Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.2(2)
acl-netmask-convert コマンド~ auto-update timeout コマンド
acl-netmask-convert コマンド~ auto-update timeout コマンド
発行日;2012/05/08 | 英語版ドキュメント(2011/05/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 26MB) | フィードバック

目次

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

action

action-uri

activation-key

activex-relay

address(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

address(メディア ターミネーション)

address-pool(トンネル グループ一般アトリビュート モード)

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

admin-context

acl-netmask-convert コマンド~ auto-update timeout コマンド

acl-netmask-convert

RADIUS サーバから受信したダウンロード可能な ACL 内のネットマスクを適応型セキュリティ アプライアンスでどのように扱うかを指定するには、AAA サーバ ホスト コンフィギュレーション モードで acl-netmask-convert コマンドを使用します。このモードには、 aaa-server host コマンドを使用してアクセスできます。指定した適応型セキュリティ アプライアンスの動作を削除するには、このコマンドの no 形式を使用します。

acl-netmask-convert { auto-detect | standard | wildcard }

no acl-netmask-convert

 
構文の説明

auto-detect

適応型セキュリティ アプライアンスは、使用されているネットマスク表現のタイプを判断しようとします。ワイルドカード ネットマスク表現を検出した場合は、標準ネットマスク表現に変換します。このキーワードの詳細については、「使用上のガイドライン」を参照してください。

standard

適応型セキュリティ アプライアンスは、RADIUS サーバから受信したダウンロード可能な ACL に標準ネットマスク表現のみが含まれていると見なします。ワイルドカード ネットマスク表現からの変換は実行されません。

wildcard

適応型セキュリティ アプライアンスは、RADIUS サーバから受信したダウンロード可能な ACL にワイルドカード ネットマスク表現のみが含まれていると見なし、ACL のダウンロード時にそれらのすべてを標準ネットマスク表現に変換します。

 
デフォルト

デフォルトでは、ワイルドカード ネットマスク表現からの変換は実行されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ コンフィギュレーション ホスト

--

 
コマンド履歴

リリース
変更内容

7.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

RADIUS サーバから提供されるダウンロード可能な ACL にワイルドカード形式のネットマスクが含まれている場合は、wildcard または auto-detect キーワードを指定して acl-netmask-convert コマンドを使用します。適応型セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていると想定します。一方、Cisco VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に、標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていると想定します。ワイルドカード マスクでは、無視するビット位置に 1、照合するビット位置に 0 が配置されます。 acl-netmask-convert コマンドを使用すると、このような相違が RADIUS サーバ上のダウンロード可能な ACL の設定方法に与える影響を最小限に抑えることができます。

RADIUS サーバの設定方法が不明な場合は、 auto-detect キーワードが役立ちます。ただし、「穴」があるワイルドカード ネットマスク表現は、正しく検出および変換できません。たとえば、ワイルドカード ネットマスク 0.0.255.0 は、第 3 オクテットに任意の値を許可し、Cisco VPN 3000 シリーズ コンセントレータでは有効に使用できます。ただし、適応型セキュリティ アプライアンスでは、この表現をワイルドカード ネットマスクとして検出できません。

次に、ホスト「192.168.3.4」に「srvgrp1」という名前の RADIUS AAA サーバを設定し、ダウンロード可能な ACL のネットマスクの変換をイネーブルにして、タイムアウトを 9 秒、再試行間隔を 7 秒、認証ポートを 1650 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# acl-netmask-convert wildcard
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、あるいは ASDM ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

action

アクセス ポリシーをセッションに適用するか、またはセッションを終了するには、ダイナミック アクセス ポリシー レコード コンフィギュレーション モードで action コマンドを使用します。

セッションをリセットしてアクセス ポリシーをセッションに適用するには、このコマンドの no 形式を使用します。

action {continue | terminate}

no action {continue | terminate}

 
構文の説明

continue

アクセス ポリシーをセッションに適用します。

terminate

接続を切断します。

 
デフォルト

デフォルト値は continue です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック アクセス ポリシー レコード コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

選択したすべての DAP レコードでセッションにアクセス ポリシーを適用するには、 continue キーワードを使用します。選択した DAP レコードのいずれかで接続を切断するには、 terminate キーワードを使用します。

次に、Finance という DAP ポリシーのセッションを切断する例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# action terminate
hostname(config-dynamic-access-policy-record)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

show running-config dynamic-access-policy-record [ name ]

全 DAP レコードまたは指定した DAP レコード用の実行コンフィギュレーションを表示します。

action-uri

Web サーバの URI を指定して、シングル サインオン認証用のユーザ名とパスワードを受信するには、AAA サーバ ホスト コンフィギュレーション モードで action-uri コマンドを使用します。これは、HTTP Forms コマンドを使用した SSO です。URI パラメータ値をリセットするには、このコマンドの no 形式を使用します。

action-uri string

no action-uri


) HTTP プロトコルで SSO を適切に設定するには、認証と HTTP プロトコル交換についての十分な実用的知識を持っている必要があります。


 
構文の説明

string

認証プログラムの URI。複数の行に入力できます。各行の最大文字数は、255 文字です。URI 全体の最大文字数は、2048 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

Uniform Resource Identifier(URI; ユニフォーム リソース識別子)は、インターネット上のコンテンツの位置を特定するコンパクトなストリングです。これらのコンテンツには、テキスト ページ、ビデオ クリップ、サウンド クリップ、静止画、動画、プログラムなどがあります。URI の最も一般的な形式は、Web ページ アドレスです。Web ページ アドレスは、URI の特定の形式またはサブセットで、URL と呼ばれます。

適応型セキュリティ アプライアンスの WebVPN サーバは、POST 要求を使用して、シングル サインオン認証要求を認証 Web サーバに送信できます。これを行うには、HTTP POST 要求を使用して、認証 Web サーバ上のアクション URI にユーザ名とパスワードを渡すように適応型セキュリティ アプライアンスを設定します。 action-uri コマンドでは、適応型セキュリティ アプライアンスが POST 要求を送信する Web サーバ上の認証プログラムの場所と名前を指定します。

認証 Web サーバ上のアクション URI を見つけるには、ブラウザで直接 Web サーバのログイン ページに接続します。ブラウザに表示されたログイン Web ページの URL が認証 Web サーバのアクション URI です。

入力しやすいように、URI は連続する複数の行に入力できるようになっています。各行は入力と同時に適応型セキュリティ アプライアンスによって連結され、URI が構成されます。action-uri 行の 1 行あたりの最大文字数は 255 文字ですが、それよりも少ない文字を各行に入力できます。


) ストリングに疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。


次に、www.example.com の URI を指定する例を示します。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

hostname(config)# aaa-server testgrp1 host www.example.com
hostname(config-aaa-server-host)# action-uri http://www.example.com/auth/index.htm
hostname(config-aaa-server-host)# action-uri l/appdir/authc/forms/MCOlogin.fcc?TYP
hostname(config-aaa-server-host)# action-uri 554433&REALMOID=06-000a1311-a828-1185
hostname(config-aaa-server-host)# action-uri -ab41-8333b16a0008&GUID=&SMAUTHREASON
hostname(config-aaa-server-host)# action-uri =0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk
hostname(config-aaa-server-host)# action-uri 3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6r
hostname(config-aaa-server-host)# action-uri B1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F
hostname(config-aaa-server-host)# action-uri %2Fauth.example.com
hostname(config-aaa-server-host)#

) アクション URI にホスト名とプロトコルを含める必要があります。上記の例では、これらは URI の最初にある http://www.example.com に含まれています。


 
関連コマンド

コマンド
説明

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

SSO サーバとの交換に使用する非表示パラメータを作成します。

password-parameter

SSO 認証用のユーザ パスワードを送信する HTTP POST 要求パラメータの名前を指定します。

start-url

事前ログイン クッキーの取得先 URL を指定します。

user-parameter

SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求パラメータの名前を指定します。

activation-key

適応型セキュリティ アプライアンスのアクティベーション キーを変更するには、特権 EXEC モードで activation-key コマンドを使用します。

activation-key key

 
構文の説明

key

アクティベーション キーを適応型セキュリティ アプライアンスに適用します。キーは、5 つの要素で構成される 16 進ストリングで、各要素は 1 つのスペースで区切られています。先頭の 0x 指定子は任意です。すべての値が 16 進数と見なされます。

1 つの永続キーと複数の一時キーを入力できます。最後に入力した一時キーがアクティブ キーになります。実行アクティベーション キーを変更するには、新しいキー値を指定して activation-key コマンドを入力します。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは、ライセンスがインストールされた状態で出荷されます。このライセンスは、注文した内容およびベンダーがインストールした内容に応じて、ライセンスを追加できる基本ライセンスの場合と、すべてのライセンスがすでにインストールされている場合があります。インストールされているライセンスを確認するには、 show activation-key コマンドを使用します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC モード

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(4)/8.1(2)

一時ライセンスのサポートが追加されました。

8.2(1)

共有ライセンスのサポートが追加されました。

 
使用上のガイドライン

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる製品認証キーが必要です。機能ライセンスごとに個別の製品アクティベーション キーを購入する必要があります。たとえば、基本ライセンスがある場合は、Advanced Endpoint Assessment 用と追加の SSL VPN セッション用に別々のキーを購入する必要があります。

製品認証キーを取得した後、次のいずれかの URL の Cisco.com でキーを登録する必要があります。

Cisco.com 登録ユーザの場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license
 

Cisco.com 登録ユーザでない場合は、次の Web サイトを使用します。

http://www.cisco.com/go/license/public
 

フェールオーバー ガイドライン

フェールオーバー ペアについては、ユニットごとに個別のアクティベーション キーが必要です。キーに含まれているライセンスが両方のユニットで同じであることを確認してください。

フェールオーバー ペアでライセンスをアップグレードする必要がある場合は、ライセンスのリロードが必要かどうかに応じて、ある程度のダウンタイムが発生することがあります。詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

アップグレード ガイドライン

バージョン 8.2 以降にアップグレードする場合、および後でダウングレードする場合、アクティベーション キーの互換性は維持されます。アップグレード後に 8.2 よりも前 に導入された追加の機能ライセンスをアクティブ化した場合、ダウングレードすると、アクティベーション キーの旧バージョンとの互換性は維持されます。ただし、 8.2 以降 で導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーが適応型セキュリティ アプライアンスで使用されます(バージョン 8.2 以降でアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

その他のガイドライン

アクティベーション キーは、コンフィギュレーション ファイルに保存されません。フラッシュ メモリに隠しファイルとして保存されます。

アクティベーション キーは、デバイスのシリアル番号に関連付けられます。機能ライセンスは、デバイス間で転送できません(ハードウェア障害の発生時を除く)。ハードウェア障害が発生したためにデバイスを交換する必要がある場合は、シスコのライセンス チームに連絡して、既存のライセンスを新しいシリアル番号に転送するよう依頼してください。シスコのライセンス チームから、製品認証キーの参照番号と既存のシリアル番号を求められます。

アクティベーション キーを入力する前に、フラッシュ メモリ内のイメージと実行イメージが同じであることを確認してください。これは、新しいアクティベーション キーを入力する前に適応型セキュリティ アプライアンスをリロードすることによって確認できます。

一部のライセンスでは、アクティブ化後に適応型セキュリティ アプライアンスのリロードが必要になります。 表 2-1 に、リロードが必要なライセンスを示します。

 

表 2-1 ライセンスのリロード要件

モデル
リロードが必要なライセンス アクション

ASA 5505 および ASA 5510

基本ライセンスと Security Plus ライセンスの切り替え

すべてのモデル

暗号化ライセンスの変更

すべてのモデル

ライセンスのダウングレード(たとえば、10 コンテキストから 2 コンテキストへのダウングレード)

(注) 一時ライセンスが期限切れになり、永続ライセンスがダウングレードの場合、ただちに適応型セキュリティ アプライアンスをリロードする必要はありません。次回リロードするときに、永続ライセンスが復元されます。

次に、適応型セキュリティ アプライアンスのアクティベーション キーを変更する例を示します。

hostname# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

 
関連コマンド

コマンド
説明

show activation-key

アクティベーション キーを表示します。

activex-relay

WebVPN セッションの ActiveX コントロールをイネーブルまたはディセーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで activex-relay コマンドを使用します。デフォルトのグループ ポリシーから activex-relay コマンドを継承するには、このコマンドの no 形式を使用します。

activex-relay { enable | disable }

no activex-relay

 
構文の説明

enable

WebVPN セッションの ActiveX をイネーブルにします。

disable

WebVPN セッションの ActiveX をディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

activex-relay enable コマンドを使用すると、ユーザは WebVPN ブラウザから ActiveX コントロールを起動できます。これらのアプリケーションでは、WebVPN セッションを使用して ActiveX コントロールをダウンロードおよびアップロードします。ActiveX リレーは、WebVPN セッションが閉じるまで有効です。


) activex-relay コマンドは、WebVPN ポータルから参照される Web サイトに埋め込まれている ActiveX コントロールにのみ影響します。activex-relay コマンドを使用して、スマート トンネルの起動を切り替えることはできません。


次のコマンドは、特定のグループ ポリシーに関連付けられている WebVPN セッションの ActiveX コントロールをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# activex-relay enable
hostname(config-group-webvpn)
 

次のコマンドは、特定のユーザ名に関連付けられている WebVPN セッションの ActiveX コントロールをディセーブルにします。

hostname(config-username-policy)# webvpn
hostname(config-username-webvpn)# activex-relay disable
hostname(config-username-webvpn)
 

address(ダイナミック フィルタ ブラックリストまたはホワイトリスト)

IP アドレスをボットネット トラフィック フィルタのブラックリストまたはホワイトリストに追加するには、ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション モードで address コマンドを使用します。アドレスを削除するには、このコマンドの no 形式を使用します。スタティック データベースを使用すると、ホワイトリストまたはブラックリストに登録するドメイン名または IP アドレスを使用してダイナミック データベースを増強できます。

address ip_address mask

no address ip_address mask

 
構文の説明

ip_address

IP アドレスをブラックリストに追加します。

mask

IP アドレスのサブネット マスクを定義します。 mask には、単一ホストまたはサブネットのマスクを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ダイナミック フィルタ ブラックリストまたはホワイトリスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック フィルタ ホワイトリストまたはブラックリスト コンフィギュレーション モードを開始した後に、 address コマンドおよび name コマンドを使用して、ホワイトリストで信用できる名前としてタグ付けする、またはブラックリストで信用できない名前としてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)を手動で入力できます。

このコマンドは、複数のエントリに対して複数回入力できます。最大で 1000 のブラックリスト エントリと 1000 のホワイトリスト エントリを追加できます。

次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

 
関連コマンド

コマンド
説明

clear configure dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

適応型セキュリティ アプライアンスで DNS サーバへの DNS 要求の送信をイネーブルにして、サポートされるコマンドのネーム ルックアップを実行します。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースでドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter enable

アクセス リストを指定しない場合、特定のトラフィック クラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタのスヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタのルールを表示します。

show dynamic-filter data

ダイナミック データベースに関する情報を表示します(ダイナミック データベースの最終ダウンロード日、バージョン情報、データベース内のエントリ数、10 個のサンプル エントリなど)。

show dynamic-filter dns-snoop

detail キーワード、実際の IP アドレスと名前とともに、ボットネット トラフィック フィルタの DNS スヌーピング サマリーを表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタする接続の数、およびその接続のうちホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

アップデータ サーバに関する情報を表示します(サーバの IP アドレス、次回適応型セキュリティ アプライアンスがサーバに接続するタイミング、インストールされているデータベースのバージョンなど)。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

address(メディア ターミネーション)

電話プロキシ機能へのメディア接続に使用するメディア ターミネーション インスタンスのアドレスを指定するには、メディア ターミネーション コンフィギュレーション モードで address コマンドを使用します。メディア ターミネーション コンフィギュレーションからアドレスを削除するには、このコマンドの no 形式を使用します。

address ip_address [ interface intf_name ]

no address ip_address [ interface intf_name ]

 
構文の説明

interface intf_name

メディア ターミネーション アドレスが使用されるインターフェイスの名前を指定します。インターフェイスごとに、1 つのメディア ターミネーション アドレスのみを設定できます。

ip_address

メディア ターミネーション インスタンスに使用する IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

メディア ターミネーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、次の基準を満たすメディア ターミネーションの IP アドレスが設定されている必要があります。

メディア ターミネーション インスタンスの場合、すべてのインターフェイスに対するグローバルなメディア ターミネーション アドレスを設定したり、さまざまなインターフェイスごとにメディア ターミネーション アドレスを設定したりできます。ただし、グローバルなメディア ターミネーション アドレス、およびインターフェイスごとに設定したメディア ターミネーション アドレスを同時に使用することはできません。

複数のインターフェイスに対して 1 つのメディア ターミネーション アドレスを設定する場合は、適応型セキュリティ アプライアンスが IP 電話と通信するときに使用する、各インターフェイス上でのアドレスを設定する必要があります。

この IP アドレスは、公開されているルーティング可能なアドレス、つまりインターフェイス上のアドレス範囲内の使用されていない IP アドレスです。

メディア ターミネーション インスタンスの作成時およびメディア ターミネーション アドレスの設定時に満たす必要がある前提条件の詳細なリストについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次に、media-termination address コマンドを使用して、メディア接続に使用する IP アドレスを指定する例を示します。

hostname(config)# media-termination mediaterm1
hostname(config-media-termination)# address 192.0.2.25 interface inside
hostname(config-media-termination)# address 10.10.0.25 interface outside

 
関連コマンド

コマンド
説明

phone-proxy

電話プロキシ インスタンスを設定します。

media-termination

電話プロキシ インスタンスに適用するメディア ターミネーション インスタンスを設定します。

address-pool(トンネル グループ一般アトリビュート モード)

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで address-pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。

address-pool [( interface name )] address_pool1 [... address_pool6 ]

no address-pool [( interface name )] address_pool1 [... address_pool6 ]

 
構文の説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

interface name

(任意)アドレス プールに使用するインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスを指定しない場合、このコマンドは、明示的に参照されていないすべてのインターフェイスのデフォルトを指定します。

グループ ポリシーの address-pools コマンドによるアドレス プール設定は、トンネル グループの address-pool コマンドによるローカル プール設定を上書きします。

プールを指定する順序は重要です。適応型セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

次に、設定トンネル一般コンフィギュレーション モードで、IPSec リモート アクセス トンネル グループ テスト用にアドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定する例を示します。

hostname(config)# tunnel-group test type remote-access
hostname(config)# tunnel-group test general
hostname(config-tunnel-general)# address-pool (inside) addrpool1 addrpool2 addrpool3
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

ip local pool

VPN リモートアクセス トンネルに使用する IP アドレス プールを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

address-pools(グループ ポリシー アトリビュート コンフィギュレーション モード)

アドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定するには、グループ ポリシー アトリビュート コンフィギュレーション モードで address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシーからの継承をイネーブルにするには、このコマンドの no 形式を使用します。

address-pools value address_pool1 [... address_pool6 ]

no address-pools value address_pool1 [... address_pool6 ]

address-pools none

no address-pools none

 
構文の説明

address_pool

ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。

none

アドレス プールを設定しないことを指定し、他のグループ ポリシーからの継承をディセーブルにします。

value

アドレスの割り当てに使用する最大 6 個のアドレス プールのリストを指定します。

 
デフォルト

デフォルトでは、アドレス プールのアトリビュートは継承を許可します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドによるアドレス プール設定は、グループ内のローカル プール設定を上書きします。ローカル アドレスの割り当てに使用する最大 6 個のローカル アドレス プールのリストを指定できます。

プールを指定する順序は重要です。適応型セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。

address-pools none コマンドは、このアトリビュートが他のポリシー(DefaultGrpPolicy など)から継承されないようにします。 no address pools none コマンドは、 address-pools none コマンドをコンフィギュレーションから削除して、デフォルト値(継承の許可)に戻します。

次に、GroupPolicy1 の設定一般コンフィギュレーション モードで、アドレスをリモート クライアントに割り当てるために使用するアドレス プールのリストとして pool_1 および pool_20 を設定する例を示します。

hostname(config)# ip local pool pool_1 192.168.10.1-192.168.10.100 mask 255.255.0.0
hostname(config)# ip local pool pool_20 192.168.20.1-192.168.20.200 mask 255.255.0.0
hostname(config)# group-policy GroupPolicy1 attributes
hostname(config-group-policy)# address-pools value pool_1 pool_20
hostname(config-group-policy)#

 
関連コマンド

コマンド
説明

ip local pool

VPN グループ ポリシーで使用する IP アドレス プールを設定します。

clear configure group-policy

設定されているすべてのグループ ポリシーをクリアします。

show running-config group-policy

すべてのグループ ポリシーまたは特定のグループ ポリシーのコンフィギュレーションを表示します。

admin-context

システム コンフィギュレーションの管理コンテキストを設定するには、グローバル コンフィギュレーション モードで admin-context コマンドを使用します。システム コンフィギュレーションには、システム自体のネットワーク インターフェイスまたはネットワーク設定は含まれません。代わりに、システムは、ネットワーク リソースにアクセスする必要がある場合に(適応型セキュリティ アプライアンス ソフトウェアをダウンロードしたり、管理者に対してリモート アクセスを許可する場合など)、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

admin-context name

 
構文の説明

name

名前を最大 32 文字のストリングで設定します。コンテキストをまだ定義していない場合は、まずこのコマンドで管理コンテキスト名を指定します。次に、 context コマンドを使用して最初に追加するコンテキストを、指定した管理コンテキスト名にする必要があります。

この名前は、大文字と小文字が区別されます。たとえば、「customerA」および「CustomerA」という名前の 2 つのコンテキストを指定できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンを使用することはできません。

「System」または「Null」(大文字および小文字)は予約されている名前であるため、使用できません。

 
デフォルト

マルチ コンテキスト モードの新しい適応型セキュリティ アプライアンスの場合、管理コンテキスト名は「admin」です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

コンテキスト コンフィギュレーションが内部フラッシュ メモリにある限り、任意のコンテキストを管理コンテキストに設定できます。

現在の管理コンテキストを削除するには、 clear configure context コマンドを使用してすべてのコンテキストを削除する必要があります。

次に、管理コンテキストを「administrator」に設定する例を示します。

hostname(config)# admin-context administrator

 
関連コマンド

コマンド
説明

clear configure context

システム コンフィギュレーションからすべてのコンテキストを削除します。

context

システム コンフィギュレーションにコンテキストを設定し、コンテキスト コンフィギュレーション モードを開始します。

show admin-context

現在の管理コンテキスト名を表示します。

 

alias

アドレスを手動で変換し、DNS 応答を変更するには、グローバル コンフィギュレーション モードで alias コマンドを使用します。 alias コマンドを削除するには、このコマンドの no 形式を使用します。

alias ( interface_name ) real_ip mapped_ip [ netmask ]

no alias ( interface_name ) real_ip mapped_ip [ netmask ]

 
構文の説明

( interface_name )

マッピングされた IP アドレス宛てのトラフィック用の入力インターフェイス(またはマッピングされた IP アドレスからのトラフィック用の出力インターフェイス)の名前を指定します。コマンドにカッコを含めてください。

mapped_ip

実際の IP アドレスの変換先 IP アドレスを指定します。

netmask

(任意)両方の IP アドレスのサブネット マスクを指定します。 ホスト マスクの場合は、 255.255.255.255 と入力します。

real_ip

実際の IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドの機能は、外部 NAT コマンド( dns キーワードを指定した nat コマンドや static コマンド)に置き換えられています。 alias コマンドの代わりに、外部 NAT コマンドを使用することを推奨します。

宛先アドレスに対してアドレス変換を実行するには、このコマンドを使用します。たとえば、ホストがパケットを 209.165.201.1 に送信する場合は、 alias コマンドを使用して、トラフィックを 209.165.201.30 などの別のアドレスにリダイレクトします。


alias コマンドを他のアドレスの変換ではなく DNS の書き換えに使用する場合は、エイリアス対応インターフェイスで proxy-arp をディセーブルにします。適応型セキュリティ アプライアンスが一般的な NAT 処理のために proxy-arp でトラフィックを自身に引き寄せないようにするには、sysopt noproxyarp コマンドを使用します。


alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。

DNS ゾーン ファイルに、 alias コマンド内の「dnat」アドレスの A(アドレス)レコードが存在している必要があります。

alias コマンドには 2 つの使用方法があります。次にその概略を示します。

適応型セキュリティ アプライアンスが mapped_ip 宛てのパケットを取得した場合は、そのパケットを real_ip に送信するように alias コマンドを設定できます。

適応型セキュリティ アプライアンスが適応型セキュリティ アプライアンスに戻された real_ip 宛ての DNS パケットを取得した場合は、DNS パケットを変更して、宛先ネットワーク アドレスを mapped_ip に変更するように alias コマンドを設定できます。

alias コマンドは、自動的にネットワーク上の DNS サーバと通信して、エイリアスが設定された IP アドレスへのドメイン名によるアクセスを透過的に処理します。

real_ip IP アドレスと mapped_ip IP アドレスにネットワーク アドレスを使用して、ネット エイリアスを指定します。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1 ~ 209.165.201.30 の各 IP アドレスのエイリアスが作成されます。

static コマンドと access-list コマンドで alias mapped_ip アドレスにアクセスするには、access-list コマンドで、許可されるトラフィックの発信元アドレスとして mapped_ip アドレスを指定します。次に例を示します。

hostname(config)# alias (inside) 192.168.201.1 209.165.201.1 255.255.255.255
hostname(config)# static (inside,outside) 209.165.201.1 192.168.201.1 netmask 255.255.255.255
hostname(config)# access-list acl_out permit tcp host 192.168.201.1 host 209.165.201.1 eq ftp-data
hostname(config)# access-group acl_out in interface outside
 

内部アドレス 192.168.201.1 を宛先アドレス 209.165.201.1 にマッピングして、エイリアスを指定しています。

内部ネットワーク クライアント 209.165.201.2 が example.com に接続すると、内部クライアントのクエリーに対する外部 DNS サーバからの DNS 応答が適応型セキュリティ アプライアンスによって 192.168.201.29 に変更されます。適応型セキュリティ アプライアンスがグローバル プール IP アドレスとして 209.165.200.225 ~ 209.165.200.254 を使用する場合、パケットは SRC=209.165.201.2 および DST=192.168.201.29 で適応型セキュリティ アプライアンスに送信されます。適応型セキュリティ アプライアンスは、アドレスを外部の SRC=209.165.200.254 と DST=209.165.201.29 に変換します。

次に、内部ネットワークに IP アドレス 209.165.201.29 が含まれている例を示します。このアドレスはインターネット上にあり、example.com に属しています。内部クライアントが example.com にアクセスしようとしても、209.165.201.29 はローカルの内部ネットワーク上にあると見なされるため、パケットは適応型セキュリティ アプライアンスに送信されません。この動作を修正するには、 alias コマンドを次のように使用します。

hostname(config)# alias (inside) 192.168.201.0 209.165.201.0 255.255.255.224
 
hostname(config)# show running-config alias
alias 192.168.201.0 209.165.201.0 255.255.255.224
 

次に、内部の 10.1.1.11 にある Web サーバと 209.165.201.11 で作成された static コマンドの例を示します。ソース ホストは外部にあり、アドレスは 209.165.201.7 です。外部の DNS サーバには、次に示すように www.example.com のレコードがあります。

dns-server# www.example.com. IN A 209.165.201.11
 

ドメイン名 www.example.com. の末尾のピリオドは必須です。

次に、alias コマンドの使用例を示します。

hostname(config)# alias 10.1.1.11 209.165.201.11 255.255.255.255
 

適応型セキュリティ アプライアンスは、ネーム サーバ応答を 10.1.1.11 に変更して、 内部クライアントが Web サーバに直接接続できるようにします。

アクセスを可能にするには、次のコマンドも必要です。

hostname(config)# static (inside,outside) 209.165.201.11 10.1.1.11
 
hostname(config)# access-list acl_grp permit tcp host 209.165.201.7 host 209.165.201.11 eq telnet
hostname(config)# access-list acl_grp permit tcp host 209.165.201.11 eq telnet host 209.165.201.7
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストを作成します。

clear configure alias

すべての alias コマンドをコンフィギュレーションから削除します。

show running-config alias

コンフィギュレーション内の、デュアル NAT コマンドで使用する重複アドレスを表示します。

static

ローカル IP アドレスをグローバル IP アドレスに、またはローカル ポートをグローバル ポートにマッピングすることによって、1 対 1 のアドレス変換ルールを設定します。

allocate-interface

インターフェイスをセキュリティ コンテキストに割り当てるには、コンテキスト コンフィギュレーション モードで allocate-interface コマンドを使用します。インターフェイスをコンテキストから削除するには、このコマンドの no 形式を使用します。

allocate-interface physical_interface [ map_name ] [ visible | invisible ]

no allocate-interface physical_interface

allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ map_name [ - map_name ]] [ visible | invisible ]

no allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ]

 
構文の説明

invisible

(デフォルト)コンテキスト ユーザが show interface コマンドでマッピング名(設定されている場合)だけを表示できるようにします。

map_name

(任意)マッピング名を設定します。

map_name は、インターフェイス ID の代わりにコンテキスト内で使用できるインターフェイスの英数字のエイリアスです。マッピング名を指定しない場合、インターフェイス ID がコンテキスト内で使用されます。セキュリティのために、コンテキストで使用されているインターフェイスをコンテキスト管理者に知らせない場合があります。

マッピング名はアルファベットで始まり、アルファベットまたは数字で終わる必要があります。その間の文字には、アルファベット、数字、または下線のみを使用できます。たとえば、次の名前を使用できます。

int0
 
inta
 
int_0
 

サブインターフェイスの場合は、マッピング名の範囲を指定できます。

範囲の詳細については、「使用上のガイドライン」を参照してください。

physical_interface

gigabit ethernet0/1 などのインターフェイス ID を設定します。使用できる値については、 interface コマンドを参照してください。インターフェイス タイプとポート番号の間にスペースを含めないでください。

subinterface

サブインターフェイス番号を設定します。サブインターフェイスの範囲を指定できます。

visible

(任意)マッピング名を設定した場合でも、コンテキスト ユーザが show interface コマンドで物理インターフェイスのプロパティを表示できるようにします。

 
デフォルト

マッピング名を設定した場合、デフォルトでは、 show interface コマンドの出力にインターフェイス ID は表示されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを複数回入力して、異なる範囲を指定できます。マッピング名または表示設定を変更するには、特定のインターフェイス ID に対してコマンドを再入力し、新しい値を設定します。 no allocate-interface コマンドを入力して最初からやり直す必要はありません。 allocate-interface コマンドを削除すると、適応型セキュリティ アプライアンスによって、コンテキスト内のインターフェイス関連のコンフィギュレーションがすべて削除されます。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。


) トランスペアレント モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをインターフェイスにフラッディングしません。


ルーテッド モードでは、必要に応じて同じインターフェイスを複数のコンテキストに割り当てることができます。トランスペアレント モードでは、インターフェイスを共有できません。

サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。

マッピング名は、アルファベット部分と、それに続く数値部分で構成する必要があります。マッピング名のアルファベット部分は、範囲の両端で一致している必要があります。たとえば、次のような範囲を入力します。

int0-int10
 

たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力した場合、コマンドは失敗します。

マッピング名の数値部分には、サブインターフェイスの範囲と同じ個数の数値を含める必要があります。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。

gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100
 

たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力した場合、コマンドは失敗します。

次に、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 ~ gigabitethernet0/1.305 をコンテキストに割り当てる例を示します。マッピング名は、int1 ~ int8 です。

hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

vlan

サブインターフェイスに VLAN ID を割り当てます。

allocate-ips

AIP SSM がインストールされている場合に、IPS 仮想センサーをセキュリティ コンテキストに割り当てるには、コンテキスト コンフィギュレーション モードで allocate-ips コマンドを使用します。仮想センサーをコンテキストから削除するには、このコマンドの no 形式を使用します。

allocate-ips sensor_name [ mapped_name ] [ default ]

no allocate-ips sensor_name [ mapped_name ] [ default ]

 
構文の説明

default

(任意)コンテキストごとに 1 つのセンサーをデフォルト センサーとして設定します。コンテキスト コンフィギュレーションでセンサー名が指定されていない場合は、コンテキストでこのデフォルト センサーが使用されます。コンテキストごとに設定できるデフォルト センサーは 1 つのみです。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して現在のデフォルト センサーを削除してから、新しいデフォルト センサーを割り当てます。センサーをデフォルトとして指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、トラフィックは AIP SSM のデフォルト センサーを使用します。

mapped_name

(任意)コンテキスト内で実際のセンサー名の代わりに使用できるセンサー名のエイリアスとして、マッピング名を設定します。マッピング名を指定しない場合、センサー名がコンテキスト内で使用されます。セキュリティのために、コンテキストで使用されているセンサーをコンテキスト管理者に知らせない場合があります。または、コンテキスト コンフィギュレーションを一般化する場合もあります。たとえば、すべてのコンテキストで「sensor1」および「sensor2」というセンサーを使用する場合、コンテキスト A の sensor1 と sensor2 に「highsec」センサーと「lowsec」センサーをマッピングし、コンテキスト B の sensor1 と sensor2 に「medsec」センサーと「lowsec」センサーをマッピングできます。

sensor_name

AIP SSM に設定されているセンサー名を設定します。AIP SSM に設定されているセンサーを表示するには、 allocate-ips ? と入力します。使用可能なすべてのセンサーが表示されます。 show ips コマンドを入力することもできます。システム実行スペースで show ips コマンドを入力すると、使用可能なすべてのセンサーが表示されます。このコマンドをコンテキストで入力すると、そのコンテキストにすでに割り当てられているセンサーが表示されます。AIP SSM にまだ存在しないセンサー名を指定した場合は、エラーが表示されますが、 allocate-ips コマンドはそのまま入力されます。AIP SSM にその名前のセンサーが作成されるまで、コンテキストはそのセンサーがダウンしていると見なします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

コンテキスト コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

各コンテキストに 1 つ以上の IPS 仮想センサーを割り当てることができます。その後、 ips コマンドを使用して AIP SSM にトラフィックを送信するようにコンテキストを設定するときに、コンテキストに割り当てられているセンサーを指定できます。コンテキストに割り当てられていないセンサーは指定できません。コンテキストにセンサーが割り当てられていない場合は、AIP SSM に設定されているデフォルト センサーが使用されます。同じセンサーを複数のコンテキストに割り当てることができます。


) 仮想センサーを使用するためにマルチ コンテキスト モードを開始する必要はありません。シングル モードでトラフィック フローごとに異なるセンサーを使用できます。


次に、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当てる例を示します。両方のコンテキストで、センサー名を「ips1」と「ips2」にマッピングします。コンテキスト A では sensor1 をデフォルト センサーとして設定しますが、コンテキスト B ではデフォルトを設定しないため、AIP SSM に設定されているデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

ips

トラフィックをインスペクションのために AIP SSM に転送します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

show ips

AIP SSM に設定されている仮想センサーを表示します。

anyconnect-essentials

適応型セキュリティ アプライアンスの AnyConnect Essentials をイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードで anyconnect-essentials コマンドを使用します。AnyConnect Essentials の使用をディセーブルにし、代わりにプレミアム AnyConnect クライアントをイネーブルにするには、このコマンドの no 形式を使用します。

anyconnect-essentials

no anyconnect-essentials

 
デフォルト

AnyConnect Essentials は、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドでは、完全な AnyConnect クライアント ライセンスがインストールされていることを前提として、AnyConnect SSL VPN Client 全体の使用と AnyConnect Essentials SSL VPN Client の使用を切り替えます。AnyConnect Essentials は、個別にライセンス供与される SSL VPN クライアントで、すべて適応型セキュリティ アプライアンス上に設定されます。プレミアム AnyConnect の機能を提供しますが、次の例外があります。

CSD(HostScan/Vault/Cache Cleaner を含む)は提供されません。

クライアントレス SSL VPN は提供されません。

AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、Windows XP、Windows 2000、Linux、または Macintosh OS X を実行しているリモート エンド ユーザに Cisco SSL VPN Client の利点をもたらします。

AnyConnect Essentials ライセンスは、 anyconnect-essentials コマンドを使用してイネーブルまたはディセーブルにします。このコマンドは、AnyConnect Essentials ライセンスが適応型セキュリティ アプライアンスにインストールされている場合にのみ有効です。このライセンスがない場合は、このコマンドを実行すると次のエラー メッセージが表示されます。

ERROR: Command requires AnyConnect Essentials license
 

) このコマンドは、AnyConnect Essentials の使用をイネーブルまたはディセーブルにするだけです。AnyConnect Essentials ライセンス自体は、anyconnect-essentials コマンドの設定の影響を受けません。


AnyConnect Essentials ライセンスがイネーブルの場合、AnyConnect クライアントは Essentials モードを使用し、クライアントレス SSL VPN アクセスはディセーブルになります。AnyConnect Essentials ライセンスがディセーブルの場合、AnyConnect クライアントは完全な AnyConnect SSL VPN Client ライセンスを使用します。

アクティブなクライアントレス SSL VPN 接続がある場合に AnyConnect Essentials ライセンスをイネーブルにすると、すべての接続がログオフするため、接続を再確立する必要があります。

次に、ユーザが webvpn コンフィギュレーション モードを開始して AnyConnect Essentials VPN Client をイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# anyconnect-essentials

apcf

Application Profile Customization Framework プロファイルをイネーブルにするには、webvpn コンフィギュレーション モードで apcf コマンドを使用します。特定の APCF スクリプトをディセーブルにするには、このコマンドの no 形式を使用します。すべての APCF スクリプトをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。

apcf URL/filename.ext

no apcf [ URL/ filename.ext]

 
構文の説明

filename.extension

APCF カスタマイゼーション スクリプトの名前を指定します。これらのスクリプトは、常に XML 形式です。拡張子は、.xml、.txt、.doc などです。

URL

適応型セキュリティ アプライアンスでロードして使用する APCF プロファイルの場所を指定します。http://、https://、tftp://、ftp://、flash:/、disk#:/' のいずれかの URL を使用します。

URL には、サーバ、ポート、およびパスを含めることができます。ファイル名のみを指定した場合、デフォルトの URL は flash:/ です。 copy コマンドを使用して、APCF プロファイルをフラッシュ メモリにコピーできます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、このコマンドを入力するモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

apcf コマンドを使用すると、セキュリティ アプライアンスは、非標準の Web アプリケーションと Web リソースを WebVPN 接続で正しくレンダリングされるように処理できます。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、どのデータを変換するかを指定するスクリプトがあります。

適応型セキュリティ アプライアンスで複数の APCF プロファイルを使用できます。その場合、適応型セキュリティ アプライアンスは、それらのプロファイルを古いものから新しいものの順に 1 つずつ適用します。

apcf コマンドは、Cisco TAC のサポートがある場合にのみ使用することを推奨します。

次に、フラッシュ メモリの /apcf にある apcf1 という名前の APCF をイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
hostname(config-webvpn)#
 

次に、myserver という名前の https サーバ(ポート 1440)のパス /apcf にある apcf2.xml という名前の APCF をイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

proxy-bypass

特定のアプリケーションについてコンテンツの最低限の書き換えを設定します。

rewrite

トラフィックが適応型セキュリティ アプライアンスを通過するかどうかを決定します。

show running config webvpn apcf

APCF 設定を表示します。

appl-acl

セッションに適用する設定済みの Web タイプ ACL を指定するには、DAP webvpn コンフィギュレーション モードで appl-acl コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。すべての Web タイプ ACL を削除するには、このコマンドの no 形式を引数なしで使用します。

appl-acl identifier

no appl-acl [ identifier ]

 
構文の説明

identifier

設定済みの Web タイプ ACL の名前(最大 240 文字)。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP webvpn コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

Web タイプ ACL を設定するには、グローバル コンフィギュレーション モードで access-list_webtype コマンドを使用します。

appl-acl コマンドを複数回使用して、複数の Web タイプ ACL を DAP ポリシーに適用できます。

次に、newacl という名前の設定済みの Web タイプ ACL をダイナミック アクセス ポリシーに適用する例を示します。

hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dynamic-access-policy-record)# appl-acl newacl
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

access-list_webtype

Web タイプ ACL を作成します。

application-access

認証された WebVPN ユーザに表示される WebVPN ホームページの [Application Access] フィールド、およびユーザがアプリケーションを選択したときに表示される [Application Access] ウィンドウをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで application-access コマンドを使用します。このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access { title | message | window } { text | style } value

no application-access { title | message | window } { text | style } value

 
構文の説明

message

[Application Access] フィールドのタイトルの下に表示されるメッセージを変更します。

style

[Application Access] フィールドのスタイルを変更します。

text

[Application Access] フィールドのテキストを変更します。

title

[Application Access] フィールドのタイトルを変更します。

value

実際の表示テキスト(最大 256 文字)、または Cascading Style Sheet(CSS; カスケーディング スタイル シート)パラメータ(最大 256 文字)です。

window

[Application Access] ウィンドウを変更します。

 
デフォルト

[Application Access] フィールドのデフォルトのタイトル テキストは「Application Access」です。

[Application Access] フィールドのデフォルトのタイトル スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase

[Application Access] フィールドのデフォルトのメッセージ テキストは「Start Application Client」です。

[Application Access] フィールドのデフォルトのメッセージ スタイルは次のとおりです。

background-color:#99CCCC;color:maroon;font-size:smaller.

[Application Access] ウィンドウのデフォルトのウィンドウ テキストは次のとおりです。

「Close this window when you finish using Application Access.Please wait for the table to be displayed before starting applications.」

[Application Access] ウィンドウのデフォルトのウィンドウ スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用してアクセスします。

style オプションは、有効な Cascading Style Sheet(CSS; カスケーディング スタイル シート)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

次に、WebVPN ページに対する変更で最もよく行われるページ配色の変更に役立つヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。


次に、[Application Access] フィールドの背景色を RGB 16 進値 66FFFF(緑色の一種)にカスタマイズする例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# application-access title style background-color:#66FFFF

 
関連コマンド

コマンド
説明

application-access hide-details

[Application Access] ウィンドウのアプリケーション詳細の表示をイネーブルまたはディセーブルにします。

browse-networks

WebVPN ホームページの [Browse Networks] フィールドをカスタマイズします。

file-bookmarks

WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] フィールドをカスタマイズします。

web-bookmarks

WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。

application-access hide-details

WebVPN の [Application Access] ウィンドウに表示されるアプリケーション詳細を非表示にするには、カスタマイゼーション コンフィギュレーション モードで application-access hide-details コマンドを使用します。このモードには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用してアクセスします。このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

application-access hide - details {enable | disable}

no application-access [ hide - details {enable | disable}]

 
構文の説明

disable

[Application Access] ウィンドウにアプリケーション詳細を表示します。

enable

[Application Access] ウィンドウのアプリケーション詳細を非表示にします。

 
デフォルト

デフォルトはディセーブルです。[Application Access] ウィンドウにアプリケーション詳細が表示されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次に、アプリケーション詳細の表示をディセーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# application-access hide-details disable

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] フィールドをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] フィールドをカスタマイズします。

web-applications

WebVPN ホームページの [Web Application] フィールドをカスタマイズします。

area

OSPF エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。

area area_id

no area area_id

 
構文の説明

area_id

作成するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

作成したエリアには、パラメータが設定されていません。関連する area コマンドを使用してエリア パラメータを設定します。

次に、エリア ID が 1 の OSPF エリアを作成する例を示します。

hostname(config-router)# area 1
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

area nssa

エリアを Not-So-Stubby Area(NSSA)として定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area authentication

OSPF エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで area authentication コマンドを使用します。

エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id authentication [ message-digest ]

no area area_id authentication [ message-digest ]

 
構文の説明

area_id

認証をイネーブルにするエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

message-digest

(任意) area_id で指定したエリアに対する Message Digest 5(MD5)認証をイネーブルにします。

 
デフォルト

エリア認証はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定した OSPF エリアが存在しない場合は、このコマンドを入力すると作成されます。 message-digest キーワードを指定せずに area authentication コマンドを入力した場合は、簡易パスワード認証がイネーブルになります。 message-digest キーワードを指定すると、MD5 認証がイネーブルになります。

次に、エリア 1 に対して MD5 認証をイネーブルにする例を示します。

hostname(config-router)# area 1 authentication message-digest
hostname(config-router)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area default-cost

スタブまたは NSSA に送信されるデフォルト集約ルートのコストを指定するには、ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。

area area_id default-cost cost

no area area_id default-cost

 
構文の説明

area_id

デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

cost

スタブまたは NSSA に使用されるデフォルト集約ルートのコストを指定します。有効な値の範囲は、0 ~ 65535 です。

 
デフォルト

cost のデフォルト値は 1 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

次に、スタブまたは NSSA に送信される集約ルートのデフォルト コストを指定する例を示します。

hostname(config-router)# area 1 default-cost 5
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area nssa

エリアを Not-So-Stubby Area(NSSA)として定義します。

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area filter-list prefix

ABR の OSPF エリア間のタイプ 3 LSA でアドバタイズされたプレフィクスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。

area area_id filter-list prefix list_name { in | out }

no area area_id filter-list prefix list_name { in | out }

 
構文の説明

area_id

フィルタリングを設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

in

指定したエリアに着信するアドバタイズされたプレフィクスに、設定済みプレフィクス リストを適用します。

list_name

プレフィクス リストの名前 を指定します。

out

指定したエリアから発信されるアドバタイズされたプレフィクスに、設定済みプレフィクス リストを適用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

タイプ 3 LSA のみをフィルタリングできます。プライベート ネットワークに ASBR が設定されている場合、ASBR はプライベート ネットワークを記述するタイプ 5 LSA を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッディングされます。

次に、他のすべてのエリアからエリア 1 に送信されるプレフィクスをフィルタリングする例を示します。

hostname(config-router)# area 1 filter-list prefix-list AREA_1 in
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area nssa

エリアを NSSA として設定するには、ルータ コンフィギュレーション モードで area nssa コマンドを使用します。NSSA 指定をエリアから削除するには、このコマンドの no 形式を使用します。

area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]

 
構文の説明

area_id

NSSA として指定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

default-information-originate

NSSA エリアでのタイプ 7 デフォルトの生成に使用します。このキーワードは、NSSA ABR または NSSA ASBR でのみ有効です。

metric metric_value

(任意)OSPF デフォルト メトリック値を指定します。有効な値の範囲は、0 ~ 16777214 です。

metric-type { 1 | 2 }

(任意)デフォルト ルートの OSPF メトリック タイプ。有効な値は次のとおりです。

1 :タイプ 1

2 :タイプ 2

デフォルト値は 2 です。

no-redistribution

(任意)ルータが NSSA ABR の場合、 redistribute コマンドを使用して、ルートを NSSA エリアでなく通常のエリアにのみ取り込む場合に使用します。

no-summary

(任意)エリアを Not-So-Stubby Area(NSSA)とし、集約ルートが挿入されないようにします。

 
デフォルト

デフォルトの設定は次のとおりです。

NSSA エリアは未定義です。

metric-type は 2 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

エリアに 1 つのオプションを設定し、後で別のオプションを指定した場合、両方のオプションが設定されます。たとえば、次の 2 のコマンドを別々に入力した場合、コンフィギュレーションには、両方のオプションを指定した 1 つのコマンドが設定されます。

area 1 nssa no-redistribution
area area_id nssa default-information-originate
 

次に、2 つのオプションを別々に設定すると、1 つのコマンドがコンフィギュレーションに設定される例を示します。

hostname(config-router)# area 1 nssa no-redistribution
hostname(config-router)# area 1 nssa default-information-originate
hostname(config-router)# exit
hostname(config-router)# show running-config router ospf 1
router ospf 1
area 1 nssa no-redistribution default-information-originate
 

 
関連コマンド

コマンド
説明

area stub

エリアをスタブ エリアとして定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area range

エリア境界でルートを統合および集約するには、ルータ コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id range address mask [ advertise | not-advertise ]

no area area_id range address mask [ advertise | not-advertise ]

 
構文の説明

address

サブネット範囲の IP アドレス。

advertise

(任意)Type 3 サマリー LSA をアドバタイズおよび生成するように、アドレス範囲ステータスを設定します。

area_id

範囲を設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

mask

IP アドレスのサブネット マスク。

not-advertise

(任意)アドレス範囲ステータスを DoNotAdvertise に設定します。Type 3 サマリー LSA は抑制され、コンポーネント ネットワークは他のネットワークから隠された状態のままです。

 
デフォルト

アドレス範囲ステータスは advertise に設定されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。

area range コマンドは、ABR でのみ使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は ルート集約 と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。したがって、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。

no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードのみを削除します。

次に、ネットワーク 10.0.0.0 上のすべてのサブネットおよびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つの集約ルートを、ABR によって他のエリアにアドバタイズするように指定する例を示します。

hostname(config-router)# area 10.0.0.0 range 10.0.0.0 255.0.0.0
hostname(config-router)# area 0 range 192.168.110.0 255.255.255.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area stub

エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリア機能を削除するには、このコマンドの no 形式を使用します。

area area_id [ no-summary ]

no area area_id [ no-summary ]

 
構文の説明

area_id

スタブ エリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

no-summary

ABR がサマリー リンク アドバタイズメントをスタブ エリアに送信しないようにします。

 
デフォルト

デフォルトの動作は次のとおりです。

スタブ エリアは定義されません。

サマリー リンク アドバタイズメントはスタブ エリアに送信されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドは、スタブまたは NSSA に接続された ABR でのみ使用されます。

スタブ エリア ルータ コンフィギュレーション コマンドには、area stub および area default-cost という 2 つのコマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続された ABR でのみ area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成される集約デフォルト ルートのメトリックをスタブ エリアに提供します。

次に、指定したエリアをスタブ エリアとして設定する例を示します。

hostname(config-router)# area 1 stub
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area default-cost

スタブまたは NSSA に送信されるデフォルト集約ルートのコストを指定します。

area nssa

エリアを Not-So-Stubby Area(NSSA)として定義します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

area virtual-link

OSPF 仮想リンクを定義するには、ルータ コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットするか、または仮想リンクを削除するには、このコマンドの no 形式を使用します。

area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]

no area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]

 
構文の説明

area_id

仮想リンクの中継エリアのエリア ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値の範囲は 0 ~ 4294967295 です。

authentication

(任意)認証タイプを指定します。

authentication-key key

(任意)ネイバー ルーティング デバイスで使用する OSPF 認証パスワードを指定します。

dead-interval seconds

(任意)hello パケットを受信しない場合に、ネイバー ルーティング デバイスがダウンしたことを宣言するまでの間隔を指定します。有効な値は、1 ~ 65535 秒です。

hello-interval seconds

(任意)インターフェイスで送信される hello パケット間の間隔を指定します。有効な値は、1 ~ 65535 秒です。

md5 key

(任意)最大 16 バイトの英数字のキーを指定します。

message-digest

(任意)メッセージ ダイジェスト認証を使用することを指定します。

message-digest-key key_id

(任意)Message Digest 5(MD5)認証をイネーブルにし、認証キー ID 番号を指定します。有効な値は、1 ~ 255 です。

null

(任意)認証を使用しないことを指定します。パスワードまたはメッセージ ダイジェスト認証は、OSPF エリアに設定されている場合、上書きされます。

retransmit-interval seconds

(任意)インターフェイスに属している隣接ルータの LSA 再送信の間隔を指定します。有効な値は、1 ~ 65535 秒です。

router_id

仮想リンク ネイバーに関連付けられているルータ ID。ルータ ID は、各ルータによって内部でインターフェイス IP アドレスから生成されます。この値は、IP アドレスの形式で入力する必要があります。デフォルト設定はありません。

transmit-delay seconds

(任意)OSPF がトポロジ変更を受信してから、Shortest Path First(SPF)計算を開始するまでの遅延時間を 0 ~ 65535 秒で指定します。デフォルト値は 5 秒です。

 
デフォルト

デフォルトの設定は次のとおりです。

area_id :エリア ID は事前に定義されていません。

router_id :ルータ ID は事前に定義されていません。

hello-interval seconds :10 秒。

retransmit-interval seconds :5 秒。

transmit-delay seconds :1 秒。

dead-interval seconds :40 秒。

authentication-key key :キーは事前に定義されていません。

message-digest-key key_id md5 key :キーは事前に定義されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。

hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。

再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。

指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にのみ使用されます。

簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらか一方を指定するか、または両方とも指定しないでください。 authentication-key key または message-digest-key key_id md5 key の後に指定したキーワードと引数は、すべて無視されます。したがって、オプションの引数は、これらのキーワードと引数の組み合わせの前に指定します。

インターフェイスに認証タイプが指定されていない場合、インターフェイスでは、エリアに指定されている認証タイプが使用されます。エリアに認証タイプが指定されていない場合、エリアのデフォルトはヌル認証です。


) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク ネイバー ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。


仮想リンクからオプションを削除するには、削除するオプションを指定して、このコマンドの no 形式を使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。

次に、MD5 認証の仮想リンクを確立する例を示します。

hostname(config-router)# area 10.0.0.0 virtual-link 10.3.4.5 message-digest-key 3 md5 sa5721bk47
 

 
関連コマンド

コマンド
説明

area authentication

OSPF エリアの認証をイネーブルにします。

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

show running-config router

グローバル ルータ コンフィギュレーション内のコマンドを表示します。

arp

スタティック ARP エントリを ARP テーブルに追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。スタティック ARP エントリは、MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトせず、ネットワーク問題の解決に役立つ場合があります。トランスペアレント ファイアウォール モードでは、ARP インスペクションでスタティック ARP テーブルが使用されます( arp-inspection コマンドを参照)。

arp interface_name ip_address mac_address [ alias ]

no arp interface_name ip_address mac_address

 
構文の説明

alias

(任意)このマッピングに対してプロキシ ARP をイネーブルにします。適応型セキュリティ アプライアンスは、指定された IP アドレスに対する ARP 要求を受信すると、適応型セキュリティ アプライアンスの MAC アドレスで応答します。その IP アドレスを持つホスト宛てのトラフィックを適応型セキュリティ アプライアンスが受信すると、適応型セキュリティ アプライアンスは、トラフィックをこのコマンドで指定されたホスト MAC アドレスに転送します。このキーワードは、ARP を実行しないデバイスがある場合などに役立ちます。

トランスペアレント ファイアウォール モードでは、このキーワードは無視され、適応型セキュリティ アプライアンスでプロキシ ARP は実行されません。

interface_name

ホスト ネットワークに接続されているインターフェイス。

ip_address

ホストの IP アドレス。

mac_address

ホストの MAC アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、エントリは更新される前にタイムアウトします。


) トランスペアレント ファイアウォール モードの場合、適応型セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。


次に、外部インターフェイス上の 10.1.1.1 と MAC アドレス 0009.7cbe.2100 のスタティック ARP エントリを作成する例を示します。

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
 

 
関連コマンド

コマンド
説明

arp timeout

適応型セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp timeout

適応型セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることが必要になる場合があります。

arp timeout seconds

no arp timeout seconds

 
構文の説明

seconds

ARP テーブルを再構築する間隔の秒数(60 ~ 4294967)。

 
デフォルト

デフォルト値は 14,400 秒(4 時間)です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次に、ARP タイムアウトを 5,000 秒に変更する例を示します。

hostname(config)# arp timeout 5000
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp timeout

ARP タイムアウトの現在のコンフィギュレーションを表示します。

arp-inspection

トランスペアレント ファイアウォール モードでの ARP インスペクションをイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。ARP インスペクションでは、すべての ARP パケットをスタティック ARP エントリと照合し( arp コマンドを参照)、一致しないパケットをブロックします。この機能により、ARP スプーフィングが防止されます。

arp-inspection interface_name enable [ flood | no-flood ]

no arp-inspection interface_name enable

 
構文の説明

enable

ARP インスペクションをイネーブルにします。

flood

(デフォルト)スタティック ARP エントリのどの要素とも一致しないパケットをすべてのインターフェイス(発信元インターフェイスを除く)にフラッディングすることを指定します。MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、適応型セキュリティ アプライアンスはパケットをドロップします。

(注) 管理専用のインターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

interface_name

ARP インスペクションをイネーブルにするインターフェイス。

no-flood

(任意)スタティック ARP エントリと正確には一致しないパケットをドロップすることを指定します。

 
デフォルト

デフォルトでは、ARP インスペクションはすべてのインターフェイスでディセーブルになっています。すべての ARP パケットは適応型セキュリティ アプライアンスを通過できます。ARP インスペクションをイネーブルにすると、一致しない ARP パケットはデフォルトでフラッディングされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ARP インスペクションをイネーブルにする前に、 arp コマンドを使用してスタティック ARP エントリを設定します。

ARP インスペクションをイネーブルにすると、適応型セキュリティ アプライアンスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。

MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、適応型セキュリティ アプライアンスはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするように適応型セキュリティ アプライアンスを設定できます。


) 専用の管理インターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。


ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングは、「中間者」攻撃をイネーブルにすることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。


) トランスペアレント ファイアウォール モードの場合、適応型セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。


次に、外部インターフェイスにおける ARP インスペクションをイネーブルにし、スタティック ARP エントリに一致しない ARP パケットをドロップするように適応型セキュリティ アプライアンスを設定する例を示します。

hostname(config)# arp outside 209.165.200.225 0009.7cbe.2100
hostname(config)# arp-inspection outside enable no-flood
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

clear configure arp-inspection

ARP インスペクションのコンフィギュレーションをクリアします。

firewall transparent

ファイアウォール モードをトランスペアレントに設定します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

asdm disconnect

アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。

asdm disconnect session

 
構文の説明

session

終了するアクティブな ASDM セッションのセッション ID。 show asdm sessions コマンドを使用して、すべてのアクティブな ASDM セッションのセッション ID を表示できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

pdm disconnect コマンドが asdm disconnect コマンドに変更されました。

 
使用上のガイドライン

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。

ASDM セッションを終了しても、残りのアクティブな ASDM セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM セッションにはセッション ID 1 が割り当てられ、その後の新しいセッションにはセッション ID 3 から順に ID が割り当てられます。

次に、セッション ID が 0 の ASDM セッションを終了する例を示します。 asdm disconnect コマンドの入力の前後に、 show asdm sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。

hostname# show asdm sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm sessions

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示します。

asdm disconnect log_session

アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。

asdm disconnect log_session session

 
構文の説明

session

終了するアクティブな ASDM ロギング セッションのセッション ID。 show asdm log_sessions コマンドを使用して、すべてのアクティブな ASDM セッションのセッション ID を表示できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。

アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、ロギング セッションを使用して、適応型セキュリティ アプライアンスから syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶ場合があります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。


) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessionsshow asdm log_sessions の出力は同じ内容になる場合もあります。


ASDM ロギング セッションを終了しても、残りのアクティブな ASDM ロギング セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM ロギング セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM ロギング セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM ロギング セッションにはセッション ID 1 が割り当てられ、その後の新しいロギング セッションにはセッション ID 3 から順に ID が割り当てられます。

次に、セッション ID が 0 の ASDM セッションを終了する例を示します。 asdm disconnect log_sessions コマンドの入力の前後に、 show asdm log_sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。

hostname# show asdm log_sessions
 
0 192.168.1.1
1 192.168.1.2
hostname# asdm disconnect 0
hostname# show asdm log_sessions
 
1 192.168.1.2
 

 
関連コマンド

コマンド
説明

show asdm log_sessions

アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示します。

asdm history enable

ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。

asdm history enable

no asdm history enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

pdm history enable コマンドが asdm history enable コマンドに変更されました。

 
使用上のガイドライン

ASDM 履歴トラッキングをイネーブルにすることによって取得された情報は、ASDM 履歴バッファに保存されます。この情報は、 show asdm history コマンドを使用して表示できます。履歴情報は、ASDM によってデバイス モニタリングに使用されます。

次に、ASDM 履歴トラッキングをイネーブルにする例を示します。

hostname(config)# asdm history enable
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm history

ASDM 履歴バッファの内容を表示します。

asdm image

フラッシュ メモリ内の ASDM ソフトウェア イメージの場所を指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの場所を削除するには、このコマンドの no 形式を使用します。

asdm image url

no asdm image [ url ]

 
構文の説明

url

フラッシュ メモリ内の ASDM イメージの場所を設定します。次の URL 構文を参照してください。

disk0:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は内部フラッシュ メモリを指します。 disk0 ではなく flash を使用することもできます。これらは、エイリアス関係にあります。

disk1:/ [ path / ] filename

ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、この URL は外部フラッシュ メモリ カードを指します。

flash:/ [ path / ] filename

この URL は内部フラッシュ メモリを指します。

 
デフォルト

このコマンドをスタートアップ コンフィギュレーションに含めない場合、適応型セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内部フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、適応型セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

フラッシュ メモリに複数の ASDM ソフトウェア イメージを保存できます。アクティブな ASDM セッションがある状態で asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定した場合、アクティブな ASDM セッションは中断されず、そのセッションを開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、適応型セキュリティ アプライアンスから引き続き ASDM にアクセスできます。

このコマンドをスタートアップ コンフィギュレーションに含めない場合、適応型セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内部フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、適応型セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。 write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しない場合、リブートのたびに適応型セキュリティ アプライアンスは ASDM イメージを検索し、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用する場合は、起動時にこのコマンドが自動的に追加されるため、適応型セキュリティ アプライアンス上のコンフィギュレーションは Auto Update Server 上のコンフィギュレーションと一致しなくなります。このような不一致が発生すると、適応型セキュリティ アプライアンスはコンフィギュレーションを Auto Update Server からダウンロードします。不要な Auto Update アクティビティを回避するには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存します。

次に、ASDM イメージを asdm.bin に設定する例を示します。

hostname(config)# asdm image flash:/asdm.bin
hostname(config)#
 

 
関連コマンド

コマンド
説明

show asdm image

現在の ASDM イメージ ファイルを表示します。

boot

ソフトウェア イメージとスタートアップ コンフィギュレーション ファイルを設定します。

asdm location


注意 このコマンドを手動で設定しないでください。asdm location コマンドは ASDM によって実行コンフィギュレーションに追加され、内部通信に使用されます。このコマンドは、情報提供のためだけにこのマニュアルに記載されています。

asdm location ip_addr netmask if_name

asdm location ipv6_addr / prefix if_name

 
構文の説明

ip_addr

ネットワーク トポロジを定義するために ASDM によって内部で使用される IP アドレス。

netmask

ip_addr のサブネット マスク。

if_name

最もセキュリティの高いインターフェイスの名前。最もセキュリティの高いインターフェイスが複数ある場合は、物理インターフェイス ID が最も小さいインターフェイスが選択されます。

ipv6_addr / prefix

ネットワーク トポロジを定義するために ASDM によって内部で使用される IPv6 アドレスとプレフィクス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

pdm location コマンドが asdm location コマンドに変更されました。

 
使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

asr-group

非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。

asr-group group_id

no asr-group group_id

 
構文の説明

group_id

非対称ルーティング グループ ID。有効な値は、1 ~ 32 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

Active/Active フェールオーバーがイネーブルの場合、ロード バランシングにより、発信接続のリターン トラフィックがピア ユニット上のアクティブなコンテキストを介してルーティングされることがあります。このピア ユニットでは、発信接続のコンテキストはスタンバイ グループ内にあります。

asr-group コマンドを使用すると、着信インターフェイスのフローが見つからない場合に、着信パケットが同じ asr-group のインターフェイスで再分類されます。再分類により別のインターフェイスのフローが見つかり、関連付けられているコンテキストがスタンバイ状態の場合、パケットは処理のためにアクティブなユニットに転送されます。

このコマンドを有効にするには、ステートフル フェールオーバーをイネーブルにする必要があります。

ASR 統計情報は、 show interface detail コマンドを使用して表示できます。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれます。

次に、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てる例を示します。

コンテキスト ctx1 のコンフィギュレーション:

hostname/ctx1(config)# interface Ethernet2
hostname/ctx1(config-if)# nameif outside
hostname/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
hostname/ctx1(config-if)# asr-group 1
 

コンテキスト ctx2 のコンフィギュレーション:

hostname/ctx2(config)# interface Ethernet3
hostname/ctx2(config-if)# nameif outside
hostname/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
hostname/ctx2(config-if)# asr-group 1
 

 
関連コマンド

コマンド
説明

interface

インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイス統計情報を表示します。

assertion-consumer-url

セキュリティ デバイスがアサーション コンシューマ サービスに接続するためにアクセスする URL を指定するには、webvpn コンフィギュレーション モードで、特定の SAML-type SSO サーバに対して assertion-consumer-url コマンドを使用します。

この URL をアサーションから削除するには、このコマンドの no 形式を使用します。

assertion-consumer-url url

no assertion-consumer-url [ url ]

 
構文の説明

url

SAML-type SSO サーバで使用するアサーション コンシューマ サービスの URL を指定します。URL は http:// または https: で始まり、255 文字未満の英数字である必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスは現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。

このコマンドは、SAML-type の SSO サーバのみに適用されます。

URL が HTTPS で始まる場合は、アサーション コンシューマ サービスの SSL 証明書のルート証明書をインストールする必要があります。

次に、SAML-type の SSO サーバのアサーション コンシューマ URL を指定する例を示します。

hostname(config-webvpn)# sso server myhostname type saml-v1.1-post
hostname(config-webvpn-sso-saml# assertion-consumer-url https://saml-server/postconsumer
hostname(config-webvpn-sso-saml#

 
関連コマンド

コマンド
説明

issuer

SAML-type の SSO サーバのセキュリティ デバイス名を指定します。

request-timeout

失敗した SSO 認証試行がタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

WebVPN シングル サインオン サーバを作成します。

trustpoint

SAML-type のブラウザ アサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

attribute

適応型セキュリティ アプライアンスが DAP アトリビュート データベースに書き込むアトリビュート値ペアを指定するには、DAP テスト アトリビュート モードで attribute コマンドを使用します。複数のアトリビュート値ペアを入力するには、このコマンドを複数回使用します。

attribute name value

 
構文の説明

name

既知のアトリビュート名、または「label」タグを組み込むアトリビュートを指定します。label タグは、DAP レコード内のファイル、レジストリ、プロセス、アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールのエンドポイント アトリビュートに対して設定するエンドポイント ID に対応します。

value

AAA アトリビュートに割り当てられた値。

 
コマンド デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP アトリビュート コンフィギュレーション モード

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

通常、適応型セキュリティ アプライアンスはユーザ認可アトリビュートを AAA サーバから取得し、エンドポイント アトリビュートを Cisco Secure Desktop、Host Scan、CNA、または NAC から取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。適応型セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートとエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。

次の例では、認証されたユーザが SAP グループのメンバーで、エンドポイント システムにアンチウイルス ソフトウェアがインストールされている場合に、適応型セキュリティ アプライアンスが 2 つの DAP レコードを選択することを前提としています。アンチウイルス ソフトウェアのエンドポイント ルールのエンドポイント ID は nav です。

DAP レコードには、次のポリシー アトリビュートがあります。

 

DAP レコード 1
DAP レコード 2

action = continue

action = continue

port-forward = enable hostlist1

url-list = links2

url-entry = enable

hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)# attribute aaa.ldap.memberof SAP
hostname(config-dap-test-attr)# attribute endpoint.av.nav.exists true
hostname(config-dap-test-attr)# exit
 
hostname # test dynamic-access-policy execute
Policy Attributes:
action = continue
port-forward = enable hostlist1
url-list = links2
url-entry = enable
 
hostname #

 
関連コマンド

コマンド
説明

display

現在のアトリビュート リストを表示します。

dynamic-access-policy-record

DAP レコードを作成します。

test dynamic-access-policy attributes

アトリビュート サブモードを開始します。

test dynamic-access-policy execute

DAP を生成するロジックを実行し、生成されたアクセス ポリシーをコンソールに表示します。

auth-cookie-name

認証クッキーの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで auth-cookie-name コマンドを使用します。これは、HTTP Forms コマンドを使用した SSO です。

auth-cookie-name

 
構文の説明

 
構文の説明構文の説明

name

認証クッキーの名前。名前の最大長は 128 文字です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、シングル サインオン認証要求を SSO サーバに送信します。認証が成功すると、認証 Web サーバは、認証クッキーをクライアント ブラウザに戻します。クライアント ブラウザは、その認証クッキーを提示して、SSO ドメイン内の他の Web サーバの認証を受けます。 auth-cookie-name コマンドは、適応型セキュリティ アプライアンスによって SSO に使用される認証クッキーの名前を設定します。

一般的な認証クッキーの形式は、Set-Cookie: <cookie name>=<cookie value> [;<cookie attributes>] です。次の認証クッキーの例では、SMSESSION が auth-cookie-name コマンドで設定される名前です。

Set-Cookie:
SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZPbHIHtWLDKTa8ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o88uHa2t4l+SillqfJvcpuXfiIAO06D/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;Path=/

次に、example.com という名前の Web サーバから受信した認証クッキーに認証クッキー名 SMSESSION を指定する例を示します。

hostname(config)# aaa-server testgrp1 host example.com
hostname(config-aaa-server-host)# auth-cookie-name SMSESSION
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名とパスワードを受信する Web サーバ URI を指定します。

hidden-parameter

認証 Web サーバとの交換に使用する非表示パラメータを作成します。

password-parameter

SSO 認証用のユーザ パスワードを送信する HTTP POST 要求パラメータの名前を指定します。

start-url

事前ログイン クッキーの取得先 URL を指定します。

user-parameter

ユーザ名パラメータを SSO 認証に使用される HTTP POST 要求の一部として送信する必要があることを指定します。

authenticated-session-username

二重認証がイネーブルになっている場合に、セッションに関連付ける認証ユーザ名を指定するには、トンネル グループ一般アトリビュート モードで authenticated-session-username コマンドを使用します。このアトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authenticated-session-username { primary | secondary }

no authenticated-session-username

 
構文の説明

primary

(デフォルト)プライマリ認証サーバからのユーザ名を使用します。

clientless

セカンダリ認証サーバからのユーザ名を使用します。

 
デフォルト

デフォルト値は primary です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合にのみ有効です。 authenticated-session-username コマンドは、適応型セキュリティ アプライアンスがセッションに関連付けるユーザ名を抽出する認証サーバを選択します。

次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、接続にセカンダリ認証サーバからのユーザ名を使用することを指定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-webvpn)# authenticated-session-username secondary
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

ユーザ名の事前充填機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可のユーザ名として使用する、証明書内のフィールドを指定します。

authentication-attr-from-server

二重認証がイネーブルになっている場合に、接続に適用する認証サーバの認可アトリビュートを指定するには、トンネル グループ一般アトリビュート モードで authentication-attr-from-server コマンドを使用します。このアトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authentication-attr-from-server { primary | secondary }

no authentication-attr-from-server

 
構文の説明

primary

(デフォルト)プライマリ認証サーバを使用します。

secondary

セカンダリ認証サーバを使用します。

 
デフォルト

デフォルト値は primary です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合にのみ有効です。 authentication-attr-from-server コマンドは、適応型セキュリティ アプライアンスが接続に適用する認可アトリビュートを抽出する認証サーバを選択します。

次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPSec リモート アクセス トンネル グループを作成し、接続に適用する認可アトリビュートをセカンダリ認証サーバから入手する必要があることを指定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-webvpn)# authentication-attr-from-server secondary
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

pre-fill-username

ユーザ名の事前充填機能をイネーブルにします。

show running-config tunnel-group

指定されたトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

username-from-certificate

認可のユーザ名として使用する、証明書内のフィールドを指定します。

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
構文の説明

interface-name

接続の確立に使用するインターフェイスの名前。次のインターフェイス名を使用できます。

inside インターフェイス GigabitEthernet0/1 の名前

outside インターフェイス GigabitEthernet0/0 の名前

 
デフォルト

authentication-certificate コマンドを省略した場合、クライアント証明書の認証はディセーブルになります。

authentication-certificate コマンドで interface-name を指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを有効にするには、対応するインターフェイスで WebVPN がすでにイネーブルになっている必要があります。インターフェイスは、 interface IP address 、および nameif の各コマンドで設定および指定されます。

このコマンドは、WebVPN クライアント接続のみに適用されます。ただし、 http authentication-certificate コマンドを使用して 管理 接続のためのクライアント証明書の認証を指定する機能は、WebVPN をサポートしていないプラットフォームも含めたすべてのプラットフォームで使用できます。

適応型セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

適応型セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルになっていない。

適応型セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルになっているが、AAA 認証はイネーブルになっていない。

適応型セキュリティ アプライアンスはクライアントをローカル CA 用の証明書登録ページにリダイレクトして、証明書を取得します。

ローカル CA と AAA 認証の両方がイネーブルになっている。

クライアントは AAA 認証ページにリダイレクトされます。また、クライアントはローカル CA 用の登録ページにリンクとともに表示されます(そのように設定されている場合)。

次に、外部インターフェイスの WebVPN ユーザ接続用の証明書認証を設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

 
コマンド
説明

authentication(トンネル グループ webvpn コンフィギュレーション モード)

トンネル グループのメンバーが認証にデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

適応型セキュリティ アプライアンスへの ASDM 管理接続に対する証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

現在の設定済み SSL コマンドのセットを表示します。

ssl trust-point

SSL 証明書トラストポイントを設定します。

 
 

authentication-exclude

エンド ユーザがクライアントレス SSL VPN にログインせずに設定済みリンクを参照できるようにするには、webvpn モードで authentication-exclude コマンドを使用します。複数のサイトへのアクセスを許可するには、このコマンドを複数回使用します。

authentication-exclude url-fnmatch

 
構文の説明

url-fnmatch

クライアントレス SSL VPN へのログインの要件を免除するリンクを指定します。

 
コマンド デフォルト

ディセーブル。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

この機能は、一部の内部リソースを SSL VPN 経由で一般利用できるようにする場合に便利です。

リンクに関する情報を、SSL VPN マングリングした形式でエンド ユーザに配布する必要があります。たとえば、SSL VPN を使用してこれらのリソースを参照し、配布するリンクに関する情報に結果の URL をコピーします。

次に、2 つのサイトに対して認証要件を免除する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-exclude http://www.site.com/public/*
hostname(config-webvpn)#authentication-exclude *announcement.html

hostname(config-webvpn)# hostname #

authentication

WebVPN と電子メール プロキシの認証方式を設定するには、各モードで authentication コマンドを使用します。デフォルトの方式に戻すには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、ユーザ ID を検証してユーザを認証します。

authentication {[ aaa ] [ certificate ] [ mailhost ] [ piggyback] }

no authentication [ aaa ] [ certificate ] [ mailhost ] [ piggyback]

 
構文の説明

aaa

適応型セキュリティ アプライアンスが設定済みの AAA サーバと照合するユーザ名およびパスワードを指定します。

certificate

SSL ネゴシエーション時の証明書を指定します。

mailhost

リモート メール サーバを介して認証します。SMTPS の場合にのみ使用します。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。

piggyback

HTTPS WebVPN セッションがすでに存在している必要があります。ピギーバック認証は、電子メール プロキシでのみ使用できます。

 
デフォルト

次の表に、WebVPN および電子メール プロキシのデフォルトの認証方式を示します。

 

プロトコル
デフォルトの認証方式

IMAP4S

メールホスト(必須)

POP3S

メールホスト(必須)

SMTPS

AAA

WebVPN

AAA

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Imap4s コンフィギュレーション

--

--

--

Pop3s コンフィギュレーション

--

--

--

SMTPS コンフィギュレーション

--

--

--

webvpn コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、WebVPN 用のトンネル グループ webvpn アトリビュート コンフィギュレーション モードに置き換えられました。

8.0(2)

このコマンドは、証明書認証要件の変更を反映するように変更されました。

 
使用上のガイドライン

少なくとも 1 つの認証方式が必要です。たとえば、WebVPN の場合、AAA 認証と証明書認証のいずれか一方または両方を指定できます。これらは、どちらを先に指定してもかまいません。

WebVPN 証明書認証では、それぞれのインターフェイスに対して HTTPS ユーザ証明書を要求する必要があります。つまり、この選択が機能するには、証明書認証を指定する前に、 authentication-certificate コマンドでインターフェイスを指定しておく必要があります。

このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート コンフィギュレーション モードの同等のコマンドに変換されます。

WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。その場合、ユーザは証明書およびユーザ名とパスワードを指定する必要があります。電子メール プロキシ認証の場合、複数の認証方式を要求できます。このコマンドを再び指定すると、現在のコンフィギュレーションが上書きされます。

次に、WebVPN ユーザに認証のための証明書を要求する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication certificate

 
関連コマンド

コマンド
説明

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求します。

show running-config

現在のトンネル グループ コンフィギュレーションを表示します。

clear configure aaa

設定済みの AAA の値を削除またはリセットします。

show running-config aaa

AAA コンフィギュレーションを表示します。

authentication eap-proxy

L2TP over IPSec 接続に対して EAP をイネーブルにし、セキュリティ アプライアンスが PPP 認証プロセスを外部の RADIUS 認証サーバにプロキシできるようにするには、トンネル グループ ppp アトリビュート コンフィギュレーション モードで authentication eap-proxy コマンドを使用します。コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

authentication eap-proxy

no authentication eap-proxy

 
構文の説明

このコマンドには、キーワードと引数はありません。

 
デフォルト

デフォルトでは、EAP は認証プロトコルとして許可されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

次に、設定 ppp コンフィギュレーション モードで、pppremotegrp という名前のトンネル グループの PPP 接続に対して EAP を許可する例を示します。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication eap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication key eigrp

EIGRP パケットの認証をイネーブルにし、認証キーを指定するには、インターフェイス コンフィギュレーション モードで authentication key eigrp コマンドを使用します。EIGRP 認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication key eigrp as-number key key-id key-id

no authentication key eigrp as-number

 
構文の説明

as-number

認証する EIGRP プロセスの自律システム番号。これは、EIGRP ルーティング プロセスに設定されている値と同じにする必要があります。

key

EIGRP 更新を認証するキー。このキーには最大 16 文字を使用できます。

key-id key-id

キー ID 値。有効な値の範囲は、1 ~ 255 です。

 
デフォルト

EIGRP 認証はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp コマンドと authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定されている authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 に設定されている EIGRP 認証を表示する例を示します。

hostname(config)# interface Gigabit0/3
hostname(config-if)# authentication mode eigrp md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定します。

authentication mode eigrp

EIGRP 認証に使用する認証のタイプを指定するには、インターフェイス コンフィギュレーション モードで authentication mode eigrp コマンドを使用します。デフォルトの認証方式に戻すには、このコマンドの no 形式を使用します。

authentication mode eigrp as-num md5

no authentication mode eigrp as-num md5

 
構文の説明

as-num

EIGRP ルーティング プロセスの自律システム番号。

md5

EIGRP メッセージ認証に MD5 を使用します。

 
デフォルト

デフォルトでは、認証は提供されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp コマンドと authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定されている authentication コマンドを表示するには、 show running-config interface コマンドを使用します。

次に、インターフェイス GigabitEthernet0/3 に設定されている EIGRP 認証を表示する例を示します。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# authentication mode eigrp 100 md5
hostname(config-if)# authentication key eigrp 100 thisismykey key_id 5
 

 
関連コマンド

コマンド
説明

authentication key eigrp

EIGRP パケットの認証をイネーブルにし、認証キーを指定します。

authentication ms-chap-v1

L2TP over IPSec 接続で PPP の Microsoft CHAP Version 1 認証をイネーブルにするには、トンネル グループ ppp アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。

コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

Microsoft CHAP Version 1 をディセーブルにするには、このコマンドの no 形式を使用します。

authentication ms-chap-v1

no authentication ms-chap-v1

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または指定したトンネル グループのみをクリアします。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

authentication ms-chap-v2

L2TP over IPSec 接続に対して PPP の Microsoft CHAP Version 2 認証をイネーブルにするには、トンネル グループ ppp アトリビュート コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

authentication ms-chap-v2

no authentication ms-chap-v2

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または指定したトンネル グループのみをクリアします。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

authentication pap

L2TP over IPSec 接続に対して PPP の PAP 認証を許可するには、トンネル グループ ppp アトリビュート コンフィギュレーション モードで authentication pap コマンドを使用します。このプロトコルは、認証時にクリアテキストのユーザ名とパスワードを渡すため、安全ではありません。

コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。

authentication pap

no authentication pap

 
構文の説明

このコマンドには、キーワードと引数はありません。

 
デフォルト

デフォルトでは、PAP は認証プロトコルとして許可されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ppp アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、L2TP/IPSec トンネル グループ タイプだけに適用できます。

次に、設定 ppp コンフィギュレーション モードで、pppremotegrp という名前のトンネル グループの PPP 接続に対して PAP を許可する例を示します。

hostname(config)# tunnel-group pppremotegrp type IPSec/IPSec
hostname(config)# tunnel-group pppremotegrp ppp-attributes
hostname(config-ppp)# authentication pap
hostname(config-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

authentication-certificate

接続を確立する WebVPN クライアントからの証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

 
構文の説明

interface-name

接続の確立に使用するインターフェイスの名前。次のインターフェイス名を使用できます。

inside インターフェイス GigabitEthernet0/1 の名前

outside インターフェイス GigabitEthernet0/0 の名前

 
デフォルト

authentication-certificate コマンドを省略した場合、クライアント証明書の認証はディセーブルになります。

authentication-certificate コマンドで interface-name を指定しない場合、デフォルトの interface-name は inside です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを有効にするには、対応するインターフェイスで WebVPN がすでにイネーブルになっている必要があります。インターフェイスは、 interface IP address 、および nameif の各コマンドで設定および指定されます。

このコマンドは、WebVPN クライアント接続のみに適用されます。ただし、 http authentication-certificate コマンドを使用して 管理 接続のためのクライアント証明書の認証を指定する機能は、WebVPN をサポートしていないプラットフォームも含めたすべてのプラットフォームで使用できます。

適応型セキュリティ アプライアンスは、PKI トラストポイントに対して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。

条件
実行されるアクション

適応型セキュリティ アプライアンスに組み込まれているローカル CA がイネーブルになっていない。

適応型セキュリティ アプライアンスは SSL 接続を閉じます。

ローカル CA はイネーブルになっているが、AAA 認証はイネーブルになっていない。

適応型セキュリティ アプライアンスはクライアントをローカル CA 用の証明書登録ページにリダイレクトして、証明書を取得します。

ローカル CA と AAA 認証の両方がイネーブルになっている。

クライアントは AAA 認証ページにリダイレクトされます。また、クライアントはローカル CA 用の登録ページにリンクとともに表示されます(そのように設定されている場合)。

次に、外部インターフェイスの WebVPN ユーザ接続用の証明書認証を設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# authentication-certificate outside
hostname(config-webvpn)#

 
関連コマンド

 
コマンド
説明

authentication(トンネル グループ webvpn コンフィギュレーション モード)

トンネル グループのメンバーが認証にデジタル証明書を使用する必要があることを指定します。

http authentication-certificate

適応型セキュリティ アプライアンスへの ASDM 管理接続に対する証明書による認証を指定します。

interface

接続の確立に使用するインターフェイスを設定します。

show running-config ssl

現在の設定済み SSL コマンドのセットを表示します。

ssl trust-point

SSL 証明書トラストポイントを設定します。

 
 

authentication-port

特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドでは、認証機能を割り当てるリモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。

authentication-port port

no authentication-port

 
構文の説明

port

RADIUS 認証用のポート番号(1 ~ 65535)。

 
デフォルト

デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートが指定されていない場合、RADIUS 認証のデフォルト ポート番号(1645)が使用されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとにサーバ ポートを指定できるようになりました。

 
使用上のガイドライン

RADIUS 認証サーバで 1645 以外のポートが使用されている場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、適切なポートを適応型セキュリティ アプライアンスに設定する必要があります。

このコマンドは、RADIUS に設定されているサーバ グループに限り有効です。

次に、ホスト「1.2.3.4」に「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、認証ポートを 1650 に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、あるいは ASDM ユーザ認証をイネーブルまたはディセーブルにします。

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。

clear configure aaa-server

すべての AAA コマンド ステートメントをコンフィギュレーションから削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

authentication-server-group(imap4s、pop3s、smtps)

電子メール プロキシに使用する認証サーバのセットを指定するには、各モードで authentication-server-group コマンドを使用します。認証サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、ユーザ ID を検証してユーザを認証します。

authentication-server-group group_tag

no authentication-server-group

 
構文の説明

group_tag

設定済みの認証サーバまたはサーバ グループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認証サーバは設定されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Imap4s コンフィギュレーション

--

--

--

Pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

AAA 認証を設定する場合は、このアトリビュートも設定する必要があります。設定しないと、認証は常に失敗します。

次に、「IMAP4SSVRS」という名前の認証サーバのセットを使用するように IMAP4S 電子メール プロキシを設定する例を示します。

hostname(config)# imap4s
hostname(config-imap4s)# authentication-server-group IMAP4SSVRS

 
関連コマンド

コマンド
説明

aaa-server host

認証、認可、アカウンティング サーバを設定します。

authentication-server-group(トンネル グループ一般アトリビュート)

トンネル グループでユーザ認証に使用する AAA サーバ グループを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで authentication-server-group コマンドを使用します。このアトリビュートをデフォルトに戻すには、このコマンドの no 形式を使用します。

authentication-server-group [( interface_name )] server_group [ LOCAL ]

no authentication-server-group [( interface_name )] server_group

 
構文の説明

interface_name

(任意)IPSec トンネルが終端するインターフェイスを指定します。

LOCAL

(任意)通信障害によってサーバ グループ内のすべてのサーバがアクティブでなくなった場合に、ローカル ユーザ データベースに対する認証を要求します。

server_group

設定済みの認証サーバまたはサーバ グループを指定します。

 
デフォルト

このコマンドのサーバ グループのデフォルト設定は LOCAL です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

8.0(2)

このコマンドは、インターフェイス単位で IPSec 接続の認証を行えるように拡張されました。

 
使用上のガイドライン

すべてのトンネル グループ タイプにこのアトリビュートを適用できます。

認証サーバを設定するには aaa-server コマンドを使用し、設定済みの AAA サーバ グループにサーバを追加するには aaa-server-host コマンドを使用します。

次に、設定一般コンフィギュレーション モードで、remotegrp という名前の IPSec リモート アクセス トンネル グループに aaa-server456 という名前の認証サーバ グループを設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authentication-server-group aaa-server456
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

aaa-server

AAA サーバ グループを作成し、グループ固有の AAA サーバ パラメータとすべてのグループ ホストに共通の AAA サーバ パラメータを設定します。

aaa-server host

設定済みの AAA サーバ グループにサーバを追加し、ホスト固有の AAA サーバ パラメータを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

authorization-required

接続前にユーザが正常に認可されることを求めるには、各モードで authorization-required コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authorization-required

no authorization-required

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

authorization-required は、デフォルトではディセーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Imap4s コンフィギュレーション

--

--

--

Pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

7.2(1)

webvpn コンフィギュレーション モードが imap4s、pop3s、および smtps コンフィギュレーション モードに置き換えられました。

次に、グローバル コンフィギュレーション モードで、remotegrp という名前のリモート アクセス トンネル グループを介して接続するユーザに完全な DN に基づく認可を要求する例を示します。最初のコマンドでは、remotegrp という名前のリモート グループのトンネル グループ タイプを ipsec_ra(IPSec リモート アクセス)と設定しています。2 番めのコマンドで、指定したトンネル グループのトンネル グループ一般アトリビュート コンフィギュレーション モードを開始し、最後のコマンドで、指定したトンネル グループに認可が必要であることを指定しています。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-required
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

authorization-dn-attributes

認可用のユーザ名として使用するプライマリおよびセカンダリ サブジェクト DN フィールドを指定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

authorization-server-group

WebVPN および電子メール プロキシに使用する認可サーバのセットを指定するには、各モードで authorization-server-group コマンドを使用します。認可サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスでは、認可を使用して、ユーザに許可されているネットワーク リソースへのアクセス レベルを確認します。

authorization-server-group group_tag

no authorization-server-group

 
構文の説明

group_tag

設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。

 
デフォルト

デフォルトでは、認可サーバは設定されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Imap4s コンフィギュレーション

--

--

--

Pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。

 
使用上のガイドライン

このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。

VPN 認可が LOCAL と定義されている場合、デフォルト グループ ポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。

次に、「POP3Spermit」という名前の認可サーバのセットを使用するように POP3S 電子メール プロキシを設定する例を示します。

hostname(config)# pop3s
hostname(config-pop3s)# authorization-server-group POP3Spermit
 

次に、設定一般コンフィギュレーション モードで、「remotegrp」という名前の IPSec リモート アクセス トンネル グループに「aaa-server78」という名前の認可サーバ グループを設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general-attributes
hostname(config-tunnel-general)# authorization-server-group aaa-server78
hostname(config-tunnel-general)#
 

 
関連コマンド

コマンド
説明

aaa-server host

認証、認可、アカウンティング サーバを設定します。

clear configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

auth-prompt

適応型セキュリティ アプライアンスを介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。

auth-prompt prompt [ prompt | accept | reject ] string

no auth-prompt prompt [ prompt | accept | reject ]

 
構文の説明

accept

Telnet 経由のユーザ認証を受け入れる場合、プロンプトとして string を表示します。

prompt

このキーワードの後に AAA チャレンジ プロンプトのストリングを入力します。

reject

Telnet 経由のユーザ認証を拒否する場合、プロンプトとして string を表示します。

string

235 文字または 30 単語(どちらか最初に達した方)までの英数字で構成されるストリング。特殊文字、スペース、および句読点を使用できます。疑問符を入力するか、または Enter キーを押すと、ストリングが終了します(疑問符はストリングに含まれます)。

 
デフォルト

認証プロンプトを指定しない場合は、次のようになります。

FTP ユーザには FTP authentication が表示されます。

HTTP ユーザには HTTP Authentication が表示されます。

Telnet ユーザにはチャレンジ テキストが表示されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

セマンティックに小さな変更が加えられました。

 
使用上のガイドライン

auth-prompt コマンドを使用すると、TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要な場合に、適応型セキュリティ アプライアンス経由の HTTP、FTP、および Telnet アクセス用の AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。

Telnet からのユーザ認証が行われる場合、accept オプションと reject オプションを使用して、認証試行が AAA サーバによって受け入れられたか拒否されたかを示す各ステータス プロンプトを表示できます。

AAA サーバがユーザを認証すると、適応型セキュリティ アプライアンスは auth-prompt accept テキスト(指定されている場合)をユーザに表示します。ユーザが認証されない場合は、reject テキスト(指定されている場合)を表示します。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストのみが表示されます。accept テキストと reject テキストは表示されません。


) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字表示されます。


次に、認証プロンプトを「Please enter your username and password」というストリングに設定する例を示します。

hostname(config)# auth-prompt prompt Please enter your username and password
 

このストリングがコンフィギュレーションに追加されると、ユーザには次のように表示されます。

Please enter your username and password
User Name:
Password:
 

Telnet ユーザに対しては、適応型セキュリティ アプライアンスが認証試行を受け入れたときに表示されるメッセージと拒否したときに表示されるメッセージを別々に指定できます。次に例を示します。

hostname(config)# auth-prompt reject Authentication failed. Try again.
hostname(config)# auth-prompt accept Authentication succeeded.
 

次に、認証に成功した場合の認証プロンプトを「You're OK.」というストリングに設定する例を示します。

hostname(config)# auth-prompt accept You’re OK.

 

認証に成功すると、ユーザには次のメッセージが表示されます。

You’re OK.

 
関連コマンド

コマンド
説明

clear configure auth-prompt

指定済みの認証プロンプト チャレンジ テキスト(ある場合)を削除し、デフォルト値に戻します。

show running-config auth-prompt

現在の認証プロンプト チャレンジ テキストを表示します。

auto-signon

クライアントレス SSL VPN 接続用のユーザ ログイン クレデンシャルを内部サーバに自動的に渡すように適応型セキュリティ アプライアンスを設定するには、webvpn コンフィギュレーション モード、webvpn グループ コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードのいずれかのモードで auto-signon コマンドを使用します。認証方式は、NTLM(NTLMv1 と NTLMv2 を含む)と HTTP 基本認証のいずれか一方、または両方にすることができます。特定のサーバへの自動サインオンをディセーブルにするには、元の ip uri 、および auth-type 引数を指定して、このコマンドの no 形式を使用します。すべてのサーバへの自動サインオンをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。

auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }

no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }]

 
構文の説明

 
構文の説明構文の説明

all

NTLM と HTTP 基本認証の両方の方式を指定します。

allow

特定のサーバに対する認証をイネーブルにします。

auth-type

認証方式の選択をイネーブルにします。

basic

HTTP 基本認証方式を指定します。

ftp

FTP および CIFS 認証タイプ。

ip

IP アドレスとマスクで認証先のサーバを特定することを指定します。

ip-address

ip-mask とともに使用して、認証先のサーバの IP アドレス範囲を特定します。

ip-mask

ip-address とともに使用して、認証先のサーバの IP アドレス範囲を特定します。

ntlm

NTLMv1 認証方式を指定します。

resource-mask

認証先のサーバの URI マスクを指定します。

uri

URI マスクで認証先のサーバを特定することを指定します。

 
デフォルト

デフォルトでは、この機能はすべてのサーバでディセーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション(グローバル)

--

--

--

webvpn グループ ポリシー コンフィギュレーション

--

--

--

Webvpn ユーザ名コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

8.0(1)

NTLMv2 のサポートが追加されました。 ntlm キーワードには、NTLMv1 と NTLMv2 の両方が含まれます。

 
使用上のガイドライン

auto-signon コマンドは、クライアントレス SSL VPN ユーザのためのシングル サインオン方式です。NTLM 認証と HTTP 基本認証のいずれか一方または両方を使用した認証のために、ログイン クレデンシャル(ユーザ名とパスワード)を内部サーバに渡します。複数の auto-signon コマンドを入力でき、それらのコマンドは入力順に処理されます(先に入力したコマンドが優先されます)。

auto-signon 機能は、webvpn コンフィギュレーション グループ ポリシー モード、webvpn コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。一般的な優先動作が適用されます。つまり、グループよりもユーザ名が優先され、グローバルよりもグループが優先されます。モードは、認証の目的範囲に基づいて選択します。

モード
範囲

webvpn コンフィギュレーション

すべての WebVPN ユーザ(グローバル)

webvpn グループ コンフィギュレーション

グループ ポリシーで定義される WebVPN ユーザのサブセット

Webvpn ユーザ名コンフィギュレーション

個々の WebVPN ユーザ

次に、NTLM 認証を使用して、すべてのクライアントレス ユーザに自動サインオンを設定するコマンドの例を示します。認証先のサーバの IP アドレス範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type ntlm
 

次に、HTTP 基本認証を使用して、すべてのクライアントレス ユーザに自動サインオンを設定するコマンドの例を示します。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。

hostname(config)# webvpn
hostname(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
 
次に、HTTP 基本認証または NTLM 認証を使用して、クライアントレス ユーザ ExamplePolicy グループ ポリシーに自動サインオンを設定するコマンドの例を示します。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。
 
hostname(config)# group-policy ExamplePolicy attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all
 

次に、HTTP 基本認証を使用して、Anyuser という名前のユーザに自動サインオンを設定するコマンドの例を示します。認証先のサーバの IP アドレス範囲は、10.1.1.0 ~ 10.1.1.255 です。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# auto-signon allow ip 10.1.1.0 255.255.255.0 auth-type basic

 
関連コマンド

コマンド
説明

show running-config webvpn auto-signon

実行コンフィギュレーションの自動サインオンの割り当てを表示します。

auto-summary

ネットワークレベル ルートへのサブネット ルートの自動集約をイネーブルにするには、ルータ コンフィギュレーション モードで auto-summary コマンドを使用します。ルート集約をディセーブルにするには、このコマンドの no 形式を使用します。

auto-summary

no auto-summary

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ルート集約は、RIP バージョン 1、RIP バージョン 2、および EIGRP でイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

EIGRP のサポートが追加されました。

 
使用上のガイドライン

ルート集約により、ルーティング テーブルにおけるルーティング情報の量が少なくなります。

RIP バージョン 1 では、常に自動集約が使用されます。RIP バージョン 1 に対して自動集約をディセーブルにすることはできません。

RIP バージョン 2 を使用している場合は、 no auto-summary コマンドを指定して、自動集約をオフにすることができます。接続が切断されたサブネット間でルーティングを実行する必要がある場合は、自動集約をディセーブルにします。自動集約をディセーブルにすると、サブネットがアドバタイズされます。

EIGRP 集約ルートには、管理ディスタンス値 5 が割り当てられます。この値は設定できません。

このコマンドの no 形式のみが、実行コンフィギュレーションに表示されます。

次に、RIP ルート集約をディセーブルにする例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# version 2
hostname(config-router)# no auto-summary
 

次に、自動 EIGRP ルート集約をディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# no auto-summary
 

 
関連コマンド

コマンド
説明

clear configure router

実行コンフィギュレーションからすべての router コマンドとルータ コンフィギュレーション モード コマンドをクリアします。

router eigrp

EIGRP ルーティング プロセスをイネーブルにし、EIGRP ルータ コンフィギュレーション モードを開始します。

router rip

RIP ルーティング プロセスをイネーブルにし、RIP ルータ コンフィギュレーション モードを開始します。

show running-config router

実行コンフィギュレーション内の router コマンドとルータ コンフィギュレーション モード コマンドを表示します。

auto-update device-id

Auto Update Server で使用する適応型セキュリティ アプライアンスのデバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。

auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]

 
構文の説明

hardware-serial

適応型セキュリティ アプライアンスのハードウェア シリアル番号を使用して、デバイスを一意に識別します。

hostname

適応型セキュリティ アプライアンスのホスト名を使用して、デバイスを一意に識別します。

ipaddress [ if_name ]

適応型セキュリティ アプライアンスの IP アドレスを使用して、適応型セキュリティ アプライアンスを一意に識別します。デフォルトでは、適応型セキュリティ アプライアンスは Auto Update Server との通信に使用するインターフェイスを使用します。別の IP アドレスを使用する場合は、 if_name を指定します。

mac-address [ if_name ]

適応型セキュリティ アプライアンスの MAC アドレスを使用して、適応型セキュリティ アプライアンスを一意に識別します。デフォルトでは、適応型セキュリティ アプライアンスは Auto Update Server との通信に使用するインターフェイスの MAC アドレスを使用します。別の MAC アドレスを使用する場合は、 if_name を指定します。

string text

テキスト ストリングを指定して、デバイスを Auto Update Server に対して一意に識別します。

 
デフォルト

デフォルト ID はホスト名です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、デバイス ID をシリアル番号に設定する例を示します。

hostname(config)# auto-update device-id hardware-serial
 

 
関連コマンド

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からの更新をチェックする頻度を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update poll-at

セキュリティ アプライアンスが Auto Update Server をポーリングする特定の日時をスケジューリングするには、グローバル コンフィギュレーション モードで auto-update poll-at コマンドを使用します。セキュリティ アプライアンスが Auto Update Server をポーリングするようにスケジューリングした日時のうち、指定した日時をすべて削除するには、このコマンドの no 形式を使用します。

auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

no auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]

 
構文の説明

days-of-the-week

任意の 1 つの曜日(Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、および Sunday)または曜日の組み合わせ。その他の指定可能な値は、daily(月曜日から日曜日まで)、weekdays(月曜日から金曜日まで)、および weekend(土曜日と日曜日)です。

randomize minutes

指定した開始日時の後、不定期にポーリングする期間を指定します。1 ~ 1439 分です。

retry_count

Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続試行の間隔を指定します。デフォルト値は 5 分です。指定できる範囲は 1 ~ 35791 分です。

time

ポーリングを開始する時刻を HH:MM 形式で指定します。たとえば、8:00 は午前 8 時、20:00 は午後 8 時を示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

auto-update poll-at コマンドでは、更新をポーリングする時刻を指定します。 randomize オプションをイネーブルにすると、最初の time の時刻から指定した期間(分単位)内に、ポーリングが不定期に実行されます。 auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。

次の例で、セキュリティ アプライアンスは、毎週金曜日と土曜日の午後 10 時から午後 11 時までの間、不定期に Auto Update Server をポーリングします。セキュリティ アプライアンスは、サーバに接続できない場合、10 分間隔で 2 回接続を試行します。

hostname(config)# auto-update poll-at Friday Saturday 22:00 randomize 60 2 10
hostname(config)# auto-update server http://192.168.1.114/aus/autoupdate.asp

 
関連コマンド

auto-update device-id

Auto Update Server で使用する適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からの更新をチェックする頻度を設定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションをクリアします。

management-access

セキュリティ アプライアンス上の内部管理インターフェイスにアクセスできるようにします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からの更新を確認する頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。パラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。

auto-update poll-period poll_period [ retry_count [ retry_period ]]

no auto-update poll-period poll_period [ retry_count [ retry_period ]]

 
構文の説明

poll_period

Auto Update Server をポーリングする頻度を分単位(1 ~ 35791)で指定します。デフォルトは 720 分(12 時間)です。

retry_count

Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。

retry_period

接続試行の間隔を分単位(1 ~ 35791)で指定します。デフォルト値は 5 分です。

 
デフォルト

デフォルトのポーリング期間は、720 分(12 時間)です。

Auto Update Server への最初の接続試行に失敗した場合に再接続を試行するデフォルトの回数は 0 です。

接続試行のデフォルト間隔は 5 分です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。

次に、ポーリング期間を 360 分に、再試行回数を 1 回に、再試行間隔を 3 分に設定する例を示します。

hostname(config)# auto-update poll-period 360 1 3
 

 
関連コマンド

auto-update device-id

Auto Update Server で使用する適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update server

Auto Update Server を指定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update server

Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティング システム、および ASDM の更新がないか調べます。

auto-update server url [ source interface ] [ verify-certificate ]

no auto-update server url [ source interface ] [ verify-certificate ]

 
構文の説明

interface

要求を Auto Update Server に送信するときに使用するインターフェイスを指定します。

url

次の構文を使用して、Auto Update Server の場所を指定します。 http [ s ] : [[ user:password@ ] location [: port ]] / pathname

verify_certificate

Auto Update Server から返された証明書を検証します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

複数のサーバをサポートできるようにコマンドが変更されました。

 
使用上のガイドライン

自動更新用に複数のサーバを設定できます。更新を確認するときに、最初のサーバに接続しますが、接続に失敗した場合は、次のサーバに接続します。これは、すべてのサーバを試行するまで続行されます。どのサーバにも接続できなかった場合は、auto-update poll-period が接続を再試行するように設定されていれば、最初のサーバから順に接続が再試行されます。

自動更新機能を正しく動作させるには、 boot system configuration コマンドを使用して、有効なブート イメージを指定する必要があります。同様に、 asdm image コマンドを使用して、自動更新で ASDM ソフトウェア イメージを更新する必要があります。

source interface 引数で指定されたインターフェイスが management-access コマンドで指定されたインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネルを介して送信されます。

次に、Auto Update Server の URL を設定し、インターフェイス outside を指定する例を示します。

hostname(config)# auto-update server http://10.1.1.1:1741/ source outside

 
関連コマンド

auto-update device-id

Auto Update Server で使用する適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からの更新をチェックする頻度を設定します。

auto-update timeout

このタイムアウト期間内に Auto Update Server にアクセスしない場合、適応型セキュリティ アプライアンスを通過するトラフィックを停止します。

clear configure auto-update

Auto Update Server のコンフィギュレーションをクリアします。

management-access

セキュリティ アプライアンス上の内部管理インターフェイスにアクセスできるようにします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。

auto-update timeout

Auto Update Server へのアクセスのタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを使用します。タイムアウト期間内に Auto Update Server へのアクセスが行われなかった場合、適応型セキュリティ アプライアンスは適応型セキュリティ アプライアンスを通過するすべてのトラフィックを停止します。タイムアウトを設定すると、適応型セキュリティ アプライアンスに最新のイメージとコンフィギュレーションが保持されます。タイムアウトを削除するには、このコマンドの no 形式を使用します。

auto-update timeout period

no auto-update timeout [ period ]

 
構文の説明

period

タイムアウト期間を分単位(1 ~ 35791)で指定します。デフォルトは 0 で、タイムアウトがないことを意味します。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。

 
デフォルト

デフォルトのタイムアウトは 0 で、適応型セキュリティ アプライアンスはタイムアウトしないように設定されています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

タイムアウト状態は、システム ログ メッセージ 201008 でレポートされます。

次に、タイムアウトを 24 時間に設定する例を示します。

hostname(config)# auto-update timeout 1440

 
関連コマンド

auto-update device-id

Auto Update Server で使用する適応型セキュリティ アプライアンス デバイス ID を設定します。

auto-update poll-period

適応型セキュリティ アプライアンスが Auto Update Server からの更新をチェックする頻度を設定します。

auto-update server

Auto Update Server を指定します。

clear configure auto-update

Auto Update Server のコンフィギュレーションをクリアします。

show running-config auto-update

Auto Update Server のコンフィギュレーションを表示します。