Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール デバイスでのサーバ アクセ スの設定
ファイアウォール デバイスでのサーバ アクセスの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスでのサーバ アクセスの設定

[AUS] ページ

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

[DHCP Relay] ページ

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

DHCP サーバの設定

[DHCP Server] ページ

[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

[DNS] ページ

[Add DNS Server Group] ダイアログボックス

[Add DNS Server] ダイアログボックス

DDNS の設定

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

[DDNS Update Methods] ダイアログボックス

[NTP] ページ

[NTP Server Configuration] ダイアログボックス

[SMTP Server] ページ

[TFTP Server] ページ

ファイアウォール デバイスでのサーバ アクセスの設定

[Server Access] セクションには、ファイアウォール デバイスでサーバ アクセスを設定するためのページが含まれています。[Server Access] は、デバイス セレクタまたはポリシー セレクタの [Device Admin] の下にあります。

この章の構成は、次のとおりです。

「[AUS] ページ」

「[DHCP Relay] ページ」

「DHCP サーバの設定」

「[DNS] ページ」

「DDNS の設定」

「[NTP] ページ」

「[SMTP Server] ページ」

「[TFTP Server] ページ」

[AUS] ページ

[AUS] ページでは、[Auto Update] 指定をサポートするサーバからのセキュリティ アプライアンスのリモート更新を設定できます。[Auto Update] によって、設定変更およびソフトウェア更新が、リモート サーバからアプライアンスに自動的に適用されます。


) このページで指定するサーバと、([Tools] メニューから [Device Properties] を選択して表示される)[Device Properties] の [Auto Update] セクションで指定するサーバは、同じである必要があります。[Device Properties] 情報は、Security Manager が設定更新を送信する宛先の AUS サーバを指定します。これに対し、このページの情報は、デバイスが更新のために接続するサーバを定義します。また、[Device Properties] で指定する [Device Identity] と、このページの [Device ID] とが一致している必要もあります。


AUS サーバを変更した場合、デバイスは、新しい設定を受け取るまで現在の設定内に定義されている AUS サーバを引き続き使用することに注意してください。したがって、AUS ポリシーは変更しますが、設定の展開には前の AUS サーバを使用する必要があります。展開が正常に完了したあとで、新しいサーバを指し示すように [Device Properties] を変更します。AUS への展開の詳細については、「Auto Update Server または CNS Configuration Engine を使用した設定の展開」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス」

フィールド リファレンス

 

表 50-1 [AUS] ページ

要素
説明

Auto Update Servers table

このテーブルには、現在設定されている Auto Update Server が一覧表示されます。テーブルの下のボタンを使用して、これらのエントリを管理します。

エントリは、AUS サーバに接続するための優先順位の高いものから一覧表示されます。リストの順序を変更するには、上下の矢印ボタンを使用して、選択したエントリを上下に移動します。

[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、エントリを追加、編集、または削除します。[Add Row] を選択すると、[Add Auto Update Server] ダイアログボックスが開きます。[Edit Row] を選択すると、選択した行の [Edit Auto Update Server] ダイアログボックスが開きます。これらのダイアログボックスについては、「[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス」を参照してください。

を連結して生成します。ポートは、デフォルトの 443 以外のポート番号を入力した場合にかぎり含まれます。

Device ID Type

AUS サーバでこのデバイスを識別するために使用する方式を選択します。

[Host Name]:[Device Properties] ウィンドウ([Tools] > [Device Properties])で指定されている、このデバイスのホスト名。

[Serial Number]:このデバイスのシリアル番号。

[IP Address]:指定されたインターフェイスの IP アドレス。このオプションを選択すると、[Interface] フィールドが表示されます。目的のデバイス インターフェイスを入力するか、または選択します。

[MAC Address]:指定されたインターフェイスの MAC アドレス。このオプションを選択すると、[Interface] フィールドが表示されます。目的のデバイス インターフェイスを入力するか、または選択します。

[User Defined]:ユーザ指定の一意の ID が使用されます。このオプションを選択すると、[User Defined] フィールドが表示されます。このフィールドに英数字文字列を入力します。この文字列は、[Device Properties] ウィンドウ([Tools] > [Device Properties])の [Device Identity] フィールドにも表示されている必要があります。

Poll Type

更新のために AUS サーバをポーリングする頻度を定義する方式を選択します。

[At Specified Frequency]:このオプションを選択すると、[Poll Period] フィールドが表示されます。

[Poll Period]:デバイスが AUS サーバのポーリング後から次のポーリングを待機する時間を分単位で指定します。有効な値は 1 ~ 35791 です。

[At Scheduled Time]:このオプションを選択すると、次のフィールドが表示されます(バージョン 7.2 以降を実行している ASA/PIX デバイスにかぎり使用可能)。

[Days of the week]:デバイスが AUS サーバをポーリングする 1 日以上の日を選択します。

[Polling Start Time in Hours]:選択した日にポーリングを開始する時刻の時間単位の値(24 時間形式に基づく)。

[Polling Start Time in Mins]:選択した時刻の分単位の値。

[Enable Randomization of the Start Time]:ランダムなポーリング時間枠を指定する場合は、このオプションを選択します。[Randomization Window] フィールドがイネーブルになります。

[Randomization Window]:デバイスが指定のポーリング時間をランダム化するために使用できる最大分数。有効な値は 1 ~ 1439 です。

Retry Count

デバイスが新しい情報のために AUS サーバへのポーリングを試行する回数。任意。このフィールドに 0 を入力した場合、またはこのフィールドをブランクのままにした場合、デバイスはポーリング試行の失敗後に再試行しません。

Retry Period

[Retry Count] が 0 でもブランクでもない場合に、デバイスがポーリング試行の失敗後に AUS サーバへの再ポーリングを待機する時間(分)。有効な値は 1 ~ 35791 です。[Retry Count] が 0 でもブランクでもないのに、このフィールドをブランクのままにした場合、値はデフォルトで 5 分に設定されます。

Disable Device After:

このオプションを選択すると、指定されたタイムアウト期間中に AUS サーバからの応答がない場合、セキュリティ アプライアンスによって通過中のトラフィックが停止されます。

[Timeout]:AUS サーバからの応答がない場合にファイアウォール デバイスがタイムアウトを待機する時間(分)。

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

[Add Auto Update Server] ダイアログボックスを使用して、新しい AUS サーバ定義を設定します。セキュリティ アプライアンスは、このサーバを自動的にポーリングして、イメージおよび設定の更新がないかどうかを確認します。

[Auto Update] 指定では、Auto Update Server が設定情報をプッシュしてセキュリティ アプライアンスに情報の要求を送信するか、または Auto Update Server に対する定期的なポーリングをセキュリティ アプライアンスで行うように設定することによって設定情報をプルするかを選択できます。また、Auto Update Server は、セキュリティ アプライアンスにコマンドを送信して、いつでも即時ポーリング要求を送信できます。Auto Update Server とセキュリティ アプライアンスが互いに通信を行うには、各セキュリティ アプライアンス上に通信パスとローカル CLI 設定が必要です。


) この AUS サーバに接続するための URL は、これらのダイアログボックスで指定されている Protocol://Username:Password@IP IP Address(:Port)/Path を連結して生成します。ポートは、デフォルトの 443 以外のポート番号を入力した場合にかぎり含まれます。


[Edit Auto Update Server] ダイアログボックスと [Add Auto Update Server] ダイアログボックスは、タイトルを除けば同じです。次の説明は両方に適用されます。

ナビゲーション パス

[Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックスには、「[AUS] ページ」からアクセスできます。

フィールド リファレンス

 

表 50-2 [Add Auto Update Server]/[Edit Auto Update Server] ダイアログボックス

要素
説明

Protocol

AUS サーバとの通信に使用されるプロトコル。[http] または [https] を選択します。

(注) Auto Update Server と通信するためのプロトコルとして [https] を選択した場合、セキュリティ アプライアンスでは SSL が使用されます。この場合、セキュリティ アプライアンスには DES または 3DES ライセンスが必要です。

IP Address

IP アドレスを入力するか、またはこの AUS サーバを表すネットワーク/ホスト オブジェクトを選択します。

Port

AUS サーバとの通信が行われるポートの番号を入力します。[Protocol] に [http] を選択した場合は、デフォルトで 80 に設定されます。[https] を選択した場合は、443 に設定されます。任意のポート番号を入力した場合、AUS サーバが同じポートを使用するように設定されていることを確認してください。

Path

サーバ上の AUS サービスへのパス。標準のパスは autoupdate/AutoUpdateServlet です。AUS サーバ ホストが ASA の場合にかぎり、これを admin/auto-update に変更します。

AUS Interface

Auto Update Server のポーリングに使用するインターフェイスを入力または選択します。

Verify Certificate

このオプションを選択すると、AUS サーバからの SSL 検証が必要になります。サーバから返された証明書は、Certification Authority(CA; 証明局)ルート証明書に基づいてチェックされます。これには、AUS サーバとこのデバイスが同じ認証局を使用している必要があります。

Username

AUS 認証に使用するユーザ名を入力します(任意)。

Password

AUS 認証に使用するパスワードを入力します(任意)。

Confirm

パスワードを再入力します(任意)。

[DHCP Relay] ページ

[DHCP Relay] ページを使用して、セキュリティ デバイスの DHCP リレー サービスを設定します。Dynamic Host Configuration Protocol(DHCP)リレーでは、あるインターフェイス上で受信された DHCP 要求が、別のインターフェイスの背後にある外部 DHCP サーバに渡されます。DHCP リレーを設定するには、少なくとも 1 つの DHCP リレー サーバを指定してから、DHCP 要求を受信するインターフェイスで DHCP リレー エージェントをイネーブルにする必要があります。


) DHCP リレー サーバが設定されているインターフェイスでは、DHCP リレー エージェントをイネーブルにできません。
DHCP リレー エージェントは外部 DHCP サーバでだけ動作します。DHCP 要求は、DHCP サーバとして設定されているセキュリティ アプライアンス インターフェイスには転送されません。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DHCP Relay] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DHCP Relay] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 50-3 [DHCP Relay] ページ

要素
説明

[DHCP Relay Agent] テーブル

このテーブルには、DHCP リレーが設定されているインターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Relay Agent Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Relay Agent Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス」を参照してください。

[DHCP Servers] テーブル

このテーブルには、DHCP リレーが設定されているインターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Relay Server Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Relay Server Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス」を参照してください。

Timeout (seconds)

DHCP アドレス ネゴシエーションに許可される時間を秒単位で指定します。有効値の範囲は 1 ~ 3600 秒で、デフォルト値は 60 秒です。

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

[Add DHCP Relay Agent Configuration] ダイアログボックスを使用して、インターフェイスで DHCP リレー エージェントを設定してイネーブルにします。[Edit DHCP Relay Agent Configuration] ダイアログボックスを使用して、既存のインターフェイス リレー エージェントを更新します。


) DHCP リレー サーバが設定されているインターフェイスでは、DHCP リレー エージェントをイネーブルにできません。
DHCP リレー エージェントは外部 DHCP サーバでだけ動作します。DHCP 要求は、DHCP サーバとして設定されているセキュリティ アプライアンス インターフェイスには転送されません。


[Add DHCP Relay Agent Configuration] ダイアログボックスと [Edit DHCP Relay Agent Configuration] ダイアログボックスは実質的には同じです。次の説明は両方に適用されます。

ナビゲーション パス

[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックスには、「[DHCP Relay] ページ」からアクセスできます。

関連項目

「[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス」

フィールド リファレンス

 

表 50-4 [Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス

要素
説明

Interface

DHCP リレー エージェントを設定するインターフェイスの名前を入力または選択します。

Enable DHCP Relay

このチェックボックスをオンにすると、指定したインターフェイスで DHCP リレーがイネーブルになります。

Set Route

このチェックボックスをオンにして、DHCP サーバから返された情報内のデフォルト ルータ アドレスが変更されるように DHCP リレー エージェントを設定します。このオプションを選択した場合、DHCP リレー エージェントは、DHCP サーバから返された情報内のデフォルト ルータ アドレスを、選択されたインターフェイスで置き換えます。

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

新しい DHCP リレー サーバを定義する場合は、[Add DHCP Relay Server Configuration] ダイアログボックスを使用します。既存のサーバ情報を更新する場合は、[Edit DHCP Relay Server Configuration] ダイアログボックスを使用します。最大 4 台の DHCP リレー サーバを定義できます。


) [Add DHCP Relay Server Configuration] ダイアログボックスと [Edit DHCP Relay Server Configuration] ダイアログボックスは実質的には同じです。次の説明は両方に適用されます。


ナビゲーション パス

[Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックスには、「[DHCP Relay] ページ」からアクセスできます。

関連項目

「[Add DHCP Relay Agent Configuration]/[Edit DHCP Relay Agent Configuration] ダイアログボックス」

フィールド リファレンス

 

表 50-5 [Add DHCP Relay Server Configuration]/[Edit DHCP Relay Server Configuration] ダイアログボックス

要素
説明

Server

IP アドレスを入力するか、または DHCP 要求の転送先の外部 DHCP サーバを表すネットワーク/ホスト オブジェクトを選択します。

Interface

DHCP 要求の外部 DHCP サーバへの転送に使用されるインターフェイスを入力または選択します。

DHCP サーバの設定

Dynamic Host Configuration Protocol(DHCP)サーバは、IP アドレスなどのネットワーク設定パラメータを DHCP クライアントに提供します。セキュリティ アプライアンスは、セキュリティ アプライアンスのインターフェイスに接続された DHCP クライアントに、DHCP サーバまたは DHCP リレー サービスを提供できます。DHCP サーバは、ネットワーク設定パラメータを DHCP クライアントに直接提供します。一方、DHCP リレーでは、あるインターフェイスで受信された DHCP 要求が、別のインターフェイスの背後にある外部 DHCP サーバに渡されます。DHCP リレーの詳細については、「[DHCP Relay] ページ」を参照してください。


) セキュリティ アプライアンス DHCP サーバは、BOOTP 要求をサポートしていません。

マルチコンテキスト モードでは、複数のコンテキストで使用されるインターフェイスで DHCP サーバまたは DHCP リレーをイネーブルにすることはできません。


セキュリティ アプライアンスの各インターフェイスで、DHCP サーバを設定できます。各インターフェイスは、アドレスの導出元としてそれぞれのアドレス プールを持つことができます。ただし、その他の DHCP 設定(DNS サーバ、ドメイン名、オプション、ping タイムアウト、WINS サーバなど)は、グローバルに設定され、すべてのインターフェイスの DHCP サーバによって使用されます。

DHCP サーバがイネーブルになっているインターフェイスで、DHCP クライアントまたは DHCP リレー サービスを設定することはできません。また、DHCP クライアントは、サーバがイネーブルになっているインターフェイスに直接接続する必要があります。

外部インターフェイスでファイアウォールも DHCP クライアントとして動作している場合は、IP 設定のオートネゴシエーションをイネーブルにできます。これにより、ファイアウォールは、(DHCP クライアントとして)外部インターフェイスから取得した DNS、WINS、およびドメイン名のパラメータを、内部ネットワークのホストに渡すことができます。あるいは、DNS、WINS、およびドメイン名のパラメータを手動で指定することもできます。これらのパラメータを手動で指定したが、自動設定も有効になっている場合、自動設定よりも手動で指定した値が優先されます。

DHCP サーバ定義を管理するには、「[DHCP Server] ページ」を使用します。

[DHCP Server] ページ

[DHCP Server] ページを使用して、グローバル DHCP サーバおよび Dynamic DNS(DDNS)での更新オプションの設定、1 つ以上のデバイス インターフェイスでの DHCP サーバの設定、および拡張サーバ オプションの設定を行います。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DHCP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DHCP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 50-6 [DHCP Server] ページ

要素
説明

Ping Timeout

ファイアウォール デバイスが DHCP ping 試行のタイムアウトを待つ時間をミリ秒単位で入力します。アドレス競合を回避するために、ファイアウォール デバイスは 2 つの ICMP ping パケットをアドレスに送信してから、そのアドレスを DHCP クライアントに割り当てます。有効値の範囲は 10 ~ 10000 ミリ秒です。

Lease Length

リースが期限切れになる前に、クライアントが割り当てられた IP アドレスを使用できる時間を秒単位で指定します。有効値の範囲は 300 ~ 1048575 秒です。デフォルト値は 3600 秒(1 時間)です。

Enable auto-configuration(PIX および ASA 限定)

このオプションを選択すると、DHCP 自動設定がイネーブルになります。

DHCP 自動設定では、指定したインターフェイスで動作している DHCP クライアントから取得した DNS サーバ、ドメイン名、および WINS サーバの情報が、DHCP サーバから DHCP クライアントに提供されます。自動設定によって取得された情報のいずれかが手動でも指定されている場合は、手動で指定された情報の方が、検出された情報よりも優先されます。

Interface

[Enable auto-configuration] チェックボックスがオンになっている場合、このフィールドが使用可能になります。DNS、WINS、およびドメイン名のパラメータを提供する DHCP クライアントを実行しているインターフェイスを入力または選択します。

[Define settings] (任意)

Domain Name

DHCP クライアントの DNS ドメイン名を指定します。有効な DNS ドメイン名( example.com など)を入力します。

Primary DNS Server

IP アドレスを入力するか、または DHCP クライアントのプライマリ DNS サーバを表すネットワーク/ホスト オブジェクトを選択します。

Primary WINS Server

IP アドレスを入力するか、または DHCP クライアントのプライマリ WINS サーバを表すネットワーク/ホスト オブジェクトを選択します。

Secondary DNS Server

IP アドレスを入力するか、または DHCP クライアントの代替 DNS サーバを表すネットワーク/ホスト オブジェクトを選択します。

Secondary WINS Server

IP アドレスを入力するか、または DHCP クライアントの代替 WINS サーバを表すネットワーク/ホスト オブジェクトを選択します。

Dynamic DNS Update

Enable Dynamic DNS Update

グローバルな DDNS 更新オプションを定義する場合は、このチェックボックスをオンにします。

リソースレコード更新のタイプとして、[PTR Record only] または [A Record and PTR Record] を選択します。

[Override DHCP Client Request] も選択できます。選択した場合、DHCP クライアントによって要求されたすべての更新が、DHCP サーバ更新によって上書きされます。

これらのオプションは、ASA/PIX 7.2 以降でだけ使用可能です。

[DHCP Server Interface Configuration] テーブル

Interface table

このテーブルには、DHCP サーバ、DDNS 更新、またはその両方が設定されているデバイス インターフェイスが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Server Interface Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Server Interface Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス」を参照してください。

Advanced Options

[Advanced] ボタン

「[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス」が開きます。

[Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

これらのダイアログボックスを使用すると、DHCP をイネーブルにして、指定したインターフェイスに DHCP アドレス プールを指定したり、インターフェイスで Dynamic DNS(DDNS)更新をイネーブルにしたりすることができます。


) タイトルを除き、この 2 つのダイアログボックスは同じです。


ナビゲーション パス

[Add DHCP Server Interface Configuration] および [Edit DHCP Server Interface Configuration] ダイアログボックスには、「[DHCP Server] ページ」からアクセスできます。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 50-7 [Add DHCP Server Interface Configuration]/[Edit DHCP Server Interface Configuration] ダイアログボックス

要素
説明

Interface

DHCP サーバを設定するインターフェイスを識別します。インターフェイス名を入力するか、またはインターフェイス オブジェクトを選択します。

DHCP Address Pool

DHCP サーバが IP アドレスの割り当て時に使用する IP アドレスまたは(ハイフンで区切った)アドレス範囲を入力します。範囲の最初のアドレスと最後のアドレスは同じサブネットに入っている必要があり、最初のアドレスは最後のアドレスよりも小さくする必要があります。

Enable DHCP Server

このインターフェイスで DHCP サーバをイネーブルにするには、このチェックボックスをオンにします。

Enable Dynamic DNS Update

この DHCP サーバによる DDNS 更新をイネーブルにするには、このチェックボックスをオンにします。更新するレコードを指定します。

[PTR Record only]

[A Record and PTR Record]

[Override DHCP Client Request] も選択できます。選択した場合、DHCP クライアントによって要求されたすべての更新が、DHCP サーバ更新によって上書きされます。

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックスでは、DHCP サーバに設定されている DHCP オプションを管理できます。これらのオプションは、DHCP クライアントに追加情報を提供します。たとえば、DHCP オプション 150 および DHCP オプション 66 は、Cisco IP Phone および Cisco IOS ルータに TFTP サーバ情報を提供します。

ナビゲーション パス

[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックスにアクセスするには、「[DHCP Server] ページ」で [Advanced] ボタンをクリックします。

関連項目

「DHCP サーバの設定」

フィールド リファレンス

 

表 50-8 [Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス

要素
説明

[Options] テーブル

このテーブルには、設定されている DHCP サーバ オプションが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] ボタンでは [Add DHCP Server Interface Configuration] ダイアログボックスが開き、[Edit Row] では [Edit DHCP Server Interface Configuration] ダイアログボックスが開きます。詳細については、「[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス」を参照してください。

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックスでは、DHCP クライアントに追加情報を提供する DHCP サーバ オプション パラメータを設定できます。たとえば、DHCP オプション 150 および DHCP オプション 66 は、Cisco IP Phone および Cisco IOS ルータに TFTP サーバ情報を提供します。

ナビゲーション パス

[Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックスには、「[Add DHCP Server Advanced Configuration]/[Edit DHCP Server Advanced Configuration] ダイアログボックス」からアクセスできます。

関連項目

「DHCP サーバの設定」

「[DHCP Server] ページ」

フィールド リファレンス

 

表 50-9 [Add DHCP Server Option]/[Edit DHCP Server Option] ダイアログボックス

要素
説明

Option Code

使用可能なオプション コードのリストから、オプションを選択します。オプション 1、12、50 ~ 54、58 ~ 59、61、67、82 を除き、すべての DHCP オプション(オプション 1 ~ 255)がサポートされています。

DHCP オプション コードの詳細については、cisco.com の『 DHCP Options Reference 』を参照してください。

Type

オプションによって DHCP クライアントに返される情報のタイプを選択します。

[IP]:このタイプを選択すると、1 つまたは 2 つの IP アドレスが DHCP クライアントに返されます。最大 2 つの IP アドレスを指定します。

[ASCII]:このタイプを選択すると、ASCII 値が DHCP クライアントに返されます。ASCII 文字列を指定します。スペースを含めることはできません。

[HEX]:このタイプを選択すると、16 進数値が DHCP クライアントに返されます。桁数が偶数の HEX 文字列を、スペースを含めずに指定します。0x プレフィクスを使用する必要はありません。

[DNS] ページ

DNS サーバ グループを設定するには、[DNS] ページを使用します。ファイアウォール デバイスは、これらの DNS サーバを使用して、完全修飾ドメイン名(ホスト名)を、ID 認証ファイアウォール ポリシーで使用する SSL VPN、証明書、および FQDN ネットワーク/ホスト オブジェクトの IP アドレスに解決します。サーバ名を定義するその他の機能(AAA など)は DNS 解決をサポートしません。IP アドレスを入力するか、名前を IP アドレスに手動で解決する必要があります。


ヒント DefaultDNS サーバ グループは ASA で事前定義されており、FQDN ネットワーク/ホスト オブジェクト解決に使用されます。FQDN オブジェクトを使用する場合、このグループに DNS サーバが設定されていることを確認します。それ以外の場合は、名前を解決できません。セキュリティを強化するには、信頼できる DNS サーバを指定したこと、および可能であればネットワーク内のサーバであることを確認します。詳細については、「ID 認証ファイアウォール ポリシーの要件」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「[Add DNS Server] ダイアログボックス」

フィールド リファレンス

 

表 50-10 [DNS] ページ

要素
説明

[DNS Server Groups] テーブル

このテーブルには、現在定義されている DNS サーバ グループが一覧表示されます。テーブルの下の [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのグループ エントリを管理します。

[Add Row] ボタンでは [Add DNS Server Group] ダイアログボックスが開き、[Edit Row] ボタンでは [Edit DNS Server Group] ダイアログボックスが開きます。タイトルを除き、これらのダイアログボックスは同じです。詳細については、「[Add DNS Server Group] ダイアログボックス」を参照してください。

DNS Lookup Interfaces

DNS ルックアップをイネーブルにするインターフェイスが一覧表示されます。1 つ以上のインターフェイスまたはインターフェイス ロールを入力または選択します。

Enable DNS Guard(ASA/PIX 7.0(5)、7.2(x)、および 8.x 限定)

このチェックボックスをオンにすると、選択したデバイスまたは共有ポリシーで DNS Guard がイネーブルになります。DNS Guard は、セキュリティ アプライアンスによって DNS 応答が転送されるとすぐに、DNS クエリーと関連付けられた DNS セッションをティアダウンします。また、DNS Guard は、メッセージ交換をモニタして、DNS 応答の ID が DNS クエリーの ID と一致することを確認します。

このコマンドは、DNS 検査がディセーブルになっているインターフェイスでのみ有効です。DNS 検査がイネーブルになっている場合、DNS Guard 機能は常に実行されます。

(注) 7.0(5) よりも前のリリースでは、DNS 検査の設定に関係なく、DNS Guard 機能は常にイネーブルになります。

DefaultDNS Server Group(ASA 8.4(2)+)

DefaultDNS サーバ グループにのみ適用される追加設定。これらの設定は、FQDN ネットワーク/ホスト オブジェクトを IP アドレスに解決する場合にのみ使用されます。

[Poll Timer]:FQDN ネットワーク/ホスト オブジェクトを IP アドレスに解決するために使用する、ポーリング サイクルの時間(分単位)。FQDN オブジェクトは、ファイアウォール ポリシーで使用される場合のみ解決されます。タイマーは、解決を行う間隔の最大時間を決定します。また、IP アドレス解決の更新時点の決定には、DNS エントリの Time-To-Live(TTL; 存続可能時間)値も使用されるため、各 FQDN はポーリング サイクルよりも頻繁に解決される場合があります。

デフォルトは 240 分(4 時間)です。指定できる範囲は 1 ~ 65535 分です。

[Expire Entry Timer]:DNS エントリが期限切れとなり(TTL の経過後)、DNS ルックアップ テーブルからエントリが削除されるまでの時間(分)。エントリを削除するにはテーブルを再コンパイルする必要があるので、エントリを頻繁に削除するとデバイスの処理負荷が増大します。いくつかの DNS エントリでは TTL を非常に短く(3 秒間以下)できるため、この設定を使用して TTL を実質的に拡張できます。

デフォルトは 1 分です(エントリは TTL の経過後 1 分で削除されます)。指定できる範囲は 1 ~ 65535 分です。

[Add DNS Server Group] ダイアログボックス

[Add DNS Server Group] ダイアログボックスを使用して、名前解決をサポートするポリシーでサーバ名を IP アドレスに解決するときにセキュリティ デバイスが使用する、DNS サーバ グループの DNS サーバおよび設定を定義します。


) このダイアログボックスと [Edit DNS Server Group] ダイアログボックスは、タイトルを除けば同じです。次の説明は両方に適用されます。


ナビゲーション パス

[Add DNS Server Group] および [Edit DNS Server Group] ダイアログボックスには、「[DNS] ページ」からアクセスできます。

フィールド リファレンス

 

表 50-11 [Add DNS Server Group]/[Edit DNS Server Group] ダイアログボックス

要素
説明

Name

DNS サーバ グループの名前を指定します。

ヒント DefaultDNS 名は ASA で事前定義されており、FQDN ネットワーク/ホスト オブジェクトの解決など、特定グループの選択を許可しないポリシーに使用されるサーバを含みます。

DNS Servers

このグループの DNS サーバをリストします。DNS 要求を転送可能な宛先のサーバを最大 6 台指定できます。セキュリティ アプライアンスは、応答を受け取るまで、各 DNS サーバを上から順に試行します。

(注) また、「[DNS] ページ」の [DNS Lookup] セクションで、DNS がイネーブルになっているインターフェイスを少なくとも 1 つ指定する必要があります。

このリストの隣の各ボタンを使用して、エントリを管理します。上から順に次の機能があります。

DNS サーバをリストに追加する。「[Add DNS Server] ダイアログボックス」が開きます。

リストから、選択されている DNS サーバ エントリを削除する。

現在選択されているエントリを 1 つ上の行に移動する。

現在選択されているエントリを 1 つ下の行に移動する。

Timeout

次の DNS サーバの試行を待機する秒数を 1 ~ 30 の範囲で指定します。デフォルトは 2 秒です。セキュリティ デバイスがサーバのリストを再試行するたびに、このタイムアウトは 2 倍に増えます。

Retries

セキュリティ デバイスが応答を受信しない場合に DNS サーバのリストを再試行する回数を、0 ~ 10 の範囲で指定します。

Domain Name

任意で、サーバの有効な DNS ドメイン名を指定します( dnsexample.com など)。

[Add DNS Server] ダイアログボックス

[Add DNS Server] ダイアログボックスを使用して、[Add DNS Server Group] または [Edit DNS Server Group] ダイアログボックス内の DNS サーバ リストに DNS サーバを追加します。

ナビゲーション パス

[Add DNS Server] ダイアログボックスには、[Add DNS Server Group] または [Edit DNS Server Group] ダイアログボックスからアクセスできます。これらのダイアログボックスの詳細については、「[Add DNS Server Group] ダイアログボックス」を参照してください。

関連項目

「[DNS] ページ」

フィールド リファレンス

 

表 50-12 [Add DNS Server] ダイアログボックス

要素
説明

IP Address Type

DNS サーバに割り当てられる IP アドレスのタイプ。IPv4 または IPv6。これはサーバが解決できるアドレスのタイプではありませんが、サーバ自体に割り当てられた IP アドレスに関連しています。

IPv6 は ASA 8.4(2+) でのみサポートされています。

DNS Server

DNS サーバの IP アドレス、またはアドレスを定義するホスト ネットワーク/ホスト オブジェクト。アドレスを入力するか、[Select] をクリックしてリストからネットワーク/ホスト オブジェクトを選択するか、または新しいオブジェクトを作成します。

DDNS の設定

Dynamic DNS(DDNS)は、DHCP で割り当てられた IP アドレスが頻繁に変更されても各ホストが互いを検出できるように、IP アドレスとドメイン名のマッピングの更新を行います。また、バージョン 7.2(3) 以降では、Cisco セキュリティ アプライアンスは DDNS 更新を生成できます。この機能は、[DDNS] ページで設定します。

DDNS マッピングは、DHCP サーバで 2 種類の Resource Record(RR)内で管理されます。アドレス( A )レコードには、名前から IP アドレスへのマッピングが含まれ、ポインタ( PTR )レコードはアドレスをホスト名にマップします。

DDNS は、定義した間隔で割り当て済みのアドレスとホスト名の間のアソシエーションを自動的に記録するため、アドレスとホスト名のアソシエーションを頻繁に変更することができます。これにより、たとえばモバイル ホストは、ユーザまたは管理者が操作することなく、ネットワーク内を自由に移動できます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DDNS] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [DDNS] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 50-13 [DDNS] ページ

要素
説明

Dynamic DNS Interface Settings

このテーブルには、現在定義されている DDNS インターフェイス更新方式が一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらの方式を管理します。[Add Row] および [Edit Row] ボタンを使用すると、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」が開きます。

DHCP Client requests DHCP Server to update records

DHCP クライアント更新要求のための、アプライアンスでのグローバル設定。このオプションでは、クライアントが DHCP サーバを介して DDNS 更新を送信できるようにし、更新するレコード(PTR リソース レコード、A リソース レコードと PTR リソース レコードの両方、またはどちらも更新しない)を指定します。[Not Selected]、[Only PTR Record]、[Both A and PTR Record]、または [No Update] を選択します。

DHCP Client ID Interface

グローバル DHCP クライアントの更新要求で使用するインターフェイスを指定します。インターフェイス名または IP アドレスを入力するか、インターフェイス オブジェクトを選択します。

Enable DHCP Client Broadcast

このオプションを選択すると、デバイス上の DHCP クライアントが DDNS 更新をブロードキャストできます。ASA/PIX 7.2(3)+ デバイスだけで選択可能です。

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックスを使用して、Dynamic DNS 更新のルールを管理します。これらのルールは、インターフェイスごとに定義します。

ナビゲーション パス

[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックスには、「DDNS の設定」からアクセスします。

関連項目

「[DDNS Update Methods] ダイアログボックス」

「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」

フィールド リファレンス

 

表 50-14 [Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス

要素
説明

Interface

DDNS を設定するインターフェイスの名前を入力または選択します。

(注) 指定したインターフェイスでは、DHCP がイネーブルになっている必要があります。

Method Name

以前に定義されている DDNS 更新方式を選択するか、または [Add Update Method]/[Edit Update Method] を選択して新しい方式を定義します。「[DDNS Update Methods] ダイアログボックス」ダイアログボックスが開きます。

Hostname

更新の送信先の DDNS サーバ ホストの名前を入力します。

DHCP Client requests DHCP Server to update records

インターフェイスでの DHCP クライアントの更新要求の設定。DHCP サーバが、PTR リソース レコードだけを更新するか、A リソース レコードと PTR リソース レコードの両方を更新するか、またはどちらも更新しないかを指定します。

[Not Selected]、[Only PTR Record]、[Both A and PTR Record]、または [No Update] を選択します。[Not Selected] 以外の項目を選択すると、「DDNS の設定」のグローバル設定が上書きされます。

[DDNS Update Methods] ダイアログボックス

[DDNS Update Methods] ダイアログボックスを使用して、Dynamic DNS 更新の方式を管理します。定義済みの方式ではそれぞれ、更新間隔と、更新対象のリソース レコードが指定されています。

ナビゲーション パス

[DDNS Update Methods] ダイアログボックスにアクセスするには、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」の [Method Name] ドロップダウン リストから [Add Update Method]/[Edit Update Method] を選択します。

関連項目

「DDNS の設定」

フィールド リファレンス

 

表 50-15 [DDNS Update Methods] ダイアログボックス

要素
説明

Update Methods

このテーブルには、現在定義されている更新方式が一覧表示されます。テーブルの下のボタンを使用して、これらのエントリを管理します。

[Add Row] ボタン

新しい更新方式を定義できる「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」が開きます。

[Edit Row] ボタン

テーブルで現在選択されている方式を編集できる「[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス」が開きます。

[Delete Row] ボタン

[Update Methods] テーブルで現在選択している方式を削除します。確認が必要な場合があります。

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックスを使用して、DDNS 更新方式を定義または編集します。現在定義されている方式は、「[DDNS Update Methods] ダイアログボックス」に一覧表示されます。

ナビゲーション パス

[Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックスにアクセスするには、「[DDNS Update Methods] ダイアログボックス」で [Add Row] または [Edit Row] ボタンをクリックします。

関連項目

「DDNS の設定」

フィールド リファレンス

 

表 50-16 [Add DDNS Update Methods]/[Edit DDNS Update Methods] ダイアログボックス

要素
説明

Method Name

この方式の識別子を指定します。

Update Interval

この方式でのレコードの更新頻度を指定します。日数、時間数、分数、および秒数を指定します。時間、分、および秒のデフォルト値は 0 ですが、[Day] のデフォルト値はないため、[Day] には数字を入力する必要があります。

Update Records

更新するリソース レコードを指定します。[Not Defined]、[A Records]、または [Both A and PTR Records] を選択します。[A Records] または [Both A and PTR Records] を選択すると、「[Add DDNS Interface Rule]/[Edit DDNS Interface Rule] ダイアログボックス」の設定が上書きされます。

[NTP] ページ

正確に同期された時刻をネットワーク システムに提供するサーバの階層システムを実装するには、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用します。正確なタイム スタンプが関連する時間依存操作(Certificate Revocation List(CRL; 証明書失効リスト)など)では、時刻が正確である必要があります。複数の NTP サーバを設定できます。セキュリティ デバイスは、(データの信頼度を測る手段として)最下層のサーバを選択します。


) このページは Catalyst 6500 サービス モジュール(ファイアウォール サービス モジュールおよび適応型セキュリティ アプライアンス サービス モジュール)では使用できません。


[NTP] ページを使用して、NTP をイネーブルにし、セキュリティ デバイスの時刻を動的に設定するために使用する NTP サーバを管理します。


) NTP サーバから取得された時刻によって、[Clock] ページで手動で設定した時刻がオーバーライドされます。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 50-17 [NTP] ページ

要素
説明

Enable NTP Authentication

NTP サーバでの認証をイネーブルまたはディセーブルにします。認証をディセーブルにしても、設定されているサーバのリストは変更されません。

認証をイネーブルにした場合、セキュリティ アプライアンスは、パケット内で適切な trusted key を使用している場合にだけ、NTP サーバと通信します。また、セキュリティ アプライアンスは、認証キーを使用して NTP サーバと同期します。

NTP Server Table

現在設定されている NTP サーバが一覧表示されます。[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、このリストを管理します。[Add Row] および [Edit Row] ボタンを使用すると、「[NTP Server Configuration] ダイアログボックス」が開きます。

[NTP Server Configuration] ダイアログボックス

[NTP Server Configuration] ダイアログボックスを使用して、NTP サーバ定義を追加または編集します。

ナビゲーション パス

[NTP Server Configuration] ダイアログボックスには、「[NTP] ページ」からアクセスできます。


) NTP ページは Catalyst 6500 サービス モジュール(ファイアウォール サービス モジュールおよび適応型セキュリティ アプライアンス サービス モジュール)では使用できません。


フィールド リファレンス

 

表 50-18 [NTP Server Configuration] ダイアログボックス

要素
説明

IP Address

NTP サーバの IP アドレスを入力または選択します。

Preferred

このチェックボックスをオンにした場合、複数のサーバの精度が同程度であれば、この NTP サーバが優先サーバとなります。

NTP では、どのサーバの精度が最も高いか判断するためのアルゴリズムを使用し、そのサーバに同期します。複数のサーバの精度が同程度であれば、このオプションで指定されたサーバが使用されます。ただし、優先サーバよりもはるかに精度の高いサーバがある場合、セキュリティ アプライアンスによって精度の高い方のサーバが使用されます。たとえば、セキュリティ アプライアンスでは、第 3 層の優先サーバではなく第 2 層のサーバが使用されます。複数のサーバの層が同じである可能性が高い場合にだけ、NTP サーバを優先サーバとして設定することを推奨します。

Interface

ルーティング テーブル内のデフォルト インターフェイスを上書きする場合は、NTP トラフィックに使用するインターフェイスを入力または選択します。

[Authentication Key]:NTP サーバとの通信に MD5 認証を使用する場合、このセクション内のパラメータによって認証キーの属性を設定します。

Key Number

この認証キーの ID を入力します。NTP サーバのパケットも、常にこのキー ID を使用する必要があります。以前に別のサーバに対してキー ID を設定した場合は、そのキー ID をリストから選択できます。それ以外の場合は、1 ~ 4294967295 の数字を入力します。

Trusted

このキーを trusted key として設定します。認証を正常に行うには、このオプションを選択する必要があります。

Key Value

認証キーを最大 32 文字の文字列として入力します。

Confirm

認証キーが正しいことを確認するために、キーを再入力します。

[SMTP Server] ページ

SMTP サーバの IP アドレスを指定するには、[SMTP Server] ページを使用します。また、オプションで、特定イベントへの応答で送信される電子メール アラートおよび通知の送信先であるバックアップ サーバの IP アドレスも指定できます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [SMTP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [SMTP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 50-19 [SMTP Server] ページ

要素
説明

Primary Server IP Address

SMTP サーバの IP アドレスを入力または選択します。

Secondary Server IP Address

バックアップ SMTP サーバの IP アドレスを入力または選択します。

[TFTP Server] ページ

Trivial File Transfer Protocol(TFTP)は、単純なクライアント/サーバ ファイル転送プロトコルで、RFC783 および RFC1350 Rev で規定されています。[TFTP Server] ページを使用して、セキュリティ アプライアンスが実行設定のコピーを TFTP サーバに転送できるように、セキュリティ アプライアンスを TFTP クライアントとして設定できます。この方法で、設定ファイルをバックアップして、複数のセキュリティ アプライアンスに伝播できます。1 台のサーバだけがサポートされます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [TFTP Server] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [TFTP Server] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 50-20 [TFTP Server] ページ

要素
説明

Interface

TFTP サーバへのアクセスに使用するインターフェイスの名前を入力または選択します。

IP Address

TFTP サーバの IP アドレスを入力または選択します。

Directory

TFTP サーバのパスを入力します。パスはスラッシュ(/)で始まり、設定ファイルの書き込み先となるファイル名で終わります(たとえば、/tftpboot/asa/config3)。

(注) パスはスラッシュ(/)で始まる必要があります。