su ~ sz

subject-name(クリプト CA 証明書マップ)

IPsec ピア証明書のサブジェクト DN にルールエントリが適用されることを指定するには、クリプト CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。

subject-name [ attr tag eq | ne | co | nc string ]

no subject-name [ attr tag eq | ne | co | nc string ]

構文の説明

attr tag

証明書 DN の指定された属性値のみがルール エントリ ストリングと比較されることを指定します。タグ値は次のとおりです。

DNQ = DN 修飾子GENQ = 世代修飾子I = イニシャルGN = 名N = 名前SN = 姓IP = IP アドレスSER = シリアル番号UNAME = 非構造化名EA = 電子メール アドレスT = 役職O = 組織名L = 地名SP = 州または都道府県C = 国または地域OU = 組織ユニットCN = 通常名

co

ルール エントリ ストリングが DN ストリングまたは指定された属性のサブストリングである必要があることを指定します。

eq

DN ストリングまたは指定された属性がルール ストリング全体と一致する必要があることを指定します。

nc

ルール エントリ ストリングが DN ストリングまたは指定された属性のサブストリングでないことが必要であることを指定します。

ne

DN ストリングまたは指定された属性がルール ストリング全体と一致しないことが必要であることを指定します。

string

照合される値を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA 証明書マップ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、証明書マップ 1 に対して CA 証明書マップ コンフィギュレーション モードを開始して、証明書サブジェクト名の組織属性が Central と等しくなる必要があることを指定するルール エントリを作成する例を示します。


ciscoasa(config)# crypto ca certificate map 1
ciscoasa(ca-certificate-map)# subject-name attr o eq central
ciscoasa(ca-certificate-map)# exit
         

subject-name(暗号 CA トラストポイント)

指定したサブジェクト DN を登録時に証明書に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。これは、証明書を使用する人またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

subject-name X.500_name

no subject-name

構文の説明

X.500_name

X.500 認定者名を定義します。属性と値のペアを区切るには、カンマを使用します。カンマやスペースを含む値は、引用符で囲みます。たとえば、 cn=crl,ou=certs,o="cisco systems, inc.",c=US です。最大長は 500 文字です。

コマンド デフォルト

デフォルト設定では、サブジェクト名は含まれません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、URL https//:frog.example.com での自動登録を設定し、サブジェクト DN OU certs をトラストポイント central の登録要求に含める例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment url http://frog.example.com/ 
ciscoasa(ca-trustpoint)# subject-name ou=certs
ciscoasa(ca-trustpoint)# 

subject-name-default

ローカル CA サーバーが発行するすべてのユーザー証明書でユーザー名に追加される一般的なサブジェクト名認定者名(DN)を指定するには、CA サーバー コンフィギュレーション モードで subject-name-default コマンドを使用します。サブジェクト名 DN をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

subject-name-default dn

no subject-name-default

構文の説明

dn

ローカル CA サーバーが発行するすべてのユーザー証明書でユーザー名に含める一般的なサブジェクト名 DN を指定します。サポートされている DN 属性は、cn(一般名)、ou(組織ユニット)、ol(組織の地名)、st(州)、ea(電子メール アドレス)、c(会社)、t(タイトル)、および sn(姓名の姓)です。属性と値のペアを区切るには、カンマを使用します。カンマを含む値は、引用符で囲んでください。dn に使用できる文字数は最大 500 文字です。

コマンド デフォルト

このコマンドは、デフォルトのコンフィギュレーションの一部ではありません。このコマンドでは、証明書のデフォルトの DN を指定します。ユーザー入力に DN がある場合、このコマンドは ASA によって無視されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

CA サーバー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

subject-name-default コマンドでは、発行される証明書のサブジェクト名を構成するユーザー名で使用される、共通の一般的な DN を指定します。この目的には、dn 値は cn=username で十分です。このコマンドによって、ユーザーごとに個別にサブジェクト名 DN を定義する必要がなくなります。crypto ca server user-db add dn dn コマンドを使用してユーザーが追加される場合、DN フィールドは任意です。

ASA では、このコマンドは、ユーザー入力で DN が指定されない場合に、証明書を発行するときにのみ使用されます。

次に、DN を指定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# subject-name-default cn=cisco,cn=example_corp,ou=eng,st=ma, c="cisco systems, inc.”
ciscoasa
(config-ca-server)
# 

subnet

ネットワークオブジェクトまたはネットワークサービス オブジェクトのネットワークを設定するには、オブジェクト コンフィギュレーション モードで subnet コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。

subnet { IPv4_address IPv4_mask | IPv6_address/IPv6_prefix } [ service ]

no subnet { IPv4_address IPv4_mask | IPv6_address/IPv6_prefix } [ service ]

構文の説明

IPv4_address IPv4_mask

IPv4 ネットワーク アドレスとサブネット マスクを、スペースで区切って指定します。

IPv6_address/ IPv6_prefix

IPv6 ネットワーク アドレスとプレフィックス長を、/ 記号で区切って指定します。スペースは使用しません。

service

(オプション:ネットワークサービス オブジェクトのみ)一致する接続の範囲を制限する場合にのみ、サービスを指定します。デフォルトでは、解決済みの IP アドレスへのすべての接続がオブジェクトと一致します。

protocol [operator port]

引数の説明

  • protocol は、tcp、udp、ip など、接続で使用されるプロトコルです。プロトコルのリストを確認するには ? を使用します。

  • (TCP/UDP のみ)operator は次のいずれかです。

    • eq は、指定したポート番号と等しいポートを意味します。

    • lt は、指定したポート番号より小さい任意のポートを意味します。

    • gt は、指定したポート番号より大きい任意のポートを意味します。

    • range は、指定した 2 つのポートの間の任意のポートを意味します。

  • (TCP/UDP のみ)port は 1 ~ 65535 のポート番号か www などのニーモニックです。ニーモニックを確認するには ? を使用します。範囲の場合は 2 つのポートを指定する必要があります。最初のポートを 2 番目のポートよりも小さい番号にします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

オブジェクト ネットワーク コンフィギュレーションまたはネットワークサービス コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.3(1)

このコマンドが追加されました。

9.17(1)

ネットワークサービス オブジェクトのサポートと service キーワードが追加されました。

使用上のガイドライン

既存のオブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。

次に、サブネット ネットワーク オブジェクトを作成する例を示します。


ciscoasa(config)# object network OBJECT_SUBNET
ciscoasa(config-network-object)# subnet 10.1.1.0 255.255.255.0

次に、HTTPS トラフィックのサブネット ネットワークサービス オブジェクトを作成する例を示します。


ciscoasa(config)# object network-service partner-web
ciscoasa(config-ns)# subnet 10.100.10.0 255.255.255.0 tcp eq 443

summary-address(インターフェイス)

特定のインターフェイスの EIGRP のサマリーを設定するには、インターフェイス コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスを削除するには、このコマンドの no 形式を使用します。

summary-address as-number addr mask [ admin-distance ]

no summary-address as-number addr mask

構文の説明

as-number

自律システム番号。これは、EIGRP ルーティング プロセスの自律システム番号と同じである必要があります。

addr

サマリー IP アドレス。

mask

IP アドレスに適用されるサブネット マスク。

admin-distance

(任意)集約ルートのアドミニストレーティブ ディスタンス。有効な値は、0 ~ 255 です。指定されていない場合、デフォルト値は 5 です。

コマンド デフォルト

デフォルトの設定は次のとおりです。

  • EIGRP は、単一のホスト ルートの場合でも、ルートをネットワーク レベルに自動的に集約します。

  • EIGRP 集約ルートのアドミニストレーティブ ディスタンスは 5 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードはサポートされます。

使用上のガイドライン

デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。自動ルート集約をディセーブルにするには、no auto-summary コマンドを使用します。summary-address コマンドを使用すると、サブネットルート集約をインターフェイス単位で手動で定義できます。

次の例では、tag を 3 に設定してルート集約を設定しています。


ciscoasa(config-if)# summary-address 1.1.0.0 255.255.0.0 
ciscoasa(config-if)#

次の例に、no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、summary-address コマンドから削除されます。


ciscoasa(config-if)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-if)#

次の例では、設定から summary-address コマンドを削除します。


ciscoasa(config-if)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-if)#

summary-prefix(IPv6 ルータ OSPF)

IPv6 サマリープレフィックスを設定するには、IPv6 ルータ OSPF コンフィギュレーション モードで summary-prefix コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

summary-prefix prefix [ not-advertise ][ tag tag_value ]

no summary-prefix prefix [ not-advertise ][ tag tag_value ]

構文の説明

not-advertise

(オプション)指定されたプレフィックスとマスクのペアに一致するルートを抑制します。このキーワードは OSPFv3 だけに適用されます。

prefix

宛先の IPv6 プレフィックスを指定します。

tag tag_value

(オプション)ルート マップを使用して再配布を制御する match 値として使用できるタグ値を指定します。このキーワードは OSPFv3 だけに適用されます。

コマンド デフォルト

デフォルトの設定は次のとおりです。

  • tag_value は 0 です。

  • 指定されたプレフィックスとマスクのペアに一致するルートは抑制されません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

IPv6 ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.0(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用して、IPv6 サマリー プレフィックスを設定します。

次の例では、サマリー プレフィックス FECO:: /24 が、アドレス FECO::/1 ~ FECO::/24 を含んでいます。アドレス FECO:: /24 のみが外部 LSA でアドバタイズされます。


ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-router)# router-id 172.16.3.3
ciscoasa(config-router)# summary-prefix FECO::/24
ciscoasa(config-router)# redistribute static

summary-address(ルータ ISIS)

IS-IS の集約アドレスを作成するには、ルータ ISIS コンフィギュレーション モードで summary-address コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

summary-address address mask [ level-1 | level-1-2 | level-2 ][ tag tag-number ][ metric metric-value ]

no summary-address address mask [ level-1 | level-1-2 | level-2 ][ tag tag-number ][ metric metric-value ]

構文の説明

level-1

(オプション)設定済みアドレスとマスク値を使用して、レベル 1 に再配布されたルートのみが集約されます。

level-1-2

(オプション)ルートをレベル 1 およびレベル 2 IS-IS に再配布するとき、およびレベル 2 IS-IS がレベル 1 をエリアで到達可能なものとしてアドバタイズしたときにサマリールートが適用されます。

level-2

(オプション)設定済みアドレスとマスク値を使用して、レベル 1 ルーティングが学習したルートはレベル 2 バックボーンに集約されます。レベル 2 の IS-IS に再配布されたルートもサマライズされます。

address

アドレスの範囲を表すために指定するサマリー アドレス。

mask

サマリー ルートに使用される IP サブネット マスク。

tag tag-number

(オプション)サマリー ルートにタグを付けるために使用される整数を指定します。

metric metric-value

(オプション)サマリー ルートに適用されるメトリック値を指定します。

コマンド デフォルト

すべてのルートは個別にアドバタイズされます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ isis コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが追加されました。

使用上のガイドライン

複数のアドレス グループを特定のレベルに集約できます。他のルーティング プロトコルから学習したルートも集約できます。サマリーのアドバタイズに使用されるメトリックは、具体的なルートすべての中で最小のメトリックです。このコマンドは、ルーティング テーブルの容量縮小に有効です。

リンクステート パケット(LSP)とリンクステート データベース(LSDB)のサイズも小さくします。また、要約アドバタイズメントは多くの特定ルートによって異なるので、ネットワークの安定にも役立ちます。たいていの場合、1 つのルート フラップが原因で要約アドバタイズメントはフラップしません。

サマリー アドレスを使用する場合の欠点は、他のルートには、個々の宛先すべてに最適なルーティング テーブルを計算するための情報が少なくなることです。

次に、IS-IS に Routing Information Protocol(RIP)ルートを再配布する例を示します。RIP ネットワークでは、10.1.1、10.1.2、10.1.3、10.1.4 のような IP ルートがあります次に、10.1.0.0 のみを IS-IS レベル 1 リンクステート プロトコル データ ユニット(PDU)にアドバタイズする例を示します。サマリー アドレスに 100 のタグが付けられ、110 のメトリック値が指定されます。


ciscoasa(config)# router isis
ciscoasa(config-router)# net 01.0000.0000.0001.00
ciscoasa(config-router)# redistribute rip level-1 metric 40
ciscoasa(config-router)# summary-address 10.1.0.0 255.255.0.0 tag 100 metric 110

summary-address(ルータ OSPF)

OSPF の集約アドレスを作成するには、ルータ OSPF コンフィギュレーション モードで summary-address コマンドを使用します。サマリーアドレスまたは特定のサマリーアドレスオプションを削除するには、このコマンドの no 形式を使用します。

summary-address addr mask [ not-advertise ][ tag tag_value ]

no summary-address addr mask [ not-advertise ][ tag tag_value ]

構文の説明

addr

アドレス範囲に対して指定されるサマリー アドレスの値。

mask

集約ルートに対して使用される IP サブネット マスク。

not-advertise

(任意)指定されたプレフィックス/マスク ペアと一致するルートを抑制します。

tag tag_value

(任意)各外部ルートに付けられた 32 ビットの 10 進値。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効値の範囲は、0 ~ 4294967295 です。

コマンド デフォルト

デフォルトの設定は次のとおりです。

  • tag_value は 0 です。

  • 指定されたプレフィックス/マスク ペアと一致するルートは抑制されません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

他のルーティング プロトコルから学習したルートをサマライズできます。このコマンドを OSPF に対して使用すると、OSPF 自律システム境界ルータ(ASBR)により、このアドレスの対象となる再配布されるすべてのルートの集約として、1 つの外部ルートがアドバタイズされます。このコマンドでは、OSPF に再配布されている、他のルーティング プロトコルからのルートのみが集約されます。OSPF エリア間のルート集約には area range コマンドを使用します。

summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を、任意のキーワードまたは引数を指定しないで使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、このコマンドの no 形式を使用して、削除するオプションを指定します。詳細については、「例」を参照してください。

次の例では、tag を 3 に設定してルート集約を設定しています。


ciscoasa(config-router)# summary-address 1.1.0.0 255.255.0.0 tag 3
ciscoasa(config-router)#

次の例に、no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、summary-address コマンドから削除されます。


ciscoasa(config-router)# no summary-address 1.1.0.0 255.255.0.0 tag 3
ciscoasa(config-router)#

次の例では、設定から summary-address コマンドを削除します。


ciscoasa(config-router)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-router)#

sunrpc-server

SunRPC サービステーブルのエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。SunRPC サービステーブルのエントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

sunrpc-server ifc_name ip_addr mask service service_type protocol [ tcp | udp ] port port [ -port ] timeout hh:mm:ss

no sunrpc-server ifc_name ip_addr mask service service_type protocol [ tcp | udp ] port port [ -port ] timeout hh:mm:ss

no sunrpc-server service_type server ip_addr

構文の説明

ifc_name

サーバー インターフェイス名。

ip_addr

SunRPC サーバーの IP アドレス。

mask

ネットワーク マスク。

port port [- port ]

SunRPC プロトコルのポート範囲を指定します。

port- port

(任意)SunRPC プロトコルのポート範囲を指定します。

protocol tcp

SunRPC トランスポート プロトコルを指定します。

protocol udp

SunRPC トランスポート プロトコルを指定します。

service

サービスを指定します。

service_type

sunrpcinfo コマンドで指定した SunRPC サービスプログラム番号を設定します。

timeout hh:mm:ss

SunRPC サービス トラフィックへのアクセスが終了するまでのタイムアウト アイドル時間を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

SunRPC サービステーブルは、timeout で指定された時間、確立された SunRPC セッションに基づいて、SunRPC トラフィックが ASA を通過するのを許可するために使用します。

次に、SunRPC サービス テーブルを作成する例を示します。


ciscoasa(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100003 protocol TCP port 111 timeout 0:11:00
ciscoasa(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100005 protocol TCP port 111 timeout 0:11:00
         

support-user-cert-validation

現在のトラストポイントが、リモートユーザー証明書を発行した CA に対して認証されている場合に、このトラストポイントに基づいてリモート証明書を検証するには、クリプト CA トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

support-user-cert-validation

no support-user-cert-validation

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルト設定では、ユーザー証明書の検証がサポートされています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザーが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central でユーザー検証を受け入れることができるようにする例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# support-user-cert-validation
ciscoasa(ca-trustpoint)# 

sw-module module password-reset

ソフトウェアモジュールのパスワードをデフォルト値にリセットするには、特権 EXEC モードで sw-module module password-reset コマンドを使用します。

sw-module module id password-reset

構文の説明

id

cxsc または ips のいずれかのモジュール ID を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

使用上のガイドライン

パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中はサービスを使用できません。リブートには数分を要する場合があります。show module コマンドを実行すると、モジュールの状態をモニターできます。

コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラー メッセージが表示されます。

このコマンドは、モジュールがアップ状態である場合にのみ有効です。

デフォルトのパスワードはモジュールによって異なります。

  • ASA IPS:ユーザー cisco のデフォルトのパスワードは、cisco です。

  • ASA CX:ユーザー admin のデフォルトのパスワードは、Admin123 です。

次に、IPS モジュール上のパスワードをリセットする例を示します。


ciscoasa# sw-module module ips password-reset
Reset the password on module ips? [confirm] y

sw-module module recover

ソフトウェアモジュールのリカバリ用ソフトウェアイメージをディスクからロードする場合、またはイメージの場所を設定する場合は、特権 EXEC モードで sw-module module recover コマンドを使用します。たとえば、モジュールが現在のイメージをロードできない場合などに、このコマンドを使用してモジュールを回復することが必要になることがあります。

sw-module module ID recover { boot | stop | configure image path }

構文の説明

id

次のいずれかのモジュール ID を指定します。

  • sfr :ASA FirePOWER モジュール。

  • ips :IPS モジュール

  • cxsc :ASA CX モジュール

boot

このモジュールの回復を開始し、configure 設定に従って回復イメージをダウンロードします。ダウンロード後、モジュールは新しいイメージからリブートします。

configure image path

ローカル ディスク上の新しいイメージの場所を設定します(例:disk0:image2)。

stop

リカバリ アクションを停止し、モジュールのイメージ ファイルを削除します。このコマンドは、sw-module module id recover boot コマンドを使用して回復を開始してから 30 秒以内に入力する必要があります。この期間が経過した後で stop コマンドを入力すると、モジュールが無応答になるなど、予期しない結果になることがあります。

すでにモジュールが無応答になっている場合、リブートしたり新しいイメージを適用したりするには、停止する必要が生じることがあります。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

9.2(1)

sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドを使用して、ソフトウェア モジュールをインストールします。このモジュールは、デバイスで設定されていない新しいモジュールである場合と、障害が発生したために再インストールが必要となった既存のモジュールである場合があります。

イメージをインストールする場合は、次のコマンド シーケンスを使用します。

  • sw-module module id configure image path(ソフトウェア モジュール イメージの disk0 上の場所を指定)。

  • sw-module module id boot (該当イメージをブート)。

イメージのブートは、モジュールがアップ、ダウン、無応答、または回復のいずれかの状態である場合にのみ可能です。ステート情報については、 show module コマンドを参照してください。モジュールがアップ状態でない場合、ASA は強制的にモジュールをシャットダウンします。強制シャットダウンでは、すべてのコンフィギュレーションを含む、古いモジュール ディスク イメージが破壊されます。このため、ディザスタ リカバリ メカニズムとしてのみ使用してください。

show module id recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。


(注)  


IPS モジュールの場合、モジュールソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。モジュールのインストールおよび初期設定を完了する方法については、各ソフトウェアモジュールの CLI コンフィギュレーション ガイドを参照してください。

次に、disk0:image2 からイメージをダウンロードするようにモジュールを設定する例を示します。


ciscoasa# sw-module module ips recover configure image disk0:image2

次に、モジュールを回復する例を示します。


ciscoasa# sw-module module ips recover boot
The module in slot ips will be recovered.  This may
erase all configuration and all data on that device and
attempt to download a new image for it.
Recover module in slot ips? [confirm]

sw-module module reload

ソフトウェアモジュールのモジュールソフトウェアをリロードするには、特権 EXEC モードで sw-module module reload コマンドを使用します。

sw-module module id reload

構文の説明

id

次のいずれかのモジュール ID を指定します。

  • sfr :ASA FirePOWER モジュール。

  • ips :IPS モジュール

  • cxsc :ASA CX モジュール

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

9.2(1)

sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドは、モジュールをリロードする前にリセットを実行する sw-module module reset コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ状態にある場合だけ有効です。ステート情報については、 show module コマンドを参照してください。

次に、IPS モジュールをリロードする例を示します。


ciscoasa# sw-module module ips reload
Reload module in slot ips? [confirm] y
Reload issued for module in slot ips
%XXX-5-505002: Module in slot ips is reloading.  Please wait...
%XXX-5-505006: Module in slot ips is Up.

sw-module module reset

モジュールをリセットしてからモジュールソフトウェアをリロードするには、特権 EXEC モードで sw-module module reset コマンドを使用します。

sw-module module id reset

構文の説明

id

次のいずれかのモジュール ID を指定します。

  • sfr :ASA FirePOWER モジュール。

  • ips :IPS モジュール

  • cxsc :ASA CX モジュール

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

9.2(1)

sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

モジュールがアップ状態の場合、sw-module module reset コマンド によって、リセットの前にソフトウェアをシャットダウンするように要求されます。

sw-module module recover コマンドを使用してモジュールを回復できます。モジュールが回復状態になっているときに sw-module module reset コマンド を入力しても、モジュールは回復プロセスを中断しません。sw-module module reset コマンド によって、モジュールのリセットが実行され、リセット後にモジュールの回復が続行します。モジュールがハングした場合は、回復中にモジュールをリセットできます。ハードウェア リセットによって、問題が解決することもあります。

このコマンドは、ソフトウェアのリロードのみを行いリセットは行わない sw-module module reload コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ、ダウン、無応答、または回復のいずれかの場合にのみ有効です。ステート情報については、show module コマンドを参照してください。

次に、アップ状態の IPS モジュールをリセットする例を示します。


ciscoasa# sw-module module ips reset
The module in slot ips should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot ips? [confirm] y
Reset issued for module in slot ips
%XXX-5-505001: Module in slot ips is shutting down.  Please wait...
%XXX-5-505004: Module in slot ips shutdown is complete.
%XXX-5-505003: Module in slot ips is resetting.  Please wait...
%XXX-5-505006: Module in slot ips is Up.

sw-module module shutdown

モジュールソフトウェアをシャットダウンするには、特権 EXEC モードで sw-module module shutdown コマンドを使用します。

sw-module module id shutdown

構文の説明

id

次のいずれかのモジュール ID を指定します。

  • sfr :ASA FirePOWER モジュール。

  • ips :IPS モジュール

  • cxsc :ASA CX モジュール

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

9.2(1)

sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

モジュール ソフトウェアをシャットダウンするのは、コンフィギュレーション データを失うことなく安全にモジュールの電源をオフにできるように準備するためです。

このコマンドは、モジュール ステータスがアップまたは無応答である場合にのみ有効です。ステート情報については、show module コマンドを参照してください。

次に、IPS モジュールをシャットダウンする例を示します。


ciscoasa# sw-module module ips shutdown
Shutdown module in slot ips? [confirm] y
Shutdown issued for module in slot ips
ciscoasa#
%XXX-5-505001: Module in slot ips is shutting down.  Please wait...
%XXX-5-505004: Module in slot ips shutdown is complete.

sw-module module uninstall

ソフトウェア モジュール イメージおよび関連するコンフィギュレーションをアンインストールするには、特権 EXEC モードで sw-module module uninstall コマンドを使用します。

sw-module module id uninstall

構文の説明

id

次のいずれかのモジュール ID を指定します。

  • sfr :ASA FirePOWER モジュール。

  • ips :IPS モジュール

  • cxsc :ASA CX モジュール

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.6(1)

このコマンドが追加されました。

9.1(1)

cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

9.2(1)

sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドは、ソフトウェア モジュール イメージおよび関連するコンフィギュレーションを永続的にアンインストールします。

次に、IPS モジュール イメージおよびコンフィギュレーションをアンインストールする例を示します。


ciscoasa# sw-module module ips uninstall
Module ips will be uninstalled. This will completely remove the
disk image associated with the sw-module including any configuration
that existed within it.
Uninstall module <id>? [confirm]

switchport access vlan

アクセスモードのスイッチポートに VLAN を設定するには、インターフェイス コンフィギュレーション モードで switchport access vlan コマンドを使用します。デフォルトの VLAN 1 に戻すには、このコマンドの no 形式を使用します。

switchport access vlan number

no switchport access vlan number


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

vlan number

このスイッチ ポートを割り当てる VLAN ID を指定します。VLAN ID は、1 ~ 4070(Firepower 1010)または 4090(ASA 5505)の範囲で指定します。

コマンド デフォルト

Firepower 1010:デフォルトでは、イーサネット 0/1 ~ 0/7 が VLAN 1 に割り当てられ、イーサネット 0/0 が VLAN 2 に割り当てられます。

Firepower 1010:デフォルトでは、イーサネット 1/2 ~ 1/8 のスイッチポートがアクセスモードとなり、VLAN 1 に割り当てられます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

アクセス ポートは、タグなしのトラフィックのみを受け入れます。ASA は、指定した VLAN を使用してスイッチポートに入るトラフィックにタグを付け、同じ VLAN 上の他のアクセスポートまたはトランクポートにトラフィックを転送できるようにします。VLAN タグは、別のアクセスポートを出力すると削除されますが、トランクポートを出力しても保持されます。


(注)  


ASA は、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。

ASA 5505

トランスペアレント ファイアウォール モードでは、ASA 5505 基本ライセンスはアクティブ VLAN を 2 つ、Security Plus ライセンスは 3 つ設定できます。そのうちの 1 つは、フェールオーバー用です。

ルーテッドモードでは、ASA 5505 の基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 20 のアクティブ VLAN を設定できます。

アクティブな VLAN とは、nameif コマンドが設定された VLAN のことです。

次に、5 つの ASA 5505 物理インターフェイスを 3 つの VLAN インターフェイスに割り当てる例を示します。


ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown
...

switchport

インターフェイスをスイッチポートモードに設定するには、インターフェイス コンフィギュレーション モードで switchport コマンドを使用します。インターフェイスをファイアウォールモードに設定するには、このコマンドの no 形式を使用します。

switchport

no switchport


(注)  


Firepower 1010 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

イーサネット 1/2 ~ 1/8 では、このコマンドがデフォルトで有効になっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.13(1)

コマンドが追加されました。

使用上のガイドライン

各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。

管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。

このインターフェイスがすでにスイッチポートモードの場合、switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。

次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。


ciscoasa(config)# interface ethernet1/3
ciscoasa(config-if)# no switchport
ciscoasa(config-if)# interface ethernet1/3
ciscoasa(config-if)# no switchport
ciscoasa(config-if)# 

switchport mode

スイッチポートの VLAN をアクセスモード(デフォルト)またはトランクモードのいずれかに設定するには、インターフェイス コンフィギュレーション モードで switchport mode コマンドを使用します。デフォルトのアクセスモードに戻すには、このコマンドの no 形式を使用します。

switchport mode { access | trunk }

no switchport mode { access | trunk }


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

access

スイッチ ポートをアクセス モードに設定します。このモードでは、スイッチ ポートで 1 つの VLAN のみのトラフィックを渡すことができます。タグなしパケットのみが許可されます。パケットがタグ付きでスイッチ ポートに入ると、パケットはドロップされます。パケットは、802.1Q VLAN タグなしでスイッチ ポートから出ます。

trunk

スイッチ ポートをトランク モードに設定します。そのため、複数の VLAN のトラフィックを渡すことができます。タグ付きのパケットとタグなしパケットの両方が許可されます。パケットは、802.1Q VLAN タグ付きでスイッチ ポートから出ます。パケットがタグなしでスイッチポートに入ると、ネイティブ VLAN に割り当てられます。

コマンド デフォルト

デフォルトでは、モードはアクセスです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

7.2(2)

1 つのトランクに制限されず、複数のトランク ポートを設定できるようになりました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

モードをアクセスモードに設定した後、switchport vlan access コマンドを使用して VLAN を識別します。

モードをトランクモードに設定した後、switchport trunk allowed vlan コマンドを使用して、複数の VLAN をトランクに割り当てます。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。ASA 5505 でトランクモードが使用できるのは、Security Plus ライセンスだけです。

次に、VLAN 100 に割り当てられたアクセス モードのスイッチ ポートおよび VLAN 200 および 300 に割り当てられたトランク モードのスイッチ ポートを設定する例を示します。


ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allowed vlan 200,300
ciscoasa(config-if)# no shutdown
...

switchport monitor

SPAN スイッチポートモニタリングをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport monitor コマンドを使用します。このコマンドを入力する対象のポート(宛先ポートと呼ばれる)では、指定した送信元ポートで送受信されるすべてのパケットのコピーを受信します。SPAN 機能を使用すると、トラフィックをモニターできるように、スニファを宛先ポートに接続できます。このコマンドを複数回入力して、複数の送信元ポートを指定できます。SPAN をイネーブルにすることができるのは、1 つの宛先ポートのみです。送信元ポートのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。

switchport monitor source_port [ tx | rx | both ]

no switchport monitor source_port [ tx | rx | both ]


(注)  


ASA 5505 でのみサポートされています。

構文の説明

both

(任意)送信トラフィックと受信トラフィックの両方をモニターすることを指定します。both がデフォルトです。

rx

(任意)受信トラフィックのみをモニターすることを指定します。

source_port

モニターするポートを指定します。任意のイーサネット ポートおよび VLAN インターフェイス間でトラフィックを渡す Internal-Data0/1 バックプレーン ポートを指定できます。Internal-Data0/1 ポートはギガビット イーサネット ポートであるため、ファスト イーサネット宛先ポートをトラフィックによって過負荷にする場合があります。Internal-Data0/1 ポートは注意してモニターしてください。

tx

(任意)送信トラフィックのみをモニターすることを指定します。

コマンド デフォルト

モニターするトラフィックのデフォルトのタイプは both です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

SPAN をイネーブルにしない場合、スニファをスイッチ ポートの 1 つに接続すると、そのポートで送受信されるトラフィックのみがキャプチャされます。複数のポートで送受信されるトラフィックをキャプチャするには、SPAN をイネーブルにし、モニターするポートを指定する必要があります。

ネットワーク ループになる可能性があるため、SPAN 宛先ポートを別のスイッチに接続するときは注意してください。

次に、イーサネット 0/0 ポートとイーサネット 0/2 ポートをモニターする宛先ポートとして、イーサネット 0/1 ポートを設定する例を示します。


ciscoasa(config)# interface ethernet 0/1
ciscoasa(config-if)# switchport monitor ethernet 0/0
ciscoasa(config-if)# switchport monitor ethernet 0/2

switchport protected

スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信しないようにするには、インターフェイス コンフィギュレーション モードで switchport protected コマンドを入力します。この機能により、あるスイッチ ポートが侵害された場合に、VLAN 上の他のスイッチ ポートに対して強固なセキュリティを提供します。保護されたモードをディセーブルにするには、このコマンドの no 形式を使用します。

switchport protected

no switchport protected


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトでは、インターフェイスは保護されていません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに switchport protected コマンドを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

保護されていないポートとの通信は、このコマンドによって制限されません。

次に、7 つのスイッチ ポートを設定する例を示します。イーサネット 0/4、0/5、および 0/6 は DMZ ネットワークに割り当てられ、相互から保護されます。


ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/5
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/6
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
...

switchport trunk

VLAN をトランクポートに割り当てるには、インターフェイス コンフィギュレーション モードで switchport trunk コマンドを使用します。VLAN をトランクから削除するには、このコマンドの no 形式を使用します。

switchport trunk { allowed vlans vlan_range | native vlan vlan }

no switchport trunk { allowed vlans vlan_range | native vlan vlan }


(注)  


Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

allowed vlans vlan_range

トランク ポートに割り当てることができる 1 つ以上の VLAN を指定します。VLAN ID は、1 ~ 4070(Firepower 1010)または 4090(ASA 5505)の範囲で指定します。

vlan_range は、次のいずれかの方法で指定できます。

  • 単一の番号(n)

  • 範囲(n-x)

番号および範囲は、カンマで区切ります。たとえば、次のように指定します。

5,7-10,13,45-100

カンマの代わりにスペースを入力できますが、コマンドはカンマ付きでコンフィギュレーションに保存されます。

このコマンドにネイティブ VLAN を含めても無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。また、まだネイティブ VLAN タグが付いているトラフィックを受信しません。

native vlan vlan

ネイティブ VLAN をトランクに割り当てます。トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。

各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

コマンド デフォルト

デフォルトでは、VLAN はトランクに割り当てられていません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

7.2(2)

このコマンドは、スイッチ ポートごとに 4 つ以上の VLAN を許可するように変更されました。また、1 つのみに制限されず、複数のトランク ポートを設定できるようになりました。このコマンドで、VLAN ID を区切るためにスペースではなくカンマも使用されます。

7.2(4)/8.0(4)

native vlan キーワードを使用するネイティブ VLAN サポートが追加されました。

9.13(1)

Firepower 1010 のサポートが追加されました。

使用上のガイドライン

スイッチポートで複数の VLAN を渡すトランクポートを作成する場合は、switchport mode trunk コマンドを使用してモードをトランクモードに設定してから、switchport trunk コマンドを使用して VLAN をトランクに割り当てます。このスイッチ ポートに少なくとも 1 つの VLAN を割り当てるまで、このスイッチ ポートでトラフィックを渡すことはできません。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。

ASA 5505

トランク モードが使用できるのは Security Plus ライセンスだけです。


(注)  


このコマンドにはバージョン 7.2(1) との下位互換性はありません。VLAN を区切るカンマは 7.2(1) では認識されません。ダウングレードする場合は、VLAN をスペースで区切り、3 つの VLAN という制限を超えないようにしてください。

次に、7 つの VLAN インターフェイスを設定する例を示します。failover lan コマンドを使用して設定するフェールオーバー インターフェイスが含まれています。VLAN 200、201、および 202 は、イーサネット 0/1 でトランキングされています。


ciscoasa(config)# interface vlan 100
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 200
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.2.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 201
ciscoasa(config-if)# nameif dept1
ciscoasa(config-if)# security-level 90
ciscoasa(config-if)# ip address 10.2.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 202
ciscoasa(config-if)# nameif dept2
ciscoasa(config-if)# security-level 90
ciscoasa(config-if)# ip address 10.2.3.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 300
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.3.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 400
ciscoasa(config-if)# nameif backup-isp
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# failover lan faillink vlan500
ciscoasa(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 
255.255.255.0
ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allowed vlan 200-202
ciscoasa(config-if)# switchport trunk native vlan 5
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 400
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 500
ciscoasa(config-if)# no shutdown

synack-data

データが含まれる TCP SYNACK パケットのアクションを設定するには、tcp マップ コンフィギュレーション モードで synack-data コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

synack-data { allow | drop }

no synack-data

構文の説明

allow

データが含まれる TCP SYNACK パケットを許可します。

drop

データが含まれる TCP SYNACK パケットをドロップします。

コマンド デフォルト

デフォルト アクションでは、データが含まれる TCP SYNACK パケットをドロップします。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

TCP マップ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

  1. tcp-map :TCP 正規化アクションを指定します。

    1. synack-data :tcp マップ コンフィギュレーション モードでは、 synack-data コマンドおよびその他数多くのコマンドを入力できます。

  2. class-map :TCP 正規化を実行するトラフィックを指定します。

  3. policy-map :各クラスマップに関連付けるアクションを指定します。

    1. class :アクションを実行するクラスマップを指定します。

    2. set connection advanced-options :作成した TCP マップを指定します。

  4. service-policy :ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

次に、データが含まれる TCP SYNACK パケットを許可するように ASA を設定する例を示します。


ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# synack-data allow
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match any
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)#

synchronization

BGP と内部ゲートウェイプロトコル(IGP)システム間の同期をイネーブルにするには、アドレス ファミリ コンフィギュレーション モードで synchronization コマンドを使用します。Cisco IOS ソフトウェアが IGP を待機せずにネットワークルートをアドバタイズできるようにするには、このコマンドの no 形式を使用します。

synchronization

no synchronization

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

アドレスファミリ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

通常、ルートがローカルであるか IGP に存在する場合を除き、BGP スピーカーは外部ネイバーにルートをアドバタイズしません。デフォルトでは BGP と IGP 間の同期はオフになっており、Cisco IOS ソフトウェアが IGP を待機せずにネットワーク ルートをアドバタイズできるようになっています。この機能により、自律システム内のルータおよびアクセス サーバーは、BGP が他の自律システムでルートを使用可能にする前にルートを確保できるようになります。

自律システム内のルータが BGP を実行していない場合は、synchronization コマンドを使用します。

次に、アドレス ファミリ コンフィギュレーション モードで同期をイネーブルにする例を示します。ルータは、ルートを外部にアドバタイズする前に、IGP 内のネットワーク ルートを検証します。


ciscoasa(config)# router bgp 65120
ciscoasa(config-router)# address-family ipv4 unicast
ciscoasa(config-router-af)# synchronization

syn-data

データが含まれる SYN パケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

syn-data { allow | drop }

no syn-data { allow | drop }

構文の説明

allow

データが含まれる SYN パケットを許可します。

drop

データが含まれる SYN パケットをドロップします。

コマンド デフォルト

デフォルトでは、SYN データが含まれるパケットは許可されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

TCP マップ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで syn-data コマンドを使用して、SYN パケット内にデータが含まれるパケットをドロップします。

TCP の仕様によると、TCP 実装は SYN パケット内に含まれているデータを受け入れる必要があります。これは微妙であいまいな点であるため、一部の実装ではこのことが正しく処理されない場合があります。不適切なエンドシステム実装などの挿入攻撃に対する脆弱性を回避するために、SYN パケット内にデータが含まれるパケットをドロップすることを選択できます。

次に、データが含まれる SYN パケットをすべての TCP フローでドロップする例を示します。


ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# syn-data drop
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)# 

sysopt connection permit-vpn

VPN トンネルを介して ASA に入り復号化されるトラフィックに対して、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを使用して、トラフィックがインターフェイス アクセス リストをバイパスできるようにします。グループ ポリシーおよびユーザー単位の認可アクセス リストは、引き続きトラフィックに適用されます。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection permit-vpn

no sysopt connection permit-vpn

outputclass="syntax">

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能は、デフォルトでイネーブルにされています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドは、デフォルトでイネーブルになりました。また、インターフェイス アクセス リストのみがバイパスされます。グループ ポリシーまたはユーザー単位のアクセス リストは有効なままです。

7.1(1)

このコマンドは、sysopt connection permit-ipsec から変更されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

デフォルトでは、ASA によって、VPN トラフィックが ASA のインターフェイスで終端することが許可されています。IKE または ESP(またはその他のタイプの VPN パケット)をインターフェイス アクセス リストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたので、この機能によって、構成が簡略化され、セキュリティ リスクを負うことなく、デバイスのパフォーマンスが最大化されます。(グループ ポリシーおよびユーザー単位の認可アクセス リストは、引き続きトラフィックに適用されます)。

no sysopt connection permit-vpn コマンドを入力して、インターフェイス アクセス リストをローカル IP アドレスに適用できます。アクセスリストを作成してインターフェイスに適用するには、access-list コマンドおよび access-group コマンドを参照してください。アクセス リストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。


(注)  


ルートベースの VPN の場合、このコマンドは無視されます。ルートベースの VPN トラフィックを許可するには、アクセス制御ルールを設定する必要があります。


次に、復号化された VPN トラフィックがインターフェイス アクセス リストに従うようにする例を示します。


ciscoasa(config)# no
 sysopt connection permit-vpn

sysopt connection preserve-vpn-flows

トンネルのドロップおよび回復後のタイムアウト期間内に、ステートフル(TCP)トンネル IPSec LAN-to-LAN トラフィックを保持して再開するには、sysopt connection preserve-vpn-flows コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection preserve-vpn-flows

no sysopt connection preserve-vpn-flows

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能はデフォルトで無効に設定されています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(4)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

永続的 IPSec トンネル フロー機能がイネーブルの場合、タイムアウト ウィンドウ内にトンネルが再作成される限り、セキュリティ アプライアンスで元のフロー内の状態情報にアクセスできるため、データは正常に流れ続けます。

このコマンドでは、ネットワーク拡張モードを含め、IPSec LAN-to-LAN トンネルのみがサポートされます。AnyConnect/SSL VPN または IPSec リモートアクセス トンネルはサポートされません。

次に、トンネルがドロップされ、タイムアウト期間内に再確立された後、トンネルの状態情報が保持されてトンネル IPSec LAN-to-LAN VPN トラフィックが再開されることを指定する例を示します。

ciscoasa(config)# no sysopt connection preserve-vpn-flows

この機能がイネーブルかどうかを確認するには、sysopt に対して show run all コマンドを入力します。

ciscoasa(config)# show run all sysopt

結果の例は次のとおりです。説明のために、これ以降のすべての例では、preserve-vpn-flows の項目は太字になっています。


	no sysopt connection timewait
	sysopt connection tcpmss 1380
	sysopt connection tcpmss minimum 0
	no sysopt nodnsalias inbound
	no sysopt nodnsalias outbound
	no sysopt radius ignore-secret
	sysopt connection permit-vpn
	no sysopt connection reclassify-vpn
	no sysopt connection preserve-vpn-flows
	hostname(config)#

sysopt connection reclassify-vpn

既存の VPN フローを再分類するには、グローバル コンフィギュレーション モードで sysopt connection reclassify-vpn コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection reclassify-vpn

no sysopt connection reclassify-vpn

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能は、デフォルトでイネーブルにされています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

VPN トンネルの新しい IPsec フェーズ 2 セキュリティ アソシエーション(SA)が起動すると、このコマンドは新しい SA に一致する既存のフローを破棄します。これらのフローは、VPN トンネルに対して適切に暗号化されるように再作成する必要があります。UDP などのコネクションレス型プロトコルの場合、次のパケットを使用して適切な接続を新たに確立できます。TCP などのコネクション型プロトコルの場合、適切にトンネリングされるように、送信元で接続を再ネゴシエートする必要があります。

コマンドが無効になっている場合、暗号化が必要な既存の接続を再確立して新しい VPN トンネルを通過させるには、暗号化を必要とする既存の接続を手動でクリアする必要があります(たとえば、clear conn addr xxxx port xx を使用)。

このコマンドは、LAN-to-LAN およびダイナミック VPN についてのみ適用されます。このコマンドは EZVPN または VPN クライアント接続には影響しません。

次に、VPN 再分類をイネーブルにする例を示します。


ciscoasa(config)# sysopt connection reclassify-vpn

sysopt connection tcp-max-unprocessed-seg

TCP 未処理セグメントの最大数を設定するには、グローバル コンフィギュレーション モードで sysopt connection tcp-max-unprocessed-seg コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcp-max-unprocessed-seg segments

no sysopt connection tcp-max-unprocessed-seg segments

構文の説明

segments

TCP 未処理セグメントの最大数を 6 ~ 24 に設定します。

コマンド デフォルト

コマンドのデフォルトはありませんが、未処理セグメントのデフォルト数は 6 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.19(1)

このコマンドが追加されました。また、リリース 9.12 以降のポイントリリースでも使用できます。

使用上のガイドライン

SIP 電話機が Call Manager に接続していないことを確認したら、このコマンドを使用して未処理の TCP セグメントの最大数を増やすことができます。デフォルトは 6 であるため、より大きな数値を試してください。

次に、未処理セグメントの最大数を 24 に設定する例を示します。


ciscoasa(config)# sysopt connection tcp-max-unprocessed-seg 24

sysopt connection tcpmss

通過トラフィックの最大 TCP セグメントサイズが設定した値を超えないようにし、指定したサイズ未満にならないようにするには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcpmss [ minimum ] bytes

no sysopt connection tcpmss [ minimum ][ bytes ]

構文の説明

bytes

最大 TCP セグメント サイズをバイト単位で設定します(48 ~任意の最大値)。デフォルト値は 1380 バイトです。この機能をディセーブルにするには、bytes を 0 に設定します。

minimum キーワードの場合、bytes は許可される最も小さい最大値を表します。

minimum

最大セグメント サイズを上書きし、bytes 未満にならないようにします(48 ~ 65535 バイト)。この機能は、デフォルトでディセーブルです(0 に設定)。

コマンド デフォルト

デフォルトでは、ASA の最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU の デフォルトの 1500 バイト内にも収まっています。

minimum 機能は、デフォルトでディセーブルです(0 に設定)。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

最大セグメント サイズ(TCP MSS)とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイ ハンドシェイク中に、クライアントとサーバーは TCP MSS 値を交換します。

通過トラフィックの TCP MSS を ASA に設定できます。デフォルトでは、最大 TCP MSS は 1380 バイトに設定されます。この設定は、ASA が IPsec VPN カプセル化のパケット サイズを追加する必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、ASA の最大 TCP MSS を無効にする必要があります。

最大 TCP MSS を設定している場合、接続のいずれかのエンドポイントが ASA に設定された値を超える TCP MSS を要求すると、ASA は要求パケット内の TCP MSS を ASA の最大サイズで上書きします。ホストまたはサーバーが TCP MSS を要求しない場合、ASA は RFC 793 のデフォルト値 536 バイト(IPv4)または 1220 バイト(IPv6)を想定しますが、パケットは変更しません。たとえば、MTU を デフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。ASA の最大 TCP MSS が 1380(デフォルト)の場合は、ASA は TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバーは、1380 バイトのペイロードを含むパケットを送信します。ASA は、最大 120 バイトのヘッダーをパケットに追加しても、1500 バイトの MTU サイズに適応することができます。

TCP の最小 MSS も設定できます。ホストまたはサーバーが非常に小さい TCP MSS を要求した場合、ASA は値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。

SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。ASA は MTU を使用して、TCP MSS を導き出します。MTU - 40(IPv4)または MTU - 60(IPv6)となります。

デフォルトでは TCP MSS は、ASA が IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。ASA が IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。

MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして ASA を使用しない場合は、TCP MSS 設定を変更する必要があります。次のガイドラインを参照してください。

  • 通常のトラフィック:TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。一般に接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。

  • IPv4 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボ フレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。

  • IPv6 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 140 に設定します。

下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、非 VPN トラフィックの TCP MSS をディセーブルにします(TCP MSS を 0 に設定、すなわち無制限とすることによって行います)。


ciscoasa(config)# jumbo frame-reservation
ciscoasa(config)# mtu inside 9198
ciscoasa(config)# mtu outside 9198
ciscoasa(config)# sysopt connection tcpmss 0

下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、VPN トラフィックの TCP MSS を 9078 に変更します(MTU から 120 を差し引きます)。


ciscoasa(config)# jumbo frame-reservation
ciscoasa(config)# mtu inside 9198
ciscoasa(config)# mtu outside 9198
ciscoasa(config)# sysopt connection tcpmss 9078

sysopt connection timewait

各 TCP 接続において、最後の通常の TCP クローズダウンシーケンスの後に、少なくとも 15 秒の短い TIME_WAIT 状態が強制的に維持されるようにするには、グローバル コンフィギュレーション モードで sysopt connection timewait コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズである場合に、この機能を使用することを推奨します。

sysopt connection timewait

no sysopt connection timewait


(注)  


FIN_WAIT2 状態で受信した RST パケット(通常の TCP クローズダウン シーケンスではなく)は、15 秒の遅延もトリガーします。ASA では、接続の最後のパケット(FIN/ACK または RST)を受信した後、接続を 15 秒間保持します。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能はデフォルトで無効に設定されています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

ASA のデフォルトの動作では、シャットダウンシーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK の後で接続が解放されます。この即時解放ヒューリスティックにより、ASA では、標準クローズシーケンスと呼ばれる最も一般的なクロージングシーケンスに基づいて、高い接続レートを維持できます。ただし、一方の端が閉じ、もう一方の端が確認応答してから独自のクロージング シーケンスを開始する標準クローズ シーケンスとは異なり、同時クローズでは、トランザクションの両端がクロージング シーケンスを開始します(RFC 793 を参照)。したがって、同時クローズでは、即時解放によって接続の一方の側で CLOSING 状態が保持されます。多くのソケットを CLOSING 状態にすると、エンド ホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレーム クライアントはこの動作を示し、メインフレーム サーバーのパフォーマンスを低下させることが知られています。sysopt connection timewait コマンドを使用すると、同時クローズダウンシーケンスが完了するためのウィンドウが作成されます。

次に、timewait 機能をイネーブルにする例を示します。


ciscoasa(config)# sysopt connection timewait

sysopt noproxyarp

インターフェイスで NAT グローバルアドレスまたは VPN クライアントアドレスに対するプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。プロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。

sysopt noproxyarp interface_name

no sysopt noproxyarp interface_name

構文の説明

interface_name

プロキシ ARP をディセーブルにするインターフェイス名。

コマンド デフォルト

プロキシ ARP は、デフォルトでイネーブルに設定されています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(3)

このコマンドは、VPN クライアント アドレスが内部ネットワークと重複するときに、VPN プロキシ ARP に影響を及ぼすように拡張されました。

使用上のガイドライン

既存のネットワークと重なる VPN クライアントアドレスプールがある場合、ASA は、デフォルトにより、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの VPN クライアントのリターン トラフィックは、その誤ったインターフェイスに送信され、破棄されます。この場合、プロキシ ARP が不要なインターフェイスに対して sysopt noproxyarp コマンドを入力する必要があります。

まれに、NAT グローバル アドレスに対してプロキシ ARP をディセーブルにする場合があります。

あるホストから同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信する場合、そのホストは送信先のデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。

プロキシ ARP は、デバイスが IP アドレスを所有していなくても、その固有の MAC アドレスで ARP 要求に応答する場合に使用します。NAT を設定し、ASA のインターフェイスと同じネットワーク上にあるグローバルアドレスを指定すると、ASA によってプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、ASA でプロキシ ARP が使用されている場合、ASA の MAC アドレスが宛先グローバルアドレスに割り当てられていると主張することです。

次に、内部インターフェイスでプロキシ ARP をディセーブルにする例を示します。


ciscoasa(config)# sysopt noproxyarp inside

sysopt radius ignore-secret

RADIUS アカウンティング応答内の認証キーを無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。一部の RADIUS サーバーとの互換性のために、このキーを無視する必要がある場合があります。

sysopt radius ignore-secret

no sysopt radius ignore-secret

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能はデフォルトで無効に設定されています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

一部の RADIUS サーバーでは、アカウンティング確認応答内のオーセンティケータ ハッシュにこのキーが含まれていません。この使用上の注意により、ASA でアカウンティング要求を継続的に再送信する場合があります。sysopt radius ignore-secret コマンドを使用して、これらの確認応答内のキーを無視し、再送信の問題を回避します(ここで示すキーは、aaa-server host コマンドで設定するものと同じです)。

次に、アカウンティング応答内の認証キーを無視する例を示します。


ciscoasa(config)# sysopt radius ignore-secret

sysopt traffic detailed-statistics

変更されたトラフィック システム オプションについて秒単位でプロトコルごとの詳細な統計情報を計算するには、グローバル コンフィギュレーション モードで sysopt traffic detailed-statistics コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt traffic detailed-statistics

no sysopt traffic detailed-statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

この機能はデフォルトで無効に設定されています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

sysopt traffic detailed-statistics コマンドを使用して、変更されたトラフィック システム オプションについて秒単位でプロトコルごとに詳細な統計情報を計算できます。

次に、変更されたトラフィック システム オプションの詳細な統計情報を表示する例を示します。


ciscoasa(config)# sysopt traffic detailed-statistics