-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
- area
- area authentication
- area default-cost
- area filter-list prefix
- area nssa
- area-password
- area range(IPv6 ルータ OSPF)
- area range(ルータ OSPF)
- area stub
- area virtual-link(IPv6 ルータ OSPF)
- area virtual-link(ルータ OSPF)
- arp
- arp-inspection
- arp permit-nonconnected
- arp rate-limit
- arp timeout
- asdm disconnect
- asdm disconnect log_session
- asdm history enable
- asdm image
- asdm location
- as-path access-list
- asp load-balance per-packet
- asp rule-engine transactional-commit
- asr-group
- assertion-consumer-url(廃止)
- attribute bind
- attribute source-group
- attribute source-group host
- attribute source-group keepalive
- 属性
- auth-cookie-name
- authenticated-session-username
- authentication(bfd-template)
- 認証
- authentication eap-proxy
- 認証キー
- authentication key eigrp
- authentication mode
- authentication ms-chap-v1
- authentication ms-chap-v2
- authentication pap
- authentication send-only
- authentication-attr-from-server
- authentication-certificate
- authentication-exclude
- authentication-port
- authentication-server-group(imap4s、pop3s、smtps)(廃止)
- authentication-server-group(トンネル グループ一般属性)
- authorization-required
- authorization-server-group(imap4s、pop3s、smtps)(廃止)
- authorization-server-group(トンネル グループ一般属性)
- authorize-only
- auth-prompt
- auto-signon
- auto-summary
- auto-update device-id
- auto-update poll-at
- auto-update poll-period
- auto-update server
- auto-update timeout
area コマンド~ auto-update timeout コマンド
area
OSPFv2 エリアまたは OSPFv3 エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。
構文の説明
作成するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
作成したエリアには、パラメータが設定されていません。関連する area コマンドを使用してエリア パラメータを設定します。
例
次に、エリア ID が 1 の OSPF エリアを作成する例を示します。
関連コマンド
|
|
|
|---|---|
area authentication
OSPFv2 エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで area authentication コマンドを使用します。エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id authentication [ message-digest ]
no area area_id authentication [ message-digest ]
構文の説明
認証をイネーブルにするエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
|
(オプション) area_id で指定したエリアに対する Message Digest 5(MD5)認証をイネーブルにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定した OSPFv2 エリアが存在しない場合は、このコマンドを入力すると作成されます。 message-digest キーワードを指定せずに area authentication コマンドを入力した場合は、簡易パスワード認証がイネーブルになります。 message-digest キーワードを指定すると、MD5 認証がイネーブルになります。
例
次に、エリア 1 に対して MD5 認証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
area default-cost
スタブまたは NSSA に送信されるデフォルト集約ルートのコストを指定するには、ルータ コンフィギュレーション モードまたは IPv6 ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。
area area_id default-cost cost
no area area_id default-cost cost
構文の説明
デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
|
スタブまたは NSSA に使用されるデフォルト集約ルートのコストを指定します。有効な値の範囲は、0 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。
例
次に、スタブまたは NSSA に送信される集約ルートのデフォルト コストを指定する例を示します。
関連コマンド
|
|
|
|---|---|
area filter-list prefix
ABR の OSPFv2 エリア間のタイプ 3 LSA でアドバタイズされたプレフィックスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。
area area_id filter-list prefix list_name { in | out }
no area area_id filter-list prefix list_name { in | out }
構文の説明
フィルタリングを設定するエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。
フィルタリングできるのはタイプ 3 LSA だけです。プライベート ネットワークに ASBR が設定されている場合、ASBR はプライベート ネットワークを記述するタイプ 5 LSA を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッディングされます。
例
次に、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングする例を示します。
関連コマンド
|
|
|
|---|---|
area nssa
エリアを NSSA として設定するには、ルータ コンフィギュレーション モードまたは IPv6 ルータ コンフィギュレーション モードで area nssa コマンドを使用します。NSSA 指定をエリアから削除するには、このコマンドの no 形式を使用します。
area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。
エリアに 1 つのオプションを設定し、後で別のオプションを指定した場合、両方のオプションが設定されます。たとえば、次の 2 のコマンドを別々に入力した場合、コンフィギュレーションには、両方のオプションを指定した 1 つのコマンドが設定されます。
例
次に、2 つのオプションを別々に設定すると、1 つのコマンドがコンフィギュレーションに設定される例を示します。
関連コマンド
|
|
|
|---|---|
area-password
IS-IS エリア認証パスワードを設定するには、ルータ ISIS コンフィギュレーション モードで、 area-password コマンドを使用します。パスワードをディセーブルにするには、このコマンドの no 形式を使用します。
area-password password [ authenticate snp { validate | send-only }]
構文の説明
これを指定すると、システムは SNP へのパスワードの挿入だけは行うようになりますが、SNP での受け取ったパスワードの確認は行われません。このキーワードは、ソフトウェアのアップグレード中、移行をスムーズに行うために使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
あるエリアに存在するすべてのルータで area-password コマンドを使用することにより、不正ルータによる、リンクステート データベースへの誤ったルーティング情報の挿入を阻止できます。
このパスワードはプレーン テキストとしてやり取りされるため、この機能が提供するセキュリティは限定されています。
このパスワードは、レベル 1(ステーション ルータ レベル)の PDU リンクステート パケット(LSP)、Complete Sequence Number PDU(CSNP)、および Partial Sequence Number PDU(PSNP)に挿入されます。
authenticate snp キーワードを指定して、 validate または send-only キーワードを指定しなかった場合、IS-IS ルーティング プロトコルは SNP にパスワードを挿入しません。
例
次に、エリア認証パスワードを割り当て、このパスワードを SNP に挿入し、システムが受け取った SNP で確認するように指定する例を示します。
関連コマンド
area range(IPv6 ルータ OSPF)
エリア境界で OSPFv3 ルートを統合および集約するには、IPv6 ルータ OSPF コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id range ipv6-prefix/prefix-length [ advertise | not-advertise ] [ cost cost ]
no area area_id range ipv6-prefix/prefix-length [ advertise | not-advertise ] [ cost cost ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。
area range コマンドは、ABR でのみ使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、IPv6 プレフィックスおよびプレフィックス長ごとに 1 つのルートがアドバタイズされます。この動作は ルート集約 と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。このように、OSPFv3 は多くの異なる IPv6 プレフィックスおよびプレフィックス長セットのルートを集約できます。
例
次に、IPv6 プレフィックスが 2000:0:0:4::2 でプレフィックス長が 2001::/64 の他のエリアに ABR によってアドバタイズされる 1 つの集約ルートを指定する例を示します。
関連コマンド
|
|
|
|---|---|
area range(ルータ OSPF)
エリア境界で ルートを統合および集約するには、ルータ OSPF コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id range address mask [ advertise | not-advertise ]
no area area_id range address mask [ advertise | not-advertise ]
構文の説明
範囲を設定するエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
|
(任意)アドレス範囲ステータスを DoNotAdvertise に設定します。Type 3 サマリー LSA は抑制され、コンポーネント ネットワークは他のネットワークから隠された状態のままです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。
area range コマンドは、エリアのルートを統合または集約するために ABR でのみ使用します。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は ルート集約 と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。このように、OSPF は多くの異なるアドレス範囲セットのアドレスを集約できます。
no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードのみを削除します。
例
次に、ネットワーク 10.0.0.0 上のすべてのサブネットおよびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つの集約ルートを、ABR によって他のエリアにアドバタイズするように指定する例を示します。
関連コマンド
|
|
|
|---|---|
area stub
エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードまたは IPv6 ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリアを削除するには、このコマンドの no 形式を使用します。
area area_id stub [ no-summary ]
no area area_id stub [ no-summary ]
構文の説明
スタブ エリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、スタブまたは NSSA に接続された ABR でのみ使用されます。
スタブ エリア ルータ コンフィギュレーション コマンドには、area stub および area default-cost という 2 つのコマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続された ABR でのみ area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成される集約デフォルト ルートのメトリックをスタブ エリアに提供します。
例
次に、指定したエリアをスタブ エリアとして設定する例を示します。
関連コマンド
|
|
|
|---|---|
area virtual-link(IPv6 ルータ OSPF)
OSPFv3 仮想リンクを定義するには、IPv6 ルータ OSPF コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットするか、または仮想リンクを削除するには、このコマンドの no 形式を使用します。
area area_id virtual-link router_id [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ ttl-security hops hop-count ]
no area area_id virtual-link router_id [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ ttl-security hops hop-count ]
構文の説明
(注
) 1 桁のパスワードおよび先頭の数字の後に空白が続くパスワードはサポートされなくなりました。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPFv3 では、すべてのエリアはバックボーン エリアに接続している必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。
hello パケットの間隔が短い場合、トポロジ変化の検出が速くなりますが、ルーティング トラフィックが多くなります。
再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。
(注) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を取得するには、show ipv6 ospf コマンドを使用します。
例
area virtual-link(ルータ OSPF)
OSPF 仮想リンクを定義するには、ルータ OSPF コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットするか、または仮想リンクを削除するには、このコマンドの no 形式を使用します。
area area_id virtual-link router_id [ authentication [ key-chain key-chain-name | message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds [[[[ authentication-key[0 | 8] key ] | [ message-digest-key key_id md5 [0 | 8] key ]]]]
no area area_id virtual-link router_id [ authentication [ key-chain key-chain-name | message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[[[ authentication-key [0 | 8] key ] | [ message-digest-key key_id md5 [0 | 8] key ]]]]
構文の説明
(注) 1 桁のパスワードおよび先頭の数字の後に空白が続くパスワードはサポートされなくなりました。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。
hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。
再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。
指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にのみ使用されます。
簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらか一方を指定するか、または両方とも指定しないでください。 authentication-key [0 | 8] key または message-digest-key key_id md5[0 | 8] key の後に指定したキーワードと引数はすべて無視されます。したがって、オプションの引数は、これらのキーワードと引数の組み合わせの前に指定します。
インターフェイスに認証タイプが指定されていない場合、インターフェイスでは、エリアに指定されている認証タイプが使用されます。エリアに認証タイプが指定されていない場合、エリアのデフォルトはヌル認証です。
(注) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク ネイバー ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。
例
次に、ローテーション キー認証で仮想リンクを確立する例を示します。
関連コマンド
|
|
|
|---|---|
関連コマンド
|
|
|
|---|---|
arp
スタティック ARP エントリを ARP テーブルに追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。
arp interface_name ip_address mac_address [ alias ]
no arp interface_name ip_address mac_address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、エントリは更新される前にタイムアウトします。
スタティック ARP エントリは、MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトせず、ネットワーク問題の解決に役立つ場合があります。トランスペアレント ファイアウォール モードでは、ARP インスペクションでスタティック ARP テーブルが使用されます( arp-inspection コマンドを参照)。
(注) トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリが ASA との間のトラフィック(管理トラフィックなど)に使用されます。
例
次に、外部インターフェイス上の 10.1.1.1 と MAC アドレス 0009.7cbe.2100 のスタティック ARP エントリを作成する例を示します。
関連コマンド
|
|
|
|---|---|
arp-inspection
トランスペアレント ファイアウォール モードでの ARP インスペクションをイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。
arp-inspection interface_name enable [ flood | no-flood ]
no arp-inspection interface_name enable
構文の説明
デフォルト
デフォルトでは、ARP インスペクションはすべてのインターフェイスでディセーブルになっています。すべての ARP パケットは ASA を通過できます。ARP インスペクションをイネーブルにすると、一致しない ARP パケットはデフォルトでフラッディングされます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用するときに、ルーテッド モードでこのコマンドを設定できるようになりました。 |
使用上のガイドライン
ARP インスペクションをイネーブルにする前に、 arp コマンドを使用してスタティック ARP エントリを設定します。
ARP インスペクションでは、すべての ARP パケットをスタティック ARP エントリと照合し( arp コマンドを参照)、一致しないパケットをブロックします。この機能により、ARP スプーフィングが防止されます。
ARP インスペクションをイネーブルにすると、ASA は、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。
- IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
- MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASA はパケットをドロップします。
- ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするように ASA を設定できます。
(注) 専用の管理インターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。
ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。
ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある場合、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。
(注) トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリが ASA との間のトラフィック(管理トラフィックなど)に使用されます。
例
次に、外部インターフェイスにおける ARP インスペクションをイネーブルにし、スタティック ARP エントリに一致しない ARP パケットをドロップするように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
arp permit-nonconnected
非直接接続サブネットも含まれるように ARP キャッシュをイネーブルにするには、グローバル コンフィギュレーション モードで arp permit-nonconnected コマンドを使用します。非直接接続サブネットをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA ARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。 no arp permit-nonconnected コマンドがあり(デフォルト動作)、受信した ARP パケットが接続されているインターフェイスとは別のサブネットに存在する場合は、ASA によって着信 ARP 要求も ARP 応答も拒否されます。
最初のケース(デフォルト動作)では、PAT が ASA で設定され、PAT の仮想 IP アドレス(マップ済み)が接続されているインターフェイスとは別のサブネットに存在する場合に障害が発生します。
また、セキュリティ リスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASA に対するサービス拒否(DoS)攻撃を助長する場合があります。任意のインターフェイスのユーザが大量の ARP 応答を送信して、偽エントリで ASA ARP テーブルがあふれる可能性があります。
例
デフォルトの動作は、ASA の debug arp コマンドの出力で次のように確認できます。
関連コマンド
|
|
|
|---|---|
arp rate-limit
ARP レート制限を設定して 1 秒あたりの ARP パケット数を制御するには、グローバル コンフィギュレーション モードで arp rate-limit コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、ARP レートを 1 秒あたり 10000 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
arp timeout
ASA が ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることが必要になる場合があります。
例
次に、ARP タイムアウトを 5,000 秒に変更する例を示します。
関連コマンド
|
|
|
|---|---|
asdm disconnect
アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。
ASDM セッションを終了しても、残りのアクティブな ASDM セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM セッションにはセッション ID 1 が割り当てられ、その後の新しいセッションにはセッション ID 3 から順に ID が割り当てられます。
例
次に、セッション ID 0 の ASDM セッションを終了する例を示します。 asdm disconnect コマンドの入力の前後に、 show asdm sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm disconnect log_session
アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。
asdm disconnect log_session session
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。
それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギング セッションがあります。ASDM は、ロギング セッションを使用して、ASA から Syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶ場合があります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。
(注) 各 ASDM セッションには少なくとも 1 つの ASDM ロギング セッションがあるため、show asdm sessions および show asdm log_sessions の出力は同じように見えることがあります。
ASDM ロギング セッションを終了しても、残りのアクティブな ASDM ロギング セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM ロギング セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM ロギング セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM ロギング セッションにはセッション ID 1 が割り当てられ、その後の新しいロギング セッションにはセッション ID 3 から順に ID が割り当てられます。
例
次に、セッション ID 0 の ASDM セッションを終了する例を示します。 asdm disconnect log_sessions コマンドの入力の前後に、 show asdm log_sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm history enable
ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM 履歴トラッキングをイネーブルにすることによって取得された情報は、ASDM 履歴バッファに保存されます。この情報は、 show asdm history コマンドを使用して表示できます。履歴情報は、ASDM によってデバイス モニタリングに使用されます。
例
次に、ASDM 履歴トラッキングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
asdm image
フラッシュ メモリ内の ASDM ソフトウェア イメージの場所を指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの場所を削除するには、このコマンドの no 形式を使用します。
構文の説明
フラッシュ メモリ内の ASDM イメージの場所を設定します。次の URL 構文を参照してください。 ASA 5500 シリーズでは、この URL は内部フラッシュ メモリを示します。 disk0 ではなく flash を使用することもできます。これらはエイリアスになっています。 |
デフォルト
このコマンドをスタートアップ コンフィギュレーションに含めない場合、ASA は起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。ASA はイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリに複数の ASDM ソフトウェア イメージを保存できます。アクティブな ASDM セッションがある状態で asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定した場合、アクティブな ASDM セッションは中断されず、そのセッションを開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、ASA から引き続き ASDM にアクセスできます。
このコマンドをスタートアップ コンフィギュレーションに含めない場合、ASA は起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。ASA はイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。 write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しない場合、リブートのたびに ASA は ASDM イメージを検索し、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用する場合は、起動時にこのコマンドが自動的に追加されるため、ASA 上のコンフィギュレーションは Auto Update Server 上のコンフィギュレーションと一致しなくなります。このような不一致が発生すると、ASA はコンフィギュレーションを Auto Update Server からダウンロードします。不要な Auto Update アクティビティを回避するには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存します。
例
次に、ASDM イメージを asdm.bin に設定する例を示します。
関連コマンド
|
|
|
|---|---|
asdm location
このコマンドを手動で設定しないでください。
asdm location コマンドは ASDM によって実行コンフィギュレーションに追加され、内部通信に使用されます。このコマンドは、情報提供のためだけにこのマニュアルに記載されています。
asdm location ip_addr netmask if_name
asdm location ipv6_addr / prefix if_name
構文の説明
最もセキュリティの高いインターフェイスの名前。最もセキュリティの高いインターフェイスが複数ある場合は、任意にインターフェイス名が選択されます。このインターフェイス名は使用されませんが、必須パラメータです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
as-path access-list
正規表現を使用して自律システム パス フィルタを設定するには、グローバル コンフィギュレーション モードで as-path access-list コマンドを使用します。自律システム パス フィルタを削除し、これを実行コンフィギュレーション ファイルから削除するには、このコマンドの no 形式を使用します。
as-path access-list acl-name {permit | deny} regexp
no as-path access-list acl-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
自律システム パス フィルタを設定するには、as-path access-list コマンドを使用します。着信と発信の両方の BGP パスに自律システム パス フィルタを適用できます。各フィルタは正規表現で定義されます。正規表現が、ルートの自律システム パスの ASCII 文字列表現と一致した場合、許可または拒否の条件が適用されます。自律システム パスにはローカル自律システム番号を含めないでください。
シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチングおよび出力表示形式のデフォルトとして asplain(たとえば、65538)を使用していますが、RFC 5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを asdot 形式に変更するには、bgp asnotation dot コマンドを使用します。デフォルトで asdot 形式がイネーブルにされている場合、正規表現の 4 バイト自律システム番号のマッチングには、すべて asdot 形式を使用する必要があり、使用しない場合正規表現によるマッチングは失敗します。
例
次の例では、自律システム パス アクセス リスト(番号 500)を定義し、自律システム 65535 から、またはこの自律システムを経由して、10.20.2.2 ネイバーにパスをアドバタイズしないように ASA を設定しています。
asp load-balance per-packet
マルチコア ASA の場合、ロード バランシングの動作をパケット単位に変更するには、グローバル コンフィギュレーション モードで asp load-balance per-packet コマンドを使用します。デフォルトのロード バランシング メカニズムに戻すには、このコマンドの no 形式を使用します。
asp load-balance per-packet [ auto ]
no asp load-balance per-packet
構文の説明
ネットワークの状況に応じて、各インターフェイスの受信リングでパケット単位のロードバランシングを自動的に有効または無効にします。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ロード バランサのジョブは、パケットを CPU コアに配布し、パケットの順序を維持することです。デフォルトでは、接続は一度に 1 つのコアでしか処理できません。この動作により、使用中のインターフェイス/RX リングの数がコアの数に比べて少ない場合、コアは十分に活用されません。たとえば、ASA で 2 つのギガビット イーサネット インターフェイスしか使用されていない場合は、2 つのコアだけが使用されます。(10 ギガビット イーサネット インターフェイスには 4 つの RX リングと、1 つの RX リングとしてギガビット イーサネット インターフェイスがあります)。パケット単位のロード バランシングを有効にして、より多くのコアを使用できるようにすることで、ロード バランサを最適化することができます。
デフォルトのロードバランシング動作では、多数のインターフェイスが使用されている場合にシステム全体のパフォーマンスが最適化され、パケット単位のロード バランサでは、アクティブなインターフェイスの数が少ない場合にシステム全体のパフォーマンスが最適化されます。
パケット単位のロード バランシングを有効にすると、1 つのコアがインターフェイスからのパケットを処理する場合に、別のコアが同じインターフェイスからの次のパケットを受信して処理できます。したがって、すべてのコアが同じインターフェイスからのパケットを同時に処理することが可能です。
パケット単位のロード バランシングにより、次の場合にパフォーマンスが向上します。
- システムがパケットをドロップする
- show cpu コマンドで、CPU 使用率が 100 % を大きく下回っていることが示される:CPU 使用率は、使用されているコアの数を示す効果的な指標です。たとえば、8 コア システムで、2 つのコアが使用されている場合、 show cpu は 25 % を示します。4 つのコアの場合は 50 %、6 つのコアの場合は 75 % を示します。
- 使用中のインターフェイスの数が少ない
(注) 通常、ASA に 64 未満の同時フローがある場合、パケット単位のロード バランシングを有効にすると、そのメリットよりもオーバーヘッドが大きくなります。
auto オプションを指定すると、ASA は非対称トラフィックが追加されたかどうかを検出できます。ロード バランシングが必要な場合、インターフェイス受信リングとコアとの 1 対 1 のロックは解放されます。パケット単位のロード バランシングは、すべてのインターフェイス受信リングではなく、高負荷のインターフェイス受信リングでのみ有効になります。この適応型ロード バランス メカニズムは、次の問題の回避に役立ちます。
例
次に、デフォルトのロード バランシング動作を変更する例を示します。
次に、パケットごとのロード バランシングのオンとオフの自動切り替えをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
現在のステータス、最高水準点と最低水準点、グローバルなしきい値、最後のリセット以降のパケットごとの ASP ロード バランシングのオンとオフの切り替え回数、タイム スタンプ付きのパケットごとの ASP ロード バランシングの履歴、およびオンとオフを切り替えた理由を表示します。 |
asp rule-engine transactional-commit
ルール エンジンのトランザクション コミット モデルをイネーブルまたはディセーブルにするには、 asp rule-engine transactional-commit コマンドを使用します。
asp rule-engine transactional-commit option
no asp rule-engine transactional-commit option
構文の説明
選択したポリシー用のルール エンジンのトランザクション コミット モデルをイネーブルにします。次のオプションがあります。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、ルール ベースのポリシー(アクセス ルールなど)を変更した場合、変更はただちに有効になります。ただし、この即時性にはパフォーマンスにわずかなコストがかかります。パフォーマンス コストは、1 秒あたりの接続数が多い環境で大量のルール リストがある場合に顕著です。たとえば、ASA が 1 秒あたり 18,000 個の接続を処理しながら、25,000 個のルールがあるポリシーを変更する場合などです。
パフォーマンスに影響するのは、ルール検索を高速化するためにルール エンジンがルールをコンパイルするためです。デフォルトでは、新しいルールを適用できるように、接続試行を評価するときに未コンパイルのルールも検索されます。新しいルールはコンパイルされていないため、検索に時間がかかります。
ルール変更を実装するときにルール エンジンがトランザクション モデルを使用するように、この動作を変更できます。これにより、新しいルールがコンパイルされ、使用できるようになるまで、引き続き古いルールが使用されます。トランザクション モデルを使用すると、ルールのコンパイル中、パフォーマンスは低下しないはずです。次の表に、その動作の違いを示します。
|
|
|
|
|
|---|---|---|---|
トランザクション モデルのメリットにはこのほか、インターフェイスで ACL を置き換える際、古い ACL の削除と新しいポリシーの適用との間にギャップが生じないことがあります。これにより、動作中に許容可能な接続がドロップされる確率が減少します。
ヒント ルール タイプのトランザクション モデルをイネーブルにした場合、コンパイルの先頭と末尾をマークする syslog メッセージが存在します。これらのメッセージには、780001 以降の番号が付けられます。
例
次に、アクセス グループのトランザクション コミット モデルをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
asr-group
非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Active フェールオーバーがイネーブルの場合、ロード バランシングにより、発信接続のリターン トラフィックがピア ユニット上のアクティブなコンテキストを介してルーティングされることがあります。このピア ユニットでは、発信接続のコンテキストはスタンバイ グループ内にあります。
asr-group コマンドを使用すると、着信インターフェイスのフローが見つからない場合に、着信パケットが同じ ASR グループのインターフェイスで再分類されます。再分類により別のインターフェイスのフローが見つかり、関連付けられているコンテキストがスタンバイ状態の場合、パケットは処理のためにアクティブなユニットに転送されます。
このコマンドを有効にするには、ステートフル フェールオーバーをイネーブルにする必要があります。
ASR 統計情報は、 show interface detail コマンドを使用して表示できます。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれます。
(注) 同じコンテキスト内の 2 個のインターフェイスを、同じ ASR グループ内で設定してはなりません。
例
次に、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
assertion-consumer-url(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
セキュリティ デバイスがアサーション コンシューマ サービスに接続するためにアクセスする URL を指定するには、webvpn コンフィギュレーション モードで、特定の SAML-type SSO サーバに対して assertion-consumer-url コマンドを使用します。この URL をアサーションから削除するには、このコマンドの no 形式を使用します。
no assertion-consumer-url [ url ]
構文の説明
SAML-type SSO サーバで使用するアサーション コンシューマ サービスの URL を指定します。URL は http: // または https: // で始まり、255 文字未満の英数字である必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオン(SSO)は、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ASA は現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。
このコマンドは、SAML-type の SSO サーバのみに適用されます。
URL が HTTPS で始まる場合は、アサーション コンシューマ サービス SSL 証明書のルート証明書をインストールする必要があります。
例
次に、SAML-type の SSO サーバのアサーション コンシューマ URL を指定する例を示します。
関連コマンド
|
|
|
|---|---|
attribute bind
属性ベースのネットワーク オブジェクトの IP-to-attribute バインディングを変更するには、EXEC モードで attribute bind コマンドを使用します。
attribute bind agent-name binding ip-address type attribute-type value attribute-value
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SAML-type の SSO サーバのアサーション コンシューマ URL を指定する例を示します。
関連コマンド
|
|
|
|---|---|
attribute source-group
VMware vCenter または単一の ESXi ホストと通信するように VM 属性エージェントを設定するには、EXEC モードで attribute source-group コマンドを使用します。エージェントを削除するには、このコマンドの no 形式を使用します。
attribute source-group agent-name type agent-type
no attribute source-group agent-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
attribute source-group host
VM 属性エージェントが vCenter または単一の ESXi ホストと通信できるように VMware vCenter ホスト クレデンシャルを設定するには、属性エージェント コンフィギュレーション モードで attribute source-group host コマンドを使用します。ホスト クレデンシャルを削除するには、このコマンドの no 形式を使用します。
host ip-address username ESXi-username password ESXi-password
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、属性エージェントにホスト クレデンシャルを設定する例を示します。
関連コマンド
|
|
|
|---|---|
attribute source-group keepalive
VMware vCenter 通信のキープアライブ設定を構成するには、属性エージェント コンフィギュレーション モードで attribute source-group keepalive コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
keepalive retry-interval interval retry-count count
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、SAML-type の SSO サーバのアサーション コンシューマ URL を指定する例を示します。
関連コマンド
|
|
|
|---|---|
属性
ASA が DAP 属性データベースに書き込む属性値ペアを指定するには、DAP テスト属性モードで attributes コマンドを入力します。
構文の説明
ウェルノウン属性名、または「label」タグを組み込む属性を指定します。label タグは、DAP レコード内のファイル、レジストリ、プロセス、アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールのエンドポイント属性に対して設定するエンドポイント ID に対応します。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
複数の属性値ペアを入力するには、このコマンドを複数回使用します。
通常、ASA は AAA サーバからユーザ認可属性を取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント属性を取得します。test コマンドの場合、ユーザ認可属性とエンドポイント属性をこの属性モードで指定します。ASA は、これらの属性を、DAP サブシステムが DAP レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに参照する属性データベースに書き込みます。
例
次の例では、認証されたユーザが SAP グループのメンバーで、エンドポイント システムにアンチウイルス ソフトウェアがインストールされている場合に、ASA が 2 つの DAP レコードを選択することを前提としています。アンチウイルス ソフトウェアのエンドポイント ルールのエンドポイント ID は nav です。
|
|
|
|---|---|
ciscoasa # test dynamic-access-policy attributes
ciscoasa(config-dap-test-attr)# attributes aaa.ldap.memberof SAP
ciscoasa(config-dap-test-attr)# attributes endpoint.av.nav.exists true
ciscoasa(config-dap-test-attr)# exit
ciscoasa # test dynamic-access-policy execute
ciscoasa #
関連コマンドl
|
|
|
|---|---|
auth-cookie-name
認証クッキーの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで auth-cookie-name コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA の WebVPN サーバは、シングル サインオン(SSO)サーバにシングル サインオン認証要求を送信することに HTTP POST 要求を使用します。認証が成功すると、認証 Web サーバは、認証クッキーをクライアント ブラウザに戻します。クライアント ブラウザは、その認証クッキーを提示して、SSO ドメイン内の他の Web サーバの認証を受けます。 auth-cookie-name コマンドは、ASA によって SSO に使用される認証クッキーの名前を設定します。
一般的な認証クッキーの形式は、Set-Cookie: cookie name = cookie value [; cookie attributes ] です。次の認証クッキーの例では、SMSESSION が auth-cookie-name コマンドで設定される名前です。
ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o
88uHa2t4l+SillqfJvcpuXfiIAO06D/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma
5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;
Path=/
例
次に、example.com という名前の Web サーバから受信した認証クッキーに認証クッキー名 SMSESSION を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ名パラメータを SSO 認証に使用される HTTP POST 要求の一部として送信する必要があることを指定します。 |
authenticated-session-username
二重認証がイネーブルになっている場合に、セッションに関連付ける認証ユーザ名を指定するには、トンネル グループ一般属性モードで authenticated-session-username コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
authenticated-session-username { primary | secondary }
no authenticated-session-username
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authenticated-session-username コマンドは、ASA がセッションに関連付けるユーザ名を抽出する認証サーバを選択します。
例
次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成し、接続にセカンダリ認証サーバからのユーザ名を使用することを指定する例を示します。
関連コマンド
|
|
|
|---|---|
authentication(bfd-template)
シングルホップおよびマルチホップ セッション用の BFD テンプレートで認証を設定するには、BFD コンフィギュレーション モードで authentication コマンドを使用します。シングルホップまたはマルチホップ セッション用の BFD テンプレートで認証をディセーブルにするには、このコマンドの no 形式を使用します。
authentication authentication-type [0|8] key-string key-id id
構文の説明
認証タイプを指定します。有効な値は、 md5 、 meticulous-md5 、 meticulous-sha-1 、および sha-1 です。 |
|
認証されるルーティング プロトコルを使用してパケットで送信および受信される必要のある認証文字列を指定します。有効な範囲は、1 ~ 17 文字の大文字と小文字の英数字です。ただし、最初の文字は数字にはできません。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、BFD シングルホップおよびマルチホップ テンプレートで認証を設定するために使用します。セキュリティを強化するために認証を設定することをお勧めします。
認証は、BFD の送信元と宛先のペアごとに設定する必要があり、認証パラメータは両方のデバイスで同じである必要があります。
例
次に、シングルホップ BFD テンプレートで認証を設定する例を示します。
次に、マルチホップ BFD テンプレートで認証を設定する例を示します。
関連コマンド
|
|
|
|---|---|
BGP が登録され、BFD から転送パス検出失敗メッセージを受信できるように、BGP の BFD サポートを設定します。 |
|
認証
WebVPN と電子メール プロキシの認証方式を設定するには、各モードで authentication コマンドを使用します。デフォルトの方式に戻すには、このコマンドの no 形式を使用します。ASA は、ユーザを認証してユーザ ID を確認します。
authentication {[ aaa ] [ certificate ] [multiple certificate] [saml] [ mailhost ] [ piggyback] }
no authentication [ aaa ] [ certificate ] [multiple certificate] [saml] [ mailhost ] [ piggyback]
構文の説明
SMTPS の場合のみ、リモート メール サーバで認証します。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。 |
|
HTTPS WebVPN セッションがすでに存在している必要があります。ピギーバック認証は、電子メール プロキシでのみ使用できます。 |
|
デフォルト
次の表に、WebVPN および電子メール プロキシのデフォルトの認証方式を示します。
|
|
|
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、WebVPN 用のトンネル グループ webvpn 属性コンフィギュレーション モードに置き換えられました。 |
|
使用上のガイドライン
少なくとも 1 つの認証方式が必要です。たとえば、WebVPN の場合、AAA 認証と証明書認証のいずれか一方または両方を指定できます。任意の順序でこれらのコマンドを入力できます。
WebVPN 証明書認証では、それぞれのインターフェイスに対して HTTPS ユーザ証明書を要求する必要があります。つまり、この選択が機能するには、証明書認証を指定する前に、 authentication-certificate コマンドでインターフェイスを指定しておく必要があります。
このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn 属性コンフィギュレーション モードの同等のコマンドに変換されます。
WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。この場合、ユーザは証明書とユーザ名/パスワードの両方を指定する必要があります。電子メール プロキシ認証の場合、複数の認証方式を要求できます。このコマンドを再び指定すると、現在のコンフィギュレーションが上書きされます。
例
次に、WebVPN ユーザに認証のための証明書を要求する例を示します。
関連コマンド
|
|
|
|---|---|
authentication eap-proxy
L2TP over IPsec 接続に対して EAP をイネーブルにし、ASA が PPP 認証プロセスを外部の RADIUS 認証サーバにプロキシできるようにするには、トンネル グループ ppp 属性コンフィギュレーション モードで authentication eap-proxy コマンドを使用します。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、設定 ppp コンフィギュレーション モードで、pppremotegrp という名前のトンネル グループの PPP 接続に対して EAP を許可する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。 |
認証キー
IS-IS での認証をイネーブルにするには、ルータ ISIS コンフィギュレーション モードで authentication key コマンドを使用します。このような認証をディセーブルにするには、このコマンドの no 形式を使用します。
authentication key [0 | 8] password [level-1 | level-2]
no authentication key [0 | 8] password [level-1 | level-2]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
key コマンドで設定されたパスワードが存在しない場合、キー認証は行われません。
キー認証は、クリア テキスト認証または MD5 認証に適用できます。モードは authentication mode コマンドで設定されます。
IS-IS に一度に適用できる認証キーは 1 つだけです。つまり、2 番めの authentication key コマンドを設定すると、最初のコマンドは上書きされます。
キーワード level-1 および level-2 のいずれも設定されていない場合、パスワードは両方のレベルに適用されます。
isis authentication key コマンドを使用することにより、個々の IS-IS インターフェイスに認証を指定できます。
(注) IS-IS では、authentication key-chain コマンドを使用してグローバルに設定されたキー チェーンの有効期限を選択します。ASA のキー チェーン インフラストラクチャが存在しないため、このコマンドとともにキーを提供します。
例
次に、site1 という名前のキー チェーンに属する任意のキーを受け入れ、送信するように IS-IS を設定する例を示します。
関連コマンド
authentication key eigrp
EIGRP パケットの認証をイネーブルにし、認証キーを指定するには、インターフェイス コンフィギュレーション モードで authentication key eigrp コマンドを使用します。EIGRP 認証をディセーブルにするには、このコマンドの no 形式を使用します。
authentication key eigrp as-number key key-id key-id
no authentication key eigrp as-number
構文の説明
認証する EIGRP プロセスの自律システム番号。これは、EIGRP ルーティング プロセスに設定されている値と同じにする必要があります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
EIGRP メッセージ認証をイネーブルにするには、 authentication mode eigrp および authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定された authentication コマンドを表示するには、 show running-config interface コマンドを使用します。
例
次に、インターフェイス GigabitEthernet0/3 に設定された EIGRP 認証の例を示します。
関連コマンド
|
|
|
|---|---|
authentication mode
IS-IS インスタンスに対する IS-IS パケットで使用される認証のタイプを指定するには、ルータ ISIS コンフィギュレーション モードで authentication mode コマンドを使用します。クリア テキスト認証に戻すには、このコマンドの no 形式を使用します。
authentication mode { md5 | text } [ level-1 | level-2 ]
構文の説明
デフォルト
クリア テキスト(プレーン テキスト)認証は area-password コマンドや domain-password コマンドなど、その他の方法でも設定できますが、このコマンドを使用すると、ルータ レベルでは IS-IS パケットに対する認証は提供されません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
使用上のガイドライン
キーワード level-1 および level-2 のいずれも設定されていない場合、モードは両方のレベルに適用されます。
isis authentication mode コマンドを使用することにより、IS-IS インスタンスごとにではなく、1 つの IS-IS インターフェイスに適用される認証のタイプとレベルを指定できます。
area-password または domain-password コマンドを使用してクリア テキスト認証が設定されている場合、これらのコマンドよりも authentication mode コマンドが優先されます。
authentication mode コマンドを設定した後で、 area-password または domain-password コマンドを設定しようとしてもできません。 area-password または domain-password コマンドを使用してクリア テキスト認証を設定しなければならない場合は、まず、 no authentication mode コマンドを使用する必要があります。
例
次に、レベル 1 パケットに対する IS-IS インスタンスの MD5 認証を設定する例を示します。
関連コマンド
authentication ms-chap-v1
L2TP over IPsec 接続に対して PPP の Microsoft CHAP Version 1 認証をイネーブルにするには、トンネル グループ ppp 属性コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。Microsoft CHAP Version 1 をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この属性は、L2TP または IPsec トンネル グループ タイプのみに適用できます。このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキスト パスワードではなく、暗号化されたパスワードのみをサーバが格納して比較するために、よりセキュアです。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
authentication ms-chap-v2
L2TP over IPsec 接続に対して PPP の Microsoft CHAP Version 2 認証をイネーブルにするには、トンネル グループ ppp 属性コンフィギュレーション モードで authentication ms-chap-v1 コマンドを使用します。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この属性は、L2TP または IPsec トンネル グループ タイプのみに適用できます。
このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキスト パスワードではなく、暗号化されたパスワードのみをサーバが格納して比較するために、よりセキュアです。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
authentication pap
L2TP over IPsec 接続に対して PPP の PAP 認証を許可するには、トンネル グループ ppp 属性コンフィギュレーション モードで authentication pap コマンドを使用します。コマンドをデフォルト設定に戻すには(CHAP および MS-CHAP を許可)、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、設定 ppp コンフィギュレーション モードで、pppremotegrp という名前のトンネル グループの PPP 接続に対して PAP を許可する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。 |
authentication send-only
IS-IS インスタンスについて、受信ではなく送信される IS-IS パケットに対してのみ認証が実行されるように指定するには、ルータ ISIS コンフィギュレーション モードで authentication send-only コマンドを使用します。送信および受信されるパケットに対して認証が実行されるように設定するには、このコマンドの no 形式を使用します。
authentication send-only [ level-1 | level-2 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
使用上のガイドライン
このコマンドは、認証モードおよび認証キー チェーンを設定する前に使用します。これにより、認証の実装がスムーズに進むようになります。送信されるパケットだけに認証が挿入され、受信されるパケットではチェックされない場合、各ルータでキーの設定に費やせる時間が長くなります。このコマンドを使用して、通信を必要とするルータすべてを設定した後で、ルータごとに、認証モードとキー チェーンをイネーブルにします。その後、 no authentication send-only コマンドを指定して、send-only 機能をディセーブルにします。
キーワード level-1 および level-2 のいずれも設定されていない場合、send-only 機能は両方のレベルに適用されます。
このコマンドは、クリア テキスト認証または MD5 認証に適用できます。モードは、 authentication mode コマンドにより決定されます。
例
次に、受信ではなく送信されるパケットでクリア テキスト認証が使用されるように IS-IS レベル 1 パケットを設定する例を示します。
関連コマンド
authentication-attr-from-server
二重認証がイネーブルになっている場合に、接続に適用する認証サーバの認可属性を指定するには、トンネル グループ一般属性モードで authentication-attr-from-server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
authentication-attr-from-server { primary | secondary }
no authentication-attr-from-server
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authentication-attr-from-server コマンドは、ASA が接続に適用する認可属性を抽出する認証サーバを選択します。
例
次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成し、接続に適用する認可属性をセカンダリ認証サーバから入手する必要があることを指定する例を示します。
関連コマンド
|
|
|
|---|---|
authentication-certificate
接続を確立している WebVPN クライアントから証明書を要求するには、webvpn コンフィギュレーション モードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。
authentication-certificate interface-name
no authentication-certificate [ interface-name ]
構文の説明
デフォルト
authentication-certificate コマンドを省略すると、クライアント証明書認証はディセーブルになります。インターフェイス名を authentication-certificate コマンドで指定しない場合、デフォルトのインターフェイス名は inside です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを有効にするには、WebVPN が対応するインターフェイスですでにイネーブルになっている必要があります。インターフェイスを設定して名前を付けるには、 interface 、 IP address 、および nameif コマンドを使用します。
このコマンドは、WebVPN クライアント接続にのみ適用されます。ただし、管理接続のクライアント証明書認証を http authentication-certificate コマンドを使用して指定することは、WebVPN をサポートしないものも含めてすべてのプラットフォームで可能です。
ASA は、PKI トラストポイントを使用して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。
|
|
|
|---|---|
クライアントは AAA 認証ページにリダイレクトされます。設定されている場合、ローカル CA の登録ページのリンクもクライアントに表示します。 |
例
次に、外部インターフェイスの WebVPN ユーザ接続の証明書認証を設定する例を示します。
関連コマンド
|
|
|
|---|---|
authentication-exclude
エンド ユーザがクライアントレス SSL VPN にログインせずに設定済みリンクを参照できるようにするには、webvpn コンフィギュレーション モードで authentication-exclude コマンドを使用します。複数のサイトへのアクセスを許可するには、このコマンドを複数回使用します。
authentication-exclude url-fnmatch
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能は、一部の内部リソースを SSL VPN 経由で一般利用できるようにする場合に便利です。
リンクに関する情報を、SSL VPN マングリングした形式でエンド ユーザに配布する必要があります。たとえば、SSL VPN を使用してこれらのリソースを参照し、配布するリンクに関する情報に結果の URL をコピーします。
例
次に、2 つのサイトに対して認証要件を免除する例を示します。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# authentication-exclude http://www.example.com/public/*
ciscoasa(config-webvpn)# authentication-exclude *example.html
ciscoasa(config-webvpn)# ciscoasa #
authentication-port
特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ ホスト コンフィギュレーション モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートが指定されていない場合、RADIUS 認証のデフォルト ポート番号 1645 が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとにサーバ ポートを指定できるようになりました。 |
使用上のガイドライン
このコマンドは、認証機能の割り当て先となるリモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。RADIUS 認証サーバで 1645 以外のポートが使用されている場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、適切なポートを ASA に設定する必要があります。
例
次に、ホスト「1.2.3.4」に「srvgrp1」という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、さらに認証ポートを 1650 に設定する例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)# authentication-port 1650
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)#
関連コマンド
authentication-server-group(imap4s、pop3s、smtps)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
電子メール プロキシに使用する認証サーバのセットを指定するには、各モードで authentication-server-group コマンドを使用します。認証サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
authentication-server-group group_tag
no authentication-server-group
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、「IMAP4SSVRS」という名前の認証サーバのセットを使用するように IMAP4S 電子メール プロキシを設定する例を示します。
ciscoasa(config)# imap4s
関連コマンド
|
|
|
|---|---|
authentication-server-group(トンネル グループ一般属性)
トンネル グループでユーザ認証に使用する AAA サーバ グループを指定するには、トンネル グループ一般属性コンフィギュレーション モードで authentication-server-group コマンドを使用します。この属性をデフォルトに戻すには、このコマンドの no 形式を使用します。
authentication-server-group [( interface_name)] server_group [ LOCAL ]
no authentication-server-group [( interface_name)] server_group
構文の説明
(オプション)通信障害によりサーバ グループにあるすべてのサーバが非アクティブになった場合に、ローカル ユーザ データベースを使用した認証を要求します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般属性コンフィギュレーション モードに移動されました。 |
|
使用上のガイドライン
この属性は、すべてのトンネル グループ タイプに適用できます。
認証サーバを設定するには aaa-server コマンドを使用し、設定済みの AAA サーバ グループにサーバを追加するには aaa-server-host コマンドを使用します。
例
次に、設定一般コンフィギュレーション モードで、remotegrp という名前の IPsec リモート アクセス トンネル グループに aaa-server456 という名前の認証サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
AAA サーバ グループを作成し、グループ固有の AAA サーバ パラメータとすべてのグループ ホストに共通の AAA サーバ パラメータを設定します。 |
|
authorization-required
接続前にユーザが正常に認可されることを求めるには、各モードで authorization-required コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般属性コンフィギュレーション モードに移動されました。 |
|
webvpn コンフィギュレーション モードが imap4s、pop3s、および smtps コンフィギュレーション モードに置き換えられました。 |
|
例
次に、remotegrp という名前のリモート アクセス トンネル グループを介して接続するユーザに、完全な DN に基づく認可を要求する例を示します。最初のコマンドでは、remotegrp という名前のリモート グループのトンネル グループ タイプを ipsec_ra(IPsec リモート アクセス)と設定しています。2 番目のコマンドで、指定したトンネル グループのトンネル グループ一般属性コンフィギュレーション モードを開始し、最後のコマンドで、指定したトンネル グループに認可が必要であることを指定しています。
関連コマンド
|
|
|
|---|---|
authorization-server-group(imap4s、pop3s、smtps)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
すべてのリモート アクセス VPN のトンネル グループに使用する認可サーバのセットを指定するには、各モードで authorization-server-group コマンドを使用します。認可サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
authorization-server-group group_tag
構文の説明
設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般属性コンフィギュレーション モードに移動されました。 |
|
使用上のガイドライン
ASA では、認可を使用して、ユーザに許可されているネットワーク リソースへのアクセス レベルを確認します。 aaa-server コマンドで使用する認可用のサーバ設定を使用します。
このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般属性モードの同等のコマンドに変換されます。
VPN 認可が LOCAL と定義されている場合、デフォルト グループ ポリシー DfltGrpPolicy に設定されている属性が適用されます。
例
次に、「POP3Spermit」という名前の許可サーバのセットを使用するように POP3S 電子メール プロキシを設定する例を示します。
ciscoasa(config)# pop3s
関連コマンド
|
|
|
|---|---|
authorization-server-group(トンネル グループ一般属性)
すべてのリモート アクセス VPN のトンネル グループに使用する認可サーバのセットを指定するには、各モードで authorization-server-group コマンドを使用します。認可サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
authorization-server-group [ ( if_name ) ] group_tag
構文の説明
設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般属性コンフィギュレーション モードに移動されました。 |
使用上のガイドライン
ASA では、認可を使用して、ユーザに許可されているネットワーク リソースへのアクセス レベルを確認します。aaa-server コマンドで使用する認可用のサーバ設定を使用します。
このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般属性モードの同等のコマンドに変換されます。
VPN 認可が LOCAL と定義されている場合、デフォルト グループ ポリシー DfltGrpPolicy に設定されている属性が適用されます。
例
次に、トンネル一般コンフィギュレーション モードで、「remotegrp」という名前の IPsec リモート アクセス トンネル グループに「aaa-server78」という名前の認可サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
authorize-only
RADIUS AAA サーバ グループに対して authorize-only モードをイネーブルにするには、AAA サーバ グループ コンフィギュレーション モードで authorize-only コマンドを使用します。authorize-only モードをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ISE 認可変更(CoA)のために RADIUS サーバ グループを authorize-only モードで設定するために使用します。authorize-only モードを使用すると、RADIUS ホスト用に設定された RADIUS 共通パスワードはすべて無視されます。
ISE Change of Authorization(CoA)機能は、認証、認可、およびアカウンティング(AAA)セッションの属性を、セッション確立後に変更するためのメカニズムを提供します。AAA のユーザまたはユーザ グループのポリシーを変更すると、ISE から ASA へ CoA パケットを直接送信して認証を再初期化し、新しいポリシーを適用できます。インライン ポスチャ実施ポイント(IPEP)で、ASA と確立された各 VPN セッションのアクセス コントロール リスト(ACL)を適用する必要がなくなりました。
エンド ユーザが VPN 接続を要求すると、ASA はユーザに対して ISE 認証を実行し、ネットワークへの制限付きアクセスを提供する ACL を受領します。アカウンティング開始メッセージが ISE に送信され、セッションが登録されます。ポスチャ アセスメントが NAC エージェントと ISE 間で直接行われます。このプロセスは、ASA に透過的です。ISE が CoA の「ポリシー プッシュ」を介して ASA にポリシーの更新を送信します。これにより、ネットワーク アクセス権限を高める新しいユーザ ACL が識別されます。後続の CoA 更新を介し、接続のライフタイム中に追加のポリシー評価が ASA に透過的に行われる場合があります。
例
次に、ISE でローカル証明書の検証と認可用のトンネル グループを設定する例を示します。サーバ グループは認証用に使用されないため、 authorize-only コマンドをサーバ グループ コンフィギュレーションに組み込みます。
関連コマンド
|
|
|
|---|---|
auth-prompt
ASA を介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。
auth-prompt prompt [ prompt | accept | reject ] string
no auth-prompt prompt [ prompt | accept | reject ]
構文の説明
最大 235 文字の英数字または 31 単語のストリング。最初に達した、いずれかの最大数により制限されます。特殊文字、スペース、および句読点を使用できます。疑問符を入力するか、または Enter キーを押すと、ストリングが終了します(疑問符はストリングに含まれます)。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auth-prompt コマンドを使用すると、TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要な場合に、ASA 経由の HTTP、FTP、および Telnet アクセス用の AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。
Telnet からのユーザ認証が行われる場合、accept オプションと reject オプションを使用して、認証試行が AAA サーバによって受け入れられたか拒否されたかを示す各ステータス プロンプトを表示できます。
AAA サーバがユーザを認証すると、ASA は auth-prompt accept テキスト(指定されている場合)をユーザに表示します。ユーザが認証されない場合は、reject テキスト(指定されている場合)を表示します。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストのみが表示されます。accept および reject テキストは表示されません。
(注) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字表示されます。
例
次に、認証プロンプトを「Please enter your username and password」という文字列に設定する例を示します。
このストリングがコンフィギュレーションに追加されると、ユーザには次のように表示されます。
Telnet ユーザに対しては、ASA が認証試行を受け入れたときに表示されるメッセージと拒否したときに表示されるメッセージを別々に指定できます。次に例を示します。
次に、認証に成功した場合の認証プロンプトを「You're OK.」という文字列に設定する例を示します。
関連コマンド
|
|
|
auto-signon
クライアントレス SSL VPN 接続用のユーザ ログイン クレデンシャルを内部サーバに自動的に渡すように ASA を設定するには、webvpn コンフィギュレーション モード、webvpn グループ コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードのいずれかのモードで auto-signon コマンドを使用します。特定のサーバへの自動サインオンをディセーブルにするには、元の ip 、 uri 、および auth-type 引数を指定して、このコマンドの no 形式を使用します。すべてのサーバへの自動サインオンをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。
auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }
no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }]
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
NTLMv2 のサポートが追加されました。 ntlm キーワードには、NTLMv1 と NTLMv2 の両方が含まれます。 |
使用上のガイドライン
auto-signon コマンドは、クライアントレス SSL VPN ユーザのためのシングル サインオン方式です。この方式では、ログイン クレデンシャル(ユーザ名とパスワード)を NTLM 認証と HTTP 基本認証のいずれか一方または両方を使用する認証用の内部サーバに渡します。複数の auto-signon コマンドを入力でき、それらのコマンドは入力順に処理されます(先に入力したコマンドが優先されます)。
auto-signon 機能は、webvpn コンフィギュレーション グループ ポリシー モード、webvpn コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。一般的な優先動作が適用されます。つまり、グループよりもユーザ名が優先され、グローバルよりもグループが優先されます。モードは、認証の目的範囲に基づいて選択します。
|
|
|
|---|---|
例
次に、NTLM 認証を使用して、すべてのクライアントレス ユーザに自動サインオンを設定する例を示します。認証先のサーバの IP アドレス範囲は、10.1.1.0 ~ 10.1.1.255 です。
次に、HTTP 基本認証を使用して、すべてのクライアントレス ユーザに自動サインオンを設定する例を示します。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。
次に、HTTP 基本認証を使用して、Anyuser という名前のユーザに自動サインオンを設定する例を示します。認証先のサーバの IP アドレス範囲は、10.1.1.0 ~ 10.1.1.255 です。
関連コマンド
|
|
|
|---|---|
auto-summary
ネットワークレベル ルートへのサブネット ルートの自動集約をイネーブルにするには、ルータ コンフィギュレーション モードで auto-summary コマンドを使用します。ルート集約をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ルート集約により、ルーティング テーブルにおけるルーティング情報の量が少なくなります。
RIP バージョン 1 では、常に自動集約が使用されます。RIP バージョン 1 に対して自動集約をディセーブルにすることはできません。
RIP バージョン 2 を使用している場合は、 no auto-summary コマンドを指定して、自動集約をオフにすることができます。切断されているサブネット間のルーティングを実行する必要がある場合は、自動サマライズをディセーブルにします。自動サマライズをディセーブルにすると、サブネットがアドバタイズされます。
例
次に、自動 EIGRP ルート集約をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
実行コンフィギュレーションからすべての router コマンドとルータ コンフィギュレーション モード コマンドをクリアします。 |
|
auto-update device-id
Auto Update Server で使用する ASA のデバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。
auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、デバイス ID をシリアル番号に設定する例を示します。
関連コマンド
タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。 |
|
auto-update poll-at
ASA が Auto Update Server をポーリングする特定の日時をスケジューリングするには、グローバル コンフィギュレーション モードで auto-update poll-at コマンドを使用します。ASA が Auto Update Server をポーリングするようにスケジューリングした日時のうち、指定した日時をすべて削除するには、このコマンドの no 形式を使用します。
auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]
no auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auto-update poll-at コマンドでは、アップデートをポーリングする時刻を指定します。 randomize オプションをイネーブルにすると、最初の time オプションの時刻から指定した期間(分単位)内に、ポーリングが不定期に実行されます。 auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。
例
次の例では、ASA は、毎週金曜日と土曜日の午後 10 時から午後 11 時までの間、不定期に Auto Update Server をポーリングします。ASA がサーバに接続できない場合は、10 分おきにさらに 2 回、接続を試行します。
関連コマンド
タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。 |
|
auto-update poll-period
ASA が Auto Update Server からのアップデートを確認する頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。パラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。
auto-update poll-period poll_period [ retry_count [ retry_period ]]
no auto-update poll-period poll_period [ retry_count [ retry_period ]]
構文の説明
Auto Update Server をポーリングする頻度を分単位(1 ~ 35791)で指定します。デフォルトは 720 分(12 時間)です。 |
|
Auto Update Server への接続の初回試行が失敗した場合に、再接続を何回試行するかを指定します。デフォルトは 0 です。 |
|
デフォルト
デフォルトのポーリング期間は、720 分(12 時間)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。
例
次に、ポーリング期間を 360 分に、再試行回数を 1 回に、再試行間隔を 3 分に設定する例を示します。
関連コマンド
タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。 |
|
auto-update server
Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。
auto-update server url [ source interface ] { verify-certificate | no-verification }
no auto-update server url [ source interface ] { verify-certificate | no-verification }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。 no-verification キーワードが追加されました。 |
使用上のガイドライン
ASA は、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティング システム、および ASDM の更新がないか調べます。
自動アップデート用に複数のサーバを設定できます。アップデートを確認するときに、最初のサーバに接続しますが、接続に失敗した場合は、次のサーバに接続します。このプロセスは、すべてのサーバを試行するまで続行されます。どのサーバにも接続できなかった場合は、auto-update poll-period が接続を再試行するように設定されていれば、最初のサーバから順に接続が再試行されます。
自動アップデート機能を正しく動作させるには、 boot system configuration コマンドを使用して、有効なブート イメージを指定する必要があります。また、ASDM ソフトウェア イメージを更新するには、auto-update とともに asdm image コマンドを使用する必要があります。
source interface 引数で指定されたインターフェイスが management-access コマンドで指定されたインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネルを介して送信されます。
9.2(1) 以降:Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定の場合、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。
例
次に、Auto Update Server の URL を設定し、インターフェイスを outside として指定する例を示します。
関連コマンド
タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。 |
|
auto-update timeout
Auto Update Server へのアクセスのタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。
auto-update timeout [ period ]
no auto-update timeout [ period ]
構文の説明
タイムアウト期間を分単位(1 ~ 35791)で指定します。デフォルトは 0 で、タイムアウトがないことを意味します。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
タイムアウト状態は、syslog メッセージ 201008 でレポートされます。
タイムアウト期間内に Auto Update Server へのアクセスが行われなかった場合、ASA はそれを通過するすべてのトラフィックを停止します。タイムアウトを設定すると、ASA に最新のイメージとコンフィギュレーションが保持されます。
フィードバック