Cisco Secure Firewall ASA シリーズコマンドリファレンス、T ～ Z コマンドおよび ASASM 用 IOS コマンド

wccp

容量を割り当て、サービスグループに参加できるように、指定した Web Cache Communication Protocol（WCCP）サービスのサポートをイネーブルにするには、グローバルコンフィギュレーションモードで wccp コマンドを使用します。サービスグループをディセーブルにし、容量の割り当てを解除するには、このコマンドの no 形式を使用します。

wccp { web-cache | service-number }[ redirect-list access-list ][ group-list access-list ][ password password ]

no wccp { web-cache | service-number }[ redirect-list access-list ][ group-list access-list ][ password password [ 0 | 7 ]]

構文の説明

access-list

アクセスリストの名前を指定します。

group-list

（任意）サービスグループへの参加を許可する Web キャッシュを決定するアクセスリスト。access-list 引数は、アクセスリストを指定する 64 文字以下の文字列（名前または番号）で構成する必要があります。

password

（任意）サービスグループから受信したメッセージに対して Message Digest 5（MD5）認証を指定します。認証で受け入れられなかったメッセージは廃棄されます。

password

認証で使用するパスワードを指定します。password 引数の長さは最大 7 文字です。

redirect-list

（任意）このデバイスグループにリダイレクトされたトラフィックを制御するアクセスリストとともに使用します。access-list 引数は、アクセスリストを指定する 64 文字以下の文字列（名前または番号）で構成する必要があります。アクセスリストには、ネットワークアドレスだけを含める必要があります。ポート固有のエントリはサポートされていません。

service-number

ダイナミックサービス ID。このサービスの定義は、キャッシュによって示されます。ダイナミックサービス番号は 0 ～ 254 で、255 個まで使用できます。 web-cache キーワードで指定される Web キャッシュサービスを含めると、許可される最大数は 256 個です。

web-cache

Web キャッシュサービスを指定します。

（注）

Web キャッシュは、1 つのサービスとしてカウントされます。サービスの最大数（service-number 引数で割り当てられたサービスを含む）は 256 です。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

例

次に、サービスグループに参加できるように WCCP をイネーブルにする例を示します。


ciscoasa(config)# wccp web-cache redirect-list jeeves group-list wooster password whatho

コマンド	説明
show wccp	WCCP コンフィギュレーションを表示します。
wccp redirect	WCCP リダイレクションのサポートをイネーブルにします。

wccp redirect

Web Cache Communication Protocol（WCCP）を使用したインターフェイスの入口でのパケットリダイレクションをイネーブルにするには、wccp redirect コマンドを使用します。WCCP リダイレクションをディセーブルにするには、このコマンドの no 形式を使用します。

wccp interface interface_name service redirect in

no wccp interface interface_name service redirect in

構文の説明


in	パケットがこのインターフェイスに着信するときにリダイレクションを実行するように指定します。
`interface_name`	パケットをリダイレクトするインターフェイスの名前。
service	サービスグループを指定します。web-cache キーワードを指定するか、サービスの識別番号（0 ～ 99）を指定できます。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

例

次に、Web キャッシュサービスの内部インターフェイスでの WCCP リダイレクションをイネーブルにする例を示します。


ciscoasa(config)# wccp interface inside web-cache redirect in

コマンド	説明
show wccp	WCCP コンフィギュレーションを表示します。
wccp	サービスグループを使用して、WCCP のサポートをイネーブルにします。

web-agent-url（廃止）

（注）

このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。

ASA が SiteMinder-type SSO 認証を要求する SSO サーバーの URL を指定するには、config-webvpn-sso-siteminder モードで web-agent-url コマンドを使用します。

SSO サーバーの認証 URL を削除するには、このコマンドの no 形式を使用します。

web-agent-url url

no web-agent-url url

（注）

このコマンドは、SiteMinder-type SSO 認証に必要です。

構文の説明


`url`	SiteMinder-type SSO サーバーの認証 URL を指定します。http:// または https:// を含める必要があります。

コマンドデフォルト

デフォルトでは、認証 URL は設定されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
config-webvpn-sso-siteminder	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。
9.5(2)	SAML 2.0 がサポートされたため、このコマンドは廃止されました。

使用上のガイドライン

シングルサインオンは、WebVPN でのみサポートされています。これにより、ユーザーはユーザー名とパスワードを一度だけ入力すれば、さまざまなサーバーで各種のセキュアなサービスにアクセスできます。SSO サーバーには、認証要求を処理する URL があります。

このコマンドは、SiteMinder-type の SSO サーバーにのみ適用されます。

この URL に認証を送信するように ASA を設定するには、web-agent-url コマンドを使用します。認証 URL を設定する前に、 sso-server コマンドを使用して SSO サーバーを作成する必要があります。

セキュリティアプライアンスと SSO サーバー間で https 通信を行うには、SSL 暗号化設定が両側で一致することを確認します。セキュリティアプライアンスで、ssl encryption コマンドを使用して一致を確認します。

例

次に、config-webvpn-sso-siteminder モードで認証 URL として http://www.example.com/webvpn を指定する例を示します。


ciscoasa(config-webvpn)# sso-server example type siteminder
ciscoasa(config-webvpn-sso-siteminder)# web-agent-url http://www.example.com/webvpn
ciscoasa(config-webvpn-sso-siteminder)#

コマンド	説明
max-retry-attempts	SSO 認証に失敗した場合に ASA が再試行する回数を設定します。
policy-server-secret	SiteMinder-type SSO サーバーへの認証要求の暗号化に使用される秘密キーを作成します。
request-timeout	SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。
show webvpn sso-server	セキュリティデバイスに設定されているすべての SSO サーバーの運用統計情報を表示します。
ssl encryption	SSL/TLS プロトコルで使用される暗号化アルゴリズムを指定します。
sso-server	シングルサインオンサーバーを作成します。

web-applications

認証された WebVPN ユーザーに表示される WebVPN ホームページの [Webアプリケーション（Web Application）] ボックスをカスタマイズするには、webvpn カスタマイゼーションモードで web-applications コマンドを使用します。

web-applications { title | message | dropdown }{ text | style } value

[ no ] web-applications { title | message | dropdown }{ text | style } value

コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

構文の説明


title	タイトルを変更することを指定します。
message	タイトルの下に表示されるメッセージを変更することを指定します。
dropdown	ドロップダウンボックスを変更することを指定します。
text	テキストを変更することを指定します。
style	HTML スタイルを変更することを指定します。
`value`	実際に表示するテキスト（最大 256 文字）、または Cascading Style Sheet（CSS）パラメータ（最大 256 文字）です。

コマンドデフォルト

デフォルトのタイトルのテキストは「Web Application」です。

デフォルトのタイトルのスタイルは background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase です。

デフォルトのメッセージのテキストは「Enter Web Address (URL)」です。

デフォルトのメッセージのスタイルは background-color:#99CCCC;color:maroon;font-size:smaller です。

デフォルトのドロップダウンのテキストは「Web Bookmarks」です。

デフォルトのドロップダウンのスタイルは border:1px solid black;font-weight:bold;color:black;font-size:80% です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
WebVPN カスタマイゼーション	対応	—	対応	— s	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。

使用上のガイドライン

style オプションは有効なカスケーディングスタイルシート（CSS）パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web コンソーシアム（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。
RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注）

WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、タイトルを「Applications」に変更し、テキストの色を青に変更する例を示します。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# web-applications title text Applications
ciscoasa(config-webvpn-custom)# web-applications title style color:blue

コマンド	説明
application-access	WebVPN ホームページの [Application Access] ボックスをカスタマイズします。
browse-networks	WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。
web-bookmarks	WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。
file-bookmarks	WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

web-bookmarks

認証された WebVPN ユーザーに表示される WebVPN ホームページの [Webブックマーク（Web Bookmarks）] のタイトルまたはリンクをカスタマイズするには、webvpn カスタマイゼーションモードで web-bookmarks コマンドを使用します。

web-bookmarks { link { style value } | title { style value | text value }}

[ no ] { link { style value } | title { style value | text value }}

コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

構文の説明


link	リンクを変更することを指定します。
title	タイトルを変更することを指定します。
style	HTML スタイルを変更することを指定します。
text	テキストを変更することを指定します。
`value`	実際に表示するテキスト（最大 256 文字）、または Cascading Style Sheet（CSS）パラメータ（最大 256 文字）です。

コマンドデフォルト

デフォルトのリンクのスタイルは color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。

デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。

デフォルトのタイトルのテキストは「Web Bookmarks」です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
WebVPN カスタマイゼーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。

使用上のガイドライン

style オプションは有効なカスケーディングスタイルシート（CSS）パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web コンソーシアム（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。
RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注）

WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、[Web Bookmarks] のタイトルを「Corporate Web Bookmarks」にカスタマイズする例を示します。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# customization cisco
ciscoasa(config-webvpn-custom)# web-bookmarks title text Corporate Web Bookmarks

コマンド	説明
application-access	WebVPN ホームページの [Application Access] ボックスをカスタマイズします。
browse-networks	WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。
file-bookmarks	WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。
web-applications	WebVPN ホームページの [Web Application] ボックスをカスタマイズします。

web update-type

DDNS Web 更新方式を使用するときに更新するアドレスタイプ（IPv4 または IPv6）を指定するには、DDNS 更新方式コンフィギュレーションモードで web update-type コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

web update-type { ipv4 | ipv6 [ all ] | both [ all ] }

no web update-type [ ipv4 | ipv6 [ all ] | both [ all ] ]

構文の説明


ipv4	IPv4 アドレスを更新します。
ipv6	最新の IPv6 アドレスを更新します。
all	すべての IPv6 アドレスを更新します。
both	IPv4 アドレスと最新の IPv6 アドレスを更新します。

コマンドデフォルト

デフォルトは both all です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DDNS 更新方式コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.15(1)	コマンドが追加されました。

使用上のガイドライン

インターフェイスで DHCP IP アドレッシングを使用している場合、DHCP リースが更新されると、割り当てられた IP アドレスが変更されることがあります。完全修飾ドメイン名（FQDN）を使用してインターフェイスに到達できる必要がある場合、この IP アドレスの変更が原因で DNS サーバーのリソースレコード（RR）が古くなる可能性があります。ダイナミック DNS（DDNS）は、IP アドレスまたはホスト名が変更されるたびに DNS の RR を更新するメカニズムです。DDNS はスタティックまたは PPPoE IP アドレッシングにも使用できます。

DDNS では DNS サーバーの A RR と PTR RR を更新します。A RR には名前から IP アドレスへのマッピングが含まれ、PTR RR でアドレスが名前にマッピングされます。

ASA は、次の DDNS 更新方式をサポートします。標準 DDNS（ddns コマンドを参照）と Web（web update-url コマンドを使用）。Web 更新方式では、DynDNS リモート API 仕様（https://help.dyn.com/remote-access-api/）を使用します。この方式では、IP アドレスまたはホスト名が変更されると、ASA からアカウントを持っている DNS プロバイダーに HTTP 要求が直接送信されます。

例

次に、Web タイプ方式を設定し、IPv4 に対して IP アドレスを指定する例を示します。


! Define the web type method:
ddns update method web-1
  web update-url https://captainkirk:enterpr1s3@domains.cisco.com/ddns?hostname=<h>&myip=<a>
  web update-type ipv4
! Associate the method with the interface:
interface gigabitethernet1/1
  ip address dhcp
  ddns update web-1
  ddns update hostname asa2.example.com

コマンド	説明
ddns update	DDNS 方式をインターフェイスに関連付けます。
ddns update hostname	インターフェイスのホスト名を指定します。
ddns update method	DDNS 更新方式を作成します。
interval maximum	DNS 要求の更新間隔を設定します。
web update-url	DDNS 更新方式を Web に設定し、更新 URL を設定します。

web update-url

Web タイプ URL とともに DDNS の Web 更新方式を指定するには、DDNS 更新方式コンフィギュレーションモードで web update-url コマンドを使用します。更新方式を削除するには、このコマンドの no 形式を使用します。

web update-url https: //username:password@provider-domain/path ?hostname=<h>&myip=<a>

no web update-url https: //username:password@provider-domain/path ?hostname=<h>&myip=<a>

構文の説明


username	DDNS プロバイダーにおけるユーザー名。
password	ユーザー名のパスワード。
provider-domain	DDNS プロバイダードメイン。
path	DDNS ドメインで必要なパス。正しいパスについては、DDNS プロバイダーに確認してください。
?hostname=<h>&myip=<a>	疑問符（?）文字を入力する前に、キーボードの Ctrl キーと v キーを一緒に押します。これにより、? を入力しても、? がソフトウェアでヘルプ照会と解釈されることはなくなります。これらのキーワードは引数のように見えますが、URL の最後にこのテキストをそのまま入力する必要があります。ASA は、DDNS 更新を送信するときに、<h> および <a> フィールドを自動的にホスト名と IP アドレスに置き換えます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DDNS 更新方式コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.15(1)	コマンドが追加されました。

使用上のガイドライン

インターフェイスで DHCP IP アドレッシングを使用している場合、DHCP リースが更新されると、割り当てられた IP アドレスが変更されることがあります。完全修飾ドメイン名（FQDN）を使用してインターフェイスに到達できる必要がある場合、この IP アドレスの変更が原因で DNS サーバーのリソースレコード（RR）が古くなる可能性があります。ダイナミック DNS（DDNS）は、IP アドレスまたはホスト名が変更されるたびに DNS の RR を更新するメカニズムです。DDNS はスタティックまたは PPPoE IP アドレッシングにも使用できます。

DDNS では DNS サーバーの A RR と PTR RR を更新します。A RR には名前から IP アドレスへのマッピングが含まれ、PTR RR でアドレスが名前にマッピングされます。

ASA は、次の DDNS 更新方式をサポートします。標準 DDNS（ddns コマンドを参照）と Web（web update-url コマンドを使用）。Web 更新方式では、DynDNS リモート API 仕様（https://help.dyn.com/remote-access-api/）を使用します。この方式では、IP アドレスまたはホスト名が変更されると、ASA からアカウントを持っている DNS プロバイダーに HTTP 要求が直接送信されます。

web update-type コマンドを使用して、更新するアドレスタイプ（IPv4 または IPv6）を指定することもできます。

Web 方式の DDNS の場合は、HTTPS 接続用の DDNS サーバー証明書の検証のために DDNS サーバーのルート CA も識別する必要があります。次に例を示します。


crypto ca trustpoint DDNS_Trustpoint
   enrollment terminal
crypto ca authenticate DDNS_Trustpoint nointeractive
   MIIFWjCCA0KgAwIBAgIQbkepxUtHDA3sM9CJuRz04TANBgkqhkiG9w0BAQwFADBH
   MQswCQYDVQQGEwJVUzEiMCAGA1UEChMZR29vZ2xlIFRydXN0IFNlcnZpY2VzIExM
   [...]
   quit

例

次に、Web タイプ方式を設定する例を示します。


! Define the web type method:
ddns update method web-1
  web update-url https://captainkirk:enterpr1s3@domains.cisco.com/ddns?hostname=<h>&myip=<a>
! Associate the method with the interface:
interface gigabitethernet1/1
  ip address dhcp
  ddns update web-1
  ddns update hostname asa2.example.com

コマンド	説明
ddns update	DDNS 方式をインターフェイスに関連付けます。
ddns update hostname	インターフェイスのホスト名を指定します。
ddns update method	DDNS 更新方式を作成します。
interval maximum	DNS 要求の更新間隔を設定します。
web update-type	更新するアドレスタイプ（IPv4 または IPv6）を指定します。

webvpn（グローバル）

webvpn モードを開始するには、グローバルコンフィギュレーションモードで webvpn コマンドを入力します。このコマンドで入力したコマンドを削除するには、no webvpn コマンドを使用します。これらの webvpn コマンドは、すべての WebVPN ユーザーに適用されます。

これらの webvpn コマンドを使用して、AAA サーバー、デフォルトグループポリシー、デフォルトアイドルタイムアウト、http プロキシと https プロキシ、WebVPN 用の NBNS サーバー、およびエンドユーザーに表示される WebVPN 画面の外観を設定できます。

webvpn

no webvpn

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

WebVPN は、デフォルトではディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

この WebVPN モードでは、WebVPN のグローバル設定を指定できます。グローバルポリシーモードまたはユーザー名モードから WebVPN モードを開始した場合は、特定のユーザーまたはグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。ASA クライアントレス SSL VPN 設定は、それぞれ 1 つの http-proxy コマンドと 1 つの https-proxy コマンドのみサポートしています。

（注）

WebVPN が機能するためには、ブラウザキャッシングをイネーブルにする必要があります。

例

次に、WebVPN コマンドモードを開始する例を示します。


ciscoasa
(config)#
 webvpn
ciscoasa
(config-webvpn)#

webvpn（グループポリシー属性、ユーザー名属性）

この webvpn モードを開始するには、グループポリシー属性コンフィギュレーションモードまたはユーザー名属性コンフィギュレーションモードで webvpn コマンドを使用します。webvpn モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定元のユーザー名またはグループポリシーに適用されます。

グループポリシーおよびユーザー名に対する webvpn コマンドでは、ファイルへのアクセス、MAPI プロキシ、URL、および WebVPN を介した TCP アプリケーションを定義できます。ACL およびフィルタリングするトラフィックのタイプも指定します。

webvpn

no webvpn

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

WebVPN は、デフォルトではディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシー属性コンフィギュレーション	対応	—	対応	—	—
ユーザー名属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

グローバルコンフィギュレーションモードから webvpn モードを開始した場合は、WebVPN のグローバル設定を指定できます。グループポリシー属性コンフィギュレーションモードまたはユーザー名属性コンフィギュレーションモードで webvpn コマンドを使用すると、webvpn コマンドで指定された設定が親コマンドで指定されたグループまたはユーザーに適用されます。つまり、ここで説明したグローバルポリシーモードまたはユーザー名モードから開始した webvpn モードでは、特定のユーザーまたはグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。

グループポリシー属性モードで特定のグループポリシーに対して適用した WebVPN 属性は、デフォルトグループポリシーで指定された WebVPN 属性を上書きします。ユーザー名属性モードで特定のユーザーに対して適用した WebVPN 属性は、デフォルトグループポリシー内およびそのユーザーが属しているグループポリシー内の WebVPN 属性を上書きします。基本的に、これらのコマンドを使用すると、デフォルトグループまたは指定したグループポリシーから継承される設定を調整できます。WebVPN 設定の詳細については、グローバルコンフィギュレーションモードの webvpn コマンドに関する説明を参照してください。

次の表に、webvpn グループポリシー属性モードおよびユーザー名属性モードで設定できる属性を示します。詳細については、個々のコマンドの説明を参照してください。


属性	説明
auto-signon	WebVPN ユーザーのログイン情報を内部サーバーに自動的に渡すように ASA を設定して、WebVPN ユーザーにシングルサインオン方式を提供します。
customization	適用する設定済み WebVPN カスタマイゼーションを指定します。
deny-message	アクセスが拒否されたときにユーザーに表示されるメッセージを指定します。
filter	WebVPN 接続に使用するアクセスリストを指定します。
functions	ファイルアクセスとファイルブラウジング、MAPI プロキシ、および WebVPN を介した URL エントリを設定します。
homepage	WebVPN ユーザーがログインしたときに表示される Web ページの URL を設定します。
html-content-filter	WebVPN セッションでフィルタリングする Java、ActiveX、イメージ、スクリプト、およびクッキーを指定します。
http-comp	使用する HTTP 圧縮アルゴリズムを指定します。
keep-alive-ignore	セッションの更新で無視する最大オブジェクトサイズを指定します。
port-forward	WebVPN アプリケーションアクセスをイネーブルにします。
port-forward-name	エンドユーザーに対する TCP ポートフォワーディングを識別する表示名を設定します。
sso-server	SSO サーバー名を設定します。
svc	SSL VPN クライアント属性を設定します。
url-list	ユーザーが WebVPN 経由でアクセスできるサーバーと URL のリストを指定します。

例

次に、「 FirstGroup」という名前のグループポリシーの webvpn モードを開始する例を示します。


ciscoasa
(config)# 
group-policy FirstGroup attributes
ciscoasa
(config-group-policy)#
 webvpn
ciscoasa(config-webvpn)#

次に、「test」というユーザー名の webvpn モードを開始する例を示します。


ciscoasa
(config)# 
group-policy test attributes
ciscoasa
(config-username)#
 webvpn
ciscoasa(config-webvpn)#

clear configure group-policy	特定のグループポリシーまたはすべてのグループポリシーのコンフィギュレーションを削除します。
group-policy attributes	設定グループポリシーモードを開始します。このモードでは、指定したグループポリシーへの属性と値の設定、または webvpn モードでのグループの webvpn 属性の設定ができます。
show running-config group-policy	特定のグループポリシーまたはすべてのグループポリシーの実行コンフィギュレーションを表示します。
webvpn	設定グループ webvpn モードを開始します。このモードで、指定したグループに対する WebVPN 属性を設定できます。

whitelist

クラウド Web セキュリティのために、トラフィックのクラスでホワイトリストアクションを実行するには、クラスコンフィギュレーションモードで whitelist コマンドを使用します。クラスコンフィギュレーションモードにアクセスするには、policy-map type inspect scansafe コマンドを入力してから、parameters コマンドを入力します。ホワイトリスティングをディセーブルにするには、このコマンドの no 形式を使用します。

whitelist

no whitelist

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

class-map type inspect scansafe コマンドを使用して、ホワイトリストに記載するトラフィックを識別します。policy-map type inspect scansafe コマンドでインスペクションクラスマップを使用し、クラスの whitelist アクションを指定します。inspect scansafe コマンドでインスペクションポリシーマップを呼び出します。

例

次に、HTTP および HTTPS インスペクションポリシーマップの同じユーザーおよびグループをホワイトリストに記載する例を示します。


ciscoasa(config)# class-map type inspect scansafe match-any whitelist1
ciscoasa(config-cmap)# match user user1 group cisco
ciscoasa(config-cmap)# match user user2
ciscoasa(config-cmap)# match group group1
ciscoasa(config-cmap)# match user user3 group group3
ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap1
ciscoasa(config-pmap)# parameters 
ciscoasa(config-pmap-p)# http
ciscoasa(config-pmap-p)# default group default_group
ciscoasa(config-pmap-p)# class whitelist1
ciscoasa(config-pmap-c)# whitelist
ciscoasa(config)# policy-map type inspect scansafe cws_inspect_pmap2
ciscoasa(config-pmap)# parameters 
ciscoasa(config-pmap-p)# https
ciscoasa(config-pmap-p)# default group2 default_group2
ciscoasa(config-pmap-p)# class whitelist1
ciscoasa(config-pmap-c)# whitelist

コマンド	説明
class-map type inspect scansafe	ホワイトリストに記載されたユーザーとグループのインスペクションクラスマップを作成します。
default user group	ASA に入ってくるユーザーのアイデンティティを ASA が判別できない場合のデフォルトのユーザー名やグループを指定します。
http [s ]（パラメータ）	インスペクションポリシーマップのサービスタイプ（HTTP または HTTPS）を指定します。
inspect scansafe	このクラスのトラフィックに対するクラウド Web セキュリティインスペクションをイネーブルにします。
license	要求の送信元の組織を示すため、ASA がクラウド Web セキュリティプロキシサーバーに送信する認証キーを設定します。
match user group	ユーザーまたはグループをホワイトリストと照合します。
policy-map type inspect scansafe	インスペクションポリシーマップを作成すると、ルールのために必要なパラメータを設定し、任意でホワイトリストを識別できます。
retry-count	再試行回数値を入力します。この値は、可用性をチェックするために、クラウド Web セキュリティプロキシサーバーをポーリングする前に ASA が待機する時間です。
scansafe	マルチコンテキストモードでは、コンテキストごとにクラウド Web セキュリティを許可します。
scansafe general-options	汎用クラウド Web セキュリティサーバーオプションを設定します。
server {primary \| backup }	プライマリまたはバックアップのクラウド Web セキュリティプロキシサーバーの完全修飾ドメイン名または IP アドレスを設定します。
show conn scansafe	大文字の Z フラグに示されたようにすべてのクラウド Web セキュリティ接続を表示します。
show scansafe server	サーバーが現在のアクティブサーバー、バックアップサーバー、または到達不能のいずれであるか、サーバーのステータスを表示します。
show scansafe statistics	合計と現在の http 接続を表示します。
user-identity monitor	AD エージェントから指定したユーザーまたはグループ情報をダウンロードします。
whitelist	トラフィックのクラスでホワイトリストアクションを実行します。

who

ASA 上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。

who [ local_ip ]

構文の説明


`local_ip`	（任意）リストを 1 つの内部 IP アドレスまたはネットワークアドレス（IPv4 または IPv6）に制限することを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

who コマンドを使用すると、現在 ASA にログインしている各 Telnet クライアントの TTY_ID と IP アドレスを表示できます。

例

次に、クライアントが Telnet セッションを使用して ASA にログインしている場合の who コマンドの出力例を示します。


ciscoasa# who
0: 100.0.0.2
ciscoasa# who 100.0.0.2
0: 100.0.0.2
ciscoasa#

コマンド	説明
kill	Telnet セッションを終了します。
telnet	ASA コンソールへの Telnet アクセスを追加して、アイドルタイムアウトを設定します。

window-variation

さまざまなウィンドウサイズの接続をドロップするには、TCP マップコンフィギュレーションモードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

window variation { allow-connection | drop-connection }

no window variation { allow-connection | drop-connection }

構文の説明


allow-connection	接続を許可します。
drop-connection	接続をドロップします。

コマンドデフォルト

デフォルトアクションは、接続の許可です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
TCP マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップコンフィギュレーションモードを開始します。TCP マップコンフィギュレーションモードで window-variation コマンドを使用して、ウィンドウサイズが縮小されたすべての接続をドロップします。

ウィンドウサイズメカニズムによって、TCP は大きなウィンドウをアドバタイズでき、続いて、過剰な量のデータを受け入れずに、はるかに小さなウィンドウをアドバタイズできます。TCP 仕様により、「ウィンドウの縮小」は極力避けることが推奨されています。この条件が検出された場合に、接続をドロップできます。

例

次に、さまざまなウィンドウサイズの接続をすべてドロップする例を示します。


ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# window-variation drop-connection
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global

wins-server

プライマリおよびセカンダリ WINS サーバーの IP アドレスを設定するには、グループポリシーコンフィギュレーションモードで wins-server コマンドを使用します。実行コンフィギュレーションからこの属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループポリシーから WINS サーバーを継承できます。サーバーが継承されないようにするには、wins-server none コマンドを使用します。

wins-server value { ip_address }[ ip_address ] | none

no wins-server

構文の説明


none	WINS サーバーをヌル値に設定して、WINS サーバーを許可しないようにします。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。
value `ip_address`	プライマリおよびセカンダリ WINS サーバーの IP アドレスを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

wins-server コマンドを発行するたびに、既存の設定が上書きされます。たとえば、WINS サーバー x.x.x.x を設定してから WINS サーバー y.y.y.y を設定すると、2 番めのコマンドによって最初の設定が上書きされ、y.y.y.y が唯一の WINS サーバーになります。複数のサーバーを設定する場合も同様です。設定済みのサーバーを上書きするのではなく、WINS サーバーを追加するには、このコマンドを入力するときに、すべての WINS サーバーの IP アドレスを含めます。

例

次に、FirstGroup という名前のグループポリシーに IP アドレスが 10.10.10.15、10.10.10.30、および 10.10.10.45 の WINS サーバーを設定する例を示します。


ciscoasa
(config)#
 group-policy FirstGroup attributes
ciscoasa
(config-group-policy)#
 wins-server value 10.10.10.15 10.10.10.30 10.10.10.45

without-csd

特定のユーザーがグループ URL テーブル内のいずれかのエントリを入力して VPN セッションを確立する場合に、そのユーザーに対して接続ごとのプロファイルに基づく Cisco Secure Desktop の Hostscan アプリケーションの実行を免除するには、トンネル webvpn コンフィギュレーションモードで without-csd コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。

without-csd [ anyconnect ]

no without-csd [ anyconnect ]

構文の説明


anyconnect	（オプション）AnyConnect 接続だけに影響するようにコマンドを変更します。

コマンドデフォルト

デフォルト値はありません。インストールしている場合、Hostscan が使用されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネル webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.2(1)	このコマンドが追加されました。
9.2(1)	anyconnect キーワードが追加されました。

使用上のガイドライン

このコマンドを使用すると、ユーザーがこの接続プロファイル（CLI ではトンネルグループと呼ばれます）に設定された URL グループリスト内の URL を入力した場合に、Cisco Secure Desktop の Hostscan アプリケーションがエンドポイントで実行されません。このコマンドを入力すると、これらのセッションのエンドポイント状態が検出されないため、ダイナミックアクセスポリシー（DAP）コンフィギュレーションを調整する必要があります。

例

次の例では、最初のコマンドでグループ URL を作成しています。「example.com」が ASA のドメイン、「no-csd」が URL の一意の部分です。ユーザーがこの URL を入力すると、ASA は、この接続プロファイルをセッションに割り当てます。group-url コマンドは、without-csd コマンドを有効にするために必要です。without-csd コマンドは、ユーザーに対して Cisco Secure Desktop の実行を免除します。


ciscoasa(config-tunnel-webvpn)# group-url https://example.com/no-csd enable
ciscoasa(config-tunnel-webvpn)# without-csd
ciscoasa(config-tunnel-webvpn)#

write erase

スタートアップコンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションはそのまま残ります。

write erase

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、セキュリティコンテキスト内ではサポートされません。コンテキストのスタートアップコンフィギュレーションは、システムコンフィギュレーションの config-url コマンドで識別されます。コンテキストコンフィギュレーションを削除する場合は、ファイルをリモートサーバー（指定されている場合）から手動で削除するか、またはシステム実行スペースで delete コマンドを使用してファイルをフラッシュメモリからクリアできます。

ASA 仮想の場合、このコマンドは reload の後に導入コンフィギュレーション（初期の仮想導入設定）を復元します。コンフィギュレーションを完全に消去するには、clear configure all コマンドを使用します。導入コンフィギュレーションを消去し、ASA アプライアンスの場合と同じ工場出荷時のデフォルトコンフィギュレーションを適用するには、configure factory-default を参照してください。

（注）

ASA 仮想によって現在の実行イメージがブートされるため、元のブートイメージには戻りません。リロード前にコンフィギュレーションを保存しないでください。

フェールオーバーペアの ASA 仮想の場合は、最初にスタンバイユニットの電源をオフにします。スタンバイユニットがアクティブになることを防ぐために、電源をオフにする必要があります。電源を入れたままにした場合、アクティブ装置の設定を消去すると、スタンバイ装置がアクティブになります。以前のアクティブユニットをリロードし、フェールオーバーリンクを介して再接続すると、古い設定は新しいアクティブユニットから同期し、必要な導入コンフィギュレーションが消去されます。アクティブユニットのリロード後、スタンバイユニットの電源をオンにすることができます。その後、導入コンフィギュレーションはスタンバイユニットに同期します。

例

次に、スタートアップコンフィギュレーションを消去する例を示します。


ciscoasa# write erase
Erase configuration in flash memory? [confirm] y

write memory

実行コンフィギュレーションをスタートアップコンフィギュレーションに保存するには、特権 EXEC モードで write memory コマンドを使用します。

write memory [ all [ /noconfirm ]]

構文の説明


/noconfirm	all キーワードを使用すると、確認プロンプトが表示されません。
all	マルチコンテキストモードのシステム実行スペースでこのキーワードを使用すると、すべてのコンテキストコンフィギュレーションおよびシステムコンフィギュレーションが保存されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.2(1)	all キーワードを使用して、すべてのコンテキストコンフィギュレーションを保存できるようになりました。

使用上のガイドライン

実行コンフィギュレーションとは、コマンドラインで行ったすべての変更内容を含む、メモリ内にある現在実行中のコンフィギュレーションです。変更内容は、起動時に実行メモリにロードされるスタートアップコンフィギュレーションに保存した場合、次のリブートまでの間のみ保持されます。シングルコンテキストモードまたはマルチコンテキストモードにおけるシステムのスタートアップコンフィギュレーションの場所は、boot config コマンドを使用して、デフォルトの場所（隠しファイル）から選択した場所に変更できます。マルチコンテキストモードの場合、コンテキストのスタートアップコンフィギュレーションは、システムコンフィギュレーションの config-url コマンドで指定された場所にあります。

マルチコンテキストモードでは、各コンテキストで write memory コマンドを入力して、現在のコンテキストコンフィギュレーションを保存できます。すべてのコンテキストコンフィギュレーションを保存するには、システム実行スペースで write memory all コマンドを入力します。コンテキストのスタートアップコンフィギュレーションは、外部サーバーに配置できます。この場合、ASA は、コンフィギュレーションをサーバーに戻して保存することができない HTTP および HTTPS の URL を除き、 config-url コマンドで指定されたサーバーにコンフィギュレーションを戻して保存します。ASA が write memory all コマンドを使用して各コンテキストを保存した後、次のメッセージが表示されます。


‘Saving context ‘b’ ... ( 1/3 contexts saved ) ’

エラーのためにコンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。

メモリ不足のためにコンテキストが保存されない場合は、次のメッセージが表示されます。


The context 'context a' could not be saved due to Unavailability of resources

リモートの宛先に到達できないためにコンテキストが保存されない場合は、次のメッセージが表示されます。


The context 'context a' could not be saved due to non-reachability of destination

コンテキストがロックされているために保存されない場合は、次のメッセージが表示されます。


Unable to save the configuration for the following contexts as these contexts are locked.
context ‘a’ , context ‘x’ , context ‘z’ .

コンテキストがロックされるのは、別のユーザーがすでにコンフィギュレーションを保存している場合、またはコンテキストを削除している場合のみです。

スタートアップコンフィギュレーションが読み取り専用であるために（たとえば、HTTP サーバーで）コンテキストが保存されない場合は、他のすべてのメッセージの最後に次のメッセージレポートが出力されます。


Unable to save the configuration for the following contexts as these contexts have read-only config-urls:
context ‘a’ , context ‘b’ , context ‘c’ .

フラッシュメモリに不良セクターがあるためにコンテキストが保存されない場合は、次のメッセージが表示されます。


The context 'context a' could not be saved due to Unknown errors

システムでは、コンテキストのスタートアップコンフィギュレーションにアクセスするために管理コンテキストインターフェイスが使用されるため、write memory コマンドでも管理コンテキストインターフェイスを使用します。ただし、write net コマンドでは、コンテキストインターフェイスを使用してコンフィギュレーションを TFTP サーバーに書き込みます。

write memory コマンドは、copy running-config startup-config コマンドと同等です。

例

次に、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存する例を示します。


ciscoasa# write memory
Building configuration...
Cryptochecksum: e43e0621 9772bebe b685e74f 748e4454
19319 bytes copied in 3.570 secs (6439 bytes/sec)
[OK]
ciscoasa#

write net

実行コンフィギュレーションを TFTP サーバーに保存するには、特権 EXEC モードで write net コマンドを使用します。

write net [ server : [ filename ] |: filename ]

構文の説明


: `filename`	パスとファイル名を指定します。 tftp-server コマンドを使用してすでにファイル名を設定してある場合、この引数はオプションです。このコマンドでファイル名を指定し、 tftp-server コマンドで名前を指定する場合、ASA は tftp-server コマンドファイル名をディレクトリとして扱い、 write net コマンドファイル名をそのディレクトリに属するファイルとして追加します。 tftp-server コマンドの値を上書きするには、パスとファイル名の前にスラッシュを入力します。スラッシュは、パスが tftpboot ディレクトリに対する相対パスではなく、絶対パスであることを示します。このファイル用に生成される URL には、ファイル名パスの前にダブルスラッシュ（//）が含まれます。必要なファイルが tftpboot ディレクトリにある場合は、ファイル名パスに tftpboot ディレクトリへのパスを含めることができます。TFTP サーバーでこのタイプの URL がサポートされていない場合は、代わりに copy running-config tftp コマンドを使用します。 tftp-server コマンドを使用して TFTP サーバーのアドレスを指定した場合は、コロン（:）の後にファイル名だけを入力できます。
`サーバー` :	TFTP サーバーの IP アドレスまたは名前を設定します。 tftp-server コマンドで設定したアドレスがある場合でも、このアドレスが優先されます。デフォルトのゲートウェイインターフェイスは最もセキュリティレベルの高いインターフェイスですが、 tftp-server コマンドを使用して別のインターフェイス名を設定することもできます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

実行コンフィギュレーションとは、コマンドラインで行ったすべての変更内容を含む、メモリ内にある現在実行中のコンフィギュレーションです。

マルチコンテキストモードの場合、このコマンドは現在のコンフィギュレーションを保存します。1 つのコマンドですべてのコンテキストを保存することはできません。このコマンドを、システムおよび各コンテキストに対して個別に入力する必要があります。 write net コマンドでは、コンテキストインターフェイスを使用してコンフィギュレーションを TFTP サーバーに書き込みます。ただし、 write memory コマンドでは、管理コンテキストインターフェイスを使用してスタートアップコンフィギュレーションに保存します。これは、システムで、コンテキストのスタートアップコンフィギュレーションにアクセスするために管理コンテキストインターフェイスが使用されるためです。

write net コマンドは、 copy running-config tftp コマンドと同等です。

例

次に、 tftp-server コマンドに TFTP サーバーおよびファイル名を設定する例を示します。


ciscoasa# tftp-server inside 10.1.1.1 /configs/contextbackup.cfg
ciscoasa# write net

次に、 write net コマンドにサーバーとファイル名を設定する例を示します。 tftp-server コマンドは入力されていません。


ciscoasa# write net 10.1.1.1:/configs/contextbackup.cfg

次に、 write net コマンドにサーバーとファイル名を設定する例を示します。 tftp-server コマンドでディレクトリ名が設定され、サーバーアドレスは上書きされます。


ciscoasa# tftp-server 10.1.1.1 configs
ciscoasa# write net 10.1.2.1:context.cfg

write standby

フェールオーバースタンバイ装置に ASA またはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。

write standby

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、コンフィギュレーションのスタンバイユニットまたはスタンバイフェールオーバーグループと、アクティブなユニットまたはフェールオーバーグループのコンフィギュレーションとの同期が失われた場合にのみ、使用します。通常、この状態は、コマンドがスタンバイユニットまたはスタンバイフェールオーバーグループで直接入力された場合に発生します。

アクティブ/スタンバイフェールオーバーの場合、アクティブユニットで入力された write standby コマンドは、スタンバイユニットの実行コンフィギュレーションにアクティブフェールオーバーユニットの実行コンフィギュレーションを書き込みます。

アクティブ/アクティブフェールオーバーの場合、write standby コマンドは次のように動作します。

システム実行スペースで write standby コマンドを入力した場合は、ASA 上のシステムコンフィギュレーションおよびすべてのセキュリティコンテキストのコンフィギュレーションがピアユニットに書き込まれます。これには、スタンバイ状態のセキュリティコンテキストのコンフィギュレーション情報が含まれています。このコマンドの入力は、フェールオーバーグループ 1 がアクティブ状態の装置上のシステム実行スペースで行う必要があります。
セキュリティコンテキストで write standby コマンドを入力すると、セキュリティコンテキストのコンフィギュレーションだけがピア装置に書き込まれます。このコマンドの入力は、セキュリティコンテキストがアクティブ状態で表示される装置のセキュリティコンテキストで行う必要があります。

write standby コマンドは、コンフィギュレーションをピアユニットの実行コンフィギュレーションに複製します。コンフィギュレーションは、スタートアップコンフィギュレーションに保存されません。コンフィギュレーションの変更をスタートアップコンフィギュレーションに保存するには、write standby コマンドを入力したユニットで copy running-config startup-config コマンドを使用します。コマンドはピアユニットに複製され、コンフィギュレーションはスタートアップコンフィギュレーションに保存されます。

ステートフルフェールオーバーがイネーブルの場合、write standby コマンドは、コンフィギュレーションのレプリケーションが完了した後、状態情報もスタンバイユニットに複製します。マルチコンテキストモードでは、ステート情報を複製するには、コンテキスト内で write standby を入力して状態情報を複製します。

（注）

write standby コマンドを入力した後、設定が再同期されるまでの間、フェールオーバーインターフェイスが一時的に停止します。また、これにより、フェールオーバー状態のインターフェイスの検出に一時的な障害が発生します。

例

次に、現在の実行コンフィギュレーションをスタンバイユニットに書き込む例を示します。


ciscoasa# write standby
Building configuration...
[OK]
ciscoasa#

write terminal

端末で実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。

write terminal

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、show running-config コマンドと同じです。

例

次に、実行コンフィギュレーションを端末に書き込む例を示します。


ciscoasa# write terminal
: Saved
:
ASA Version 7.0(0)61
multicast-routing
names
name 10.10.4.200 outside
!
interface GigabitEthernet0/0
 nameif inside
 security-level 100
 ip address 10.86.194.60 255.255.254.0
 webvpn enable
...

xlate block-allocation

キャリアグレードまたは大規模な PAT 向けにポートブロック割り当ての特性を設定するには、グローバルコンフィギュレーションモードで xlate block-allocation コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

xlate block-allocation { size value | maximum-per-host number | pba-interim-logging seconds }

no xlate block-allocation { size value | maximum-per-host number | pba-interim-logging seconds }

構文の説明


size value	ブロック割り当てサイズ。これは、各ブロックのポート数です。範囲は 32 ～ 4096 です。デフォルトは 512 です。デフォルトを使用しない場合は、選択したサイズが 64,512 に均等に分割していることを確認します（1024 ～ 65535 の範囲のポート数）。そうしなければ、割り当てることができないポートが発生します。たとえば、100 を指定すると 12 個の未使用ポートが生じます。
maximum-per-host number	ホスト 1 つあたりに割り当てることができる最大ブロック。制限はプロトコルごとに設定されるので、制限「4」は、ホストごとの上限が 4 つの UDP ブロック、4 つの TCP ブロック、および 4 つの ICMP ブロックであることを意味します。指定できる値の範囲は 1 ～ 8 で、デフォルトは 4 です。
pba-interim-logging `seconds`	暫定ロギングを有効にします。デフォルトでは、ポートブロックの作成および削除中にシステムで syslog メッセージが生成されます。暫定ログの記録を有効にすると、指定した間隔でメッセージ 305017 が生成されます。メッセージは、その時点で割り当てられているすべてのアクティブポートブロックをレポートします（プロトコル（ICMP、TCP、UDP）、送信元および宛先インターフェイス、IP アドレス、ポートブロックを含む）。間隔は 21600 ～ 604800 秒（6 時間から 7 日間）を指定することができます。

コマンドデフォルト

デフォルトの割り当てサイズは 512 です。ホスト 1 つあたりのデフォルトの上限値は 4 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.5(1)	このコマンドが追加されました。
9.12(1)	pba-interim-logging コマンドが追加されました。

使用上のガイドライン

キャリアグレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます（RFC 6888 を参照してください）。ポートのブロックを割り当てると、ホストからのその後の接続では、ブロック内のランダムに選択される新しいポートが使用されます。必要に応じて、ホストが元のブロック内のすべてのポートに関してアクティブな接続を持つ場合は追加のブロックが割り当てられます。ブロックのポートを使用する最後の xlate が削除されると、ブロックが解放されます。

ポートブロックは、1024 ～ 65535 の範囲でのみ割り当てられます。そのため、小さいポート番号（1 ～ 1023）がアプリケーションに必要な場合、これは機能しません。たとえば、ポート 22（SSH）を要求するアプリケーションは、1024 ～ 65535 の範囲内およびホストに割り当てられたブロック内でマップされるポートを取得します。

xlate block-allocation コマンドは、これらのポートブロックの特性を設定します。PAT プールの使用時に PAT ルールに従ってポートブロック割り当てを有効にするには、nat コマンドで block-allocation キーワードを使用します。

例

次に、ポートブロック割り当て特性の変更例と、オブジェクト NAT ルールで PAT プール用にポートブロック割り当てを実装する例を示します。


xlate block-allocation size 128
xlate block-allocation maximum-per-host 6
xlate block-allocation pba-interim-logging 21600 
object network mapped-pat-pool
   range 10.100.10.1 10.100.10.2
object network src_host
   host 10.111.10.15
object network src_host
   nat dynamic pat-pool mapped-pat-pool block-allocation

xlate per-session

Multi-Session PAT を使用するには、グローバルコンフィギュレーションモードで xlate per-session コマンドを使用します。Multi-Session PAT ルールを削除するには、このコマンドの no 形式を使用します。

xlate per-session { permit | deny }{ tcp | udp } source_ip [ operator src_port ] destination_ip operator dest_port

no xlate per-session { permit | deny }{ tcp | udp } source_ip [ operator src_port ] destination_ip operator dest_port

構文の説明


deny	拒否ルールを作成します。
destination_ip	宛先 IP アドレスについて、次のように設定できます。 host ip_address：IPv4 ホストアドレスを指定します。 ip_address mask：IPv4 ネットワークアドレスおよびサブネットマスクを指定します。 ipv6-address/ prefix-length：IPv6 ホストまたはネットワークアドレスとプレフィックスを指定します。 any4 と any6 ：any4 は IPv4 トラフィックのみを指定します。any6 はすべてのトラフィックを指定します。
operator dest_port	operator は、宛先で使用されるポート番号に一致します。使用できる演算子は、次のとおりです。 lt：より小さい gt：より大きい eq：等しい neq：等しくない range：値の包括的な範囲。この演算子を使用するときは、ポート番号を 2 つ指定します。たとえば、次のように指定します。 `range 100 200`
operator src_port	（オプション）operator は、ソースで使用されるポート番号に一致します。使用できる演算子は、次のとおりです。 lt：より小さい gt：より大きい eq：等しい neq：等しくない range：値の包括的な範囲。この演算子を使用するときは、ポート番号を 2 つ指定します。たとえば、次のように指定します。 `range 100 200`
permit	許可ルールを作成します。
source_ip	送信元 IP アドレスについて、次のように設定できます。 host ip_address：IPv4 ホストアドレスを指定します。 ip_address mask：IPv4 ネットワークアドレスおよびサブネットマスクを指定します。 ipv6-address/ prefix-length：IPv6 ホストまたはネットワークアドレスとプレフィックスを指定します。 any4 と any6 ：any4 は IPv4 トラフィックのみを指定します。any6 はすべてのトラフィックを指定します。
tcp	TCP トラフィックを指定します。
udp	UDP トラフィックを指定します。

コマンドデフォルト

デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。次のデフォルトルールがインストールされています。


xlate per-session permit tcp any4 any4
xlate per-session permit tcp any4 any6
xlate per-session permit tcp any6 any4
xlate per-session permit tcp any6 any6
xlate per-session permit udp any4 any4 eq domain
xlate per-session permit udp any4 any6 eq domain
xlate per-session permit udp any6 any4 eq domain
xlate per-session permit udp any6 any6 eq domain

これらのルールは削除できません。これらのルールは常に、手動作成されたルールの後に存在します。ルールは順番に評価されるので、デフォルトルールを無効にすることができます。たとえば、これらのルールを完全に反転させるには、次の拒否ルールを追加します。


xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

Per-session PAT 機能によって PAT のスケーラビリティが向上し、クラスタリングの場合に各メンバユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスターユニットに転送してマスターユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンドノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます（デフォルトでは 30 秒）。「ヒットエンドラン」トラフィック、たとえば HTTP や HTTPS の場合は、Per-session 機能によって、1 アドレスでサポートされる接続率が大幅に増加することがあります。Per-session 機能を使用しない場合は、特定の IP プロトコルに対する 1 アドレスの最大接続率は約 2000/秒です。Per-session 機能を使用する場合は、特定の IP プロトコルに対する 1 アドレスの接続率は 65535/平均ライフタイムです。

デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。H.323、SIP、Skinny など、Multi-Session PAT による利点があるトラフィックの場合、Per-Session PAT 拒否ルールを作成して、Per-Session PAT をディセーブルにできます。

Per-Session PAT ルールを追加する場合、ルールはデフォルトルールの上位に配置されますが、他の手動で作成されたルールの下位に配置されます。ルールは必ず、適用する順序で作成してください。

例

次の例では、H.323 トラフィックのための拒否ルールを作成します。このトラフィックには Multi-Session PAT が使用されるようにするためです。


ciscoasa(config)# xlate per-session deny tcp any4 209.165.201.7 eq 1720
ciscoasa(config)# xlate per-session deny udp any4 209.165.201.7 range 1718 1719

zone

トラフィックゾーンを追加するには、グローバルコンフィギュレーションモードで zone コマンドを使用します。ゾーンを削除するには、このコマンドの no 形式を使用します。

zone name

no zone name

構文の説明


name	最大 48 文字でゾーン名を設定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.3(2)	このコマンドが追加されました。

使用上のガイドライン

トラフィックゾーンに複数のインターフェイスを割り当てることができます。これにより、既存のフローのトラフィックがゾーン内のインターフェイスで ASA に出入りできるようになります。この機能により、ASA 上での等コストマルチパス（ECMP）のルーティングや、ASA へのトラフィックの複数のインターフェイスにわたる外部ロードバランシングが可能になります。

ゾーンを使用すると、トラフィックはゾーン内のすべてのインターフェイスで出入りを許可されますが、セキュリティポリシー自体（アクセスルール、NAT など）は、ゾーン単位ではなく、インターフェイス単位で適用されます。ゾーン内のすべてのインターフェイスに同じセキュリティポリシーを設定すると、そのトラフィックの ECMP およびロードバランシングを適切に実装できます。

最大 256 ゾーンを作成できます。

例

次の例では、4 つのメンバーインターフェイスを含む外部ゾーンを設定します。


zone outside
interface gigabitethernet0/0
  zone-member outside
interface gigabitethernet0/1
  zone-member outside
interface gigabitethernet0/2
  zone-member outside
interface gigabitethernet0/3
  zone-member outside

zonelabs-integrity fail-close

ASA と Zone Labs Integrity ファイアウォールサーバーとの間の接続で障害が発生したときに VPN クライアントへの接続が閉じるように ASA を設定するには、グローバルコンフィギュレーションモードで zonelabs-integrity fail-close コマンドを使用します。Zone Labs 接続で障害が発生しても VPN 接続を開いたままにするデフォルト設定に戻すには、このコマンドの no 形式を使用します。

zonelabs-integrity fail-close

no zonelabs-integrity fail-close

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトでは、接続は障害が発生しても開いたままです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

デフォルトでは、プライマリの Zone Labs Integrity ファイアウォールサーバーが ASA に応答しない場合も、ASA はプライベートネットワークとの VPN クライアント接続を確立します。既存の開いている接続も維持されます。これにより、企業 VPN はファイアウォールサーバーで障害が発生しても中断されません。ただし、Zone Labs Integrity ファイアウォールサーバーで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、zonelabs-integrity fail-close コマンドを使用します。

Zone Labs Integrity ファイアウォールサーバーへの接続で障害が発生しても ASA によってクライアント VPN 接続が維持されるデフォルト状態に戻すには、zonelabs-integrity fail-open コマンドを使用します。

例

次に、Zone Labs Integrity ファイアウォールサーバーが応答しない場合、または接続が中断された場合に、VPN クライアント接続を閉じるように ASA を設定する例を示します。


ciscoasa(config)# zonelabs-integrity fail-close
ciscoasa(config)#

zonelabs-integrity fail-open

ASA と Zone Labs Integrity ファイアウォールサーバーとの間の接続で障害が発生した後も、ASA へのリモート VPN クライアント接続を開いたままにするには、グローバルコンフィギュレーションモードで zonelabs-integrity fail-open コマンドを使用します。Zone Labs サーバー接続で障害が発生した場合に VPN クライアントへの接続を閉じるには、このコマンドの no 形式を使用します。

zonelabs-integrity fail-open

no zonelabs-integrity fail-open

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトでは、ASA で Zone Labs Integrity ファイアウォールサーバーへの接続が確立または維持されない場合、リモート VPN 接続は開いたままになります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

デフォルトでは、プライマリの Zone Labs Integrity ファイアウォールサーバーが ASA に応答しない場合も、ASA はプライベートネットワークとの VPN クライアント接続を確立します。既存の開いている接続も維持されます。これにより、企業 VPN はファイアウォールサーバーで障害が発生しても中断されません。ただし、Zone Labs Integrity ファイアウォールサーバーで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、zonelabs-integrity fail-close コマンドを使用します。その後、Zone Labs Integrity ファイアウォールサーバーへの接続で障害が発生しても ASA によってクライアント VPN 接続が維持されるデフォルト状態に戻すには、zonelabs-integrity fail-open コマンドまたは no zonelabs-integrity fail-open コマンドを使用します。

例

次に、Zone Labs Integrity ファイアウォールサーバーへの接続で障害が発生しても VPN クライアント接続を開いたままにするデフォルト状態に戻す例を示します。


ciscoasa(config)# zonelabs-integrity fail-open
ciscoasa(config)#

zonelabs-integrity fail-timeout

応答のない Zone Labs Integrity ファイアウォールサーバーを ASA が到達不能と見なすまでの秒数を指定するには、グローバルコンフィギュレーションモードで zonelabs-integrity fail-timeout コマンドを使用します。デフォルトのタイムアウト（10 秒）に戻すには、このコマンドの no 形式を引数なしで使用します。

zonelabs-integrity fail-timeout timeout

no zonelabs-integrity fail-timeout

構文の説明


`timeout`	応答しない Zone Labs Integrity ファイアウォールサーバーを ASA が到達不能と見なすまでの秒数を指定します。設定可能な値の範囲は、5 ～ 20 秒です。

コマンドデフォルト

デフォルトのタイムアウト値は 10 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

ASA が指定された秒数待機しても Zone Labs サーバーから応答がない場合、サーバーは応答不能と見なされます。VPN クライアントへの接続は、デフォルトまたは zonelabs-integrity fail-open コマンドの設定に従って開いたままになります。ただし、zonelabs-integrity fail-close コマンドが発行されている場合は、ASA で Integrity サーバーが応答不能と見なされると接続は閉じます。

例

次に、12 秒経過後にアクティブな Zone Labs Integrity サーバーを到達不能と見なすように ASA を設定する例を示します。


ciscoasa(config)# zonelabs-integrity fail-timeout 12
ciscoasa(config)#

zonelabs-integrity interface

Zone Labs Integrity サーバーとの通信で使用する ASA インターフェイスを指定するには、グローバルコンフィギュレーションモードで zonelabs-integrity interface コマンドを使用します。Zone Labs Integrity ファイアウォールサーバーのインターフェイスをデフォルト（none）にリセットするには、このコマンドの no 形式を使用します。

zonelabs-integrity interface interface

no zonelabs-integrity interface

構文の説明


interface	Zone Labs Integrity ファイアウォールサーバーが通信する ASA インターフェイスを指定します。これは、多くの場合、nameif コマンドで作成されたインターフェイス名です。

コマンドデフォルト

デフォルトでは、Zone Labs Integrity ファイアウォールインターフェイスは none に設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

例

次に、IP アドレス範囲 10.0.0.5 ～ 10.0.0.7 を使用して 3 台の Zone Labs Integrity サーバーを設定する例を示します。また、これらのコマンドでは、ポート 300 および inside というインターフェイスでサーバーをリッスンするように ASA を設定しています。


ciscoasa(config)# zonelabs-integrity server-address 10.0.0.5 10.0.0.6 10.0.0.7
ciscoasa(config)# zonelabs-integrity port 300
ciscoasa(config)# zonelabs-integrity interface inside
ciscoasa(config)#

zonelabs-integrity port

Zone Labs Integrity ファイアウォールサーバーとの通信で使用する ASA 上のポートを指定するには、グローバルコンフィギュレーションモードで zonelabs-integrity port コマンドを使用します。Zone Labs Integrity ファイアウォールサーバーのデフォルトポート 5054 に戻すには、このコマンドの no 形式を使用します。

zonelabs-integrity port port_number

no zonelabs-integrity port port_number

構文の説明


port	ASA 上の Zone Labs Integrity ファイアウォールサーバーのポートを指定します。
`port_number`	Zone Labs Integrity ファイアウォールサーバーのポートの番号。指定できる範囲は、10 ～ 10000 です。

コマンドデフォルト

Zone Labs Integrity ファイアウォールサーバーのデフォルトポートは 5054 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

ASA は、 zonelabs-integrity port コマンドと zonelabs-integrity interface コマンドでそれぞれ設定されたポートとインターフェイスで Zone Labs Integrity ファイアウォールサーバーをリッスンします。

（注）

ユーザーインターフェイスが最大 5 つの Integrity サーバーのコンフィギュレーションをサポートしている場合でも、現在のリリースの ASA が一度にサポートする Integrity サーバーは 1 つです。アクティブなサーバーに障害が発生した場合は、ASA 上で別の Integrity サーバーを設定して、クライアント VPN セッションを再確立してください。

例

次に、IP アドレス 10.0.0.5 を使用して Zone Labs Integrity サーバーを設定する例を示します。また、これらのコマンドでは、デフォルトポート 5054 ではなくポート 300 でアクティブな Zone Labs サーバーをリッスンするように ASA を設定しています。


ciscoasa(config)# zonelabs-integrity server-address 10.0.0.5
ciscoasa(config)# zonelabs-integrity port 300
ciscoasa(config)#

zonelabs-integrity server-address

Zone Labs Integrity ファイアウォールサーバーを ASA コンフィギュレーションに追加するには、グローバルコンフィギュレーションモードで zonelabs-integrity server-address コマンドを使用します。Zone Labs サーバーを IP アドレスまたはホスト名で指定します。

Zone Labs Integrity ファイアウォールサーバーを実行コンフィギュレーションから削除するには、このコマンドの no 形式を引数なしで使用します。

zonelabs-integrity server-address { hostname1 | ip-address1 }

no zonelabs-integrity server-address

（注）

ユーザーインターフェイスは複数の Integrity サーバーのコンフィギュレーションをサポートしているように見えますが、現在のリリースの ASA では同時に 1 台のサーバーのみがサポートされます。

構文の説明


`hostname`	Zone Labs Integrity ファイアウォールサーバーのホスト名を指定します。ホスト名のガイドラインについては、name コマンドを参照してください。
`ip-address`	Zone Labs Integrity ファイアウォールサーバーの IP アドレスを指定します。

コマンドデフォルト

デフォルトでは、Zone Labs Integrity ファイアウォールサーバーは設定されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

このリリースでは、1 台の Zone Labs Integrity ファイアウォールサーバーを設定できます。そのサーバーで障害が発生した場合は、まず別の Integrity サーバーを設定してからクライアント VPN セッションを再確立します。

サーバーをホスト名で指定するには、まず name コマンドを使用して Zone Labs サーバー名を設定する必要があります。name コマンドを使用する前に、names コマンドを使用して有効にします。

（注）

現在のリリースのセキュリティアプライアンスでは同時に 1 台の Integrity サーバーのみがサポートされていますが、ユーザーインターフェイスでは最大 5 台の Integrity サーバーの設定がサポートされています。アクティブなサーバーに障害が発生した場合は、ASA 上で別の Integrity サーバーを設定して、クライアント VPN セッションを再確立してください。

例

次に、IP アドレス 10.0.0.5 にサーバー名 ZL-Integrity-Svr を割り当て、その名前を使用して Zone Labs Integrity サーバーを設定する例を示します。


ciscoasa(config)# names 
ciscoasa(config)# name 10.0.0.5 ZL-Integrity-Svr
ciscoasa(config)# zonelabs-integrity server-address ZL-Integrity-Svr
ciscoasa(config)#

zonelabs-integrity ssl-certificate-port

SSL 証明書を取得する場合に Zone Labs Integrity ファイアウォールサーバーが接続する ASA のポートを指定するには、グローバルコンフィギュレーションモードで zonelabs-integrity ssl-certificate-port コマンドを使用します。デフォルトポート番号（80）に戻すには、このコマンドの no 形式を引数なしで使用します。

zonelabs-integrity ssl-certificate-port cert-port-number

no zonelabs-integrity ssl-certificate-port

構文の説明


`cert-port-number`	SSL 証明書を要求する場合に Zone Labs Integrity ファイアウォールサーバーが接続する ASA のポート番号を指定します。

コマンドデフォルト

デフォルトでは、Zone Labs Integrity ファイアウォールサーバーは SSL 証明書を ASA のポート 80 で要求します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

ASA と Zone Labs Integrity ファイアウォールサーバーとの SSL 通信では、ASA が SSL サーバーであり、Zone Labs サーバーは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバー（ASA）の証明書がクライアント（Zone Labs サーバー）によって認証される必要があります。zonelabs-integrity ssl-certificate-port コマンドで、Zone Labs サーバーが SSL サーバー証明書を要求する場合に接続するポートを指定します。

例

次に、ASA のポート 30 で Zone Labs Integrity サーバーから SSL 証明書要求を受信するように設定する例を示します。


ciscoasa(config)# zonelabs-integrity ssl-certificate-port 30
ciscoasa(config)#

zonelabs-integrity ssl-client-authentication

Zone Labs Integrity ファイアウォールサーバーの SSL 証明書を ASA で認証できるようにするには、グローバルコンフィギュレーションモードで zonelabs-integrity ssl-client-authentication コマンドを enable 引数を指定して使用します。Zone Labs の SSL 証明書の認証をディセーブルにするには、disable 引数を使用するか、またはこのコマンドの no 形式を引数なしで使用します。

zonelabs-integrity ssl-client-authentication { enable | disable }

no zonelabs-integrity ssl-client-authentication

構文の説明


`disable`	Zone Labs Integrity ファイアウォールサーバーの IP アドレスを指定します。
`イネーブル化`	ASA で Zone Labs Integrity ファイアウォールサーバーの SSL 証明書を認証することを指定します。

コマンドデフォルト

デフォルトでは、Zone Labs Integrity ファイアウォールサーバーの SSL 証明書の ASA による認証はディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

ASA と Zone Labs Integrity ファイアウォールサーバーとの SSL 通信では、ASA が SSL サーバーであり、Zone Labs サーバーは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバー（ASA）の証明書がクライアント（Zone Labs サーバー）によって認証される必要があります。ただし、クライアント証明書の認証は任意です。Zone Labs サーバーの（SSL クライアント）証明書の ASA による認証をイネーブルまたはディセーブルにするには、zonelabs-integrity ssl-client-authentication コマンドを使用します。

例

次に、Zone Labs Integrity サーバーの SSL 証明書を認証するように ASA を設定する例を示します。


ciscoasa(config)# zonelabs-integrity ssl-client-authentication enable
ciscoasa(config)#

zone-member

トラフィックゾーンにインターフェイス追加するには、インターフェイスコンフィギュレーションモードで zone-member コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。

zone-member name

no zone-member name

構文の説明


name	zone コマンドで設定されたゾーン名を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.3(2)	このコマンドが追加されました。

使用上のガイドライン

名前、IP アドレス、およびセキュリティレベルを含むすべてのインターフェイスパラメータを設定します。ゾーンに最初に追加するインターフェイスによってゾーンのセキュリティレベルが決まります。追加のインターフェイスは、すべて同じセキュリティレベルにする必要があります。ゾーン内のインターフェイスのセキュリティレベルを変更するには、1 つのインターフェイスを除くすべてのインターフェイスを削除してからセキュリティレベルを変更し、インターフェイスを再度追加します。

ゾーンにインターフェイスを割り当てる場合、そのインターフェイスのすべての接続が削除されます。接続を再確立する必要があります。

ゾーンからインターフェイスを削除する場合、そのインターフェイスをプライマリインターフェイスとしているすべての接続が削除されます。接続を再確立する必要があります。そのインターフェイスが現在のインターフェイスの場合、ASA は接続をプライマリインターフェイスに戻します。ゾーンのルートテーブルも更新されます。

次のタイプのインターフェイスをゾーンに追加できます。

物理
VLAN
EtherChannel
冗長

次のタイプのインターフェイスは追加できません。

管理専用
管理アクセス
フェールオーバーまたはステートリンク
クラスタ制御リンク
EtherChannel インターフェイスまたは冗長インターフェイスのメンバーインターフェイス

1 つのインターフェイスがメンバーになることができるゾーンは 1 つだけです。

ゾーンごとに最大 8 つのインターフェイスを含めることができます。

例

次の例では、4 つのメンバーインターフェイスを含む外部ゾーンを設定します。


zone outside
interface gigabitethernet0/0
  zone-member outside
interface gigabitethernet0/1
  zone-member outside
interface gigabitethernet0/2
  zone-member outside
interface gigabitethernet0/3
  zone-member outside

コマンド	説明
admin-context	管理コンテキストを設定します。
configure memory	スタートアップコンフィギュレーションを実行コンフィギュレーションとマージします。
config-url	コンテキストコンフィギュレーションの場所を指定します。
copy running-config startup-config	実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。
write net	実行コンフィギュレーションを TFTP サーバーにコピーします。

コマンド	説明
class	トラフィック分類に使用するクラスマップを指定します。
policy-map	ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです。
set connection	接続値を設定します。
tcp-map	TCP マップを作成して、TCP マップコンフィギュレーションモードにアクセスできるようにします。

コマンド	説明
csd enable	without-csd コマンドが含まれていないすべての接続プロファイルに対して Cisco Secure Desktop をイネーブルにします。
csd image	コマンドで指定された Cisco Secure Desktop イメージを、パスで指定されたフラッシュドライブから実行コンフィギュレーションにコピーします。
group-url	この接続プロファイルに固有のグループ URL を作成します。

コマンド	説明
configure net	指定した TFTP URL のコンフィギュレーションファイルを実行コンフィギュレーションにマージします。
delete	フラッシュメモリからファイルを削除します。
show running-config	実行コンフィギュレーションを表示します。
write memory	実行中の設定をスタートアップコンフィギュレーションに保存します。

コマンド	説明
configure net	指定した TFTP URL のコンフィギュレーションファイルを実行コンフィギュレーションにマージします。
copy running-config tftp	実行コンフィギュレーションを TFTP サーバーにコピーします。
show running-config	実行コンフィギュレーションを表示します。
tftp-server	他のコマンドで使用するためのデフォルトの TFTP サーバーおよびパスを設定します。
write memory	実行中の設定をスタートアップコンフィギュレーションに保存します。

コマンド	説明
nat (global)	Twice NAT ルールを追加します。
nat (object)	オブジェクト NAT ルールを追加します。
show local-host	ホストに割り当てられたポートブロックを示します。
show running-config xlate	xlate のコンフィギュレーションを表示します。

コマンド	説明
clear configure xlate	xlate per-session ルールをクリアします。
nat (global)	Twice NAT ルールを追加します。
nat (object)	オブジェクト NAT ルールを追加します。
show running-config xlate	xlate per-session ルールを表示します。

コマンド	説明
clear configure zone	ゾーンのコンフィギュレーションをクリアします。
clear conn zone	ゾーン接続をクリアします。
clear local-host zone	ゾーンのホストをクリアします。
show asp table routing	デバッグ目的で高速セキュリティパステーブルを表示し、各ルートに関連付けられたゾーンを表示します。
show asp table zone	デバッグ目的で高速セキュリティパステーブルを表示します。
show conn long	ゾーンの接続情報を表示します。
show local-host zone	ゾーン内のローカルホストのネットワーク状態を表示します。
show nameif zone	インターフェイス名およびゾーン名を表示します。
show route zone	ゾーンインターフェイスのルートを表示します。
show running-config zone	ゾーンのコンフィギュレーションを表示します。
show zone	ゾーン ID、コンテキスト、セキュリティレベル、およびメンバーを表示します。
zone	トラフィックゾーンを設定します。
zone-member	トラフィックゾーンにインターフェイスを割り当てます。

コマンド	説明
zonelabs-integrity port	Zone Labs Integrity ファイアウォールサーバーと通信するための ASA 上のポートを指定します。
zonelabs-integrity server-address	Zone Labs Integrity ファイアウォールサーバーを ASA のコンフィギュレーションに追加します。
zonelabs-integrity ssl-certificate-port	SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォールサーバーが接続する ASA のポートを指定します。
zonelabs-integrity ssl-client-authentication	ASA による Zone Labs Integrity ファイアウォールサーバー SSL 証明書の認証をイネーブルにします。

コマンド	説明
zonelabs-integrity interface	アクティブな Zone Labs Integrity サーバーと通信するための ASA インターフェイスを指定します。
zonelabs-integrity server-address	Zone Labs Integrity ファイアウォールサーバーを ASA のコンフィギュレーションに追加します。
zonelabs-integrity ssl-certificate-port	SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォールサーバーが接続する ASA のポートを指定します。
zonelabs-integrity ssl-client-authentication	ASA による Zone Labs Integrity ファイアウォールサーバー SSL 証明書の認証をイネーブルにします。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、T ～ Z コマンドおよび ASASM 用 IOS コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： w ～ z

w ～ z

wccp

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

例

関連コマンド

wccp redirect

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

例

関連コマンド

web-agent-url（廃止）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

web-applications

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

web-bookmarks

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

web update-type

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

web update-url

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

webvpn（グローバル）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

webvpn（グループポリシー属性、ユーザー名属性）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

whitelist

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード