Cisco Secure Firewall ASA シリーズコマンドリファレンス、I ～ R コマンド

integrity

AnyConnect IPsec 接続に使用する IKEv2 セキュリティアソシエーション（SA）の ESP 整合性アルゴリズムを指定するには、IKEv2 ポリシーコンフィギュレーションモードで integrity コマンドを使用します。コマンドを削除してデフォルト設定を使用するには、このコマンドの no 形式を使用します。

integrity { md5 | sha | sha256 | sha384 | sha512 | null }

no integrity { md5 | sha | sha256 | sha384 | sha512 | null }

構文の説明


md5	ESP の整合性保護のために MD5 アルゴリズムを指定します。
null	AES-GCM を暗号化アルゴリズムとして指定されている場合に管理者が IKEv2 整合性アルゴリズムとして null を選択できるようにします。
sha	（デフォルト）は、ESP の整合性保護のために米国連邦情報処理標準（FIPS）で定義されたセキュアハッシュアルゴリズム（SHA）SHA 1 を指定します。
sha256	256 ビットのダイジェストでセキュアハッシュアルゴリズム SHA 2 を指定します。
sha384	384 ビットのダイジェストでセキュアハッシュアルゴリズム SHA 2 を指定します。
sha512	512 ビットのダイジェストでセキュアハッシュアルゴリズム SHA 2 を指定します。

コマンドデフォルト

デフォルトは sha ( SHA 1 アルゴリズム）です。

使用上のガイドライン

IKEv2 SA は、IKEv2 ピアがフェーズ 2 で安全に通信できるようにするためにフェーズ 1 で使用されるキーです。crypto ikev2 policy コマンドを入力後、integrity コマンドを使用して ESP プロトコルの整合性アルゴリズムを設定します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.4(1)	このコマンドが追加されました。
8.4(2)	SHA 2 をサポートするために、sha256、sha384、および sha512 の各キーワードが追加されました。
9.0(1)	IKEv2 整合性アルゴリズムとして null オプションが追加されました。

例

次に、IKEv2 ポリシーコンフィギュレーションモードを開始し、整合性アルゴリズムを MD5 に設定する例を示します。


ciscoasa(config)# crypto ikev2 policy 1
ciscoasa(config-ikev2-policy)# integrity md5

コマンド	説明
encryption	AnyConnect IPsec 接続に対して IKEv2 SA の暗号化アルゴリズムを指定します。
group	AnyConnect IPsec 接続に対して IKEv2 SA の Diffie-Hellman グループを指定します。
ライフタイム	AnyConnect IPsec 接続に対して IKEv2 SA の SA ライフタイムを指定します。
prf	AnyConnect IPsec 接続に対して IKEv2 SA の疑似乱数関数を指定します。

intercept-dhcp

DHCP 代行受信を有効にするには、グループポリシーコンフィギュレーションモードで intercept-dhcp enable コマンドを使用します。実行コンフィギュレーションから intercept-dhcp 属性を削除し、ユーザーがデフォルトまたはその他のグループポリシーから DHCP 代行受信コンフィギュレーションを継承できるようにするには、このコマンドの no 形式を使用します。

intercept-dhcp netmask { enable | disable }

no intercept-dhcp

構文の説明


disable	DHCP 代行受信をディセーブルにします。
enable	DHCP 代行受信をイネーブルにします。
netmask	トンネル IP アドレスのサブネットマスクを提供します。

コマンドデフォルト

DHCP 代行受信はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

DHCP 代行受信を無効にするには、intercept-dhcp disable コマンドを使用します。

スプリットトンネルオプションが 255 バイトを超えていると、Microsoft XP で異常が発生し、ドメイン名が破損します。この問題を回避するには、ASA で送信ルートの数を 27 ～ 40 に制限します。ルートの数はルートのクラスによって異なります。

DHCP 代行受信によって、Microsoft XP クライアントは ASA でスプリットトンネリングを使用できるようになります。ASA は、Microsoft Windows XP クライアント DHCP Inform メッセージに直接応答して、クライアントにトンネル IP アドレス用のサブネットマスク、ドメイン名、およびクラスレススタティックルートを提供します。Windows クライアントが XP 以前である場合は、DHCP 代行受信により、ドメイン名およびサブネットマスクが提供されます。これは、DHCP サーバーを使用するのが効果的でない環境で役立ちます。

例

次に、FirstGroup というグループポリシーに DHCP 代行受信を設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# intercept-dhcp enable

interface (global)

インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで interface コマンドを使用します。サブインターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスやマッピングインターフェイスは削除できません。

物理インターフェイスの場合（ASASM を除くすべてのモデルが対象）：

interface physical_interface

サブインターフェイスの場合（ASA 5505 や ASASM 、または ASA 5506-X ～ ASA 5555-X の管理インターフェイスには使用不可）：

interface { physical_interface | redundant number | port-channel number } . subinterface

no interface { physical_interface | redundant number | port-channel number } . subinterface

マルチコンテキストモードの場合（マッピング名が割り当てられているとき）：

interface mapped_name

構文の説明


mapped_name	マルチコンテキストモードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を指定します。
`physical_interface`	`type` [`slot` / ]`port` という形式で物理インターフェイスのタイプ、スロット、およびポート番号を指定します。タイプとスロット/ポート間のスペースは任意です。物理インターフェイスのタイプには、次のものがあります。 ethernet gigabitethernet tengigabitethernet management タイプに続けてスロット/ポートを入力します。例、gigabitethernet 0/1 。管理インターフェイスは、管理トラフィック専用のインターフェイスです。ただし、モデルによっては、必要に応じて通過トラフィックに使用できます（management-only コマンドを参照）。インターフェイスのタイプ、スロット、およびポート番号を確認するには、モデルに付属のハードウェアマニュアルを参照してください。
subinterface	論理サブインターフェイスに指定されている 1 ～ 4294967293 の整数を指定します。サブインターフェイスの最大数は、ASA モデルによって異なります。サブインターフェイスは、ASA 5505 およびや、ASA 5512-X ～ ASA 5555-X の管理インターフェイスには使用できません。プラットフォームあたりのサブインターフェイス（または VLAN）の最大数については構成ガイドを参照してください。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。

コマンドデフォルト

ASA のデフォルトでは、すべての物理インターフェイスを対象に interface コマンドが自動的に生成されます。

マルチコンテキストモードでは、ASA は allocate-interface コマンドを使用して、コンテキストに割り当てられているすべてのインターフェイスを対象に interface コマンドを自動的に生成します。

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキストモードによって異なります。

マルチコンテキストモード、コンテキスト：システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。
シングルモードまたはマルチコンテキストモード、システム：インターフェイスのデフォルトの状態は次のとおりです。
- 物理インターフェイス：ディセーブル。
- サブインターフェイス：イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、サブインターフェイスの新しい命名規則に対応し、インターフェイスコンフィギュレーションモードでは引数が独立したコマンドとなるように変更されました。

使用上のガイドライン

インターフェイスコンフィギュレーションモードでは、インターフェイスのタイプおよびセキュリティコンテキストモードに応じて、ハードウェアの設定（物理インターフェイスの場合）、名前の割り当て、VLAN の割り当て、IP アドレスの割り当てなど、その他多くの設定を実行できます。

有効になっているインターフェイスでトラフィックを通過させるには、インターフェイスコンフィギュレーションモードコマンドである nameif を設定し、ルーテッドモードの場合には ip address を設定します。サブインターフェイスの場合は、vlan コマンドも設定します。

インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、clear local-host コマンドを使用して接続をクリアできます。

ASA 5512-X ～ ASA 5555-X の Management 0/0 インターフェイスには、次の特性があります。

通過トラフィックはサポートされません。
サブインターフェイスはサポートされません
プライオリティキューはサポートされません
マルチキャスト MAC はサポートされません
IPS SSP ソフトウェアモジュールによって Management 0/0 インターフェイスは共有されます。ASA と IPS モジュールに対して別の MAC アドレスと IP アドレスがサポートされます。IPS オペレーティングシステムで IPS の IP アドレスのコンフィギュレーションを実行する必要があります。ただし、物理特性（インターフェイスの有効化など）は、ASA 上で設定されます。

例

次に、シングルモードで物理インターフェイスのパラメータを設定する例を示します。


ciscoasa(config)# interface gigabitethernet0/1
ciscoasa(config-if)# speed 1000
ciscoasa(config-if)# duplex full
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

次に、シングルモードでサブインターフェイスのパラメータを設定する例を示します。


ciscoasa(config)# interface gigabitethernet0/1.1
ciscoasa(config-subif)# vlan 101
ciscoasa(config-subif)# nameif dmz1
ciscoasa(config-subif)# security-level 50
ciscoasa(config-subif)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-subif)# no shutdown

次に、システムコンフィギュレーション用にマルチコンテキストモードでインターフェイスパラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。


ciscoasa(config)# interface gigabitethernet0/1
ciscoasa(config-if)# speed 1000
ciscoasa(config-if)# duplex full
ciscoasa(config-if)# no 
shutdown
ciscoasa(config-if)# interface gigabitethernet0/1.1
ciscoasa(config-subif)# vlan 101
ciscoasa(config-subif)# no shutdown
ciscoasa(config-subif)# context contextA
ciscoasa(config-ctx)# ...
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.1

次に、コンテキストコンフィギュレーション用にマルチコンテキストモードでパラメータを設定する例を示します。


ciscoasa/contextA(config)# interface gigabitethernet0/1.1
ciscoasa/contextA(config-if)# nameif inside
ciscoasa/contextA(config-if)# security-level 100
ciscoasa/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa/contextA(config-if)# no shutdown

コマンド	説明
allocate-interface	インターフェイスおよびサブインターフェイスをセキュリティコンテキストに割り当てます。
member-interface	インターフェイスを冗長インターフェイスに割り当てます。
clear interface	show interface コマンドのカウンタをクリアします。
show interface	インターフェイスの実行時ステータスと統計情報を表示します。
vlan	サブインターフェイスに VLAN を割り当てます。

interface（vpn ロードバランシング）

VPN ロードバランシングの仮想クラスタで VPN ロードバランシング用にデフォルト以外のパブリックインターフェイスまたはプライベートインターフェイスを指定するには、VPN ロードバランシングモードで interface コマンドを使用します。このインターフェイス指定を削除し、デフォルトのインターフェイスに戻すには、このコマンドの no 形式を使用します。

interface { lbprivate | lbpublic } interface-name

interface { lbprivate | lbpublic }

構文の説明


`interface-name`	VPN ロードバランシングクラスタのパブリックインターフェイスまたはプライベートインターフェイスとして設定されるインターフェイスの名前。
lbprivate	このコマンドが VPN ロードバランシングのプライベートインターフェイスを設定することを指定します。
lbpublic	このコマンドが VPN ロードバランシングのパブリックインターフェイスを設定することを指定します。

コマンドデフォルト

interface コマンドを省略した場合、 lbprivate インターフェイスはデフォルトで inside に設定され、lbpublic インターフェイスはデフォルトで outside に設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
vpn ロードバランシング	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

まず、vpn load-balancing コマンドを使用して、VPN ロードバランシングコンフィギュレーションモードを開始する必要があります。

また、あらかじめ interface 、ip address 、nameif の各コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。

例

次に、vpn load-balancing コマンドシーケンスの例を示します。シーケンス内の interface コマンドでは、クラスタのプライベートインターフェイスをデフォルト（inside）に戻す「test」インターフェイスとして、クラスタのパブリックインターフェイスを指定しています。


ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# no
 interface lbprivate
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# participate

ciscoasa(config-load-balancing)# participate

コマンド	説明
vpn load-balancing	VPN ロードバランシングコンフィギュレーションモードを開始します。

interface bvi

ブリッジグループのブリッジ仮想インターフェイス（BVI）を設定するには、グローバルコンフィギュレーションモードで interface bvi コマンドを使用します。BVI 構成を削除するには、このコマンドの no 形式を使用します。

interface bvi bridge_group_number

no interface bvi bridge_group_number

構文の説明


`bridge_group_number`	ブリッジグループの番号を 1 ～ 100 の範囲で指定します。9.3(1) 以降では、範囲が 1 ～ 250 に拡大されています。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	—	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.4(1)	このコマンドが追加されました。
9.3(1)	250 BVI をサポートするために数値の範囲が 1 ～ 250 に増加しました。
9.6(2)	ブリッジグループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。

使用上のガイドライン

このコマンドを使用してインターフェイスコンフィギュレーションモードを開始すると、ブリッジグループの管理用 IP アドレスを設定できます。セキュリティコンテキストのオーバーヘッドを避けたい場合、またはセキュリティコンテキストを最大限に使用したい場合、インターフェイスをブリッジグループにグループ化し、各ネットワークに 1 つずつ複数のブリッジグループを設定できます。ブリッジグループのトラフィックは他のブリッジグループから隔離され、トラフィックは ASA 内の他のブリッジグループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジグループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジグループごとに分かれていますが、その他の多くの機能はすべてのブリッジグループ間で共有されます。たとえば、syslog サーバーまたは AAA サーバーの設定は、すべてのブリッジグループで共有されます。セキュリティポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジグループにして、セキュリティコンテキストを使用します。コンテキストまたはシングルモードごとに、少なくとも 1 つのブリッジグループが必要です。

ブリッジグループにはそれぞれ管理 IP アドレスが必要です。ASA は、ブリッジグループから発信されるパケットの送信元アドレスとしてこの IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、管理 IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカルアドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。他の管理方法としては、ブリッジグループとは別に管理インターフェイスを設定する方法があります。

9.2 以前では、シングルモードまたはマルチモードのコンテキストごとに最大 8 個のブリッジグループを設定できます。9.3(1) 以降では、最大 250 個のブリッジグループを設定できます。各ブリッジグループには、最大 4 つのインターフェイスを含めることができます。9.6(2) 以降では、最大 64 のインターフェイスをブリッジグループに追加できます。同一インターフェイスを複数のブリッジグループに割り当てることはできません。少なくとも 1 つのブリッジグループを使用し、データインターフェイスがブリッジグループに属している必要があることに注意してください。

（注）

ASA 5505 に複数のブリッジグループを設定できますが、ASA 5505 のトランスペアレントモードのデータインターフェイスは 2 つという制限は、実質的にブリッジグループを 1 つだけ使用できることを意味します。

（注）

個別の管理インターフェイスでは、設定できないブリッジグループ（ID 301）は、設定に自動的に追加されます。このブリッジグループはブリッジグループの制限に含まれません。

（注）

ASA では、セカンダリネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックのみサポートされています。

例

次の例では、3 つのインターフェイスそれぞれの 2 つのブリッジグループと管理専用インターフェイスを示します。


interface gigabitethernet 0/0
nameif inside
security-level 100
bridge-group 1
no shutdown
interface gigabitethernet 0/1
nameif outside
security-level 0
bridge-group 1
no shutdown
interface gigabitethernet 0/2
nameif dmz
security-level 50
bridge-group 1
no shutdown
interface bvi 1
ip address 10.1.3.1 255.255.255.0 standby 10.1.3.2
interface gigabitethernet 1/0
nameif inside
security-level 100
bridge-group 2
no shutdown
interface gigabitethernet 1/1
nameif outside
security-level 0
bridge-group 2
no shutdown
interface gigabitethernet 1/2
nameif dmz
security-level 50
bridge-group 2
no shutdown
interface bvi 2
ip address 10.3.5.8 255.255.255.0 standby 10.3.5.9
interface management 0/0
nameif mgmt
security-level 100
ip address 10.2.1.1 255.255.255.0 standby 10.2.1.2
no shutdown

コマンド	説明
ace/bvi	ブリッジ仮想インターフェイスの設定を消去します。
bridge-group	トランスペアレントファイアウォールインターフェイスをブリッジグループにグループ化します。
interface	インターフェイスを設定します。
ip address	ブリッジグループの管理 IP アドレスを設定します。
show bridge-group	メンバインターフェイスや IP アドレスなど、ブリッジグループの情報を表示します。
show running-config interface bvi	ブリッジグループインターフェイスコンフィギュレーションを表示します。

interface loopback

ループバックインターフェイスを作成するには、グローバルコンフィギュレーションモードで interface loopback コマンドを使用します。ループバックインターフェイスを削除するには、このコマンドの no 形式を使用します。

interface loopback number

no interface loopback number

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

使用上のガイドライン

ループバックインターフェイスは、物理インターフェイスをエミュレートするソフトウェア専用インターフェイスであり、複数の物理インターフェイスを介して到達可能です。ループバックインターフェイスは、デバイス間のトラフィックにのみ使用できます。

次の機能は、ループバックインターフェイスをサポートしています。

AAA
BGP
DNS
HTTP
ICMP
SNMP
SSH
Syslog
Telnet
VTI 送信元インターフェイス

コマンド履歴


リリース	変更内容
9.18(2)	このコマンドが追加されました。
9.19(1)	VTI のサポートが追加されました。
9.20(1)	DNS、HTTP、および ICMP のサポートが追加されました。

例

次の例では、新しいループバックインターフェイスを作成します。


ciscoasa(config)# interface loopback 10

コマンド	説明
tunnel source interface	VTI トンネルを作成するための送信元インターフェイスを指定します。
ssh	インターフェイスの SSH を設定します。
logging host	Syslog ホストを指定します。
neighbor update-source	インターフェイスを BGP スピーキングネイバーの送信元として設定します。
snmp-server host	SNMP サーバーを指定します。
telnet	インターフェイスの Telnet を設定します。

interface-policy

モニタリングでインターフェイスの障害を検出する際にフェールオーバーのポリシーを指定するには、フェールオーバーグループコンフィギュレーションモードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

interface-policy num [ % ]

no interface-policy num [ % ]

構文の説明


`num`	パーセンテージとして使用するときには 1 ～ 100 の数値を指定し、そうでなければインターフェイスの最大数として 1 を指定します。
%	（任意）num の数字が、モニター対象インターフェイスのパーセンテージであることを指定します。

コマンドデフォルト

ユニットに failover interface-policy コマンドが設定されている場合は、その値が interface-policy failover group コマンドのデフォルトと見なされます。そうでない場合、num は 1 となります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
フェールオーバーグループコンフィギュレーション	対応	対応	—	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

num 引数とオプションの % キーワードの間にはスペースを挿入しません。

障害が発生したインターフェイスの数が設定したポリシーを満たし、他の ASA が正しく機能している場合、ASA が自らを障害発生としてマークし、フェールオーバーが発生することがあります（アクティブな ASA で障害が発生した場合）。ポリシーでカウントされるのは、monitor-interface コマンドでモニター対象として指定したインターフェイスのみです。

例

次の部分的な例では、フェールオーバーグループで可能な設定を示します。


ciscoasa(config)# failover group 1
 
ciscoasa(config-fover-group)# primary
ciscoasa(config-fover-group)# preempt 100
ciscoasa(config-fover-group)# interface-policy 25%
ciscoasa(config-fover-group)# exit
ciscoasa(config)#

コマンド	説明
failover group	Active/Active フェールオーバーのためのフェールオーバーグループを定義します。
failover interface-policy	インターフェイスモニタリングポリシーを設定します。
monitor-interface	フェールオーバーのためにモニター対象にするインターフェイスを指定します。

interface port-channel

EtherChannel インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで interface port-channel コマンドを使用します。EtherChannel インターフェイスを削除するには、このコマンドの no 形式を使用します。

interfaceport-channelnumber

no interface port-channel number

構文の説明

number

EtherChannel チャネルグループ ID を指定します。範囲は 1 ～48 です。このインターフェイスは、チャネルグループにインターフェイスを追加したときに自動的に作成されたものです。まだインターフェイスを追加していない場合は、このコマンドを実行するとポートチャネルインターフェイスが作成されます。

（注）

少なくとも 1 つのメンバインターフェイスをポートチャネルインターフェイスに追加してからでなければ、インターフェイスの論理パラメータ（名前など）は設定できません。

コマンドデフォルト

デフォルトでは、ポートチャネルインターフェイスはイネーブルになっています。ただし、トラフィックが EtherChannel を通過するためには、チャネルグループ物理インターフェイスもイネーブルになっている必要があります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
8.4(1)	このコマンドが追加されました。

使用上のガイドライン

インターフェイスコンフィギュレーションモードでは、名前や IP アドレスの割り当て、およびさまざまな設定ができます。

有効になっているインターフェイスでトラフィックを通過させるには、インターフェイスコンフィギュレーションモードコマンドである nameif を設定し、ルーテッドモードの場合には ip address を設定します。

インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、clear local-host コマンドを使用して接続をクリアできます。

（注）

このコマンドは、ASA 5505 や ASASM ではサポートされません。4GE SSM（これには ASA 5550 のスロット 1 の統合 4GE SSM も含まれます）上のインターフェイスを EtherChannel の一部として使用することはできません。

インターフェイスの詳細については、CLI 設定ガイドを参照してください。

例

次の例では、3 つのインターフェイスを EtherChannel の一部として設定します。また、システムプライオリティをより高く設定するとともに、GigabitEthernet 0/2 のプライオリティを他のインターフェイスよりも高く設定します。これは、8 個を超えるインターフェイスが EtherChannel に割り当てられた場合に備えるためです。


ciscoasa(config)# lacp system-priority 1234
ciscoasa(config-if)# interface GigabitEthernet0/0
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# interface GigabitEthernet0/1
ciscoasa(config-if)# channel-group 1 mode active
ciscoasa(config-if)# interface GigabitEthernet0/2
ciscoasa(config-if)# lacp port-priority 1234
ciscoasa(config-if)# channel-group 1 mode passive
ciscoasa(config-if)# interface Port-channel1
ciscoasa(config-if)# lacp max-bundle 4
ciscoasa(config-if)# port-channel min-bundle 2
ciscoasa(config-if)# port-channel load-balance dst-ip

コマンド	説明
channel-group	EtherChannel にインターフェイスを追加します。
interface port-channel	EtherChannel を設定します。
lacp max-bundle	チャネルグループで許可されるアクティブインターフェイスの最大数を指定します。
lacp port-priority	チャネルグループの物理インターフェイスのプライオリティを設定します。
lacp system-priority	LACP システムプライオリティを設定します。
port-channel load-balance	ロードバランシングアルゴリズムを設定します。
port-channel min-bundle	ポートチャネルインターフェイスがアクティブになるために必要な、アクティブインターフェイスの最小数を指定します。
show lacp	LACP 情報（トラフィック統計情報、システム ID、ネイバーの詳細など）が表示されます。
show port-channel	EtherChannel 情報が、詳細に 1 行のサマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。
show port-channel load-balance	ポートチャネル負荷分散情報が、指定のパラメータセットに対するハッシュ結果および選択されたメンバーインターフェイスとともに表示されます。

interface redundant

冗長インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで interface redundant コマンドを使用します。冗長インターフェイスを削除するには、このコマンドの no 形式を使用します。

interface redundant number

no interface redundant number

構文の説明


number	論理冗長インターフェイス ID を指定します。範囲は 1 ～8 です。redundant と ID 間のスペースは任意です。

コマンドデフォルト

デフォルトでは、冗長インターフェイスはイネーブルになっています。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです（member-interface コマンドを参照）。アクティブインターフェイスで障害が発生すると、スタンバイインターフェイスがアクティブになって、トラフィックを通過させ始めます。

すべての ASA コンフィギュレーションは、メンバ物理インターフェイスではなく論理冗長インターフェイスを参照します。

インターフェイスコンフィギュレーションモードでは、名前や IP アドレスの割り当て、およびさまざまな設定ができます。

有効になっているインターフェイスでトラフィックを通過させるには、インターフェイスコンフィギュレーションモードコマンドである nameif を設定し、ルーテッドモードの場合には ip address を設定します。

インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、clear local-host コマンドを使用して接続をクリアできます。

（注）

このコマンドは、ASA 5505 や ASASM ではサポートされません。

インターフェイスの詳細については、CLI 設定ガイドを参照してください。

例

次の例では、2 つの冗長インターフェイスを作成します。


ciscoasa(config)# interface redundant 1
ciscoasa(config-if)# member-interface gigabitethernet 0/0
ciscoasa(config-if)# member-interface gigabitethernet 0/1
ciscoasa(config-if)# interface redundant 2
ciscoasa(config-if)# member-interface gigabitethernet 0/2
ciscoasa(config-if)# member-interface gigabitethernet 0/3

コマンド	説明
clear interface	show interface コマンドのカウンタをクリアします。
debug redundant-interface	冗長インターフェイスのイベントまたはエラーに関するデバッグメッセージを表示します。
interface redundant	冗長インターフェイスを作成します。
member-interface	物理インターフェイスを冗長インターフェイスに割り当てます。
redundant-interface	アクティブなメンバインターフェイスを変更します。
show interface	インターフェイスの実行時ステータスと統計情報を表示します。

interface tunnel

新しい VTI トンネルインターフェイスを作成するには、グローバルコンフィギュレーションモードで interface tunnel コマンドを使用します。VTI トンネルインターフェイスを削除するには、このコマンドの no 形式を使用します。

interface tunnel number

no interface tunnel number

構文の説明


`number`	トンネルインターフェイスに番号を割り当てます。0 から 1024 までの任意の番号を指定できます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	非対応	対応	非対応	-

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドとそのサブモードを導入しました。
9.16(1)	デバイスごとにサポートされるトンネルインターフェイスの数が 100 から 1024 に増えました。

例

次に、新しいトンネルインターフェイスを作成する例を示します。


ciscoasa(config)# interface tunnel 10

コマンド	説明
tunnel source interface	VTI トンネルを作成するための送信元インターフェイスを指定します。
tunnel destination	VTI トンネルの宛先の IP アドレスを指定します。
tunnel mode	IPsec がトンネル保護に使用されることを指定します。
tunnel protection ipsec	トンネル保護に使用される IPsec プロファイルを指定します。

interface vlan

ASA 5505 および ASASM で、VLAN インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで interface vlan コマンドを使用します。VLAN インターフェイスを削除するには、このコマンドの no 形式を使用します。

interface vlan number

no interface vlan number

構文の説明


number	VLAN ID を指定します。 ASA 5505 の場合、1 ～ 4090 の ID を使用します。VLAN インターフェイス ID は、デフォルトでは VLAN 1 でイネーブルになっています。 ASASM の場合は、2 ～ 1000 および 1025 ～ 4094 の ID を使用します。

コマンドデフォルト

デフォルトで、VLAN インターフェイスはイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
8.4(1)	ASASM のサポートが追加されました。

使用上のガイドライン

ASASM の場合、構成に任意の VLAN ID を追加できますが、トラフィックを転送できるのはスイッチによって ASA に割り当てられた VLAN だけです。ASA に割り当てられたすべての VLAN を表示するには、show vlan コマンドを使用します。スイッチによって ASA にまだ割り当てられていない VLAN にインターフェイスを追加した場合、そのインターフェイスはダウンステートになります。ASA に VLAN を割り当てた時点で、インターフェイスはアップステートに変化します。インターフェイスステートの詳細については、show interface コマンドを参照してください。

インターフェイスコンフィギュレーションモードでは、名前や IP アドレスの割り当て、およびさまざまな設定ができます。

有効になっているインターフェイスでトラフィックを通過させるには、インターフェイスコンフィギュレーションモードコマンドである nameif を設定し、ルーテッドモードの場合には ip address を設定します。ASA 5505 スイッチの物理インターフェイスは、 switchport access vlan コマンドを使用して VLAN インターフェイスに割り当てます。

インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、clear local-host コマンドを使用して接続をクリアできます。

インターフェイスの詳細については、CLI 設定ガイドを参照してください。

例

次の例では、3 つの VLAN インターフェイスを設定します。3 つめの家庭用インターフェイスは、業務用インターフェイスにトラフィックを転送できません。


ciscoasa(config)# interface vlan 100
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address dhcp
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 200
ciscoasa(config-if)# nameif work
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 300
ciscoasa(config-if)# no forward interface vlan 200
ciscoasa(config-if)# nameif home
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.2.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown

次に、 failover lan コマンドを使用して個別に設定されるフェールオーバーインターフェイスを含め、5 つの VLAN インターフェイスを設定する例を示します。


ciscoasa(config)# interface vlan 100
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 200
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.2.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 300
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.3.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 400
ciscoasa(config-if)# nameif backup-isp
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# failover lan faillink vlan500
ciscoasa(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 400
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 500
ciscoasa(config-if)# no shutdown

コマンド	説明
allocate-interface	インターフェイスおよびサブインターフェイスをセキュリティコンテキストに割り当てます。
clear interface	show interface コマンドのカウンタをクリアします。
show interface	インターフェイスの実行時ステータスと統計情報を表示します。

interface vni

VXLAN ネットワーク ID（VNI）インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで interface vni コマンドを使用します。VNI インターフェイスを削除するには、このコマンドの no 形式を使用します。

interface vni number

no interface vni number

構文の説明


number	1 ～ 10000 の範囲で ID を設定します。この ID は内部インターフェイス識別子です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.4(1)	このコマンドが追加されました。

使用上のガイドライン

vtep-nve コマンドを使用して VNI インターフェイスと VTEP 送信元インターフェイスを関連付ける必要があります。また、VXLAN segment-id を設定する必要があります。

例

次に、GigabitEthernet 1/1 インターフェイスを VTEP 送信元インターフェイスとして設定し、VNI 1 インターフェイスをそれに関連付ける例を示します。


ciscoasa(config)# interface gigabitethernet 1/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config)# nve 1
ciscoasa(cfg-nve)# source-interface outside
ciscoasa(config)# interface vni 1
ciscoasa(config-if)# segment-id 1000
ciscoasa(config-if)# vtep-nve 1
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# mcast-group 236.0.0.100

interim-accounting-update

AAA サーバーグループ用の RADIUS 中間アカウンティング更新メッセージの生成を有効にするには、AAA サーバーグループコンフィギュレーションモードで interim-accounting-update コマンドを使用します。中間アカウンティング更新メッセージを無効にするには、このコマンドの no 形式を使用します。

interim-accounting-update [ periodic [ hours ] ]

no interim-accounting-update [ periodic [ hours ] ]

構文の説明


periodic [`hours` ]	（オプション）対象のサーバーグループにアカウンティングレコードを送信するように設定されたすべての VPN セッションのアカウンティングレコードの定期的な生成と伝送をイネーブルにします。オプションで、これらの更新の送信間隔（時間単位）を含めることができます。デフォルトは 24 時間で、指定できる範囲は 1 ～ 120 時間です。このオプションは、ISE 認証変更用に設定されたサーバーグループに対して使用します。

コマンドデフォルト

デフォルトでは、中間アカウンティング更新はイネーブルになりません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
aaa サーバーグループコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.2(1)	periodic キーワードが追加されました。

使用上のガイドライン

periodic キーワードなしでこのコマンドを使用すると、ASA は、VPN トンネル接続がクライアントレス VPN セッションに追加されたときにのみ中間アカウンティング更新メッセージを送信します。これが発生した場合、新たに割り当てられた IP アドレスを RADIUS に通知するためのアカウンティングアップデートが生成されます。

サーバーグループを使用してリモートアクセス VPN の ISE 認可変更を設定する場合は、periodic キーワードを追加します。定期期間には、AnyConnect 接続とクライアントレスセッションが含まれます。

ISE は、ASA などの NAS デバイスから受信するアカウンティングレコードに基づいてアクティブセッションのディレクトリを保持します。ただし、セッションが依然としてアクティブなアカウンティングメッセージ（またはポスチャトランザクション）であるという通知を 5 日間にわたって受信しない場合、ISE はセッションレコードをデータベースから削除します。長期間アクティブな VPN 接続が削除されないようにするには、すべてのアクティブセッションに関して定期的な中間アカウンティング更新メッセージを ISE 送信するようにグループを設定します。

例

次の例は、ISE サーバーグループに、動的認可（CoA）のアップデートと時間ごとの定期的なアカウンティングを設定する方法を示しています。ISE によるパスワード認証を設定するトンネルグループ設定が含まれています。


ciscoasa(config)# aaa-server ise protocol radius
ciscoasa(config-aaa-server-group)# interim-accounting-update periodic 1
ciscoasa(config-aaa-server-group)# dynamic-authorization
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server ise (inside) host 10.1.1.3
ciscoasa(config-aaa-server-host)# key sharedsecret
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)# tunnel-group aaa-coa general-attributes
ciscoasa(config-tunnel-general)# address-pool vpn
ciscoasa(config-tunnel-general)# authentication-server-group ise
ciscoasa(config-tunnel-general)# accounting-server-group ise
ciscoasa(config-tunnel-general)# exit

次に、ISE でローカル証明書の検証と認可用のトンネルグループを設定する例を示します。この場合、サーバーグループは認証用に使用されないため、authorize-only コマンドをサーバーグループコンフィギュレーションに組み込みます。


ciscoasa(config)# aaa-server ise protocol radius
ciscoasa(config-aaa-server-group)# authorize-only
ciscoasa(config-aaa-server-group)# interim-accounting-update periodic 1
ciscoasa(config-aaa-server-group)# dynamic-authorization
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server ise (inside) host 10.1.1.3
ciscoasa(config-aaa-server-host)# key sharedsecret
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)# tunnel-group aaa-coa general-attributes
ciscoasa(config-tunnel-general)# address-pool vpn
ciscoasa(config-tunnel-general)# authentication certificate
ciscoasa(config-tunnel-general)# authorization-server-group ise
ciscoasa(config-tunnel-general)# accounting-server-group ise
ciscoasa(config-tunnel-general)# exit

internal-password

クライアントレス SSL VPN ポータルページで追加パスワードフィールドを表示するには、webvpn コンフィギュレーションモードで internal-password コマンドを使用します。この追加パスワードは、SSO を許可しているファイルサーバーに対して ASA がユーザーを認証するために使用されます。

内部パスワードの使用を無効にするには、このコマンドの no 形式を使用します。

internal-passwordenable

no internal password

構文の説明


enable	内部パスワードの使用をイネーブルにします。

コマンドデフォルト

デフォルトではディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

イネーブルにした場合、エンドユーザーはクライアントレス SSL VPN セッションにログインするときに 2 つめのパスワードを入力します。クライアントレス SSL VPN サーバーは、HTTPS を使用して、ユーザー名やパスワードなどの SSO 認証要求を認証サーバーに送信します。認証サーバーが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバーに返されます。このクッキーはユーザーに代わって ASA に保持され、SSO サーバーにより保護されているドメイン内の Web サイトの安全を確保するために、ユーザー認証で使用されます。

内部パスワード機能は、内部パスワードを SSL VPN パスワードとは異なるものにする場合に便利です。特に、ASA への認証にはワンタイムパスワードを使用し、内部サイトの認証には別のパスワードを使用できます。

例

次に、内部パスワードをイネーブルにする例を示します。


ciscoasa
(config)# 
webvpn
ciscoasa
(config-webvpn)#
 internal password enable
ciscoasa(config-webvpn)#

internal-port

Azure Gateway Load Balancer（GWLB）の Azure 上の ASA Virtual の VNI インターフェイスに VXLAN 内部ポートを指定するには、インターフェイスコンフィギュレーションモードで internal-port コマンドを使用します。ポートを削除するには、このコマンドの no 形式を使用します。

internal-port port

no internal-port port

構文の説明


`port`	ポートを 1024 ～ 65535 に設定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.19(1)	このコマンドが追加されました。

使用上のガイドライン

Azure サービスチェーンでは、ASA Virtual がインターネットと顧客サービス間のパケットをインターセプトできる透過的なゲートウェイとして機能します。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

例

次の例では、Azure GWLB の VNI 1 インターフェイスを設定します。


ciscoasa(config)# interface vni 1
ciscoasa(config-if)# proxy paired
ciscoasa(config-if)# internal-segment-id 1000
ciscoasa(config-if)# external-segment-id 1001
ciscoasa(config-if)# internal-port 101
ciscoasa(config-if)# external-port 102
ciscoasa(config-if)# vtep-nve 1
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50

internal-segment-id

Azure Gateway Load Balancer（GWLB）の Azure 上の ASA Virtual の VNI インターフェイスに VXLAN 内部セグメント ID を指定するには、インターフェイスコンフィギュレーションモードで internal-segment-id コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。

internal-segment-id id

no internal-segment-id id

構文の説明


`id`	1 ～ 16777215 の範囲で ID を設定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.19(1)	このコマンドが追加されました。

使用上のガイドライン

Azure サービスチェーンでは、ASA Virtual がインターネットと顧客サービス間のパケットをインターセプトできる透過的なゲートウェイとして機能します。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

例

次の例では、Azure GWLB の VNI 1 インターフェイスを設定します。


ciscoasa(config)# interface vni 1
ciscoasa(config-if)# proxy paired
ciscoasa(config-if)# internal-segment-id 1000
ciscoasa(config-if)# external-segment-id 1001
ciscoasa(config-if)# internal-port 101
ciscoasa(config-if)# external-port 102
ciscoasa(config-if)# vtep-nve 1
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50

interval maximum

DDNS 更新方式による更新試行の最大間隔を設定するには、DDNS 更新方式モードで interval コマンドを使用します。実行コンフィギュレーションから DDNS 更新方式の間隔を削除するには、このコマンドの no 形式を使用します。

interval maximum days hours minutes seconds

no interval maximum days hours minutes seconds

構文の説明


days	更新試行間の日数を 0 ～ 364 の範囲で指定します。
hours	更新試行間の時間数を 0 ～ 23 の範囲で指定します。
minutes	更新試行間の分数を 0 ～ 59 の範囲で指定します。
seconds	更新試行間の秒数を 0 ～ 59 の範囲で指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DDNS 更新方式コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

日、時間、分、および秒を足すと、間隔の合計時間になります。

例

次に、3 分 15 秒ごとに更新を試行する方式を ddns-2 という名前で設定する例を示します。


ciscoasa(config)# ddns update method ddns-2
ciscoasa(DDNS-update-method)# interval maximum 0 0 3 15

invalid-ack

ACK が無効になっているパケットに対するアクションを設定するには、tcp-map コンフィギュレーションモードで invalid-ack コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

invalid-ack { allow | drop }

no invalid-ack

構文の説明


allow	ACK が無効になっているパケットを許可します。
drop	ACK が無効になっているパケットをドロップします。

コマンドデフォルト

デフォルトアクションは、ACK が無効になっているパケットをドロップすることです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
TCP マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(4)/8.0(4)	このコマンドが追加されました。

使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラポリシーフレームワークを次のように使用します。

tcp-map ：TCP 正規化アクションを指定します。
1. invalid-ack ：tcp マップコンフィギュレーションモードでは、 invalid-ack コマンドおよびその他数多くのコマンドを入力できます。
class-map ：TCP 正規化を実行するトラフィックを指定します。
policy-map ：各クラスマップに関連付けるアクションを指定します。
1. class ：アクションを実行するクラスマップを指定します。
2. set connection advanced-options ：作成した TCP マップを識別します。
service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

次のような場合に無効な ACK が検出される可能性があります。

TCP 接続が SYN-ACK-received ステータスでは、受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号と同じでない場合、その ACK は無効です。
受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号より大きい場合は常に、その ACK は無効です。

（注）

無効な ACK を含む TCP パケットは、WAAS 接続で自動的に許可されます。

例

次に、ACK が無効になっているパケットを許可するように ASA を設定する例を示します。


ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# invalid-ack allow
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match any
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)#

ip address

インターフェイスの IP アドレス（ルーテッドモード）や、ブリッジ仮想インターフェイス（BVI）（ルーテッドモードまたはトランスペアレントモード）を設定するには、インターフェイスコンフィギュレーションモードで ip address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

ip address ip_address [ mask ] standby ip_address | cluster-pool poolname ]

no ip address [ ip_address ]

構文の説明


cluster-pool poolname	（任意）ASA クラスタリングの場合に、ip local pool コマンドで定義されたアドレスのクラスタプールを設定します。ip_address 引数で定義されたメインクラスタの IP アドレスは、現在のマスターユニットにのみ属します。各クラスタメンバには、このプールからローカル IP アドレスが割り当てられます。各ユニットに割り当てられるアドレスは、事前に正確に特定できません。各ユニットで使用されているアドレスを表示するには、show ip local pool poolname コマンドを入力します。各クラスタメンバには、クラスタに参加したときにメンバ ID が割り当てられます。この ID によって、プールから使用されるローカル IP が決定します。
`ip_address`	インターフェイスの IP アドレス。
`mask`	（任意）IP アドレスのサブネットマスク。マスクを設定しない場合、ASA では IP アドレスクラスのデフォルトマスクが使用されます。
standby `ip_address`	（オプション）フェールオーバーの場合に、スタンバイユニットの IP アドレスを設定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	ルーテッドモードの場合、このコマンドは、グローバルコンフィギュレーションコマンドからインターフェイスコンフィギュレーションモードのコマンドに変更されました。
8.4(1)	トランスペアレントモード用にブリッジグループが追加されました。BVI の IP アドレスを設定し、グローバルには設定しません。
9.0(1)	ASA クラスタリングをサポートするために、cluster-pool キーワードが追加されました。
9.7(1)	ルーテッドインターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネットに IP アドレスを設定できます。

使用上のガイドライン

このコマンドはこの他、フェールオーバーのスタンバイアドレスを設定します。

マルチコンテキストモードのガイドライン

シングルコンテキストルーテッドファイアウォールモードでは、各インターフェイスアドレスはそれぞれ固有のサブネットに存在する必要があります。マルチコンテキストモードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。

トランスペアレントファイアウォールのガイドライン

トランスペアレントファイアウォールは、IP ルーティングに参加しません。ASA に必要な唯一の IP 構成は、BVI アドレスの設定です。このアドレスが必要になるのは、システムメッセージや AAA サーバーとの通信などで発信されるトラフィックの送信元アドレスとして、ASA がこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチコンテキストモードの場合、各コンテキスト内の管理 IP アドレスを設定します。管理インターフェイスを含むモデルの場合は、このインターフェイスの IP アドレスを管理用に設定することもできます。

フェールオーバーのガイドライン

スタンバイ IP アドレスは、メイン IP アドレスと同じサブネットに存在する必要があります。

ASA クラスタリングのガイドライン

個々のインターフェイスのクラスタプールは、クラスタインターフェイスモードを個別に設定（cluster-interface mode individual コマンド）しないと設定できません。唯一の例外は管理専用インターフェイスです。

管理専用インターフェイスはいつでも、個別インターフェイスとして設定できます（スパンド EtherChannel モードのときでも）。管理インターフェイスは、個別インターフェイスとすることができます（トランスペアレントファイアウォールモードのときでも）。
スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミックルーティングをイネーブルにできません。スタティックルートを使用する必要があります。

/31 サブネットのガイドライン

ルーテッドインターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネットに IP アドレスを設定できます。31 ビットサブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレスサブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワークアドレスやブロードキャストアドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネットビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバーリンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。

31 ビットサブネットとクラスタリング：スパンド EtherChannel に 31 ビットサブネットマスクを使用できます。個々のインターフェイス（スパンド EtherChannel モードの管理 IP アドレスを含む）は 31 ビットサブネットをサポートしていません。また、クラスタ制御リンクにも 31 ビットサブネットを使用できません。
31 ビットサブネットとフェールオーバー：フェールオーバーに関しては、ASA インターフェイスの IP アドレスに 31 ビットのサブネットを使用した場合、アドレスが不足しているため、インターフェイス用のスタンバイ IP アドレスは設定できません。通常、アクティブなユニットがインターフェイスのテストを実行し、スタンバイのインターフェイスの健全性を保証できるよう、フェールオーバーインターフェイスはスタンバイ IP アドレスを必要とします。スタンバイ IP アドレスがないと、ASA はネットワークのテストを実行できず、リンクステートのみしか追跡できません。ポイントツーポイント接続であるフェールオーバーと任意のステートリンクでは、31 ビットのサブネットも使用できます。
31 ビットサブネットと管理：直接接続されている管理ステーションがあれば、ASA 上で SSH または HTTP にポイントツーポイント接続を、または管理ステーション上で SNMP または Syslog にポイントツーポイント接続をそれぞれ使用できます。
31 ビットサブネットをサポートしていない機能：次の機能は、31 ビットサブネットをサポートしていません。
- ブリッジグループ用 BVI インターフェイス：ブリッジグループには BVI、2 つのブリッジグループメンバーに接続された 2 つのホスト用に、少なくとも 3 つのホストアドレスが必要です。/29 サブネット以下を使用する必要があります。
- マルチキャストルーティング

例

次に、2 つのインターフェイスの IP アドレスおよびスタンバイアドレスを設定する例を示します。


ciscoasa(config)# interface gigabitethernet0/2
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface gigabitethernet0/3
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0 standby 10.1.2.2
ciscoasa(config-if)# no shutdown

次に、ブリッジグループ 1 の管理アドレスおよびスタンバイアドレスを設定する例を示します。


ciscoasa(config)# interface bvi 1
ciscoasa(config-if)# ip address 10.1.3.1 255.255.255.0 standby 10.1.3.2

ip address dhcp

DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイスコンフィギュレーションモードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントを無効にするには、このコマンドの no 形式を使用します。

ip address dhcp [ setroute ]

no ip address dhcp

構文の説明


setroute	（任意）ASA が DHCP サーバーから提供されるデフォルトルートを使用できるようにします。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、グローバルコンフィギュレーションコマンドからインターフェイスコンフィギュレーションモードコマンドに変更されました。このコマンドは、外部インターフェイスだけでなく、任意のインターフェイスもイネーブルにできます。

使用上のガイドライン

DHCP リースをリセットし、新規リースを要求するには、このコマンドを再入力します。

ip address dhcp コマンドを入力する前に、no shutdown コマンドを使用してインターフェイスを有効にしていない場合、一部の DHCP 要求が送信されないことがあります。

（注）

ASA はタイムアウトが 32 秒未満のリースを拒否します。

例

次に、Gigabitethernet0/1 インターフェイスで DHCP をイネーブルにする例を示します。


ciscoasa(config)# interface gigabitethernet0/1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# ip address dhcp

ip address pppoe

PPPoE を有効にするには、インターフェイスコンフィギュレーションモードで ip address pppoe コマンドを使用します。PPPoE を無効にするには、このコマンドの no 形式を使用します。

ip address [ ip_address [ mask ] ] pppoe [ setroute ]

no ip address [ ip_address [ mask ] ] pppoe

構文の説明


`ip_address`	IP アドレスを PPPoE サーバーから受信するのではなく手動で設定します。
`mask`	IP アドレスのサブネットマスクを指定します。マスクを設定しない場合、ASA では IP アドレスクラスのデフォルトマスクが使用されます。
setroute	ASA が、PPPoE サーバーから提供されるデフォルトルートを使用できるようにします。PPPoE サーバーがデフォルトルートを送信しない場合、ASA はアクセスコンセントレータのアドレスをゲートウェイとするデフォルトルートを作成します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

PPPoE は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアントシステムに割り当てる認証方式を提供します。ISP は、既存のリモートアクセスインフラストラクチャを使用して高速ブロードバンドアクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。

PPPoE を使用して IP アドレスを設定する前に、vpdn コマンドでユーザー名、パスワード、および認証プロトコルを設定します。複数のインターフェイスでこのコマンドをイネーブルにした場合（たとえば、ISP へのバックアップリンク用）は、pppoe client vpdn group コマンドを使用して、必要に応じて各インターフェイスをそれぞれ異なる VPDN グループに割り当てることができます。

最大伝送単位（MTU）サイズは、自動的に 1492 バイトに設定されます。これは、イーサネットフレーム内で PPPoE 伝送を許可する正しい値です。

PPPoE セッションをリセットして再起動するには、このコマンドを再入力します。

このコマンドは、ip address コマンドまたは ip address dhcp コマンドと同時には設定できません。

例

次に、GigabitEthernet 0/1 インターフェイスで PPPoE をイネーブルにする例を示します。


ciscoasa(config)# interface gigabitethernet0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address pppoe
ciscoasa(config-if)# no shutdown

次に、PPPoE インターフェイスの IP アドレスを手動で設定する例を示します。


ciscoasa(config)# interface gigabitethernet0/1
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 pppoe
ciscoasa(config-if)# no shutdown

ip-address-privacy

IP アドレスのプライバシーを有効にするには、パラメータコンフィギュレーションモードで ip-address-privacy コマンドを使用します。パラメータコンフィギュレーションモードには、ポリシーマップコンフィギュレーションモードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

ip-address-privacy

no ip-address-privacy

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
パラメータコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

例

次に、SIP インスペクションポリシーマップで SIP を経由する IP アドレスのプライバシーをイネーブルにする例を示します。


ciscoasa(config)# policy-map type inspect sip sip_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# ip-address-privacy

ip audit attack

攻撃シグネチャーに一致するパケットに対してデフォルトアクションを設定するには、グローバルコンフィギュレーションモードで ip audit attack コマンドを使用します。（接続をリセットするために）デフォルトアクションを復元するには、このコマンドの no 形式を使用します。

ip audit attack [ action [ alarm ] [ drop ] [ reset ] ]

no ip audit attack

構文の説明


action	（任意）一連のデフォルトアクションを定義することを指定します。このキーワードの後にアクションを指定しない場合、ASA はアクションを実行しません。action キーワードを入力しない場合、ASA ではキーワードが入力されたものと見なされ、action キーワードが構成に記述されます。
alarm	（デフォルト）パケットがシグニチャに一致したことを示すシステムメッセージを生成します。
drop	（任意）パケットをドロップします。
reset	（任意）パケットをドロップし、接続を閉じます。

コマンドデフォルト

デフォルトアクションは、送信し、アラームを生成することです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

アクションは複数指定することも、まったく指定しないこともできます。このコマンドで設定するアクションは、ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。ip audit name コマンドでアクションを指定しない場合、このコマンドで設定したアクションが使用されます。

シグニチャのリストについては、ip audit signature コマンドを参照してください。

例

次に、攻撃シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルトアクションを設定する例を示します。内部インターフェイスの監査ポリシーは、アラームのみにするようにこのデフォルトを上書きしますが、外部インターフェイスのポリシーは ip audit attack コマンドで設定されたデフォルト設定を使用します。


ciscoasa(config)# ip audit attack action alarm reset
ciscoasa(config)# ip audit name insidepolicy attack action alarm
ciscoasa(config)# ip audit name outsidepolicy attack
ciscoasa(config)# ip audit interface inside insidepolicy
ciscoasa(config)# ip audit interface outside outsidepolicy

ip audit info

情報シグニチャに一致するパケットに対してデフォルトアクションを設定するには、グローバルコンフィギュレーションモードで ip audit info コマンドを使用します。（アラームを生成するために）デフォルトアクションを復元するには、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。

ip audit info [ action [ alarm ] [ drop ] [ reset ] ]

no ip audit info

構文の説明


action	（任意）一連のデフォルトアクションを定義することを指定します。このキーワードの後にアクションを指定しない場合、ASA はアクションを実行しません。action キーワードを入力しない場合、ASA ではキーワードが入力されたものと見なされ、action キーワードが構成に記述されます。
alarm	（デフォルト）パケットがシグニチャに一致したことを示すシステムメッセージを生成します。
drop	（任意）パケットをドロップします。
reset	（任意）パケットをドロップし、接続を閉じます。

コマンドデフォルト

デフォルトアクションは、アラームを生成することです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドで設定するアクションは、ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。ip audit name コマンドでアクションを指定しない場合、このコマンドで設定したアクションが使用されます。

シグニチャのリストについては、ip audit signature コマンドを参照してください。

例

次に、情報シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルトアクションを設定する例を示します。内部インターフェイスの監査ポリシーは、アラームを生成し、ドロップするようにこのデフォルトを上書きしますが、外部インターフェイスのポリシーは ip audit info コマンドで設定されたデフォルト設定を使用します。


ciscoasa(config)# ip audit info action alarm reset
ciscoasa(config)# ip audit name insidepolicy info action alarm drop
ciscoasa(config)# ip audit name outsidepolicy info
ciscoasa(config)# ip audit interface inside insidepolicy
ciscoasa(config)# ip audit interface outside outsidepolicy

ip audit interface

監査ポリシーをインターフェイスに割り当てるには、グローバルコンフィギュレーションモードで ip audit interface コマンドを使用します。インターフェイスからポリシーを削除するには、このコマンドの no 形式を使用します。

ip audit interface interface_name policy_name

no ip audit interface interface_name policy_name

構文の説明


`interface_name`	インターフェイス名を指定します。
`policy_name`	ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

例

次に、監査ポリシーを内部インターフェイスおよび外部インターフェイスに適用する例を示します。


ciscoasa(config)# ip audit name insidepolicy1 attack action alarm
ciscoasa(config)# ip audit name insidepolicy2 info action alarm
ciscoasa(config)# ip audit name outsidepolicy1 attack action reset
ciscoasa(config)# ip audit name outsidepolicy2 info action alarm
ciscoasa(config)# ip audit interface inside insidepolicy1
ciscoasa(config)# ip audit interface inside insidepolicy2
ciscoasa(config)# ip audit interface outside outsidepolicy1
ciscoasa(config)# ip audit interface outside outsidepolicy2

ip audit name

パケットが定義済みの攻撃シグネチャーまたは情報シグニチャに一致したときに実行するアクションを識別する名前付き監査ポリシーを作成するには、グローバルコンフィギュレーションモードで ip audit name コマンドを使用します。ポリシーを削除するには、このコマンドの no 形式を使用します。

ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ] ]

no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ] ]

構文の説明


action	（任意）一連のアクションを定義することを指定します。このキーワードの後にアクションを指定しない場合、ASA はアクションを実行しません。action キーワードを入力しないと、ASA は ip audit attack コマンドおよび ip audit info コマンドによって設定されたデフォルトアクションを使用します。
alarm	（任意）パケットがシグニチャに一致したことを示すシステムメッセージを生成します。
attack	攻撃シグニチャの監査ポリシーを作成します。パケットは、DoS 攻撃や不正な FTP コマンドなど、ネットワークでの攻撃の一部となる可能性があります。
drop	（任意）パケットをドロップします。
info	情報シグニチャの監査ポリシーを作成します。パケットは、現時点ではネットワークを攻撃していませんが、ポートスイープなど情報収集アクティビティの一部である可能性があります。
`name`	ポリシーの名前を設定します。
reset	（任意）パケットをドロップし、接続を閉じます。

コマンドデフォルト

ip audit attack および ip audit info コマンドを使用してデフォルトアクションを変更しなかった場合、攻撃シグネチャーおよび情報シグニチャのデフォルトアクションでアラームが生成されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあります。ポリシーを適用するには、ip audit interface コマンドを使用して、そのポリシーをインターフェイスに割り当てます。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。

シグニチャのリストについては、 ip audit signature コマンドを参照してください。

トラフィックがシグニチャに一致した場合、そのトラフィックに対してアクションを実行するには、shun コマンドを使用して、問題のホストからの新たな接続を阻止し、既存の接続からのパケットの受信を禁止します。

例

次に、内部インターフェイスには攻撃シグニチャおよび情報シグニチャに関するアラームを生成する監査ポリシーを設定し、外部インターフェイスには攻撃に備えて接続をリセットする監査ポリシーを設定する例を示します。


ciscoasa(config)# ip audit name insidepolicy1 attack action alarm
ciscoasa(config)# ip audit name insidepolicy2 info action alarm
ciscoasa(config)# ip audit name outsidepolicy1 attack action reset
ciscoasa(config)# ip audit name outsidepolicy2 info action alarm
ciscoasa(config)# ip audit interface inside insidepolicy1
ciscoasa(config)# ip audit interface inside insidepolicy2
ciscoasa(config)# ip audit interface outside outsidepolicy1
ciscoasa(config)# ip audit interface outside outsidepolicy2

ip audit signature

監査ポリシーに対してシグニチャを無効にするには、グローバルコンフィギュレーションモードで ip audit signature コマンドを使用します。シグニチャを再び有効にするには、このコマンドの no 形式を使用します。

ip audit signature signature_number disable

no ip audit signature signature_number

構文の説明


disable	シグニチャをディセーブルにします。
`signature_number`	ディセーブルにするシグニチャ番号を指定します。サポートされているシグニチャのリストについては、表 3-1 を参照してください。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

正規のトラフィックが頻繁にシグニチャに一致する場合には、シグニチャをディセーブルにしてみてください。リスクが伴うことを承知でシグニチャをディセーブルにすると、多数のアラームを回避できます。表 3-1 に、サポートされているシグニチャおよびメッセージ番号の一覧を示します。

表 1. シグニチャ ID とシステムメッセージ番号
シグニチャ ID	メッセージ番号	シグニチャタイトル	シグニチャタイプ	説明
1000	400000	IP options-Bad Option List	情報	IP データグラムヘッダーの IP オプションのリストが不完全であるか、または不正な形式になっている IP データグラムを受信するとトリガーされます。IP オプションのリストには、さまざまなネットワーク管理タスクまたはデバッグタスクを実行するオプションが 1 つ以上含まれています。
1001	400001	IP options-Record Packet Route	情報	データグラムの IP オプションリスト中にオプション 7（記録パケットルート）を含む IP データグラムを受信するとトリガーされます。
1002	400002	IP options-Timestamp	情報	データグラムの IP オプションリスト中にオプション 4（タイムスタンプ）を含む IP データグラムを受信するとトリガーされます。
1003	400003	IP options-Security	情報	データグラムの IP オプションリスト中にオプション 2（セキュリティオプション）を含む IP データグラムを受信するとトリガーされます。
1004	400004	IP options-Loose Source Route	情報	データグラムの IP オプションリスト中にオプション 3（緩慢な送信元ルート）を含む IP データグラムを受信するとトリガーされます。
1005	400005	IP options-SATNET ID	情報	データグラムの IP オプションリスト中にオプション 8（SATNET ストリーム ID）を含む IP データグラムを受信するとトリガーされます。
1006	400006	IP options-Strict Source Route	情報	データグラムの IP オプションリスト中にオプション 2（厳密な送信元ルーティング）を含む IP データグラムを受信するとトリガーされます。
1100	400007	IP Fragment 攻撃	攻撃	オフセットフィールドのオフセット値が 0 より大きく 5 未満になっている IP データグラムを受信するとトリガーされます。
1102	400008	IP Impossible Packet	攻撃	送信元と宛先が同じアドレスになっている IP パケットが到着するとトリガーされます。このシグニチャは、いわゆる Land Attack を捕捉します。
1103	400009	IP Overlapping Fragments（Teardrop）	攻撃	同じ IP データグラム内に含まれている 2 つのフラグメントのオフセット値が、そのデータグラム内の位置決めを共有していることを示す場合にトリガーされます。これは、フラグメント A がフラグメント B によって完全に上書きされること、またはフラグメント A がフラグメント B によって部分的に上書きされることを意味する場合があります。オペレーティングシステムによっては、このように重複するフラグメントが正しく処理されず、重複フラグメントを受信すると例外をスローしたり、他の不適切な動作を行ったりします。Teardrop 攻撃では、これにより DoS 状態を引き起こします。
2000	400010	ICMP Echo Reply	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 0（エコー応答）に設定された IP データグラムを受信するとトリガーされます。
2001	400011	ICMP Host Unreachable	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 3（ホスト到達不能）に設定された IP データグラムを受信するとトリガーされます。
2002	400012	ICMP Source Quench	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 4（ソースクエンチ）に設定された IP データグラムを受信するとトリガーされます。
2003	400013	ICMP Redirect	情報	P ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 5（リダイレクト）に設定された IP データグラムを受信するとトリガーされます。
2004	400014	ICMP Echo Request	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 8（エコー要求）に設定された IP データグラムを受信するとトリガーされます。
2005	400015	ICMP Time Exceeded for a Datagram	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 11（データグラムの超過時間）に設定された IP データグラムを受信するとトリガーされます。
2006	400016	ICMP Parameter Problem on Datagram	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 12（データグラムのパラメータ問題）に設定された IP データグラムを受信するとトリガーされます。
2007	400017	ICMP Timestamp Request	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 13（タイムスタンプ要求）に設定された IP データグラムを受信するとトリガーされます。
2008	400018	ICMP Timestamp Reply	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 14（タイムスタンプ応答）に設定された IP データグラムを受信するとトリガーされます。
2009	400019	ICMP Information Request	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 15（情報要求）に設定された IP データグラムを受信するとトリガーされます。
2010	400020	ICMP Information Reply	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 16（ICMP 情報応答）に設定された IP データグラムを受信するとトリガーされます。
2011	400021	ICMP Address Mask Request	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 17（アドレスマスク要求）に設定された IP データグラムを受信するとトリガーされます。
2012	400022	ICMP Address Mask Reply	情報	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、ICMP ヘッダーのタイプフィールドが 18（アドレスマスク応答）に設定された IP データグラムを受信するとトリガーされます。
2150	400023	Fragmented ICMP Traffic	攻撃	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、他にも 1（ICMP）に設定されたフラグメントフラグが存在するか、またはオフセットフィールドにオフセット値が指定されている IP データグラムを受信するとトリガーされます。
2151	400024	Large ICMP Traffic	攻撃	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、IP 長が 1024 より大きくなっている IP データグラムを受信するとトリガーされます。
2154	400025	Ping of Death Attack	攻撃	IP ヘッダーのプロトコルフィールドが 1（ICMP）に設定され、最終フラグメントビットが設定され、さらに（IP オフセット * 8）+（IP データ長）が 65535 を超えている場合、つまり IP オフセット（このフラグメントの元のパケットでの開始位置を表し、かつ 8 バイト単位であるもの）にパケットの残りを加えた値が、IP パケットの最大サイズを超えている IP データグラムを受信するとトリガーします。
3040	400026	TCP NULL flags	攻撃	SYN、FIN、ACK、または RST のいずれのフラグも設定されていない 1 つの TCP パケットが特定のホストに送信されるとトリガーされます。
3041	400027	TCP SYN+FIN flags	攻撃	SYN および FIN のフラグが設定されている 1 つの TCP パケットが特定のホストに送信されるとトリガーされます。
3042	400028	TCP FIN only flags	攻撃	1 つの孤立 TCP FIN パケットが特定のホストの特権ポート（ポート番号が 1024 未満）に送信されるとトリガーされます。
3153	400029	FTP Improper Address Specified	情報	要求側ホストと異なるアドレスを指定して port コマンドが発行された場合にトリガーされます。
3154	400030	FTP Improper Port Specified	情報	1024 未満または 65535 より大きい値のデータポートを指定して port コマンドが発行された場合にトリガーされます。
4050	400031	UDP Bomb attack	攻撃	指定されている UDP 長が、指定されている IP 長より短い場合にトリガーされます。この不正な形式のパケットタイプは、サービス拒絶攻撃と関連付けられています。
4051	400032	UDP Snork attack	攻撃	送信元ポートが 135、7、または 19 のいずれかで、宛先ポートが 135 になっている UDP パケットが検出されるとトリガーされます。
4052	400033	UDP Chargen DoS attack	攻撃	このシグニチャは、送信元ポート 7 および宛先ポート 19 において UDP パケットが検出されるとトリガーされます。
6050	400034	DNS HINFO Request	情報	DNS サーバーから HINFO レコードへのアクセスが試みられるとトリガーされます。
6051	400035	DNS Zone Transfer	情報	送信元ポートが 53 の通常の DNS ゾーン転送が実行されるとトリガーされます。
6052	400036	DNS Zone Transfer from High Port	情報	送信元ポートが 53 以外のときに不正な DNS ゾーン転送が発生するとトリガーされます。
6053	400037	DNS Request for All Records	情報	すべてのレコードに対する DNS 要求があるとトリガーされます。
6100	400038	RPC Port Registration	情報	ターゲットホストで新しい RPC サービスを登録する試みがあるとトリガーされます。
6101	400039	RPC Port Unregistration	情報	ターゲットホストで既存の RPC サービスを登録解除する試みがあるとトリガーされます。
6102	400040	RPC Dump	情報	ターゲットホストに対して RPC ダンプ要求が発行されるとトリガーされます。
6103	400041	Proxied RPC Request	攻撃	ターゲットホストのポートマッパーにプロキシ RPC 要求が送信されるとトリガーされます。
6150	400042	ypserv (YP server daemon) Portmap Request	情報	YP サーバーデーモン（ypserv）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6151	400043	ypbind (YP bind daemon) Portmap Request	情報	YP バインドデーモン（ypbind）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6152	400044	yppasswdd (YP password daemon) Portmap Request	情報	YP パスワードデーモン（yppasswdd）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6153	400045	ypupdated (YP update daemon) Portmap Request	情報	YP 更新デーモン（ypupdated）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6154	400046	ypxfrd (YP transfer daemon) Portmap Request	情報	YP 転送デーモン（ypxfrd）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6155	400047	mountd (mount daemon) Portmap Request	情報	マウントデーモン（mountd）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6175	400048	rexd (remote execution daemon) Portmap Request	情報	リモート実行デーモン（rexd）ポートのポートマッパーに対して要求が行われるとトリガーされます。
6180	400049	rexd (remote execution daemon) Attempt	情報	rexd プログラムの呼び出しが行われるとトリガーされます。リモート実行デーモンは、プログラムをリモート実行する役割を担うサーバーです。rexd プログラムの呼び出しは、システムリソースへの不正アクセスの試みを示唆している場合があります。
6190	400050	statd Buffer Overflow	攻撃	サイズの大きな statd 要求が送信されるとトリガーされます。これは、バッファをオーバーフローさせてシステムへアクセスしようとする試みの可能性があります。

例

次に、シグニチャ 6100 をディセーブルにする例を示します。


ciscoasa(config)# ip audit signature 6100 disable

ip-client

FXOS での管理トラフィックの開始と、Firepower 2100 ASA データインターフェイスから外部への送信を許可するには、グローバルコンフィギュレーションモードで ip-client コマンドを使用します。トラフィックの開始を無効にするには、このコマンドの no 形式を使用します。

ip-clientinterface_name

no ip-client interface_name

構文の説明


interface_name	FXOS が管理トラフィックを送信できるインターフェイス名を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが追加されました。

使用上のガイドライン

ASA データインターフェイスで FXOS 管理トラフィック開始を有効にすることができます。これは、たとえば、SNMP トラップ、NTP と DNS のサーバアクセスなどに必要です。着信管理トラフィックについては、fxos permit コマンドを参照してください。

FXOS の設定で、デフォルトゲートウェイが 0.0.0.0 に設定されていることを確認します。これは ASA をゲートウェイとして設定します。FXOS set out-of-band コマンドを参照してください。

例

次のコマンドにより、外部インターフェイスを介して FXOS トラフィックを開始できます。


ciscoasa(config)# ip-client outside

ip-comp

LZS IP 圧縮を有効にするには、グループポリシーコンフィギュレーションモードで ip-comp enable コマンドを使用します。IP 圧縮を無効にするには、ip-comp disable コマンドを使用します。実行コンフィギュレーションから ip-comp 属性を削除するには、このコマンドの no 形式を使用します。

ip-comp { enable | disable }

no ip-comp

構文の説明


disable	IP 圧縮をディセーブルにします。
enable	IP 圧縮をイネーブルにします。

コマンドデフォルト

IP 圧縮はディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドの no 形式を使用すると、別のグループポリシーから値を継承できます。データ圧縮をイネーブルにすると、モデムで接続するリモートダイヤルインユーザーのデータ伝送レートが向上する場合があります。

注意	データ圧縮を使用すると、各ユーザーセッションのメモリ要件と CPU 使用率が高くなり、結果として ASA 全体のスループットが低下します。そのため、データ圧縮はモデムで接続しているリモートユーザーに対してだけイネーブルにすることを推奨します。モデムユーザーに固有のグループポリシーを設計し、それらのユーザーに対してだけ圧縮をイネーブルにします。

エンドポイントで IP 圧縮トラフィックが生成される場合、パケットの不正な圧縮解除を防ぐために、IP 圧縮をディセーブルにする必要があります。特定の LAN-to-LAN トンネルで IP 圧縮がイネーブルになっている場合、トンネルの一方からもう一方に IP 圧縮データを渡そうとするときに、ホスト A はホスト B と通信できません。

（注）

ip-comp コマンドが無効で、「暗号化前」の処理として IPsec フラグメンテーションが設定されている場合、IPsec 圧縮（ip-comp_option と pre-encryption）は使用できません。暗号化チップに送信される IP ヘッダーが圧縮によってあいまいになり、暗号化チップによる着信パケットの処理時にエラーが生成されるためです。この場合は、MTU レベルをチェックして少量（600 バイトなど）であることを確認してください。

例

次に、「FirstGroup」というグループポリシーの IP 圧縮をイネーブルにする例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ip-comp enable

ip local pool

IP アドレスプールを設定するには、グローバルコンフィギュレーションモードで ip local pool コマンドを使用します。アドレスプールを削除するには、このコマンドの no 形式を使用します。

ip local pool poolname first-address-last-address [ mask mask ]

no ip local pool poolname

構文の説明


`first-address`	IP アドレスの範囲における開始アドレスを指定します。
`last-address`	IP アドレスの範囲における最終アドレスを指定します。
mask `mask`	（任意）アドレスプールのサブネットマスクを指定します。255.255.255.254（/31）または 255.255.255.255（/32）サブネットマスクは使用できません。
`poolname`	IP アドレスプールの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	ASA クラスタリングをサポートするために、クラスタプールの IP ローカルプールが追加されました（ ip address コマンド）。

使用上のガイドライン

VPN クライアントに割り当てられた IP アドレスが標準以外のネットワークに属しているときには、マスク値を指定する必要があります。デフォルトマスクを使用した場合には、データが誤ってルーティングされることがあります。典型的な例が、IP ローカルプールに 10.10.10.0/255.255.255.0 アドレスが含まれている場合で、これはデフォルトではクラス A ネットワークです。この結果、VPN クライアントが異なるインターフェイス経由で 10 ネットワーク内の別のサブネットにアクセスする必要がある場合には、ある種のルーティング問題が発生することがあります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 を介して使用できるようになっているものの、10.10.10.0 ネットワークが VPN トンネルを経由するためインターフェイス 1 で使用できるようになっている場合、VPN クライアントはプリンタ宛てのデータのルーティング先を正確に把握できなくなります。10.10.10.0 と 10.10.100.0 のサブネットは両方とも、10.0.0.0 クラス A ネットワークに分類されるため、プリンタデータが VPN トンネル経由で送信される可能性があります。

例

次に、firstpool という名前で IP アドレスプールを設定する例を示します。開始アドレスは 10.20.30.40 で、最終アドレスは 10.20.30.50 です。ネットワークマスクは 255.255.255.0 です。


ciscoasa(config)# ip local pool firstpool 10.20.30.40-10.20.30.50 mask 255.255.255.0

ip unnumbered

インターフェイス（ループバックインターフェイスなど）から IP アドレスを借用または継承するには、インターフェイスコンフィギュレーションモードで ip unnumbered コマンドを使用します。インターフェイスからの IP アドレスの継承を停止するには、このコマンドの no 形式を使用します。

ip unnumbered interface-name

no ip unnumbered

構文の説明


`interface-name`	IP アドレスを引き継ぐインターフェイスの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.19(1)	このコマンドが追加されました。

使用上のガイドライン

ip unnumbered コマンドは、選択したインターフェイスの IP アドレスを現在のインターフェイスのアドレスとして継承するために使用されます。

例

次に、ループバックインターフェイスから IP アドレスを借りる例を示します。

ciscoasa(config)# interface tunnel 1

ciscoasa(conf-if)# ip unnumbered loopback1

ip-phone-bypass

IP Phone Bypass を有効にするには、グループポリシーコンフィギュレーションモードで ip-phone-bypass enable コマンドを使用します。実行コンフィギュレーションから IP Phone Bypass 属性を削除するには、このコマンドの no 形式を使用します。

ip-phone-bypass { enable | disable }

no ip-phone-bypass

構文の説明


disable	IP Phone Bypass をディセーブルにします。
enable	IP Phone Bypass をイネーブルにします。

コマンドデフォルト

IP Phone Bypass はディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

IP Phone Bypass を無効にするには、ip-phone-bypass disable コマンドを使用します。このコマンドオプションの no 形式を使用すると、別のグループポリシーから IP Phone Bypass の値を継承できます。

IP Phone Bypass を使用すると、ハードウェアクライアントの背後にある IP フォンが、ユーザー認証プロセスなしで接続できます。イネーブルの場合、セキュアユニット認証は有効のままになります。

IP Phone Bypass は、ユーザー認証をイネーブルにした場合にだけ設定する必要があります。

また、mac-exempt オプションを設定してクライアントの認証を免除する必要があります。詳細については、vpnclient mac-exempt コマンドを参照してください。

例

次の例は、FirstGroup というグループポリシーに対して IP Phone Bypass をイネーブルにする方法を示しています。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ip-phone-bypass enable

ips

検査のために ASA から AIP SSM にトラフィックを迂回させるには、クラスコンフィギュレーションモードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name } ]

no ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name } ]

構文の説明


fail-close	AIP SSM の障害発生時にトラフィックをブロックします。
fail-open	AIP SSM の障害発生時にトラフィックを許可します。
inline	パケットを AIP SSM に向けて送ります。パケットは、IPS が動作した結果、ドロップされる場合があります。
promiscuous	AIP SSM のパケットを複製します。元のパケットは AIP SSM でドロップできません。
sensor {sensor_name \| mapped_name }	このトラフィックの仮想センサー名を設定します。AIP SSM（バージョン 6.0 以降）で仮想センサーを使用する場合は、この引数を使用してセンサー名を指定できます。使用可能なセンサー名を参照するには、ips ... sensor ? コマンドを入力します。使用可能なセンサーの一覧が表示されます。show ips コマンドも使用できます。 ASA でマルチコンテキストモードを使用する場合は、コンテキストに割り当てたセンサーのみを指定できます（ allocate-ips コマンドを参照）。コンテキストで設定する場合は、mapped_name 引数を使用します。センサー名を指定しないと、トラフィックはデフォルトのセンサーを使用します。マルチコンテキストモードでは、コンテキストのデフォルトのセンサーを指定できます。シングルモードの場合、またはマルチモードでデフォルトセンサーを指定しない場合、トラフィックでは AIP SSM で設定されているデフォルトセンサーが使用されます。 AIP SSM にまだ存在しない名前を入力すると、エラーになり、コマンドは拒否されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.0(2)	仮想センサーのサポートが追加されました。

使用上のガイドライン

ASA 5500 シリーズは AIP SSM をサポートします。AIP SSM は、プロアクティブでフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワークウイルスなど悪意のあるトラフィックを停止し、ネットワークに影響が及ばないようにします。ASA で ips コマンドを設定する前または後に、AIP SSM でセキュリティポリシーを設定します。ASA（session コマンド）から AIP SSM にセッションするか、管理インターフェイスで SSH または Telnet を使用して AIP SSM に直接接続できます。または、ASDM を使用できます。AIP SSM の設定の詳細については、コマンドラインインターフェイスを使用した Cisco Intrusion Prevention System Sensor の設定 [英語] を参照してください。

ips コマンドを設定するには、まず class-map コマンド、policy-map コマンド、および class コマンドを設定する必要があります。

AIP SSM は ASA から個別のアプリケーションを実行します。ただし、AIP SSM/SSC は ASA のトラフィックフローに統合されます。AIP SSM には、管理インターフェイス以外の外部インターフェイス自体は含まれません。ASA でトラフィッククラスの ips コマンドを適用すると、トラフィックは次のように ASA と AIP SSM を通過します。

トラフィックが ASA に入ります。
ファイアウォールポリシーが適用されます。
トラフィックがバックプレーン経由で AIP SSM に送信されます（inline キーワードを使用。トラフィックのコピーを AIP SSM に送信するだけの場合は、promiscuous キーワードを参照してください）。
AIP SSM が、セキュリティポリシーをトラフィックに適用し、適切なアクションを実行します。
有効なトラフィックがバックプレーン経由で ASA に返送されます。AIP SSM が、セキュリティポリシーに従ってトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。
VPN ポリシーが適用されます（設定されている場合）。
トラフィックが ASA を出ます。

例

次に、無差別モードですべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生した場合はすべての IP トラフィックをブロックする例を示します。


ciscoasa(config)# access-list IPS permit ip any any
ciscoasa(config)# class-map my-ips-class
ciscoasa(config-cmap)# match access-list IPS
ciscoasa(config-cmap)# policy-map my-ips-policy
ciscoasa(config-pmap)# class my-ips-class
ciscoasa(config-pmap-c)# ips promiscuous fail-close
ciscoasa(config-pmap-c)# service-policy my-ips-policy global

次に、インラインモードで 10.1.1.0 ネットワークおよび 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生た場合はすべてのトラフィックを許可する例を示します。my-ips-class トラフィックにはセンサー 1 が使用され、my-ips-class2 トラフィックにはセンサー 2 が使用されます。


ciscoasa(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
ciscoasa(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
ciscoasa(config)# class-map my-ips-class
ciscoasa(config-cmap)# match access-list my-ips-acl
ciscoasa(config)# class-map my-ips-class2
ciscoasa(config-cmap)# match access-list my-ips-acl2
ciscoasa(config-cmap)# policy-map my-ips-policy
ciscoasa(config-pmap)# class my-ips-class
ciscoasa(config-pmap-c)# ips inline fail-open sensor sensor1
ciscoasa(config-pmap)# class my-ips-class2
ciscoasa(config-pmap-c)# ips inline fail-open sensor sensor2
ciscoasa(config-pmap-c)# service-policy my-ips-policy interface outside

ipsec-udp

IPsec over UDP を有効にするには、グループポリシーコンフィギュレーションモードで ipsec-udp enable コマンドを使用します。現在のグループポリシーから IPsec over UDP 属性を削除するには、このコマンドの no 形式を使用します。

ipsec-udp { enable | disable }

no ipsec-udp

構文の説明


disable	IPsec over UDP をディセーブルにします。
enable	IPsec over UDP をイネーブルにします。

コマンドデフォルト

IPsec over UDP はディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドの no 形式を使用すると、別のグループポリシーから IPsec over UDP の値を継承できます。

IPsec over UDP（IPsec through NAT と呼ばれることもある）を使用すると、Cisco VPN Client またはハードウェアクライアントは、NAT を実行している ASA に UDP 経由で接続できます。

IPsec over UDP を無効にするには、ipsec-udp disable コマンドを使用します。

IPsec over UDP を使用するには、ipsec-udp-port コマンドも設定する必要があります。

また、IPsec over UDP を使用するように Cisco VPN Client を設定しておく必要があります（Cisco VPN Client は、デフォルトで IPsec over UDP を使用するように設定されています）。VPN 3002 では、IPsec over UDP を使用するためのコンフィギュレーションが必要ありません。

IPsec over UDP は独自仕様で、リモートアクセス接続にだけ適用され、モードコンフィギュレーションが必要です。つまり、ASA は SA のネゴシエーション中にクライアントとコンフィギュレーションパラメータを交換します。

IPSec over UDP を使用すると、システムパフォーマンスが若干低下します。

ipsec-udp-port コマンドは、VPN クライアントとして動作する ASA 5505 ではサポートされません。クライアントモードの ASA 5505 では、UDP ポート 500 または 4500 で IPsec セッションを開始できます。

例

次に、FirstGroup というグループポリシーの IPsec over UDP を設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ipsec-udp enable

ipsec-udp-port

IPsec over UDP の UDP ポート番号を設定するには、グループポリシーコンフィギュレーションモードで ipsec-udp-port コマンドを使用します。UDP ポートを無効にするには、このコマンドの no 形式を使用します。

ipsec-udp-portport

noipsec-udp-port

構文の説明


port	4001 ～ 49151 の範囲内の整数を使用して、UDP ポート番号を識別します。

コマンドデフォルト

デフォルトのポートは 10000 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドの no 形式を使用すると、別のグループポリシーから IPsec over UDP ポートの値を継承できます。

IPSec ネゴシエーションでは、ASA は設定されたポートでリッスンし、他のフィルタルールで UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。

この機能をイネーブルにすると、複数のグループポリシーを設定し、各グループポリシーでそれぞれ別のポート番号を使用できます。

例

次に、FirstGroup というグループポリシーの IPsec UDP ポートをポート 4025 に設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# ipsec-udp-port 4025

コマンド	説明
debug vxlan	VXLAN トラフィックをデバッグします。
default-mcast-group	VTEP 送信元インターフェイスに関連付けられているすべての VNI インターフェイスのデフォルトのマルチキャストグループを指定します。
encapsulation vxlan	NVE インスタンスを VXLAN カプセル化に設定します。
inspect vxlan	標準 VXLAN ヘッダー形式に強制的に準拠させます。
interface vni	VXLAN タギング用の VNI インターフェイスを作成します。
mcast-group	VNI インターフェイスのマルチキャストグループアドレスを設定します。
nve	ネットワーク仮想化エンドポイントインスタンスを指定します。
nve-only	VXLAN 送信元インターフェイスが NVE 専用であることを指定します。
peer ip	ピア VTEP の IP アドレスを手動で指定します。
segment-id	VNI インターフェイスの VXLAN セグメント ID を指定します。
show arp vtep-mapping	リモートセグメントドメインにある IP アドレスとリモート VTEP IP アドレス用の VNI インターフェイスにキャッシュされた MAC アドレスを表示します。
show interface vni	VNI インターフェイスのパラメータ、ステータス、および統計情報と、ブリッジされているインターフェイス（設定されている場合）のステータス、ならびに関連付けられている NVE インターフェイスを表示します。
show mac-address-table vtep-mapping	リモート VTEP IP アドレスが設定された VNI インターフェイス上のレイヤ 2 転送テーブル（MAC アドレステーブル）を表示します。
show nve	NVE インターフェイスのパラメータ、ステータス、および統計情報とキャリアインターフェイス（送信元インターフェイス）のステータス、この NVE を VXLAN VTEP として使用する VNI、ならびにこの NVE インターフェイスに関連付けられているピア VTEP IP アドレスを表示します。
show vni vlan-mapping	VNI セグメント ID と、VLAN インターフェイスまたはトランスペアレントモードの物理インターフェイス間のマッピングを表示します。
source-interface	VTEP 送信元インターフェイスを指定します。
vtep-nve	VNI インターフェイスを VTEP 送信元インターフェイスに関連付けます。
vxlan port	VXLAN UDP ポートを設定します。デフォルトでは、VTEP 送信元インターフェイスは UDP ポート 4789 への VXLAN トラフィックを受け入れます。

コマンド	説明
debug vxlan	VXLAN トラフィックをデバッグします。
encapsulation vxlan	NVE インスタンスを VXLAN カプセル化に設定します。
external-port	外部 VXLAN ポートを設定します。
external-segment-id	VNI インターフェイスの VXLAN 外部セグメント ID を指定します。
inspect vxlan	標準 VXLAN ヘッダー形式に強制的に準拠させます。
interface vni	VXLAN タギング用の VNI インターフェイスを作成します。
internal-segment-id	VNI インターフェイスの VXLAN 内部セグメント ID を指定します。
nve	ネットワーク仮想化エンドポイントインスタンスを指定します。
peer ip	ピア VTEP の IP アドレスを手動で指定します。
proxy paired	インターフェイスをペアプロキシモードに設定します。
show interface vni	VNI インターフェイスのパラメータ、ステータス、および統計情報と、ブリッジされているインターフェイス（設定されている場合）のステータス、ならびに関連付けられている NVE インターフェイスを表示します。
show nve	NVE インターフェイスのパラメータ、ステータス、および統計情報とキャリアインターフェイス（送信元インターフェイス）のステータス、この NVE を VXLAN VTEP として使用する VNI、ならびにこの NVE インターフェイスに関連付けられているピア VTEP IP アドレスを表示します。
source-interface	VTEP 送信元インターフェイスを指定します。
vtep-nve	VNI インターフェイスを VTEP 送信元インターフェイスに関連付けます。
vxlan port	VXLAN UDP ポートを設定します。デフォルトでは、VTEP 送信元インターフェイスは UDP ポート 4789 への VXLAN トラフィックを受け入れます。

コマンド	説明
debug vxlan	VXLAN トラフィックをデバッグします。
encapsulation vxlan	NVE インスタンスを VXLAN カプセル化に設定します。
external-port	外部 VXLAN ポートを設定します。
external-segment-id	VNI インターフェイスの VXLAN 外部セグメント ID を指定します。
inspect vxlan	標準 VXLAN ヘッダー形式に強制的に準拠させます。
interface vni	VXLAN タギング用の VNI インターフェイスを作成します。
internal-port	内部 VXLAN ポートを設定します。
nve	ネットワーク仮想化エンドポイントインスタンスを指定します。
peer ip	ピア VTEP の IP アドレスを手動で指定します。
proxy paired	インターフェイスをペアプロキシモードに設定します。
show interface vni	VNI インターフェイスのパラメータ、ステータス、および統計情報と、ブリッジされているインターフェイス（設定されている場合）のステータス、ならびに関連付けられている NVE インターフェイスを表示します。
show nve	NVE インターフェイスのパラメータ、ステータス、および統計情報とキャリアインターフェイス（送信元インターフェイス）のステータス、この NVE を VXLAN VTEP として使用する VNI、ならびにこの NVE インターフェイスに関連付けられているピア VTEP IP アドレスを表示します。
source-interface	VTEP 送信元インターフェイスを指定します。
vtep-nve	VNI インターフェイスを VTEP 送信元インターフェイスに関連付けます。
vxlan port	VXLAN UDP ポートを設定します。デフォルトでは、VTEP 送信元インターフェイスは UDP ポート 4789 への VXLAN トラフィックを受け入れます。

コマンド	説明
ddns	作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。
ddns update	DDNS アップデート方式を ASA のインターフェイスまたは DDNS アップデートホスト名に関連付けます。
ddns update method	DNS のリソースレコードをダイナミックにアップデートするための方式を作成します。
dhcp-client update dns	DHCP クライアントが DHCP サーバーに渡すアップデートパラメータを設定します。
dhcpd update dns	DHCP サーバーによる DDNS アップデートの実行をイネーブルにします。

コマンド	説明
authorize-only	RADIUS サーバーグループ用の認可専用モードをイネーブルにします。
dynamic-authorization	RADIUS サーバーグループ用のダイナミック認可をイネーブルにします。

コマンド	説明
class-map	サービスポリシーに対してトラフィックを指定します。
policy-map	サービスポリシーのトラフィックに適用するアクションを指定します。
set connection advanced-options	TCP 正規化をイネーブルにします。
service-policy	サービスポリシーをインターフェイスに適用します。
show running-config tcp-map	TCP マップコンフィギュレーションを表示します。
tcp-map	TCP マップを作成して、TCP マップコンフィギュレーションモードにアクセスできるようにします。

コマンド	説明
interface	インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始します。
ip address dhcp	インターフェイスで DHCP サーバーから IP アドレスを取得できるように設定します。
show ip address	インターフェイスに割り当てられた IP アドレスを表示します。

コマンド	説明
policy-map type inspect	インスペクションポリシーマップを作成します。
show running-config policy-map	現在のポリシーマップコンフィギュレーションをすべて表示します。

コマンド	説明
ip audit info	情報シグニチャに一致するパケットのデフォルトアクションを設定します。
ip audit interface	監査ポリシーをインターフェイスに割り当てます。
ip audit name	パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。
ip audit signature	シグニチャをディセーブルにします。
show running-config ip audit attack	ip audit attack コマンドの設定を表示します。

コマンド	説明
ip audit attack	攻撃シグニチャに一致するパケットのデフォルトアクションを設定します。
ip audit interface	監査ポリシーをインターフェイスに割り当てます。
ip audit name	パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。
ip audit signature	シグニチャをディセーブルにします。
show running-config ip audit info	ip audit info コマンドの設定を表示します。

コマンド	説明
connect fxos	ASA CLI から FXOS CLI に接続します。
fxos permit	ASA データインターフェイスでの FXOS 管理アクセスを許可します。
fxos port	FXOS 管理アクセスポートを設定します。

コマンド	説明
clear configure ip local pool	すべての IP ローカルプールを削除します。
show running-config ip local pool	IP プールコンフィギュレーションを表示します。特定の IP アドレスプールを指定するには、その名前をコマンドに含めます。

コマンド	説明
ipv6 unnumbered `interface-name`	指定されたインターフェイスの IPv6 アドレスを継承します。
interface loopback `loopback-number`	ループバックインターフェイスを作成します。

コマンド	説明
allocate-ips	セキュリティコンテキストに仮想センサーを割り当てます。
class	トラフィック分類に使用するクラスマップを指定します。
class-map	ポリシーマップ用にトラフィックを識別します。
policy-map	ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです。
show running-config policy-map	現在のすべてのポリシーマップコンフィギュレーションを表示します。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、I ～ R コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： int – ipu

int – ipu

integrity

構文の説明

コマンド デフォルト

使用上のガイドライン

コマンド モード

コマンド履歴

例

関連コマンド

intercept-dhcp

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

interface (global)

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface（vpn ロード バランシング）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface bvi

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface loopback

コマンド デフォルト

コマンド モード

使用上のガイドライン

コマンド履歴

例

関連コマンド

interface-policy

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface port-channel

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface redundant

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

interface tunnel

構文の説明

コマンド デフォルト

コマンド モード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

interface（vpn ロードバランシング）

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード