mf – mz

mfib forwarding

インターフェイスで MFIB 転送を再び無効にするには、インターフェイス コンフィギュレーション モードで mfib forwarding を使用します。インターフェイスで MFIB 転送を無効にするには、このコマンドの no 形式を使用します。

mfibforwarding

nomfibforwarding

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの MFIB 転送を有効にします。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.1(1)

このコマンドが追加されました。

使用上のガイドライン

マルチキャスト ルーティングをイネーブルにすると、デフォルトではすべてのインターフェイスで MFIB 転送がイネーブルになります。特定のインターフェイスで MFIB 転送を無効にするには、このコマンドの no 形式を使用します。実行コンフィギュレーションには、このコマンドの no 形式だけが表示されます。

インターフェイスで MFIB 転送がディセーブルになっている場合、特に他の方法を設定しない限り、そのインターフェイスはマルチキャスト パケットを受け付けません。MFIB 転送がディセーブルになっていると、IGMP パケットも阻止されます。

次に、指定されたインターフェイスで MFIB 転送をディセーブルにする例を示します。


ciscoasa(config)# interface GigabitEthernet 0/0
ciscoasa(config-if)# no mfib forwarding

migrate

LAN-to-LAN の設定(IKEv1)やリモート アクセスの設定(SSL または IKEv1)を IKEv2 に移行するには、グローバル コンフィギュレーション モードで migrate コマンドを使用します。

migrate { l2l | remote-access { ikev2 | ssl } | overwrite }

構文の説明

l2l

IKEv1 の LAN-to-LAN の設定を IKEv2 に移行します。

remote-access

リモート アクセスの設定を指定します。

ikev2

リモート アクセスの IKEv1 設定を IKEv2 に移行します。

ssl

リモート アクセスの SSL 設定を IKEv2 に移行します。

overwrite

既存の IKEv2 設定を上書きします。

コマンド デフォルト

デフォルトの値や動作はありません。

コマンド モード

次の表は、このコマンドを入力するモードを示しています。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.4(1)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

migrate l2l コマンドを使用すると、LAN-to-LAN のすべての IKEv1 設定が IKEv2 に移行されます。

overwrite キーワードを使用すると、ASA は既存の IKEv2 設定を移行されたコマンドとマージせずに、移行されたコマンドで上書きします。

migrate remote-access コマンドを使用すると、IKEv1 または SSL の設定が IKEv2 に移行されます。ただし、次の設定タスクは別途実行する必要があります。

  • webvpn コンフィギュレーション モードで セキュアクライアント パッケージファイルをロードします。

  • セキュアクライアント プロファイルを設定し、グルー ポリシーに対して指定します。

  • IKEv1 接続にカスタマイゼーション オブジェクトを使用している場合は、IKEv2 接続に使用するトンネル グループにそれらを関連付けます。

  • crypto ikev2 remote-access trust-point コマンドを使用して、サーバー認証のアイデンティティ証明書(トラストポイント)を指定します。ASA は、IKEv2 で接続しているリモートの セキュアクライアント に対して ASA 自体を認証するときにこのトラストポイントを使用します。

  • デフォルトのもの以外にもトンネル グループおよび/またはグループ ポリシーを設定している場合は、それらに対して IKEv2 または SSL を指定します(デフォルトの DefaultWEBVPNGroup トンネル グループとデフォルトのグループ ポリシーは IKEv2 または SSL を許可するように設定されています)。

  • クライアントからデフォルト以外のグループに接続できるようにするには、トンネル グループでグループのエイリアスまたは URL を設定します。

  • 外部のグループ ポリシーやユーザー レコードを更新します。

  • グローバル、トンネル グループ、またはグループ ポリシーのその他の設定でクライアントの動作を変更します。

  • crypto ikev2 enable <interface> [client-services [port]] コマンドを使用して、IKEv2 のファイルのダウンロードやソフトウェアのアップグレードにクライアントが使用するポートを設定します。

min-object-size

WebVPN セッションに対して ASA がキャッシュできるオブジェクトの最小サイズを設定するには、キャッシュモードで min-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。最小オブジェクト サイズを設定しないようにするには、値にゼロ(0)を入力します。

min-object-sizeintegerrange

構文の説明

integer range

0 ~ 10000 KB。

コマンド デフォルト

デフォルトのサイズは 0 KB です。

コマンド モード

次の表は、このコマンドを入力するモードを示しています。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

キャッシュの設定

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.1(1)

このコマンドが追加されました。

使用上のガイドライン

最小オブジェクト サイズは、最大オブジェクト サイズよりも小さい値である必要があります。キャッシュ圧縮が有効になっている場合、ASA では、オブジェクトを圧縮してからサイズが計算されます。

次に、最大オブジェクト サイズを 40 KB に設定する例を示します。


ciscoasa
(config)#
 webvpn
ciscoasa
(config-webvpn)#
 cache
ciscoasa(config-webvpn-cache)# min-object-size
 40
ciscoasa(config-webvpn-cache)#

mkdir

新規ディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。

mkdir [ / noconfirm ] [ disk0: | disk1: | | flash: ] path

構文の説明

noconfirm

(任意)確認プロンプトを表示しないようにします。

disk0:

(任意)内部フラッシュメモリを指定し、続けてコロンを入力します。

disk1:

(任意)外部フラッシュメモリカードを指定し、続けてコロンを入力します。

flash:

(任意)内部フラッシュメモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの適応型セキュリティアプライアンスでは、flash キーワードは disk0 のエイリアスです。

path

作成するディレクトリの名前およびパス。

コマンド デフォルト

パスを指定しないと、現在の作業ディレクトリにディレクトリが作成されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

同じ名前のディレクトリがすでに存在する場合、新規のディレクトリは作成されません。

次に、新規ディレクトリを「backup」という名前で作成する例を示します。


ciscoasa# mkdir backup

mobile-device portal

すべてのモバイルデバイスのクライアントレス VPN アクセス Web ポータルをミニポータルからフルブラウザポータルに変更するには、webvpn コンフィギュレーション モードで mobile-device portal コマンドを使用します。この設定が必要なのは、Windows CE などの古いオペレーティング システムを実行するスマートフォンだけです。新しいスマートフォンではデフォルトでフルブラウザ ポータルが使用されているため、このオプションを設定する必要はありません。

mobile-device portal { full }

no mobile-device portal { full }

構文の説明

mobile-device portal {full}

すべてのモバイル デバイスのクライアントレス VPN アクセス ポータルをミニポータルからフルブラウザ ポータルに変更します。

コマンド デフォルト

このコマンドを実行する前のデフォルトの動作では、モバイル デバイスによって、クライアントレス VPN アクセスにミニ ポータルを使用するかフル ポータルを使用するかが異なります。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

webvpn コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(5)

このコマンドが 8.2(5) と 8.4(2) で同時に追加されました。

8.4(2)

このコマンドが 8.2(5) と 8.4(2) で同時に追加されました。

使用上のガイドライン

このコマンドは、Cisco Technical Assistance Center(TAC)から推奨された場合にのみ使用してください。

すべてのモバイル デバイスのクライアントレス VPN アクセス ポータルをフルブラウザ ポータルに変更します。


ciscoasa# config t
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# mobile-device portal full

mode

セキュリティ コンテキスト モードをシングルまたはマルチに設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。単一の ASA は、セキュリティ コンテキストと呼ばれる複数の仮想デバイスにパーティション化できます。各コンテキストは独立したデバイスとして動作し、独自のセキュリティ ポリシー、インターフェイス、および管理者で構成されています。複数のコンテキストが存在することは、複数のスタンドアロン アプライアンスが設置されていることと同じです。シングルモードでは、ASA はシングル構成で、単一デバイスとして動作します。マルチ モードでは、複数のコンテキストを作成し、それぞれに独自のコンフィギュレーションを設定できます。許可されるコンテキストの数は、保有するライセンスによって異なります。

mode { single | multiple } [ noconfirm ]

構文の説明

multiple

マルチ コンテキスト モードを設定します。

noconfirm

(任意)ユーザーに確認を求めることなく、モードを設定します。このオプションは自動スクリプトで役立ちます。

single

コンテキスト モードを single に設定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

マルチコンテキストモードでは、ASA に各コンテキストの構成が含まれ、各構成では、スタンドアロンデバイスに設定できるセキュリティポリシー、インターフェイス、およびほぼすべてのオプションが識別されます(コンテキスト構成の場所の識別については、config-url コマンドを参照してください)。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバーからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

mode コマンドを使用してコンテキストモードを変更すると、再起動を求められます。

コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。構成を別のデバイスにコピーする必要がある場合は、mode コマンドを使用して、新しいデバイスのモードを match に設定します。

シングルモードからマルチモードに変換すると、ASA は実行コンフィギュレーションを 2 つのファイル(システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーション、および内部フラッシュメモリのルートディレクトリ内の管理コンテキストで構成される admin.cfg)に変換します。元の実行コンフィギュレーションは、old_running.cfg として(内部フラッシュメモリのルートディレクトリ)に保存されます。元のスタートアップ コンフィギュレーションは保存されません。ASA は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。

マルチモードからシングルモードに変換する場合は、先にスタートアップ コンフィギュレーション全体(使用可能な場合)を ASA にコピーすることを推奨します。マルチモードから継承されるシステム コンフィギュレーションは、シングルモードデバイスで完全に機能するコンフィギュレーションではありません。

マルチ コンテキスト モードのすべての機能がサポートされるわけではありません。詳細については、CLI コンフィギュレーション ガイドを参照してください。

次に、モードを multiple に設定する例を示します。


ciscoasa(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Convert the system configuration? [confirm] y
Flash Firewall mode: multiple
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode
Rebooting....
Booting system, please wait... 

次に、モードを single に設定する例を示します。


ciscoasa(config)# mode single
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Flash Firewall mode: single
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode
Rebooting....
Booting system, please wait...

monitor-interface

特定のインターフェイスでヘルスモニタリングを有効にするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイスのモニタリングを無効にするには、このコマンドの no 形式を使用します。

monitor-interface { if_name | service-module }

no monitor-interface { if_name service-module }

構文の説明

if_name

モニターするインターフェイスの名前を指定します。

service-module

サービス モジュールをモニターします。ASA FirePOWER モジュールなど、ハードウェアモジュールの障害でフェールオーバーをトリガーさせない場合は、このコマンドの no 形式を使用してモジュールのモニタリングを無効にできます。

コマンド デフォルト

物理インターフェイスとサービス モジュールのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.3(1)

service-module キーワードが追加されました。

使用上のガイドライン

ASA について監視できるインターフェイスの数はプラットフォームごとに異なり、show failover コマンドの出力で確認できます。

インターフェイス ポーリング頻度ごとに、ASA フェールオーバーペア間で hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。

モニター対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

  • Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

  • Normal:インターフェイスはトラフィックを受信しています。

  • Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

  • Link Down:インターフェイスまたは VLAN は管理上ダウンしています。

  • No Link:インターフェイスの物理リンクがダウンしています。

  • Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

アクティブ/アクティブ フェールオーバーでは、このコマンドはコンテキスト内でだけ有効です。

次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにしています。


ciscoasa(config)# monitor-interface inside
ciscoasa(config)# 

more

ファイルの内容を表示するには、特権 EXEC モードで more コマンドを使用します。

more { /ascii | /binary | /ebcdic / disk0: | disk1: | flash: | ftp: | http: | https: | system: | tftp: } filename

構文の説明

/ascii

(任意)バイナリ ファイルをバイナリ モード、ASCII ファイルをバイナリ モードで表示します。

/binary

(任意)任意のファイルをバイナリ モードで表示します。

/ebcdic

(任意)バイナリ ファイルを EBCDIC で表示します。

disk0

(任意)内部フラッシュメモリ上のファイルを表示します。

disk1

(任意)外部フラッシュメモリカード上のファイルを表示します。

filename

表示するファイルの名前を指定します。

flash

(任意)内部フラッシュメモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの適応型セキュリティアプライアンスでは、flash キーワードは disk0 のエイリアスです。

ftp

(任意)FTP サーバー上のファイルを表示します。

http

(任意)Web サイト上のファイルを表示します。

https

(任意)セキュアな Web サイト上のファイルを表示します。

system

(任意)ファイル システムを表示します。

tftp

(任意)TFTP サーバ上のファイルを表示します。

コマンド デフォルト

ASCII モード

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

more filesystem: コマンドを入力すると、ローカルディレクトリまたはファイルシステムのエイリアスを入力するように求められます。


(注)  


more コマンドを使用して保存した構成ファイルを表示すると、この構成ファイルのトンネルグループパスワードがクリアテキストに表示されます。

次に、「test.cfg」というローカル ファイルの内容を表示する例を示します。


ciscoasa# more test.cfg
: Saved
: Written by enable_15 at 10:04:01 Apr 14 2005
XXX Version X.X(X)
nameif vlan300 outside security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
ciscoasa test
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list deny-flow-max 4096
access-list alert-interval 300
access-list 100 extended permit icmp any any
access-list 100 extended permit ip any any
pager lines 24
icmp permit any outside
mtu outside 1500
ip address outside 172.29.145.35 255.255.0.0
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
!
interface outside
!
route outside 0.0.0.0 0.0.0.0 172.29.145.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
snmp-server host outside 128.107.128.179
snmp-server location my_context, USA
snmp-server contact admin@example.com
snmp-server community public
no snmp-server enable traps
floodguard enable
fragment size 200 outside
no sysopt route dnat
telnet timeout 5
ssh timeout 5
terminal width 511
gdb enable
mgcp command-queue 0
Cryptochecksum:00000000000000000000000000000000
: end

mount type cifs

セキュリティアプライアンスから Common Internet File System(CIFS; 共通インターネット ファイル システム)にアクセスできるようにするには、グローバル コンフィギュレーション モードで mount type cifs コマンドを使用します。このコマンドを使用すると、mount cifs コンフィギュレーション モードに入ることができます。CIFS ネットワーク ファイル システムをマウント解除するには、このコマンドの no 形式を使用します。

mount name type cifs server server-name share share { status enable | status disable } [ domain domain-name ] username username password password

[ mount ] mount name type cifs server server-name share share { status enable | status disable } [ domain domain-name ] username username password password

構文の説明

domain domain-name

(任意)CIFS ファイル システムでのみ、この引数には Windows NT ドメイン名を指定します。最大 63 文字が許可されます。

name

ローカル CA に割り当てられる既存のファイル システムの名前を指定します。

password password

ファイル システムのマウントのための認可されたパスワードを指定します。

server server-name

CIFS ファイル システム サーバの定義済みの名前(またはドット付き 10 進表記の IP アドレス)を指定します。

share sharename

サーバ内のファイル データにアクセスするために、特定のサーバ共有(フォルダ)を名前で明示的に識別します。

status enable または disable

ファイル システムの状態をマウント済みまたはマウント解除済み(使用可能または使用不能)として識別します。

user username

ファイル システムのマウントが認可されているユーザ名。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

mount コマンドは、Installable File System(IFS)を使用して、CIFS ファイルシステムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

mount コマンドは、セキュリティアプライアンス上の CIFS ファイルシステムを UNIX ファイルツリーにアタッチします。逆に、no mount コマンドはアタッチを解除します。

mount コマンドに指定されている mount-name は、セキュリティアプライアンスにすでにマウントされているファイルシステムを参照するために、他の CLI コマンドで使用されます。たとえば、ローカル認証局用にファイルストレージを設定する database コマンドでは、データベースファイルをフラッシュストレージ以外のストレージに保存するために、すでにマウントされているファイルシステムのマウント名が必要です。

CIFS リモート ファイル アクセス プロトコルは、アプリケーションがローカル ディスクおよびネットワーク ファイル サーバー上のデータを共有する方法と互換性があります。TCP/IP を運用し、インターネットのグローバル DNS を使用する CIFS は、Windows オペレーティング システムにネイティブのファイル共有プロトコルである Microsoft のオープンでクロス プラットフォームのサーバー メッセージ ブロック(SMB)プロトコルを拡張したものです。

mount コマンドを使用した後は、必ずルートシェルを終了してください。mount-cifs-config モードの exit キーワードは、ユーザーをグローバル コンフィギュレーション モードに戻します。

再接続するには、接続をストレージに再マッピングします。


(注)  


CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照してください)。このリリースではネットワーク ファイル システム(NFS)ボリュームのマウントはサポートされていません。

次に、cifs://amer;chief:big-boy@myfiler02/my_sharecifs_share というラベルとしてマウントする例を示します。


ciscoasa
(config)# 
mount cifs_share type CIFS
 
ciscoasa (config-mount-cifs)# 
server myfiler02a

mount type ftp

セキュリティアプライアンスからファイル転送プロトコル(FTP)ファイルシステムにアクセスできるようにするには、グローバル コンフィギュレーション モードで mount type ftp コマンドを使用して、マウント FTP コンフィギュレーション モードを開始します。no mount type ftp コマンドは、FTP ネットワーク ファイル システムをマウント解除するために使用されます。

[ no ] mount name type ftp server server-name path pathname { status enable | status disable } { mode active | mode passive } username username password password

構文の説明

mode active または passive

FTP 転送モードをアクティブまたはパッシブとして識別します。

no

すでにマウントされている FTP ファイル システムを削除し、アクセスできないようにします。

password password

ファイル システムのマウントのための認可されたパスワードを指定します。

path pathname

指定された FTP ファイル システム サーバーへのディレクトリ パス名を指定します。パス名にスペースを含めることはできません。

server server-name

FTPFS ファイル システム サーバの定義済みの名前(またはドット付き 10 進表記の IP アドレス)を指定します。

status enable または disable

ファイル システムの状態をマウント済みまたはマウント解除済み(使用可能または使用不能)として識別します。

username username

ファイル システムのマウントが認可されているユーザ名を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル設定

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

mount name type ftp コマンドは、Installable File System(IFS)を使用して、指定されたネットワーク ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

FTP ファイルシステムが実際にマウントされていることを確認するには、dir all-filesystems 命令を使用します。

mount コマンドに指定されているマウント名は、セキュリティアプライアンスにすでにマウントされているファイルシステムを他の CLI コマンドが参照するときに使用されます。たとえば、ローカル認証局用にファイルストレージを設定する database コマンドでは、データベースファイルを非フラッシュストレージに保存するために、すでにマウントされているファイルシステムのマウント名が必要です。


(注)  


FTP タイプのマウントの作成時に mount コマンドを使用するには、FTP サーバーに UNIX ディレクトリリストスタイルが必要です。Microsoft FTP サーバーには、デフォルトで MS-DOS ディレクトリ リスト スタイルがあります。

(注)  


CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照してください)。このリリースではネットワーク ファイル システム(NFS)ボリュームのマウントはサポートされていません。

次に、ftp://amor;chief:big-kid@myfiler02my ftp: というラベルとしてマウントする例を示します。


ciscoasa
(config)# 
mount myftp type ftp server myfiler02a path status enable username chief password big-kid

mroute

スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。

mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]

no mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]

構文の説明

dense output_if_name

(任意)デンス モード出力のインターフェイス名。

dense output_if_name キーワードと引数のペアは、SMR スタブ マルチキャスト ルーティング(igmp 転送)でのみサポートされています。

distance

(任意)ルートのアドミニストレーティブ ディスタンス。ディスタンスが小さいルートが優先されます。デフォルトは 0 です。

in_if_name

mroute の着信インターフェイス名を指定します。

rpf_addr

mroute の着信インターフェイスを指定します。RPF アドレスが PIM ネイバーである場合、PIM Join メッセージ、接合メッセージ、および Prune メッセージがそのアドレスに送信されます。rpf-addr 引数には、直接接続されたシステムのホスト IP アドレスまたはネットワーク/サブネット番号を指定します。ルートである場合、直接接続されたシステムを検索するために、ユニキャスト ルーティング テーブルから再帰検索が実施されます。

smask

マルチキャスト送信元ネットワーク アドレス マスクを指定します。

src

マルチキャスト送信元の IP アドレスを指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、マルチキャスト送信元の検索場所をスタティックに設定できます。ASA は、特定の送信元にユニキャストパケットを送信する際に使用するのと同じインターフェイスでマルチキャストパケットを受信するものと想定します。場合によっては、マルチキャスト ルーティングをサポートしないルートをバイパスするなど、マルチキャスト パケットがユニキャスト パケットとは別のパスをたどることがあります。

スタティック マルチキャスト ルートはアドバタイズも再配布もされません。

マルチキャスト ルート テーブルの内容を表示するには、show mroute コマンドを使用します。実行コンフィギュレーションで mroute コマンドを表示するには、show running-config mroute コマンドを使用します。

次に、mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する例を示します。


ciscoasa(config)# mroute 172.16.0.0 255.255.0.0 inside

mschapv2-capable

RADIUS サーバーに対する MS-CHAPv2 認証要求を有効にするには、aaa-server ホスト コンフィギュレーション モードで mschapv2-capable コマンドを使用します。MS-CHAPv2 を無効にするには、このコマンドの no 形式を使用します。

mschapv2-capable

nomschapv2-capable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、MS-CHAPv2 はイネーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

AAA サーバー ホスト コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(1)

このコマンドが追加されました。

使用上のガイドライン

ASA と RADIUS サーバー間の VPN 接続で使用されるプロトコルとして MS-CHAPv2 を有効にするには、トンネルグループ一般属性でパスワード管理を有効にする必要があります。パスワード管理を有効にすると、ASA から RADIUS サーバーへの MS-CHAPv2 認証要求が生成されます。詳細については、password-management コマンドの説明を参照してください。

二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバーが MS-CHAPv2 をサポートしない場合は、no mschapv2-capable コマンドを使用して、そのサーバーが MS-CHAPv2 以外の認証要求を送信するように設定できます。

次に、RADIUS サーバ authsrv1.cisco.com の MS-CHAPv2 をディセーブルにする例を示します。


ciscoasa(config)# aaa-server rsaradius protocol radius
ciscoasa(config-aaa-server-group)# aaa-server rsaradius (management) host authsrv1.cisco.com
ciscoasa(config-aaa-server-host)# key secretpassword
ciscoasa(config-aaa-server-host)# authentication-port 21812
ciscoasa(config-aaa-server-host)# accounting-port 21813
ciscoasa(config-aaa-server-host)# no mschapv2-capable

msie-proxy except-list

グループ ポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを入力して、クライアントデバイスのブラウザがローカルでプロキシをバイパスするためのプロキシの例外リストの設定を設定します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

msie-proxy except-list { value server [ :port ] | none }

nomsie-proxyexcept-list

構文の説明

none

IP アドレス/ホスト名またはポートがなく、例外リストを継承しないことを示します。

value server:port

IP アドレスまたは MSIE サーバーの名前、およびこのクライアント デバイスに適用されるポートを指定します。ポート番号は任意です。

コマンド デフォルト

デフォルトでは、msie-proxy except-list はディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド、リリース 3.1 [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次に、Microsoft Internet Explorer のプロキシ例外リストを設定する例を示します。IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象とします。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy except-list value 192.168.20.1:880
ciscoasa(config-group-policy)#

msie-proxy local-bypass

クライアン デバイスのブラウザ プロキシ ローカル バイパス設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

msie-proxy local-bypass { enable | disable }

no msie-proxy local-bypass { enable | disable }

構文の説明

disable

クライアント デバイスのブラウザ プロキシ ローカル バイパス設定をディセーブルにします。

enable

クライアント デバイスのブラウザ プロキシ ローカル バイパス設定をイネーブルにします。

コマンド デフォルト

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド、リリース 3.1 [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer のプロキシ ローカル バイパスをイネーブルにする例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy local-bypass enable

ciscoasa(config-group-policy)#

msie-proxy lockdown

AnyConnect VPN セッションの間、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリの [システムプロキシ(System Proxy)] タブを非表示にするか、あるいはそのままにするには、グループ ポリシー コンフィギュレーション モードで、msie-proxy lockdown コマンドを使用します。

msie-proxy lockdown [ enable | disable ]

構文の説明

disable

Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブをそのままにします。

enable

AnyConnect VPN セッションの間、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブを非表示にします。

コマンド デフォルト

デフォルトのグループ ポリシーでのこのコマンドのデフォルト値はイネーブルです。グループ ポリシーそれぞれがデフォルトのグループ ポリシーからデフォルト値を継承します。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(3)

このコマンドが追加されました。

使用上のガイドライン

この機能をイネーブルにすると AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブが非表示になります。また、Windows 10 バージョン 1703(以降)では、この機能を有効にすると、AnyConnect VPN セッションの間、設定アプリのシステム プロキシ タブも非表示になります。この機能を無効にすると、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブがそのままになります。

この機能を使用するには、プライベート側のプロキシも指定する必要があります。


(注)  


AnyConnect VPN セッションの間、設定アプリのシステム プロキシ タブを非表示にするには、AnyConnect バージョン 4.7.03052 以降が必要です。


このコマンドは、ユーザー レジストリを AnyConnect VPN セッションの間、一時的に変更します。AnyConnect が VPN セッションを閉じると、レジストリはセッション前の状態に戻ります。

この機能をイネーブルにして、ユーザーがプロキシ サービスを指定して LAN 設定を変更することを防止できます。これらの設定へのユーザー アクセスを防止すると、AnyConnect セッション中のエンドポイント セキュリティが向上します。

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次の例では、AnyConnect セッションの間、接続タブを非表示にします。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy lockdown enable

次の例では、接続タブをそのままにします。


ciscoasa(config-group-policy)# msie-proxy lockdown disable

msie-proxy method

クライアントデバイスのブラウザプロキシアクション(「メソッド」)を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]

no msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url }


(注)  


この構文に適用される条件については、「使用上のガイドライン」を参照してください。

構文の説明

auto-detect

クライアントデバイスのブラウザでプロキシ サーバの自動検出の使用をイネーブルにします。

no-modify

このクライアント デバイスでは、ブラウザの HTTP ブラウザ プロキシ サーバー設定をそのままにしておきます。

no-proxy

このクライアント デバイスでは、ブラウザの HTTP プロキシ設定をディセーブルにします。

use-pac-url

msie-proxy pac-url コマンドに指定されているプロキシ自動コンフィギュレーション ファイル URL から HTTP プロキシサーバー設定を取得するようにブラウザに指示します。

use-server

msie-proxy server コマンドに設定された値を使用するように、ブラウザの HTTP プロキシサーバー設定を設定します。

コマンド デフォルト

デフォルトのメソッドは use-server です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

use-pac-url オプションが追加されました。

使用上のガイドライン

プロキシ サーバーの IP アドレスまたはホスト名およびポート番号が含まれている行には、最大 100 文字含めることができます。

このコマンドでサポートされるオプションの組み合わせは次のとおりです。

  • [no] msie-proxy method no-proxy

  • [no] msie-proxy method no-modify

  • [no] msie-proxy method [auto-detect] [use-server] [use-pac-url]

テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバーを指定するロジックを含む JavaScript ファイルです。.pac ファイルは、Web サーバーにあります。use-pac-url を指定すると、ブラウザは .pac ファイルを使用してプロキシ設定を判別します。.pac ファイルの取得元の URL を指定するには、msie-proxy pac-url コマンドを使用します。

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド、リリース 3.1 [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定として自動検出を設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy method auto-detect
ciscoasa(config-group-policy)#

次に、クライアント PC のサーバーとしてサーバー QASERVER、ポート 1001 を使用するように、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定を設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy server QAserver:port 1001
ciscoasa(config-group-policy)# msie-proxy method use-server
ciscoasa(config-group-policy)#

msie-proxy pac-url

プロキシ情報の検索場所をブラウザに指示するには、グループ ポリシー コンフィギュレーション モードで msie-proxy pac-url コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

msie-proxy pac-url { none | value url }

nomsie-proxypac-url

構文の説明

none

URL 値がないことを指定します。

value url

使用するプロキシ サーバが 1 つ以上定義されているプロキシ自動コンフィギュレーション ファイルをブラウザが取得できる Web サイトの URL を指定します。

コマンド デフォルト

デフォルト値は none です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

要件

プロキシ自動コンフィギュレーション機能を使用するには、リモート ユーザーは Cisco AnyConnect VPN クライアントを使用する必要があります。プロキシ自動コンフィギュレーション URL の使用を有効にするには、msie-proxy method コマンドを use-pac-url オプションとともに設定する必要があります。

このコマンドを使用する理由

多くのネットワーク環境が、Web ブラウザを特定のネットワーク リソースに接続する HTTP プロキシを定義しています。HTTP トラフィックがネットワーク リソースに到達できるのは、プロキシがブラウザに指定され、クライアントが HTTP トラフィックをプロキシにルーティングする場合だけです。SSLVPN トンネルにより、HTTP プロキシの定義が複雑になります。企業ネットワークにトンネリングするときに必要なプロキシが、ブロードバンド接続経由でインターネットに接続されるときや、サード パーティ ネットワーク上にあるときに必要なものとは異なることがあるためです。

また、大規模ネットワークを構築している企業では、複数のプロキシ サーバーを設定し、一時的な状態に基づいてユーザーがその中からプロキシ サーバーを選択できるようにすることが必要になる場合があります。.pac ファイルを使用すると、管理者は数多くのプロキシからどのプロキシを社内のすべてのクライアント コンピュータに使用するかを決定する単一のスクリプト ファイルを作成できます。

次に、PAC ファイルを使用する例をいくつか示します。

  • ロード バランシングのためリストからプロキシをランダムに選択します。

  • サーバーのメンテナンス スケジュールに対応するために、時刻または曜日別にプロキシを交代で使用します。

  • プライマリ プロキシで障害が発生した場合に備えて、使用するバックアップ プロキシ サーバーを指定します。

  • ローカル サブネットを元に、ローミング ユーザー用に最も近いプロキシを指定します。

プロキシ自動コンフィギュレーション機能の使用方法

テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバーを指定するロジックを含む JavaScript ファイルです。.pac ファイルの取得元の URL を指定するには、msie-proxy pac-url コマンドを使用します。次に、msie-proxy method コマンドに use-pac-url を指定すると、ブラウザは .pac ファイルを使用してプロキシ設定を判別します。

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド、リリース 3.1 [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次に、FirstGroup というグループ ポリシーのプロキシ設定を www.example.com という URL から取得するように、ブラウザを設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy pac-url value http://www.example.com
ciscoasa(config-group-policy)#

次に、FirstGroup というグループ ポリシーのプロキシ自動コンフィギュレーション機能をディセーブルにする例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy pac-url none
ciscoasa(config-group-policy)#

msie-proxy server

クライアントデバイスのブラウザプロキシサーバーおよびポートを設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

msie-proxy server { value server [ :port ] | none }

nomsie-proxyserver

構文の説明

none

プロキシ サーバーに指定されている IP アドレス/ホスト名またはポートがなく、サーバーが継承されないことを示します。

value server:port

IP アドレスまたは MSIE サーバーの名前、およびこのクライアント デバイスに適用されるポートを指定します。ポート番号は任意です。

コマンド デフォルト

デフォルトでは、no msie-proxy server が指定されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グループ ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

プロキシ設定の詳細については、Cisco Secure Client管理者ガイド、リリース 3.1 [英語]、またはお使いのモバイルデバイスのリリースノートを参照してください。

次に、Microsoft Internet Explorer プロキシ サーバとして IP アドレス 192.168.10.1 を設定し、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象にする例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# msie-proxy server value 192.168.21.1:880
ciscoasa(config-group-policy)#

mtu

インターフェイスの最大伝送ユニットを指定するには、グローバル コンフィギュレーション モードで mtu コマンドを使用します。イーサネット インターフェイスの MTU ブロックサイズを 1500 にリセットするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。

mtuinterface_namebytes

nomtuinterface_namebytes

構文の説明

bytes

MTU のバイト数。有効な値は 64 ~ 9198 バイト(セキュアクライアント および Firepower 9300 ASA セキュリティ モジュールの場合は 9000)です。

interface_name

内部または外部ネットワーク インターフェイス名。

コマンド デフォルト

イーサネット インターフェイスのデフォルトの bytes は 1500 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.1(6)

最大 MTU が 65535 から 9198(モデルによっては 9000)に変更されました。

使用上のガイドライン

mtu コマンドを使用すると、接続で送信されるペイロードサイズ(レイヤ 2 ヘッダーや VLAN タギングを除く)を設定できます。MTU 値よりも大きいデータは、送信前にフラグメント化されます。イーサネット インターフェイスのデフォルト MTU は 1500 バイトです(これは、ジャンボ フレーム予約なしの最大サイズでもある)。この場合、レイヤ 2 ヘッダー(14バイト)と VLAN タギング(4バイト)を持つパケットのサイズは 1518 バイトです。ほとんどのアプリケーションではこの値で十分ですが、ネットワーク状況によってはこれよりも小さい値にすることもできます。

ASA は、IP パス MTU ディスカバリを(RFC 1191 での規定に従って)サポートします。これにより、ホストはパスに沿ったさまざまなリンクで許容される最大 MTU サイズを動的に検出し、サイズの差に対処できます。パケットがインターフェイスに対して設定されている MTU よりも大きいが、「Don't Fragment」(DF)ビットが設定されているために、ASA がデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、メッセージを送信ホストに送信して、問題を警告します。送信ホストは、パスに沿ったすべてのリンクのうち最小のパケット サイズに適合するように、宛先へのパケットをフラグメント化する必要があります。

レイヤ 2 トンネリング プロトコル(L2TP)を使用するときは、L2TP ヘッダーと IPsec ヘッダーの長さを踏まえて MTU サイズを 1380 に設定することを推奨します。

IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。

バージョン 9.1(6) 以降では、ASA が使用できる最大 MTU は 9198 バイトです。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。

次に、インターフェイスの MTU を指定する例を示します。


ciscoasa(config)# show running-config mtu
mtu outside 1500
mtu inside 1500
ciscoasa(config)# mtu inside 8192
ciscoasa(config)# show running-config mtu
mtu outside 1500
mtu inside 8192

mtu cluster

クラスタ制御リンクの最大伝送ユニットを設定するには、グローバル コンフィギュレーション モードで mtu cluster コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mtu cluster bytes

no mtu cluster [ bytes ]

構文の説明

bytes

クラスタ制御リンク インターフェイスの最大伝送単位を 64 ~ 65,535 バイトの範囲内で指定します。クラスタ制御リンクの MTU を 2561 ~ 8362 に設定することは推奨されません。ブロックプールの処理が原因で、この MTU サイズはシステム動作に最適ではありません。デフォルトの MTU は 1500 バイトです。

コマンド デフォルト

デフォルトの MTU は 1500 バイトです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.0(1)

このコマンドが追加されました。

使用上のガイドライン

MTU を 1600 バイト以上に設定することを推奨します。設定するには、 jumbo-frame reservation コマンドを使用して、ジャンボフレームの予約を有効にする必要があります。

このコマンドはグローバル コンフィギュレーション コマンドですが、ブートストラップ コンフィギュレーションの一部でもあります。ブートストラップ コンフィギュレーションは、ユニット間で複製されません。

次に、クラスタ制御リンクの MTU を 9000 バイトに設定する例を示します。


ciscoasa(config)# mtu cluster 9000

multicast boundary

管理用スコープのマルチキャストアドレスのマルチキャスト境界を設定するには、インターフェイス コンフィギュレーション モードで multicast boundary コマンドを使用します。境界を削除するには、このコマンドの no 形式を使用します。マルチキャスト境界により、マルチキャスト データ パケット フローが制限され、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できるようになります。

multicast boundary acl [ filter-autorp ]

no multicast boundary acl [ filter-autorp ]

構文の説明

acl

アクセス リストの名前または番号を指定します。アクセス リストには、境界の影響を受けるアドレスの範囲を定義します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。

filter-autorp

境界 ACL によって拒否された Auto-RP メッセージをフィルタリングします。指定されていない場合、すべての Auto-RP メッセージが通過します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、acl 引数によって定義されている範囲でマルチキャスト グループ アドレスをフィルタリングするようにインターフェイスに管理用スコープの境界を設定するために使用されます。影響を受けるアドレス範囲は、標準アクセス リストによって定義されます。このコマンドが設定されている場合、マルチキャスト データ パケットはいずれの方向であっても境界を通過できません。マルチキャスト データ パケット フローを制限すると、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できます。

filter-autorp キーワードを設定した場合、管理用スコープの境界で Auto-RP 検出メッセージおよびアナウンスメッセージが検査され、境界 ACL によって拒否される Auto-RP パケットから Auto-RP グループ範囲アナウンスメントが削除されます。Auto-RP グループ範囲通知は、Auto-RP グループ範囲のすべてのアドレスが境界 ACL によって許可される場合に限り境界を通過できます。許可されないアドレスがある場合は、グループ範囲全体がフィルタリングされ、Auto-RP メッセージが転送される前に Auto-RP メッセージから削除されます。

次に、すべての管理用スコープのアドレスの境界を設定し、Auto-RP メッセージをフィルタリングする例を示します。


ciscoasa(config)# access-list boundary_test deny 239.0.0.0 0.255.255.255
ciscoasa(config)# access-list boundary_test permit 224.0.0.0 15.255.255.255
ciscoasa(config)# interface GigabitEthernet0/3
ciscoasa(config-if)# multicast boundary boundary_test filter-autorp

multicast-routing

ASA で IP マルチキャストルーティングを有効にするには、グローバル コンフィギュレーション モードで multicast routing コマンドを使用します。IP マルチキャストルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

multicast-routing

nomulticast-routing

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、multicast-routing コマンドは、すべてのインターフェイスの PIM と IGMP を有効にします。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

multicast-routing コマンドは、すべてのインターフェイスの PIM と IGMP を有効にします。


(注)  


PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してだけ動作します。セキュリティ アプライアンスが PIM RP の場合は、セキュリティ アプライアンスの未変換の外部アドレスを、RP アドレスとして使用します。

マルチキャスト ルーティング テーブルのエントリの数は、システムに搭載されているメモリの量によって制限されます。<xref> に、セキュリティアプライアンスの RAM の量に基づいた特定のマルチキャストテーブルに関するエントリの最大数を示します。この上限に達すると、新しいエントリは廃棄されます。

表 1. マルチキャストテーブルのエントリ制限(スタティックエントリとダイナミックエントリの組み合わせ)

テーブル

16 MB

128 MB

128+ MB

MFIB

[1000]

3000

5000

IGMP グループ

[1000]

3000

5000

PIM ルート

3000

7000

12000

次に、ASA で IP マルチキャストルーティングを有効にする例を示します。


ciscoasa(config)# multicast-routing

mus

ASA が WSA を指定する IP 範囲とインターフェイスを指定するには、グローバル コンフィギュレーション モードで mus コマンドを使用します。このサービスを無効にするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。指定したサブネットおよびインターフェイスで検索される WSA のみが登録されます。

mus IPv4 address IPv4 mask interface_name

no mus IPv4 address IPv4 mask interface_name


(注)  


このコマンドを想定どおりに機能させるためには、Cisco Secure Clientの AnyConnect セキュア モビリティ ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.3(1)

このコマンドが追加されました。

使用上のガイドライン

次のコマンドを使用できます。

  • A.B.C.D:ASA へのアクセスを認可された WSA の IP アドレスです。

  • host:クライアントは、架空のホストに要求を送信して Web セキュリティ アプライアンスへの接続を定期的にチェックします。デフォルトでは、架空のホストの URL は mus.cisco.com です。AnyConnect Security Mobility をイネーブルにすると、Web セキュリティ アプライアンスは、この架空のホストへの要求を傍受し、このクライアントに応答します。

  • password:WSA パスワードを設定します。

  • server:WSA サーバーを設定します。

次の例では、1.2.3.x サブネットの WSA サーバーが、inside インターフェイスのセキュア モビリティ ソリューションにアクセスすることを許可します。


ciscoasa(config)# mus 1.2.3.0 255.255.255.0 inside

mus host

ASA で MUS ホスト名を指定するには、グローバル コンフィギュレーション モードで mus host コマンドを入力します。これは、ASA から セキュアクライアント に送信されるテレメトリの URL です。セキュアクライアント では、この URL を使用して、MUS 関連サービス用のプライベートネットワークにある WSA と通信します。このコマンドで入力したコマンドを削除するには、no mus host コマンドを使用します。

mus host host name

nomushost

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.3(1)

このコマンドが追加されました。

使用上のガイドライン

所定のポートに対して AnyConnect Secure Mobility をイネーブルにできます。WSA ポートの値は 1 ~ 21000 です。このコマンドでポートが指定されていない場合、ポート 11999 が使用されます。

このコマンドを実行する前に AnyConnect Secure Mobility の共有秘密を設定する必要があります。


(注)  


このコマンドを想定どおりに機能させるためには、Cisco Secure Clientの AnyConnect セキュア モビリティ ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。

次の例では、AnyConnect Secure Mobility ホストと WebVPN コマンド サブモードを入力する方法を示します。


ciscoasa(config)# webvpn
 
ciscoasa(config-webvpn)# mus 0.0.0.0 0.0.0.0 inside
 
ciscoasa(config-webvpn)# mus password abcdefgh123
 
ciscoasa(config-webvpn)# mus server enable 960 # non-default port
 
ciscoasa(config-webvpn)# mus host mus.cisco.com
 

mus password

AnyConnect セキュアモビリティ通信の共有秘密を設定するには、グローバル コンフィギュレーション モードで mus password コマンドを入力します。共有秘密を削除するには、no mus password コマンドを使用します。

muspassword

nomuspassword


(注)  


このコマンドを想定どおりに機能させるためには、Cisco Secure Clientの AnyConnect セキュア モビリティ ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

有効なパスワードは、正規表現 [0-9, a-z, A-Z,:;_/-]{8,20} で定義されます。共有秘密パスワードの全長は、最小 8 文字、最大 20 文字です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.3(1)

このコマンドが追加されました。

使用上のガイドライン

この WebVPN サブモードを使用すると、WebVPN 用のグローバル設定を設定できます。AnyConnect Secure Mobility 通信に共有秘密を設定できます。

次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。


ciscoasa
(config)#
 mus password <password_string>
ciscoasa
(config-webvpn)#

mus server

ASA が WSA 通信をリッスンするポートを指定するには、グローバル コンフィギュレーション モードで mus server コマンドを入力します。このコマンドで入力したコマンドを削除するには、no mus server コマンドを使用します。

musserverenable

nomusserverenable


(注)  


このコマンドを想定どおりに機能させるためには、Cisco Secure Clientの AnyConnect セキュア モビリティ ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.3(1)

このコマンドが追加されました。

使用上のガイドライン

AnyConnect Secure Mobility サービスで使用するポートを指定する必要があります。ASA と WSA の間の通信には、管理者が指定したポート(1 ~ 21000)で確立されたセキュアな SSL 接続が使用されます。

このコマンドを実行する前に AnyConnect Secure Mobility の共有秘密を設定する必要があります。

次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。


ciscoasa
(config-webvpn)# 
mus server enable
?
webvpn mode commands/options
	port Configure WSA port
ciscoasa(config-webvpn)# mus server enable port 12000