理は、IPSec リモート アクセスおよび SSL VPN トンネル グループに設定できます。

password-management コマンドを設定すると、適応型セキュリティ アプライアンスは、リモート ユーザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れたことを通知します。それから適応型セキュリティ アプライアンスは、ユーザがパスワードを変更できるようにします。現在のパスワードの期限がまだ切れていない場合、ユーザは引き続き現在のパスワードでログインできます。

このコマンドは、このような通知をサポートする AAA サーバに対してのみ有効です。RADIUS または LDAP 認証が設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。


) 現在、一部の RADIUS サーバでは、MSCHAP はサポートされていても MSCHAPv2 はサポートされていない場合があります。このコマンドには MSCHAPv2 が必要であるため、ベンダーに確認します。


リリース 7.1 以降の適応型セキュリティ アプライアンスは、通常、LDAP または MS-CHAPv2 をサポートする任意の RADIUS コンフィギュレーションで認証する場合は、次の接続タイプでのパスワード管理をサポートしています。

AnyConnect VPN クライアント

IPSec VPN クライアント

クライアントレス SSL VPN

Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインの場合は、これらの接続タイプのいずれでもパスワード管理はサポート されません 。RADIUS サーバ(たとえば Cisco ACS)では、認証要求を別の認証サーバにプロキシする場合があります。ただし、適応型セキュリティ アプライアンスからは、RADIUS サーバのみに対して通信しているように見えます。


) LDAP の場合、市販のさまざまな LDAP サーバに、それぞれ独自のパスワード変更方法があります。現在、適応型セキュリティ アプライアンスは、Microsoft Active Directory および Sun LDAP サーバ独自のパスワード管理ロジックのみを実装しています。


ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、LDAP over SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

このコマンドは、パスワードの期限が切れる日までの日数を変更するのではなく、期限が切れる日の何日前から適応型セキュリティ アプライアンスからユーザにパスワードの期限切れが迫っていることを知らせる警告を開始するかを変更するものであることに注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セキュリティ アプライアンスは期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた後でもパスワードを変更できます。

次に、WebVPN トンネル グループ「testgroup」について、パスワードの期限が切れる日の 90 日前からユーザへの期限切れの警告を開始するように設定する例を示します。

hostname(config)# tunnel-group testgroup type webvpn
hostname(config)# tunnel-group testgroup general-attributes
hostname(config-tunnel-general)# password-management password-expire-in-days 90
hostname(config-tunnel-general)#
 

次に、IPSec リモート アクセス トンネル グループ「QAgroup」について、デフォルト値を使用してパスワードの期限が切れる日の 14 日前からユーザへの期限切れの警告を開始する例を示します。

hostname(config)# tunnel-group QAgroup type ipsec-ra
hostname(config)# tunnel-group QAgroup general-attributes
hostname(config-tunnel-general)# password-management
hostname(config-tunnel-general)#
 

 
関連コマンド

コマンド
説明

clear configure passwd

ログイン パスワードをクリアします。

passwd

ログイン パスワードを設定します。

radius-with-expiry

RADIUS 認証中のパスワード アップデートのネゴシエーションをイネーブルにします(廃止)。

show running-config passwd

暗号化された形式でログイン パスワードを表示します。

tunnel-group general-attributes

トンネル グループ一般アトリビュート値を設定します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求のパラメータの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで password-parameter コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。

password-parameter string


) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。


 
構文の説明

 
構文の説明構文の説明

string

HTTP POST 要求に含まれるパスワード パラメータの名前です。パスワードの長さは最大で 128 文字です。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、認証 Web サーバにシングル サインオン認証要求を送信します。必要なコマンド password-parameter は、この POST 要求に SSO 認証用のユーザ パスワード パラメータが含まれている必要があることを指定します。


) ユーザはログイン時に実際のパスワード値を入力します。このパスワード値は POST 要求に入力されて認証 Web サーバに渡されます。


次に、AAA サーバ ホスト コンフィギュレーション モードで user_password という名前のパスワード パラメータを指定する例を示します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# password-parameter user_password
 

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名およびパスワードを受信するための Web サーバ URI を指定します。

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

認証 Web サーバと交換するための非表示パラメータを作成します。

start-url

プリログイン クッキーを取得する URL を指定します。

user-parameter

SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

password-prompt

WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページ ログイン ボックスのパスワード プロンプトをカスタマイズするには、webvpn カスタマイゼーション モードで password-prompt コマンドを使用します。

password-prompt { text | style } value

[ no ] password-prompt { text | style } value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
構文の説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

パスワード プロンプトのデフォルトのテキストは「PASSWORD:」です。

パスワード プロンプトのデフォルトのスタイルは color:black;font-weight:bold;text-align:right です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、テキストを「Corporate Password:」に変更して、デフォルト スタイルのフォント ウェイトを bolder に変更する例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# password-prompt text Corporate Username:
F1-asa1(config-webvpn-custom)# password-prompt style font-weight:bolder
 

 
関連コマンド

コマンド
説明

group-prompt

WebVPN ページのグループ プロンプトをカスタマイズします。

username-prompt

WebVPN ページのユーザ名プロンプトをカスタマイズします。

password-storage

ユーザがクライアント システムにログイン パスワードを保存できるようにするには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで password-storage enable コマンドを使用します。パスワードの保存をディセーブルにするには、 password-storage disable コマンドを使用します。

実行コンフィギュレーションから password-storage アトリビュートを削除するには、このコマンドの no 形式を使用します。こうすることで、password-storage の値を別のグループ ポリシーから継承できるようになります。

password-storage {enable | disable}

no password-storage

 
構文の説明

disable

パスワードの保存をディセーブルにします。

enable

パスワードの保存をイネーブルにします。

 
デフォルト

パスワードの保存はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

パスワードの保存は、セキュアなサイトにあることが判明しているシステムのみでイネーブルにします。

このコマンドは、インタラクティブ ハードウェア クライアント認証またはハードウェア クライアントの個別ユーザ認証とは関係ありません。

次に、FirstGroup というグループ ポリシーのパスワードの保存をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# password-storage enable

 

peer-id-validate

ピアの証明書を使用してピアのアイデンティティを検証するかどうかを指定するには、トンネル グループ ipsec アトリビュート モードで peer-id-validate コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

peer-id-validate option

no peer-id-validate

 
構文の説明

option

次のいずれかのオプションを指定します。

req :必須

cert :証明書によりサポートされている場合

nocheck :チェックしない

 
デフォルト

このコマンドのデフォルトの設定は req です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート

--

--

--

 
コマンド履歴

リリース
変更内容

7.0.1

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次に、config-ipsec コンフィギュレーション モードで 209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループのピアの証明書のアイデンティティを使用して、ピアの検証を要求する例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# peer-id-validate req
hostname(config-tunnel-ipsec)#
 

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

perfmon

パフォーマンス情報を表示するには、特権 EXEC モードで perfmon コマンドを使用します。

perfmon {verbose | interval seconds | quiet | settings} [ detail ]

 
構文の説明

verbose

適応型セキュリティ アプライアンス コンソールにパフォーマンス モニタ情報を表示します。

interval seconds

コンソールのパフォーマンス表示が更新されるまでの秒数を指定します。

quiet

パフォーマンス モニタ表示をディセーブルにします。

settings

interval を表示し、quiet または verbose のいずれであるかを表示します。

detail

パフォーマンスに関する詳細情報を表示します。

 
デフォルト

seconds は 120 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0

適応型セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。

7.2(1)

detail キーワードのサポートが追加されました。

 
使用上のガイドライン

perfmon コマンドを使用すると、適応型セキュリティ アプライアンスのパフォーマンスをモニタできます。情報をただちに表示するには、show perfmon コマンドを使用します。継続して 2 分おきに情報を表示するには、perfmon verbose コマンドを使用します。継続して指定した秒数おきに情報を表示するには、perfmon interval seconds コマンドと perfmon verbose コマンドを併用します。

パフォーマンス情報は次の例のように表示されます。

 

PERFMON STATS:

Current

Average

Xlates

33/s

20/s

Connections

110/s

10/s

TCP Conns

50/s

42/s

WebSns Req

4/s

2/s

TCP Fixup

20/s

15/s

HTTP Fixup

5/s

5/s

FTP Fixup

7/s

4/s

AAA Authen

10/s

5/s

AAA Author

9/s

5/s

AAA Account

3/s

3/s

この情報には、変換、接続、Websense 要求、アドレス変換(「フィックスアップ」と呼ばれる)、および AAA トランザクションについて、毎秒発生する数がリストされます。

次に、パフォーマンス モニタ統計情報を 30 秒おきに適応型セキュリティ アプライアンスコンソールに表示する例を示します。

hostname(config)# perfmon interval 120
hostname(config)# perfmon quiet
hostname(config)# perfmon settings
interval: 120 (seconds)
quiet
 

 
関連コマンド

コマンド
説明

show perfmon

パフォーマンス情報を表示します。

periodic

時間範囲機能をサポートする関数に対して、(週ごとに)反復して発生する時間範囲を指定するには、時間範囲コンフィギュレーション モードで periodic コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

periodic days-of-the-week time to [ days-of-the-week ] time

no periodic days-of-the-week time to [ days-of-the-week ] time

 
構文の説明

days-of-the-week

(任意)1 番めの days-of-the-week 引数には、関連付けられている時間範囲が有効になる日または曜日を指定します。2 番めの days-of-the-week 引数には、関連付けられているステートメントの有効期間が終了する日または曜日を指定します。

この引数は、単一の曜日または曜日の組み合わせです(Monday(月曜日)、Tuesday(火曜日)、Wednesday(水曜日)、Thursday(木曜日)、Friday(金曜日)、Saturday(土曜日)、および Sunday(日曜日))。他に指定できる値は、次のとおりです。

daily:月曜日~日曜日

weekdays:月曜日~金曜日

weekend:土曜日と日曜日

終了の曜日が開始の曜日と同じ場合は、終了の曜日を省略できます。

time

時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。

to

「開始時刻から終了時刻まで」の範囲を入力するには、 to キーワードを入力する必要があります。

 
デフォルト

periodic コマンドに値が入力されていない場合、 time-range コマンドで定義された適応型セキュリティ アプライアンスへのアクセスがただちに有効になり、常時オンとなります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

時間範囲コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。

periodic コマンドは、時間範囲をいつ有効にするかを指定する方法の 1 つです。 absolute コマンドを使用して絶対期間を指定する方法もあります。これらのコマンドのいずれかを、時間範囲の名前を指定する time-range グローバル コンフィギュレーション コマンドの後に使用します。 time-range コマンド 1 つにつき複数の periodic を入力できます。

終了の days-of-the-week 値が開始の days-of-the-week 値と同じ場合、終了の days-of-the-week 値を省略できます。

time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻を経過した後にのみ評価の対象になり、 absolute end 時刻を経過した後は評価の対象にはなりません。

時間範囲機能は、適応型セキュリティ アプライアンスのシステム クロックに依存しています。ただし、この機能は NTP 同期を使用すると最適に動作します。

次にいくつかの例を示します。

 

必要な設定
入力内容

月曜日から金曜日の午前 8 時 ~午後 6 時 のみ

periodic weekdays 8:00 to 18:00

毎日午前 8 時 ~午後 6 時 のみ

periodic daily 8:00 to 18:00

月曜日午前 8 時~金曜日午後 8 時の 1 分おき

periodic monday 8:00 to friday 20:00

毎週末(土曜日の朝から日曜日の夜まで)

periodic weekend 00:00 to 23:59

土曜日および日曜日の正午~深夜

periodic weekend 12:00 to 23:59

次に、月曜日から金曜日の午前 8 時~午後 6 時のみに適応型セキュリティ アプライアンスにアクセスすることを許可する例を示します。

hostname(config-time-range)# periodic weekdays 8:00 to 18:00
hostname(config-time-range)#
 

次に、特定の曜日(月曜日、火曜日、および金曜日)の午前 10 時 30 分~午後 12 時 30 分に適応型セキュリティ アプライアンスにアクセスすることを許可する例を示します。

hostname(config-time-range)# periodic Monday Tuesday Friday 10:30 to 12:30
hostname(config-time-range)#

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効になる絶対時間を定義します。

access-list extended

適応型セキュリティ アプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します。

default

time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。

time-range

時間に基づいて適応型セキュリティ アプライアンスのアクセス コントロールを定義します。

permit errors

無効な GTP パケットを許可する、または許可しないと解析が失敗してドロップされるパケットを許可するには、GTP マップ コンフィギュレーション モードで permit errors コマンドを使用します。GTP マップ コンフィギュレーション モードには、 gtp-map コマンドを使用してアクセスできます。デフォルトの動作(無効なパケットまたは解析中に失敗したパケットはすべてドロップされる)に戻すには、このコマンドの no 形式を使用します。

permit errors

no permit errors

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、無効なパケットまたは解析中に失敗したパケットはすべてドロップされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

無効なパケット、または適応型セキュリティ アプライアンスを介して送信されるメッセージのインスペクション中にエラーが発生したパケットを許可し、ドロップされないようにするには、GTP マップ コンフィギュレーション モードで permit errors コマンドを使用します。

次に、無効なパケットまたは解析中に失敗したパケットが含まれたトラフィックを許可する例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# permit errors
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

permit response

ロード バランシング GSN をサポートします。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

permit response

ロード バランシング GSN をサポートするには、GTP マップ コンフィギュレーション モードで permit response コマンドを使用します。GTP マップ コンフィギュレーション モードには、 gtp-map コマンドを使用してアクセスできます。適応型セキュリティ アプライアンスが、要求の送信先であるホスト以外の GSN から返された GTP 応答をドロップできるようにするには、このコマンドの no 形式を使用します。

permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

no permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

 
構文の説明

from-object-group from_obj_group_id

to_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセットに応答を送信できる、 object-group コマンドで設定されたオブジェクトグループの名前を指定します。適応型セキュリティ アプライアンスは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェクトグループのみをサポートしています。現在、IPv6 アドレスは GTP ではサポートされていません。

to-object-group to_obj_group_id

from_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセットから応答を受信できる、 object-group コマンドで設定されたオブジェクトグループの名前を指定します。適応型セキュリティ アプライアンスは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェクトグループのみをサポートしています。現在、IPv6 アドレスは GTP ではサポートされていません。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、要求の送信先であるホスト以外の GSN からの GTP 応答をドロップします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

ロード バランシング GSN をサポートするには、GTP マップ コンフィギュレーション モードで permit response コマンドを使用します。 permit response コマンドは、応答を送信した宛先の GSN 以外の GSN からの GTP 応答を許可するように GTP マップを設定します。

ユーザは、ロード バランシング GSN のプールをネットワーク オブジェクトとして指定します。同様に、SGSN をネットワーク オブジェクトとして指定します。応答する GSN が、GTP 要求を送信した宛先の GSN と同じオブジェクト グループに属する場合、および応答する GSN が GTP 応答を送信できる宛先のオブジェクト グループに SGSN がある場合、適応型セキュリティ アプライアンスはその応答を許可します。

次に、192.168.32.0 ネットワーク上の任意のホストから IP アドレスが 192.168.112.57 のホストへの GTP 応答を許可する例を示します。

hostname(config)# object-group network gsnpool32
hostname(config-network)# network-object 192.168.32.0 255.255.255.0
hostname(config)# object-group network sgsn1
hostname(config-network)# network-object host 192.168.112.57
hostname(config-network)# exit
hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# permit response to-object-group sgsn1 from-object-group gsnpool32
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション インスペクションに使用する特定の GTP マップを適用します。

permit errors

無効な GTP パケットを許可します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

pfs

PFS をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで pfs enable コマンドを使用します。PFS をディセーブルにするには、 pfs disable コマンドを使用します。実行コンフィギュレーションから PFS アトリビュートを削除するには、このコマンドの no 形式を使用します。

pfs { enable | disable }

no pfs

 
構文の説明

disable

PFS をディセーブルにします。

enable

PFS をイネーブルにします。

 
デフォルト

PFS はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

PFS 設定は、VPN クライアントと適応型セキュリティ アプライアンスで一致している必要があります。

別のグループ ポリシーからの PFS の値の継承を許可するには、このコマンドの no 形式を使用します。

IPSec ネゴシエーションでは、PFS により、新しい各暗号キーが以前のどのキーとも無関係であることが保証されます。

次に、FirstGroup というグループ ポリシーの PFS を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# pfs enable

 

phone-proxy

Phone Proxy インスタンスを設定するには、グローバル コンフィギュレーション モードで phone-proxy コマンドを使用します。

Phone Proxy インスタンスを削除するには、このコマンドの no 形式を使用します。

phone-proxy phone_proxy_name

no phone-proxy phone_proxy_name

 
構文の説明

phone_proxy_name

Phone Proxy インスタンスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスに設定できる Phone Proxy インスタンスは、1 つだけです。

HTTP プロキシ サーバに NAT が設定されている場合、IP 電話に対する HTTP プロキシ サーバのグローバル IP アドレスまたはマップ IP アドレスは、Phone Proxy コンフィギュレーション ファイルに書き込まれます。

次に、 phone-proxy コマンドを使用して Phone Proxy インスタンスを設定する例を示します。

hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)# tftp-server address 128.106.254.8 interface outside
hostname(config-phone-proxy)# media-termination address 192.0.2.25 interface inside
hostname(config-phone-proxy)# media-termination address 128.106.254.3 interface outside
hostname(config-phone-proxy)# tls-proxy asa_tlsp
hostname(config-phone-proxy)# ctl-file asactl
hostname(config-phone-proxy)# cluster-mode nonsecure
hostname(config-phone-proxy)# timeout secure-phones 00:05:00
hostname(config-phone-proxy)# disable service-settings
 

 
関連コマンド

コマンド
説明

ctl-file(グローバル)

Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。

ctl-file(Phone-Proxy)

Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。

tls-proxy

TLS プロキシ インスタンスを設定します。

pim

インターフェイス上で PIM を再度イネーブルにするには、インターフェイス コンフィギュレーション モードで pim コマンドを使用します。PIM をディセーブルにするには、このコマンドの no 形式を使用します。

pim

no pim

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、 multicast-routing コマンドは、すべてのインターフェイスの PIM をイネーブルにします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、 multicast-routing コマンドは、すべてのインターフェイスの PIM をイネーブルにします。 no 形式の pim コマンドだけがコンフィギュレーションに保存されます。


) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。


次に、選択したインターフェイスで PIM をディセーブルにする例を示します。

hostname(config-if)# no pim
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim accept-register

PIM 登録メッセージをフィルタリングするように適応型セキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで pim accept-register コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式のコマンドを使用します。

pim accept-register { list acl | route-map map-name }

no pim accept-register

 
構文の説明

list acl

アクセス リストの名前または番号を指定します。このコマンドでは、拡張ホスト ACL だけを使用します。

route-map map-name

ルート マップ名を指定します。参照先のルート マップでは、拡張ホスト ACL を使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、不正な送信元が RP に登録されないようにする場合に使用します。不正な送信元が RP に登録メッセージを送信すると、適応型セキュリティ アプライアンスはただちに登録中止メッセージを返送します。

次に、PIM 登録メッセージを、「no-ssm-range」というアクセス リストに定義されている送信元からのものに制限する例を示します。

hostname(config)# pim accept-register list no-ssm-range
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim bidir-neighbor-filter

どの双方向対応ネイバーが DF 選定に参加できるかを制御するには、インターフェイス コンフィギュレーション モードで pim bidir-neighbor-filter コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式のコマンドを使用します。

pim bidir-neighbor-filter acl

no pim bidir-neighbor-filter acl

 
構文の説明

acl

アクセス リストの名前または番号を指定します。アクセス リストは、双方向 DF 選定に参加できるネイバーを定義します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。

 
デフォルト

すべてのルータは双方向対応であると見なされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

双方向 PIM を使用すると、マルチキャスト ルータは、情報を縮小した状態で保持できます。双方向対応ルータが DF を選定できるようにするには、セグメント内のすべてのマルチキャスト ルータは、双方向にイネーブルである必要があります。

pim bidir-neighbor-filter コマンドを使用すると、スパース モード専用ネットワークから双方向ネットワークへの移行が可能になります。この場合、すべてのルータがスパース モード ドメインに参加できるようにしたまま、DF 選定に参加する必要のあるルータを指定します。双方向対応ルータは、セグメントに双方向非対応のルータがある場合でも、双方向対応ルータの中から DF を選定できます。双方向非対応のルータのマルチキャスト境界により、双方向対応のグループの PIM メッセージとデータが、双方向対応のサブセット クラウド内外に漏れることが防止されます。

pim bidir-neighbor-filter コマンドがイネーブルになっていると、ACL により許可されているルータは双方向対応であると見なされます。したがって、次のようになります。

許可されたネイバーが双方向をサポートしていない場合、DF 選定は発生しません。

拒否されたネイバーが双方向をサポートしている場合、DF 選定は発生しません。

拒否されたネイバーが双方向をサポートしていない場合、DF 選定が発生します。

次に、10.1.1.1 を PIM 双方向対応ネイバーになることを許可する例を示します。

hostname(config)# access-list bidir_test permit 10.1.1.1 255.255.255.55
hostname(config)# access-list bidir_test deny any
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pim bidir-neighbor-filter bidir_test
 

 
関連コマンド

コマンド
説明

multicast boundary

管理スコープのマルチキャスト アドレスのマルチキャスト境界を定義します。

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim dr-priority

指定ルータの選定に使用されるネイバーのプライオリティを適応型セキュリティ アプライアンスで設定するには、インターフェイス コンフィギュレーション モードで pim dr-priority コマンドを使用します。デフォルトのプライオリティに戻すには、このコマンドの no 形式を使用します。

pim dr-priority number

no pim dr-priority

 
構文の説明

number

0 ~ 4294967294 の任意の数字。この数字は、指定ルータを識別するときに、デバイスのプライオリティを識別するために使用されます。0 に指定すると、適応型セキュリティ アプライアンスは指定ルータにはなりません。

 
デフォルト

デフォルト値は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス上でプライオリティの値の最も大きいデバイスが、PIM 指定ルータになります。複数のデバイスの指定ルータ プライオリティが同じである場合、IP アドレスの最も大きいデバイスが DR になります。デバイスの hello メッセージに DR プライオリティ オプションが含まれていない場合は、そのデバイスが最もプライオリティの高いデバイスであると見なされ、指定ルータになります。hello メッセージにこのオプションが含まれていないデバイスが複数ある場合は、IP アドレスが最大のデバイスが指定ルータになります。

次に、インターフェイスの DR プライオリティを 5 に設定する例を示します。

hostname(config-if)# pim dr-priority 5

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim hello-interval

PIM hello メッセージの頻度を設定するには、インターフェイス コンフィギュレーション モードで pim hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

pim hello-interval seconds

no pim hello-interval [ seconds ]

 
構文の説明

seconds

適応型セキュリティ アプライアンスが hello メッセージを送信する前に待機する秒数。有効な値の範囲は、1 ~ 3600 秒です。デフォルト値は 30 秒です。

 
デフォルト

30 秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、PIM hello 間隔を 1 分に設定する例を示します。

hostname(config-if)# pim hello-interval 60
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim join-prune-interval

PIM join/prune 間隔を設定するには、インターフェイス コンフィギュレーション モードで pim join-prune-interval コマンドを使用します。間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

pim join-prune-interval seconds

no pim join-prune-interval [ seconds ]

 
構文の説明

seconds

適応型セキュリティ アプライアンスが join/prune メッセージを送信する前に待機する秒数。有効な値の範囲は、10 ~ 600 秒です。デフォルトは 60 秒です。

 
デフォルト

60 秒

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、PIM join/prune 間隔を 2 分に設定する例を示します。

hostname(config-if)# pim join-prune-interval 120
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim neighbor-filter

どのネイバー ルータが PIM に参加できるかを制御するには、インターフェイス コンフィギュレーション モードで pim neighbor-filter コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式のコマンドを使用します。

pim neighbor-filter acl

no pim neighbor-filter acl

 
構文の説明

acl

アクセス リストの名前または番号を指定します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、どのネイバー ルータが PIM に参加できるかを定義します。このコマンドがコンフィギュレーションに含まれていない場合、制限はありません。

このコマンドがコンフィギュレーション内に表示されるようにするには、マルチキャスト ルーティングと PIM がイネーブルである必要があります。マルチキャスト ルーティングをディセーブルにすると、このコマンドはコンフィギュレーションから削除されます。

次に、IP アドレスが 10.1.1.1 のルータが、GigabitEthernet0/2 インターフェイスで PIM ネイバーになることを許可する例を示します。

hostname(config)# access-list pim_filter permit 10.1.1.1 255.255.255.55
hostname(config)# access-list pim_filter deny any
hostname(config)# interface gigabitEthernet0/2
hostname(config-if)# pim neighbor-filter pim_filter
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim old-register-checksum

古いレジスタ チェックサム メソッドを使用する Rendezvous Point(RP; ランデブー ポイント)の下位互換性を許可するには、グローバル コンフィギュレーション モードで pim old-register-checksum コマンドを使用します。PIM RFC 準拠のレジスタを生成するには、このコマンドの no 形式を使用します。

pim old-register-checksum

no pim old-register-checksum

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

適応型セキュリティ アプライアンスは、PIM RFC 準拠のレジスタを生成します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスソフトウェアは、Cisco IOS 方式を使用せずに、PIM ヘッダーとそれに続く 4 バイトだけにあるチェックサムを持つレジスタ メッセージを受け入れます(すべての PIM メッセージ タイプ用の PIM メッセージ全体とともにレジスタ メッセージを受け入れます)。 pim old-register-checksum コマンドは、Cisco IOS ソフトウェアと互換性のあるレジスタを生成します。

次に、古いチェックサム計算を使用するように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# pim old-register-checksum
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

pim rp-address

PIM Rendezvous Point(RP; ランデブー ポイント)のアドレスを設定するには、グローバル コンフィギュレーション モードで pim rp-address コマンドを使用します。RP アドレスを削除するには、このコマンドの no 形式を使用します。

pim rp-address ip_address [ acl ] [ bidir ]

no pim rp-address ip_address

 
構文の説明

acl

(任意)RP とともに使用するマルチキャスト グループを定義する、標準アクセス リストの名前または番号。このコマンドではホスト ACL を使用しません。

bidir

(任意)指定したマルチキャスト グループが、双方向モードで動作することを示します。このオプションを使用しないでコマンドを設定した場合、指定したグループは PIM スパース モードで動作します。

ip_address

PIM RP とするルータの IP アドレス。これは、4 分割ドット付き 10 進表記のユニキャスト IP アドレスです。

 
デフォルト

PIM RP アドレスは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

共通の PIM Sparse Mode(PIM-SM; PIM スパース モード)または双方向ドメイン内のすべてのルータは、既知の PIM RP アドレスの情報を必要とします。アドレスは、このコマンドを使用してスタティックに設定されます。


) 適応型セキュリティ アプライアンスは、Auto-RP をサポートしていません。したがって、pim rp-address コマンドを使用して、RP アドレスを指定する必要があります。


1 つの RP で複数のグループが処理されるように設定できます。アクセス リストで指定されているグループ範囲により、PIM RP グループ マッピングが決まります。アクセス リストが指定されていない場合、グループの RP は、IP マルチキャスト グループ範囲全体(224.0.0.0/4)に適用されます。


) 適応型セキュリティ アプライアンスは、実際の双方向コンフィギュレーションにかかわらず、常に、双方向機能を PIM hello メッセージ内でアドバタイズします。


次に、すべてのマルチキャスト グループの PIM RP アドレスを 10.0.0.1 に設定する例を示します。

hostname(config)# pim rp-address 10.0.0.1
 

 
関連コマンド

コマンド
説明

pim accept-register

PIM レジスタ メッセージをフィルタリングするように、候補 RP を設定します。

pim spt-threshold infinity

ラスト ホップ ルータの動作を、常に共有ツリーを使用し、Shortest-Path Tree(SPT)への切り替えは実行しないように変更するには、グローバル コンフィギュレーション モードで pim spt-threshold infinity コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

pim spt-threshold infinity [ group-list acl ]

no pim spt-threshold

 
構文の説明

group-list acl

(任意)アクセス リストで制限されている送信元グループを指定します。 acl 引数には、標準 ACL を指定する必要があります。拡張 ACL はサポートされていません。

 
デフォルト

デフォルトでは、ラスト ホップ PIM ルータは最短パス送信元ツリーに切り替えます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

group-list キーワードを使用しない場合、このコマンドはすべてのマルチキャスト グループに適用されます。

次に、最短パス送信元ツリーに切り替えるのではなく、常に共有ツリーを使用するようにラスト ホップ PIM ルータを設定する例を示します。

hostname(config)# pim spt-threshold infinity
 

 
関連コマンド

コマンド
説明

multicast-routing

適応型セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにします。

ping

他の IP アドレスが適応型セキュリティ アプライアンスで表示できるかどうかを識別するには、特権 EXEC モードで ping コマンドを使用します。

ping [ if_name ] host [ data pattern ] [ repeat count ] [ size bytes ] [ timeout seconds ] [ validate ]

 
構文の説明

data pattern

(任意)16 ビット データ パターンを 16 進数で指定します。

host

ping 対象のホストの IPv4 または IPv6 アドレス、または名前を指定します。この名前は DNS 名、または name コマンドで割り当てられた名前を指定できます。DNA 名の最大文字数は 128 文字、 name コマンドで作成した名前の最大文字数は 63 文字です。

if_name

(任意) nameif コマンドで定義され、 host へのアクセスに使用できるインターフェイス名を指定します。指定しない場合、 host は IP アドレスに解決され、その後ルーティング テーブルが参照されて、宛先インターフェイスが決まります。

repeat count

(任意)ping 要求を繰り返す回数を指定します。

size bytes

(任意)データグラム サイズをバイト単位で指定します。

timeout seconds

(任意)ping 要求がタイムアウトするまでに待機する秒数を指定します。

validate

(任意)応答データを検証することを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

7.2(1)

DNS 名のサポートが追加されました。

 
使用上のガイドライン

ping コマンドを使用すると、適応型セキュリティ アプライアンスが接続可能かどうか、またはホストがネットワークで利用可能かどうかを識別できます。適応型セキュリティ アプライアンスが接続可能な場合は、 icmp permit any interface コマンドが設定されていることを確認します。このコンフィギュレーションは、適応型セキュリティ アプライアンスが ping コマンドで生成されたメッセージに応答し、受け入れできるようにするために必要です。 ping コマンドの出力には、応答が受信されたかどうかが示されます。 ping コマンドを入力したとき、ホストが応答していない場合は、次のようなメッセージが表示されます。

hostname(config)# ping 10.1.1.1
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
 

適応型セキュリティ アプライアンスがネットワークに接続されていること、およびトラフィックが通過していることを確認するには、 show interface コマンドを使用します。指定した if_name のアドレスは、ping の送信元アドレスとして使用されます。

内部ホストから外部ホストに対して ping を実行する場合は、次のいずれかを実行する必要があります。

エコー応答用の ICMP access-list コマンドを作成します。たとえば、すべてのホストが ping にアクセスできるようにするには、 access-list acl_grp permit icmp any any コマンドを使用します。また、 access-group コマンドを使用して、テストの対象であるインターフェイスに access-list コマンドをバインドします。

inspect icmp コマンドを使用して、ICMP インスペクション エンジンを設定します。たとえば、 inspect icmp コマンドをグローバル サービス ポリシーの class default_inspection クラスに追加すると、内部ホストによって開始されたエコー要求に対して、適応型セキュリティ アプライアンスを介したエコー応答が許可されます。

拡張 ping を実行することもできます。拡張 ping では、一度に 1 行ずつキーワードを入力できます。

ホスト間またはルータ間で適応型セキュリティ アプライアンスを介して ping を実行しても、ping が成功しない場合は、capture コマンドを使用して ping の成功をモニタします。

適応型セキュリティ アプライアンスの ping コマンドでは、インターフェイス名は必須ではありません。インターフェイス名を指定しない場合、適応型セキュリティ アプライアンスは、ルーティング テーブルをチェックしてユーザが指定したアドレスを検索します。インターフェイス名を指定して、ICMP エコー要求が送信されるときに経由するインターフェイスを示すことができます。

次に、他の IP アドレスが適応型セキュリティ アプライアンスで表示できるかどうかを識別する例を示します。

hostname# ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
 

次に、DNS 名を使用してホストを指定する例を示します。

hostname# ping www.example.com
Sending 5, 100-byte ICMP Echos to www.example.com, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
 

次に、拡張 ping の例を示します。

hostname# ping
Interface: outside
Target IP address: 171.69.38.1
Repeat count: [5]
Datagram size: [100]
Timeout in seconds: [2]
Extended commands [n]:
Sweep range of sizes [n]:
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
 

 
関連コマンド

コマンド
説明

capture

インターフェイスでパケットをキャプチャします。

icmp

インターフェイスで終端する ICMP トラフィックに対して、アクセス ルールを設定します。

show interface

VLAN コンフィギュレーションについての情報を表示します。

police

クラス マップに QoS ポリシングを適用するには、クラス コンフィギュレーション モードで police コマンドを使用します。レート制限要件を削除するには、このコマンドの no 形式を使用します。ポリシングは、設定した最大レート(ビット/秒単位)を超えるトラフィックが発生しないようにして、1 つのトラフィック フローが全体のリソースを占有しないようにする方法の 1 つです。トラフィックが最大レートを超えると、適応型セキュリティ アプライアンスは超過したトラフィックをドロップします。また、ポリシングは許可されるトラフィックの最大単一バーストも設定します。

police { output | input } conform-rate [ conform-burst ] [ conform-action [ drop | transmit ] [ exceed-action [ drop | transmit ]]]

no police

 
構文の説明

conform-burst

適合レート値にスロットリングされるまでに、持続的なバーストで許容される最大瞬間バイト数を、1000 ~ 512000000 バイトの範囲で指定します。

conform-action

レートが conform_burst の値未満であるときに実行されるアクションを設定します。

conform-rate

このトラフィック フローのレート制限を、8000 ~ 2000000000 ビット/秒の範囲で設定します。

drop

パケットをドロップします。

exceed-action

レートが conform-rate 値と conform-burst 値の間であるときに実行されるアクションを設定します。

input

入力方向に流れるトラフィックのポリシングをイネーブルにします。

output

出力方向に流れるトラフィックのポリシングをイネーブルにします。

transmit

パケットを送信します。

 
デフォルト

デフォルトの動作や変数はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

input オプションが追加されました。インバウンド方向のトラフィックのポリシングがサポートされるようになりました。

 
使用上のガイドライン

ポリシングをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。

1. class-map :ポリシングを実行するトラフィックを指定します。

2. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. police :クラス マップのポリシングをイネーブルにします。

3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。


police コマンドは、最大速度および最大バースト レートを適合レート値に強制的に合わせることで、最大速度および最大バースト レートを規制するだけのものです。conform-action または exceed-action が指定されていても、これらは強制されません。



) conform-burst パラメータが省略されている場合、デフォルト値は conform-rate の 1/32(バイト単位)と見なされます(つまり、conform-rate が 100,000 の場合、デフォルトの conform-burst 値は 100,000/32 = 3,125 となります)。conform-burst の単位はバイトですが、conform-rate の単位はビット/秒であることに注意してください。


必要に応じて、適応型セキュリティ アプライアンスの各 QoS 機能を個別に設定できます。ただし、多くの場合、たとえば一部のトラフィックを優先して他のトラフィックが帯域幅の問題を引き起こさないようにするために、適応型セキュリティ アプライアンスで複数の QoS 機能を設定します。

インターフェイスごとにサポートされる次の機能の組み合わせを参照してください。

標準プライオリティ キューイング(特定トラフィック)+ ポリシング(その他のトラフィック)。

同じトラフィックのセットに対して、プライオリティ キューイングとポリシングを両方設定することはできません。

トラフィック シェーピング(1 つのインターフェイス上のすべてのトラフィック)+ 階層型プライオリティ キューイング(トラフィックのサブセット)。

適応型セキュリティ アプライアンスで制限されているわけではありませんが、通常、トラフィック シェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングはイネーブルにしません。

既存の VPN クライアント/LAN-to-LAN トラフィック、または非トンネル トラフィックがすでに確立されているインターフェイスを対象として、サービス ポリシーを適用または削除した場合、QoS ポリシーが適用されたり、トラフィック ストリームから削除されたりすることはありません。このような接続を対象として QoS ポリシーを適用または削除するには、接続をクリア(つまりドロップ)して再確立する必要があります。

次に、適合レート 100,000 ビット/秒、バースト値 20,000 バイトを設定し、バースト レートを超過したトラフィックはドロップすることを指定した、出力方向の police コマンドの例を示します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class-map firstclass
hostname(config-cmap)# class localclass
hostname(config-pmap-c)# police output 100000 20000 exceed-action drop
hostname(config-cmap-c)# class class-default
hostname(config-pmap-c)#
 

次に、内部 Web サーバ宛てのトラフィックに対してレート制限を設定する例を示します。

hostname# access-list http_traffic permit tcp any 10.1.1.0 255.255.255.0 eq 80
hostname# class-map http_traffic
hostname(config-cmap)# match access-list http_traffic
hostname(config-cmap)# policy-map outside_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# police input 56000
hostname(config-pmap-c)# service-policy outside_policy interface outside
hostname(config)#
 

 
関連コマンド

class

トラフィックの分類に使用するクラス マップを指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

policy

CRL を取得する送信元を指定するには、ca-crl コンフィギュレーション モードで policy コマンドを使用します。

policy { static | cdp | both }

 
構文の説明

both

CRL 配布ポイントを使用して CRL を取得することに失敗した場合は最大 5 つのスタティック CDP を使用してリトライすることを指定します。

cdp

チェック中の証明書に組み込まれた、CDP 拡張を使用します。この場合、適応型セキュリティ アプライアンスは、確認中の証明書の CDP 拡張から最大 5 つの CRL 配布ポイントを取得し、必要に応じて、設定されたデフォルト値で情報を増強します。適応型セキュリティ アプライアンスは、プライマリ CDP を使用して CRL を取得することに失敗した場合、リストにある次に利用可能な CDP を使用して再試行します。これは、適応型セキュリティ アプライアンスが CRL を取得するか、リストを使い果たすまで続行されます。

static

最大 5 つのスタティック CRL 配布ポイントを使用します。このオプションを指定する場合は、 protocol コマンドで LDAP または HTTP URL も指定します。

 
デフォルト

デフォルト設定は cdp です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CRL コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、チェック中の証明書内の CRL 配布ポイント拡張を使用して CRL 取得を実行すること、それに失敗した場合は、スタティック CDP を使用することを設定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# policy both
 

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

url

CRL を取得するためのスタティック URL のリストを作成および維持します。

policy-map

モジュラ ポリシー フレームワークを使用する場合、グローバル コンフィギュレーション モードで policy-map コマンド( type キーワードなし)を使用して、レイヤ 3/4 クラス マップ( class-map コマンドまたは class-map type management コマンド)で指定したトラフィックにアクションを割り当てます。レイヤ 3/4 ポリシー マップを削除するには、このコマンドの no 形式を使用します。

policy-map name

no policy-map name

 
構文の説明

name

このポリシー マップの名前を最大 40 文字で指定します。すべてのタイプのポリシー マップが同じネーム スペースを使用しているため、他のタイプのポリシー マップですでに使用されている名前は再使用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

ポリシー マップの最大数は 64 です。レイヤ 3/4 ポリシー マップ内の複数のレイヤ 3/4 クラス マップを指定すること( class コマンドを参照)および各クラス マップに 1 つ以上の機能タイプから複数のアクションを割り当てることができます。

パケットは、各機能タイプのポリシー マップ内にある 1 つのクラス マップだけに一致します。パケットがある機能タイプのクラス マップと一致すると、適応型セキュリティ アプライアンスはそのパケットを、その機能タイプの後続のクラス マップとは照合しません。ただし、パケットが別の機能タイプの後続のクラス マップと一致した場合は、適応型セキュリティ アプライアンスは後続のクラス マップのアクションも適用します。たとえば、パケットが接続制限のクラス マップと一致し、アプリケーション インスペクションのクラス マップにも一致する場合、両方のクラス マップのアクションが適用されます。パケットがアプリケーション インスペクションのクラス マップと一致し、さらにアプリケーション インスペクションの別のクラス マップとも一致する場合、2 番めのクラス マップのアクションは適用されません。

アクションは、機能に応じて双方向または単方向のトラフィックに適用されます。双方向に適用される機能については、トラフィックが双方向のクラス マップに一致する場合、ポリシー マップの適用先であるインターフェイスに入る、または出るすべてのトラフィックが影響を受けます。


) グローバル ポリシーを使用する場合、すべての機能は単方向です。1 つのインターフェイスに適用されるときに通常は双方向である機能は、グローバルに適用される際には各インターフェイスの入力のみに適用されます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは双方向に適用されることになります。そのため、この場合の双方向性は冗長です。


QoS など単方向に適用される機能の場合、ポリシー マップ適用対象のインターフェイスを出るトラフィックのみが影響を受けます。各機能の方向性については、 表 21-1 を参照してください。

 

表 21-1 機能の方向性

機能
1 つのインターフェイスでの方向
グローバルな方向

TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化

双方向

入力

CSC

双方向

入力

アプリケーション インスペクション

双方向

入力

IPS

双方向

入力

QoS ポリシング

出力

出力

QoS プライオリティ キュー

出力

出力

フロー エクスポート

N/A

入力

ポリシー マップ内のさまざまなタイプのアクションが実行される順序は、そのポリシー マップ内にアクションが出現する順序には依存しません。アクションは次の順序で実行されます。

TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化


) 適応型セキュリティ アプライアンスがプロキシ サービス(AAA または CSC など)を実行する場合、または TCP ペイロード(FTP インスペクションなど)を変更する場合、TCP ノーマライザはデュアル モードで動作します。このモードでは、ノーマライザはプロキシまたはペイロードの変更サービスの前後に適用されます。


CSC

アプリケーション インスペクション

IPS

QoS ポリシング

QoS プライオリティ キュー

フロー エクスポート

各インターフェイスに割り当てられるポリシー マップは 1 つだけですが、複数のインターフェイスに同じポリシー マップを割り当てることができます。

コンフィギュレーションには、適応型セキュリティ アプライアンスがデフォルトのグローバル ポリシーで使用するデフォルトのレイヤ 3/4 ポリシー マップが含まれています。このマップは global_policy と呼ばれ、デフォルトのインスペクション トラフィックでインスペクションを実行します。適用できるグローバル ポリシーは 1 つのみです。このため、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、ディセーブルにして新しいポリシーを適用する必要があります。

デフォルトのポリシー マップ コンフィギュレーションには、次のコマンドが含まれます。

policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
 

次に、接続ポリシーに対する policy-map コマンドの例を示します。この例では、Web サーバ 10.1.1.1 に許可される接続の数を制限しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次の例では、ポリシー マップでの複数一致の動作方法を示します。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次に、使用可能な最初のクラス マップとトラフィックが一致し、同じ機能ドメインのアクションを指定する後続のいずれのクラス マップとも一致しない様子を示す例を示します。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続が開始されると、 class telnet_traffic と照合されます。同様に、FTP 接続が開始されると、 class ftp_traffic と照合されます。Telnet と FTP 以外の TCP 接続の場合は、 class tcp_traffic と照合されます。Telnet または FTP 接続が class tcp_traffic と一致するとしても、すでに他のクラスと一致しているため、適応型セキュリティ アプライアンスはこの照合を実行しません。

NetFlow イベントは、モジュラ ポリシー フレームワークで設定されます。モジュラ ポリシー フレームワークが NetFlow 用に設定されていない場合、イベントはログに記録されません。トラフィックは、クラスが設定された順序に基づいて照合されます。一致が検出された後は、残りのクラスはチェックされません。NetFlow イベントの場合、コンフィギュレーションの要件は次のとおりです。

flow-export の宛先は、IP アドレスにより一意に指定されています。

サポートされるイベント タイプは、flow-create、flow-teardown、flow-denied、およびこの 3 つのイベント タイプが含まれるすべてです。

flow-export アクションは、インターフェイス ポリシーではサポートされません。

flow-export アクションは、 class-default コマンドおよび match any コマンドまたは match access-list コマンドのクラスのみでサポートされます。

NetFlow コレクタが定義されていない場合は、コンフィギュレーション アクションは発生しません。

次に、ホスト 10.1.1.1 とホスト 20.1.1.1 間のすべての NetFlow イベントを、宛先 15.1.1.1 にエクスポートする例を示します。

hostname(config)# access-list flow_export_acl permit ip host 10.1.1.1 host 20.1.1.1
hostname(config)# class-map flow_export_class
hostname(config-cmap)# match access-list flow_export_acl
hostname(config)# policy-map global_policy
hostname(config-pmap)# class flow_export_class
hostname(config-pmap-c)# flow-export event-type all destination 15.1.1.1
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ポリシー マップが service-policy コマンドで使用中の場合、このポリシー マップは削除されません。

class-map

トラフィック クラス マップを定義します。

service-policy

ポリシー マップをインターフェイスごとに割り当てるか、すべてのインターフェイスにグローバルに割り当てます。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

policy-map type inspect

モジュラ ポリシー フレームワークを使用する場合は、グローバル コンフィギュレーション モードで policy-map type inspect コマンドを使用してインスペクション アプリケーション トラフィックの特別なアクションを定義します。インスペクション ポリシー マップを削除するには、このコマンドの no 形式を使用します。

policy-map type inspect application policy_map_ name

no policy-map [ type inspect application ] policy_map_ name

 
構文の説明

application

アクションの対象とするアプリケーション トラフィックのタイプを指定します。利用可能なタイプは次のとおりです。

dcerpc

dns

esmtp

ftp

gtp

h323

http

im

mgcp

netbios

radius-accounting

rtsp

sip

skinny

snmp

policy_map_ name

このポリシー マップの名前を最大 40 文字で指定します。「_internal」または「_default」で始まる名前は予約されているため、使用できません。すべてのタイプのポリシー マップが同じネーム スペースを使用しているため、他のタイプのポリシー マップですでに使用されている名前は再使用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 のポリシー マップ( policy-map コマンド)で、 inspect コマンドを使用してインスペクション エンジンをイネーブルにする場合は、 policy-map type inspect コマンドで作成されたインスペクション ポリシー マップで定義されているアクションを、オプションでイネーブルにすることもできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。

インスペクション ポリシー マップは、ポリシー マップ コンフィギュレーション モードで入力された、1 つ以上の次のコマンドで構成されています。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。

match コマンド: match コマンドを直接インスペクション ポリシー マップに定義することで、アプリケーション トラフィックを URL 文字列などのアプリケーション固有の基準と照合できます。次に、一致コンフィギュレーション モードで drop reset log などのアクションをイネーブルにします。使用可能な match コマンドは、アプリケーションによって異なります。

class コマンド:このコマンドは、ポリシー マップでインスペクション クラス マップを特定します(インスペクション クラス マップを作成するには class-map type inspect コマンドを参照してください)。インスペクション クラス マップには、URL 文字列などの、アプリケーション固有の基準でアプリケーション トラフィックを照合する match コマンドが含まれます。それに応じて、ポリシー マップでアクションをイネーブルにします。クラス マップを作成することと、インスペクション ポリシー マップに直接 match コマンドを使用することの違いは、複数の一致をグループ化できることと、クラス マップを再利用できることです。

parameters コマンド:パラメータは、インスペクション エンジンの動作に影響を与えます。パラメータ コンフィギュレーション モードで使用できるコマンドは、アプリケーションによって異なります。

ポリシー マップには複数の class コマンドまたは match コマンドを指定できます。

一部の match コマンドでは、パケット内のテキストと照合する正規表現を指定できます。複数の正規表現をグループ化する方法については、 regex コマンドと class-map type regex コマンドを参照してください。

デフォルトのインスペクション ポリシー マップ コンフィギュレーションには、DNS パケットのメッセージの最大長を 512 バイトに設定する次のコマンドが含まれます。

policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
 

1 つのパケットで複数の異なる match コマンドまたは class コマンドが一致する場合、適応型セキュリティ アプライアンスがアクションを適用する順番は適応型セキュリティ アプライアンスの内部ルールで決定されます。ポリシー マップに追加された順番ではありません。内部ルールは、アプリケーションのタイプと、パケット解析の論理的な進行状況によって決定されます。ユーザ設定はできません。たとえば、HTTP トラフィックの場合、Request Method フィールドは Header Host Length フィールドよりも先に解析されます。Request Method フィールドのアクションは Header Host Length フィールドのアクションの前に実行されます。たとえば、次の match コマンドは任意の順番で入力できますが、 match request method get コマンドが最初に照合されます。

hostname(config-pmap)# match request header host length gt 100
hostname(config-pmap-c)# reset
hostname(config-pmap-c)# match request method get
hostname(config-pmap-c)# log
 

あるアクションがパケットをドロップすると、他のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合は、それ以降のどの match コマンドも照合されません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの別のアクションが発生する可能性があります。(同じ match コマンドに対して、 reset (または drop-connection など)と log アクションを両方設定できます。その場合、パケットは指定された一致でリセットされる前にログに記録されます)。

パケットが複数の同じ match コマンドまたは class コマンドと一致する場合、ポリシー マップ内での出現順序に従って照合されます。たとえば、ヘッダーの長さが 1001 のパケットの場合、次に示されている最初のコマンドと一致し、記録され、次に 2 番めのコマンドと一致し、リセットされます。この 2 つの match コマンドの順序を逆にした場合、2 番めの match コマンドと一致する前にパケットはドロップされ、接続がリセットされます。この場合、パケットはログに記録されません。

hostname(config-pmap)# match request header length gt 100
hostname(config-pmap-c)# log
hostname(config-pmap-c)# match request header length gt 1000
hostname(config-pmap-c)# reset
 

あるクラス マップは、そのクラス マップ内で最もプライオリティの低い match コマンドに基づいて、別のクラス マップまたは match コマンドと同じタイプであると判断されます(プライオリティは内部ルールに基づきます)。クラス マップに他のクラス マップと同じタイプの最もプライオリティの低い match コマンドがある場合、このクラス マップはポリシー マップに追加された順番に従って照合されます。各クラス マップの最もプライオリティの低いコマンドが異なる場合、よりプライオリティの高い match コマンドを持つクラス マップが最初に照合されます。

次に、HTTP インスペクション ポリシー マップおよび関連するクラス マップの例を示します。このポリシー マップは、サービス ポリシーによってイネーブルになるレイヤ 3/4 ポリシー マップによりアクティブになります。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 
hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
 
hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop-connection log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
hostname(config-pmap-c)# parameters
hostname(config-pmap-p)# protocol-violation action log
 
hostname(config-pmap-p)# policy-map test
hostname(config-pmap)# class test (a Layer 3/4 class map not shown)
hostname(config-pmap-c)# inspect http http-map1
 
hostname(config-pmap-c)# service-policy inbound_policy interface outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

parameters

インスペクション ポリシー マップのパラメータ コンフィギュレーション モードを開始します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

policy-server-secret

SiteMinder SSO サーバへの認証要求を暗号化するために使用する秘密キーを設定するには、webvpn-sso-siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用します。秘密キーを削除するには、このコマンドの no 形式を使用します。

policy-server-secret secret-key

no policy-server-secret


) SiteMinder SSO 認証にはこのコマンドが必要です。


 
構文の説明

 
構文の説明構文の説明

secret-key

認証の通信内容を暗号化するための秘密キーとして使用される文字列。最小文字数、最大文字数の制限はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Config-webvpn-sso-siteminder コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。まず、 sso-server コマンドを使用して SSO サーバを作成します。SiteMinder SSO サーバの場合、 policy-server-secret コマンドを使用することにより、適応型セキュリティ アプライアンスと SSO サーバ間の認証通信が保護されます。

コマンド引数である secret-key は、パスワードと同様に作成、保存、および設定が可能です。秘密キーは、適応型セキュリティ アプライアンスでは policy-server-secret コマンドを使用して設定し、さらに SiteMinder Policy Server でも Cisco Java プラグイン認証方式を使用して設定します。

このコマンドは、SiteMinder タイプの SSO サーバのみに適用されます。

次のコマンドは、config-webvpn-sso-siteminder モードで入力され、ランダムな文字列を引数として含んでいます。このコマンドにより、SiteMinder SSO サーバの認証通信用の秘密キーが作成されます。

hostname(config-webvpn)# sso-server my-sso-server type siteminder
hostname(config-webvpn-sso-siteminder)# policy-server-secret @#ET&
hostname(config-webvpn-sso-siteminder)#

 
関連コマンド

コマンド
説明

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

test sso-server

テスト認証要求で SSO サーバをテストします。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

polltime interface

Active/Active フェールオーバー コンフィギュレーションのデータ インターフェイスのポーリング期間とホールド タイムを指定するには、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

polltime interface [ msec ] time [ holdtime time ]

no polltime interface [ msec ] time [ holdtime time ]

 
構文の説明

holdtime time

(任意)データ インターフェイスがピア インターフェイスから hello メッセージを受信する必要のある期間を設定します。この期間が過ぎると、ピア インターフェイスに障害が発生していると宣言されます。有効な値は 5 ~ 75 秒です。

interface time

データ インターフェイス ポーリング期間を指定します。有効な値は 3 ~ 15 秒です。オプションの msec キーワードを使用した場合、有効な値は 500 ~ 999 ミリ秒です。

msec

(任意)指定する時間がミリ秒単位であることを指定します。

 
デフォルト

ポーリングの time は 5 秒です。

holdtime time は、ポーリングの time の 5 倍です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

オプションの holdtime time 値が追加され、ポーリング期間をミリ秒単位で指定できるようにコマンドが変更されました。

 
使用上のガイドライン

polltime interface コマンドを使用して、指定したフェールオーバー グループに関連付けられたインターフェイスで hello パケットが送信される頻度を変更します。このコマンドを使用できるのは、Active/Active フェールオーバーに対してのみです。 failover polltime interface コマンドは、Active/Standby フェールオーバー コンフィギュレーションで使用します。

ポーリング期間の 5 倍未満の holdtime 値は入力できません。ポーリング期間が短いほど、適応型セキュリティ アプライアンスはより速く障害を検出して、フェールオーバーをトリガーできます。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要な切り替えが発生する可能性があります。ホールド タイムの半分が経過したときに、インターフェイスで hello パケットが受信されていない場合は、インターフェイスのテストが開始されます。

failover polltime unit コマンドと failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。


) CTIQBE トラフィックがフェールオーバー コンフィギュレーションの適応型セキュリティ アプライアンスをパススルーする場合は、適応型セキュリティ アプライアンスのフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。


次に、フェールオーバー グループに対して適用可能なコンフィギュレーションの一部の例を示します。フェールオーバー グループ 1 のデータ インターフェイスに対して、インターフェイス ポーリング期間は 500 ミリ秒、ホールド タイムは 5 秒に設定されます。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# polltime interface msec 500 holdtime 5
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover polltime

装置のフェールオーバー ポーリング期間とホールド タイムを指定します。

failover polltime interface

Active/Standby フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。

pop3s

POP3S コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで pop3s コマンドを使用します。POP3S コマンド モードで入力した任意のコマンドを削除するには、このコマンドの no バージョンを使用します。

POP3 は、インターネット サーバが電子メールを受信し、保持するために使用するクライアントおよびサーバ プロトコルです。受信者(または受信者のクライアント電子メール レシーバ)は、サーバ上のメールボックスを定期的に確認し、メールがあればダウンロードします。この標準プロトコルは、ほとんどの一般的な電子メール製品に組み込まれています。POP3S を使用すると、SSL 接続で電子メールを受信できます。

pop3s

no pop3

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、POP3S コンフィギュレーション モードを開始する例を示します。

hostname(config)# pop3s
hostname(config-pop3s)#

 
関連コマンド

コマンド
説明

clear configure pop3s

POP3S コンフィギュレーションを削除します。

show running-config pop3s

POP3S の実行コンフィギュレーションを表示します。

port

電子メール プロキシがリッスンに使用するポートを指定するには、適切な電子メール プロキシ コマンド モードで port コマンドを使用します。デフォルト値に戻すには、このコマンドの no バージョンを使用します。

port { portnum }

no port

 
構文の説明

portnum

電子メール プロキシが使用するポート。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。

 
デフォルト

電子メール プロキシのデフォルト ポートは、次のとおりです。

電子メール プロキシ
デフォルト ポート

IMAP4S

993

POP3S

995

SMTPS

988

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

pop3s

--

--

--

Imap4s

--

--

--

Smtps

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。

次に、IMAP4S 電子メール プロキシのポートを 1066 に設定する例を示します。

hostname(config)# imap4s
hostname(config-imap4s)# port 1066
 

port-forward

転送 TCP ポートを経由してクライアントレス SSL VPN セッションのユーザがアクセスできるアプリケーションのセットを設定するには、webvpn コンフィギュレーション モードで port-forward コマンドを使用します。

port-forward { list_name local_port remote_server remote_port description }

複数のアプリケーションへのアクセスを設定するには、このコマンドを同じ list_name で複数回(各アプリケーションに 1 回ずつ)使用します。

設定したアプリケーションをリストから削除するには、 no port-forward list_name local_port コマンドを使用します( remote_server パラメータと remote_port パラメータは含める必要はありません)。

no port-forward listname localport

設定したリスト全体を削除するには、 no port-forward list_name コマンドを使用します。

no port-forward list_name

 
構文の説明

description

エンド ユーザのポート フォワーディング Java アプレット画面に表示する、アプリケーション名または簡単な説明を指定します。最大 64 文字です。

list_name

クライアントレス SSL VPN セッションのユーザがアクセスできるアプリケーション(転送 TCP ポート)のセットをグループ化します。最大 64 文字です。

local_port

アプリケーションの TCP トラフィックをリッスンするローカル ポートを指定します。ローカル ポート番号は、1 つの list_name に対して一度だけ使用できます。1 ~ 65535 の範囲のポート番号を入力します。既存のサービスとの競合を避けるには、1024 より大きいポート番号を使用します。

remote_port

このアプリケーションが接続するリモート サーバ上のポートを指定します。これは、アプリケーションが使用する実際のポートです。1 ~ 65535 の範囲のポート番号またはポート名を入力します。

remote_server

アプリケーション用のリモート サーバの DNS 名または IP アドレスを指定します。IP アドレスを入力する場合は、IPv4 または IPv6 形式のいずれかの形式で入力します。特定の IP アドレス用にクライアント アプリケーションを設定する必要がないように、ホスト名を使用することをお奨めします。dns server-group コマンドの name-server は、ホスト名を IP アドレスに解決する必要があります。

 
デフォルト

デフォルトのポート フォワーディング リストはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

8.0(2)

コマンド モードは webvpn に変更されました。

 
使用上のガイドライン

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。クライアントレス SSL VPN セッションを介してアプリケーション アクセスを提供する、ポート フォワーディングおよびスマート トンネル機能は、いずれも MAPI をサポートしていません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

次の表に、この例で使用されている、各アプリケーションの値を示します。

 

アプリケーション
ローカル ポート
サーバ DNS 名
リモート ポート
説明

IMAP4S 電子メール

20143

IMAP4Sserver

143

Get Mail

SMTPS 電子メール

20025

SMTPSserver

25

Send Mail

DDTS over SSH

20022

DDTSserver

22

DDTS over SSH

Telnet

20023

Telnetserver

23

Telnet

次に、これらのアプリケーションへのアクセスを提供する SalesGroupPorts というポート フォワーディング リストを作成する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
hostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH
hostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet
 

 
関連コマンド

コマンド
説明

port-forward auto-start

グループ ポリシー WebVPN またはユーザ名 webvpn モードで入力されるこのコマンドは、ユーザがクライアントレス SSL VPN セッションにログインしたときに、ポート フォワーディングを自動的に開始し、指定したポート フォワーディング リストを割り当てます。

port-forward enable

グループ ポリシー webvpn またはユーザ名 webvpn モードで入力されるこのコマンドは、ユーザがログインしたときに指定したポート フォワーディング リストを開始し割り当てます。ただし、この場合、ユーザはクライアントレス SSL VPN ポータル ページで、[Application Access] > [Start Applications] ボタンを使用してポート フォワーディングを手動で開始する必要があります。

port-forward disable

グループ ポリシー WebVPN またはユーザ名 webvpn モードで入力されるこのコマンドは、ポート フォワーディングをオフにします。

port-forward-name

エンド ユーザへの TCP ポート フォワーディングを識別できる表示名を、特定のユーザまたはグループ ポリシーに対して設定するには、webvpn モードで port-forward-name コマンドを使用します。このモードは、グループ ポリシー モードまたはユーザ名モードから開始します。 port-forward-name none コマンドを使用の使用により作成されたヌル値を含め、表示名を削除するには、このコマンドの no 形式を使用します。 no オプションを指定すると、デフォルト名の「Application Access」が復元されます。表示名を復元しないようにするには、 port-forward none コマンドを使用します。

port-forward-name { value name | none }

no port-forward-name

 
構文の説明

none

表示名がないことを指定します。ヌル値を設定して、表示名を不許可にします。値を継承しないようにします。

value name

エンド ユーザに対してポート フォワーディングを説明します。最大 255 文字です。

 
デフォルト

デフォルト名は「Application Access」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、「Remote Access TCP Applications」という名前を FirstGroup という名前のグループ ポリシーに設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# port-forward-name value Remote Access TCP Applications
 

 
関連コマンド

コマンド
説明

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

port-object

ポート オブジェクトをサービス オブジェクト グループに追加するには、サービス コンフィギュレーション モードで port-object コマンドを使用します。ポート オブジェクトを削除するには、このコマンドの no 形式を使用します。

port-object eq service

no port-object eq service

port-object range begin_service end_service

no port-object range begin_service end_service

 
構文の説明

begin_service

サービス範囲の開始値である、TCP ポートまたは UDP ポートの 10 進数または名前を指定します。この値は、0 ~ 65535 とする必要があります。

end_service

サービス範囲の終了値である、TCP ポートまたは UDP ポートの 10 進数または名前を指定します。ervices。この値は、0 ~ 65535 とする必要があります。

eq service

サービス オブジェクトの TCP ポートまたは UDP ポートの 10 進数または名前を指定します。

range

ポートの範囲(包含)を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

サービス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

特定のサービス(ポート)またはサービス範囲(複数のポート)のいずれかのオブジェクトを定義するには、サービス コンフィギュレーション モードで object-group コマンドとともに port-object コマンドを使用します。

TCP サービスまたは UDP サービスの名前を指定する場合、その名前は、TCP または UDP、またはその両方でサポートされている名前の 1 つであり、オブジェクト グループのプロトコル タイプと整合するものである必要があります。たとえば、プロトコル タイプが tcp、udp、tcp-udp の場合、名前はそれぞれ、有効な TCP サービス名、有効な UDP サービス名、有効な TCP および UDP のサービス名である必要があります。

番号を指定した場合、オブジェクトが表示されるときに、プロトコル タイプに基づいて、その番号が対応する名前(存在する場合)に変換されます。

次のサービス名がサポートされています。

 

TCP
UDP
TCP および UDP

bgp

biff

discard

chargen

bootpc

domain

cmd

bootps

echo

daytime

dnsix

pim-auto-rp

exec

nameserver

sunrpc

finger

mobile-ip

syslog

ftp

netbios-ns

tacacs

ftp-data

netbios-dgm

talk

gopher

ntp

ident

rip

irc

snmp

h323

snmptrap

hostname

tftp

http

time

klogin

who

kshell

xdmcp

login

isakmp

lpd

nntp

pop2

pop3

smtp

sqlnet

telnet

uucp

whois

www

次に、サービス コンフィギュレーション モードで port-object コマンドを使用して、新しいポート(サービス)オブジェクト グループを作成する例を示します。

hostname(config)# object-group service eng_service tcp
hostname(config-service)# port-object eq smtp
hostname(config-service)# port-object eq telnet
hostname(config)# object-group service eng_service udp
hostname(config-service)# port-object eq snmp
hostname(config)# object-group service eng_service tcp-udp
hostname(config-service)# port-object eq domain
hostname(config-service)# port-object range 2000 2005
hostname(config-service)# quit
 

 
関連コマンド

コマンド
説明

clear configure object-group

すべての object-group コマンドをコンフィギュレーションから削除します。

group-object

ネットワーク オブジェクト グループを追加します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

コンフィギュレーションを最適化するためのオブジェクト グループを定義します。

show running-config object-group

現在のオブジェクト グループを表示します。

post-max-size

ポストできるオブジェクトの最大サイズを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで post-max-size コマンドを使用します。このオブジェクトをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

post-max-size < size >

no post-max-size

 
構文の説明

size

ポストできるオブジェクトの最大サイズを指定します。指定できる範囲は 0 ~ 2147483647 です。

 
デフォルト

デフォルトのサイズは 2147483647 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このサイズを 0 に設定すると、オブジェクトのポスティングは不許可になります。

次に、ポストできるオブジェクトの最大サイズを 1500 バイトに設定する例を示します。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# post-max-size 1500
 

 
関連コマンド

コマンド
説明

download-max-size

ダウンロードするオブジェクトの最大サイズを指定します。

upload-max-size

アップロードするオブジェクトの最大サイズを指定します。

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

pppoe client route distance

PPPoE によって学習されたルートのアドミニストレーティブ ディスタンスを設定するには、インターフェイス コンフィギュレーション モードで pppoe client route distance コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

pppoe client route distance distance

no pppoe client route distance distance

 
構文の説明

distance

PPPoE によって学習されたルートに適用するアドミニストレーティブ ディスタンスです。有効な値は、1 ~ 255 です。

 
デフォルト

PPPoE によって学習されたルートに指定されているデフォルトのアドミニストレーティブ ディスタンスは 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

pppoe client route distance コマンドは、ルートが PPPoE から学習された場合のみチェックされます。ルートが PPPoE から学習された後に pppoe client route distance コマンドを入力した場合、指定されたアドミニストレーティブ ディスタンスは既存の学習されたルートには影響しません。指定したアドミニストレーティブ ディスタンスが設定されるのは、このコマンドの入力後に学習されたルートだけです。

PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。

複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクト トラッキングのみでサポートされます。

PPPoE を使用して IP アドレスを取得する場合は、フェールオーバーを設定できません。

次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# interface GigabitEthernet0/2
hostname(config-if)# pppoe client route track 1
hostname(config-if)# ip address pppoe setroute
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pppoe client secondary track 1
hostname(config-if)# pppoe client route distance 254
hostname(config-if)# ip address pppoe setroute
 

 
関連コマンド

コマンド
説明

ip address pppoe

PPPoE により取得した IP アドレスを使用して、指定したインターフェイスを設定します。

ppoe client secondary

セカンダリ PPPoE クライアント インターフェイスのトラッキングを設定します。

pppoe client route track

PPPoE により学習したルートを、トラッキング エントリ オブジェクトに関連付けます。

sla monitor

SLA モニタリング動作を定義します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

pppoe client route track

PPPoE クライアントを設定して、追加されたルートを、指定した追跡対象オブジェクト番号に関連付けるには、インターフェイス コンフィギュレーション モードで pppoe client route track コマンドを使用します。PPPoE ルート トラッキングを削除するには、このコマンドの no 形式を使用します。

pppoe client route track number

no pppoe client route track

 
構文の説明

number

トラッキング エントリのオブジェクト ID。有効な値は、1 ~ 500 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

pppoe client route track コマンドは、ルートが PPPoE から学習された場合のみチェックされます。ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習されたルートはトラッキング オブジェクトには関連付けられません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。

PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。

複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクト トラッキングのみでサポートされます。

PPPoE を使用して IP アドレスを取得する場合は、フェールオーバーを設定できません。

次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# interface GigabitEthernet0/2
hostname(config-if)# pppoe client route track 1
hostname(config-if)# ip address pppoe setroute
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pppoe client secondary track 1
hostname(config-if)# pppoe client route distance 254
hostname(config-if)# ip address pppoe setroute
 

 
関連コマンド

コマンド
説明

ip address pppoe

PPPoE により取得した IP アドレスを使用して、指定したインターフェイスを設定します。

ppoe client secondary

セカンダリ PPPoE クライアント インターフェイスのトラッキングを設定します。

pppoe client route distance

PPPoE によって学習されたルートアドミニストレーティブ ディスタンスを割り当てます。

sla monitor

SLA モニタリング動作を定義します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

pppoe client secondary

PPPoE クライアントを追跡対象オブジェクトのクライアントとして登録し、トラッキング状態に基づいて起動または終了するように設定するには、インターフェイス コンフィギュレーション モードで pppoe client secondary コマンドを使用します。クライアント登録を削除するには、このコマンドの no 形式を使用します。

pppoe client secondary track number

no pppoe client secondary track

 
構文の説明

number

トラッキング エントリのオブジェクト ID。有効な値は、1 ~ 500 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

pppoe client secondary コマンドは、PPPoE セッションの開始時のみチェックされます。ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習されたルートはトラッキング オブジェクトには関連付けられません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。

PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。

複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクト トラッキングのみでサポートされます。

PPPoE を使用して IP アドレスを取得する場合は、フェールオーバーを設定できません。

次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# interface GigabitEthernet0/2
hostname(config-if)# pppoe client route track 1
hostname(config-if)# ip address pppoe setroute
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pppoe client secondary track 1
hostname(config-if)# pppoe client route distance 254
hostname(config-if)# ip address pppoe setroute
 

 
関連コマンド

コマンド
説明

ip address pppoe

PPPoE により取得した IP アドレスを使用して、指定したインターフェイスを設定します。

ppoe client secondary

セカンダリ PPPoE クライアント インターフェイスのトラッキングを設定します。

pppoe client route distance

PPPoE によって学習されたルートアドミニストレーティブ ディスタンスを割り当てます。

pppoe client route track

PPPoE により学習したルートを、トラッキング エントリ オブジェクトに関連付けます。

sla monitor

SLA モニタリング動作を定義します。

pre-fill-username

クライアント証明書からのユーザ名抽出をイネーブルにして、認証および認可で使用できるようにするには、トンネル グループ webvpn アトリビュート モードで pre-fill-username コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

pre-fill-username { ssl-client | clientless }

no pre-fill-username

 
構文の説明

ssl-client

この機能を AnyConnect VPN クライアント接続でイネーブルにします。

clientless

この機能をクライアントレス接続でイネーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

pre-fill-username コマンドを使用すると、 username-from-certificate コマンドで指定された証明書フィールドから抽出されたユーザ名を、ユーザ名およびパスワードの認証および認可用のユーザ名として使用できるようになります。証明書機能からこの事前入力ユーザ名を使用するには、両方のコマンドを設定する必要があります。

また、この機能をイネーブルにするには、トンネル グループ一般アトリビュート コンフィギュレーション モードで username-from-certificate コマンドを設定する必要もあります。


) リリース 8.0.4 および 8.1.2 では、ユーザ名は事前入力されていませんが、ユーザ名フィールド内に送信されたデータはすべて無視されます。


次に、remotegrp という IPSec リモート アクセス トンネル グループを作成し、SSL VPN クライアントの認証および認可クエリーに使用される名前がデジタル証明書から抽出される必要があると指定する例を示します。この例は、グローバル コンフィギュレーション モードで入力されています。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)# pre-fill-username ssl-client
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可時のユーザ名として使用する証明書内のフィールドを指定します。

preempt

ユニットのプライオリティが高い場合に、そのユニットをブート時にアクティブにするには、フェールオーバー グループ コンフィギュレーション モードで preempt コマンドを使用します。プリエンプションを削除するには、このコマンドの no 形式を使用します。

preempt [ delay ]

no preempt [ delay ]

 
構文の説明

seconds

ピアがプリエンプションされるまでの待ち時間(秒単位)。有効な値は 1 ~ 1200 秒です。

 
デフォルト

デフォルトでは、遅延はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

プライマリまたはセカンダリのプライオリティをフェールオーバー グループに割り当てると、両方のユニットが(ユニットのポーリング期間内で)同時にブートしたときに、フェールオーバー グループがどのユニット上でアクティブになるかが指定されます。ただし、あるユニットがもう一方のユニットよりも先にブートした場合、両方のフェールオーバー グループがそのユニットでアクティブになります。もう一方のユニットがオンラインになったとき、フェールオーバー グループが 2 番めのユニットのプライオリティの方を高く設定していても、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手動で no failover active コマンドを使用してもう一方のユニットに強制しない限り、2 番めのユニット上ではフェールオーバー グループはアクティブになりません。フェールオーバー グループが preempt コマンドで設定されている場合、そのフェールオーバー グループは、指定したユニットで自動的にアクティブになります。


) ステートフル フェールオーバーがイネーブルの場合、フェールオーバー グループが現在アクティブであるユニットから接続が複製されるまで、プリエンプションは遅延されます。


次に、フェールオーバー グループ 1 ではプライマリ ユニットのプライオリティの方を高く設定し、フェールオーバー グループ 2 ではセカンダリ ユニットのプライオリティの方を高く設定する例を示します。どのフェールオーバー グループも、 preempt コマンドを使用して待ち時間 100 秒で設定されています。したがって、これらのグループは、優先するユニットが利用可能になってから 100 秒後に、そのユニット上で自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

primary

設定しているフェールオーバー グループのフェールオーバー ペア プライオリティにおける、プライマリ ユニットを指定します。

secondary

設定しているフェールオーバー グループのフェールオーバー ペア プライオリティにおける、セカンダリ ユニットを指定します。

prefix-list

ABR タイプ 3 LSA フィルタリングのプレフィクス リストのエントリを作成するには、グローバル コンフィギュレーション モードで prefix-list コマンドを使用します。プレフィクス リストのエントリを削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name [ seq seq_num ] { permit | deny } network / len [ ge min_value ] [ le max_value ]

no prefix-list prefix-list-name [ seq seq_num ] { permit | deny } network / len [ ge min_value ] [ le max_value ]

 
構文の説明

/

network 値と len 値の間に必要な区切り記号。

deny

一致した条件へのアクセスを拒否します。

ge min_value

(任意)照合されるプレフィクスの最小の長さを指定します。 min_value 引数の値は、 len 引数の値よりも大きくする必要があります。また、 max_value 引数が存在する場合は、この引数の値以下にする必要があります。

le max_value

(任意)照合されるプレフィクスの最大の長さを指定します。 max_value 引数の値は、 min_value 引数が存在する場合は、この引数の値以上にする必要があり、 min_value 引数が存在しない場合は、 len 引数の値よりも大きくする必要があります。

len

ネットワーク マスクの長さ。有効な値は、0 ~ 32 です。

network

ネットワーク アドレス。

permit

一致した条件へのアクセスを許可します。

prefix-list-name

プレフィクス リストの名前。プレフィクスリスト名にスペースを含めることはできません。

seq seq_num

(任意)指定したシーケンス番号を、作成中のプレフィクス リストに適用します。

 
デフォルト

シーケンス番号を指定しない場合、プレフィクス リストの最初のエントリにシーケンス番号 5 が割り当てられ、後続の各エントリのシーケンス番号は、5 ずつ増加します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

prefix-list コマンドは、ABR タイプ 3 LSA フィルタリング コマンドです。ABR タイプ 3 LSA フィルタリングは、OSPF を実行している ABR 機能を拡張し、異なる OSPF エリア間のタイプ 3 LSA をフィルタリングします。プレフィクス リストが設定されると、指定したプレフィクスだけがあるエリアから別のエリアに送信されます。その他のすべてのプレフィクスは、それぞれの OSPF エリアに制限されます。このタイプのエリア フィルタリングは、OSPF エリアが終点または起点となるトラフィック、あるいはそのエリアの着信および発信両方のトラフィックに適用できます。

プレフィクス リストの複数のエントリが特定のプレフィクスに一致する場合、シーケンス番号が最も小さいエントリが使用されます。適応型セキュリティ アプライアンスは、プレフィクス リストの一番上から、つまりシーケンス番号が最も小さいエントリから検索を開始します。一致が見つかると、適応型セキュリティ アプライアンスは、リストの残りは検索しません。効率を良くするため、頻繁に一致するエントリまたは一致しないエントリに、小さいシーケンス番号を手動で割り当てることで、それらをリストの上部に配置することもできます。

デフォルトでは、シーケンス番号は自動的に生成されます。シーケンス番号は、 no prefix-list sequence-number コマンドで抑制できます。シーケンス番号は、5 ずつ増分して生成されます。プレフィクス リスト内に最初に生成されるシーケンス番号は 5 です。そのリスト内の次のエントリのシーケンス番号は 10 となり、以降も同様となります。あるエントリの値を指定し、後続のエントリの値を指定しない場合、生成されるシーケンス番号は、指定した値から 5 ずつ増分されます。たとえば、プレフィクス リストの最初のエントリのシーケンス番号を 3 と指定し、その後シーケンス番号を指定しないで 2 つのエントリを追加した場合、これら 2 つエントリに対して自動的に生成されるシーケンス番号は、8 および 13 となります。

ge キーワードおよび le キーワードを使用して、プレフィクスと照合するプレフィクスの長さの範囲を、 network / len 引数よりも具体的に指定できます。 ge キーワードまたは le キーワードのいずれも指定しない場合は、完全一致が前提とされます。 ge キーワードだけを指定した場合の範囲は、 min_value ~ 32 です。 le キーワードだけを指定した場合の範囲は、 len max_value です。

min_value 引数および max_value 引数の値は、次の条件を満たしている必要があります。

len < min_value <= max_value <= 32

プレフィクス リストから特定のエントリを削除するには、このコマンドの no 形式を使用します。プレフィクス リストを削除するには、 clear configure prefix-list コマンドを使用します。 clear configure prefix-list コマンドを使用すると、関連付けられた prefix-list description コマンドがある場合は、それもコンフィギュレーションから削除されます。

次に、デフォルト ルート 0.0.0.0/0 を拒否する例を示します。

hostname(config)# prefix-list abc deny 0.0.0.0/0
 

次に、プレフィクス 10.0.0.0/8 を許可する例を示します。

hostname(config)# prefix-list abc permit 10.0.0.0/8
 

次に、プレフィクス 192/8 を持つルートで最大 24 ビットのマスク長を受け入れる例を示します。

hostname(config)# prefix-list abc permit 192.168.0.0/8 le 24
 

次に、プレフィクス 192/8 を持つルートで 25 ビットよりも大きいマスク長を拒否する例を示します。

hostname(config)# prefix-list abc deny 192.168.0.0/8 ge 25
 

次に、すべてのアドレス空間で 8 ~ 24 ビットのマスク長を許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 ge 8 le 24
 

次に、すべてのアドレス空間で 25 ビットよりも大きいマスク長を拒否する例を示します。

hostname(config)# prefix-list abc deny 0.0.0.0/0 ge 25
 

次に、プレフィクス 10/8 を持つすべてのルートを拒否する例を示します。

hostname(config)# prefix-list abc deny 10.0.0.0/8 le 32
 

次に、プレフィクス 192.168.1/24 を持つルートで長さが 25 ビットよりも大きいすべてのマスクを拒否する例を示します。

hostname(config)# prefix-list abc deny 192.168.1.0/24 ge 25
 

次に、プレフィクス 0/0 を持つすべてのルートを許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 le 32
 

 
関連コマンド

コマンド
説明

clear configure prefix-list

prefix-list コマンドを実行コンフィギュレーションから削除します。

prefix-list description

プレフィクス リストの説明を入力できます。

prefix-list sequence-number

プレフィクス リストのシーケンス番号付けをイネーブルにします。

show running-config prefix-list

実行コンフィギュレーション内の prefix-list コマンドを表示します。

prefix-list description

プレフィクス リストに説明を追加するには、グローバル コンフィギュレーション モードで prefix-list description コマンドを使用します。プレフィクス リストの説明を削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name description text

no prefix-list prefix-list-name description [ text ]

 
構文の説明

prefix-list-name

プレフィクス リストの名前。

text

プレフィクス リストの説明テキスト。最大で 80 文字入力できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

prefix-list コマンドおよび prefix-list description コマンドは、特定のプレフィクス リスト名に対して任意の順序で入力できます。つまり、プレフィクス リストの説明を入力する前に、プレフィクス リストを作成する必要はありません。 prefix-list description コマンドは、コンフィギュレーション内では、コマンドを入力した順序とは関係なく、常に関連付けられたプレフィクス リストの前の行に記述されます。

すでに説明があるプレフィクス リストのエントリに対して prefix-list description コマンドを入力した場合、元の説明は新しい説明に置き換えられます。

このコマンドの no 形式を使用している場合、説明テキストを入力する必要はありません。

次に、MyPrefixList という名前のプレフィクス リストの説明を追加する例を示します。 show running-config prefix-list コマンドは、プレフィクス リストの説明が実行コンフィギュレーションにすでに追加されているものの、プレフィクス リスト自体は設定されていないことを示します。

hostname(config)# prefix-list MyPrefixList description A sample prefix list description
hostname(config)# show running-config prefix-list
 
!
prefix-list MyPrefixList description A sample prefix list description
!
 

 
関連コマンド

コマンド
説明

clear configure prefix-list

prefix-list コマンドを実行コンフィギュレーションから削除します。

prefix-list

ABR タイプ 3 LSA フィルタリングのプレフィクス リストを定義します。

show running-config prefix-list

実行コンフィギュレーション内の prefix-list コマンドを表示します。

prefix-list sequence-number

プレフィクス リストのシーケンス番号付けをイネーブルにするには、グローバル コンフィギュレーション モードで prefix-list sequence-number コマンドを使用します。プレフィクス リストのシーケンス番号付けをディセーブルにするには、このコマンドの no 形式を使用します。

prefix-list sequence-number

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、プレフィクス リストのシーケンス番号付けはイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

コンフィギュレーションには、このコマンドの no 形式だけが記述されます。このコマンドの no 形式がコンフィギュレーションにある場合、シーケンス番号は(手動で設定したものも含めて)コンフィギュレーションの prefix-list コマンドから削除されます。新しいプレフィクス リストのエントリには、シーケンス番号は割り当てられません。

プレフィクス リストのシーケンス番号付けがイネーブルの場合、すべてのプレフィクス リストのエントリには、デフォルトの番号付け方式(開始値は 5 で、各番号は 5 ずつ増分される)で、シーケンス番号が割り当てられます。番号付けをディセーブルにする前に、シーケンス番号を手動でプレフィクス リストのエントリに割り当てた場合、手動で割り当てた番号は復元されます。自動番号付けがディセーブルになっているときに手動で割り当てたシーケンス番号も復元されます。ただし、番号付けがディセーブルの間は、それらのシーケンス番号は表示されません。

次に、プレフィクス リストのシーケンス番号付けをディセーブルにする例を示します。

hostname(config)# no prefix-list sequence-number
 

 
関連コマンド

コマンド
説明

prefix-list

ABR タイプ 3 LSA フィルタリングのプレフィクス リストを定義します。

show running-config prefix-list

実行コンフィギュレーション内の prefix-list コマンドを表示します。

pre-shared-key

事前共有キーに基づく IKE 接続をサポートするために事前共有キーを指定するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで pre-shared-key コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

pre-shared-key key

no pre-shared-key

 
構文の説明

key

1 ~ 128 文字の英数字でキーを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

config-ipsec コンフィギュレーション モードで入力された次のコマンドは、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループの IKE 接続をサポートするために、事前共有キー XYZX を指定しています。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# pre-shared-key xyzx
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

primary

フェールオーバー グループに対するプライマリ ユニットのプライオリティを高くするには、フェールオーバー グループ コンフィギュレーション モードで primary コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

primary

no primary

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

フェールオーバー グループに primary または secondary が指定されていない場合は、フェールオーバー グループはデフォルトで primary に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

プライマリまたはセカンダリのプライオリティをフェールオーバー グループに割り当てると、両方のユニットが(ユニットのポーリング期間内で)同時にブートしたときに、フェールオーバー グループがどのユニット上でアクティブになるかが指定されます。あるユニットがもう一方のユニットよりも先にブートした場合、両方のフェールオーバー グループがそのユニットでアクティブになります。もう一方のユニットがオンラインになったとき、フェールオーバー グループが 2 番めのユニットのプライオリティの方を高く設定していても、そのフェールオーバー グループが preempt コマンドを使用して設定されているか、手動で no failover active コマンドを使用してもう一方のユニットに強制しない限り、2 番めのユニット上ではフェールオーバー グループはアクティブになりません。

次に、フェールオーバー グループ 1 ではプライマリ ユニットのプライオリティの方を高く設定し、フェールオーバー グループ 2 ではセカンダリ ユニットのプライオリティの方を高く設定する例を示します。どのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

preempt

優先するユニットが使用可能になったときに、フェールオーバー グループをそのユニット上で強制的にアクティブにします。

secondary

セカンダリユニットに、プライマリユニットよりも高いプライオリティを設定します。

priority

QoS プライオリティ キューイングをイネーブルにするには、クラス コンフィギュレーション モードで priority コマンドを使用します。遅延が許容されない重要なトラフィック(Voice over IP(VoIP)など)の場合、Low Latency Queuing(LLQ; 低遅延キューイング)のトラフィックを指定して、このようなトラフィックが常に最小レートで送信されるようにできます。プライオリティ要件を削除するには、このコマンドの no 形式を使用します。

priority

no priority

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や変数はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Class

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

LLQ プライオリティ キューイングを使用すると、特定のトラフィック フロー(音声やビデオのような遅延の影響を受けやすいトラフィックなど)をその他のトラフィックよりも優先できます。

適応型セキュリティ アプライアンスは、次の 2 タイプのプライオリティ キューイングをサポートしています。

標準プライオリティ キューイング:標準プライオリティ キューイングは、インターフェイス( priority-queue コマンドを参照)上で LLQ プライオリティ キューを使用します。その他のすべてのトラフィックは「ベスト エフォート」のキューに入ります。キューのサイズは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これは「 テール ドロップ 」と呼ばれます。キューがいっぱいになることを避けるために、キューのバッファ サイズを増やすことができます。また、送信キューに入ることができる最大パケット数を微調整することもできます。これらのオプションを使用することで、遅延およびプライオリティ キューイングのロバスト性を制御できます。LLQ キューにあるパケットは、常にベスト エフォート キューにあるパケットよりも先に送信されます。

階層型プライオリティ キューイング:階層型プライオリティ キューイングは、トラフィック シェーピング キューをイネーブルにしたインターフェイス上で使用されます( shape コマンド)。シェーピングされたトラフィックのサブセットを優先できます。標準プライオリティ キューは使用されません。階層型プライオリティ キューイングに関して、次のガイドラインを参照してください。

プライオリティ パケットは、常にシェープ キューの先頭に入ります。このため、キューにあるその他の非プライオリティ パケットよりも、常に先に送信されます。

プライオリティ パケットは、プライオリティ トラフィック持続レートがシェープ レートを超過しない限り、シェープ キューからはドロップされません。

IPSec 暗号化パケットの場合、DSCP または優先設定のみに基づいて、トラフィックを照合できます。

プライオリティ トラフィック分類については、IPSec-over-TCP はサポートされません。

モジュラ ポリシー フレームワークでの QoS の設定

プライオリティ キューイングをイネーブルにするには、モジュラ ポリシー フレームワークを使用します。標準プライオリティ キューイングまたは階層型プライオリティ キューイングを使用できます。

標準プライオリティ キューイングの場合は、次の作業を実行します。

1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. priority :クラス マップのプライオリティ キューイングをイネーブルにします。

3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

階層プライオリティ キューイングの場合は、次の作業を実行します。

1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map (プライオリティ キューイングの場合):各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. priority :クラス マップのプライオリティ キューイングをイネーブルにします。ポリシー マップを階層的に使用する場合は、このポリシー マップに priority コマンドだけを含めることができます。

3. policy-map (トラフィック シェーピングの場合): class-default クラス マップに関連付けるアクションを指定します。

a. class class-default :アクションを実行する class-default クラス マップを指定します。

b. shape :トラフィック シェーピングをクラス マップに適用します。

c. service-policy :プライオリティ キューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定したプライオリティ キューイング ポリシー マップを呼び出します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

次に、ポリシー マップ モードの priority コマンドの例を示します。

hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class firstclass
hostname(config-pmap-c)# priority
hostname(config-pmap-c)# class class-default
hostname(config-pmap-c)#

 
関連コマンド

class

トラフィック分類に使用するクラス マップを指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

priority(VPN ロード バランシング)

仮想ロード バランシング クラスタに参加するローカル デバイスにプライオリティを設定するには、VPN ロード バランシング モードで priority コマンドを使用します。デフォルトのプライオリティ指定に戻すには、このコマンドの no 形式を使用します。

priority priority

no priority

 
構文の説明

priority

このデバイスに割り当てるプライオリティ(範囲は 1 ~ 10)。

 
デフォルト

デフォルトのプライオリティは、デバイスのモデル番号によって異なります。

 

モデル番号
デフォルトのプライオリティ

5520

5

5540

7

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

VPN ロード バランシング

--

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始する必要があります。

このコマンドは、仮想ロード バランシング クラスタに参加しているローカル デバイスのプライオリティを設定します。

プライオリティは、1(最低)~ 10(最大)の整数である必要があります。

プライオリティは、マスター選定プロセスで、VPN ロード バランシング クラスタ内のどのデバイスがそのクラスタのマスター デバイスまたはプライマリ デバイスになるかを決定する方法の 1 つとして使用されます。マスター選定プロセスの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

このコマンドの no 形式を使用すると、プライオリティ指定がデフォルト値に戻ります。

次に、現在のデバイスのプライオリティを 9 に設定する priority コマンドが含まれた、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# priority 9
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

vpn load-balancing

VPN ロード バランシング モードを開始します。

priority-queue

インターフェイス上に標準プライオリティ キューを作成するには、グローバル コンフィギュレーション モードで priority コマンドと一緒に priority-queue コマンドを使用します。キューを削除するには、このコマンドの no 形式を使用します。

priority-queue interface-name

no priority queue interface-name

 
構文の説明

interface-name

プライオリティ キューをイネーブルにする物理インターフェイスの名前(または ASA 5505 の場合は VLAN インターフェイスの名前)を指定します。

 
デフォルト

デフォルトでは、プライオリティ キューイングはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

LLQ プライオリティ キューイングを使用すると、特定のトラフィック フロー(音声やビデオのような遅延の影響を受けやすいトラフィックなど)をその他のトラフィックよりも優先できます。

適応型セキュリティ アプライアンスは、次の 2 タイプのプライオリティ キューイングをサポートしています。

標準プライオリティ キューイング:標準プライオリティ キューイングは、 priority-queue コマンドを使用して作成したインターフェイス上で LLQ プライオリティ キューを使用します。その他のすべてのトラフィックは「ベスト エフォート」のキューに入ります。キューのサイズは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これは「 テール ドロップ 」と呼ばれます。キューがいっぱいになることを避けるために、キューのバッファ サイズを増やすことができます( queue-limit コマンド)。また、送信キューに入ることができる最大パケット数を微調整することもできます( tx-ring-limit コマンド)。これらのオプションを使用することで、遅延およびプライオリティ キューイングのロバスト性を制御できます。LLQ キューにあるパケットは、常にベスト エフォート キューにあるパケットよりも先に送信されます。

階層型プライオリティ キューイング:階層型プライオリティ キューイングは、トラフィック シェーピング キューをイネーブルにしたインターフェイス上で使用されます。シェーピングされたトラフィックのサブセットを優先できます。標準プライオリティ キューは使用されません。

ASA モデル 5505(のみ)では、1 つのインターフェイスにプライオリティ キューを設定すると、他のすべてのインターフェイスで同じコンフィギュレーションが上書きされます。つまり、最後に適用されたコンフィギュレーションだけが、すべてのインターフェイスに存在することになります。さらに、プライオリティ キュー コンフィギュレーションは、1 つのインターフェイスから削除すると、すべてのインターフェイスからも削除されます。

この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなインターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで最大の値と、すべての tx-ring-limit のうちで最小の値を使用します(CSCsi13132)。

次に、test というインターフェイスのプライオリティ キューを設定して、キュー制限を 30,000 パケット、送信キュー制限を 256 パケットに指定する例を示します。

hostname(config)# priority-queue test
hostname(priority-queue)# queue-limit 30000
hostname(priority-queue)# tx-ring-limit 256
hostname(priority-queue)#
 

 
関連コマンド

コマンド
説明

queue-limit

プライオリティ キューに入れることができるパケットの最大数を指定します。この数を超えると、以後のデータはドロップされます。

tx-ring-limit

イーサネット送信ドライバのキューに任意のタイミングで入れることができるパケットの最大数を設定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

clear configure priority-queue

現在のプライオリティ キュー コンフィギュレーションを削除します。

show running-config [all] priority-queue

現在のプライオリティ キュー コンフィギュレーションを表示します。 all キーワードを指定すると、このコマンドにより現在のすべてのプライオリティ キュー、queue-limit、および tx-ring-limit のコンフィギュレーション値が表示されます。

privilege

コマンド認可で使用するコマンド特権レベルを設定するには(ローカル、RADIUS、および(マッピングされた)LDAP のみ)、グローバル コンフィギュレーション モードで privilege コマンドを使用します。このコンフィギュレーションを不許可にするには、このコマンドの no 形式を使用します。

privilege [ show | clear | configure ] level level [ mode { enable | configure }] command command

no privilege [ show | clear | configure ] level level [ mode { enable | configure }] command command

 
構文の説明

clear

(任意)コマンドの clear 形式のみに対して特権を設定します。 clear show configure キーワードのいずれも使用しない場合、このコマンドのすべての形式が影響を受けます。

command command

設定するコマンドを指定します。設定できるのは、 main コマンドの特権レベルのみです。たとえば、すべての aaa コマンドのレベルは設定できますが、 aaa authentication コマンドと aaa authorization コマンドのレベルを別々に設定することはできません。

main コマンドとサブコマンドの特権レベルを別々に設定することもできません。たとえば、 context コマンドは設定できますが、 context コマンドから設定を継承した allocate-interface コマンドは設定できません。

configure

(任意)コマンドの configure 形式のみに対して特権を設定します。コマンドの configure 形式は、通常、コンフィギュレーションの変更をともなう形式で、変更されていないコマンド( show または clear プレフィクスが付いていないもの)または no 形式のいずれかになります。 clear show configure キーワードのいずれも使用しない場合、このコマンドのすべての形式が影響を受けます。

level level

特権レベルを指定します。有効な値は 0 ~ 15 です。特権レベルの数字が小さいほど、特権レベルは低くなります。

mode enable

(任意)1 つのコマンドをコンフィギュレーション モードだけでなくユーザ EXEC モードおよび特権 EXEC モードで入力することができ、このコマンドが各モードで異なるアクションを実行する場合は、これらのモードに別々に特権レベルを設定できます。 mode enable キーワードは、ユーザ EXEC モードと特権 EXEC モードの両方に指定できます。

mode configure

(任意)1 つのコマンドをコンフィギュレーション モードだけでなくユーザ EXEC モードおよび特権 EXEC モードで入力することができ、このコマンドが各モードで異なるアクションを実行する場合は、これらのモードに別々に特権レベルを設定できます。 mode configure キーワードは、 configure terminal コマンドを使用してアクセスできるコンフィギュレーション モードを指定します。

show

(任意)コマンドの show 形式のみに対して特権を設定します。 clear show configure キーワードのいずれも使用しない場合、このコマンドのすべての形式が影響を受けます。

 
デフォルト

デフォルトでは、次のコマンドには特権レベル 0 が割り当てられています。他のすべてのコマンドの特権レベルは 15 です。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

コンフィギュレーション モード コマンドを 15 よりも低いレベルに移動する場合、必ず configure コマンドもそのレベルに移動します。そうしないと、ユーザはコンフィギュレーション モードを開始できなくなります。

すべての特権レベルを表示するには、 show running-config all privilege all コマンドを参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

Cisco VSA CVPN3000-Privilege-Level の RADIUS ユーザのサポートが追加されました。 ldap map-attributes コマンドを使用して LDAP アトリビュートを CVPN3000-Privilege-Level にマッピングした場合、LDAP ユーザはサポートされます。

 
使用上のガイドライン

privilege コマンドを使用すると、 aaa authorization command LOCAL コマンドの設定時に適応型セキュリティ アプライアンスのコマンドの特権レベルを設定できます。コマンドが LOCAL キーワードを使用している場合でも、このキーワードは、ローカル、RADIUS、(マッピングされた)LDAP 認可をイネーブルにします。

たとえば、 filter コマンドには次の形式があります。

filter configure オプションによって表示される)

show running-config filter

clear configure filter

特権レベルは各形式に対して別々に設定できます。また、このオプションを省略することで、すべての形式に同じ特権レベルを設定できます。たとえば、次のように各形式に対して別々に設定します。

hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
 

または、すべての filter コマンドを同じレベルに設定できます。

hostname(config)# privilege level 5 command filter
 

show privilege コマンドを使用すると、形式が画面上で分けて表示されます。

次に、 mode キーワードの使用例を示します。 enable コマンドは、ユーザ EXEC モードから入力する必要があります。さらに、コンフィギュレーション モードでアクセス可能な enable password コマンドには、最も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
 

この例は、 mode キーワードを使用する別のコマンド( configure コマンド)を示しています。

hostname(config)# privilege show level 5 mode cmd command configure
hostname(config)# privilege clear level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode enable command configure

この最後の行は、configure terminal コマンド用です。


 
関連コマンド

コマンド
説明

clear configure privilege

コンフィギュレーションから privilege コマンド ステートメントを削除します。

show curpriv

現在の特権レベルを表示します。

show running-config privilege

コマンドの特権レベルを表示します。

prompt

CLI プロンプトをカスタマイズするには、グローバル コンフィギュレーション モードで prompt コマンドを使用します。デフォルトのプロンプトに戻すには、このコマンドの no 形式を使用します。

prompt {[ hostname ] [ context ] [ domain ] [ slot ] [ state ] [ priority ]}

no prompt [ hostname ] [ context ] [ domain ] [ slot ] [ state ] [ priority ]

 
構文の説明

context

(マルチ モードのみ)現在のコンテキストを表示します。

domain

ドメイン名を表示します。

hostname

ホスト名を表示します。

priority

フェールオーバーのプライオリティを、pri(プライマリ)または sec(セカンダリ)のように表示します。 failover lan unit コマンドを使用してプライオリティを設定します。

state

ユニットのトラフィックパッシング状態を表示します。次の値は、state キーワードに対して表示されます。

act:フェールオーバーはイネーブルで、ユニットはアクティブにトラフィックを通過させています。

stby:フェールオーバーはイネーブルで、ユニットはトラフィックを通過させておらず、スタンバイ、障害、またはその他の非アクティブな状態になっています。

actNoFailover:フェールオーバーはイネーブルではなく、ユニットはアクティブにトラフィックを通過させています。

stbyNoFailover:フェールオーバーはイネーブルではなく、ユニットはトラフィックを通過させていません。この状態は、スタンバイ ユニットのしきい値を超えるインターフェイス障害が発生したときに起こる可能性があります。

 
デフォルト

デフォルトのプロンプトはホスト名です。マルチ コンテキスト モードでは、ホスト名に続けて現在のコンテキスト名が表示されます( hostname / context )。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

キーワードを入力する順序によって、プロンプト内のスラッシュ(/)で区切られたエレメントの順序が決まります。

マルチ コンテキスト モードでは、システム実行スペースまたは管理コンテキストにログインすると、拡張プロンプトを表示できます。管理コンテキスト以外では、デフォルトのプロンプト(ホスト名とコンテキスト名)のみを表示できます。

プロンプトに情報を追加できるため、複数のモジュールがある場合に、どの適応型セキュリティ アプライアンスにログインしているかを一目で判別できます。フェールオーバーの発生中は、この機能は両方の適応型セキュリティ アプライアンスのホスト名が同じ場合に役立ちます。

次に、プロンプト内で使用できるすべてのエレメントを表示する例を示します。

hostname(config)# prompt hostname context priority state
 

プロンプトが次の文字列に変化します。

hostname/admin/pri/act(config)#
 

 
関連コマンド

コマンド
説明

clear configure prompt

設定されているプロンプトをクリアします。

show running-config prompt

設定されているプロンプトを表示します。

protocol-enforcement

圧縮およびループ ポインタ チェックを含めて、ドメイン名、ラベルの長さ、形式のチェックをイネーブルにするには、パラメータ コンフィギュレーション モードで protocol-enforcement コマンドを使用します。プロトコル強制をディセーブルにするには、このコマンドの no 形式を使用します。

protocol-enforcement

no protocol-enforcement

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、プロトコル強制はイネーブルです。この機能は、 policy-map type inspect dns を定義していなくても、 inspect dns を設定していれば、イネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで no protocol-enforcement が明示的に記述されている必要があります。 inspect dns が設定されていない場合、NAT リライトは実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

特定の条件下では、このコマンドがディセーブルであってもプロトコル強制は実行されます。これは、たとえば DNS リソース レコードの解析が他の目的(DNS リソース レコードの分類、NAT または TSIG チェックなど)に必要な場合に発生します。

次に、DNS インスペクション ポリシー マップ内でプロトコル強制をイネーブルにする例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# protocol-enforcement
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

protocol http

CRL 取得用に許可された配布ポイント プロトコルとして HTTP を指定するには、ca-crl コンフィギュレーション モードで protocol http コマンドを使用します。権限があれば、CRL 配布ポイントの内容によって取得方法(HTTP、LDAP、SCEP のいずれかまたは複数)が決まります。CRL 取得方法として許可した HTTP を削除するには、このコマンドの no 形式を使用します。

protocol http

no protocol http

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの設定は、HTTP を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ca-crl コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用する場合は、必ず HTTP ルールをパブリック インターフェイス フィルタに割り当てます。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして HTTP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol http
 

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方法として LDAP を指定します。

protocol scep

CRL の取得方法として SCEP を指定します。

protocol ldap

CRL 取得用の配布ポイント プロトコルとして LDAP を指定するには、ca-crl コンフィギュレーション モードで protocol ldap コマンドを使用します。権限があれば、CRL 配布ポイントの内容によって取得方法(HTTP、LDAP、SCEP のいずれかまたは複数)が決まります。

CRL 取得方法として許可した LDAP プロトコルを削除するには、このコマンドの no 形式を使用します。

protocol ldap

no protocol ldap

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの設定は、LDAP を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CRL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして LDAP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol ldap
 

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol http

CRL の取得方法として HTTP を指定します。

protocol scep

CRL の取得方法として SCEP を指定します。

protocol scep

CRL 取得用の配布ポイント プロトコルとして SCEP を指定するには、Ca-CRL コンフィギュレーション モードで protocol scep コマンドを使用します。権限があれば、CRL 配布ポイントの内容によって取得方法(HTTP、LDAP、SCEP のいずれかまたは複数)が決まります。

CRL 取得方法として許可した SCEP プロトコルを削除するには、このコマンドの no 形式を使用します。

protocol scep

no protocol scep

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの設定は、SCEP を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CRL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして SCEP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol scep
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol http

CRL の取得方法として HTTP を指定します。

protocol ldap

CRL の取得方法として LDAP を指定します。

protocol-object

プロトコル オブジェクトをプロトコル オブジェクト グループに追加するには、プロトコル コンフィギュレーション モードで protocol-object コマンドを使用します。ポート オブジェクトを削除するには、このコマンドの no 形式を使用します。

protocol-object protocol

no protocol-object protocol

 
構文の説明

protocol

プロトコルの名前または番号。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

プロトコル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

プロトコル コンフィギュレーション モードでプロトコル オブジェクトを定義するには、 object-group コマンドとともに protocol-object コマンドを使用します。

protocol 引数を使用して、IP プロトコルの名前または番号を指定できます。udp プロトコル番号は 17、tcp プロトコル番号は 6、egp プロトコル番号は 47 です。

次に、プロトコル オブジェクトを定義する例を示します。

hostname(config)# object-group protocol proto_grp_1
hostname(config-protocol)# protocol-object udp
hostname(config-protocol)# protocol-object tcp
hostname(config-protocol)# exit
hostname(config)# object-group protocol proto_grp
hostname(config-protocol)# protocol-object tcp
hostname(config-protocol)# group-object proto_grp_1
hostname(config-protocol)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure object-group

すべての object group コマンドをコンフィギュレーションから削除します。

group-object

ネットワーク オブジェクト グループを追加します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

コンフィギュレーションを最適化するためのオブジェクト グループを定義します。

show running-config object-group

現在のオブジェクト グループを表示します。

protocol-violation

HTTP および NetBIOS インスペクションでプロトコル違反が発生したときのアクションを定義するには、パラメータ コンフィギュレーション モードで protocol-violation コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

protocol-violation action [drop [log] | log]

no protocol-violation action [drop [log] | log]

 
構文の説明

drop

プロトコルに準拠していないパケットをドロップするように指定します。

log

プロトコル違反をログに記録するように指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、HTTP または NetBIOS ポリシー マップ内で設定できます。HTTP または NetBIOS パーサーが、メッセージの最初の数バイト内で有効な HTTP または NetBIOS メッセージを検出できない場合は、syslog が発行されます。これは、たとえば、チャンクされたエンコーディングが不正な形式で、メッセージが解析できない場合に発生します。

次に、ポリシー マップにおけるプロトコル違反に対するアクションを設定する例を示します。

hostname(config)# policy-map type inspect http http_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# protocol-violation action drop
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

proxy-bypass

適応型セキュリティ アプライアンスがコンテンツの最低限の書き換えを実行し、書き換えるコンテンツのタイプ(外部リンク、XML の両方またはそのいずれか)を指定するように設定するには、webvpn コンフィギュレーション モードで proxy-bypass コマンドを使用します。プロキシ バイパスをディセーブルにするには、このコマンドの no 形式を使用します。

proxy-bypass interface interface name { port port number | path-mask path mask } target url [ rewrite { link | xml | none }]

no proxy-bypass interface interface name { port port number | path-mask path mask } target url [ rewrite { link | xml | none }]

 
構文の説明

host

トラフィックの転送先となるホストを指定します。ホスト IP アドレスまたはホスト名のいずれかを使用します。

interface

プロキシ バイパス用の ASA インターフェイスを指定します。

interface name

ASA インターフェイスを名前で指定します。

link

絶対外部リンクの書き換えを指定します。

none

書き換えを指定しません。

path-mask

照合するパターンを指定します。

path-mask

照合対象として正規表現を含むことができるパターンを指定します。次のワイルドカードを使用できます。

*:すべてに一致します。このワイルドカードはこれだけでは使用できません。英数字の文字列とともに使用する必要があります。

?:任意の 1 文字に一致します。

[!seq]:シーケンスにない任意の文字に一致します。

[seq]:シーケンス内の任意の文字に一致します。

最大 128 バイトです。

port

プロキシ バイパス用に予約されているポートを指定します。

port number

プロキシ バイパス用に予約されている番号の高いポートを指定します。ポートの範囲は 20000 ~ 21000 です。1 つのプロキシ バイパスのルールに対してポートを 1 つだけ使用できます。

rewrite

(任意)書き換えに対する追加ルール(none、または XML とリンクの組み合わせ)を指定します。

target

トラフィックの転送先となるリモート サーバを指定します。

url

URL を http( s ):// fully_qualified_domain_name [: port ] という形式で入力します。最大 128 バイトです。ポートは、特に他のポートを指定しない限り、HTTP の場合は 80、HTTPS の場合は 443 です。

xml

XML コンテンツの書き換えを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

プロキシ バイパスは、コンテンツの書き換えを最小限にして、アプリケーションおよび Web リソースの動作を向上させるために使用します。proxy-bypass コマンドにより、適応型セキュリティ アプライアンスを通過する特定の Web アプリケーションの処理方法が決定されます。

このコマンドは複数回使用できます。エントリを設定する順序は重要でありません。プロキシ バイパス ルールは、インターフェイスとパス マスクまたはインターフェイスとポートによって一意に指定されます。

パス マスクではなく、ポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートの適応型セキュリティ アプライアンスへのアクセスを許可するためにファイアウォール設定の変更が必要になることがあります。このような制限を回避するには、パス マスクを使用します。ただし、パス マスクは変更されることがあるため、複数のパスマスク ステートメントを使用して変更される可能性をなくすことが必要になる場合があります。

パスとは、URL の .com または .org あるいはその他のタイプのドメイン名の後にあるものすべてです。たとえば、www.mycompany.com/hrbenefits という URL では、 hrbenefits がパスです。同様に、www.mycompany.com/hrinsurance という URL では、 hrinsurance がパスです。すべての「hr」サイトにプロキシ バイパスを使用する場合は、「/hr*」のようにワイルドカード「*」を使用することで、コマンドの複数回使用を回避できます。

次に、webvpn インターフェイス上でプロキシ バイパスにポート 20001 を使用し、HTTP とそのデフォルト ポート 80 を使用してトラフィックを mycompany.site.com に転送し、XML コンテンツを書き換えるように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# proxy-bypass interface webvpn port 20001 target http://mycompany.site.com rewrite xml
 

次に、outside インターフェイス上でプロキシ バイパスにパス マスク mypath/* を使用し、HTTP とそのデフォルト ポート 443 を使用してトラフィックを mycompany.site.com に転送し、XML とリンクのコンテンツを書き換えるように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# proxy-bypass interface outside path-mask /mypath/* target https://mycompany.site.com rewrite xml,link
 

 
関連コマンド

コマンド
説明

apcf

特定のアプリケーションに使用する非標準のルールを指定します。

rewrite

トラフィックが適応型セキュリティ アプライアンスを通過するかどうかを決定します。

proxy-ldc-issuer

TLS プロキシ ローカル ダイナミック証明書を発行するには、暗号 CA トラストポイント コンフィギュレーション モード proxy-ldc-issuer コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

proxy-ldc-issuer

no proxy-ldc-issuer

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

TLS プロキシ ローカル ダイナミック証明書を発行するには、proxy-ldc-issuer コマンドを使用します。proxy-ldc-issuer コマンドは、暗号トラストポイントにローカル CA のロールを付与することで、LDC を発行し、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできるようにします。

proxy-ldc-issuer コマンドは、トラストポイントにローカル CA ロールを定義し、TLS プロキシのダイナミック証明書を発行します。このコマンドは、「enrollment self」を使用するトラストポイント下でのみ設定できます。

次に、内部ローカル CA を作成して、電話用の LDC に署名する例を示します。このローカル CA は、proxy-ldc-issuer をイネーブルにした正規の自己署名トラストポイントとして作成されます。

hostname(config)# crypto ca trustpoint ldc_server
hostname(config-ca-trustpoint)# enrollment self
hostname(config-ca-trustpoint)# proxy-ldc-issuer
hostname(config-ca-trustpoint)# fqdn my _ldc_ca.example.com
hostname(config-ca-trustpoint)# subject-name cn=FW_LDC_SIGNER_172_23_45_200
hostname(config-ca-trustpoint)# keypair ldc_signer_key
hostname(config)# crypto ca enroll ldc_server
 

 
関連コマンド

コマンド
説明

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードを開始します。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

show tls-proxy

TLS プロキシを表示します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

proxy-server

<proxyServerURL> タグの下にある IP 電話のコンフィギュレーション ファイルに書き込まれた Phone Proxy 機能に HTTP プロキシを設定するには、Phone-Proxy コンフィギュレーション モードで proxy-server コマンドを使用します。Phone Proxy から HTTP プロキシ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

proxy-server address ip_address [ listen_port ] interface ifc

no proxy-server address ip_address [ listen_port ] interface ifc

 
構文の説明

interface ifc

適応型セキュリティ アプライアンス上で HTTP プロキシが存在するインターフェイスを指定します。

ip_address

HTTP プロキシの IP アドレスを指定します。

listen_port

HTTP プロキシのリスニング ポートを指定します。指定しない場合、デフォルトは 8080 です。

 
デフォルト

リスニング ポートが指定されていない場合、デフォルトでは、ポートは 8080 に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

Phone Proxy にプロキシ サーバ コンフィギュレーション オプションを設定すると、DMZ またはすべての IP 電話 URL が電話サービス用のプロキシ サーバに転送される外部ネットワーク上で、HTTP プロキシを許可できます。この設定は、社内ネットワークには戻すことのできない非セキュア HTTP トラフィックに対応します。

入力した ip_address は、IP 電話および HTTP プロキシ サーバの場所に基づいたグローバル IP アドレスである必要があります。

プロキシ サーバが DMZ にあり、IP 電話がネットワークの外側にある場合は、適応型セキュリティ アプライアンスは、NAT ルールがあるかどうかはルックアップせず、グローバル IP アドレスを使用しておよびコンフィギュレーション ファイルに書き込みます。

適応型セキュリティ アプライアンスにより、ホスト名を IP アドレスに解決できる(たとえば、DNS ルックアップが設定されている)場合は、適応型セキュリティ アプライアンスがホスト名を IP アドレスに解決するため、 ip_address 引数にホスト名を入力できます。

デフォルトでは、エンタープライズ パラメータ下に設定される電話 URL パラメータは、URL 内で FQDN を使用します。HTTP プロキシの DNS ルックアップが FQDN を解決しない場合は、IP アドレスを使用するようにパラメータを変更する必要がある場合があります。

プロキシ サーバの URL が IP 電話のコンフィギュレーション ファイルに正しく書き込まれていることを確認するには、[Settings] > [Device Configuration] > [HTTP configuration] > [Proxy Server URL] で IP 電話の URL をチェックします。

Phone Proxy は、プロキシ サーバへのこの HTTP トラフィックを検査しません。

適応型セキュリティ アプライアンスが、IP 電話と HTTP プロキシ サーバのパス内にある場合は、既存のデバッグ手法(syslog やキャプチャなど)を使用してプロキシ サーバの問題を解決します。

Phone Proxy の使用中に設定できるプロキシ サーバは、1 つだけです。ただし、プロキシ サーバを設定した後に、IP 電話がコンフィギュレーション ファイルをダウンロードした場合は、ファイル内にプロキシ サーバ アドレスの書き込まれたコンフィギュレーション ファイルを IP 電話が取得できるように、IP 電話を再起動する必要があります。

次に、 proxy-server コマンドを使用して Phone Proxy に HTTP プロキシ サーバを設定する例を示します。

hostname(config-phone-proxy)# proxy-server 192.168.1.2 interface inside
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

publish-crl

他の適応型セキュリティ アプライアンスが、ローカル CA によって発行された証明書の失効状況を検証できるようにするには、config-ca-server コンフィギュレーション モードで publish-crl コマンドを使用します。これにより、適応型セキュリティ アプライアンスのインターフェイスから直接 CRL のダウンロードを実行できるようになります。CRL をダウンロードできないようにするには、このコマンドの no 形式を使用します。

[ no ] publish-crl interface interface [ port portnumber ]

 
構文の説明

interface interface

gigabitethernet0/1 などの、インターフェイスに使用する nameif を指定します。詳細については、interface コマンドを参照してください。

port portnumber

(任意)インターフェイス デバイスが CRL をダウンロードする場合に使用するポートを指定します。ポート番号には 1 ~ 65535 の範囲の数値を指定できます。

 
デフォルト

デフォルトの publish-crl のステータスは no publish です。TCP ポート 80 は HTTP のデフォルトです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-ca-server

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました

 
使用上のガイドライン

デフォルトでは、CRL にはアクセスできません。必要なインターフェイスとポート上の CRL ファイルへのアクセスをイネーブルにする必要があります。

TCP ポート 80 は HTTP のデフォルトのポート番号です。デフォルト以外のポート(ポート 80 以外)を設定する場合は、 cdp-url コンフィギュレーションにその新しいポート番号が含まれていて、他のデバイスがこの特定のポートへのアクセスを認識していることを確認します。

CRL Distribution Point(CDP; CRL 配布ポイント)は、ローカル CA 適応型セキュリティ アプライアンス上の CRL の場所になります。cdp-url コマンドを使用して設定した URL は、発行済みの証明書に組み込まれます。CDP に特定の場所を設定していない場合、デフォルトの CDP の URL は、http://hostname.domain/+CSCOCA+/asa_ca.crl です。

クライアントレス SSL VPN が同じインターフェイス上でイネーブルになっている場合、HTTP リダイレクトと CRL ダウンロード要求は、同じ HTTP リスナーによって処理されます。リスナーは着信 URL を確認し、それが cdp-url コマンドで設定されたものと一致する場合に、CRL ファイルはダウンロードされます。URL が cdp-url と一致しない場合は、接続は HTTPS にリダイレクトされます('http redirect' がイネーブルになっている場合)。

config-ca-server モードで入力される、この publish-crl コマンドの例では、CRL ダウンロード用に outside インターフェイスのポート 70 をイネーブルにします。

config-ca-server モードで入力される、この publish-crl コマンドの例では、CRL ダウンロード用に outside のポート 70 をイネーブルにします。

hostname(config)# crypto ca server

hostname (config-ca-server)#publish-crl outside 70

hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

cdp-url

自動生成された CRL 用に特定の場所を指定します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

pwd

現在の作業ディレクトリを表示するには、特権 EXEC モードで pwd コマンドを使用します。

pwd

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは、ルート ディレクトリ(/)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、機能の点で dir コマンドと類似しています。

次に、現在の作業ディレクトリを表示する例を示します。

hostname# pwd
disk0:/
hostname# pwd
flash:

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリから、指定したディレクトリに変更します。

dir

ディレクトリの内容を表示します。

more

ファイルの内容を表示します。