is – iz

isakmp am-disable(廃止)

アグレッシブモードの着信接続を無効にするには、グローバル コンフィギュレーション モードで isakmp am-disable コマンドを使用します。アグレッシブモードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。

isakmp am-disable

no isakmp am-disable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルト値はイネーブルです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp am-disable コマンドは、それに置き換わるものです。

次に、グローバル コンフィギュレーション モードでの入力で、アグレッシブ モードの着信接続をディセーブルにする例を示します。


ciscoasa(config)# isakmp am-disable

isakmp disconnect-notify(廃止)

ピアへの切断通知を有効にするには、グローバル コンフィギュレーション モードで isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp disconnect-notify

no isakmp disconnect-notify

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルト値は [disabled] です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp disconnect-notify コマンドは、それに置き換わるものです。

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。


ciscoasa(config)# isakmp disconnect-notify

isakmp enable(廃止)

IPsec ピアが ASAと通信するインターフェイス上で ISAKMP IKEv2 ネゴシエーションを有効にするには、グローバル コンフィギュレーション モードで isakmp enable コマンドを使用します。ISAKMP をインターフェイスで無効にするには、このコマンドの no 形式を使用します。

isakmp enable interface-name

no isakmp enable interface-name

構文の説明

interface-name

ISAKMP ネゴシエーションをイネーブルまたはディセーブルにするインターフェイスの名前を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp enable コマンドは、それに置き換わるものです。

次の例では、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。


ciscoasa(config)# no isakmp enable
 inside

isakmp identity(廃止)

フェーズ 2 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

isakmp identity { address | hostname | key-id key-id-string | auto }

no isakmp identity { address | hostname | key-id key-id-string | auto }

構文の説明

address

ISAKMP の識別情報を交換するホストの IP アドレスを使用します。

auto

接続タイプによって ISKMP ネゴシエーションを決定します。事前共有キーの場合は IP アドレス、証明書認証の場合は証明書 DN になります。

hostname

ISAKMP 識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。

key-id key_id_string

リモート ピアが事前共有キーを検索するために使用するストリングを指定します。

コマンド デフォルト

デフォルトの ISAKMP ID は isakmp identity hostname コマンドです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp identity コマンドは、それに置き換わるものです。

次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPsec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。


ciscoasa(config)# isakmp identity auto

isakmp ipsec-over-tcp(廃止)

IPsec over TCP を有効にするには、グローバル コンフィギュレーション モードで isakmp ipsec-over-tcp コマンドを使用します。IPsec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。

isakmp ipsec-over-tcp [ port port1...port10 ]

no isakmp ipsec-over-tcp [ port port1...port10 ]

構文の説明

port port1...port10

(オプション)デバイスが IPsec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号には 1 ~ 65535 の範囲の数値を指定できます。デフォルトのポート番号は 10000 です。

コマンド デフォルト

デフォルト値は [disabled] です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp ipsec-over-tcp コマンドに置き換わっています。

次の例では、グローバル コンフィギュレーション モードで、IPsec over TCP をポート 45 でイネーブルにします。


ciscoasa(config)# isakmp ipsec-over-tcp port 45

isakmp keepalive

IKE キープアライブを設定するには、トンネルグループ ipsec 属性コンフィギュレーション モードで isakmp keepalive コマンドを使用します。キープアライブパラメータをデフォルトのしきい値と再試行値で有効な状態に戻すには、このコマンドの no 形式を使用します。

isakmp keepalive [ threshold seconds | infinite ] [ retry seconds ] [ disable ]

no isakmp keepalive [ threshold seconds | infinite ] [ retry seconds ] [ disable ]

構文の説明

disable

IKE キープアライブ処理をディセーブルにします。デフォルトではイネーブルになっています。

infinite

ASA でキープアライブモニタリングを開始しません。

retry seconds

キープアライブ応答を受信しなかったことを受けて再試行する間隔を秒単位で指定します。指定できる範囲は 2 ~ 10 秒です。デフォルト値は 2 秒です。

threshold seconds

キープアライブ モニタリングを開始せずにピアがアイドル状態でいられる秒数を指定します。範囲は 10 ~ 3600 秒です。デフォルトは、LAN-to-LAN グループでは 10 秒、リモート アクセス グループでは 300 秒です。

コマンド デフォルト

リモート アクセス グループのデフォルトは、しきい値が 300 秒、再試行値が 2 秒です。

LAN-to-LAN グループのデフォルトは、しきい値が 10 秒、再試行値が 2 秒です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

トンネル グループ ipsec 属性コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

あらゆるトンネル グループで、IKE キープアライブがデフォルトでイネーブルであり、しきい値と再試行値がデフォルト値になっています。この属性は、IPsec リモート アクセス タイプおよび IPsec LAN-to-LAN トンネル グループ タイプにのみ適用できます。

次に、トンネル グループ ipsec 属性コンフィギュレーション モードを開始し、IP アドレスが 209.165.200.225 の IPsec LAN-to-LAN トンネル グループに対して、IKE DPD を設定し、しきい値を 15 にし、再試行間隔を 10 に指定する例を示します。


ciscoasa(config)# tunnel-group 209.165.200.225 type IPSec_L2L
ciscoasa(config)# tunnel-group 209.165.200.225 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# isakmp keepalive threshold 15 retry 10
ciscoasa(config-tunnel-ipsec)# 

isakmp nat-traversal(廃止)

NAT トラバーサルをグローバルに有効にするには、ISAKMP がグローバル コンフィギュレーション モードで有効になっていることを確認し( isakmp enable コマンドで有効にできます)、次に isakmp nat-traversal コマンドを使用します。NAT トラバーサルを有効にした場合、このコマンドの no 形式で無効にできます。

isakmp nat-traversal natkeepalive

no isakmp nat-traversal natkeepalive

構文の説明

natkeepalive

NAT キープアライブ インターバルを 10 ~ 3600 秒に設定します。デフォルトは 20 秒です。

コマンド デフォルト

デフォルトでは、NAT トラバーサル(isakmp nat-traversal コマンド)は無効になっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp nat-traversal コマンドは、それに置き換わるものです。

使用上のガイドライン

ポート アドレス変換(PAT)を含めネットワーク アドレス変換(NAT)は、IPsec が使用されているものの、IPsec パケットの NAT デバイス通過を阻害する非互換性がいくつもあるネットワークの多くで使用されています。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。

ASA は IETF のドラフト「UDP Encapsulation of IPsec Packets」のバージョン 2 およびバージョン 3(http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に従って NAT トラバーサルをサポートし、NAT トラバーサルはダイナミック クリプト マップとスタティック クリプト マップの両方に対応しています。

このコマンドは、ASA 上で NAT-T をグローバルにイネーブルにします。クリプトマップエントリでディセーブルにするには、crypto map set nat-t-disable コマンドを使用します。

次に、グローバル コンフィギュレーション モードを開始し、ISAKMP をイネーブルにし、間隔を 30 秒にして NAT トラバーサルをイネーブルにする例を示します。


ciscoasa(config)# isakmp enable
ciscoasa(config)# isakmp nat-traversal 30

isakmp policy authentication

IKE ポリシー内の認証方式を指定するには、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用します。ISAKMP 認証方式を削除するには、clear configure コマンドを使用します。

isakmp policy priority authentication { crack | pre-share | rsa-sig }

構文の説明

crack

認証方式として IKE Challenge/Response for Authenticated Cryptographic Keys(CRACK)を指定します。

pre-share

認証方式として事前共有キーを指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

rsa-sig

認証方式として RSA シグニチャを指定します。

RSA シグニチャにより、IKE ネゴシエーションに対して否認防止を実行できます。これは、ユーザーがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。

コマンド デフォルト

デフォルトの ISAKMP ポリシー認証は pre-share オプションです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。RSA シグニチャを指定する場合、認証局(CA)から証明書を取得するように、ASA とそのピアを設定する必要があります。事前共有キーを指定する場合は、ASA とそのピアに事前共有キーを別々に設定する必要があります。

次に、グローバル コンフィギュレーション モードを開始し、プライオリティ番号 40 の IKE ポリシー内で認証方式として RSA シグニチャを使用するように設定する例を示します。


ciscoasa(config)# isakmp policy 40 authentication rsa-sig

isakmp policy encryption(廃止)

IKE ポリシー内で使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority encryption { aes | aes-192 | aes-256 | des | 3des }

no isakmp policy priority encryption { aes | aes-192 | aes-256 | des | 3des }

構文の説明

3des

IKE ポリシーで、Triple DES 暗号化アルゴリズムを使用することを指定します。

aes

IKE ポリシーで使用する暗号化アルゴリズムが、128 ビット キーを使用する AES であることを指定します。

aes-192

IKE ポリシーで使用する暗号化アルゴリズムが、192 ビット キーを使用する AES であることを指定します。

aes-256

IKE ポリシーで使用する暗号化アルゴリズムが、256 ビット キーを使用する AES であることを指定します。

des

IKE ポリシーで使用する暗号化アルゴリズムが、56 ビット DES-CBC であることを指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

コマンド デフォルト

デフォルトの ISAKMP ポリシー暗号化は、3des です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp policy encryption コマンドは、それに置き換わるものです。

次に、グローバル コンフィギュレーション モードを開始し、プライオリティ番号 25 の IKE ポリシー内でアルゴリズムとして 128 ビット キー AES 暗号化を使用するように設定する例を示します。


ciscoasa(config)# isakmp policy 25 encryption aes

次に、グローバル コンフィギュレーション モードを開始し、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。


ciscoasa(config)# isakmp policy 40 encryption 3des
ciscoasa(config)#

isakmp policy group(廃止)

IKE ポリシーで使用する Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用します。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority group { 1 | 2 | 5 }

no isakmp policy priority group

構文の説明

group 1

IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。これはデフォルト値です。

group 2

IKE ポリシーで、1024 ビットの Diffie-Hellman グループ 2 を使用することを指定します。

group 5

IKE ポリシーで、1536 ビットの Diffie-Hellman グループ 5 を使用することを指定します。

priority

インターネット キー交換(IKE)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

コマンド デフォルト

デフォルトはグループ 2 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。グループ 7 が追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp policy group コマンドは、それに置き換わるものです。

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

グループ オプションには、768 ビット(DH グループ 1)、1024 ビット(DH グループ 2)、および 1536 ビット(DH グループ 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。


(注)  


Cisco VPN Client バージョン 3.x 以降では、ISAKMP ポリシーで DH グループ 2 を設定する必要があります(DH グループ 1 を設定した場合、Cisco VPN Client は接続できません)。AES は、VPN-3DES のライセンスがある ASA に限りサポートされます。AES では大きなキー サイズが提供されるため、ISAKMP ネゴシエーションでは Diffie-Hellman(DH)グループ 1 やグループ 2 ではなく、グループ 5 を使用する必要があります。これは、isakmp policy priority group 5 コマンドを使用して実行します。

次に、グローバル コンフィギュレーション モードを開始し、プライオリティ番号 40 の IKE ポリシーでグループ 2(1024 ビットの Diffie-Hellman)を使用するように設定する例を示します。


ciscoasa(config)# isakmp policy 40 group   2

isakmp policy hash(廃止)

IKE ポリシーで使用するハッシュアルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用します。ハッシュアルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority hash { md5 | sha }

no isakmp policy priority hash

構文の説明

md5

IKE ポリシーでハッシュ アルゴリズムとして MD5(HMAC バリアント)を使用することを指定します。

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

sha

IKE ポリシーでハッシュ アルゴリズムとして SHA-1(HMAC バリアント)を使用することを指定します。

コマンド デフォルト

デフォルトのハッシュ アルゴリズムは SHA-1 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp policy hash コマンドに置き換わっています。

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。

次に、グローバル コンフィギュレーション モードを開始し、プライオリティ番号 40 の IKE ポリシー内で MD5 ハッシュ アルゴリズムを使用するように指定する例を示します。


ciscoasa(config)# isakmp policy 40 hash    md5

isakmp policy lifetime(廃止)

期限切れになるまでの IKE セキュリティ アソシエーションのライフタイムを指定するには、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用します。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。

isakmp policy priority lifetime seconds

no isakmp policy priority lifetime

構文の説明

priority

IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。

seconds

各セキュリティ アソシエーションが期限切れになるまでの秒数を指定します。有限のライフタイムを提示するには、120 ~ 2147483647 秒の整数を使用します。無制限のライフタイムの場合は、0 秒を使用します。

コマンド デフォルト

デフォルト値は 86,400 秒(1 日)です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp policy lifetime コマンドは、それに置き換わるものです。

使用上のガイドライン

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPsec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。

ライフタイムを長くするほど、ASA は以後の IPsec セキュリティ アソシエーションをより迅速にセットアップします。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルト値の採用を推奨しますが、ピアがライフタイムを提示しない場合には、無限のライフタイムを指定できます。


(注)  


IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。

次に、グローバル コンフィギュレーション モードを開始し、IKE ポリシー内にプライオリティ番号 40 で IKE セキュリティ アソシエーションのライフタイムを 50,4000 秒(14 時間)を設定する例を示します。


ciscoasa(config)# isakmp policy 40 lifetime 50400

次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。


ciscoasa(config)# isakmp policy 40 lifetime 0

isakmp reload-wait(廃止)

すべてのアクティブなセッションが自主的に終了するまで待機してから ASA をリブートできるようにするには、グローバル コンフィギュレーション モードで isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずに ASA をリブートするには、このコマンドの no 形式を使用します。

isakmp reload-wait

no isakmp reload-wait

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(1)

このコマンドは廃止されました。crypto isakmp reload-wait コマンドは、それに置き換わるものです。

次に、グローバル コンフィギュレーション モードを開始し、すべてのアクティブセッションが終了するまで待機してからリブートすることを ASA に指示する例を示します。


ciscoasa(config)# isakmp reload-wait

isis priority

インターフェイスで指定された ASA のプライオリティを設定するには、インターフェイス ISIS コンフィギュレーション モードで isis priority コマンドを使用します。デフォルトのプライオリティにリセットするには、このコマンドの no 形式を使用します。

isis priority number-value [ level-1 | level-2 ]

no isis priority [ level-1 | level-2 ]

構文の説明

number-value

ルータのプライオリティを設定します。指定できる範囲は 0 ~ 127 です。

level-1

(任意)レベル 1 専用のプライオリティを設定します。

level-2

(任意)レベル 2 専用のプライオリティを設定します。

コマンド デフォルト

デフォルトは 64 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス ISIS コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、LAN 上のどの ASA が指定ルータまたは DIS であるかを決定するために使用されるプライオリティを設定します。プライオリティは hello パケットでアドバタイズされます。最高のプライオリティを持つ ASA が DIS になります。


(注)  


IS-IS では、バックアップ指定ルータはありません。プライオリティを 0 に設定すると、そのシステムが DIS になる可能性は低くなりますが、完全には回避できません。プライオリティの高い ASA がオンラインになると、現在の DIS からその役割を引き継ぎます。プライオリティ値が同一の場合は、MAC アドレス値が高いルータが優先されます。

次に、プライオリティ レベルを 80 に設定して、レベル 1 ルーティングにプライオリティを与える例を示します。この ASA が DIS になる可能性が高くなります。


ciscoasa(config)# 
interface GigabitEthernet0/0
ciscoasa(config-if)# 
isis priority 80 level-1

isis protocol shutdown

IS-IS プロトコルを無効にして、指定されたインターフェイス上で隣接関係を形成できないようにする、および ASA が生成した LSP にインターフェイスの IP アドレスを設定できるようにするには、インターフェイス ISIS コンフィギュレーション モードで isis protocol shutdown コマンドを使用します。IS-IS プロトコルを再び有効にするには、このコマンドの no 形式を使用します。

isis protocol shutdown

no isis protocol shutdown

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

このコマンドにデフォルトの動作または値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス ISIS コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、コンフィギュレーション パラメータを削除せずに、指定されたインターフェイスの IS-IS プロトコルをディセーブルにできます。IS-IS プロトコルはこのコマンドを設定したインターフェイスの隣接関係を形成することはなく、ASA が生成した LSP にインターフェイスの IP アドレスが設定されます。IS-IS がインターフェイスの隣接関係(アジャセンシー)を形成しないようにし、IS-IS LSP データベースをクリアする場合は、protocol shutdown コマンドを使用します。

次に、GigabitEthernet 0/0 上で IS-IS プロトコルを無効にする例を示します。


ciscoasa(config)# 
interface GigabitEthernet0/0
ciscoasa(config-if)# 
isis protocol shutdown

isis retransmit-interval

各 IS-IS LSP の再送信間隔を設定するには、インターフェイス ISIS コンフィギュレーション モードで isis retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

isis retransmit-interval seconds

no isis retransmit-interval seconds

構文の説明

seconds

(オプション)各 LSP の再送信の間隔。接続ネットワーク上の任意の 2 台のルータ間で想定される往復遅延より大きな数値にする必要があります。指定できる範囲は 0 ~ 65535 です。

コマンド デフォルト

デフォルトは 5 分です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス ISIS コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

seconds 引数は控えめな値にする必要があります。そうしないと、不要な再送信が発生します。このコマンドは、LAN(マルチポイント)インターフェイスに影響を与えません。

次に、大容量のシリアル回線に対して各 IS-IS LSP を 60 秒ごとに再送信するように GigabitEthernet 0/0 を設定する例を示します。


ciscoasa(config)# 
interface GigabitEthernet0/0
ciscoasa(config-if)# 
isis retransmit-interval 60

isis retransmit-throttle-interval

インターフェイスでの 各 IS-IS LSP の再送信間隔を設定するには、インターフェイス ISIS コンフィギュレーション モードで isis retransmit-throttle-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

isis retransmit-throttle-interval milliseconds

no isis retransmit-throttle-interval

構文の説明

milliseconds

(オプション)インターフェイスでの LSP 再送信間の最小遅延。指定できる範囲は 0 ~ 65535 です。

コマンド デフォルト

この遅延は、isis lsp-interval コマンドで判断されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス ISIS コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、LSP 再送信トラフィックの制御方法と同様に、多くの LSP およびインターフェイスを持つ大規模なネットワークで役立つ場合があります。このコマンドは、インターフェイスで LSP を再送信できるレートを制御します。

このコマンドは、LSP がインターフェイス上で送信されるレート(isis lsp-interval コマンドで制御)および単一 LSP の再送信間隔(isis retransmit-interval コマンドで制御)とは異なります。これらのコマンドを組み合わせて使用することにより、1 つの ASA からのそのネイバーへのルーティング トラフィックで発生する負荷を制御できます。

次に、LSP 再送信のレートが 300 ミリ秒あたり 1 回に制限されるように GigabitEthernet 0/0 を設定する例を示します。


ciscoasa(config)# 
interface GigabitEthernet0/0
ciscoasa(config-if)# 
isis retransmit-throttle-interval 300

isis tag

IP プレフィックスが IS-IS LSP に設定されている場合に、インターフェイスに設定されている IP アドレスにタグを設定するには、インターフェイス ISIS コンフィギュレーション モードで isis tag コマンドを使用します。IP アドレスのタグ設定を停止するには、このコマンドの no 形式を使用します。

isis tag tag-number

no isis tag tag-number

構文の説明

tag-number

IS-IS ルートでタグとして機能する番号。指定できる範囲は 1 ~ 4294967295 です。

コマンド デフォルト

インターフェイスに設定された IP アドレスに関連付けられているルート タグはありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス ISIS コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

タグが使用されないかぎり、タグ付けされたルートではいかなるアクション(ルートの再配布やルートの集約のためのアクションなど)も発生しません。このコマンドを設定すると、タグがパケット内の新規の情報であるため、ASA は新しい LSP をトリガーします。

次に、100 というタグを持つように GigabitEthernet 0/0 を設定する例を示します。


ciscoasa(config)# 
interface GigabitEthernet0/0
ciscoasa(config-if)# 
isis tag 100

is-type

IS-IS ルーティングプロセスのインスタンスのルーティングレベルを設定するには、ルータ ISIS コンフィギュレーション モードで is-type コマンドを使用します。デフォルト値にリセットするには、このコマンドの no 形式を使用します。

isis type [ level-1 | level 1-2 | level-2-only

no isis type [ level-1 | level 1-2 | level-2-only

構文の説明

level-1

(オプション)エリア内ルーティングを示します。この ASA は、エリア内の宛先についてのみ学習します。レベル 2(エリア間)ルーティングは、最も近いレベル 1 ~ 2 ASA によって実行されます。

level-1-2

(オプション)ASA は、レベル 1 およびレベル 2 のルーティングを実行します。この ASA は、ルーティング プロセスのインスタンスを 2 つ実行します。このルータは、エリア内(レベル 1 ルーティング)の宛先について 1 つのリンクステート パケット データベース(LSDB)を持っており、Shortest Path First(SPF)の計算を実行してエリア トポロジを検出します。また、他のすべてのバックボーン(レベル 2)ルータのリンクステート パケット(LSP)による別のリンクステート データベース(LSDB)を持ち、別の SPF 計算を実行して、バックボーンのトポロジと他のすべてのエリアの存在を検出します。

level-2-only

(オプション)エリア間ルーティングを示します。この ASA は、バックボーンの一部であり、それ自身のエリア内のレベル 1 だけの ASA とは通信しません。

コマンド デフォルト

従来の IS-IS コンフィギュレーションでは、ASA はレベル 1(エリア内)およびレベル 2(エリア間)ルータとしてだけ機能します。

マルチエリア IS-IS コンフィギュレーションでは、設定された IS-IS ルーティング プロセスの最初のインスタンスは、デフォルトでレベル 1-2(エリア内およびエリア間)ルータです。設定されている IS-IS プロセスの残りのインスタンスはデフォルトでレベル 1 ルータになります。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ isis コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

IS-IS ルーティング プロセスのタイプを設定することを水晶します。マルチエリア IS-IS を設定している場合は、ルータのタイプを設定するか、またはデフォルト設定のままにしておく必要があります。デフォルトでは、router isis コマンドを使用して設定した IS-IS ルーティングプロセスの最初のインスタンスは、レベル 1-2 ルータになります。

ネットワークにエリアが 1 つだけしかない場合は、必ずしもレベル 1 とレベル 2 の両方のルーティング アルゴリズムを実行する必要はありません。IS-IS がコネクションレス型ネットワーク サービス(CLNS)ルーティングに使用され、エリアが 1 つしかない場合は、レベル 1 だけを使用する必要があります。IS-IS が IP ルーティングだけに使用され、エリアが 1 つしかない場合は、常にレベル 2 だけを実行できます。すでにレベル 1-2 エリアがある場合は、その後に追加されたエリアは、デフォルトでレベル 1 エリアになります。

ルータインスタンスがレベル 1-2(IS-IS ルーティングプロセスの最初のインスタンスのデフォルト)に設定されている場合は、is-type コマンドを使用して、そのエリアのレベル 2(エリア間)ルーティングを削除できます。is-type コマンドを使用してエリアのレベル 2 ルーティングも設定できます。

エリア ルータの指定例を示します。


ciscoasa# 
router isis
ciscoasa(config-router)# 
is-type level-2-only

issuer(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。

アサーションを SAML-type SSO サーバーに送信するセキュリティデバイスを指定するには、その特定の SAML タイプの webvpn-sso-saml コンフィギュレーション モードで issuer コマンドを使用します。発行者名を削除するには、このコマンドの no 形式を使用します。

issuer識別情報

no issuer [ identifier ]

構文の説明

identifier

セキュリティ デバイス名を指定します。通常は、デバイスのホスト名です。識別情報は、英数字で 65 文字未満にする必要があります。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

webvpn-sso-saml コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.5(2)

このコマンドは廃止されました。

使用上のガイドライン

WebVPN でだけ使用できる SSO のサポートにより、ユーザは、ユーザ名とパスワードを複数回入力しなくても、さまざまなサーバのセキュアな各種のサービスにアクセスできます。ASA は現在、SAML POST-type の SSO サーバーと SiteMinder-type の SSO サーバーをサポートしています。

このコマンドは、SAML-type の SSO サーバーのみに適用されます。

次に、asa1.example.com というセキュリティ デバイスの発行者名を指定する例を示します。


ciscoasa(config-webvpn)# sso server myhostname type saml-v1.1-post
ciscoasa(config-webvpn-sso-saml# issuer asa1.example.com
ciscoasa(config-webvpn-sso-saml#

issuer-name

すべての発行済み証明書の発行者名 DN を指定するには、ローカル認証局(CA)サーバー コンフィギュレーション モードで issuer-name コマンドを使用します。認証局の証明書からサブジェクト DN を削除するには、このコマンドの no 形式を使用します。

issuer-nameDN-string

no issuer-name DN-string

構文の説明

DN-string

自己署名 CA 証明書のサブジェクト名 DN でもある証明書の認定者名を指定します。属性と値のペアを区切るには、カンマを使用します。カンマを含む値は、引用符で囲んでください。発行者名は、英数字で 500 文字未満にする必要があります。

コマンド デフォルト

デフォルトの発行者名は cn=hostame.domain-name で、たとえば cn=asa.example.com となります。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

CA サーバー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.3(1)

このコマンドが追加されました。

8.0(2)

DN-string 値でカンマを保持するため、引用符のサポートが追加されました。

使用上のガイドライン

このコマンドでは、ローカル CA サーバーが作成する証明書に表示される発行者名を指定します。この任意のコマンドは、発行者名をデフォルトの CA 名とは異なるものにする場合に使用します。


(注)  


この発行者名構成は、CA サーバーを有効にし、no shutdown コマンドを発行して証明書を生成すると変更できなくなります。

次に、証明書認証を設定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# issuer-name cn=asa-ca.example.com,ou=Eng,o=Example,c="cisco systems, inc.”
ciscoasa
(config-ca-server)
#