Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
uc-ime コマンド~ zonelabs integrity ssl-client-authentication コマンド
uc-ime コマンド~ zonelabs integrity ssl-client-authentication コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

uc-ime コマンド~ zonelabs integrity ssl-client-authentication コマンド

uc-ime

ucm

undebug

unix-auth-gid

unix-auth-uid

upload-max-size

uri-non-sip

url

url-block

url-cache

url-entry

url-length-limit

url-list(削除されました)

url-list(グループ ポリシー webvpn)

url-server

urgent-flag

user-authentication

user-authentication-idle-timeout

user-storage

username

username-from-certificate

username attributes

username-prompt

user-alert

user-message

user-storage

validate-attribute

validation-policy(暗号 CA トラストポイント)

verify

version

virtual http

virtual telnet

vlan

vlan(グループ ポリシー)

vpdn group

vpdn username

vpn-access-hours

vpn-addr-assign

vpn-filter

vpn-framed-ip-address

vpn-group-policy

vpn-idle-timeout

vpn load-balancing

vpn-sessiondb logoff

vpn-sessiondb max-session-limit

vpn-sessiondb max-webvpn-session-limit

vpn-session-timeout

vpn-simultaneous-logins

vpn-tunnel-protocol

vpnclient connect

vpnclient enable

vpnclient ipsec-over-tcp

vpnclient mac-exempt

vpnclient management

vpnclient mode

vpnclient nem-st-autoconnect

vpnclient server-certificate

vpnclient server

vpnclient trustpoint

vpnclient username

vpnclient vpngroup

vpnsetup

wccp

wccp redirect

web-agent-url

web-applications

web-bookmarks

webvpn

webvpn(グループ ポリシーおよびユーザ名モード)

who

window-variation

wins-server

without-csd

write erase

write memory

write net

write standby

write terminal

zonelabs-integrity fail-close

zonelabs-integrity fail-open

zonelabs-integrity fail-timeout

zonelabs-integrity interface

zonelabs-integrity port

zonelabs-integrity server-address

zonelabs-integrity ssl-certificate-port

zonelabs-integrity ssl-client-authentication

uc-ime コマンド~ zonelabs integrity ssl-client-authentication コマンド

uc-ime

Cisco Intercompany Media Engine プロキシ インスタンスを作成するには、グローバル コンフィギュレーション モードで uc-ime コマンドを使用します。このプロキシ インスタンスを削除するには、このコマンドの no 形式を使用します。

uc-ime uc-ime_name

no uc-ime uc-ime_name

 
構文の説明

uc-ime_name

適応型セキュリティ アプライアンス上で設定されている Cisco Intercompany Media Engine プロキシのインスタンス名を指定します。 name は 64 文字までに制限されています。

適応型セキュリティ アプライアンスに設定できる Cisco Intercompany Media Engine プロキシは 1 つだけです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco Intercompany Media Engine プロキシを設定します。Cisco Intercompany Media Engine では、各企業は VoIP テクノロジーが提供する高度な機能によりインターネット経由でオンデマンドを相互に接続できます。Cisco Intercompany Media Engine では、ピアツーピア、セキュリティ、および SIP プロトコルを利用して企業間のダイナミック SIP トランクを作成することによって、さまざまな企業での Cisco Unified Communications Manager クラスタ間の企業間連携が可能になります。企業の一群が連携しても、結局、各企業間にインタークラスタ トランクがある 1 つの事業で終わることになります。

メディア ターミネーション インスタンスは、Cisco Intercompany Media Engine プロキシで指定する前に作成する必要があります。

適応型セキュリティ アプライアンスに設定できる Cisco Intercompany Media Engine プロキシは 1 つだけです。

次に、 uc-ime コマンドを使用して Cisco Intercompany Media Engine プロキシを設定する例を示します。

hostname(config)# uc-ime local_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30

 
関連コマンド

コマンド
説明

fallback

接続の整合性が低下する場合に VoIP から PSTN へのフォールバックに Cisco Intercompany Media Engine が使用するフォールバック タイマーを設定します。

show uc-ime

フォールバック通知、マッピング サービス セッション、およびシグナリング セッションに関する統計情報または詳細情報を表示します。

ticket

Cisco Intercompany Media Engine プロキシのチケット エポックおよびパスワードを設定します。

ucm

Cisco Intercompany Media Engine プロキシの接続先の Cisco UCM を設定します。

ucm

Cisco Intercompany Media Engine プロキシの接続先の Cisco Unified Communication Manager(UCM)を設定するには、グローバル コンフィギュレーション モードで ucm コマンドを使用します。Cisco Intercompanuy Media Engine プロキシに接続されている Cisco UCM を削除するには、このコマンドの no 形式を使用します。

ucm address ip_address trunk-security-mode { nonsecure | secure }

no ucm address ip_address trunk-security-mode { nonsecure | secure }

 
構文の説明

address

Cisco Unified Communications Manager(UCM)の IP アドレスを設定するキーワードです。

ip_address

Cisco UCM の IP アドレスを指定します。IPv4 形式で IP アドレスを入力します。

nonsecure

Cisco UCM クラスタまたは Cisco UCM クラスタが非セキュア モードで動作するように指定します。

secure

Cisco UCM クラスタまたは Cisco UCM クラスタがセキュア モードで動作するように指定します。

trunk-security-mode

Cisco UCM クラスタまたは Cisco UCM クラスタのセキュリティ モードを設定するキーワードです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

UC-IME コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

企業の Cisco UCM サーバを指定します。

Cisco Intercompany Media Engine プロキシの ucm コマンドを複数入力できます。


) イネーブルにされている SIP トランクがある Cisco Intercompany Media Engine を持つクラスタに、各 Cisco UCM のエントリを含ませる必要があります。


Cisco UCM または Cisco UCM に secure を指定することは、Cisco UCM または Cisco UCM クラスタが TLS を開始することを意味します。したがって、コンポーネントに TLS を設定する必要があります。

この作業で secure オプションを指定したり、後で企業に TLS を設定しながら TLS をアップデートしたりできます。

企業内の TLS は、適応型セキュリティ アプライアンスで認識された Cisco Intercompany Media Engine トランクのセキュリティ ステータスを指しています。

Cisco UCM で Cisco Intercompany Media Engine トランクの転送セキュリティを変更する場合は、適応型セキュリティ アプライアンスでも変更する必要があります。ミスマッチがある場合は、コール障害が発生します。適応型セキュリティ アプライアンスは、非セキュア IME トランクを持つ SRTP をサポートしません。適応型セキュリティ アプライアンスは、SRTP がセキュア トランクで許可されることを前提としています。そのため、TLS が使用されている場合は、IME トランクに対して「SRTP Allowed」をチェックする必要があります。適応型セキュリティ アプライアンスは、セキュア IME トランク コールに対して RTP への SRTP フォールバックをサポートしています。

プロキシは企業のエッジに置かれ、企業間で作成される SIP トランク間の SIP シグナリングを検査します。プロキシはインターネットから TLS シグナリングを終端し、TCP または TLS を Cisco UCM に対して開始します。

Transport Layer Security(TLS)は、インターネットなどのネットワーク経由の通信にセキュリティを提供する暗号化プロトコルです。TLS によって、トランスポート レイヤ エンドツーエンドでのネットワーク接続のセグメントが暗号化されます。

この作業は、ネットワーク内で TCP が許可されている場合は不要です。

ローカルの企業内で TLS を設定するための主要な手順を次に示します。

ローカルの適応型セキュリティ アプライアンス、自己署名証明書の別の RSA キーおよびトラストポイントを作成します。

ローカル Cisco UCM とローカルの適応型セキュリティ アプライアンス間で証明書をエクスポートおよびインポートします。

適応型セキュリティ アプライアンスでローカル Cisco UCM のトラストポイントを作成します。

TLS を介した認証:N 社の企業のために ASA がポートとして機能するためには、Cisco UCM は ASA からの証明書の受け入れを許可する必要があります。この処理は、Cisco UCM が証明書からサブジェクト名を抽出してセキュリティ プロファイルで設定されている名前と比較するため、ASA によって示されるサブジェクト名と同じものが含まれている同じ SIP セキュリティ プロファイルにすべての UC IME SIP トランクを関連付けることによって実行できます。

次に ... をする例を示します。

hostname(config)# uc-ime local_uc-ime_proxy
hostname(config-uc-ime)# media-termination ime-media-term
hostname(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
hostname(config-uc-ime)# ticket epoch 1 password password1234
hostname(config-uc-ime)# fallback monitoring timer 120
hostname(config-uc-ime)# fallback hold-down timer 30
 

 
関連コマンド

コマンド
説明

undebug

現在のセッションでデバッグ情報の表示をディセーブルにするには、特権 EXEC モードで undebug コマンドを使用します。

undebug { command | all }

 
構文の説明

command

指定されたコマンドのデバッグをディセーブルにします。サポートされるコマンドについては、「使用上のガイドライン」を参照してください。

all

すべてのデバッグ出力をディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが変更されました。このコマンドには、追加のデバッグ キーワードが含まれます。

 
使用上のガイドライン

次のコマンドは、undebug コマンドと併用できます。特定のコマンドのデバッグ、または特定の debug コマンドの関連付けられた引数とキーワードの詳細については、 debug コマンド のエントリを参照してください。

aaa:AAA 情報

acl:ACL 情報

all:すべてのデバッグ

appfw:アプリケーション ファイアウォール情報

arp:NP 動作を含む ARP

asdm:ASDM 情報

auto-update:自動アップデート情報

boot-mem:ブート メモリの計算および設定

cifs:CIFS 情報

cmgr:CMGR 情報

context:コンテキスト情報

cplane:CP 情報

crypto:暗号情報

ctiqbe:CTIQBE 情報

ctl-provider:CTL プロバイダーのデバッグ情報

dap:DAP 情報

dcerpc:DCERPC 情報

ddns:ダイナミック DNS 情報

dhcpc:DHCP クライアント情報

dhcpd:DHCP サーバ情報

dhcprelay:DHCP リレー情報

disk:ディスク情報

dns:DNS 情報

eap:EAP 情報

eigrp:EIGRP プロトコル情報

email:電子メール情報

entity:エンティティ MIB 情報

eou:EAPoUDP 情報

esmtp:ESMTP 情報

fips:FIPS 140-2 情報

fixup:フィックスアップ情報

fover:フェールオーバー情報

fsm:FSM 情報

ftp:FTP 情報

generic:Miscellaneous 情報

gtp:GTP 情報

h323:H323 情報

http:HTTP 情報

icmp:ICMP 情報

igmp:インターネット グループ管理プロトコル

ils:LDAP 情報

im:IM インスペクション情報

imagemgr:イメージ マネージャ情報

inspect:検査デバッグ情報

integrityfw:Integrity ファイアウォール情報

ip:IP 情報

ipsec-over-tcp:IPSec over TCP 情報

ipsec-pass-thru:IPSec-pass-thru 情報を検査

ipv6:IPv6 情報

iua-proxy:IUA プロキシ情報

kerberos:KERBEROS 情報

l2tp:L2TP 情報

ldap:LDAP 情報

mfib:マルチキャスト転送情報ベース

mgcp:MGCP 情報

module-boot:サービス モジュール ブート情報

mrib:マルチキャスト ルーティング情報ベース

nac-framework:NAC-FRAMEWORK 情報

netbios-inspect:NETBIOS 検査情報

npshim:NPSHIM 情報

ntdomain:NT ドメイン情報

ntp:NTP 情報

ospf:OSPF 情報

p2p:P2P インスペクション情報

parser:パーサー情報

PIM:Protocol Independent Multicast

pix:PIX 情報

ppp:PPP 情報

pppoe:PPPoE 情報

pptp:PPTP 情報

radius:RADIUS 情報

redundant-interface:冗長インターフェイス情報

rip:RIP 情報

rtp:RTP 情報

rtsp:RTSP 情報

sdi:SDI 情報

sequence:シーケンス番号を追加

session-command:セッション コマンド情報

sip:SIP 情報

skinny:Skinny 情報

sla:IP SLA モニタ デバッグ

smtp-client:電子メール システムのログ メッセージ

splitdns:スプリット DNS 情報

sqlnet:SQLNET 情報

ssh:SSH 情報

sunrpc:SUNRPC 情報

tacacs:TACACS 情報

tcp:WebVPN の TCP

tcp-map:TCP マップ情報

timestamps:タイムスタンプを追加

track:スタティック ルート トラッキング

vlan-mapping:VLAN マッピング情報

vpn-sessiondb:VPN セッション データベース情報

vpnlb:VPN ロード バランシング情報

wccp:WCCP 情報

webvpn:WebVPN 情報

xdmcp:XDMCP 情報

xml:XML パーサー情報

デバッグ出力には、CPU プロセスで高いプライオリティが割り当てられるため、システムが使用できなくなる可能性があります。したがって、 debug コマンドを使用するのは、特定の問題のトラブルシューティング時、または Cisco TAC とともにトラブルシューティングを行う場合に限定してください。さらに、 debug コマンドは、ネットワーク トラフィックが少なく、ユーザも少ないときに使用するのが最良です。このような時間帯を選んでデバッグを実行すると、 debug コマンドの処理の負担によってシステム利用が影響を受ける可能性が少なくなります。

次に、すべてのデバッグ出力をディセーブルにする例を示します。

hostname(config)# undebug all
 

 
関連コマンド

コマンド
説明

debug

選択したコマンドのデバッグ情報を表示します。

unix-auth-gid

UNIX グループ ID を設定するには、グループ ポリシー webvpn コンフィギュレーション モードで unix-auth-gid コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

unix-auth-gid < identifier >

no storage-objects

 
構文の説明

identifier

0 ~ 4294967294 の範囲の整数を指定します。

 
デフォルト

デフォルトは 65534 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

文字列で Network File System(NetFS; ネットワーク ファイル システム)の場所を指定します。SMB プロトコルおよび FTP プロトコルだけがサポートされています。たとえば、smb://(NetFS の場所)または ftp://(NetFS の場所)。この場所の名前を storage-objects コマンドで使用します。

次に、UNIX グループ ID を 4567 に設定する例を示します。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# unix-auth-gid 4567
 

 
関連コマンド

コマンド
説明

unix-auth-uid

UNIX ユーザ ID を設定します。

unix-auth-uid

UNIX ユーザ ID を設定するには、グループ ポリシー webvpn コンフィギュレーション モードで unix-auth-uid コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

unix-auth-gid < identifier >

no storage-objects

 
構文の説明

identifier

0 ~ 4294967294 の範囲の整数を指定します。

 
デフォルト

デフォルトは 65534 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

文字列で Network File System(NetFS; ネットワーク ファイル システム)の場所を指定します。SMB プロトコルおよび FTP プロトコルだけがサポートされています。たとえば、smb://(NetFS の場所)または ftp://(NetFS の場所)。この場所の名前を storage-objects コマンドで使用します。

次に、UNIX ユーザ ID を 333 に設定する例を示します。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# unix-auth-gid 333
 

 
関連コマンド

コマンド
説明

unix-auth-gid

UNIX グループ ID を設定します。

upload-max-size

アップロードするオブジェクトで許容する最大サイズを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで upload-max-size コマンドを使用します。このオブジェクトをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

upload-max-size < size >

no upload-max-size

 
構文の説明

size

アップロードされるオブジェクトで許容する最大サイズを指定します。指定できる範囲は 0 ~ 2147483647 です。

 
デフォルト

デフォルトのサイズは 2147483647 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

サイズを 0 に設定すると、実質的にオブジェクトのアップロードは許可されません。

次に、アップロードされるオブジェクトの最大サイズを 1500 バイトに設定する例を示します。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# upload-max-size 1500
 

 
関連コマンド

コマンド
説明

post-max-size

ポストするオブジェクトの最大サイズを指定します。

download-max-size

ダウンロードするオブジェクトの最大サイズを指定します。

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

uri-non-sip

Alert-Info ヘッダー フィールドおよび Call-Info ヘッダー フィールドにある SIP 以外の URI を識別するには、パラメータ コンフィギュレーション モードで uri-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

uri-non-sip action {mask | log} [log}

no uri-non-sip action {mask | log} [log}

 
構文の説明

mask

SIP 以外の URI をマスクします。

log

違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、SIP インスペクション ポリシー マップの Alert-Info ヘッダー フィールドおよび Call-Info ヘッダー フィールドにある SIP 以外の URI を識別する例を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# uri-non-sip action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

url

CRL を検索するためのスタティック URL のリストを維持するには、crl 設定コンフィギュレーション モードで url コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。既存の URL を削除するには、このコマンドの no 形式を使用します。

url index url

no url index url

 
構文の説明

index

リスト内の各 URL のランクを決定する 1 ~ 5 の値を指定します。適応型セキュリティ アプライアンスは、index 1 から URL を試行します。

url

CRL を検索する URL を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CRL 設定コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

既存の URL は上書きできません。既存の URL を置き換えるには、まずその URL を削除して、このコマンドの no 形式を使用します。

次に、ca-crl コンフィギュレーション モードに入り、CRL 検索用の URL のリストを作成および維持するためにインデックス 3 を設定して、CRL の検索元となる URL https://foobin.com を設定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# url 3 https://foobin.com
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

policy

CRL の検索元を指定します。

url-block

フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答に使用される URL バッファを管理するには、 url-block コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

url-block block block_buffer

no url-block block block_buffer

url-block mempool-size memory_pool_size

no url-block mempool-size memory_pool_size

url-block url-size long_url_size

no url-block url-size long_url_size

 
構文の説明

block block_buffer

フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答を保存する HTTP 応答バッファを作成します。許容される値は 1 ~ 128 です。これは、1550 バイトのブロック数を指定します。

mempool-size memory_pool_size

メモリ プールの URL バッファ メモリの最大サイズを設定します(KB 単位)。許容される値は 2 ~ 10240 で、2 ~ 10240 KB の URL バッファ メモリ プールを指定します。

url-size long_url_size

バッファされている長い URL それぞれの最大許容 URL サイズを設定します(KB 単位)。最大 URL サイズを指定する許容値は、Websense の場合は 2、3、または 4 で、2 KB、3 KB、または 4 KB を表し、Secure Computing の場合は 2 または 3 で、2 KB または 3 KB を表します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

Websense フィルタリング サーバの場合、url-block url-size コマンドを使用すると、最大 4 KB の長さの URL のフィルタリングが可能です。Secure Computing の場合、url-block url-size コマンドを使用すると、最大 3 KB の長さの URL のフィルタリングが可能です。Websense フィルタリング サーバおよび N2H2 フィルタリング サーバの両方の場合、url-block block コマンドを使用すると、URL フィルタリング サーバからの応答を待つ間の Web クライアント要求に応じて Web サーバから受信したパケットが適応型セキュリティ アプライアンスにバッファされます。この処理により、デフォルトの適応型セキュリティ アプライアンスの動作と比較して、Web クライアントのパフォーマンスが改善されます。デフォルトの動作はパケットをドロップし、接続が許可された場合は Web サーバにパケットの再転送を要求します。

url-block block コマンドを使用し、フィルタリング サーバが接続を許可した場合、適応型セキュリティ アプライアンスは、HTTP 応答バッファから Web クライアントにブロックを送信して、バッファからブロックを削除します。フィルタリング サーバが接続を拒否した場合、適応型セキュリティ アプライアンスは拒否メッセージを Web クライアントに送信して、HTTP 応答バッファからブロックを削除します。

url-block block コマンド を使用して、フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答のバッファリングに使用するブロックの数を指定します。

url-block url-size コマンドと url-block mempool-size コマンドを使用して、フィルタリングする URL の最大長と、URL のバッファに割り当てる最大メモリを指定します。これらのコマンドを使用して、1159 バイトより長い最大 4096 バイトの URL を Websense サーバまたは Secure Computing サーバに渡します。 url-block url-size コマンドは、1159 バイトより長い URL をバッファに保存した後、その URL を Websense サーバまたは Secure Computing サーバに渡します(TCP パケット ストリームを使用して)。その結果、Websense サーバまたは Secure Computing サーバがその URL へのアクセスを許可または拒否できます。

次に、1550 バイトのブロックを 56 個、URL フィルタリング サーバからの応答のバッファリングに割り当てる例を示します。

hostname#(config)# url-block block 56
 

 
関連コマンド

コマンド
説明

clear url-block block statistics

ブロック バッファの使用状況カウンタをクリアします。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show url-block

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

url-server

filter コマンドで使用する N2H2 サーバまたは Websense サーバを指定します。

url-cache

Websense サーバから受信した URL 応答の URL キャッシングをイネーブルにして、キャッシュのサイズを設定するには、グローバル コンフィギュレーション モードで url-cache コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

url-cache { dst | src_dst } kbytes [ kb ]

no url-cache { dst | src_dst } kbytes [ kb ]

 
構文の説明

dst

URL 宛先アドレスに基づくキャッシュ エントリ。このモードは、Websense サーバ上で、すべてのユーザが同じ URL フィルタリング ポリシーを共有する場合に選択します。

size kbytes

キャッシュサイズの値を 1 ~ 128 KB の範囲で指定します。

src_dst

URL 要求を発信している送信元アドレスと URL 宛先アドレスの両方に基づくキャッシュ エントリ。このモードは、Websense サーバ上で、ユーザが同じ URL フィルタリング ポリシーを共有していない場合に選択します。

statistics

statistics オプションを使用すると、追加の URL キャッシュ統計情報、たとえば、キャッシュ ルックアップの回数やヒット率が表示されます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン


) N2H2 サーバ アプリケーションは、url フィルタリングに対してこのコマンドをサポートしていません。


url-cache コマンドには、URL サーバから応答をキャッシュするコンフィギュレーション オプションが用意されています。

url-cache コマンドは、URL キャッシュをイネーブルにしてキャッシュサイズを設定し、キャッシュの統計情報を表示する場合に使用します。

キャッシュによって URL アクセス特権が、適応型セキュリティ アプライアンス上のメモリに保存されます。ホストが接続を要求すると、適応型セキュリティ アプライアンスは要求を Websense サーバに転送するのではなく、まず一致するアクセス特権を URL キャッシュ内で探します。キャッシュをディセーブルにするには、 no url-cache コマンドを使用します。


) Websense サーバで設定を変更した場合は、no url-cache コマンドでキャッシュをディセーブルにした後、url-cache コマンドで再度イネーブルにします。


URL キャッシュを使用しても、Websense プロトコル バージョン 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル バージョン 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティの要求を満たす使用状況プロファイルを取得した後、 url-cache をイネーブルにしてスループットを向上させます。Websense プロトコル バージョン 4 URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログがアップデートされます。

次に、送信元アドレスと宛先アドレスに基づいて、すべての発信 HTTP 接続をキャッシュする例を示します。

hostname(config)# url-cache src_dst 128
 

 
関連コマンド

コマンド
説明

clear url-cache statistics

コンフィギュレーションから url-cache コマンド ステートメントを削除します。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show url-cache statistics

Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。

url-server

filter コマンドで使用する Websense サーバを指定します。

url-entry

ポータル ページで HTTP/HTTPS URL を入力する機能をイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで url-entry コマンドを使用します。

url-entry enable | disable

enable | disable

ファイル サーバまたは共有を参照する機能をイネーブルまたはディセーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

次に、Finance と呼ばれる DAP レコードの URL エントリをイネーブルにする例を示します。

hostname (config) config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dynamic-access-policy-record)# url-entry enable
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

file-entry

アクセス先のファイル サーバの名前を入力する機能をイネーブルまたはディセーブルにします。

url-length-limit

RTSP メッセージで許可される URL の最大長を設定するには、パラメータ コンフィギュレーション モードで url-length-limit コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

url-length-limit length

no url-length-limit length

 
構文の説明

length

URL 長の制限(バイト単位)。指定できる範囲は 0 ~ 6000 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次に、RTSP インスペクション ポリシー マップで URL 長制限を設定する例を示します。

hostname(config)# policy-map type inspect rtsp rtsp_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# url-length-limit 50
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

url-list(削除されました)

このコマンドは、SSL VPN 接続を介したアクセス用の URL リストを定義するためには使用できなくなりました。URL リストを定義している XML オブジェクトをインポートするには、 import コマンドを使用します。詳細については、 import- コマンドおよび export-url-list コマンドを参照してください。

 
デフォルト

デフォルトの URL リストはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(2)

このコマンドは非推奨のコマンドになりました。このコマンドは、前から存在する URL リストとの下位互換性を確保するだけのために、このリリースのソフトウェアに残っています。そのため、セキュリティ アプライアンスは、このようなリストを XML ファイルに変換できます。このコマンドを新しい URL リストを作成するために使用できないことに注意してください。

 
使用上のガイドライン

URL の 1 つ以上のリストを作成するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。特定のグループ ポリシーまたはユーザのリストの URL へのアクセスを許可するには、webvpn モードで、ここで作成する listname url-list コマンドとともに使用します。

次に、www.cisco.com、www.example.com、および www.example.org にアクセスできる、 Marketing URLs という名称の URL リストを作成する例を示します。次の表に、各アプリケーションに対して使用される値の例を示します。

listname
displayname
url

Marketing URLs

Cisco Systems

http://www.cisco.com

Marketing URLs

Example Company, Inc.

http://www.example.com

Marketing URLs

Example Organization

http://www.example.org

hostname(config)# url-list Marketing URLs Cisco Systems http://www.cisco.com
hostname(config)# url-list Marketing URLs Example Company, Inc. http://www.example.com
hostname(config)# url-list Marketing URLs Example Organization http://www.example.org
 

 
関連コマンド

コマンド
説明

clear configuration url-list

すべての url-list コマンドをコンフィギュレーションから削除します。listname を含めると、適応型セキュリティ アプライアンスは、そのリストのコマンドだけを削除します。

show running-configuration url-list

現在の設定された url のセットを表示します。

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

url-list(グループ ポリシー webvpn)

WebVPN サーバのリストと URL を特定のユーザまたはグループ ポリシーに適用するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 url-list コマンドを使用します。 url-list none command を使用して作成したヌル値を含むリストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。URL リストを継承しないようにするには、 url-list none コマンドを使用します。次回このコマンドを使用すると、前回までの設定が上書きされます。

url-list { value name | none } [ index ]

no url-list

 
構文の説明

index

ホームページ上で表示される優先順位を示します。

none

URL リストにヌル値を設定します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーからリストを継承しないようにします。

value name

URL の設定済みリストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

 
デフォルト

デフォルトの URL リストはありません。

 
コマンド モード

次の表に、このコマンドを入力するモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn モード

--

--

--

ユーザ名モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

次回このコマンドを使用すると、前回までの設定が上書きされます。

webvpn モードで url-list コマンドを使用して、ユーザまたはグループ ポリシー用の WebVPN ホームページに表示する URL リストを識別する前に、XML オブジェクトを使用してリストを作成する必要があります。グローバル コンフィギュレーション モードで import コマンドを使用して、URL リストをセキュリティ アプライアンスにダウンロードします。その後、url-list コマンドを使用して、特定のグループ ポリシーまたはユーザにリストを適用します。

次に、FirstGroupURLs と呼ばれる URL リストを FirstGroup と呼ばれるグループ ポリシーに適用して、URL リスト中の最初の位置に割り当てる例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# url-list value FirstGroupURLs 1

 
関連コマンド

コマンド
説明

clear configure url-list [ listname ]

すべての url-list コマンドをコンフィギュレーションから削除します。listname を含めると、適応型セキュリティ アプライアンスは、そのリストのコマンドだけを削除します。

show running-configuration url-list

現在設定されている一連の url-list コマンドを表示します。

webvpn

webvpn モードを開始できるようにします。これは、webvpn コンフィギュレーション モード、グループ ポリシー webvpn コンフィギュレーション モード(特定のグループ ポリシーに対する webvpn の値を設定するため)、またはユーザ名 webvpn コンフィギュレーション モード(特定のユーザに対する webvpn の値を設定するため)のいずれかです。

url-server

filter コマンドで使用する N2H2 または Websense サーバを指定するには、グローバル コンフィギュレーション モードで url-server コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

N2H2

url-server [< ( if_name )>] vendor {smartfilter | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]

no url-server [< ( if_name )>] vendor {smartfilter | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]

Websense

url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP | connections num_conns ] | version ]

no url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ] | version ]

 
構文の説明

N2H2

 

connections

許容する TCP 接続の最大数を制限します。

num_conns

セキュリティ アプライアンスから URL サーバに作成される TCP 接続の最大数を指定します。この数はサーバごとであるため、複数のサーバに異なる接続値を指定できます。

host local_ip

URL フィルタリング アプリケーションを実行するサーバ。

if_name

(任意)認証サーバが常駐するネットワーク インターフェイス。指定しない場合、デフォルトは内部インターフェイスです。

port number

N2H2 サーバ ポート。適応型セキュリティ アプライアンスは、UDP 応答もこのポートでリッスンします。デフォルトのポート番号は 4005 です。

protocol

プロトコルは、 TCP キーワードまたは UDP キーワードを使用して設定できます。デフォルトは TCP です。

timeout seconds

許容される最大アイドル時間で、この時間が経過すると、適応型セキュリティ アプライアンスは指定した次のサーバに切り替わります。デフォルトは 30 秒です。

vendor

「smartfilter」または「n2h2」(下位互換性のため)を使用して、URL フィルタリング サービスを示します。ただし、「smartfilter」はベンダー ストリングとして保存されます。

Websense

 

connections

許容する TCP 接続の最大数を制限します。

num_conns

セキュリティ アプライアンスから URL サーバに作成される TCP 接続の最大数を指定します。この数はサーバごとであるため、複数のサーバに異なる接続値を指定できます。

host local_ip

URL フィルタリング アプリケーションを実行するサーバ。

if_name

認証サーバが常駐するネットワーク インターフェイス。指定しない場合、デフォルトは内部インターフェイスです。

timeout seconds

許容される最大アイドル時間で、この時間が経過すると、適応型セキュリティ アプライアンスは指定した次のサーバに切り替わります。デフォルトは 30 秒です。

protocol

プロトコルは、 TCP キーワードまたは UDP キーワードを使用して設定できます。デフォルトは TCP プロトコル、バージョン 1 です。

vendor websense

URL フィルタリング サービス ベンダーが Websense であることを示します。

version

プロトコル バージョン 1 または 4 を指定します。デフォルトは TCP プロトコル バージョン 1 です。TCP は、バージョン 1 またはバージョン 4 を使用して設定できます。UDP の設定に使用できるのは、バージョン 4 だけです。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

url-server コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。URL サーバ数の上限は、シングル コンテキスト モードでは 16 で、マルチ モードでは 4 ですが、一度に使用できるアプリケーションは、N2H2 または Websense のいずれか 1 つだけです。さらに、適応型セキュリティ アプライアンス上でコンフィギュレーションを変更しても、アプリケーション サーバ上のコンフィギュレーションはアップデートされないため、ベンダーの指示に従って別途アップデートする必要があります。

HTTPS および FTP に対して filter コマンドを実行するには、事前に url-server コマンドを設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連する filter コマンドもすべて削除されます。

サーバを指示した後、 filter url コマンドを使用して、URL フィルタリング サービスをイネーブルにします。

到達不能サーバなどのサーバ統計情報を表示するには、 show url-server statistics コマンドを使用します。

次の手順を実行して、URL フィルタリングを行います。


ステップ 1 ベンダー固有の url-server コマンドを適切な形式で使用して、URL フィルタリング アプリケーション サーバを指示します。

ステップ 2 filter コマンドで、URL フィルタリングをイネーブルにします。

ステップ 3 (任意) url-cache コマンドを使用して、URL キャッシュをイネーブルにし、認識される応答時間を改善します。

ステップ 4 (任意) url-block コマンドを使用して、長い URL および HTTP のバッファリングのサポートをイネーブルにします。

ステップ 5 show url-block block statistics show url-cache statistics 、または show url-server statistics の各コマンドを使用して、実行情報を表示します。

N2H2 によるフィルタリングの詳細については、次の N2H2 の Web サイトを参照してください。

http://www.n2h2.com

Websense フィルタリング サービスの詳細については、次の Web サイトを参照してください。

http://www.websense.com/


 

次に、N2H2 を使用して、10.0.2.54 ホストからの接続を除く発信 HTTP 接続をすべてフィルタリングする例を示します。

hostname(config)# url-server (perimeter) vendor n2h2 host 10.0.1.1
hostname(config)# filter url http 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

次に、Websense を使用して、10.0.2.54 ホストからの接続を除く発信 HTTP 接続をすべてフィルタリングする例を示します。

hostname(config)# url-server (perimeter) vendor websense host 10.0.1.1 protocol TCP version 4
hostname(config)# filter url http 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

 
関連コマンド

コマンド
説明

clear url-server

URL フィルタリング サーバの統計情報をクリアします。

filter url

トラフィックを URL フィルタリング サーバに送ります。

show url-block

N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。

url-cache

N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。

urgent-flag

TCP ノーマライザを通して URG ポインタを許可またはクリアするには、TCP マップ コンフィギュレーション モードで urgent-flag コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

urgent-flag { allow | clear }

no urgent-flag { allow | clear }

 
構文の説明

allow

TCP ノーマライザを通して URG ポインタを許可します。

clear

TCP ノーマライザを通して URG ポインタをクリアします。

 
デフォルト

緊急フラグおよび緊急オフセットはデフォルトでクリアされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP マップ コンフィギュレーション モードで urgent-flag コマンドを使用して、緊急フラグを許可します。

URG フラグは、ストリーム内の他のデータよりも高い優先順位の情報を含むパケットを示すために使用されます。TCP RFC は、URG フラグの正確な解釈を明確にしていません。したがって、エンドシステムは緊急オフセットをさまざまな方法で処理します。このため、エンドシステムが攻撃を受けやすくなります。デフォルトの動作は、URG フラグとオフセットをクリアします。

次に、緊急フラグを許可する例を示します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# urgent-flag allow
hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq 513
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

user-authentication

ユーザ認証をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで user-authentication enable コマンドを使用します。ユーザ認証をディセーブルにするには、 user-authentication disable コマンドを使用します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、ユーザ認証の値を別のグループ ポリシーから継承できます。

イネーブルの場合、ユーザ認証ではハードウェア クライアントの背後にいる個々のユーザが、トンネル間でネットワークにアクセスするように認証する必要があります。

user-authentication { enable | disable }

no user-authentication

 
構文の説明

disable

ユーザ認証をディセーブルにします。

enable

ユーザ認証をイネーブルにします。

 
デフォルト

ユーザ認証はディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

個々のユーザは設定した認証サーバの順序に従って認証します。

プライマリ適応型セキュリティ アプライアンスでのユーザ認証が必要な場合は、必ずバックアップ サーバでも同様に設定します。

次に、「FirstGroup」という名前のグループ ポリシーのユーザ認証をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable

 
関連コマンド

コマンド
説明

ip-phone-bypass

ユーザ認証を行わずに IP 電話に接続できるようにします。セキュア ユニット認証は有効なままです。

leap-bypass

イネーブルの場合、LEAP パケットが VPN クライアントの背後にある無線デバイスから VPN トンネルを通過した後でユーザ認証を行います。これにより、シスコのワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、ユーザ認証ごとに再度認証を行います。

secure-unit-authentication

クライアントがトンネルを開始するたびに VPN クライアントがユーザ名とパスワードを使用した認証を要求することにより、さらにセキュリティが向上します。

user-authentication-idle-timeout

個々のユーザのアイドル タイムアウトを設定します。アイドル タイムアウト期間中にユーザ接続上で通信アクティビティがまったくなかった場合、適応型セキュリティ アプライアンスは接続を終了します。

user-authentication-idle-timeout

ハードウェア クライアントの背後にいる個々のユーザに対してアイドル タイムアウトを設定するには、グループ ポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを使用します。アイドル タイムアウト値を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、アイドル タイムアウト値を別のグループ ポリシーから継承できます。アイドル タイムアウト値を継承しないようにするには、 user-authentication-idle-timeout none コマンドを使用します。

アイドル タイムアウト期間中にハードウェア クライアントの背後にいるユーザによる通信アクティビティがまったくなかった場合、適応型セキュリティ アプライアンスは接続を終了します。

user-authentication-idle-timeout { minutes | none }

no user-authentication-idle-timeout

 
構文の説明

minutes

アイドル タイムアウト期間の分数を指定します。指定できる範囲は 1 ~ 35791394 分です。

none

無制限のアイドル タイムアウト期間を許可します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーからユーザ認証のアイドル タイムアウト値を継承しないようにします。

 
デフォルト

30 分。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

最小値は 1 分、デフォルトは 30 分、最大値は 10,080 分です。

このタイマーによって終了されるのは、VPN トンネルを介したクライアントのアクセスだけであり、VPN トンネル自身ではありません。

show uauth コマンドへの応答で示されるアイドル タイムアウトは、常に Cisco Easy VPN リモート デバイス上のトンネルを認証したユーザのアイドル タイムアウト値です。

次に、「FirstGroup」と呼ばれるグループ ポリシーに対して 45 分のアイドル タイムアウト値を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45

 
関連コマンド

コマンド
説明

user-authentication

ハードウェア クライアントの背後にいるユーザに対して接続前に、適応型セキュリティ アプライアンスに識別情報を示すように要求します。

user-storage

クライアントレス SSL VPN セッション間で設定された個人ユーザ情報を保存するには、グループ ポリシー webvpn モードで user storage コマンドを使用します。ユーザ ストレージをディセーブルにするには、このコマンドの no バージョンを使用します。

user-storage NETFS-location

no user-storage]

 
構文の説明

NETFS-location

ファイル システムの宛先を proto://user:password@host:port/path の形式で指定します。

 
デフォルト

ユーザストレージはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ユーザ ストレージを使用すると、キャッシュされた資格情報およびクッキーを、ASA フラッシュ以外の場所に保存できます。このコマンドは、クライアントレス SSL VPN ユーザの個人用ブックマークにシングル サイン オンを提供します。ユーザ資格情報は、複合できない <user_id>.cps ファイルとして FTP/CIFS/SMB サーバに暗号化形式で保存されます。

ユーザ名、パスワード、および事前共有キーがコンフィギュレーションに表示されても、適応型セキュリティ アプライアンスは内部アルゴリズムを使用してこの情報を暗号化形式で保存するため、セキュリティ上のリスクにはなりません。

データが外部の FTP サーバまたは SMB サーバで暗号化されている場合は、ブックマークの追加を選択してポータル ページ内に個人用ブックマークを定義できます(例:user-storage cifs://jdoe:test@10.130.60.49/SharedDocs)。すべてのプラグイン プロトコルにも個人用 URL を作成できます。


) すべてが同じ FTP/CIFS/SMB サーバを参照して同じ「ストレージ キー」を使用する ASA のクラスタがある場合は、クラスタ内のどの ASA を介してもブックマークにアクセスできます。


次に、anyfiler02a/new_share というパス、anyshare というファイル共有で、パスワードが 12345678 の newuser というユーザとして、ユーザ ストレージを設定する例を示します。

hostname(config)# wgroup-policy DFLTGrpPolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# user-storage cifs://newuser:12345678@anyfiler02a/new_share
hostname(config-group_webvpn)#

 
関連コマンド

コマンド
説明

storage-key

セッション間に保存されたデータのストレージ キーを指定します。

storage-objects

セッションとセッションの間に保存されたデータのストレージ オブジェクトを設定します。

username

適応型セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、削除するユーザ名で、このコマンドの no バージョンを使用します。すべてのユーザ名を削除するには、ユーザ名を付加せずに、このコマンドの no バージョンを使用します。

username name { nopassword | password password [ mschap | encrypted | nt-encrypted ]} [ privilege priv_level ]

no username name

 
構文の説明

encrypted

パスワードを暗号化することを示します( mschap を指定しなかった場合)。 username コマンド内のパスワードを定義すると、適応型セキュリティ アプライアンスはセキュリティを維持するため、そのパスワードをコンフィギュレーションに保存するときに暗号化します。 show running-config コマンドを入力したときに、 username コマンドで実際のパスワードは表示されません。暗号化されたパスワードと、その後に encrypted キーワードが表示されます。たとえば、パスワード「test」を入力した場合は、 show running-config コマンドを実行すると次のように表示されます。

username pat password rvEdRh0xPC8bel7s encrypted
 

CLI で実際に encrypted キーワードを入力するときは、別の適応型セキュリティ アプライアンスにコンフィギュレーションをカット アンド ペーストして同じパスワードを使用する場合だけです。

mschap

パスワードが unicode に変換されて、MD4 でハッシュされることを指定します。ユーザが MSCHAPv1 または MSCHAPv2 を使用して認証されている場合に、このキーワードを使用します。

name

ユーザの名前を 4 ~ 64 の文字列で指定します。

nopassword

このユーザにはパスワードが不要であることを示します。

nt-encrypted

パスワードが MSCHAPv1 または MSCHAPv2 での認証用に暗号化されることを指定します。ユーザを追加するときに mschap キーワードを指定すると、 show running-config コマンドを使用してコンフィギュレーションを表示したときに、 encrypted キーワードではなく、このキーワードが表示されます。

username コマンド内のパスワードを定義すると、適応型セキュリティ アプライアンスはセキュリティを維持するため、そのパスワードをコンフィギュレーションに保存するときに暗号化します。 show running-config コマンドを入力したときに、 username コマンドで実際のパスワードは表示されません。暗号化されたパスワードと、その後に nt-encrypted キーワードが表示されます。たとえば、パスワード「test」を入力した場合は、 show running-config を実行すると次のように表示されます。

username pat password DLaUiAX3l78qgoB5c7iVNw== nt-encrypted
 

CLI で実際に nt-encrypted キーワードを入力するときは、別の適応型セキュリティ アプライアンスにコンフィギュレーションをカット アンド ペーストして同じパスワードを使用する場合だけです。

password password

3 ~ 32 文字列のパスワードを設定します。

privilege priv_level

使用する特権レベルを 0(最低)~ 15(最高)に指定します。デフォルトの特権レベルは 2 です。この特権レベルは、コマンド認可で使用されます。

 
デフォルト

デフォルトの特権レベルは 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

mschap キーワードと nt-encrypted キーワードが追加されました。

 
使用上のガイドライン

login コマンドでは、このデータベースを認証用に使用します。

CLI にアクセスできるユーザや特権モードに入れないユーザをローカルデータベースに追加する場合は、コマンド認可を設定する必要があります( aaa authorization command コマンドを参照)。コマンド認可を設定しないと、ユーザの特権レベルが 2 以上であれば(2 がデフォルト)、CLI で自分のパスワードを使って特権 EXEC モード(およびすべてのコマンド)にアクセスできるようになります。または、AAA 認証を使用して、ユーザが login コマンドを使えないようにするか、全ローカル ユーザの特権レベルを 1 に設定して、どのユーザが enable パスワードで特権 EXEC モードにアクセスできるかを制御します。

デフォルトでは、このコマンドを使用して追加した VPN ユーザには、アトリビュートまたはグループ ポリシーのアソシエーションはありません。 username attributes コマンドを使用して、すべての値を明示的に設定する必要があります。

次に、パスワードが 12345678 で、特権レベルが 12 である anyuser というユーザを設定する例を示します。

hostname(config)# username anyuser password 12345678 privilege 12
 

 
関連コマンド

コマンド
説明

aaa authorization command

コマンド認可を設定します。

clear config username

特定のユーザまたはすべてのユーザのコンフィギュレーションをクリアします。

show running-config username

特定のユーザまたはすべてのユーザの実行コンフィギュレーションを表示します。

username attributes

ユーザ名アトリビュート モードを開始して、特定のユーザのアトリビュートを設定できるようにします。

webvpn

config-group-webvpn モードを開始します。このモードでは、指定したグループに対する WebVPN アトリビュートを設定できます。

username -from-certificate

認証で認可用のユーザ名として使用するフィールドを指定するには、トンネル グループ一般アトリビュート モードで username-from-certificate コマンドを使用します。認可用のユーザ名として使用されるピア証明書の DN

アトリビュートをコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。

username-from-certificate { primary-attr [ secondary-attr ] | use-entire-name }

no username-from-certificate

 
構文の説明

primary-attr

証明書から認可クエリー用のユーザ名を生成するときに使用するアトリビュートを指定します。pre-fill-username がイネーブルである場合、生成された名前を認証クエリーでも使用できます。

secondary-attr

(任意)デジタル証明書から認証クエリーまたは認可クエリー用のユーザ名を生成する場合にプライマリ アトリビュートとともに使用する追加のアトリビュートを指定します。pre-fill-username がイネーブルである場合、生成された名前を認証クエリーでも使用できます。

use-entire-name

デジタル証明書から認可クエリー用の名前を生成する場合に適応型セキュリティ アプライアンスがサブジェクト DN(RFC1779)全体を使用するように指定します。

 
デフォルト

プライマリ アトリビュートのデフォルト値は Common Name(CN; 通常名)です。

セカンダリ アトリビュートのデフォルト値は Organizational Unit(OU; 組織ユニット)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ユーザ名として使用する証明書のフィールドを選択します。リリース 8.0.4 以降で廃止された authorization-dn-attributes コマンドが、このコマンドに置き換えられました。 username-from-certificate コマンドは、セキュリティ アプライアンスが、指定された証明書フィールドをユーザ名またはパスワードの認可用のユーザ名として使用することを強制します。

ユーザ名またはパスワードの認可用の証明書機能から pre-fill username の、この生成されたユーザ名を使用するには、トンネル グループ webvpn アトリビュート モードで pre-fill-username コマンドも設定する必要があります。つまり、pre-fill username 機能を使用するには、両方のコマンドを設定する必要があります。

プライマリ アトリビュートおよびセカンダリ アトリビュートの有効値は、次のとおりです。

 

アトリビュート
定義

C

Country(国名):2 文字の国名略語。国名コードは、ISO 3166 国名略語に準拠しています。

CN

Common Name(通常名):人、システム、その他のエンティティの名前。セカンダリ アトリビュートとしては使用できません。

DNQ

Domain Name Qualifier(ドメイン名修飾子)。

EA

E-mail Address(電子メール アドレス)。

GENQ

Generational Qualifier(世代修飾子)。

GN

Given Name(名)。

I

Initials(イニシャル)。

L

Locality(地名):組織が置かれている市または町。

N

Name(名前)。

O

Organization(組織):会社、団体、機関、連合、その他のエンティティの名前。

OU

Organizational Unit(組織ユニット):Organization(O; 組織)内のサブグループ。

SER

Serial Number(シリアル番号)。

SN

Surname(姓)。

SP

State/Province(州または都道府県):組織が置かれている州または都道府県。

T

Title(タイトル)。

UID

User Identifier(ユーザ ID)。

UPN

User Principal Name(ユーザ プリンシパル名)。

use-entire-name

DN 名全体を使用します。セカンダリ アトリビュートとしては使用できません。

グローバル コンフィギュレーション モードで入力される次の例では、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成して、Common Name(CN; 通常名)をプライマリ アトリビュートとして使用し、認可クエリー用の名前をデジタル証明書から生成するために使用するセカンダリ アトリビュートとして OU を使用することを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# username-from-certificate CN OU
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

pre-fill-username

事前入力ユーザ名機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username attributes

ユーザ名アトリビュート モードを開始するには、ユーザ名コンフィギュレーション モードで username attributes コマンドを使用します。特定のユーザのすべてのアトリビュートを削除するには、このコマンドの no 形式を使用して、ユーザ名を付加します。すべてのユーザのすべてのアトリビュートを削除するには、ユーザ名を付加せずに、このコマンドの no 形式を使用します。アトリビュート モードを使用すると、指定したユーザに対してアトリビュート値ペアを設定できます。

username { name } attributes

no username [ name ] attributes

 
構文の説明

name

ユーザの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(2)

service-type アトリビュートが追加されました。

 
使用上のガイドライン

内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドでは、このデータベースを認証用に使用します。ユーザ名アトリビュートは、 username コマンドまたは username attributes コマンドのいずれかを使用して設定できます。

config-username モードのコマンドの構文には、共通する次の特性があります。

no 形式は、実行コンフィギュレーションからアトリビュートを削除します。

none キーワードも、実行コンフィギュレーションからアトリビュートを削除します。ただし、アトリビュートにヌル値を設定することにより削除され、継承しないようにします。

ブール型アトリビュートには、イネーブルおよびディセーブルの設定用に明示的な構文があります。

username attributes コマンドで config-username モードを開始すると、次のアトリビュートを設定できます。

 

アトリビュート
機能

group-lock

ユーザが接続する必要がある既存のトンネル グループを指定します。

password-storage

クライアント システムでのログイン パスワードの保存をイネーブルまたはディセーブルにします。

service-type [remote-access | admin | nas-prompt]

コンソール ログインを制限し、適切なレベルを割り当てられているユーザのログインをイネーブルにします。 remote-access オプションは、リモート アクセスの AAA サービスを指定します。 admin オプションは、AAA サービス、ログイン コンソール特権、EXEC モード特権、イネーブル特権、および CLI 特権を指定します。 nas-prompt オプションは、AAA サービス、ログイン コンソール特権、EXEC モード特権を指定しますが、イネーブル特権を指定しません。

vpn-access-hours

設定済みの時間範囲ポリシーの名前を指定します。

vpn-filter

ユーザ固有の ACL の名前を指定します。

vpn-framed-ip-address

クライアントに割り当てられる IP アドレスとネット マスクを指定します。

vpn-group-policy

アトリビュートの継承元になるグループ ポリシーの名前を指定します。

vpn-idle-timeout

アイドル タイムアウト期間(分単位)を指定するか、または none を使用してディセーブルにします。

vpn-session-timeout

ユーザの最大接続時間(分単位)を指定するか、 none を使用して無制限にします。

vpn-simultaneous-logins

使用可能な同時ログインの最大数を指定します。

vpn-tunnel-protocol

許可されたトンネリング プロトコルを指定します。

webvpn

webvpn アトリビュートを設定する webvpn モードを開始します。

ユーザ名に対する webvpn モード アトリビュートは、ユーザ名 webvpn コンフィギュレーション モードで username attributes コマンドを入力してから webvpn コマンドを入力して設定します。詳細については、 webvpn コマンド(グループ ポリシー アトリビュート モードおよびユーザ名アトリビュート モード)の説明を参照してください。

次に、「anyuser」という名前のユーザのユーザ名アトリビュート コンフィギュレーション モードを開始する例を示します。

hostname(config)# username anyuser attributes
hostname(config-username)#

 
関連コマンド

コマンド
説明

clear config username

ユーザ名データベースをクリアします。

show running-config username

特定のユーザまたはすべてのユーザの実行コンフィギュレーションを表示します。

username

適応型セキュリティ アプライアンスのデータベースにユーザを追加します。

webvpn

指定されたグループの WebVPN アトリビュートを設定できる、ユーザ名 webvpn コンフィギュレーション モードを開始します。

username-prompt

WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページ ログイン ボックスのユーザ名プロンプトをカスタマイズするには、webvpn カスタマイゼーション モードで username-prompt コマンドを使用します。

username-prompt { text | style } value

[ no ] username-prompt { text | style } value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
構文の説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

ユーザ名プロンプトのデフォルトのテキストは「USERNAME:」です。

ユーザ名プロンプトのデフォルトのスタイルは color:black;font-weight:bold;text-align:right です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次の例では、テキストを「Corporate Username:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更しています。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# username-prompt text Corporate Username:
F1-asa1(config-webvpn-custom)# username-prompt style font-weight:bolder
 

 
関連コマンド

コマンド
説明

group-prompt

WebVPN ページのグループ プロンプトをカスタマイズします。

password-prompt

WebVPN ページのパスワード プロンプトをカスタマイズします。

user-alert

現在のアクティブ セッションのすべてのクライアントレス SSL VPN ユーザに対して、緊急メッセージのブロードキャストをイネーブルにするには、特権 EXEC モードで user-alert コマンドを使用します。メッセージをディセーブルにするには、このコマンドの no 形式を使用します。

user-alert string cancel

no user-alert

 
構文の説明

cancel

ポップアップ ブラウザ ウィンドウの起動を取り消します。

string

ユーザに警告する英数字のメッセージ

 
デフォルト

値のデフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを発行すると、エンド ユーザに、設定されたメッセージが示されるポップアップ ブラウザ ウィンドウが表示されます。このコマンドによる適応型セキュリティ アプライアンスのコンフィギュレーション ファイルへの変更はありません。

次の例は、DAP トレース デバッグをイネーブルにする方法を示しています。

hostname # We will reboot the security appliance at 11:00 p.m. EST time. We apologize for any inconvenience.
hostname #

 

user-message

DAP レコードを選択したときに表示されるテキスト メッセージを指定するには、ダイナミック アクセス ポリシー レコード モードで user-message コマンドを使用します。このメッセージを削除するには、このコマンドの no バージョンを使用します。同じ DAP レコードに対してこのコマンドを複数回使用すると、前のメッセージは新しいメッセージに置き換えられます。

user-message message

no user-message

 
構文の説明

message

この DAP レコードに割り当てられたユーザへのメッセージ。最大 128 文字です。メッセージにスペースが含まれている場合は、メッセージを二重引用符で囲んでください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック アクセス ポリシー レコード

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

SSL VPN 接続が正常に行われると、ポータル ページにクリック可能な点滅アイコンが表示されるため、ユーザはそのアイコンをクリックして接続に関連付けられたメッセージを表示できます。DAP ポリシーからの接続が終了し(アクション = 終了)、その DAP レコードにユーザ メッセージが設定されている場合は、ログイン画面にそのメッセージが表示されます。

複数の DAP レコードが接続に適用される場合、適応型セキュリティ アプライアンスは該当するユーザ メッセージを組み合わせて、1 つの文字列として表示します。

次に、Finance と呼ばれる DAP レコードに「Hello Money Managers」というユーザメッセージを設定する例を示します。

hostname (config) config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# user-message “Hello Money Managers”
hostname(config-dynamic-access-policy-record)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

show running-config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定した DAP レコードの実行コンフィギュレーションを表示します。

user-storage

クライアントレス SSL VPN セッション間で設定された個人ユーザ情報を保存するには、グループ ポリシー webvpn モードで user storage コマンドを使用します。ユーザ ストレージをディセーブルにするには、このコマンドの no バージョンを使用します。

user-storage NETFS-location

no user-storage]

 
構文の説明

NETFS-location

ファイル システムの宛先を proto://user:password@host:port/path の形式で指定します。

 
デフォルト

ユーザストレージはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ユーザ ストレージを使用すると、キャッシュされた資格情報およびクッキーを、ASA フラッシュ以外の場所に保存できます。このコマンドは、クライアントレス SSL VPN ユーザの個人用ブックマークにシングル サイン オンを提供します。ユーザ資格情報は、復号できない <user_id>.cps ファイルとして、FTP/SMB サーバ上に暗号化形式で保存されます。

ユーザ名、パスワード、および事前共有キーがコンフィギュレーションに表示されても、適応型セキュリティ アプライアンスは内部アルゴリズムを使用してこの情報を暗号化形式で保存するため、セキュリティ上のリスクにはなりません。

データが外部の FTP サーバまたは SMB サーバで暗号化されている場合は、ブックマークの追加を選択してポータル ページ内に個人用ブックマークを定義できます(例:user-storage smb://jdoe:test@10.130.60.49/SharedDocs)。すべてのプラグイン プロトコルにも個人用 URL を作成できます。


) すべてが同じ FTP/SMB サーバを参照して同じ「ストレージ キー」を使用する ASA のクラスタがある場合は、クラスタ内のどの ASA を介してもブックマークにアクセスできます。


次に、anyfiler02a/new_share というパス、anyshare というファイル共有で、パスワードが 12345678 の newuser というユーザとして、ユーザ ストレージを設定する例を示します。

hostname(config)# wgroup-policy DFLTGrpPolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# user-storage smb://newuser:12345678@anyfiler02a/new_share
hostname(config-group_webvpn)#

 
関連コマンド

コマンド
説明

storage-key

セッション間に保存されたデータのストレージ キーを指定します。

storage-objects

セッションとセッションの間に保存されたデータのストレージ オブジェクトを設定します。

validate-attribute

RADIUS アカウンティングを使用する際に RADIUS アトリビュートを検証するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで、 validate attribute コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。

このオプションは、デフォルトではディセーブルです。

validate-attribute [ attribute_number ]

no validate-attribute [ attribute_number ]

 
構文の説明

attribute_number

RADIUS アカウンティングで検証する RADIUS アトリビュート。値の範囲は 1 ~ 191 です。ベンダー固有のアトリビュートはサポートされていません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを設定すると、セキュリティ アプライアンスでは、Framed IP アトリビュートに加えて RADIUS アトリビュートも照合します。このコマンドは、インスタンスを複数設定できます。

RADIUS アトリビュートのタイプのリストを見るには、次のインターネット割り当て番号局の Web サイトにアクセスしてください。

http://www.iana.org/assignments/media-types/

次に、ユーザ名 RADIUS アトリビュートの RADIUS アカウンティングをイネーブルにする例を示します。

hostname(config)# policy-map type inspect radius-accounting ra
hostname(config-pmap)# parameters
hostname(config-pmap-p)# validate attribute 1
 

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングのインスペクションを設定します。

parameters

インスペクション ポリシー マップのパラメータを設定します。

validation-policy(暗号 CA トラストポイント)

着信ユーザ接続に関連付けられた証明書を検証するためにトラストポイントを使用する条件を指定するには、暗号 CA トラストポイント コンフィギュレーション モードで validation-policy command を使用します。指定の条件でトラストポイントを使用できないように指定するには、このコマンドの no 形式を使用します。

[no] validation-policy {ssl | ipsec} [no-chain] [subordinate-only]

 
構文の説明

ipsec

トラストポイントと関連付けられている Certificate Authority(CA; 認証局)証明書およびポリシーを IPSec 接続の検証に使用できることを指定します。

no-chain

セキュリティ デバイスに存在しない下位証明書のチェーニングをディセーブルにします。

ssl

トラストポイントと関連付けられている Certificate Authority(CA; 認証局)証明書およびポリシーを SSL 接続の検証に使用できることを指定します。

subordinate-only

このトラストポイントが表す CA から直接発行されたクライアント証明書の検証をディセーブルにします。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

リモート アクセス VPN では、配置の要件に応じて、Secure Sockets Layer(SSL)VPN、IP Security(IPSec; IP セキュリティ)、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。 validation-policy コマンドを使用して、オンボード CA 証明書へのアクセスを許可するプロトコル タイプを指定できます。

このコマンドで指定する no-chain オプションにより、セキュリティ アプライアンスでは、そのセキュリティ アプライアンスでトラストポイントとして設定されていない下位 CA 証明書をサポートできないようにします。

セキュリティ アプライアンスでは、同じ CA に対して 2 つのトラストポイントを保持できます。そのため、同じ CA から 2 つの異なる ID 証明書が発行されることがあります。あるトラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA の認証を受ける場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、SSL トラストポイントとして指定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# validation-policy ssl
hostname(config-ca-trustpoint)#
 

次に、トラストポイント checkin1 の暗号 CA トラストポイント コンフィギュレーション モードを開始して、そのトラストポイントが指定されたトラストポイントの下位証明書を受け入れるように設定する例を示します。

hostname(config)# crypto ca trustpoint checkin1
hostname(config-ca-trustpoint)# validation-policy subordinates-only
hostname(config-ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

id-usage

トラストポイントの登録された ID の使用方法を指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

verify

ファイルのチェックサムを検証するには、特権 EXEC モードで verify コマンドを使用します。

verify path

verify /md5 path [ md5-value ]

 
構文の説明

/md5

(任意)指定したソフトウェア イメージの MD5 値を計算して表示します。この値を、Cisco.com で入手できるこのイメージの値と比較します。

md5-value

(任意)指定したイメージの既知の MD5 値。このコマンドで MD5 値を指定すると、指定したイメージの MD5 値がシステムで計算され、MD5 値が一致するかどうかを確認するメッセージが表示されます。

path

disk0:/ [ path / ] filename

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、内部フラッシュ メモリを示します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。

disk1:/ [ path / ] filename

このオプションは、ASA 5500 シリーズ適応型セキュリティ アプライアンスだけで使用可能であり、外部フラッシュ メモリ カードを示します。

flash:/ [ path / ] filename

このオプションは、内部フラッシュ カードを示します。ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、 flash disk0 のエイリアスです。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

サーバ アドレスへのルートを上書きする場合は、インターフェイス名を指定します。

パス名にスペースを含めることはできません。パス名にスペースが含まれている場合は、 verify コマンドではなく、 tftp-server コマンドでパスを設定してください。

 
デフォルト

現在のフラッシュ デバイスが、デフォルトのファイル システムです。


/md5 オプションを指定する場合に、ftp、http、tftp などのネットワークのファイルをソースとして指定できます。/md5 オプションを指定せずに verify コマンドを使用すると、フラッシュ メモリにあるローカル イメージしか検証できません。


 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

verify コマンドを使用して、ファイルを使用する前にそのチェックサムを検証します。

ディスクで配布されるソフトウェア イメージごとに、イメージ全体用のチェックサムが 1 つあります。このチェックサムは、イメージ ファイルをフラッシュ メモリにコピーした場合にだけ表示されます。あるディスクから別のディスクにコピーした場合には表示されません。

新しいイメージをロードまたは複製する前に、そのチェックサムと MD5 情報を記録しておき、イメージをフラッシュメモリやサーバにコピーしたときにチェックサムを検証できるようにします。Cisco.com には、イメージのさまざまな情報が掲載されています。

フラッシュ メモリの内容を表示する場合は、 show flash コマンドを使用します。フラッシュ メモリの内容リストに、個々のファイルのチェックサムは含まれていません。イメージをフラッシュ メモリにコピーした後で、そのチェックサムを再度計算して検証するには、 verify コマンドを使用します。ただし、 verify コマンドは、ファイルがファイル システムに保存されている場合だけに、整合性のチェックを行うことに注意してください。壊れたイメージがセキュリティ アプライアンスに転送され、検出されずにファイル システムに保存されている可能性があります。セキュリティ アプライアンスに壊れたイメージが転送された場合、ソフトウェアは、イメージが壊れていることを検出できず、ファイルの検証が正常に完了します。

Message Digest 5(MD5)ハッシュ アルゴリズムを使ってファイルを検証する場合は、 verify コマンドとともに /md5 オプションを使用します。MD5 は、128 ビットの固有のメッセージ ダイジェストを作成してデータの整合性を検証するアルゴリズム(RFC 1321 で規定)です。 verify コマンドの /md5 オプションを使用すると、セキュリティ アプライアンスのソフトウェア イメージの MD5 チェックサムの値を、その既知の MD5 チェックサム値と比較することにより、イメージの整合性を確認できます。すべてのセキュリティ アプライアンス ソフトウェア イメージの MD5 値は、ローカル システムのイメージの値と比較するために、Cisco.com から入手できるようになっています。

MD5 による整合性の確認を行うには、 /md5 キーワードを使用して verify コマンドを発行します。たとえば、 verify /md5 flash:cdisk.bin コマンドを発行すると、ソフトウェアイメージの MD5 値が計算されて表示されます。この値を、Cisco.com で入手できるこのイメージの値と比較します。

または、先に Cisco.com から MD5 値を取得しておき、その値をコマンド構文で指定できます。たとえば、 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 コマンドを発行すると、MD5 値が一致するかどうかを示すメッセージが表示されます。MD5 値が不一致であることは、イメージが破損しているか、入力された MD5 値が誤っているという意味です。

次に、cdisk.bin と呼ばれるイメージ ファイルで verify コマンドを使用する例を示します。わかりやすいように、テキストの一部が削除されています。

hostname# verify cdisk.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Done!
Embedded Hash MD5: af5a155f3d5c128a271282c33277069b
Computed Hash MD5: af5a155f3d5c128a271282c33277069b
CCO Hash MD5: b569fff8bbf8087f355aaf22ef46b782
Signature Verified
Verified disk0:/cdisk.bin
hostname#

 
関連コマンド

コマンド
説明

copy

ファイルをコピーします。

dir

システム内のファイルを一覧表示します。

version

適応型セキュリティ アプライアンスでグローバルに使用する RIP のバージョンを指定するには、ルータ コンフィギュレーション モードで version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

version { 1 | 2 }

no version

 
構文の説明

1

RIP バージョン 1 を指定します。

2

RIP バージョン 2 を指定します。

 
デフォルト

適応型セキュリティ アプライアンスは、バージョン 1 とバージョン 2 の両方のパケットを受信しますが、バージョン 1 のパケットしか送信しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドと rip receive version コマンドを指定します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

次に、すべてのインターフェイスで RIP バージョン 2 のパケットを送受信するように、適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# version 2
 

 
関連コマンド

コマンド
説明

rip send version

特定のインターフェイスからアップデートを送信するときに使用する RIP バージョンを指定します。

rip receive version

特定のインターフェイス上でアップデートを受信するときに受け入れる RIP バージョンを指定します。

router rip

RIP ルーティング プロセスをイネーブルにし、そのプロセスのルータ コンフィギュレーション モードを開始します。

virtual http

仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。

virtual http ip_address [ warning ]

no virtual http ip_address [ warning ]

 
構文の説明

ip_address

適応型セキュリティ アプライアンス上の仮想 HTTP サーバの IP アドレスを設定します。このアドレスが、適応型セキュリティ アプライアンスに向かってルーティングされる未使用アドレスであることを確認します。

warning

(任意)HTTP 接続を適応型セキュリティ アプライアンスにリダイレクトする必要があることをユーザに通知します。このキーワードは、リダイレクトが自動的に発生しないテキスト ベースのブラウザだけに適用されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

前のリリースで使用されていたインライン基本 HTTP 認証方式がリダイレクション方式に置き換えられたため、このコマンドは必要なくなり、廃止されました。

7.2(2)

基本 HTTP 認証(デフォルト)を使用するか、 aaa authentication listener コマンドによる HTTP リダイレクションを使用するかを選択できるようになったため、このコマンドが復活しました。リダイレクション方式では、HTTP 認証をカスケードする際に特別なコマンドを必要としません。

 
使用上のガイドライン

適応型セキュリティ アプライアンスで HTTP 認証を使用する場合( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、適応型セキュリティ アプライアンス ではデフォルトで基本 HTTP 認証が使用されます。 aaa authentication listener コマンドに redirect キーワードを指定して、適応型セキュリティ アプライアンスが、適応型セキュリティ アプライアンス自体によって生成された Web ページへ HTTP 接続をリダイレクトするように、認証方式を変更できます。

ただし、基本 HTTP 認証を使用し続ける場合、HTTP 認証をカスケードするときに virtual http コマンドが必要になることがあります。

適応型セキュリティ アプライアンスに加えて宛先 HTTP サーバでも認証が必要な場合、 virtual http コマンドを使用すると、適応型セキュリティ アプライアンス(AAA サーバ経由)と宛先 HTTP サーバで別々に認証できます。仮想 HTTP を使用しない場合は、適応型セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。AAA サーバおよび HTTP サーバのユーザ名およびパスワードが同じでない場合、HTTP 認証は失敗します。

このコマンドは、適応型セキュリティ アプライアンス上の仮想 HTTP サーバへの AAA 認証を必要とするすべての HTTP 接続をリダイレクトします。適応型セキュリティ アプライアンスは、AAA サーバのユーザ名およびパスワードを要求します。AAA サーバがユーザを認証した後、適応型セキュリティ アプライアンスは HTTP 接続を元のサーバにリダイレクトしますが、AAA サーバのユーザ名およびパスワードは含まれません。HTTP パケットにユーザ名およびパスワードが含まれていないため、HTTP サーバはユーザに HTTP サーバのユーザ名およびパスワードを別々に要求します。

着信ユーザ(セキュリティの低いユーザからセキュリティの高いユーザまで)の場合は、送信元インターフェイスに適用されるアクセス リストに、仮想 HTTP アドレスを宛先インターフェイスとして含める必要もあります。さらに、NAT が不要な場合でも( no nat-control コマンドを使用)、仮想 HTTP IP アドレスに static コマンドを追加する必要もあります。通常はアイデンティティ NAT コマンド(アドレスをそのまま同じアドレスに変換する)を使用します。

発信ユーザの場合は、トラフィックの明示的な許可がありますが、内部インターフェイスにアクセス リストを適用する場合は、仮想 HTTP アドレスに確実にアクセスできるようにします。 static ステートメントは不要です。


virtual http コマンドを使用する場合は、timeout uauth コマンドの継続時間を 0 秒に設定しないでください。0 秒に設定すると、実際の Web サーバへの HTTP 接続ができなくなります。


次に、AAA 認証とともに仮想 HTTP 認証をイネーブルにする例を示します。

hostname(config)# virtual http 209.165.202.129
hostname(config)# access-list ACL-IN extended permit tcp any host 209.165.200.225 eq http
hostname(config)# access-list ACL-IN remark This is the HTTP server on the inside
hostname(config)# access-list ACL-IN extended permit tcp any host 209.165.202.129 eq http
hostname(config)# access-list ACL-IN remark This is the virtual HTTP address
hostname(config)# access-group ACL-IN in interface outside
hostname(config)# static (inside, outside) 209.165.202.129 209.165.202.129 netmask 255.255.255.255
hostname(config)# access-list AUTH extended permit tcp any host 209.165.200.225 eq http
hostname(config)# access-list AUTH remark This is the HTTP server on the inside
hostname(config)# access-list AUTH extended permit tcp any host 209.165.202.129 eq http
hostname(config)# access-list AUTH remark This is the virtual HTTP address
hostname(config)# aaa authentication match AUTH outside tacacs+
 

 
関連コマンド

コマンド
説明

aaa authentication listener http

適応型セキュリティ アプライアンスで認証に使用される方式を設定します。

clear configure virtual

コンフィギュレーションから virtual コマンド ステートメントを削除します。

show running-config virtual

適応型セキュリティ アプライアンス仮想サーバの IP アドレスを表示します。

sysopt uauth allow-http-cache

virtual http コマンドをイネーブルにすると、このコマンドによってブラウザ キャッシュにあるユーザ名およびパスワードを使用して仮想サーバに再接続できます。

virtual telnet

適応型セキュリティ アプライアンス上に仮想 Telnet サーバを設定することで、認証が必要な他のタイプの接続を開始する前に適応型セキュリティ アプライアンスでユーザを認証できるようにします。

virtual telnet

適応型セキュリティ アプライアンスで仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。適応型セキュリティ アプライアンスで認証プロンプトが表示されない別のタイプのトラフィックを認証する必要がある場合は、仮想 Telnet サーバでユーザを認証しなければならないことがあります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。

virtual telnet ip_address

no virtual telnet ip_address

 
構文の説明

ip_address

適応型セキュリティ アプライアンス上の仮想 Telnet サーバの IP アドレスを設定します。このアドレスが、適応型セキュリティ アプライアンスに向かってルーティングされる未使用アドレスであることを確認します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

任意のプロトコルまたはサービス( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)に対してネットワーク アクセス認証を設定できますが、直接 HTTP、Telnet、または FTP だけでの認証もできます。ユーザは認証を必要とする別のトラフィックが許可される前に、このいずれかのサービスで先に認証する必要があります。適応型セキュリティ アプライアンスを通して HTTP、Telnet、または FTP を許可せずに、別のタイプのトラフィックを認証する場合は、適応型セキュリティ アプライアンスで設定された所定の IP アドレスにユーザが Telnet 接続し、適応型セキュリティ アプライアンスが Telnet プロンプトを表示するように、仮想 Telnet を設定できます。

authentication match コマンドまたは aaa authentication include コマンドを使用して、仮想 Telnet アドレスへの Telnet アクセスの認証、および認証する他のサービスを設定する必要があります。

権限のないユーザが仮想 Telnet IP アドレスに接続したとき、ユーザ名とパスワードが要求され、AAA サーバによって認証されます。認証されると、ユーザに「Authentication Successful.」というメッセージが表示されます。その後、ユーザは認証を必要とするその他のサービスに正常にアクセスできます。

着信ユーザ(セキュリティの低いユーザからセキュリティの高いユーザまで)の場合は、送信元インターフェイスに適用されるアクセス リストに、仮想 Telnet アドレスを宛先インターフェイスとして含める必要もあります。さらに、NAT が不要な場合でも( no nat-control コマンドを使用)、仮想 Telnet IP アドレスに static コマンドを追加する必要もあります。通常はアイデンティティ NAT コマンド(アドレスをそのまま同じアドレスに変換する)を使用します。

発信ユーザの場合は、トラフィックの明示的な許可がありますが、内部インターフェイスにアクセス リストを適用する場合は、仮想 Telnet アドレスに確実にアクセスできるようにします。 static ステートメントは不要です。

適応型セキュリティ アプライアンスからログアウトするには、仮想 Telnet IP アドレスに再接続します。再接続すると、ログアウトのプロンプトが表示されます。

次に、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする例を示します。

hostname(config)# virtual telnet 209.165.202.129
hostname(config)# access-list ACL-IN extended permit tcp any host 209.165.200.225 eq smtp
hostname(config)# access-list ACL-IN remark This is the SMTP server on the inside
hostname(config)# access-list ACL-IN extended permit tcp any host 209.165.202.129 eq telnet
hostname(config)# access-list ACL-IN remark This is the virtual Telnet address
hostname(config)# access-group ACL-IN in interface outside
hostname(config)# static (inside, outside) 209.165.202.129 209.165.202.129 netmask 255.255.255.255
hostname(config)# access-list AUTH extended permit tcp any host 209.165.200.225 eq smtp
hostname(config)# access-list AUTH remark This is the SMTP server on the inside
hostname(config)# access-list AUTH extended permit tcp any host 209.165.202.129 eq telnet
hostname(config)# access-list AUTH remark This is the virtual Telnet address
hostname(config)# aaa authentication match AUTH outside tacacs+
 

 
関連コマンド

コマンド
説明

clear configure virtual

コンフィギュレーションから virtual コマンド ステートメントを削除します。

show running-config virtual

適応型セキュリティ アプライアンス仮想サーバの IP アドレスを表示します。

virtual http

適応型セキュリティ アプライアンス上で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用すると、適応型セキュリティ アプライアンス と HTTP サーバで別々に認証を実行できます。仮想 HTTP を使用しない場合は、適応型セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。

vlan

VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスには、トラフィックを渡す VLAN ID が必要です。VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス(たとえば複数のセキュリティ コンテキスト)にトラフィックを別に保存できます。

vlan id

no vlan

 
構文の説明

id

1 ~ 4094 の整数を指定します。一部の VLAN ID には、接続されたスイッチで予約されているものもあります。詳細については、スイッチのマニュアルを参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。

 
使用上のガイドライン

1 つの VLAN だけを、物理インターフェイスではなく、サブインターフェイスに割り当てることができます。各サブインターフェイスは、トラフィックを通過する前に VLAN ID を持つ必要があります。VLAN ID を変更するには、 no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を使用して vlan コマンドを入力すると、適応型セキュリティ アプライアンスは古い ID を変更します。

サブインターフェイスをイネーブルにするには、 no shutdown コマンドで物理インターフェイスをイネーブルにする必要があります。サブインターフェイスをイネーブルにすると、物理インターフェイスはタグなしパケットを通過させるため、通常は物理インターフェイスがトラフィックを通過させないようにします。したがって、インターフェイスを停止することによって物理インターフェイスを介したトラフィックの通過を防止することはできません。代わりに、 nameif コマンドを省略することによって、物理インターフェイスがトラフィックを必ず通過しないようにします。物理インターフェイスがタグなしパケットを通過させるようにする場合は、通常どおり nameif コマンドを設定できます。

サブインターフェイスの最大数は、プラットフォームによって異なります。プラットフォームごとのサブインターフェイスの最大数については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

次に、サブインターフェイスに VLAN 101 を割り当てる例を示します。

hostname(config)# interface gigabitethernet0/0.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次に、VLAN を 102 に変更する例を示します。

hostname(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 101
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
 
hostname(config)# interface gigabitethernet0/0.1
hostname(config-interface)# vlan 102
 
hostname(config)# show running-config interface gigabitethernet0/0.1
interface GigabitEthernet0/0.1
vlan 102
nameif dmz1
security-level 50
ip address 10.1.2.1 255.255.255.0
 

 
関連コマンド

コマンド
説明

allocate-interface

インターフェイスおよびサブインターフェイスをセキュリティ コンテキストに割り当てます。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

インターフェイスの現在のコンフィギュレーションを表示します。

vlan(グループ ポリシー)

VLAN をグループ ポリシーに割り当てるには、グループ ポリシー コンフィギュレーション モードで vlan コマンドを使用します。グループ ポリシーのコンフィギュレーションから VLAN を削除して、デフォルト グループ ポリシーの VLAN 設定に置き換えるには、このコマンドの no 形式を使用します。

[ no ] vlan { vlan_id | none }

 
構文の説明

vlan_id

このグループ ポリシーを使用するリモート アクセス VPN セッションに割り当てられる 10 進形式の VLAN の番号。インターフェイス コンフィギュレーション モードで vlan コマンドを使用して、VLAN をこの適応型セキュリティ アプライアンスで設定する必要があります。

none

このグループ ポリシーに一致するリモート アクセス VPN セッションへの VLAN の割り当てをディセーブルにします。グループ ポリシーはデフォルトのグループ ポリシーから vlan 値を継承しません。

 
デフォルト

デフォルト値は none です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、このグループ ポリシーに割り当てられたセッションの出力 VLAN インターフェイスを指定します。適応型セキュリティ アプライアンスは、このグループのすべてのトラフィックを、その VLAN に転送します。VLAN を各グループ ポリシーに割り当て、アクセス コントロールを簡略化できます。セッションでのトラフィックをフィルタリングする ACL を使用する代替の手段として、このコマンドを使用します。

次のコマンドは、VLAN 1 をグループ ポリシーに割り当てます。

hostname(config-group-policy)# vlan 1
hostname(config-group-policy)
 

次のコマンドは、VLAN マッピングをグループ ポリシーから削除します。

hostname(config-group-policy)# vlan none
hostname(config-group-policy)

 
関連コマンド

コマンド
説明

show vlan

適応型セキュリティ アプライアンスで設定されている VLAN を表示します。

vlan (インターフェイス コンフィギュレーション モード)

サブインターフェイスに VLAN ID を割り当てます。

show vpn-session_summary.db

IPSec、Cisco AnyConnect、および NAC の各セッションの数と、使用中の VLAN の数を表示します。

show vpn-session.db

VLAN マッピングと NAC の結果を含む、VPN セッションの情報を表示します。

vpdn group

VPDN グループを作成または編集し、PPPoE クライアント設定を設定するには、グローバル コンフィギュレーション モードで vpdn group コマンドを使用します。コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。

vpdn group group_name { localname username | request dialout pppoe | ppp authentication { chap | mschap | pap }}

no vpdn group group_name { localname name | request dialout pppoe | ppp authentication { chap | mschap | pap }}


) PPPoE は、適応型セキュリティ アプライアンスでフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。


 
構文の説明

vpdn group group_name

VPDN グループの名前を指定します。

localname username

認証するユーザ名を VPDN グループにリンクします。この名前は、 vpdn username コマンドで設定した名前と一致する必要があります。

request dialout pppoe

PPPoE のダイヤルアウト要求を許可することを指定します。

ppp authentication
{chap | mschap | pap}}

Point-to-Point Protocol(PPP; ポイントツーポイントプロトコル)の認証プロトコルを指定します。Windows クライアントのダイヤルアップ ネットワーキング設定により、どの認証プロトコル(PAP、CHAP、または MS-CHAP)を使用するかを指定できます。クライアントでどのプロトコルを指定しても、セキュリティ アプライアンスで使用する設定と一致する必要があります。Password Authentication Protocol(PAP; パスワード認証プロトコル)では、PPP のピアがお互いに認証できます。PAP は、クリア テキストのホスト名とユーザ名を渡します。Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)では、PPP のピアがアクセス サーバと通信して不正なアクセスを防ぎます。MS-CHAP は、CHAP を Microsoft が独自に拡張したものです。PIX Firewall は、MS-CHAP バージョン 1 だけをサポートしています(バージョン 2.0 はサポートしていません)。

ホストで認証プロトコルが指定されていない場合は、コンフィギュレーションに ppp authentication オプションを指定しないでください。

 
デフォルト

デフォルトの動作や値はありません。「使用上のガイドライン」を参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2.1

このコマンドが追加されました。

 
使用上のガイドライン

Virtual Private Dial-up Networking(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)は、リモート ダイヤルイン ユーザとプライベート ネットワークを結ぶときに使用するポイントツーポイント接続です。セキュリティ アプライアンスの VDPN は、レイヤ 2 トンネリング技術である PPPoE を使用して、リモート ユーザがパブリック ネットワーク経由でプライベート ネットワークにダイヤルアップ接続できるようにします。

PPPoE とは、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)over Ethernet の略です。PPP は、IP、IPX、ARA などのネットワーク レイヤ プロトコルと併用できるように設計されています。PPP は、ビルトイン セキュリティ メカニズムとして CHAP と PAP も備えています。

show vpdn session pppoe コマンドは、PPPoE 接続のセッション情報を表示します。 clear configure vpdn group コマンドは、すべての vpdn group コマンドをコンフィギュレーションから削除して、すべてのアクティブな L2TP トンネルと PPPoE トンネルを停止します。 clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。

PPPoE が PPP をカプセル化するため、PPPoE には、PPP が認証を行うことと、VPN トンネル内で動作するクライアントのセッションで ECP と CCP が機能することが必要です。さらに、PPP が PPPoE に IP アドレスを割り当てられるため、PPPoE と DHCP との併用はサポートされていません。


) PPPoE 用の VPDN グループを設定しないと、PPPoE では接続を確立できません。


PPPoE に使用する VPDN グループを定義するには、 vpdn group group_name request dialout pppoe コマンドを使用します。次に、インターフェイス コンフィギュレーション モードで pppoe client vpdn group コマンドを使用して、VPDN グループを特定のインターフェイスの PPPoE クライアントに関連付けます。

使用している ISP が認証を必要とする場合は、 vpdn group group_name ppp authentication { chap | mschap | pap } コマンドで、ISP で使用されている認証プロトコルを選択します。

ISP が割り当てたユーザ名を VPDN グループと関連付けるには、 vpdn group group_name localname username コマンドを使用します。

PPPoE 接続用のユーザ名とパスワードのペアを作成するには、 vpdn username username password password コマンドを使用します。ユーザ名には、PPPoE に指定した VPDN グループと関連付けられたユーザ名と同じものを指定する必要があります。


) ISP が CHAP または MS-CHAP を使用している場合は、ユーザ名のことをリモート システム名、パスワードのことを CHAP シークレットと呼ぶことがあります。


PPPoE クライアントの機能は、デフォルトでオフになっています。そのため、VPDN を設定したら、 ip address if_name pppoe [ setroute ] コマンドで、PPPoE をイネーブルにします。setroute オプションは、デフォルト ルートが存在しない場合に、デフォルトのルートを作成します。

PPPoE を設定するとすぐに、セキュリティ アプライアンスは、通信先の PPPoE アクセス コンセントレータを検索します。PPPoE 接続が正常終了または異常終了すると、セキュリティ アプライアンスは、通信先の新しいアクセス コンセントレータを検索しようとします。

PPPoE セッションを開始したら、次の ip address コマンドは使用しないでください。使用すると、PPPoE セッションが終了されます。

ip address outside pppoe :新しい PPPoE セッションを開始しようとします。

ip address outside dhcp :インターフェイスが DHCP コンフィギュレーションを取得するまで、そのインターフェイスをディセーブルにします。

ip address outside address netmask :インターフェイスを、通常どおり初期化されたインターフェイスとして起動します。

次に、 telecommuters という VPDN グループを作成し、PPPoE クライアントを設定する例を示します。

F1(config)# vpdn group telecommuters request dialout pppoe
F1(config)# vpdn group telecommuters localname user1
F1(config)# vpdn group telecommuters ppp authentication pap
F1(config)# vpdn username user1 password test1
F1(config)# interface GigabitEthernet 0/1
F1(config-subif)# ip address pppoe setroute

 
関連コマンド

コマンド
説明

clear configure vpdn group

すべての vpdn group コマンドをコンフィギュレーションから削除します。

clear configure vpdn username

すべての vpdn username コマンドをコンフィギュレーションから削除します。

show vpdn group group_name

VPDN グループのコンフィギュレーションを表示します。

vpdn username

PPPoE 接続用のユーザ名とパスワードのペアを作成します。

vpdn username

PPPoE 接続用のユーザ名とパスワードのペアを作成するには、グローバル コンフィギュレーション モードで vpdn username コマンドを使用します。

vpdn username username password password [ store-local ]

no vpdn username username password password [ store-local ]


) PPPoE は、適応型セキュリティ アプライアンスでフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。


 
構文の説明

username

ユーザ名を指定します。

password

パスワードを指定します。

store-local

ユーザ名とパスワードをセキュリティ アプライアンスの NVRAM の特別な場所に保存します。Auto Update Server がセキュリティ アプライアンスにコンフィギュレーションを消去するコマンドを送信した後で接続が中断した場合に、セキュリティ アプライアンスが NVRAM からユーザ名とパスワードを読み取り、アクセス コンセントレータとの再認証を行います。

 
デフォルト

デフォルトの動作や値はありません。「使用上のガイドライン」を参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

vpdn username は、 vpdn group group_name localname username コマンドで指定した VPDN グループと関連付けられたユーザ名である必要があります。

clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。

次に、 bob_smith というユーザ名と telecommuter 9/8 というパスワードを作成する例を示します。

F1(config)# vpdn username bob_smith password telecommuter9/8

 
関連コマンド

コマンド
説明

clear configure vpdn group

すべての vpdn group コマンドをコンフィギュレーションから削除します。

clear configure vpdn username

すべての vpdn username コマンドをコンフィギュレーションから削除します。

show vpdn group

VPDN グループのコンフィギュレーションを表示します。

vpdn group

VPDN グループを作成し、PPPoE クライアント設定を設定します。

vpn-access-hours

設定済みの時間範囲ポリシーにグループ ポリシーを関連付けるには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、時間範囲値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを使用します。

vpn-access hours value { time-range } | none

no vpn-access hours

 
構文の説明

none

VPN アクセス時間にヌル値を設定して時間範囲ポリシーを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

time-range

設定済みの時間範囲ポリシーの名前を指定します。

 
デフォルト

無制限です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、824 と呼ばれる時間範囲ポリシーに FirstGroup という名前のグループ ポリシーを関連付ける例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours 824

 
関連コマンド

コマンド
説明

time-range

ネットワークにアクセスする曜日および 1 日の時間を設定します(開始日と終了日を含む)。

vpn-addr-assign

IP アドレスをリモート アクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。設定されている VPN アドレスの割り当て方法を適応型セキュリティ アプライアンスからすべて削除するには、このコマンドの no バージョンを使用します。引数なしで。

vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}

no vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}

 
構文の説明

aaa

外部または内部(ローカル)の AAA 認証サーバから IP アドレスを取得します。

dhcp

DHCP 経由で IP アドレスを取得します。

local

適応型セキュリティ アプライアンス上で設定された IP アドレス プールから IP アドレスを割り当てて、トンネル グループに関連付けます。

reuse-delay delay

解放された IP アドレスを再使用できるまでの遅延です。指定できる範囲は 0 ~ 480 分です。デフォルトは 0(ディセーブル)です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0.3

reuse-delay オプションが追加されました。

 
使用上のガイドライン

DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスを定義します。DHCP サーバが使用する IP アドレスを指定するには、dhcp-server コマンドを使用する必要があります。

ローカルを選択する場合は、 ip local pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。次に、 vpn-framed-ip-address コマンドおよび vpn-framed-netmask コマンドを使用して、個々のユーザに IP アドレスとネットマスクを割り当てます。

ローカル プールでは、reuse-delay delay オプションを使用して、解放された IP アドレスを再使用できるまでの遅延を調整できます。遅延を大きくすると、IP アドレスがプールに返されて即座に再度割り当てられたとき、ファイアウォールに問題が発生しなくなります。

AAA を選択する場合、設定済みの RADIUS サーバのいずれかから IP アドレスを取得します。

次に、アドレスの割り当て方法として DHCP を設定する例を示します。

hostname(config)# vpn-addr-assign dhcp

 
関連コマンド

コマンド
説明

dhcp-network-scope

適応型セキュリティ アプライアンス DHCP サーバがグループ ポリシーのユーザにアドレスを割り当てるときに使用する必要がある IP アドレスの範囲を指定します。

ip local pool

ローカル IP アドレス プールを作成します。

vpn-framed-ip-address

IP アドレスを指定して、特定のユーザに割り当てます。

vpn-framed-ip-netmask

ネットマスクを指定して、特定のユーザに割り当てます。

vpn-filter

VPN 接続に使用する ACL の名前を指定するには、グループ ポリシー モードまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値を継承しないようにするには、 vpn-filter none コマンドを使用します。

このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 vpn-filter コマンドを使用して、これらの ACL を適用します。

vpn-filter { value ACL name | none }

no vpn-filter

 
構文の説明

none

アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。

value ACL name

事前に設定済みのアクセス リストの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

クライアントレス SSL VPN は、 vpn-filter コマンドで定義された ACL を使用しません。

次に、FirstGroup という名前のグループ ポリシーの acl_vpn という名前のアクセス リストを呼び出すフィルタを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter value acl_vpn

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

vpn-framed-ip-address

特定のユーザに割り当てる IP アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

vpn - framed-ip-address { ip_address } { subnet_mask }

no vpn - framed-ip-address

 
構文の説明

ip_address

このユーザの IP アドレスを指定します。

subnet_mask

サブネットワーク マスクを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、anyuser という名前のユーザに 10.92.166.7 の IP アドレスを設定する例を示します。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7 255.255.255.254
 

vpn-group-policy

設定済みのグループ ポリシーからアトリビュートをユーザに継承させるには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。ユーザ コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no バージョンを使用します。このコマンドを使用すると、ユーザ名レベルで設定していないアトリビュートをユーザが継承できます。

vpn-group-policy {group-policy name}

no vpn-group-policy {group-policy name}

 
構文の説明

group-policy name

グループ ポリシーの名前を指定します。

 
デフォルト

デフォルトでは、VPN ユーザにはグループ ポリシーのアソシエーションはありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

アトリビュートをユーザ名モードで利用できる場合、ユーザ名モードで設定することにより、特定のユーザに対するグループ ポリシーのアトリビュートの値を上書きできます。

次に、FirstGroup という名前のグループ ポリシーからアトリビュートを使用するように anyuser という名前のユーザを設定する例を示します。

hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup

 
関連コマンド

コマンド
説明

group-policy

グループ ポリシーを適応型セキュリティ アプライアンスのデータベースに追加します。

group-policy attributes

グループ ポリシーの AVP を設定できるグループ ポリシー アトリビュート モードを開始します。

username

適応型セキュリティ アプライアンスのデータベースにユーザを追加します。

username attributes

特定のユーザの AVP を設定できるユーザ名アトリビュート モードを開始します。

vpn-idle-timeout

ユーザのタイムアウト期間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがない場合、適応型セキュリティ アプライアンスは接続を終了します。

実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-idle-timeout none コマンドを使用します。

vpn-idle-timeout { minutes | none}

no vpn-idle-timeout

 
構文の説明

minutes

タイムアウト期間の分数を指定します。1 ~ 35791394 の整数を使用します。

none

次のコマンドからグローバル WebVPN デフォルト アイドル タイムアウト値(秒単位)を使用します。 hostname(config-webvpn)# default-idle-timeout

WebVPN default-idle-timeout コマンドのこの値に対する範囲は 60 ~ 86400 秒で、デフォルトの Global WebVPN アイドル タイムアウト(秒単位)は 1800 秒(30 分)です。

 
デフォルト

30 分。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、「FirstGroup」という名前のグループ ポリシーに対して 15 分の VPN アイドル タイムアウトを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 30

 

 
関連コマンド

default-idle-timeout

グローバル WebVPN デフォルト アイドル タイムアウトを指定します。

group-policy

グループ ポリシーを作成または編集します。

vpn-session-timeout

VPN 接続に許可されている最大時間を設定します。この期間が終了すると、適応型セキュリティ アプライアンスは接続を終了します。

vpn load-balancing

VPN ロード バランシングおよび関連機能を設定できる VPN ロード バランシング モードに入るには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。

vpn load-balancing


) VPN ロード バランシングを使用するには、Plus ライセンスを備えた ASA モデル 5510、または ASA モデル 5520 以降が必要です。また、VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。


 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(2)

ASA モデル 5510(Plus ライセンス付き)と 5520 以上のモデルのサポートが追加されました。

 
使用上のガイドライン

ロード バランシング クラスタには、セキュリティ アプライアンス モデル 5510(Plus ライセンス付き)または ASA 5520 以上のモデルを含めることができます。また、VPN 3000 シリーズのコンセントレータもクラスタに組み込むことが可能です。混合コンフィギュレーションは可能ですが、通常はクラスタが同種であれば管理がより容易になります。

vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始します。次のコマンドは、VPN ロード バランシング モードで使用できます。

cluster encryption

cluster ip address

cluster key

cluster port

interface

nat

participate

priority

redirect-fqdn

詳細については、個々のコマンドの説明を参照してください。

次に、 vpn load-balancing コマンドの例を示します。プロンプト内の変化に注意してください。

hostname(config)# vpn load-balancing
hostname(config-load-balancing)#
 

次に、クラスタのパブリック インターフェイスを「test」として、クラスタのプライベート インターフェイスを「foo」として指定するインターフェイス コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1
hostname(config-if)# ip address 209.165.202.159 255.255.255.0
hostname(config)# nameif test
hostname(config)# interface GigabitEthernet 0/2
hostname(config-if)# ip address 209.165.201.30 255.255.255.0
hostname(config)# nameif foo
hostname(config)# vpn load-balancing
hostname(config-load-balancing)# nat 192.168.10.10
hostname(config-load-balancing)# priority 9
hostname(config-load-balancing)# interface lbpublic test
hostname(config-load-balancing)# interface lbprivate foo
hostname(config-load-balancing)# cluster ip address 209.165.202.224
hostname(config-load-balancing)# cluster key 123456789
hostname(config-load-balancing)# cluster encryption
hostname(config-load-balancing)# cluster port 9023

hostname(config-load-balancing)# participate

 
関連コマンド

コマンド
説明

clear configure vpn load-balancing

ロード バランシングの実行時コンフィギュレーションを削除し、ロード バランシングをディセーブルにします。

show running-config vpn load-balancing

現在の VPN ロード バランシング仮想クラスタのコンフィギュレーションを表示します。

show vpn load-balancing

VPN ロード バランシング実行時の統計情報を表示します。

vpn-sessiondb logoff

すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで、 vpn-sessiondb logoff コマンドを使用します。

vpn-sessiondb logoff { remote | l2l | webvpn | email-proxy | protocol protocol-name | name username | ipaddress IPaddr | tunnel-group groupname | index indexnumber | all }

 
構文の説明

all

すべての VPN セッションをログオフします。

email-proxy

すべての電子メール プロキシ セッションをログオフします。

index indexnumber

インデックス番号ごとにシングル セッションをログオフします。セッションのインデックス番号を指定します。

ipaddress IPaddr

指定した IP アドレスのセッションをログオフします。

l2l

すべての LAN-to-LAN セッションをログオフします。

name username

指定したユーザ名のセッションをログオフします。

protocol protocol-name

指定したプロトコルのセッションをログオフします。プロトコルには、次の種類があります。

IKE

IMAP4S

IPSec

IPSecLAN2LAN

IPSecLAN2LANOverNatT

IPSecOverNatT

IPSecoverTCP

IPSecOverUDP

POP3S

SMTPS

userHTTPS

vcaLAN2LAN

remote

すべてのリモート アクセス セッションをログオフします。

tunnel-group groupname

指定したトンネル グループのセッションをログオフします。

webvpn

すべての WebVPN セッションをログオフします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、すべてのリモート アクセス セッションをログオフする例を示します。

hostname# vpn-sessiondb logoff remote

 

次に、すべての IPSec セッションをログオフする例を示します。

hostname# vpn-sessiondb logoff protocol IPSec

vpn-sessiondb max-session-limit

VPN セッションを適応型セキュリティ アプライアンスが許可している値よりも小さく制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-session-limit コマンドを使用します。セッションの制限を削除するには、このコマンドの no バージョンを使用します。現在の設定を上書きするには、このコマンドを再度使用します。

vpn-sessiondb max-session-limit { session-limit }

no vpn-sessiondb max-session-limit

 
構文の説明

session-limit

許容する VPN セッションの最大数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは IPSec VPN セッションに適用されます。

次に、VPN セッションの最大制限値である 450 に設定する例を示します。

hostname# vpn-sessiondb max-session-limit 450

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

IPsec VPN セッションおよび WebVPN セッションのすべてまたは特定のタイプをログオフします。

vpn-sessiondb max-webvpn-session-limit

WebVPN セッションの最大数を設定します。

 

vpn-sessiondb max-webvpn-session-limit

SSL VPN セッションを適応型セキュリティ アプライアンスが許可している値よりも小さく制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-webvpn-session-limit コマンドを使用します。セッションの制限を削除するには、このコマンドの no バージョンを使用します。現在の設定を上書きするには、このコマンドを再度使用します。

vpn-sessiondb max-webvpn-session-limit { session-limit }

no vpn-sessiondb max-webvpn-session-limit

 
構文の説明

session-limit

許容する WebVPN セッションの最大数を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、AnyConnect VPN Client、レガシー SSL VPN Client(SVC; SSL VPN クライアント)、およびクライアントレス(以前は WebVPN)セッションなどの SSL VPN セッションに適用されます。

次に、セッションの最大制限値である 75 に設定する例を示します。

hostname (config)# vpn-sessiondb max-webvpn-session-limit 75

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

IPsec VPN セッションおよび SSL VPN セッションのすべてまたは特定のタイプをログオフします。

vpn-sessiondb max-vpn-session-limit

VPN セッションの最大数を設定します。

 

vpn-session-timeout

VPN 接続に許可される最大時間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、適応型セキュリティ アプライアンスは接続を終了します。

実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-session-timeout none コマンドを使用します。

vpn-session-timeout { minutes | none}

no vpn-session-timeout

 
構文の説明

minutes

タイムアウト期間の分数を指定します。1 ~ 35791394 の整数を使用します。

none

無制限のセッション タイムアウト期間を許容します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、FirstGroup という名前のグループ ポリシーに対して 180 分の VPN セッション タイムアウトを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-session-timeout 180
 

 
関連コマンド

group-policy

グループ ポリシーを作成または編集します。

vpn-idle-timeout

ユーザ タイムアウト期間を設定します。この期間中に接続上で通信アクティビティがない場合、適応型セキュリティ アプライアンスは接続を終了します。

vpn-simultaneous-logins

ユーザに許容される同時ログイン数を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから値を継承できるようになります。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。

vpn-simultaneous-logins { integer }

no vpn-simultaneous-logins

 
構文の説明

integer

0 ~ 2147483647 の数値です。

 
デフォルト

デフォルトの同時ログイン数は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。


) 同時ログインの最大制限数は大きい値に設定されていますが、数件の同時ログインを許可するとセキュリティが脅かされ、パフォーマンスが低下する可能性があります。


失効した AnyConnect、IPSec クライアント、またはクライアントレス セッション(異常終了されたセッション)は、「新しい」セッションが同じユーザ名で確立されていても、セッション データベース内に残る場合があります。

vpn-simultaneous-logins の値が 1 の場合、同じユーザが異常終了後に再びログインすると、失効セッションがデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションがアクティブな接続のままで、別の PC などから同じユーザが再びログインすると、最初のセッションはログオフされてデータベースから削除され、新しいセッションが確立されます。

同時ログイン数の値が 1 より大きい場合、その最大数に達して再びログインを試行すると、アイドル タイムが最も長いセッションがログオフされます。現在のセッションのアイドル タイムがすべて同じ長さの場合は、接続時間が最も長いセッションがログオフされます。この処理により、セッションが解放されて新しくログインできるようになります。

次に、FirstGroup という名前のグループ ポリシーに対して最大 4 つの同時ログインを許可する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4

 

vpn-tunnel-protocol

VPN トンネルのタイプ(IPSec、L2TP over IPSec、SVC、または WebVPN)を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpn-tunnel-protocol {IPSec | l2tp-ipsec | svc | webvpn}

no vpn-tunnel-protocol {IPSec | l2tp-ipsec | svc | webvpn}

 
構文の説明

IPSec

2 つのピア間(リモート アクセス クライアントまたはその他のセキュアなゲートウェイ)で IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を管理するセキュリティ アソシエーションを作成します。

l2tp-ipsec

L2TP 接続のために IPSec トンネルをネゴシエートします。

svc

SSL VPN クライアントについて SSL VPN トンネルをネゴシエートします。

webvpn

HTTPS 対応の Web ブラウザを経由してリモート ユーザに VPN サービスを提供します。クライアントは不要です。

 
デフォルト

デフォルトは IPSec です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

ユーザ名コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

l2tp-ipsec キーワードが追加されました。

7.3(1)

svc キーワードが追加されました。

 
使用上のガイドライン

このコマンドを使用して 1 つ以上のトンネリング モードを設定します。VPN トンネル経由で接続するには、ユーザに対して少なくとも 1 つのトンネリング モードを設定する必要があります。


) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドで svc 引数と ipsec 引数の両方を設定する必要があります。


次に、「FirstGroup」という名前のグループ ポリシーに対して WebVPN および IPSec トンネリング モードを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol webvpn
hostname(config-group-policy)# vpn-tunnel-protocol IPSec

 
関連コマンド

コマンド
説明

address pools

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定します。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

vpnclient connect

設定済みの 1 つのサーバまたは複数のサーバへの Easy VPN Remote 接続の確立を試行するには、グローバル コンフィギュレーション モードで vpnclient connect コマンドを使用します。

vpnclient connect

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

EXEC

--

--

--

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

次に、設定済み EasyVPN サーバへの Easy VPN Remote 接続の確立を試行する例を示します。

hostname(config)# vpnclient connect
hostname(config)#
 

vpnclient enable

Easy VPN Remote 機能をイネーブルにするには、グローバル コンフィギュレーション モードで vpnclient enable コマンドを使用します。Easy VPN Remote 機能をディセーブルにするには、このコマンドの no 形式を使用します。

vpnclient enable

no vpnclient enable

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ASA 5505 だけに適用されます。

vpnclient enable コマンドを入力すると、ASA 5505 は Easy VPN ハードウェアクライアント(「Easy VPN Remote」とも呼ばれる)として機能します。

次に、Easy VPN Remote 機能をイネーブルにする例を示します。

hostname(config)# vpnclient enable
hostname(config)#
 

次に、Easy VPN Remote 機能をディセーブルにする例を示します。

hostname(config)# no vpnclient enable
hostname(config)#
 

vpnclient ipsec-over-tcp

TCP カプセル化 IPSec を使用するように、Easy VPN ハードウェア クライアントとして稼動している ASA 5505 を設定するには、グローバル コンフィギュレーション モードで vpnclient ipsec-over-tcp コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient ipsec-over-tcp [ port tcp_port ]

no vpnclient ipsec-over-tcp

 
構文の説明

port

(任意)特定のポートを使用するように指定します。

tcp_port

port キーワードを指定した場合は必須)TCP カプセル化 IPSec トンネルに使用する TCP ポート番号を指定します。

 
デフォルト

このコマンドでポート番号が指定されていない場合、Easy VPN Remote 接続ではポート 10000 が使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれる)として稼動している ASA 5505 だけに適用されます。

デフォルトでは、Easy VPN クライアントおよびサーバは、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)パケットの IPSec をカプセル化します。特定のファイアウォール ルールが設定されているような環境や、NAT デバイスおよび PAT デバイスでは、UDP が禁止されています。そのような環境で標準の Encapsulating Security Protocol(ESP; カプセル化セキュリティ プロトコル、プロトコル 50)または Internet Key Exchange(IKE; インターネット キー エクスチェンジ、UDP 500)を使用するには、TCP パケット内の IPSec をカプセル化してセキュアなトンネリングをイネーブルにするように、クライアントとサーバを設定する必要があります。ただし、UDP が許可されている環境では、IPSec over TCP を設定すると、不要なオーバーヘッドが発生します。

TCP カプセル化 IPSec を使用するように ASA 5505 を設定する場合は、次のコマンドを入力して、大きいパケットを外部インターフェイスに送信するようにします。

hostname(config)# crypto ipsec df-bit clear-df outside
hostname(config)#
 

このコマンドは、カプセル化されたヘッダーから Don't Fragment(DF)ビットをクリアします。DF ビットとは、パケットのフラグメント化が可能かどうかを判断する、IP ヘッダー内のビットです。このコマンドにより、Easy VPN ハードウェア クライアントは、MTU サイズよりも大きいパケットを送信できます。

次に、デフォルト ポート 10000 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、外部インターフェイス経由で大きいパケットを送信できるようにする例を示します。

hostname(config)# vpnclient ipsec-over-tcp
hostname(config)# crypto ipsec df-bit clear-df outside
hostname(config)#
 

次に、ポート 10501 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、外部インターフェイス経由で大きいパケットを送信できるようにする例を示しています。

hostname(config)# vpnclient ipsec-over-tcp port 10501
hostname(config)# crypto ipsec df-bit clear-df outside
hostname(config)#
 

vpnclient mac-exempt

Easy VPN Remote 接続の背後にあるデバイスに対して個々のユーザ認証要件を免除するには、グローバル コンフィギュレーション モードで vpnclient mac-exempt コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient mac-exempt mac_addr_1 mac_mask_1 [ mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n ]

no vpnclient mac-exempt

 
構文の説明

mac_addr_1

ドット付き 16 進表記の MAC アドレスで、個々のユーザ認証を免除するデバイスのメーカーおよびシリアル番号を指定します。デバイスが複数の場合は、各 MAC アドレスをスペースで区切り、対応するネットワークマスクを指定します。

MAC アドレスの最初の 6 文字はデバイスのメーカーを識別名で、最後の 6 文字はシリアル番号です。最後の 24 ビットは、装置のシリアル番号(16 進形式)です。

mac_mask_1

MAC アドレスに対応するネットワーク マスク。ネットワーク マスクと後続の MAC アドレスおよびネットワーク マスクのペアは、スペースで区切ります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

Cisco IP Phone、無線アクセス ポイント、プリンタなどのデバイスは認証を実行できないため、個々の装置認証がイネーブルになっている場合でも認証しません。個々のユーザ認証がイネーブルになっている場合は、このコマンドを使用して、これらのデバイスの認証を免除できます。デバイスに対する個々のユーザ認証の免除は、「デバイス パススルー」とも呼ばれます。

このコマンドでは、MAC アドレスと MAC マスクの形式は、3 桁の 16 進数をピリオドで区切って指定します。たとえば、MAC マスク ffff.ffff.ffff は、指定された MAC アドレスに対応します。すべてゼロの MAC マスクは対応する MAC アドレスがないことを示します。また、ffff.ff00.0000 という MAC マスクは同じメーカーで製造されたすべてのデバイスに対応します。


) ヘッドエンド デバイス上で設定された個別ユーザ認証およびユーザ バイパスが必要です。たとえば、ヘッドエンド デバイスとして ASA がある場合は、グループ ポリシーに従って次のように設定します。
hostname(config-group-policy)#user-authentication enable
hostname(config-group-policy)#ip-phone-bypass enable


Cisco IP Phone のメーカー ID は 00036b です。したがって、次のコマンドでは、すべての Cisco IP Phone(今後追加する Cisco IP Phone も含む)が免除されます。

hostname(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
hostname(config)#
 

次の例では、特定の Cisco IP Phone が免除されるため、セキュリティは向上しますが、柔軟性は低下します。

hostname(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
hostname(config)#
 
 

vpnclient management

管理アクセス用に Easy VPN ハードウェア クライアントへの IPSec トンネルを生成するには、グローバル コンフィギュレーション モードで vpnclient management コマンドを使用します。

vpnclient management tunnel ip_addr_1 ip_mask_1 [ ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n ]

vpnclient management clear

このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。この形式では、 split-tunnel-policy コマンドと split-tunnel-network-list コマンドに従って、管理専用の IPSec トンネルが設定されます。

no vpnclient management

 
構文の説明

clear

通常のルーティングを使用して、企業ネットワークから ASA 5505(Easy VPN クライアントとして稼動)の外部インターフェイスへの管理アクセスを可能にします。このオプションでは、管理トンネルは作成されません。


) クライアントとインターネットとの間で NAT デバイスが動作している場合に、このオプションを使用します。


ip_addr

ホストまたはネットワークの IP アドレス。Easy VPN ハードウェア クライアントからこの IP アドレスへの管理トンネルを構築します。この引数は tunnel キーワードとともに使用します。1 つ以上の IP アドレスを、各 IP アドレスをスペースと対応するネットワーク マスクで区切って指定します。

ip_mask

IP アドレスに対応するネットワーク マスク。ネットワーク マスクと後続の IP アドレスおよびネットワーク マスクのペアは、スペースで区切ります。

tunnel

企業ネットワークから ASA 5505(Easy VPN クライアントとして稼動)の外部インターフェイスへの管理アクセス専用の IPSec トンネルを自動的にセットアップします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼動している ASA 5505 だけに適用されます。次の各コマンドが ASA 5505 コンフィギュレーションに含まれていることを前提としています。

vpnclient server :ピアを指定する。

vpnclient mode :クライアント モード(PAT)またはネットワーク拡張モードを指定します。

次のいずれかのコマンド

vpnclient vpngroup :Easy VPN サーバで認証に使用するトンネル グループと IKE 事前共有キーを指定します。

vpnclient trustpoint :認証に使用する RSA 証明書を識別するトラストポイントを指定します。

vpnclient enable :ASA 5505 を Easy VPN クライアントとしてイネーブルにします。


) NAT デバイス上でスタティック NAT マッピングを追加しないと、NAT デバイスの背後にある ASA 5505 のパブリック アドレスにはアクセスできません。



) コンフィギュレーションの内容にかかわらず、DHCP 要求(更新メッセージを含む)を IPsec トンネル経由で流さないでください。vpnclient 管理トンネルでも、DHCP トラフィックは禁止されます。


次に、ASA 5505 の外部インターフェイスからホスト(IP アドレスとマスクの組み合わせが 192.168.10.10 255.255.255.0 であるホスト)への IPSec トンネルを生成する例を示します。

hostname(config)# vpnclient management tunnel 192.168.10.0 255.255.255.0
hostname(config)#
 

次に、IPSec を使用せずに、ASA 5505 の外部インターフェイスへの管理アクセスを可能にする例を示します。

hostname(config)# vpnclient management clear
hostname(config)#

 

vpnclient mode

クライアント モードまたはネットワーク拡張モードの Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient mode コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient mode { client-mode | network-extension-mode }

no vpnclient mode

 
構文の説明

client-mode

クライアント モード(PAT)を使用するように Easy VPN Remote 接続を設定します。

network-extension-mode

Network Extension Mode(NEM; ネットワーク拡張モード)を使用するように Easy VPN Remote 接続を設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼動している ASA 5505 だけに適用されます。Easy VPN クライアントは、クライアント モードまたは NEM のいずれかの動作モードをサポートします。動作モードは、企業ネットワークからトンネル経由で内部ホスト(Easy VPN クライアントから見た場合の内部ホスト)にアクセスできるかどうかによって決まります。Easy VPN クライアントにはデフォルトのモードがないため、接続を行う前に必ず動作モードを指定します。

クライアントモードでは、Easy VPN クライアントは内部ホストからのすべての VPN トラフィックに対して Port Address Translation(PAT; ポート アドレス変換)を実行します。このモードでは、ハードウェア クライアント(デフォルトの RFC 1918 アドレスが割り当てられている)の内部アドレスまたは内部ホストに対する IP アドレス管理は必要ありません。PAT のため、企業ネットワークから内部ホストにアクセスできません。

NEM では、内部ネットワークおよび内部インターフェイス上のすべてのノードに、企業ネットワーク全体でルーティング可能なアドレスが割り当てられます。内部ホストには、企業ネットワークからトンネル経由でアクセスできます。内部ネットワーク上のホストには、アクセス可能なサブネットの IP アドレスが(スタティックに、または DHCP によって)割り当てられます。ネットワーク拡張モードでは、PAT は VPN トラフィックに適用されません。


) Easy VPN ハードウェア クライアントが NEM を使用し、セカンダリ サーバに接続している場合は、各ヘッドエンド デバイスで crypto map set reverse-route コマンドを使用して、Reverse Route Injection(RRI; 逆ルート注入)によりリモート ネットワークのダイナミックな通知を設定します。


次に、クライアント モードで Easy VPN Remote 接続を設定する例を示します。

hostname(config)# vpnclient mode client-mode
hostname(config)#
 

次に、NEM で Easy VPN Remote 接続を設定する例を示します。

hostname(config)# vpnclient mode network-extension-mode
hostname(config)#

vpnclient nem-st-autoconnect

NEM およびスプリット トンネリングが設定されている場合、IPSec データ トンネルを自動的に開始するように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient nem-st-autoconnect コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient nem-st-autoconnect

no vpnclient nem-st-autoconnect

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼動している ASA 5505 だけに適用されます。

vpnclient nem-st-autoconnect コマンドを入力する前に、必ずハードウェア クライアントのネットワーク拡張モードをイネーブルにします。ネットワーク拡張モードを使用すると、ハードウェア クライアントは、VPN トンネルを介したリモート プライベート ネットワークに対して、ルーティング可能なネットワークを 1 つ提示できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークから適応型セキュリティ アプライアンスの背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、適応型セキュリティ アプライアンスの背後にあるデバイスは、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワーク上のデバイスに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要があります。トンネルがアップの状態になった後は、いずれの側でもデータ交換を開始できます。


) また、ネットワーク拡張モードをイネーブルにするように Easy VPN サーバを設定する必要があります。そのためには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。


ネットワーク拡張モードでは、スプリット トンネリングが設定されている場合を除き、IPSec データ トンネルが自動的に開始されて持続します。

次に、スプリット トンネリングが設定されたネットワーク拡張モードで自動的に接続するように Easy VPN Remote 接続を設定する例を示します。グループ ポリシー FirstGroup のネットワーク拡張モードはイネーブルになっています。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable
hostname(config)# vpnclient nem-st-autoconnect
hostname(config)#
 

 
関連コマンド

コマンド
説明

nem

ハードウェア クライアントのネットワーク拡張モードをイネーブルにします。

vpnclient server-certificate

証明書マップで指定された特定の証明書を持つ Easy VPN サーバへの接続だけを受け入れるように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient server-certificate コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient server-certificate certmap_name

no vpnclient server-certificate

 
構文の説明

certmap_name

受け入れ可能な Easy VPN サーバ証明書を特定するための証明書マップの名前を指定します。最大の長さは 64 文字以内です。

 
デフォルト

デフォルトでは、Easy VPN サーバ証明書のフィルタリングはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

このコマンドを使用して、Easy VPN サーバ証明書のフィルタリングをイネーブルにします。証明書マップ自体は、crypto ca certificate map コマンドおよび crypto ca certificate chain コマンドを使用して定義します。

次に、homeservers という名前の証明書マップを持つ Easy VPN サーバへの接続だけをサポートするように Easy VPN Remote 接続を設定する例を示します。

hostname(config)# vpnclient server-certificate homeservers
hostname(config)#
 

 
関連コマンド

コマンド
説明

certificate

指定された証明書を追加します。

vpnclient trustpoint

Easy VPN Remote 接続で使用する RSA ID 証明書を設定します。

vpnclient server

Easy VPN Remote 接続でプライマリ IPSec サーバおよびセカンダリ IPSec サーバを設定するには、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient server ip_primary_address [ ip_secondary_address_1 ... ipsecondary_address_10 ]

no vpnclient server

 
構文の説明

ip_primary_address

プライマリ Easy VPN(IPSec)サーバの IP アドレスまたは DNS 名。すべての ASA または VPN 3000 コンセントレータ シリーズが Easy VPN サーバとして機能できます。

ip_secondary_address_n

(任意)最大 10 台のバックアップ Easy VPN サーバの IP アドレスまたは DNS 名のリスト。スペースを使用して、リスト内の項目を区切ります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

接続を確立する前に、サーバを設定しておく必要があります。 vpnclient server コマンドは、IPv4 アドレス、名前データベース、または DNS 名をサポートし、この順序でアドレスを解決します。

サーバの IP アドレスまたはホスト名のいずれかを使用できます。

次に、名前 headend-1 をアドレス 10.10.10.10 に関連付け、 vpnclient server コマンドを使用して headend-dns.domain.com(プライマリ)、headend-1(セカンダリ)、および 192.168.10.10(セカンダリ)の 3 台のサーバを指定する例を示します。

hostname(config)# names
hostname(config)# 10.10.10.10 headend-1
hostname(config)# vpnclient server headend-dns.domain.com headend-1 192.168.10.10
hostname(config)#
 

次に、VPN クライアントに対して、IP アドレスが 10.10.10.15 のプライマリ IPSec サーバ、IP アドレスが 10.10.10.30 および 192.168.10.45 のセカンダリサーバを設定する例を示します。

hostname(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
hostname(config)#
 

vpnclient trustpoint

Easy VPN Remote 接続で使用する RSA ID 証明書を設定するには、グローバル コンフィギュレーション モードで vpnclient trustpoint コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient trustpoint trustpoint_name [ chain ]

no vpnclient trustpoint

 
構文の説明

chain

証明書チェーン全体を送信します。

trustpoint_name

認証に使用する RSA 証明書を識別するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ASA モデル 5505 だけに適用されます。また、このコマンドが適用されるのは、デジタル証明書を使用している場合だけです。

crypto ca trustpoint コマンドを使用してトラストポイントを定義します。トラストポイントは、CA が発行した証明書に基づいて CA の識別情報を表し、また、デバイスの識別情報を表すことがあります。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。これらのパラメータでは、適応型セキュリティ アプライアンスが CA 証明書を取得する方法、適応型セキュリティ アプライアンスが CA から証明書を取得する方法、および CA が発行するユーザ証明書の認証ポリシーを指定します。

次に、central という名前の特定の ID 証明書を使用し、証明書チェーン全体を送信するように Easy VPN Remote 接続を設定する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(config)# vpnclient trustpoint central chain
hostname(config)#
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

指定したトラストポイントのトラストポイント サブ モードを開始し、トラストポイント情報を管理します。

 

vpnclient username

Easy VPN Remote 接続用の VPN ユーザ名およびパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient username コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient username xauth_username password xauth password

no vpnclient username

 
構文の説明

xauth_password

XAUTH に使用するパスワードを指定します。最大の長さは 64 文字以内です。

xauth_username

XAUTH に使用するユーザ名を指定します。最大の長さは 64 文字以内です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは ASA モデル 5505 にだけ適用されます。

XAUTH ユーザ名およびパスワードのパラメータは、セキュア ユニット認証がディセーブルにされていて、サーバが XAUTH 資格情報を要求する場合に使用されます。セキュア ユニット認証がイネーブルにされている場合、これらのパラメータは無視され、適応型セキュリティ アプライアンスはユーザにユーザ名およびパスワードを要求します。

次に、XAUTH ユーザ名 testuser とパスワード ppurkm1 を使用するように Easy VPN Remote 接続を設定する例を示します。

hostname(config)# vpnclient username testuser password ppurkm1
hostname(config)#
 

vpnclient vpngroup

Easy VPN Remote 接続用の VPN トンネル グループ名およびパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient vpngroup コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

vpnclient vpngroup group_name password preshared_key

no vpnclient vpngroup

 
構文の説明

group_name

Easy VPN サーバ上で設定されている VPN トンネル グループの名前を指定します。最大長は 64 文字で、スペースは使用できません。

preshared_key

Easy VPN サーバが認証に使用する IKE 事前共有キー。最大長は 128 文字以内です。

 
デフォルト

Easy VPN クライアントとして稼動している ASA 5505 のコンフィギュレーションでトンネル グループが指定されていない場合、クライアントは RSA 証明書の使用を試行します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼動している ASA 5505 だけに適用されます。

パスワードとして事前共有キーを使用します。接続を確立する前に、サーバを設定する必要があります。

次に、VPN トンネル グループ名 TestGroup1 とパスワード my_key123 を使用するように、VPN トンネル グループとの Easy VPN Remote 接続を設定する例を示します。

hostname(config)# vpnclient vpngroup TestGroup1 password my_key123
hostname(config)#
 

 
関連コマンド

コマンド
説明

vpnclient trustpoint

Easy VPN 接続で使用する RSA ID 証明書を設定します。

vpnsetup

適応型セキュリティ アプライアンス上で VPN 接続を設定する手順のリストを表示するには、グローバル コンフィギュレーション モードで vpnsetup コマンドを使用します。

vpnsetup {ipsec-remote-access | l2tp-remote-access | site-to-site | ssl-remote-access} steps

 
構文の説明

ipsec-remote-access

IPsec 接続を受け入れるための適応型セキュリティ アプライアンスの設定手順を示します。

l2tp-remote-access

L2TP 接続を受け入れるための適応型セキュリティ アプライアンスの設定手順を示します。

site-to-site

LAN-to-LAN 接続を受け入れるための適応型セキュリティ アプライアンスの設定手順を示します。

ssl-remote-access

SSL 接続を受け入れるための適応型セキュリティ アプライアンスの設定手順を示します。

steps

接続タイプの手順を表示するために指定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(3)

このコマンドが追加されました。

次に、 vpnsetup ssl-remote-access steps コマンド の出力例を示します。

hostname(config-t)# vpnsetup ssl-remote-access steps
 
Steps to configure a remote access SSL VPN remote access connection and AnyConnect with examples:
 
1. Configure and enable interface
 
interface GigabitEthernet0/0
ip address 10.10.4.200 255.255.255.0
nameif outside
no shutdown
 
interface GigabitEthernet0/1
ip address 192.168.0.20 255.255.255.0
nameif inside
no shutdown
 
2. Enable WebVPN on the interface
 
webvpn
enable outside
 
3. Configure default route
 
route outside 0.0.0.0 0.0.0.0 10.10.4.200
 
4. Configure AAA authentication and tunnel group
 
tunnel-group DefaultWEBVPNGroup type remote-access
tunnel-group DefaultWEBVPNGroup general-attributes
authentication-server-group LOCAL
 
5. If using LOCAL database, add users to the Database
 
username test password t3stP@ssw0rd
username test attributes
service-type remote-access
 
Proceed to configure AnyConnect VPN client:
 
6. Point the ASA to an AnyConnect image
 
webvpn
svc image anyconnect-win-2.1.0148-k9.pkg
 
7. enable AnyConnect
 
svc enable
 
8. Add an address pool to assign an ip address to the AnyConnect client
 
ip local pool client-pool 192.168.1.1-192.168.1.254 mask 255.255.255.0
 
9. Configure group policy
 
group-policy DfltGrpPolicy internal
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol svc webvpn
 
hostname(config-t)#

 
関連コマンド

コマンド
説明

show running-config

適応型セキュリティ アプライアンスの実行コンフィギュレーションを表示します。

wccp

容量を割り当て、指定した Web Cache Communication Protocol(WCCP; Web キャッシュ通信プロトコル)サービスのサポートをイネーブルにして、サービスグループに参加できるようにするには、グローバル コンフィギュレーション モードで wccp コマンドを使用します。サービス グループをディセーブルにして、容量の割り当てを解除するには、このコマンドの no 形式を使用します。

wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password]

no wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password [0 | 7]]

 
構文の説明

web-cache

Web キャッシュ サービスを指定します。


) Web キャッシュは、1 つのサービスとして数えます。サービスの最大数は、service-number 引数で指定したものも含めて、256 個です。


service-number

ダイナミック サービス ID。このサービスの定義は、キャッシュによって示されます。ダイナミック サービス番号は 0 ~ 254 で、255 個まで使用できます。 web-cache キーワードで指定される Web キャッシュ サービスを含めると、許可される最大数は 256 個です。

redirect-list

(任意)このサービス グループにリダイレクトされるトラフィックを制御するアクセス リストとともに使用します。access-list 引数は、アクセス リストを指定する 64 文字以下の文字列(名前または番号)で構成する必要があります。アクセス リストには、ネットワーク アドレスだけを含める必要があります。ポート固有のエントリはサポートされていません。

access-list

アクセス リストの名前を指定します。

group-list

(任意)サービス グループに参加することが許可される Web キャッシュを決定するアクセス リスト。access-list 引数は、アクセス リストを指定する 64 文字以下の文字列(名前または番号)で構成する必要があります。

password

(任意)サービス グループから受信するメッセージを Message Digest 5(MD5)で認証することを指定します。認証できなかったメッセージは廃棄されます。

password

認証で使用するパスワードを指定します。パスワードの引数の最大長は 7 文字です。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、WCCP のサービス グループへの参加をイネーブルにする例を示します。

hostname(config)# wccp web-cache redirect-list jeeves group-list wooster password whatho
 

 
関連コマンド

コマンド
説明

show wccp

WCCP コンフィギュレーションを表示します。

wccp redirect

WCCP リダイレクションのサポートをイネーブルにします。

wccp redirect

Web Cache Communication Protocol(WCCP; Web キャッシュ通信プロトコル)を使用して、インターフェイスの入力でパケット リダイレクションをイネーブルにするには、 wccp redirect コマンドを使用します。WCCP リダイレクションをディセーブルにするには、このコマンドの no 形式を使用します。

wccp interface interface_name service redirect in

no wccp interface interface_name service redirect in

 
構文の説明

interface_name

パケットをリダイレクトするインターフェイスの名前。

service

サービス グループを指定します。 web-cache キーワードか、サービスの ID 番号(0 ~ 99)を指定できます。

in

パケットがこのインターフェイスに入力されるときにリダイレクションを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、Web キャッシュ サービスの内部インターフェイスで WCCP リダイレクションをイネーブルにする例を示します。

hostname(config)# wccp interface inside web-cache redirect in

 
関連コマンド

コマンド
説明

show wccp

WCCP コンフィギュレーションを表示します。

wccp

サービス グループを使用して、WCCP のサポートをイネーブルにします。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder タイプの SSO 認証要求を行う SSO サーバの URL を指定するには、config-webvpn-sso-siteminder モードで web-agent-url コマンドを使用します。

SSO サーバの認証 URL を削除するには、このコマンドの no 形式を使用します。

web-agent-url url

no web-agent-url url


) このコマンドは、SiteMinder タイプの SSO 認証に必要です。


 
構文の説明

 
構文の説明構文の説明

url

SiteMinder タイプの SSO サーバの認証 URL を指定します。http:// または https:// を含める必要があります。

 
デフォルト

デフォルトでは、認証 URL は設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

config-webvpn-sso-siteminder

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングルサインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。SSO サーバには、認証要求を処理する URL があります。

このコマンドは、SiteMinder タイプの SSO サーバのみに適用されます。

この URL に認証を送信するように適応型セキュリティ アプライアンスを設定するには、 web-agent-url コマンドを使用します。認証 URL を設定する前に、 sso-server コマンドを使用して SSO サーバを作成する必要があります。

セキュリティ アプライアンスと SSO サーバとの間の https 通信の場合、必ず両方の SSL 暗号の設定が一致することを確認してください。セキュリティ アプライアンスでは、この設定を ssl encryption コマンドで確認します。

次に、config-webvpn-sso-siteminder モードでコマンドを入力し、認証 URL として http://www.example.com/webvpn を指定する例を示します。

hostname(config-webvpn)# sso-server example type siteminder
hostname(config-webvpn-sso-siteminder)# web-agent-url http://www.example.com/webvpn
hostname(config-webvpn-sso-siteminder)#

 
関連コマンド

コマンド
説明

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder タイプ SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

ssl encryption

SSL/TLS プロトコルで使用する暗号化アルゴリズムを指定します。

sso-server

シングル サインオン サーバを作成します。

web-applications

認証された WebVPN ユーザに対して表示される WebVPN ホーム ページの Web Application ボックスをカスタマイズするには、webvpn カスタマイゼーション モードで web-applications コマンドを使用します。

web-applications { title | message | dropdown } { text | style } value

[ no ] web-applications { title | message | dropdown } { text | style } value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
構文の説明

title

タイトルを変更することを指定します。

message

タイトルの下に表示されるメッセージを変更することを指定します。

dropdown

ドロップダウン ボックスを変更することを指定します。

text

テキストを変更することを指定します。

style

HTML スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのタイトルのテキストは「Web Application」です。

デフォルトのタイトルのスタイルは background-color:#99CCCC;color:black;font-weight:bold;text-transform: uppercase です。

デフォルトのメッセージのテキストは「Enter Web Address (URL)」です。

デフォルトのメッセージのスタイルは background-color:#99CCCC;color:maroon;font-size:smaller です。

デフォルトのドロップダウンのテキストは「Web Bookmarks」です。

デフォルトのドロップダウンのスタイルは 1px solid black;font-weight:bold;color:black;font-size:80% です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、タイトルを「Applications」に変更し、テキストの色を青に変更する例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# web-applications title text Applications
F1-asa1(config-webvpn-custom)# web-applications title style color:blue

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。

web-bookmarks

WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。

file-bookmarks

WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

web-bookmarks

認証された WebVPN ユーザに表示される WebVPN ホーム ページの Web Bookmarks のタイトルまたはリンクをカスタマイズするには、webvpn カスタマイゼーション モードで web-bookmarks コマンドを使用します。

web-bookmarks { link {style value } | title {style value | text value }}

[ no ] web-bookmarks { link {style value } | title {style value | text value }}

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
構文の説明

link

リンクを変更することを指定します。

title

タイトルを変更することを指定します。

style

HTML スタイルを変更することを指定します。

text

テキストを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのリンクのスタイルは
color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。

デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。

デフォルトのタイトルのテキストは「Web Bookmarks」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

WebVPN カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、Web Bookmarks のタイトルを「Corporate Web Bookmarks」に変更する例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# web-bookmarks title text Corporate Web Bookmarks
 

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。

file-bookmarks

WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] ボックスをカスタマイズします。

webvpn

webvpn モードを開始するには、グローバル コンフィギュレーション モードで webvpn コマンドを使用します。このコマンドで入力したコマンドを削除するには、 no webvpn コマンドを使用します。これらの webvpn コマンドは、すべての WebVPN ユーザに適用されます。

これらの webvpn コマンドを使用すると、AAA サーバ、デフォルトのグループ ポリシー、デフォルトのアイドル タイムアウト、http プロキシと https プロキシ、および WebVPN の NBNS サーバを設定できます。また、エンド ユーザに表示される WebVPN 画面の外観も設定できます。

webvpn

no webvpn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

WebVPN はデフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

この WebVPN モードによって、WebVPN のグローバル コンフィギュレーション値を設定できます。グループ ポリシー モードまたはユーザ名モードから WebVPN モードに切り替えると、特定のユーザ ポリシーまたはグループ ポリシーの WebVPN コンフィギュレーションをカスタマイズできます。

次に、WebVPN コマンド モードを開始する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)#
 

webvpn(グループ ポリシーおよびユーザ名モード)

この webvpn モードを開始するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで webvpn コマンドを使用します。webvpn モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定するユーザ名またはグループ ポリシーに適用されます。

グループ ポリシーおよびユーザ名に対する webvpn コマンドにより、WebVPN 経由でのファイル、MAPI プロキシ、URL および TCP アプリケーションへのアクセスが定義されます。また、フィルタリングするトラフィックの ACL およびタイプも識別されます。

webvpn

no webvpn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

WebVPN はデフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

ユーザ名

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

グローバル コンフィギュレーション モードから webvpn モードに切り替えると、WebVPN のグローバル設定値を設定できます。グループ ポリシー アトリビュート コンフィギュレーション モード、またはユーザ名アトリビュート コンフィギュレーション モードの webvpn コマンドは、webvpn コマンドで指定された設定を、親コマンドで指定されたグループまたはユーザに適用します。つまり、ここで説明したように、グループ ポリシー モードまたはユーザ名モードから webvpn モードに切り替えると、特定のユーザ ポリシーまたはグループ ポリシーの WebVPN コンフィギュレーションをカスタマイズできます。

特定のグループ ポリシーに対してグループ ポリシー アトリビュート モードで適用した webvpn アトリビュートは、デフォルトのグループ ポリシーで指定された webvpn アトリビュートを上書きします。ユーザ名アトリビュート モードで特定のユーザに対して適用した WebVPN アトリビュートは、デフォルト グループ ポリシーおよび、当該ユーザが所属するグループ ポリシーの両方で WebVPN アトリビュートを上書きします。基本的に、これらのコマンドを使用すると、デフォルトのグループまたは特定のグループ ポリシーから継承される設定を微調整できます。WebVPN 設定の詳細については、グローバル コンフィギュレーション モードの webvpn コマンドの説明を参照してください。

次の表に、webvpn グループ ポリシー アトリビュート モードおよびユーザ名アトリビュート モードで設定できるアトリビュートを示します。詳細については、個々のコマンドの説明を参照してください。

 

アトリビュート
説明

auto-signon

WebVPN ユーザのログイン資格情報が内部サーバに自動的に渡るように適応型セキュリティ アプライアンスを設定し、WebVPN ユーザがシングル サインオン方式を利用できるようにします。

customization

適用する事前設定済みの WebVPN カスタマイゼーションを指定します。

deny-message

アクセスが拒否されたときにユーザに表示するメッセージを指定します。

filter

WebVPN 接続で使用するアクセス リストを指定します。

functions

ファイル アクセスとファイル ブラウジング、MAPI プロキシ、および WebVPN 経由の URL エントリを設定します。

homepage

WebVPN ユーザがログインしたときに表示する Web ページの URL を設定します。

html-content-filter

WebVPN セッションに対してフィルタリングする Java、ActiveX、イメージ、スクリプト、およびクッキーを指定します。

http-comp

使用する HTTP 圧縮アルゴリズムを指定します。

keep-alive-ignore

セッションのアップデートで無視する最大オブジェクトサイズを指定します。

port-forward

WebVPN アプリケーション アクセスをイネーブルにします。

port-forward-name

エンド ユーザに転送する TCP ポートを識別する表示名を設定します。

sso-server

SSO サーバ名を設定します。

svc

SSL VPN Client のアトリビュートを設定します。

url-list

ユーザが WebVPN 経由でアクセスできるサーバおよび URL のリストを指定します。

次に、「FirstGroup」という名前のグループ ポリシーで webvpn モードを開始する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-webvpn)#
 

次に、「test」という名前のユーザ名で webvpn モードを開始する例を示します。

hostname(config)# group-policy test attributes
hostname(config-username)# webvpn
hostname(config-webvpn)#
 

 
関連コマンド

clear configure group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーのコンフィギュレーションを削除します。

group-policy attributes

config-group-policy モードを開始します。このモードでは、指定したグループ ポリシーのアトリビュートと値を設定したり、webvpn モードを開始してグループの webvpn アトリビュートを設定したりできます。

show running-config group-policy

特定のグループ ポリシーまたはすべてのグループ ポリシーの実行コンフィギュレーションを表示します。

webvpn

config-group-webvpn モードを開始します。このモードでは、指定したグループに対する WebVPN アトリビュートを設定できます。

who

適応型セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。

who [ local_ip ]

 
構文の説明

local_ip

(任意)リストを 1 つの内部 IP アドレスまたはネットワーク アドレス(IPv4 または IPv6)に制限するために指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

who コマンドを使用すると、現在適応型セキュリティ アプライアンスにログインしている各 Telnet クライアントの TTY_ID および IP アドレスを表示できます。

次に、クライアントが Telnet セッションを通して適応型セキュリティ アプライアンスにログインした場合の who コマンドの出力例を示します。

hostname# who
0: 100.0.0.2
hostname# who 100.0.0.2
0: 100.0.0.2
hostname#
 

 
関連コマンド

コマンド
説明

kill

Telnet セッションを終了します。

telnet

Telnet アクセスを適応型セキュリティ アプライアンス コンソールに追加し、アイドル タイムアウトを設定します。

window-variation

さまざまなウィンドウサイズの接続をドロップするには、TCP マップ コンフィギュレーション モードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

window variation { allow-connection | drop-connection }

no window variation { allow-connection | drop-connection }

 
構文の説明

allow-connection

接続を許可します。

drop-connection

接続をドロップします。

 
デフォルト

デフォルト アクションは、接続を許可します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP マップ コンフィギュレーション モードで window-variation コマンドを使用して、縮小されたウィンドウ サイズの接続をすべてドロップします。

ウィンドウ サイズ メカニズムを使用すると、TCP は大きなウィンドウをアドバタイズした後、多すぎる量のデータを受信することなく、小さなウィンドウにアドバタイズできます。TCP の仕様では、「ウィンドウの縮小」は推奨されていません。この状態が検出されると、接続をドロップできます。

次に、さまざまなウィンドウサイズの接続をすべてドロップする例を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# window-variation drop-connection
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

wins-server

プライマリ WINS サーバおよびセカンダリ WINS サーバの IP アドレスを設定するには、グループ ポリシー コンフィギュレーション モードで wins-server コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、WINS サーバを別のグループ ポリシーから継承できます。サーバを継承しないようにするには、 wins-server none コマンドを使用します。

wins-server value { ip_address } [ ip_address ] | none

no wins-server

 
構文の説明

none

WINS サーバにヌル値を設定して、WINS サーバを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

value ip_address

プライマリ WINS サーバおよびセカンダリ WINS サーバの IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

wins-server コマンドを発行するたびに、既存の設定を上書きします。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番めのコマンドが最初のコマンドを上書きします。したがって、y.y.y.y は唯一の WINS サーバになります。複数のサーバを設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを含めます。

次に、FirstGroup という名前のグループ ポリシーに対して IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 で WINS サーバを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45

 

without-csd

特定のユーザがいずれかのエントリを group-urls テーブルに入力して VPN セッションを確立する場合に、稼動している Cisco Secure Desktop からそのユーザを接続プロファイルごとに免除するには、トンネル webvpn コンフィギュレーション モードで without-csd コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

hostname(config-tunnel-webvpn)# without-csd
hostname(config-tunnel-webvpn)#

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの値はありません。この適応型セキュリティ アプライアンスのコンフィギュレーションに csd enable コマンドが含まれている場合、デフォルトの動作では、各エンドポイントで Cisco Secure Desktop を実行します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドによって、この接続プロファイル(CLI 内のトンネル グループと呼ばれる)上で設定した url-group リストにユーザが URL を入力する場合に Cisco Secure Desktop がエンドポイント上で実行されないようにします。このコマンドを入力すると、これらのセッションのエンドポイント条件が検出されなくなるため、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)コンフィギュレーションの調整が必要になることがあります。

次の例の最初のコマンドでは、「example.com」がセキュリティ アプライアンスのドメインで「no-csd」が URL の固有部分である group-url を作成しています。ユーザがこの URL を入力すると、適応型セキュリティ アプライアンスはこの接続プロファイルをセッションに割り当てます。 without-csd コマンドを有効にするには、 group-url コマンドが必要です。 without-csd コマンドは、稼動している Cisco Secure Desktop からユーザを免除します。

hostname(config-tunnel-webvpn)# group-url https://example.com/no-csd enable
hostname(config-tunnel-webvpn)# without-csd
hostname(config-tunnel-webvpn)#

 

 
関連コマンド

コマンド
説明

csd enable

without-csd コマンドがないすべての接続ファイルに対して、Cisco Secure Desktop をイネーブルにします。

csd image

コマンドで指定された Cisco Secure Desktop イメージを、パスで指定されたフラッシュ ドライブから実行コンフィギュレーションにコピーします。

group-url

この接続プロファイルに固有の group-url を作成します。

write erase

スタートアップ コンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションは残ります。

write erase

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、セキュリティ コンテキスト内ではサポートされません。コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで識別されます。コンテキスト コンフィギュレーションを削除する場合は、リモート サーバ(指定されている場合)からファイルを手作業で削除するか、システム実行スペースで delete コマンドを使用してフラッシュ メモリからファイルをクリアします。

次に、スタートアップ コンフィギュレーションを表示する例を示します。

hostname# write erase
Erase configuration in flash memory? [confirm] y

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

delete

フラッシュ メモリからファイルを削除します。

show running-config

実行コンフィギュレーションを表示します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write memory

スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存するには、特権 EXEC モードで write memory コマンドを使用します。

write memory [ all [ /noconfirm ]]

 
構文の説明

/noconfirm

all キーワードを使用する場合に確認プロンプトを表示しないようにします。

all

このキーワードにより、マルチ コンテキスト モードのシステム実行スペースから、すべてのコンテキスト コンフィギュレーションおよびシステム コンフィギュレーションが保存されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(1)

all キーワードで、すべてのコンテキスト コンフィギュレーションを保存できるようになりました。

 
使用上のガイドライン

実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。このコンフィギュレーションには、このコマンドラインで行った変更がすべて含まれています。変更をスタートアップ コンフィギュレーションに保存する場合は、リブートの間だけ保存されます。これは起動時に実行中のメモリにロードされるコンフィギュレーションです。シングル コンテキスト モード、およびマルチ コンテキスト モードのシステムに対するスタートアップ コンフィギュレーションの場所は、デフォルトの場所(隠しファイル)から boot config コマンドを使用して選択した場所に変更できます。マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定した場所にあります。

マルチ コンテキスト モードで各コンテキストに write memory コマンドを実行すると、現在のコンテキスト コンフィギュレーションだけを保存できます。すべてのコンテキスト コンフィギュレーションを保存するには、システム実行スペースに write memory all コマンドを入力します。コンテキストのスタートアップ コンフィギュレーションは外部サーバ上に配置できます。この場合、適応型セキュリティ アプライアンスは、コンフィギュレーションをサーバに戻して保存することができない HTTP および HTTPS URL を除き、 config-url コマンドで指定したサーバにコンフィギュレーションを戻して保存します。適応型セキュリティ アプライアンス が write memory all コマンドで各コンテキストを保存すると、次のメッセージが表示されます。

‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’
 

エラーが発生して、コンテキストを保存できないことがあります。次に、そのエラーについて説明します。

メモリ不足のためコンテキストを保存できない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unavailability of resources
 

リモートの宛先に到達できないためコンテキストを保存できない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to non-reachability of destination
 

コンテキストがロックされているためコンテキストを保存できない場合は、次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts are locked.
context ‘a’ , context ‘x’ , context ‘z’ .
 

コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存しているか、コンテキストを削除中である場合だけです。

スタートアップ コンフィギュレーションが読み取り専用(HTTP サーバの場合など)のために保存できないコンテキストの場合は、他のすべてのメッセージの最後に次のメッセージが表示されます。

Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’ .
 

フラッシュ メモリのセクターが破損しているためコンテキストを保存できない場合は、次のメッセージが表示されます。

The context 'context a' could not be saved due to Unknown errors
 

システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドも管理コンテキスト インターフェイスを使用します。ただし、 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。

RSA キーペアを NVRAM に保存できない場合は、次のメッセージが表示されます。

ERROR: NV RAM does not have enough space to save keypair keypair name
 

write memory コマンドは、 copy running-config startup-config コマンドと同じです。

次に、スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存する例を示します。

hostname# write memory
Building configuration...
Cryptochecksum: e43e0621 9772bebe b685e74f 748e4454
 
19319 bytes copied in 3.570 secs (6439 bytes/sec)
[OK]
hostname#

 
関連コマンド

コマンド
説明

admin-context

管理コンテキストを設定します。

configure memory

スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージします。

config-url

コンテキスト コンフィギュレーションの場所を指定します。

copy running-config startup-config

実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

write net

実行コンフィギュレーションを TFTP サーバにコピーします。

write net

実行コンフィギュレーションを TFTP サーバにコピーするには、特権 EXEC モードで write net コマンドを使用します。

write net [ server : [ filename ] | : filename ]

 
構文の説明

: filename

パスとファイル名を指定します。 tftp-server コマンドを使用してすでにファイル名を設定してある場合、この引数はオプションです。

tftp-server コマンドとこのコマンドの両方でファイル名を指定すると、適応型セキュリティ アプライアンスは tftp-server コマンドのファイル名をディレクトリとして扱い、 write net コマンドのファイル名を、そのディレクトリの下にファイルとして追加します。

tftp-server コマンドの値を上書きするには、パスとファイル名の前にスラッシュを入力します。スラッシュは、パスが tftpboot ディレクトリに対する相対パスではなく、絶対パスであることを示します。このファイル用に生成される URL には、ファイル名パスの前にダブル スラッシュ(//)が含まれます。必要なファイルが tftpboot ディレクトリにある場合は、ファイル名パスに tftpboot ディレクトリへのパスを含めることができます。TFTP サーバがこのタイプの URL をサポートしていない場合は、代わりに copy running-config tftp コマンドを使用します。

tftp-server コマンドを使用して TFTP サーバのアドレスを指定した場合は、コロン(:)の後にファイル名だけを入力できます。

server :

TFTP サーバの IP アドレスまたは名前を設定します。 tftp-server コマンドで設定したアドレスがあっても、このアドレスが優先されます。

デフォルトのゲートウェイ インターフェイスは最もセキュリティが高いインターフェイスですが、 tftp-server コマンドを使用して別のインターフェイス名を設定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。このコンフィギュレーションには、このコマンドラインで行った変更がすべて含まれています。

マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションだけを保存でき、1 回のコマンドですべてのコンテキストを保存できません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。ただし、システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドは管理コンテキスト インターフェイスを使用して、スタートアップ コンフィギュレーションに保存します。

write net コマンドは、 copy running-config tftp コマンドと同じです。

次に、 tftp-server コマンドに TFTP サーバとファイル名を設定する例を示します。

hostname# tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
hostname# write net
 

次に、 write net コマンドにサーバとファイル名を設定する例を示します。 tftp-server コマンドは入力されません。

hostname# write net 10.1.1.1:/configs/contextbackup.cfg
 

次に、 write net コマンドにサーバとファイル名を設定する例を示します。 tftp-server コマンドはディレクトリ名を示し、サーバ アドレスは上書きされます。

hostname# tftp-server 10.1.1.1 configs
hostname# write net 10.1.2.1:context.cfg
 

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

copy running-config tftp

実行コンフィギュレーションを TFTP サーバにコピーします。

show running-config

実行コンフィギュレーションを表示します。

tftp-server

他のコマンドで使用するためのデフォルトの TFTP サーバおよびパスを設定します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

write standby

フェールオーバー スタンバイ装置に適応型セキュリティ アプライアンスまたはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。

write standby

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、コンフィギュレーション スタンバイ装置またはフェールオーバー グループと、アクティブな装置またはフェールオーバー グループのコンフィギュレーションとの同期が失われた場合だけに使用する必要があります。通常、この非同期状態は、スタンバイ装置またはフェールオーバー グループでコマンドが入力された場合に発生します。

Active/Standby フェールオーバーの場合、 write standby コマンドは、アクティブなフェールオーバー装置のメモリに保存されているコンフィギュレーションを、スタンバイ装置のメモリに書き込みます。プライマリ装置とセカンダリ装置のコンフィギュレーションの情報が異なる場合は、 write standby コマンドを使用します。このコマンドをアクティブ装置に入力します。

Active/Active フェールオーバーの場合、 write standby コマンドは次のように動作します。

システム実行スペースで write standby コマンドを入力すると、システム コンフィギュレーションおよび適応型セキュリティ アプライアンス上のセキュリティ コンテキストのすべてのコンフィギュレーションはピア装置に書き込まれます。これは、スタンバイ状態にあるセキュリティ コンテキストのコンフィギュレーション情報を含みます。アクティブ状態のフェールオーバー グループ 1 を持つ装置のシステム実行スペースに、このコマンドを入力する必要があります。

セキュリティ コンテキストに write standby コマンドを入力すると、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストに、このコマンドを入力する必要があります。


write standby コマンドは、コンフィギュレーションをピア装置の実行コンフィギュレーションに複製しますが、コンフィギュレーションをスタートアップ コンフィギュレーションに保存しません。コンフィギュレーションの変更をスタートアップ コンフィギュレーションに保存するには、write standby コマンドを入力したのと同じ装置で copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製され、コンフィギュレーションはスタートアップ コンフィギュレーションに保存されます。


ステートフル フェールオーバーがイネーブルになっている場合、コンフィギュレーションの複製が完了した、 write standby コマンドはステート情報もスタンバイ装置に複製します。

次に、現在の実行コンフィギュレーションをスタンバイ装置に書き込む例を示します。

hostname# write standby
Building configuration...
[OK]
hostname#
 

 
関連コマンド

コマンド
説明

failover reload-standby

スタンバイ装置を強制的にリブートします。

write terminal

端末に実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。

write terminal

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

このコマンドは、show running-config コマンドと同じです。

次に、端末に実行コンフィギュレーションを書き込む例を示します。

hostname# write terminal
: Saved
:
ASA Version 7.0(0)61
multicast-routing
names
name 10.10.4.200 outside
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.86.194.60 255.255.254.0
webvpn enable
...
 

 
関連コマンド

コマンド
説明

configure net

指定した TFTP URL からのコンフィギュレーション ファイルを実行コンフィギュレーションとマージします。

show running-config

実行コンフィギュレーションを表示します。

write memory

実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存します。

zonelabs-integrity fail-close

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの間の接続が中断した場合に、VPN クライアントへの接続を閉じるように適応型セキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-close コマンドを使用します。Zone Labs に接続できなかった場合に VPN 接続を開いたままにするデフォルト設定に戻すには、このコマンドの no 形式を使用します。

zonelabs-integrity fail-close

no zonelabs-integrity fail-close

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、サーバに障害が発生しても、VPN 接続が開いたままになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバが適応型セキュリティ アプライアンスに応答しない場合も、適応型セキュリティ アプライアンスはプライベート ネットワークとの VPN クライアントの接続を確立します。また、既存の開いた接続も維持します。これにより、ファイアウォール サーバに障害が発生しても、企業の VPN 接続が中断されないようになります。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。

Zone Labs Integrity ファイアウォール サーバと接続できない場合でも、適応型セキュリティ アプライアンスによってクライアント VPN 接続が維持されるデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドを使用します。

次に、Zone Labs Integrity ファイアウォール サーバが応答しない場合や、接続が中断した場合に、VPN クライアントの接続を閉じるように適応型セキュリティ アプライアンスを設定する例を示します。

 
hostname(config)# zonelabs-integrity fail-close
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity fail-open

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生した後も、適応型セキュリティ アプライアンスへの VPN クライアント接続を開いたままにするように指定します。

zonelabs-integrity fail-timeout

応答しない Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスが到達不能と見なすまでの秒数を指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity fail-open

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバの接続が中断した後も、リモート VPN クライアントから適応型セキュリティ アプライアンスへの接続を開いたままにするには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-open コマンドを使用します。Zone Labs サーバとの接続が中断した場合に、VPN クライアントの接続を閉じる場合は、このコマンドの no 形式を使用します。

zonelabs-integrity fail-open

no zonelabs-integrity fail-open

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバに接続できない場合や接続が中断した場合でも、リモート VPN 接続が開いたままになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバが適応型セキュリティ アプライアンスに応答しない場合も、適応型セキュリティ アプライアンスはプライベート ネットワークとの VPN クライアントの接続を確立します。また、既存の開いた接続も維持します。これにより、ファイアウォール サーバに障害が発生しても、企業の VPN 接続が中断されないようになります。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。Zone Labs Integrity ファイアウォール サーバに接続できない場合でも、適応型セキュリティ アプライアンスによってクライアントの VPN 接続が維持されるデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドか、 no zonelabs-integrity fail-open コマンドを使用します。

次に、Zone Labs Integrity ファイアウォール サーバに接続できない場合でも VPN クライアントの接続が開いたままになるデフォルト状態に戻す例を示します。

hostname(config)# zonelabs-integrity fail-open
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity fail-close

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、適応型セキュリティ アプライアンスが VPN クライアント接続を閉じるように指定します。

zonelabs-integrity fail-timeout

応答しない Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスが到達不能と見なすまでの秒数を指定します。

zonelabs-integrity fail-timeout

適応型セキュリティ アプライアンスが、応答しない Zone Labs Integrity ファイアウォール サーバを到達不能と見なすまでの時間(秒単位)を指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-timeout コマンドを使用します。デフォルトのタイムアウト値 10 秒に戻すには、引数を指定せずにこのコマンドの no 形式を使用します。

zonelabs-integrity fail-timeout timeout

no zonelabs-integrity fail-timeout

 
構文の説明

timeout

適応型セキュリティ アプライアンスが、応答しない Zone Labs Integrity ファイアウォールサーバを到達不能と見なすまでの秒数を指定します。設定可能な値の範囲は 5 ~ 20 秒です。

 
デフォルト

デフォルトのタイムアウト値は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、指定した秒数待っても Zone Labs サーバから応答がない場合は、サーバを到達不能と見なします。VPN クライアントへの接続は、デフォルトまたは zonelabs-integrity fail-open コマンドの設定に従って開いたままになります。ただし、 zonelabs-integrity fail-close コマンドが発行されている場合は、適応型セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバを到達不能と見なしたときに VPN クライアントの接続が閉じられます。

次に、12 秒経過後にアクティブな Zone Labs Intergity ファイアウォール サーバを到達不能と見なすように適応型セキュリティ アプライアンスを設定する例を示します。

 
hostname(config)# zonelabs-integrity fail-timeout 12
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity fail-open

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生した後も、適応型セキュリティ アプライアンスへの VPN クライアント接続を開いたままにするように指定します。

zonelabs-integrity fail-close

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、適応型セキュリティ アプライアンスが VPN クライアント接続を閉じるように指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity interface

Zone Labs Integrity サーバと通信する適応型セキュリティ アプライアンス インターフェイスを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity interface コマンドを使用します。Zone Labs Integrity ファイアウォール サーバとのインターフェイスをデフォルトのインターフェイスなしに戻すには、このコマンドの no 形式を使用します。

zonelabs-integrity interface interface

no zonelabs-integrity interface

 
構文の説明

interface

Zone Labs Integrity ファイアウォール サーバと通信する適応型セキュリティ アプライアンスのインターフェイスを指定します。 nameif コマンドで作成したインターフェイスの名前をよく使用します。

 
デフォルト

デフォルトでは、Zone Labs Integrity ファイアウォール サーバとのインターフェイスは設定されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、IP アドレスが 10.0.0.5 ~ 10.0.0.7 の Zone Labs Intergity ファイアウォール サーバを 3 台設定する例を示します。また、これらのコマンドは、ポート 300 で、また inside というインターフェイスで、サーバからの通信をリッスンするように適応型セキュリティ アプライアンスを設定しています。

 
hostname(config)# zonelabs-integrity server-address 10.0.0.5 10.0.0.6 10.0.0.7
hostname(config)# zonelabs-integrity port 300
hostname(config)# zonelabs-integrity interface inside
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity port

Zone Labs Integrity ファイアウォール サーバと通信するための適応型セキュリティ アプライアンス上のポートを指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity ssl-certificate-port

SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する適応型セキュリティ アプライアンスのポートを指定します。

zonelabs-integrity ssl-client-authentication

適応型セキュリティ アプライアンスによる、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。

zonelabs-integrity port

適応型セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバとの通信に使用するポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity port コマンドを使用します。Zone Labs Integrity ファイアウォール サーバ用のデフォルト ポート 5054 に戻すには、このコマンドの no 形式を使用します。

zonelabs-integrity port port_number

no zonelabs-integrity port port_number

 
構文の説明

port

適応型セキュリティ アプライアンスの Zone Labs Integrity ファイアウォール サーバ用のポートを指定します。

port_number

Zone Labs Integrity ファイアウォール サーバ用のポートの番号。10 ~ 10000 の範囲になります。

 
デフォルト

Zone Labs Integrity ファイアウォール サーバ用のデフォルト ポートは 5054 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、 zonelabs-integrity port コマンドと zonelabs-integrity interface コマンドで設定したポートとインターフェイスで、Zone Labs Integrity ファイアウォール サーバをリッスンします。


) セキュリティ アプライアンスの現在のリリースでは、ユーザ インターフェイスで Integrity サーバの設定を 5 台までサポートできますが、同時にサポートできる Integrity サーバは 1 台です。アクティブなサーバに障害が発生した場合は、適応型セキュリティ アプライアンス上で別の Integrity サーバを設定して、クライアント VPN セッションを再確立してください。


次に、IP アドレスが 10.0.0.5 の Zone Labs Integrity サーバを設定する例を示します。また、このコマンドでは、デフォルト ポート 5054 ではなくポート 300 で、アクティブな Zone Labs サーバをリッスンするように適応型セキュリティ アプライアンスを設定しています。

 
hostname(config)# zonelabs-integrity server-address 10.0.0.5
hostname(config)# zonelabs-integrity port 300
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity interface

アクティブな Zone Labs Integrity サーバと通信するための適応型セキュリティ アプライアンス インターフェイスを指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity ssl-certificate-port

SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する適応型セキュリティ アプライアンスのポートを指定します。

zonelabs-integrity ssl-client-authentication

適応型セキュリティ アプライアンスによる、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。

zonelabs-integrity server-address

適応型セキュリティ アプライアンスのコンフィギュレーションに Zone Labs Integrity ファイアウォール サーバを追加するには、グローバル コンフィギュレーション モードで zonelabs-integrity server-address コマンドを使用します。Zone Labs サーバは、IP アドレスまたはホスト名で指定します。

実行コンフィギュレーションから Zone Labs Integrity ファイアウォール サーバを削除するには、引数を指定せずにこのコマンドの no 形式を使用します。

zonelabs-integrity server-address { hostname1 | ip-address 1 }

no zonelabs-integrity server-address


) ユーザ インターフェイスは、複数の Integrity サーバを含むコンフィギュレーションをサポートしているように見えますが、適応型セキュリティ アプライアンスは、現在のリリースでは一度に 1 台のサーバしかサポートしません。


 
構文の説明

hostname

Zone Labs Integrity ファイアウォール サーバのホスト名を指定します。ホスト名についての注意事項は、 name コマンドを参照してください。

ip-address

Zone Labs Integrity ファイアウォール サーバの IP アドレスを指定します。

 
コマンド デフォルト

デフォルトでは、Zone Labs Integrity ファイアウォール サーバは設定されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このリリースでは、Zone Labs Integrity ファイアウォール サーバを 1 台だけ設定できます。そのサーバに障害が発生した場合は、別の Integrity サーバを設定してからクライアント VPN セッションを確立します。

ホスト名でサーバを指定するには、まず name コマンドを使用して、Zone Labs サーバの名前を指定する必要があります。 name コマンドを使用する前に names コマンドを使用してコマンドをイネーブルにします。


) セキュリティ アプライアンスの現在のリリースでは、ユーザ インターフェイスで Integrity サーバの設定を 5 台までサポートできますが、同時にサポートできる Integrity サーバは 1 台です。アクティブなサーバに障害が発生した場合は、適応型セキュリティ アプライアンス上で別の Integrity サーバを設定して、クライアント VPN セッションを再確立してください。


次に、IP アドレス 10.0.0.5 に ZL-Integrity-Svr というサーバ名を割り当ててから、この名前を使用して Zone Labs Intergity ファイアウォール サーバを設定する例を示します。

hostname(config)# names
hostname(config)# name 10.0.0.5 ZL-Integrity-Svr
hostname(config)# zonelabs-integrity server-address ZL-Integrity-Svr
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity fail-close

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、適応型セキュリティ アプライアンスが VPN クライアント接続を閉じるように指定します。

zonelabs-integrity interface

アクティブな Zone Labs Integrity サーバと通信するための適応型セキュリティ アプライアンス インターフェイスを指定します。

zonelabs-integrity port

Zone Labs Integrity ファイアウォール サーバと通信するための適応型セキュリティ アプライアンス上のポートを指定します。

zonelabs-integrity ssl-certificate-port

SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する適応型セキュリティ アプライアンスのポートを指定します。

zonelabs-integrity ssl-client-authentication

適応型セキュリティ アプライアンスによる、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。

zonelabs-integrity ssl-certificate-port

Zone Labs Integrity ファイアウォール サーバが、SSL 証明書を取得するときに接続する適応型セキュリティ アプライアンスのポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-certificate-port コマンドを使用します。デフォルトのポート番号(80)に戻すには、引数を指定せずにこのコマンドの no 形式を使用します。

zonelabs-integrity ssl-certificate-port cert-port-number

no zonelabs-integrity ssl-certificate-port

 
構文の説明

cert-port-number

適応型セキュリティ アプライアンスが想定する、Zone Labs Integrity ファイアウォール サーバが SSL 証明書を要求するときに接続するのポートの番号を指定します。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは Zone Labs Integrity ファイアウォール サーバがポート 80 で SSL 証明書を要求すると想定します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの SSL 通信では、適応型セキュリティ アプライアンスが SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバ(適応型セキュリティ アプライアンス)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。 zonelabs-integrity ssl-certificate-port コマンドで、Zone Labs サーバが SSL サーバ証明書を要求するときに接続するポートを指定します。

次に、適応型セキュリティ アプライアンスのポート 30 で、Zone Labs Integrity サーバからの SSL 証明書要求を受信するように設定する例を示します。

 
hostname(config)# zonelabs-integrity ssl-certificate-port 30
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity port

Zone Labs Integrity ファイアウォール サーバと通信するための適応型セキュリティ アプライアンス上のポートを指定します。

zonelabs-integrity interface

アクティブな Zone Labs Integrity サーバと通信するための適応型セキュリティ アプライアンス インターフェイスを指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity ssl-client-authentication

適応型セキュリティ アプライアンスによる、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。

zonelabs-integrity ssl-client-authentication

Zone Labs Integrity ファイアウォール サーバの SSL 証明書を適応型セキュリティ アプライアンスで認証できるようにするには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-client-authentication コマンドを enable 引数を指定して使用します。Zone Labs の SSL 証明書の認証をディセーブルにするには、 disable 引数を使用するか、引数を指定せずにこのコマンドの no 形式を使用します。

zonelabs-integrity ssl-client-authentication { enable | disable }

no zonelabs-integrity ssl-client-authentication

 
構文の説明

enable

適応型セキュリティ アプライアンスで Zone Labs Integrity ファイアウォール サーバの SSL 証明書を認証することを指定します。

disable

Zone Labs Integrity ファイアウォール サーバの IP アドレスを指定します。

 
デフォルト

デフォルトでは、Zone Labs Integrity ファイアウォール サーバの SSL 証明書の適応型セキュリティ アプライアンスによる認証は、ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの SSL 通信では、適応型セキュリティ アプライアンスが SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバ(適応型セキュリティ アプライアンス)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。ただし、クライアント証明書の認証は任意です。Zone Labs サーバ(SSL クライアント)証明書の適応型セキュリティ アプライアンス認証をイネーブルまたはディセーブルにするには、 zonelabs-integrity ssl-client-authentication コマンドを使用します。

次に、Zone Labs Integrity サーバの SSL 証明書を認証するように適応型セキュリティ アプライアンスを設定する例を示します。

 
hostname(config)# zonelabs-integrity ssl-client-authentication enable
hostname(config)#

 
関連コマンド

コマンド
説明

zonelabs-integrity interface

アクティブな Zone Labs Integrity サーバと通信するための適応型セキュリティ アプライアンス インターフェイスを指定します。

zonelabs-integrity port

Zone Labs Integrity ファイアウォール サーバと通信するための適応型セキュリティ アプライアンス上のポートを指定します。

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォール サーバを適応型セキュリティ アプライアンスのコンフィギュレーションに追加します。

zonelabs-integrity ssl-certificate-port

SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する適応型セキュリティ アプライアンスのポートを指定します。