Cisco ASA シリーズ コマンドリファレンス、A ～ H コマンド

 

構文の説明

 

デフォルト

location を指定しない場合は、次のデフォルト名が使用されます。

• シングル モード：disk0: hostname.backup. timestamp.tar.gz
• マルチ モード：disk0: hostname.context- ctx-name.backup. timestamp.tar.gz

 

コマンド履歴

 

使用上のガイドライン

次のガイドラインを参照してください。

• バックアップを開始する前に、バックアップ場所に 300 MB 以上のディスク領域が使用可能である必要があります。
• バックアップ中またはバックアップ後にコンフィギュレーションを変更した場合、その変更内容はバックアップに含められません。バックアップの実行後にコンフィギュレーションを変更してから復元を実行した場合、このコンフィギュレーションの変更は上書きされます。その結果、ASA が異なる動作をする可能性があります。
• バックアップは一度に 1 つだけ開始できます。
• コンフィギュレーションは、元のバックアップを実行したときと同じ ASA バージョンにのみ復元できます。復元ツールを使用して、ASA の異なるバージョン間でコンフィギュレーションを移行することはできません。コンフィギュレーションの移行が必要な場合、新しい ASA OS のロード時に、ASA によって常駐スタートアップ コンフィギュレーションが自動的にアップグレードされます。
• クラスタリングを使用する場合、バックアップできるのは、スタートアップ コンフィギュレーション、実行コンフィギュレーション、およびアイデンティティ証明書のみです。ユニットごとに別々にバックアップを作成および復元する必要があります。
• フェールオーバーを使用する場合、バックアップの作成および復元は、アクティブ ユニットとスタンバイ ユニットに対して別々に行う必要があります。
• ASA にマスター パスフレーズを設定している場合は、この手順で作成したバックアップ コンフィギュレーションの復元時にそのマスター パスフレーズが必要となります。ASA のマスター パスフレーズが不明な場合は、CLI 設定ガイドを参照して、バックアップを続行する前に、マスター パスフレーズをリセットする方法を確認してください。
• PKCS12 データをインポート（ crypto ca trustpoint コマンドを使用）する際にトラストポイントが RSA キーを使用している場合、インポートされたキー ペアにはトラストポイントと同じ名前が割り当てられます。この制約のため、ASDM コンフィギュレーションを復元した後でトラストポイントおよびそのキー ペアに別の名前を指定した場合、スタートアップ コンフィギュレーションは元のコンフィギュレーションと同じになるのに、実行コンフィギュレーションには異なるキー ペア名が含まれることになります。つまり、キー ペアとトラストポイントに別の名前を使用した場合は、元のコンフィギュレーションを復元できないということです。この問題を回避するため、トラストポイントとそのキー ペアには必ず同じ名前を使用してください。
• インターフェイスを指定しなかった場合、ASA は管理専用ルーティング テーブルを確認し、一致するものが見つからなければ、データのルーティング テーブルを確認します。管理専用インターフェイスを経由するデフォルト ルートがある場合は、すべての バックアップ トラフィックがそのルートに一致するため、データ ルーティング テーブルが確認されることはありません。このシナリオでは、データ インターフェイスを経由してバックアップする必要がある場合は常にインターフェイスを指定します。
• CLI を使用してバックアップしてから ASDM を使用して復元したり、その逆を行うことはできません。
• backup location コマンドを発行する場合、ディレクトリパスに二重スラッシュ「//」を使用してください。次に例を示します。

• 各バックアップ ファイルに含まれる内容は次のとおりです。

– 実行コンフィギュレーション

– スタートアップ コンフィギュレーション

– すべてのセキュリティ イメージ

Cisco Secure Desktop およびホスト スキャンのイメージ

Cisco Secure Desktop およびホスト スキャンの設定

AnyConnect（SVC）クライアントのイメージおよびプロファイル

AnyConnect（SVC）のカスタマイズおよびトランスフォーム

– アイデンティティ証明書（アイデンティティ証明書に関連付けられた RSA キー ペアは含まれるが、スタンドアロン キーは除外される）

– VPN 事前共有キー

– SSL VPN コンフィギュレーション

– アプリケーション プロファイルのカスタム フレームワーク（APCF）

– ブックマーク

– カスタマイゼーション

– ダイナミック アクセス ポリシー（DAP）

– プラグイン

– 接続プロファイル用の事前入力スクリプト

– プロキシ自動設定

– 変換テーブル

– Web コンテンツ

– バージョン情報

例

次に、バックアップを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、 backup interface コマンドはディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを入力できるのは、VLAN インターフェイスのインターフェイス コンフィギュレーション モードだけです。このコマンドは、プライマリ インターフェイスを経由するデフォルト ルートがダウンしない限り、指定したバックアップ インターフェイスを通過しようとするトラフィックをすべてブロックします。

backup interface コマンドで Easy VPN を設定した場合は、バックアップ インターフェイスがプライマリになると、ASA は VPN ルールを新しいプライマリ インターフェイスに移動します。バックアップ インターフェイスの状態を表示する方法については、 show interface コマンドを参照してください。

必ずプライマリ インターフェイスとバックアップ インターフェイスの両方にデフォルト ルートを設定して、プライマリ インターフェイスに障害が発生した場合にバックアップ インターフェイスを使用できるようにしてください。たとえば、2 つのデフォルト ルートを設定して、1 つはアドミニストレーティブ ディスタンスが低いプライマリ インターフェイス用とし、もう 1 つはアドミニストレーティブ ディスタンスが高いバックアップ インターフェイス用とすることができます。DHCP サーバから取得したデフォルト ルートのアドミニストレーティブ ディスタンスを上書きする方法については、 dhcp client route distance コマンドを参照してください。デュアル ISP サポートの設定の詳細については、 sla monitor コマンドおよび track rtr コマンドを参照してください。

management-only コマンドをすでに設定しているインターフェイスをバックアップ インターフェイスに設定することはできません。

例

次に、4 つの VLAN インターフェイスを設定する例を示します。backup-isp インターフェイスは、プライマリ インターフェイスがダウンしている場合に限り、通過トラフィックを許可します。 route コマンドでは、プライマリ インターフェイスとバックアップ インターフェイスのデフォルト ルートを作成し、バックアップ ルートには低いアドミニストレーティブ ディスタンスを設定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのバックアップと復元のモードは手動です。

 

コマンド履歴

 

使用上のガイドライン

バックアップと復元のモードは独立しており、個別に設定できます。

自動バックアップと復元の操作にバックアップと復元の設定パラメータを指定するには、 backup-package location コマンドを使用します。

例

次に、 backup-package コマンドを使用して自動バックアップを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの場所は disk3: で、SD カードが含まれています。

 

コマンド履歴

 

使用上のガイドライン

バックアップと復元の操作は独立しており、個別に設定できます。

一般に、 backup-package 情報の設定は、追加のパラメーターを指定しなくても後で手動でデバイス構成をバックアップおよび復元できるようにするための 1 回限りの操作です。

例

次に、 backup-package location コマンドを使用して、暗号化パスフレーズとして「cisco」を使用してバックアップ パラメータを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

クライアント上またはプライマリ ASA 上にバックアップ サーバを設定しない限り、バックアップ サーバは存在しません。

 

コマンド履歴

 

使用上のガイドライン

実行コンフィギュレーションから backup-servers 属性を削除するには、このコマンドの no 形式を引数なしで使用します。これにより、バックアップ サーバの値を別のグループ ポリシーから継承できます。

IPsec バックアップ サーバにより、VPN クライアントは、プライマリ ASA が利用できない場合でもセントラル サイトに接続できます。バックアップ サーバを設定すると、IPsec トンネルが確立されるときに ASA がクライアントにサーバ リストをプッシュします。

バックアップ サーバは、クライアント上またはプライマリ ASA 上に設定します。ASA 上にバックアップ サーバを設定すると、適応型セキュリティ アプライアンスは、バックアップ サーバ ポリシーをグループ内のクライアントにプッシュして、クライアント上にバックアップ サーバ リストが設定されている場合、そのリストを置き換えます。

（注） ホスト名を使用する場合は、バックアップ DNS サーバおよびバックアップ WINS サーバを、プライマリ DNS サーバおよびプライマリ WINS サーバとは別のネットワーク上に配置することを推奨します。このようにしないと、ハードウェア クライアントの背後のクライアントが DHCP を介してハードウェア クライアントから DNS 情報および WINS 情報を取得している場合、プライマリ サーバとの接続が失われ、バックアップ サーバに異なる DNS 情報と WINS 情報があると、DHCP リースが期限切れになるまでクライアントを更新できなくなります。また、ホスト名を使用している場合に DNS サーバが使用不可になると、大幅な遅延が発生するおそれがあります。

例

次に、「FirstGroup」という名前のグループ ポリシーに、IP アドレスが 10.10.10.1 と 192.168.10.14 であるバックアップ サーバを設定する例を示します。

 

構文の説明

 

デフォルト

デフォルトでは、バナーは表示されません。

 

コマンド履歴

 

使用上のガイドライン

banner コマンドは、指定したキーワードに対応して表示されるようにバナーを設定します。 text ストリングは、最初の空白（スペース）の後に続く、行末（復帰または改行（LF））までのすべての文字で構成されます。テキスト内のスペースは維持されます。ただし、CLI ではタブを入力できません。

最初に既存のバナーをクリアしない限り、後続の text エントリは既存のバナーの末尾に追加されていきます。

（注） $(domain) トークンと $(hostname) トークンは、ASA のドメイン名とホスト名にそれぞれ置き換えられます。コンテキスト コンフィギュレーションで $(system) トークンを入力すると、このコンテキストでは、システム コンフィギュレーションで設定されているバナーが使用されます。

バナーを複数行にするには、追加する行ごとに banner コマンドを新たに入力します。これにより、既存のバナーの末尾に各行が追加されます。

（注） バナーの認可プロンプトの最大長は、235 文字または 31 単語（最初に制限に達した方）です。

Telnet または SSH を介して ASA にアクセスする場合は、バナー メッセージの処理に必要なシステム メモリが十分ないか、または TCP 書き込みエラーが発生すると、セッションが閉じます。 exec および motd バナーだけが、SSH を介した ASA へのアクセスをサポートしています。ログイン バナーは、初期接続の一部としてユーザ名を渡さない SSHv1 クライアントまたは SSH クライアントをサポートしていません。

バナーを置き換えるには、no banner コマンドを使用してから、新しい行を追加します。

指定したバナー キーワードのすべての行を削除するには、no banner { exec | login | motd } コマンドを使用します。

no banner コマンドでは、テキスト ストリングを選択して削除することはできません。そのため、no banner コマンドの末尾に入力した テキスト はすべて無視されます。

例

次に、 asdm 、 exec 、 login 、および motd の各バナーを設定する例を示します。

次に、 motd バナーに 2 行目を追加する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのバナーはありません。

 

コマンド履歴

 

使用上のガイドライン

バナーは ASA 上にローカルで設定されるため、ユーザはログイン後バナーに対して [Accept] または [Disconnect] をクリックする必要があります。

（注） IKEv1 や AnyConnect バージョン 3 などの古いアーキテクチャでの動作はエラーを発生させずにサポートされています。

バナーを継承しないようにするには、 banner none コマンドを使用します。

IPsec VPN クライアントは、バナー用の完全な HTML をサポートしています。ただし、クライアントレス ポータルおよび AnyConnect クライアントは部分的な HTML をサポートしています。バナーがリモート ユーザに正しく表示されるようにするには、次のガイドラインに従います。

• IPsec クライアント ユーザの場合は、/n タグを使用します。
• AnyConnect クライアント ユーザの場合は、<BR> タグを使用します。
• クライアントレス ユーザの場合は、<BR> タグを使用します。

例

次に、「FirstGroup」という名前のグループ ポリシーにバナーを作成する例を示します。

 

構文の説明

 

デフォルト

なし。

 

コマンド履歴

 

使用上のガイドライン

• base-url が設定されている場合、これは AssertionConsumerService と SingleLogoutService のベース URL であり、 show saml metadata で表示されます。
• base-url が設定されていない場合、ベース URL は ASA の hostname と domain-name から作成されます。たとえば、hostname 名が「ssl-vpn」、domain-name 名が「cisco.com」である場合、 show saml metadata で表示されるベース URL は https://ssl-vpn.cisco.com です。
• base-url、または hostname と domain-name のいずれも設定されていない場合、 show saml metadata はエラーを表示します。

例

次に、base-url を設定する例を示します。

 

関連コマンド

 

デフォルト

デフォルト設定はありません。

 

コマンド履歴

 

使用上のガイドライン

カスタマーエッジ（CE）デバイスは、基本マッピングルールを使用して、専用 IPv4 アドレッシングまたは共有アドレスとポート セットの割り当てを決定します。CE デバイスは最初に、システムの IPv4 アドレスをプールのプレフィックスおよびポート範囲内の IPv4 アドレスおよびポート（NAT44 を使用）に変換し、次にルールの IPv6 プレフィックスによって定義されたプール内の IPv6 アドレスに、新しい IPv4 アドレスを変換します。その後、パケットはサービスプロバイダーの IPv6 専用ネットワークを介してボーダーリレー（BR）デバイスに送信されるようになります。

basic-mapping-rule コマンドを入力すると、MAP ドメインの基本マッピング ルール コンフィギュレーション モードが開始されます。ここでは、ルールの IPv4、IPv6、およびポートのプロパティを設定できます。

例

次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、IP オプション インスペクションは、セキュリティ IP オプションを含むパケットをドロップします。

IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

例

次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

BFD エコー モードは、BFD IPv4 セッションではデフォルトディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

エコー モードはデフォルトでイネーブルになっていますが、BFD IPv6 セッションではサポートされていません。キーワードを指定せずに no bfd echo コマンドを入力すると、エコー パケットの送信がオフになり、ASA が BFD ネイバー ルータから受信したエコー パケットを転送しないことを示します。

エコー モードをイネーブルにすると、最小エコー送信間隔と必要最短送信間隔の値が bfd interval milliseconds min_rx milliseconds パラメータから取得されます。

CPU 使用率の上昇を避けるために、BFD エコー モードを使用する前に、 no ip redirects コマンドを入力して、インターネット制御メッセージ プロトコル（ICMP）リダイレクト メッセージの送信をディセーブルにする必要があります。

例

次に、BFD マップに BFD テンプレートを関連付ける例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

例

次に、BFD マップに BFD テンプレートを関連付ける例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

例

次に、BFD マップに BFD テンプレートを関連付ける例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

BFD スロー タイマーのデフォルト値は 1,000 ミリ秒です。

 

コマンド履歴

例

次に、14,000 ミリ秒の BFD スロー タイマーを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

 

使用上のガイドライン

bfd-template コマンドを使用してテンプレートを作成していない場合でも、インターフェイスでテンプレート名を設定できますが、テンプレートを定義するまでテンプレートは無効と見なされます。テンプレート名を再設定する必要はありません。名前は自動的に有効になります。

例

次に、インターフェイスにシングル ホップ BFD テンプレートをバインドする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、BFD テンプレートを作成し、BFD コンフィギュレーション モードを開始するために使用します。また、テンプレートで一連の BFD 間隔値を指定できます。BFD テンプレートの一部として指定される BFD 間隔値は、1 つのインターフェイスに限定されるものではありません。

例

次に、シングルホップ BFD テンプレートを設定する例を示します。

次に、マルチホップ BFD テンプレートを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

bgp 集約タイマーのデフォルト値は 30 秒です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、BGP ルートが集約されるデフォルト間隔を変更するために使用します。

非常に大規模なコンフィギュレーションでは、aggregate-address summary-only コマンドを設定した場合でも、より具体的なルートがアドバタイズされ、後で取り消されます。この動作を回避するには、bgp aggregate-timer を 0（ゼロ）に設定します。これにより、集約ルートがただちにチェックされ、特定のルートが抑制されます。

例

次に、20 秒間隔で BGP ルート集約を設定する例を示します。

次に、BGP ルート集約をただちに開始する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドがイネーブルになっていない場合、またはこのコマンドの no 形式を入力した場合、ASA ルーティング ソフトウェアは異なる自律システムにあるネイバーからのパスの MED を比較しません。

MED が比較されるのは、比較されるルートの自律システム パスが同じである場合だけです。

 

コマンド履歴

 

使用上のガイドライン

MED は、RFC 1771 に記述されているように、オプションの非推移的属性で、4 オクテットの負でない整数です。この属性の値は、BGP の最適パス選択プロセスで、隣接自律システムへの複数の出力点を区別するために使用されることがあります。

MED は、多数のパスの選択肢の中から最適パスを選択するときに考慮されるパラメータの 1 つです。MED が低いパスの方が、MED が高いパスよりも優先されます。最適パス選択プロセス中、MED 比較は、同じ自律システムからのパスに対してだけ行われます。この動作を変更するには、bgp always-compare-med コマンドを使用して、受信したパスが属する自律システムに関係なくすべてのパスについて MED 比較を実行します。

bgp deterministic-med コマンドを設定すると、同じ自律システムから受信したすべてのパスについて確定的な MED 値比較を実行できます。

例

次の例では、受信したパスが属する自律システムに関係なくパスの選択肢から MED を比較するように、ローカル BGP ルーティング プロセスを設定しています。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

BGP 自律システム番号は画面出力に asplain（10 進数値）形式で表示されます。正規表現で 4 バイト自律システム番号とマッチングするデフォルト形式は asplain です。

 

コマンド履歴

 

使用上のガイドライン

RFC 4271『A Border Gateway Protocol 4 (BGP-4)』に記述されているように、2009 年 1 月まで、企業に割り当てられていた BGP 自律システム番号は 1 ～ 65535 の範囲の 2 オクテットの数値でした。

自律システム番号の要求の増加に伴い、インターネット割り当て番号局（IANA）により割り当てられる自律システム番号は 2009 年 1 月から 65536 ～ 4294967295 の範囲の 4 オクテットの番号になります。RFC 5396『Textual Representation of Autonomous System (AS) Numbers』には、自律システム番号を表す 3 つの方式が記述されています。シスコでは、次の 2 つの方式を実装しています。

• asplain：10 進表記方式。2 バイトおよび 4 バイト自律システム番号をその 10 進数値で表します。たとえば、65526 は 2 バイト自律システム番号、234567 は 4 バイト自律システム番号になります。
• asdot：自律システム ドット付き表記。2 バイト自律システム番号は 10 進数で、4 バイト自律システム番号はドット付き表記で表されます。たとえば、65526 は 2 バイト自律システム番号、1.169031（10 進表記の 234567 をドット付き表記にしたもの）は 4 バイト自律システム番号になります。

シスコが採用している 4 バイト自律システム番号では、自律システム番号のデフォルト表示形式として asplain が使用されますが、4 バイト自律システム番号を asplain と asdot の両方の形式で設定できます。また、正規表現で 4 バイト自律システム番号とマッチングするためのデフォルト形式は asplain であるため、4 バイト自律システム番号とマッチングする正規表現はすべて、asplain 形式で記述する必要があります。デフォルトの show コマンド出力で、4 バイト自律システム番号が asdot 形式で表示されるように変更する場合は、ルータ コンフィギュレーション モードで bgp asnotation dot コマンドを使用します。デフォルトで asdot 形式がイネーブルにされている場合、正規表現の 4 バイト自律システム番号のマッチングには、すべて asdot 形式を使用する必要があり、使用しない場合正規表現によるマッチングは失敗します。次の表に示すように、4 バイト自律システム番号は asplain と asdot のどちらにも設定できますが、show コマンド出力と正規表現を使用した 4 バイト自律システム番号のマッチング制御には 1 つの形式だけが使用されます。デフォルトは asplain 形式です。

show コマンド出力の表示と正規表現のマッチング制御で asdot 形式の 4 バイト自律システム番号を使用する場合、bgp asnotation dot コマンドを設定する必要があります。bgp asnotation dot コマンドをイネーブルにした後で、clearbgp * コマンドを入力し、すべての BGP セッションについて、ハード リセットを開始する必要があります。

例

次の show bgp summary コマンドの出力は、4 バイト自律システム番号のデフォルト asplain 形式を示しています。ここで、asplain 形式で表された 4 バイト自律システム番号 65536 および 65550 に注意してください。

次のコンフィギュレーションは、デフォルトの出力形式を asdot 表記形式に変更するために実行されます。

コンフィギュレーションの実行後、次の show bgp summary コマンド出力に示すように、出力が asdot 表記形式に変換されます。asdot 形式で表された 4 バイト自律システム番号 1.0 および 1.14 に注意してください（これらは自律システム番号 65536 と 65550 を asdot 変換したものです）。

bgp asnotation dot コマンドを設定すると、4 バイト自律システム パスの正規表現マッチング形式が asdot 表記形式に変更されます。4 バイト自律システム番号は、asplain 形式または asdot 形式のいずれかを使用して、正規表現で設定できますが、現在のデフォルト形式を使用して設定された 4 バイト自律システム番号だけがマッチングされます。1 つ目の例では、show bgp regexp コマンドは、asplain 形式で表された 4 バイト自律システム番号を使用して設定されています。現在のデフォルト形式は asdot 形式なのでマッチングは失敗し、何も出力されません。asdot 形式を使用した 2 番目の例では、マッチングは成功し、4 バイトの自律システム パスに関する情報が asdot 表記法を使って表示されます。

（注） この asdot 表記法で使用されているピリオドは、シスコの正規表現では特殊文字です。特殊な意味を取り除くには、ピリオドの前にバックスラッシュをつけます。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドの動作はデフォルトでディセーブルであり、同一の属性を持つ 2 つのルートが受信されたとき、BGP は最初に受信されたルートを選択します。

 

コマンド履歴

 

使用上のガイドライン

bgp bestpath compare-routerid コマンドは、2 つの異なるピア（ルータ ID を除くすべての属性が同じ）から 2 つの同一のルートが受信されたときに最適パス選択のタイ ブレーカーとしてルータ ID を使用するように BGP ルーティング プロセスを設定するために使用します。このコマンドがイネーブルになっている場合、その他の属性がすべてが等しければ、最も小さいルータ ID が最適パスとして選択されます。

例

次の例では、異なるピアから同一のパスが受信されたときに、パスを比較し、最適パス選択のタイ ブレーカーとしてルータ ID を使用するように、BGP ルーティング プロセスを設定しています。

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

ASA ソフトウェアは、MED 属性のないルートに 0 の値を割り当てるため、MED 属性がないルートを最適パスと見なします。

 

コマンド履歴

例

次の例では、MED 属性がないルートを無限の値（4294967294）を持つルートと見なし、このパスを最も不適切なパスとするように BGP ルータ プロセスを設定しています。

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドがイネーブルになっていない場合、または no 形式を入力した場合、BGP コミュニティは（AA:NN 形式で入力したときも）32 ビットの数値として表示されます。

 

コマンド履歴

 

使用上のガイドライン

bgp-community new-format コマンドは、BGP コミュニティを RFC-1997 準拠の AA:NN 形式で表示するようにローカル ルータを設定するために使用します。

このコマンドは、BGP コミュニティが表示される形式のみに影響を与え、コミュニティやコミュニティの交換には影響を与えません。ただし、32 ビットの数値でなく AA:NN 形式でマッチングを行うように、ローカルに設定された正規表現と一致する拡張 IP コミュニティ リストを更新する必要がある場合があります。

RFC 1997『BGP Communities Attribute』には、BGP コミュニティがそれぞれ 2 バイト長の 2 つの部分で構成されると規定されています。1 つ目の部分は自律システム番号で、2 つ目の部分はネットワーク オペレータによって定義された 2 バイトの数値です。

例

次の例では、32 ビットの数値のコミュニティ形式を使用するルータを、AA:NN 形式を使用するようにアップグレードしています。

次の出力例は、bgp-community new-format コマンドがイネーブルになっている場合に BGP コミュニティ番号がどのように表示されるかを示しています。

 

構文の説明

 

デフォルト

このコマンドがイネーブルになっていない場合、またはこのコマンドの no 形式を入力した場合、ASA ソフトウェアはローカル プリファレンス値 100 を適用します。

 

コマンド履歴

 

使用上のガイドライン

ローカル プリファレンス属性は、BGP の最適パス選択プロセス中にプリファレンス レベルをルートに適用するために使用される任意の属性です。この属性は iBGP ピア間だけで交換され、ローカル ポリシーを決定するために使用されます。ローカル プリファレンス値が最大のルートが優先されます。

例

次の例では、ローカル優先順位値は 200 に設定されます。

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

ASA ソフトウェアは、同じ自律システムから受信されたすべてのパスについて MED 変数の確定的な比較を実行しません。

 

コマンド履歴

 

使用上のガイドライン

bgp always-compare-med コマンドは、異なる自律システムにあるネイバーからのパスの Multi Exit Discriminator（MED）の比較をイネーブルにするために使用します。bgp always-compare-med コマンドの設定後、同じ自律システムにある異なるネイバーから受信された同じプレフィックスのパスはすべてグループ化され、昇順の MED 値でソートされます（受信専用のパスは無視され、グループ化もソートもされません）。

次に、最適パス選択アルゴリズムにより、既存のルールを使用して最適パスが選択されます。比較は、ネイバーの自律システムごとに行われ、続いてグローバルに行われます。パスのグループ化およびソートは、このコマンドを入力するとただちに行われます。正しい結果を得るには、ローカル自律システム内のすべてのルータでこのコマンドがイネーブル（またはディセーブル）になっている必要があります。

例

次の例では、1 つの連合内の同じサブ自律システムによってアドバタイズされたルートのパス選択中に MED を比較するように BGP を設定しています。

次の show bgp コマンド出力例は、bgp deterministic-med コマンドのコンフィギュレーションによってルート選択がどのように影響を受けるかを示しています。bgp deterministic-med コマンドがイネーブルになっていない場合、ルートの受信順序によって最適パス選択でどのようにルートが選択されるかが決まります。次の show bgp コマンドの出力例は、同じプレフィックス（10.100.0.0）に対して受信された 3 つのパスを示しています。bgp deterministic-med コマンドはイネーブルになっていません。

ルータで bgp deterministic-med 機能がイネーブルになっていない場合、ルートの受信順序によってルート選択が影響を受けることがあります。次のシナリオで、1 つのルータが同じプレフィックスに対して 3 つのパスを受信した場合を考えてみます。

ローカル ルーティング テーブルのすべてのルートをクリアするために、clear bgp * コマンドを入力します。

ルーティング テーブルへの再書き込みが行われた後、show bgp コマンドを再度発行します。BGP セッションをクリアした後、パスの順序が変わることに注意してください。2 番目のセッションではパスの受信順序が異なっていたため、選択アルゴリズムの結果も変わっています。

bgp deterministic-med コマンドがイネーブルになっている場合、ローカル ルータがパスを受信した順序に関係なく、選択アルゴリズムの結果は常に同じになります。このシナリオでは、ローカル ルータで bgp deterministic-med コマンドを入力した場合、常に次の出力が生成されます。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドの動作は、デフォルトでイネーブルです。

 

コマンド履歴

 

使用上のガイドライン

bgp enforce-first-as コマンドは、AS_PATH 属性内の最初のセグメントとして自律システム番号が示されていない eBGP ピアから受信した着信アップデートを拒否するために使用します。このコマンドをイネーブルにすると、間違った設定のピアや権限のないピアが、別の自律システムからのルートであるかのようにルートをアドバタイズすることによってトラフィックを誤った宛先に送信する（ローカル ルータをスプーフィングする）ことを回避できます。

例

次に、BGP ピアからのすべての着信アップデートを調べて、AS_PATH 内の最初の自律システム番号が送信側ピアのローカル AS 番号であることを確認する例を示します。次の例では、最初の AS 番号が 65001 でなければ、ピア 10.100.0.1 からのアップデートは廃棄されます。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

BGP 高速外部フォールオーバーはデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

bgp fast-external-fallover コマンドは、直接接続されている外部ピアとの BGP ピアリング セッションにおける高速外部フォールオーバーをディセーブルまたはイネーブルにするために使用します。リンクがダウンするとセッションは即座にリセットされます。直接接続されているピアのみサポートされます。BGP 高速外部フォールオーバーがディセーブルの場合、BGP ルーティング プロセスはデフォルトのホールド タイマーの期限（3 回のキープアライブ）が切れるまで待ってピアリング セッションをリセットします。また、ip bgp fast-external-fallover インターフェイス コンフィギュレーション コマンドを使用して、BGP 高速外部フォールオーバーをインターフェイス単位で設定することもできます。

例

次に、BGP 高速外部フォールオーバー機能をディセーブルにする例を示します。このセッションを伝送するリンクがフラップしても、接続はリセットされません。

 

関連コマンド

 

構文の説明

 

デフォルト

BGP グレースフル リスタートはデフォルトでディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

ノンストップ転送のグレースフル リスタートを有効にするには、このコマンドを使用します。グレースフル リスタートを使用すると、システムは、再起動中にアドレス グループのフォワーディング ステートを維持する機能をアドバタイズできます。各 BGP ネイバー ルータの再起動機能を設定するには、 neighbor ha-mode graceful-restart コマンドを使用します。

例

次に、デフォルトのタイマーを使用してグレースフル リスタートをグローバルにイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

特定のルートが BGP ルーティング テーブルに注入されることはありません。

 

コマンド履歴

 

使用上のガイドライン

bgp inject-map コマンドは、条件付きルート注入を設定するために使用します。条件付きルート注入により、一致するものがなくても、より具体的なプレフィックスを BGP ルーティング テーブルにすることができます。2 つのルート マップ（exist-map および inject-map）をグローバル コンフィギュレーション モードで設定してから、アドレス ファミリ コンフィギュレーション モードの bgp inject-map コマンドで指定します。

exist-map 引数は、BGP スピーカーが追跡するプレフィックスを定義するルート マップを指定します。このルート マップには、集約プレフィックスを指定するための match ip address prefix-list コマンド ステートメントと、ルート ソースを指定するための match ip route-source prefix-list コマンド ステートメントが含まれる必要があります。

inject-map は、ルーティング テーブルで作成され、このテーブルに格納されるプレフィックスを定義します。注入されたプレフィックスは、ローカル BGP RIB に格納されます。有効な親ルートが存在する必要があります。集約ルート（既存プレフィックス）と同じかそれより具体的なプレフィックスのみを注入できます。

オプションのキーワード copy-attributes は、注入されたプレフィックスが集約ルートと同じ属性を継承するように任意で設定するために使用します。このキーワードを入力しない場合、注入されたプレフィックスは、ローカルで生成されたルートのデフォルト属性を使用します。

例

次の例では、条件付きルート注入を設定しています。注入されたプレフィックスは、集約（親）ルートの属性を継承します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

BGP ネイバーのロギングはイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

bgp log-neighbor-changes コマンドは、BGP ネイバー ステータスの変化（アップまたはダウン）およびリセットに関するロギングをイネーブルにします。ログはネットワークの接続問題のトラブルシューティングおよびネットワークの安定性の評価に使用します。ネイバーが突然リセットする場合は、ネットワークのエラー率の高いことやパケット損失の多いことが考えられるので、調査するようにしてください。

ステータスの変化に関するメッセージをロギングするために bgp log-neighbor-changes コマンドを使用しても、BGP アップデート デバッグを有効にする場合などと異なり、パフォーマンスに大きな影響を与えることはありません。

bgp log-neighbor-changes コマンドがイネーブルでない場合、ネイバー ステータスの変化に関するメッセージは、show bgp neighbors コマンドの出力として常に使用可能なリセットの理由を除いて、追跡されません。

eigrp log-neighbor-changes コマンドは、Enhanced Interior Gateway Routing Protocol（EIGRP）ネイバーとの隣接関係のロギングをイネーブルにしますが、BGP ネイバーに関するメッセージは bgp log-neighbor-changes コマンドで明確にイネーブルにされた場合にのみ記録されます。

BGP ネイバーの変化に関するログを表示するには、show logging コマンドを使用します。

例

次に、ルータ コンフィギュレーション モードで BGP のネイバーの変化をログする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ルートは廃棄されません。

 

コマンド履歴

 

使用上のガイドライン

bgp maxas-limit コマンドは、着信ルートで許可される AS パス属性内の自律システム番号の数を制限するために使用します。設定した制限を超える AS パス セグメントを持つルートが受信されると、BGP ルーティング プロセスでこのルートが廃棄されます。

例

次に、AS パス属性内の自律システム番号の最大数を 30 に設定する例を示します。

 

構文の説明

 

デフォルト

IPv4 では、BGP ネクストホップ アドレス トラッキングはデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

BGP ネクストホップ アドレス トラッキングはイベント ドリブンです。BGP プレフィックスは、ピアリング セッションの確立時に自動的にトラッキングされます。ネクストホップの変更は、ルーティング情報ベース（RIB）で更新されると BGP に迅速に報告されます。この最適化によって、RIB にインストールされているルートのネクストホップの変更に対する応答時間が短縮されることで、全体的な BGP コンバージェンスが改善されます。BGP スキャナ サイクル間に最適パス計算が実行されると、変更内容だけが処理および追跡されます。

（注） • BGP ネクストホップ アドレス トラッキングによって、BGP 応答時間を大幅に短縮できます。ただし、不安定な内部ゲートウェイ プロトコル（IGP）ピアにより、BGP が不安定になることがあります。BGP への影響の可能性を軽減するために、不安定な IGP ピアリング セッションを積極的にダンプニングさせることを推奨します。

• IPv6 アドレス ファミリでは、BGP ネクストホップ アドレス トラッキングはサポートされていません。

BGP ネクストホップ アドレス トラッキングのルーティング テーブル ウォーク間の遅延間隔を変更するには、trigger キーワードを delay キーワードおよび seconds 引数とともに使用します。すべてのルーティング テーブル ウォーク間の遅延間隔を調整して IGP の調整パラメータと一致させることで、BGP ネクストホップ アドレス トラッキングのパフォーマンスを向上させることができます。デフォルトの遅延間隔は 5 秒であり、高速で調整される IGP の場合はこれが最適な値です。よりゆっくり収束する IGP の場合は、IGP コンバージェンス時間に応じて遅延間隔を 20 秒以上に変更できます。

BGP ネクストホップ アドレス トラッキングをイネーブルにするには、trigger キーワードを enable キーワードとともに使用します。BGP ネクストホップ アドレス トラッキングは、デフォルトでイネーブルになっています。

ルート マップを使用できるようにするには、route-map キーワードおよび map-name 引数を使用します。このルート マップは BGP 最適パス計算中に使用され、BGP プレフィックスの Next_Hop 属性に対応するルーティング テーブル内のルートに適用されます。ネクストホップ ルートがルート マップの評価に失敗した場合、ネクストホップ ルートは到達不能とマークされます。このコマンドはアドレス ファミリ単位で実行されるため、異なるアドレス ファミリ内のネクストホップ ルートでは別のルート マップを適用できます。

（注） ルート マップでサポートされるコマンドは、match ip address コマンドだけです。set コマンドやその他の match コマンドはサポートされません。

例

次に、IPv4 アドレス ファミリ セッションによって 20 秒ごとに発生する BGP ネクストホップ アドレス トラッキングのルーティング テーブル ウォーク間の遅延間隔を変更する例を示します。

次に、IPv4 アドレス ファミリのネクストホップ アドレス トラッキングをディセーブルにする例を示します。

次に、アドレス マスクの長さが 25 を超える場合にのみルートをネクストホップ ルートと見なすことを許可するルート マップを設定する例を示します。このコンフィギュレーションによって、プレフィックスの集約がネクストホップ ルートと見なされることを回避できます。

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

IBGP ルートが IGP に再配布されます。

 

コマンド履歴

 

使用上のガイドライン

bgp redistribute-internal コマンドは、IGP への iBGP の再配布を設定するために使用します。このコマンドの設定後に、BGP 接続をリセットするために clear bgp コマンドを入力する必要があります。

BGP を IGP に再配布する際は、必ず、再配布されるプレフィックスの数を制限するために IP prefix-list ステートメントおよび route-map ステートメントを使用してください。

注意 iBGP を IGP に再配布する際は、慎重に行ってください。再配布されるプレフィックスの数を制限するために IP prefix-list ステートメントおよび route-map ステートメントを使用します。フィルタリングされていない BGP ルーティング テーブルを IGP に再配布すると、通常の IGP ネットワーク動作に影響を及ぼす可能性があります。

---

例

次の例では、BGP から OSPF へのルート再配布をイネーブルにしています。

 

構文の説明

 

デフォルト

このコマンドがイネーブルになっていない場合、ルータ ID は物理インターフェイスの最上位の IP アドレスに設定されます。

 

コマンド履歴

 

使用上のガイドライン

ローカル BGP ルーティング プロセスの固定ルータ ID を設定するには、bgp router-id コマンドを使用します。ルータ ID は IP アドレス形式で入力します。任意の有効な IP アドレスを使用できます。ルータでローカルに設定されていないアドレスでもかまいません。ルータ ID が変更されると、ピアリング セッションが自動的にリセットされます。コンテキストごとに個別のルータ ID を設定できます。

例

次に、固定 BGP ルータ ID が 192.168.254.254 であるローカル ルータを設定する例を示します。

 

構文の説明

 

デフォルト

デフォルトのスキャン間隔は 60 秒です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの no 形式を入力しても、スキャンはディセーブルになりませんが、show running-config コマンドの出力からは削除されます。

アドレス ファミリに対して BGP ネクストホップ アドレス トラッキング（NHT）がイネーブルになっている場合、そのアドレス ファミリで bgp scan-time コマンドは受け入れられず、デフォルト値の 60 秒は変更されません。ルータ モードまたはアドレス ファミリ モードで bgp scan-time コマンドを使用する場合は、あらかじめ NHT をディセーブルにしておく必要があります。

例

次のルータ コンフィギュレーションの例では、BGP ルーティング テーブルの IPv4 ユニキャスト ルートのネクスト ホップ検証のスキャン間隔を 20 秒に設定しています。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

ルートは抑制されません。

 

コマンド履歴

 

使用上のガイドライン

bgp suppress-inactive コマンドは、RIB（非アクティブなルート）に導入されていないルートがピアにアドバタイズされないようにするために使用します。この機能がイネーブルになっていない場合、またはこのコマンドの no 形式を使用した場合、Border Gateway Protocol（BGP）によって非アクティブなルートがアドバタイズされます。

（注） BGP は、RIB に導入されていないルートに RIB 失敗フラグを付けます。このフラグは、show bgp コマンドの出力にも、Rib-Failure (17) のように表示されます。このフラグは、ルートまたは RIB に関するエラーや問題を示しておらず、このコマンドのコンフィギュレーションによっては、このフラグがあってもルートをアドバタイズできる場合もあります。非アクティブなルートに関する情報を表示するには、show bgp rib-failure コマンドを入力します。

例

次の例では、RIB に導入されていないルートをアドバタイズしないように BGP ルーティング プロセスを設定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

TCP パスの MTU 検出は、すべての BGP セッションに対してデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると BGP セッションでより大きな MTU リンクを活用できるようになり、これは内部 BGP（iBGP）セッションに非常に重要となることがあるため、このコマンドはデフォルトでイネーブルになっています。TCP パスの MTU 検出がイネーブルになっていることを確認するには、show bgp neighbors コマンドを使用します。

例

次に、すべての BGP セッションに対して TCP パスの MTU 検出をディセーブルにする例を示します。

次に、すべての BGP セッションに対して TCP パスの MTU 検出をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ブロック診断の追跡に割り当てられるデフォルト メモリは、2136 バイトです。

 

コマンド履歴