-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
- client(CTL プロバイダー)
- client(TLS プロキシ)
- client-access-rule
- client-bypass-protocol
- client-firewall
- client-types(クリプト CA トラストポイント)
- client-update
- clock set
- clock summer-time
- clock timezone
- cluster-ctl-file(廃止)
- cluster encryption
- cluster exec
- cluster flow-mobility lisp
- cluster group
- cluster-interface
- cluster interface-mode
- cluster ip address
- cluster key
- cluster master unit
- cluster-mode(廃止)
- cluster port
- cluster redistribute vpn-sessiondb
- cluster remove unit
- cluster replication delay
- cn-id
- command-alias
- command-queue
- commercial-security
- community-list
- compatible rfc1583
- compression
- config-register
- config-replicate-parallel
- configure factory-default
- configure http
- configure memory
- configure net
- configure session
- configure terminal
- config-url
- connect fxos
- conn data-rate
- conn-rebalance
- console-replicate
- console timeout
- content-length
- context
- copy
- cpu hog granular-detection
- cpu profile activate
- coredump enable
- crashinfo console disable
- crashinfo force
- crashinfo save disable
- crashinfo test
- crl(廃止)
- crl cache-time
- crl configure
- crl enforcenextupdate
client コマンド ~ crl enforcenextupdate コマンド
client(CTL プロバイダー)
証明書信頼リスト プロバイダーへの接続が許可されるクライアントを指定するか、またはクライアント認証用のユーザ名とパスワードを指定するには、CTL プロバイダー コンフィギュレーション モード で client コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
client {[ interface if_name ] ipv4_addr | username user_name password password [ encrypted ]}
no client {[ interface if_name ] ipv4_addr | username user_name password password [ encrypted ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL プロバイダーへの接続を許可されるクライアントを指定し、クライアント認証用のユーザ名とパスワードを設定するには、CTL プロバイダー コンフィギュレーション モードで client コマンドを使用します。複数のコマンドを発行して、複数のクライアントを定義できます。ユーザ名とパスワードは、CallManager クラスタ用の CCM 管理者のユーザ名およびパスワードと一致する必要があります。
例
次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
client(TLS プロキシ)
TLS プロキシのトラストポイント、キー ペア、および暗号スイートを設定するには、TLS プロキシ コンフィギュレーション モード で client コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
client { cipher-suite cipher_list | ldc { issuer ca_tp_name | key-pair key_label } | trust-point proxy_trustpoint | clear-text }
no client { cipher-suite cipher_list | ldc { issuer ca_tp_name | key-pair key_label } | trust-point proxy_trustpoint | clear-text }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
いくつかのプロトコル検査エンジンでは、検査に必要である暗号化されたトラフィックの復号に TLS プロキシを使用します。検査の後、トラフィックはこのプロキシにより再度暗号化して宛先へ送信されます。
TLS プロキシで TLS クライアント ロールとして動作する場合、ASA の TLS ハンドシェイク パラメータを制御するには、TLS プロキシ コンフィギュレーション モードで client コマンドを使用します。
クライアント トラストポイントには次のオプションがあります。
- ローカル ダイナミック証明書の発行者を識別するには、 client ldc コマンドを使用します。クライアントごとに一意の証明書が必要な場合は、このオプションを使用します。たとえば、SIP/SCCP インスペクション時の Cisco IP Phone の場合などです。クライアントの( crypto ca trustpoint コマンドで定義された)ダイナミック証明書を発行するローカル CA を識別するには、 ldc issuer コマンドを使用します。トラストポイントには、 proxy-ldc-issuer コマンドが設定されているか、デフォルトのローカル CA サーバ(LOCAL-CA-SERVER)が必要です。
crypto key generate コマンドで生成されたキーペアを識別するには、 ldc key-pair コマンドを使用します。
- スタティック証明書を使用するトラストポイントを識別するには、 client trust-point コマンドを使用します。たとえば、SIP/SCCP インスペクション時の Cisco Unified Presence Server(CUPS)の場合です。この証明書は ASA が所有する必要があります(アイデンティティ証明書)。証明書には、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。
- TLS サーバとの非暗号化通信を使用するには、 client clear-text コマンドを使用します。このオプションは、ASA および TLS サーバが同じであるデータセンターに配置されており、通信の安全性を確信できる場合に使用できます。この設定は、Diameter インスペクションを目的としています。
また、 client cipher-suite を使用して TLS プロキシに別の暗号スイートを設定することもできます。TLS プロキシが使用可能な暗号方式を定義しなかった場合、プロキシは ssl encryption コマンドによって定義された暗号スイートを使用します。このコマンドが定義されていない場合は、使用可能なすべての暗号方式が使用されます。ASA で一般に使用可能なものとは異なるスイートを使用する場合にのみ、このコマンドを指定します。このコマンドでは、2 つの TLS セッション間で異なる暗号方式を設定できます。CallManager サーバでは、AES 暗号を使用する必要があります。
例
次に、ローカル ダイナミック証明書の発行者を使用して TLS プロキシを作成する例を示します。
次に、トラストポイントとスタティック証明書を使用して TLS プロキシを作成する例を示します。
次に、ASA と Diameter サーバ間でクリア テキスト通信を使用する Diameter インスペクション用の TLS プロキシを作成する例を示します。
関連コマンド
|
|
|
|---|---|
client-access-rule
ASA を通して IPsec 経由で接続できるリモート アクセス クライアントのタイプとバージョンを制限するルールを設定するには、グループ ポリシー コンフィギュレーション モードで client-access-rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
client-access-rul e priority { permit | deny } type type version version | none
no client-access-rul e priority [{ permit | deny } type type version version ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
すべてのルールを削除するには、 priority 引数だけを指定して no client-access-rule コマンドを使用します。これにより、 client-access-rule none コマンドを発行して作成されたヌル ルールを含む、設定済みのすべてのルールが削除されます。
クライアント アクセス ルールがない場合、ユーザはデフォルトのグループ ポリシー内に存在するすべてのルールを継承します。ユーザがクライアント アクセス ルールを継承しないようにするには、 client-access-rule none コマンドを使用します。これにより、すべてのクライアント タイプおよびバージョンが接続できるようになります。
- ルールを定義しない場合、ASA はすべての接続タイプを許可します。
- クライアントがいずれのルールにも一致しない場合、ASA は接続を拒否します。つまり、拒否ルールを定義する場合は、許可ルールも 1 つ以上定義する必要があります。許可ルールを定義しないと、ASA はすべての接続を拒否します。
- ソフトウェア クライアントとハードウェア クライアントの両方について、タイプおよびバージョンが show vpn-sessiondb remote コマンド出力で表示される値と完全に一致する必要があります。
- * 文字はワイルドカードであり、各ルールで複数回使用できます。たとえば、 client-access-rule 3 deny type * version 3.* は、リリース バージョン 3.x ソフトウェアを実行しているすべてのクライアント タイプを拒否する、プライオリティ 3 のクライアント アクセス ルールを作成します。
- 1 つのグループ ポリシーにつき最大 25 のルールを作成できます。
- ルール セット全体に対して 255 文字の制限があります。
- クライアントのタイプとバージョンを送信しないクライアントに対して n/a を使用できます。
例
次に、FirstGroup という名前のグループ ポリシーのクライアント アクセス ルールを作成する例を示します。これらのルールは、ソフトウェア バージョン 4.1 を実行している VPN クライアントを許可する一方で、すべての VPN 3002 ハードウェア クライアントを拒否します。
client-bypass-protocol
ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定するには、グループ ポリシー コンフィギュレーション モードで client-bypass-protocol コマンドを使用します。クライアント バイパス プロトコル設定をクリアするには、このコマンドの no 形式を使用します。
client-bypass-protocol { enable | disable }
no client-bypass-protocol { enable | disable }
構文の説明
クライアント バイパス プロトコルがイネーブルの場合、ASA が IP アドレスのタイプを割り当てなかった IP トラフィックは、クライアントからクリア テキストとして送信されます。 |
|
クライアント バイパス プロトコルがディセーブルの場合、ASA が IP アドレスのタイプを割り当てなかった IPv6 トラフィックはドロップされます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Client Bypass Protocol 機能を使用すると、ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定することができます。
AnyConnect クライアントが ASA に VPN 接続するときに、ASA は IPv4 と IPv6 の一方または両方のアドレスを割り当てます。ASA が AnyConnect 接続に IPv4 アドレスまたは IPv6 アドレスだけを割り当てた場合に、ASA が IP アドレスを割り当てなかったネットワーク トラフィックについて、クライアント プロトコル バイパスによってそのトラフィックをドロップさせるか、または ASA をバイパスしてクライアントからの暗号化なし、つまり「クリア テキスト」としての送信を許可するかを設定できるようになりました。
たとえば、IPv4 アドレスのみ AnyConnect 接続に割り当てられ、エンドポイントがデュアル スタックされていると想定してください。このエンドポイントが IPv6 アドレスへの到達を試みたときに、クライアント バイパス プロトコル機能がディセーブルの場合は、IPv6 トラフィックがドロップされますが、クライアント バイパス プロトコルがイネーブルの場合は、IPv6 トラフィックはクライアントからクリア テキストとして送信されます。
例
次に、クライアント バイパス プロトコルをイネーブルにする例を示します。
次に、クライアント バイパス プロトコルをデイセーブルにする例を示します。
次に、クライアント バイパス プロトコル設定をクリアする例を示します。
client-firewall
IKE トンネルのネゴシエーション時に ASA が VPN クライアントにプッシュするパーソナル ファイアウォール ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで client-firewall コマンドを使用します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を使用します。
no client-firewall { opt | req } custom vendor-id num product-id num policy {AYT | CPP acl-in acl acl-out acl } [description string ]
client-firewall { opt | req } zonelabs-integrity
(注
) ファイアウォールのタイプを zonelabs-integrity にする場合は、引数を指定しないでください。ポリシーは、Zone Labs Integrity サーバによって決められます。
client-firewall { opt | req } zonelabs-zonealarm policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } zonelabs-zonealarmorpro policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } zonelabs-zonealarmpro policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } cisco-integrated acl-in acl acl-out acl }
client-firewall { opt | req } sygate-personal
client-firewall { opt | req } sygate-personal-pro
client-firewall { opt | req } sygate-personal-agent
client-firewall { opt | req } networkice-blackice
client-firewall { opt | req } cisco-security-agent
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
設定できるのは、このコマンドの 1 つのインスタンスのみです。
すべてのファイアウォール ポリシーを削除するには、引数を指定せずに no client-firewall コマンドを使用します。このコマンドは、 client-firewall none コマンドを発行して作成したヌル ポリシーを含め、すべての設定済みファイアウォール ポリシーを削除します。
ファイアウォール ポリシーがなくなると、ユーザはデフォルトまたはその他のグループ ポリシー内に存在するファイアウォール ポリシーを継承します。ユーザがそれらのファイアウォール ポリシーを継承しないようにするには、 client-firewall none コマンドを使用します。
例
次に、FirstGroup という名前のグループ ポリシーについて、Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する例を示します。
client-types(クリプト CA トラストポイント)
ユーザ接続に関連付けられた証明書の検証にこのトラストポイントを使用できるクライアント接続タイプを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで client-types コマンドを使用します。
[no] client-types {ssl | ipsec}
構文の説明
トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを IPsec 接続の検証に使用できることを指定します。 |
|
トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを SSL 接続の検証に使用できることを指定します。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
|
|
|
|
|
||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
同じ CA 証明書に関連付けられているトラストポイントが複数ある場合、特定のクライアント タイプに設定できるのは 1 つのトラストポイントだけです。ただし、1 つのトラストポイントを 1 つのクライアント タイプに設定し、別のトラストポイントを別のクライアント タイプに設定することができます。
同じ CA 証明書に関連付けられているトラストポイントがあり、これがすでに 1 つのクライアント タイプに設定されている場合は、この同じクライアント タイプ設定に新しいトラストポイントを設定することはできません。このコマンドの no 形式を使用して設定をクリアして、トラストポイントがいずれのクライアント検証にも使用できないようにすることができます。
リモート アクセス VPN では、導入要件に応じて、セキュア ソケット レイヤ(SSL)VPN、IP Security(IPsec)、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントを SSL トラストポイントとして指定する例を示します。
次に、トラストポイント checkin 1 のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントを IPsec トラストポイントとして指定する例を示します。
関連コマンド
|
|
|
|---|---|
client-update
すべてのトンネル グループまたは特定のトンネル グループで、アクティブなすべてのリモート VPN ソフトウェア クライアントとハードウェア クライアント、および Auto Update クライアントとして設定されている ASA 用のクライアント更新を発行するには、特権 EXEC モードで client-update コマンドを使用します。
クライアント更新のパラメータをグローバル レベル(VPN ソフトウェア クライアントとハードウェア クライアント、および Auto Update クライアントとして設定されている ASA を含む)で設定および変更するには、グローバル コンフィギュレーション モードで client-update コマンドを使用します。
VPN ソフトウェア クライアントとハードウェア クライアント用のクライアント アップデート トンネル グループ IPsec 属性パラメータを設定および変更するには、トンネル グループ ipsec 属性コンフィギュレーション モードで client-update コマンドを使用します。
クライアント更新をディセーブルにするには、このコマンドの no 形式を使用します。
グローバル コンフィギュレーション モードのコマンドは、次のとおりです。
client-update { enable | component { asdm | image } | device-id dev_string |
family family_name | type type } url url-string rev-nums rev-nums }
no client-update { enable | component { asdm | image } | device-id dev_string |
family family_name | type type } url url-string rev-nums rev-nums }
トンネル グループ ipsec 属性コンフィギュレーション モードのコマンドは、次のとおりです。
client-update type type url url-string rev-nums rev-nums
no client-update type type url url-string rev-nums rev-nums
client-update { all | tunnel-group }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
Auto Update サーバとして設定された ASA をサポートするために、 component 、 device-id 、および family キーワードとその引数が追加されました。 |
使用上のガイドライン
トンネル グループ ipsec 属性コンフィギュレーション モードでは、この属性を IPsec リモート アクセス トンネル グループ タイプのみに適用できます。
client-update コマンドを使用すると、更新のイネーブル化、更新の適用先となるクライアントのタイプとリビジョン番号の指定、更新の取得元となる URL または IP アドレスの指定を実行できます。また、Windows クライアントの場合は、VPN クライアント バージョンを更新する必要があることを任意でユーザに通知できます。リビジョン番号のリストにあるソフトウェア バージョンをすでに実行しているクライアントの場合は、ソフトウェアを更新する必要はありません。リストにあるソフトウェア バージョンを実行していないクライアントの場合は、ソフトウェアを更新する必要があります。
Windows クライアントに対しては、更新を実行するメカニズムをユーザに提供できます。VPN 3002 ハードウェア クライアント ユーザの場合、アップデートは通知せずに自動的に行われます。クライアントのタイプが別の ASA である場合は、この ASA が Auto Update サーバとして機能します。
(注) すべての Windows クライアントと Auto Update クライアントで、URL のプレフィックスとして、「http: //」または「https: //」プロトコルを使用する必要があります。VPN 3002 ハードウェア クライアントの場合、代わりに「tftp: //」にプロトコルを指定する必要があります。
また、Windows クライアントと VPN3002 ハードウェア クライアントでは、特定のタイプのすべてのクライアントではなく、個々のトンネル グループだけのクライアント アップデートを設定することもできます。
(注) URL の末尾にアプリケーション名を含めることで(例:https://support/updates/vpnclient.exe)、アプリケーションを自動的に起動するようにブラウザを設定できます。
クライアント アップデートをイネーブルにした後に、特定の IPsec リモート アクセス トンネル グループの一連のクライアント アップデートのパラメータを定義できます。これを行うには、トンネル グループ ipsec 属性モードで、トンネル グループの名前とタイプ、および更新されたイメージの取得元となる URL または IP アドレスを指定します。また、リビジョン番号も指定する必要があります。ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合、そのクライアントを更新する必要はありません。たとえば、すべての Windows クライアント用のクライアント アップデートを発行する必要はありません。
任意で、古い Windows クライアントを使用しているアクティブ ユーザに、VPN クライアントの更新が必要であることを知らせる通知を送信できます。これらのユーザに対しては、ダイアログ ボックスが表示されます。ユーザはこのダイアログ ボックスからブラウザを起動して、URL で指定されているサイトから、更新されたソフトウェアをダウンロードできます。このメッセージで設定可能な部分は URL だけですアクティブでないユーザは、次回のログイン時に通知メッセージを受け取ります。この通知は、すべてのトンネル グループのすべてのアクティブ クライアントに送信するか、または特定のトンネル グループのクライアントに送信できます。
ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合、そのクライアントを更新する必要はありません。また、ユーザは通知メッセージを受信しません。VPN 3002 クライアントはユーザの介入なしで更新され、ユーザは通知メッセージを受信しません。
(注) クライアント アップデートのタイプを windows(Windows ベースのすべてのプラットフォーム)に指定し、その後、同じエンティティに win9x または winnt のクライアント アップデート タイプを入力する必要が生じた場合は、まずこのコマンドの no 形式で windows クライアント タイプを削除してから、新しい client-update コマンドを使用して新しいクライアント タイプを指定します。
例
次に、グローバル コンフィギュレーション モードで、すべてのトンネル グループのすべてのアクティブ リモート クライアントに対してクライアント更新をイネーブルにする例を示します。
次の例は、Windows(Win9x、WinNT)だけに適用されます。グローバル コンフィギュレーション モードで、リビジョン番号 4.7、およびアップデートを取得するための URL(https://support/updates)を含む、すべての Windows ベースのクライアントのクライアント アップデート パラメータを設定します。
次の例は、VPN 3002 ハードウェア クライアントだけに適用されます。トンネル グループ ipsec 属性コンフィギュレーション モードを開始すると、IPsec リモート アクセス トンネル グループ「salesgrp」用のクライアント アップデート パラメータが設定されます。リビジョン番号 4.7 を指定し、TFTP プロトコルを使用して、更新されたソフトウェアを IP アドレス 192.168.1.1 のサイトから取得します。
次に、Auto Update クライアントとして設定されている Cisco 5520 ASA であるクライアントのクライアント アップデートを発行する例を示します。
次に、特権 EXEC モードで、クライアント ソフトウェアを更新する必要があるトンネル グループ「remotegrp」内の、接続中のすべてのリモート クライアントにクライアント アップデート通知を送信する例を示します。他のグループのクライアントは、アップデート通知を受け取りません。
関連コマンド
|
|
|
|---|---|
clock set
ASA のクロックを手動で設定するには、特権 EXEC モードで clock set コマンドを使用します。
clock set hh : mm : ss { month day | day month } year
構文の説明
1 ~ 31 の日付を設定します。標準の日付形式に応じて、月日を april 1 または 1 april のように入力できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clock コンフィギュレーション コマンドを入力していない場合、 clock set コマンドのデフォルトの時間帯は UTC です。 clock timezone コマンドを使用して clock set コマンドを入力した後に時間帯を変更した場合、時間は自動的に新しい時間帯に調整されます。ただし、 clock timezone コマンドを使用して時間帯を設定した後に clock set コマンドを入力した場合は、UTC ではなく、新しい時間帯に応じた時間を入力します。同様に、 clock set コマンドの後に clock summer-time コマンドを入力した場合、時間は夏時間に調整されます。 clock summer-time コマンドの後に clock set コマンドを入力した場合は、夏時間の正しい時間を入力します。
このコマンドはハードウェア チップ内の時間を設定しますが、コンフィギュレーション ファイル内の時間は保存しません。この時間はリブート後も保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、 clock set コマンドの新しい時刻を設定する必要があります。
例
次に、時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定し、MDT の現在の時間を 2004 年 7 月 27 日の午後 1 時 15 分に設定する例を示します。
次に、クロックを UTC 時間帯で 2004 年 7 月 27 日の 8 時 15 分に設定し、その後時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定する例を示します。終了時刻(MDT の 1 時 15 分)は前の例と同じです。
関連コマンド
|
|
|
|---|---|
clock summer-time
ASA の時間の表示に夏時間の日付範囲を設定するには、グローバル コンフィギュレーション モードで clock summer-time コマンドを使用します。夏時間の日付をディセーブルにするには、このコマンドの no 形式を使用します。
clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]
no clock summer-time [ zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]]
clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]
no clock summer-time [ zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]]
(注) このコマンドは、アプライアンスモードの Firepower 1000 または Firepower 2100 ではサポートされていません。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
デフォルトの定期的な日付範囲が、3 月の第 2 日曜日の午前 2 時 ~ 11 月の第 1 日曜日の午前 2 時に変更されました。 |
使用上のガイドライン
例
次に、オーストラリアの夏時間の日付範囲を設定する例を示します。
国によっては、夏時間が特定の日付に開始されます。次に、夏時間を 2008 年 4 月 1 日午前 3 時に開始し、2008 年 10 月 1 日午前 4 時に終了するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
clock timezone
ASA のクロックの時間帯を設定するには、グローバル コンフィギュレーション モードで clock timezone コマンドを使用します。時間帯をデフォルトの UTC に戻すには、このコマンドの no 形式を使用します。
アプライアンスモードの Firepower 1000 および 2100 の場合:
clock timezone zone [ - ] hours [ minutes ]
no clock timezone [ zone [ - ] hours [ minutes ]]
構文の説明
太平洋標準時間の時間帯を文字列(PST など)で指定します。アプライアンスモードの Firepower 1000 および 2100 では、 clock timezone ? コマンドを入力し、使用可能なタイムゾーン名のリストを表示します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
夏時間を設定するには、 clock summer-time コマンド(Firepower 1000 または 2100 ではサポート対象外)を参照してください。
clock set コマンド、または NTP サーバから生成された時間は、時間を UTC で設定します。このコマンドを使用して、時間帯を UTC のオフセットとして設定する必要があります。
例
アプライアンスモードの Firepower 1000 および 2100 の場合、タイムゾーンを山地標準時に設定する例を次に示します。
次に、時間帯を太平洋標準時間(UTC から -8 時間)に設定する例を示します。
関連コマンド
|
|
|
|---|---|
cluster-ctl-file(廃止)
フラッシュ メモリに格納されている既存の CTL ファイルから、すでに作成されているトラストポイントを使用するには、CTL ファイル コンフィギュレーション モードで cluster-ctl-file コマンドを使用します。CTL ファイルのコンフィギュレーションを削除して、新しい CTL ファイルを作成できるようにするには、このコマンドの no 形式を使用します。
cluster-ctl-file filename_path
no cluster-ctl-file filename_path
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドが設定されている場合、電話プロキシは、フラッシュ メモリに格納されている CTL ファイルを解析し、その CTL ファイルからのトラストポイントをインストールし、フラッシュのそのファイルを使用して新しい CTL ファイルを作成します。
例
次に、フラッシュ メモリに格納されている CTL ファイルからトラストポイントをインストールするために、CTL ファイルを解析する例を示します。
関連コマンド
|
|
|
|---|---|
電話プロキシ コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。 |
|
cluster encryption
仮想ロード バランシング クラスタ上で交換されるメッセージの暗号化をイネーブルにするには、VPN ロード バランシング コンフィギュレーション モードで cluster encryption コマンドを使用します。暗号化をディセーブルにするには、このコマンドの no 形式を使用します。
(注) VPN ロード バランシングには、アクティブな 3DES または AES ライセンスが必要です。ASA は、ロード バランシングをイネーブルにする前に、この暗号化ライセンスの存在をチェックします。アクティブな 3DES または AES ライセンスを検出できない場合、ASA は、ロード バランシングのイネーブル化を回避し、さらにライセンスがこの使用を許可していない限り、ロード バランシング システムによる 3DES の内部コンフィギュレーションを回避します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、仮想ロード バランシング クラスタ上で交換されるメッセージの暗号化のオンとオフを切り替えます。
cluster encryption コマンドを設定する前に、まず vpn load-balancing コマンドを使用して VPN ロード バランシング コンフィギュレーション モードを開始する必要があります。また、クラスタの暗号化をイネーブルにする前に、 cluster key コマンドを使用してクラスタ共有秘密キーを設定する必要があります。
(注) 暗号化を使用する場合は、最初にコマンド isakmp enable inside を設定する必要があります。ここで、inside は、ロード バランシングの内部インターフェイスを示します。ISAKMP がロード バランシング内部インターフェイスでイネーブルになっていない場合、クラスタの暗号化を設定しようとするとエラー メッセージが表示されます。
例
次に、仮想ロード バランシング クラスタの暗号化をイネーブルにする cluster encryption コマンドを含む VPN ロード バランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster exec
クラスタ内のすべてのユニット、または特定のメンバーに対してコマンドを実行するには、特権 EXEC モードで cluster exec コマンドを使用します。
cluster exec [ unit unit_name ] command
構文の説明
(オプション)特定のユニットに対してコマンドを実行します。メンバー名を一覧表示するには、 cluster exec unit ? (現在のユニットを除くすべての名前が表示される)と入力するか、 show cluster info コマンドを入力します。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show コマンドをすべてのメンバに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。その他のコマンド、たとえば capture や copy も、クラスタ全体での実行を活用できます。
例
同じキャプチャ ファイルをクラスタ内のすべてのユニットから同時に TFTP サーバにコピーするには、マスター ユニットで次のコマンドを入力します。
複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、capture1_asa1.pcap、capture1_asa2.pcap などとなります。この例では、asa1 および asa2 がクラスタ ユニット名です。
次の例では、 cluster exec show port-channel summary コマンドの出力に、クラスタの各メンバーの EtherChannel 情報が表示されています。
関連コマンド
|
|
|
|---|---|
cluster flow-mobility lisp
トラフィック クラスのフロー モビリティをイネーブルにするには、クラス コンフィギュレーション モードで cluster flow-mobility lisp コマンドを使用します。クラス コンフィギュレーション モードにアクセスするには、 policy-map コマンドを入力します。フロー モビリティをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フロー モビリティは、ビジネス クリティカルなトラフィックに対してイネーブルにする必要があります。たとえば、フロー モビリティを HTTPS トラフィックのみ、または特定のサーバへのトラフィックのみに制限できます。
クラスタ フロー モビリティの LISP インスペクションについて
ASA は、場所の変更について LISP トラフィックを検査し、シームレスなクラスタリング操作のためにこの情報を使用します。LISP の統合により、ASA クラスタ メンバーは、最初のホップ ルータと ETR または ITR との間で渡される LISP トラフィックを検査し、その後、フローの所有者を新しいサイトへ変更できます。
クラスタ フロー モビリティには複数の相互に関連する設定が含まれています。
1. (オプション)ホストまたはサーバの IP アドレスに基づく検査される EID の限定:最初のホップ ルータは、ASA クラスタが関与していないホストまたはネットワークに関する EID 通知メッセージを送信することがあるため、EID をクラスタに関連するサーバまたはネットワークのみに限定することができます。たとえば、クラスタが 2 つのサイトのみに関連しているが、LISP は 3 つのサイトで稼働している場合は、クラスタに関連する 2 つのサイトの EID のみを含めます。 policy-map type inspect lisp 、 allowed-eid および validate-key コマンドを参照してください。
2. LISP トラフィックのインスペクション:ASA は、最初のホップ ルータと ITR または ETR 間で送信された EID 通知メッセージに関して LISP トラフィックを検査します。ASA は EID とサイト ID を相関付ける EID テーブルを維持します。たとえば、最初のホップ ルータの送信元 IP アドレスと ITR または ETR の宛先アドレスをもつ LISP トラフィックを検査する必要があります。 inspect lisp コマンドを参照してください。
3. 指定されたトラフィックでのフロー モビリティを有効にするサービス ポリシー:ビジネスクリティカルなトラフィックでフロー モビリティを有効にする必要があります。たとえば、フロー モビリティを、HTTPS トラフィックのみに制限したり、特定のサーバとの間でやり取りされるトラフィックのみに制限したりできます。 cluster flow-mobility lisp コマンドを参照してください。
4. サイト ID:ASA は各クラスタ ユニットのサイト ID を使用して、新しい所有者を判別します。 site-id コマンドを参照してください。
5. フロー モビリティを有効にするクラスタレベルの設定:クラスタ レベルでもフロー モビリティを有効にする必要があります。このオン/オフの切り替えを使用することで、特定のクラスのトラフィックまたはアプリケーションに対してフロー モビリティを簡単に有効または無効にできます。 flow-mobility lisp コマンドを参照してください。
例
次に、HTTPS を使用して 10.10.10.0/24 のサーバに送信されるすべての内部トラフィックに対してフロー モビリティをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cluster group
クラスタ ブートストラップのパラメータやその他のクラスタ設定を設定するには、グローバル コンフィギュレーション モードで cluster group を使用します。クラスタ設定をクリアするには、このコマンドの no 形式を使用します。
構文の説明
1 ~ 38 文字の ASCII 文字列としてクラスタ名を指定します。クラスタ グループはユニットあたり 1 つしか設定できません。クラスタのすべてのメンバが同じ名前を使用する必要があります。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラスタ内の各ユニットがクラスタに参加するには、ブートストラップ コンフィギュレーションが必要です。一般的には、クラスタに参加するように最初に設定したユニットがマスター ユニットとなります。クラスタリングをイネーブルにした後で、選定期間が経過すると、クラスタのマスター ユニットが選定されます。最初はクラスタ内のユニットが 1 つだけであるため、そのユニットがマスター ユニットになります。それ以降クラスタに追加されるユニットは、スレーブ ユニットとなります。
クラスタリングを設定する前に、 cluster interface-mode コマンドを使用してクラスタ インターフェイス モードを設定する必要があります。
クラスタリングをイネーブルまたはディセーブルにするには、コンソール ポートまたは ASDM を使用する必要があります。Telnet または SSH を使用することはできません。
例
次の例では、管理インターフェイスを設定し、クラスタ制御リンク用のデバイス ローカル EtherChannel を設定し、ヘルス チェックをディセーブルにし(一時的に)、その後で、「unit1」という名前の ASA のクラスタリングをイネーブルにします。これは最初にクラスタに追加されるユニットであるため、マスター ユニットになります。
ip local pool mgmt 10.1.1.2-10.1.1.9
ipv6 local pool mgmtipv6 2001:DB8::1002/32 8
interface tengigabitethernet 0/6
interface tengigabitethernet 0/7
次の例には、スレーブ ユニット unit2 のコンフィギュレーションが含まれています。
interface tengigabitethernet 0/6
interface tengigabitethernet 0/7
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
cluster-interface
クラスタ制御リンクの物理インターフェイスおよび IP アドレスを指定するには、クラスタ グループ コンフィギュレーション モードで cluster-interface コマンドを使用します。クラスタ インターフェイスを削除するには、このコマンドの no 形式を使用します。
cluster-interface interface_id ip ip_address mask
no cluster-interface [ interface_id ip ip_address mask ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラスタに参加する前に、クラスタ制御リンク インターフェイスをイネーブルにする必要があります。
十分な数のインターフェイスがある場合は、複数のクラスタ制御リンク インターフェイスを結合して 1 つの EtherChannel とすることを推奨します。この EtherChannel は ASA に対してローカルであり、スパンド EtherChannel ではありません。クラスタ制御リンクには、10 ギガビット イーサネット インターフェイスを使用することを推奨します。クラスタ制御リンクでの不要なトラフィックを削減できるように、EtherChannel メンバー インターフェイスに対しては On モードを使用することを推奨します。クラスタ制御リンクは LACP トラフィックのオーバーヘッドを必要としません。これは隔離された、安定したネットワークであるからです。
クラスタ制御リンク インターフェイス コンフィギュレーションは、マスター ユニットからスレーブ ユニットには複製されませんが、同じコンフィギュレーションを各ユニットで使用する必要があります。このコンフィギュレーションは複製されないため、クラスタ制御リンク インターフェイスの設定は各ユニットで個別に行う必要があります。
例
次に、Port-channel 2 という EtherChannel を、TenGigabitEthernet 0/6 および TenGigabitEthernet 0/7 のために作成し、このポート チャネルをクラスタ制御リンクとして割り当てる例を示します。ポートチャネル インターフェイスは、チャネル グループにインターフェイスを割り当てたときに自動的に作成されます。
interface tengigabitethernet 0/6
interface tengigabitethernet 0/7
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
cluster interface-mode
各クラスタ ユニットでクラスタ インターフェイス モードを指定するには、グローバル コンフィギュレーション モードで cluster interface-mode コマンドを使用します。クラスタ インターフェイス モードを無効にするには、このコマンドの no 形式を入力します。
cluster interface-mode { individual | spanned } [ check-details | force ]
no cluster-interface [ interface_id ip ip_address mask ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラスタリング用に設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのいずれか一方のみです。1 つのクラスタ内でインターフェイス タイプを混在させることはできません。モードを設定していない場合は、クラスタリングをイネーブルにできません。モードを設定した後、クラスタリングを有効にしていない場合でも、インターフェイスはクラスタリング インターフェイスの要件に準拠する必要があります。
- モードの設定は、クラスタに追加する各 ASA で個別に行う必要があります。
- 管理専用インターフェイスはいつでも、個別インターフェイス(推奨)として設定できます(スパンド EtherChannel モードのときでも)。管理インターフェイスは、個別インターフェイスとすることができます(トランスペアレント ファイアウォール モードのときでも)。
- スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミック ルーティングをイネーブルにできません。スタティック ルートを使用する必要があります。
- マルチ コンテキスト モードでは、すべてのコンテキストに対して 1 つのインターフェイス タイプを選択する必要があります。たとえば、トランスペアレント モードとルーテッド モードのコンテキストが混在している場合は、すべてのコンテキストにスパンド EtherChannel モードを使用する必要があります。これが、トランスペアレント モードで許可される唯一のインターフェイス タイプであるからです。
例
次に、スパンド EtherChannel モードの現在のインターフェイスの互換性をチェックする例を示します。
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
cluster ip address
仮想ロード バランシング クラスタの IP アドレスを設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster ip address コマンドを使用します。IP アドレスの指定を削除するには、このコマンドの no 形式を使用します。
no cluster ip address [ ip-address ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最初に、 vpn load-balancing コマンドを使用して VPN ロード バランシング コンフィギュレーション モードを開始し、仮想クラスタ IP アドレスが指すインターフェイスを設定する必要があります。
このクラスタ IP アドレスは、仮想クラスタを設定するインターフェイスと同じサブネット上にある必要があります。
このコマンドの no 形式では、任意の ip-address 値を指定した場合、 no cluster ip address コマンドを実行するには、その値が既存のクラスタの IP アドレスと一致する必要があります。
例
次に、仮想ロード バランシング クラスタの IP アドレスを 209.165.202.224 に設定する cluster ip address コマンドを含む VPN ロード バランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster key
仮想ロード バランシング クラスタ上で交換される IPsec サイト間トンネルの共有秘密を設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster key コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no cluster key [ shared-secret ]
構文の説明
VPN ロード バランシング クラスタの共有秘密を定義する 3 ~ 17 文字の文字列。ストリングに特殊文字を含めることはできますが、スペースを含めることはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング コンフィギュレーション モードを開始する必要があります。クラスタの暗号化には、 cluster key コマンドで定義された共有秘密も使用されます。
共有秘密を設定するには、クラスタの暗号化をイネーブルにする前に cluster key コマンドを使用する必要があります。
このコマンドの no cluster key 形式で shared-secret の値を指定した場合、共有秘密の値は既存のコンフィギュレーションと一致する必要があります。
例
次に、仮想ロード バランシング クラスタの共有秘密を 123456789 に設定する cluster key コマンドを含む VPN ロード バランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster master unit
新しいユニットを ASA クラスタのマスター ユニットとして設定するには、特権 EXEC モードで cluster master unit コマンドを使用します。
マスター ユニットを変更する最適な方法は、マスター ユニットでクラスタリングを無効にし(
no enable(クラスタ グループ)コマンドを参照)、新しいマスター の選定を待機してから、クラスタリングを再び無効にすることです。マスターにする特定のユニットを指定する必要がある場合は、
cluster master unit コマンドを使用します。ただし、中央集中型機能については、このコマンドを使用してマスター ユニット変更を強制すると、すべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。
構文の説明
新しいマスター ユニットとなるローカル ユニット名を指定します。メンバ名を一覧表示するには、 cluster master unit ? (現在のユニットを除くすべての名前が表示される)と入力するか、 show cluster info コマンドを入力します。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、新しいマスター ユニットとして asa2 を設定する例を示します。
ciscoasa# cluster master unit asa2
関連コマンド
|
|
|
|---|---|
cluster-mode(廃止)
クラスタのセキュリティ モードを指定するには、電話プロキシ コンフィギュレーション モードで cluster-mode コマンドを使用します。クラスタのセキュリティ モードをデフォルト モードに設定するには、このコマンドの no 形式を使用します。
cluster-mode [mixed | nonsecure]
no cluster-mode [mixed | nonsecure]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
電話プロキシを混合モード クラスタ(セキュア モードと非セキュア モードの両方)で実行するように設定する場合は、一部の電話が認証または暗号化モードで設定されている場合に備えて LDC 発行元も設定する必要があります。
例
次に、電話プロキシのセキュリティ モードを混合モードに設定する例を示します(IP 電話はセキュア モードと非セキュア モードで動作します)。
ciscoasa(config-phone-proxy)# cluster-mode mixed
関連コマンド
|
|
|
|---|---|
cluster port
仮想ロード バランシング クラスタの UDP ポートを設定するには、VPN ロード バランシング コンフィギュレーション モードで cluster port コマンドを使用します。ポートの指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング コンフィギュレーション モードを開始する必要があります。
任意の有効な UDP ポート番号を指定できます。範囲は 1 ~ 65535 です。
このコマンドの no cluster port 形式で port の値を指定した場合、指定したポート番号は既存の設定済みポート番号と一致する必要があります。
例
次に、仮想ロード バランシング クラスタの UDP ポートを 9023 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
cluster redistribute vpn-sessiondb
分散型 VPN クラスタ上でアクティブなセッションを再分散するには、特権 EXEC モードで次のコマンドを使用します。
cluster redistribute vpn-sessiondb
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドはバックグラウンドで実行され、CLI に戻ります。操作の完了時に、ユーザに向けてコンソール メッセージが表示されることはありません。
進行状況をモニタするには、 show cluster vpn-sessiondb distribution コマンドを使用するか、syslogs を有効にします。
ASR 操作は、VPN セッションのオーケストレータであるマスター ノードで実行する必要があります。オーケストレータは、どのセッションがどこへ移動するかを計算します。オーケストレータ自体も、アクティブなセッションを自身から他のノードに移動させることができます。
この操作中のクラスタへの負荷を軽減してタイムリーな応答時間を確保するには、一度に最大 100 セッションを移動させることが要求されます。計算された移動が 1 ノードに対して 1000 セッションの場合、その計算には 10 件の個別の要求があると考えられます。
オーケストレータは、すべてのセッションが移動した時点で、あるいはオーナー メンバーが要求された数のセッションを移動させることができない場合に、ノードに対する移動要求が完了したものとみなします。
再分散操作は、ノードが移動要求に応答できない場合や、クラスタ トポロジの変更(メンバーの参加/脱退)があった場合などに中断されます。
再分散操作はベストエフォート型の操作です。操作の完了後に分散が完璧な状態になるという保証はありません。ノード上のセッション数が平均を 20 % も上回るまたは下回る場合もあります。
例
たとえば、cluster vpn-sessiondb distribution コマンドの実行結果が次のとおりであったとします。
関連コマンド
|
|
|
|---|---|
cluster remove unit
ASA クラスタからユニットを削除するには、特権 EXEC モードで cluster remove unit コマンドを使用します。
構文の説明
クラスタから削除するローカル ユニット名を指定します。メンバー名を一覧表示するには、 cluster remove unit ? と入力するか、 show cluster info コマンドを入力します。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ブートストラップ コンフィギュレーションは変更されず、マスター ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。マスター ユニットを削除するためにスレーブ ユニットでこのコマンドを入力した場合は、新しいマスター ユニットが選定されます。
例
次に、ユニット名を確認してから、asa2 をクラスタから削除する例を示します。
ciscoasa(config)# cluster remove unit ?
Current active units in the cluster:
ciscoasa(config)# cluster remove unit asa2
WARNING: Clustering will be disabled on unit asa2. To bring it back
to the cluster please logon to that unit and re-enable clustering
関連コマンド
|
|
|
|---|---|
cluster replication delay
TCP 接続 のクラスタ レプリケーション遅延をイネーブルにするには、クラスタ グループ コンフィギュレーション モードで cluster replication delay コマンドを使用します。遅延をディセーブルにするには、このコマンドの no 形式を使用します。
cluster replication delay seconds { http | match tcp { host ip_address | ip_address mask | any | any4 | any6 } [{ eq | lt | gt } port ] { host ip_address | ip_address mask | any | any4 | any6 } [{ eq | lt | gt } port ]}
no cluster replication delay seconds { http | match tcp { host ip_address | ip_address mask | any | any4 | any6 } [{ eq | lt | gt } port ] { host ip_address | ip_address mask | any | any4 | any6 } [{ eq | lt | gt } port ]}
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能で、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。
例
次に、FTP 遅延を 15 秒に設定し、HTTP 遅延を 15 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
cn-id
参照 ID オブジェクトで cn-id を設定するには、ca-reference-identity モードで cn-id コマンドを使用します。cn-id を削除するには、このコマンドの no 形式を使用します。 ca-reference-identity モードにアクセスするには、参照 ID オブジェクトを設定するための crypto ca reference-identity コマンドを入力します。
構文の説明
一般名(CN)。この値は、ドメイン名の全体的な形式に一致します。CN 値は自由形式のテキストにすることはできません。CN-ID 参照 ID では、アプリケーション サービスは特定されません。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
参照 ID が作成されると、4 つの ID タイプと関連付けられた値を参照 ID に追加、または参照 ID から削除することができます。
参照 ID の cn ID と dns ID には、アプリケーション サービスを特定する情報を含めることができず、DNS ドメイン名を特定する情報が含まれている必要があります。
例
次に、syslog サーバの参照 ID を作成する例を示します。
関連コマンド
|
|
|
|---|---|
command-alias
コマンドのエイリアスを作成するには、グローバル コンフィギュレーション モードで command-alias コマンドを使用します。エイリアスを削除するには、このコマンドの no 形式を使用します。
command-alias mode command_alias original_command
no command-alias mode command_alias original_command
構文の説明
exec (ユーザ EXEC モードおよび特権 EXEC モード)、 configure 、 interface など、コマンド エイリアスを作成するコマンド モードを指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンド エイリアスを入力すると、元のコマンドが呼び出されます。たとえば、コマンド エイリアスを作成して、長いコマンドのショートカットにすることができます。
任意のコマンドの最初の部分のエイリアスを作成し、さらに通常どおり追加のキーワードと引数を入力できます。
CLI ヘルプを使用する場合、コマンド エイリアスはアスタリスク(*)で示され、次の形式で表示されます。
たとえば、 lo コマンド エイリアスは、次のように、「lo」で始まる他の特権 EXEC モードのコマンドとともに表示されます。
同じエイリアスをさまざまなモードで使用できます。たとえば、次のように、特権 EXEC モードおよびコンフィギュレーション モードで、「happy」を異なる複数のコマンドのエイリアスとして使用できます。
コマンドだけを表示し、エイリアスを省略するには、入力行の先頭にスペースを入力します。また、コマンド エイリアスを回避するには、コマンドを入力する前にスペースを使用します。次の例では、happy? コマンドの前にスペースがあるため、「happy」というエイリアスが表示されていません。
コマンドの場合と同様に、CLI ヘルプを使用して、コマンド エイリアスの後に続く引数およびキーワードを表示できます。
完全なコマンド エイリアスを入力する必要があります。短縮されたエイリアスは使用できません。次の例では、パーサーは、hap コマンドが「happy」というエイリアスを示しているとは認識しません。
例
次に、 copy running-config startup-config コマンドに対して「 save 」という名前のコマンド エイリアスを作成する例を示します。
関連コマンド
|
|
|
|---|---|
command-queue
応答を待つ間キューに入れられる MGCP コマンドの最大数を指定するには、MGCP マップ コンフィギュレーション モードで command-queue コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
応答を待つ間キューに入れられる MGCP コマンドの最大数を指定するには command-queue コマンドを使用します。許可されている値の範囲は、1 ~ 4294967295 です。デフォルトは 200 です。制限値に達した状態で新しいコマンドが着信すると、最も長時間キューに入っているコマンドが削除されます。
例
次に、MGCP コマンドのキューを 150 コマンドに制限する例を示します。
関連コマンド
|
|
|
|---|---|
アイドル タイムアウトを設定します。タイムアウト後に、MGCP メディア接続または MGCP PAT xlate 接続が閉じられます。 |
commercial-security
IP オプション インスペクションが設定されたパケット ヘッダーで商用セキュリティ(CIPSO)オプションが発生したときに実行するアクションを定義するには、パラメータ コンフィギュレーション モードで commercial-security コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
commercial-security action {allow | clear}
no commercial-security action {allow | clear}
構文の説明
デフォルト
デフォルトで、IP オプション インスペクションは、商用セキュリティ IP オプションを含むパケットをドロップします。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
例
次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。
関連コマンド
|
|
|
|---|---|
community-list
Border Gateway Protocol(BGP)コミュニティ リストを作成または設定し、そのリストへのアクセスを制御するには、グローバル コンフィギュレーション モードで community-list コマンドを使用します。コミュニティ リストを削除するには、このコマンドの no 形式を使用します。
community-list {standard | standard list-name} {deny | permit} [community-number] [AA:NN] [internet] [local-AS] [no-advertise] [no-export]
no community-list {standard | standard list-name}
community-list {expanded | expanded list-name} {deny | permit} regexp
no community-list {expanded | expanded list-name}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
BGP コミュニティ フィルタリングを設定するには、community-list コマンドを使用します。BGP コミュニティ値は 32 ビット数値(古い形式)または 4 バイト数値(新しい形式)として設定されます。新しいコミュニティ形式は、bgp-community new-format コマンドをグローバル コンフィギュレーション モードで入力した場合に、イネーブルになります。新しいコミュニティ形式は、4 バイト値で構成されます。
先頭の 2 バイトは自律システム番号を表し、末尾の 2 バイトはユーザ定義のネットワーク番号を表します。名前付きおよび番号付きコミュニティ リストがサポートされます。BGP ピア間の BGP コミュニティ属性交換は、neighbor send-community コマンドが、指定されたネイバー用に設定されている場合にイネーブルになります。BGP コミュニティ属性は、RFC 1997 および RFC 1998 に定義されています。
BGP コミュニティの交換はデフォルトではイネーブルになりません。これは、neighbor send-community コマンドを使用してネイバー単位でイネーブルになります。このコマンドまたは set community コマンドで他のコミュニティ値が設定されるまで、デフォルトではすべてのルートまたはプレフィックスにインターネット コミュニティが適用されます。
特定のコミュニティ セットと照合するように許容値が設定されている場合は、デフォルトで、コミュニティ リストが他のすべてのコミュニティ値に対して暗黙拒否に設定されます。
標準コミュニティ リストは、既知のコミュニティや特定のコミュニティ番号の設定に使用されます。標準コミュニティ リストでは、最大 16 のコミュニティを設定できます。16 を超えるコミュニティを設定しようとすると、制限数を超えた後続のコミュニティは処理されないか、または実行コンフィギュレーション ファイルに保存されます。
拡張コミュニティ リストは正規表現によるフィルタ コミュニティに使用されます。正規表現は、コミュニティ属性の照合パターンの設定に使用されます。* または + の文字を使用した照合の順序は、最長のコンストラクトが最初になります。入れ子のコンストラクトは外側から内側へと照合されます。連結コンストラクトは左側から順に照合されます。ある正規表現が、1 つの入力ストリングの異なる 2 つの部分と一致する可能性がある場合、早く入力された部分が最初に一致します。正規表現の設定の詳細については、『Cisco IOS Terminal Services Configuration Guide』の付録「Regular Expressions」を参照してください。
同じコミュニティ リスト文に複数の値を設定すると、論理 AND 条件が作成されます。AND 条件を満たすためにはすべてのコミュニティ値が一致しなければなりません。別のコミュニティ リスト文に複数の値を設定すると、論理 OR 条件が作成されます。条件に一致する最初のリストが処理されます。
例
次の例では、標準コミュニティ リストが、自律システム 50000 のネットワーク 10 からのルートを許可するように設定されます。
次の例では、同じ自律システムのピアか、同じ連合内のサブ自律システムのピアからのルートのみを許可するように、標準コミュニティ リストが設定されます。
次の例では、標準コミュニティ リストが、自律システム 65534 内のネットワーク 40 からのコミュニティと自律システム 65412 内のネットワーク 60 からのコミュニティを搬送するルートを拒否するように設定されます。この例は、論理 AND 条件を示しています。すべてのコミュニティ値が一致しないとリストが処理されません。
次の例では、名前付き標準コミュニティ リストが、ローカル自律システム内のすべてのルートを許可する、または、自律システム 40000 内のネットワーク 20 からのルートを許可するように設定されます。この例は、論理 OR 条件を示しています。最初の一致が処理されます。
次の例では、プライベート自律システムからのコミュニティを持つルートを拒否するような拡張コミュニティ リストが設定されます。
次の例では、自律システム 50000 のネットワーク 1 から 99 からのルートを拒否するような名前方式の拡張コミュニティ リストが設定されます。
関連コマンド
|
|
|
|---|---|
コミュニティを AA:NN(自律システム:コミュニティ番号/4 バイトの番号)形式で表示するように BGP を設定します。 |
|
compatible rfc1583
RFC 1583 に従った集約ルート コストの計算に使用した方式に戻すには、ルータ コンフィギュレーション モードで compatible rfc1583 コマンドを使用します。RFC 1583 互換性をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、RFC 1583 互換のルート集約コスト計算をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
compression
anyconnect-ssl 接続および WebVPN 接続で圧縮を有効にするには、グローバル コンフィギュレーション モードで compression コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
compression { all | anyconnect-ssl | http-comp }
no compression { all | anyconnect-ssl | http-comp }
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードで設定した compression コマンドにより、グループ ポリシー webvpn モードおよびユーザ名 webvpn モードで設定した compression anyconnect-ssl コマンドは上書きされます。
たとえば、グループ ポリシー webvpn コンフィギュレーション モードで特定のグループに対する anyconnect-ssl compression コマンドを入力し、次にグローバル コンフィギュレーション モードで no compression コマンドを入力した場合、そのグループに対して設定した anyconnect-ssl compression コマンドの設定は上書きされます。
逆に、グローバル コンフィギュレーション モードで compression コマンドを使用して圧縮をオンに戻した場合は、グループ設定が有効となり、圧縮動作は最終的にグループ設定によって決定されます。
no compression コマンドを使用して圧縮をディセーブルにした場合、新しい接続だけが影響を受けます。アクティブな接続は影響を受けません。
例
次に、anyconnect-ssl 接続で圧縮をオンにする例を示します。
次に、anyconnect-ssl 接続および WebVPN 接続で圧縮を無効にする例を示します。
関連コマンド
|
|
|
config-register
次回 ASA をリロードするときに使用されるコンフィギュレーション レジスタ値を設定するには、グローバル コンフィギュレーション モードで config-register コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
コンフィギュレーション レジスタ値を 0x0 ~ 0xFFFFFFFF の 16 進数値に設定します。この数は 32 ビットを表し、各 16 進文字は 4 ビットを表します。それぞれのビットが異なる特性を制御します。ただし、ビット 32 ~ 20 は将来の使用のために予約されており、ユーザが設定できないか、または現在 ASA で使用されていません。したがって、これらのビットを表す 3 つの文字は常に 0 に設定されているため、無視できます。関連するビットは、5 桁の 16 進文字(0x nnnnn )で表されます。 文字の前の 0 は含める必要はありません。後続の 0 は含める必要があります。たとえば、0x2001 は 0x02001 と同じですが、0x10000 の 0 はすべて必要です。関連するビットに使用できる値の詳細については、 表 8-1 を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA 5500 シリーズでのみサポートされます。コンフィギュレーション レジスタ値は、ブート元のイメージおよび他のブート パラメータを決定します。
5 つの文字には、右から左への方向で 0 ~ 4 の番号が付けられます。これは、16 進数および 2 進数の場合には標準的です。各文字に対して 1 つの値を選択したり、必要に応じて値を組み合わせて一致させたりすることができます。たとえば、文字番号 3 に対して 0 または 2 を選択できます。他の値との競合が生じる場合、一部の値が優先されます。たとえば、ASA を TFTP サーバとローカル イメージの両方からブートするように設定する 0x2011 を設定した場合、ASA は TFTP サーバからブートします。この値は、TFTP のブートが失敗した場合、ASA が直接 ROMMON でブートすることも定めているため、デフォルト イメージからブートすることを指定したアクションは無視されます。
0 の値は、他に指定されていなければ、アクションを実行しないことを意味します。
表 8-1 に、各 16 進文字に関連付けられたアクションを示します。各文字に対して 1 つの値を選択します。
|
|
|
||||
|---|---|---|---|---|---|
| 01 |
02 |
||||
| 起動中に 10 秒の ROMMON のカウントダウンをディセーブルにします。通常は、カウントダウン中に Escape キーを押して ROMMON を開始できます。 |
TFTP サーバからブートするようにASA を設定している場合、ブートが失敗すると、この値は直接 ROMMON でブートします。 |
ROMMON ブート パラメータ(存在する場合は、 boot system tftp コマンドと同じ)で指定されたように TFTP サーバ イメージからブートします。この値は、文字 1 に設定された値よりも優先されます。 |
最初の boot system local_flash コマンドで指定されたイメージをブートします。そのイメージがロードされない場合、ASA は、正常にブートするまで後続の boot system コマンドで指定された各イメージのブートを試行します。 |
||
| 特定の boot system local_flash コマンドで指定されたイメージをブートします。値 3 を指定すると最初の boot system コマンドで指定されたイメージが、値 5 を指定すると 2 つめのイメージが起動されます。以降同様に起動されます。 イメージが正常にブートしない場合、ASA は他の boot system コマンド イメージに戻ることを試行しません(この点が値 1 と値 3 の使用における違いです)。ただし、ASA には、ブートが失敗した場合に内部フラッシュ メモリのルート ディレクトリ内で検出された任意のイメージからブートを試行するフェールセーフ機能があります。フェールセーフ機能を有効にしない場合は、ルート以外のディレクトリにイメージを保存します。 |
|||||
| 43 |
ROMMON で、 boot コマンドを引数なしで入力した場合、ASA は特定の boot system local_flash コマンドで指定されたイメージをブートします。値 3 を指定すると最初の boot system コマンドで指定されたイメージが、値 5 を指定すると 2 つめのイメージが起動されます。以降同様に起動されます。この値はイメージを自動的にブートしません。 |
||||
|
2.文字番号 0 および 1 が、イメージを自動的にブートするように設定されていない場合、ASA は直接 ROMMON でブートします。 3.service password-recovery コマンドを使用してパスワード回復をディセーブルにした場合は、スタートアップ コンフィギュレーションを無視するようにコンフィギュレーション レジスタを設定することはできません。 |
コンフィギュレーション レジスタ値はスタンバイ ユニットに複製されませんが、アクティブ ユニットにコンフィギュレーション レジスタを設定すると、次の警告が表示されます。
例
次に、デフォルト イメージからブートするようにコンフィギュレーション レジスタを設定する例を示します。
関連コマンド
|
|
|
|---|---|
config-replicate-parallel
スレーブユニットでの設定変更を順番にではなく並列に同期するには、クラスタ コンフィギュレーション モードで config-replicate-parallel コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
configure factory-default
コンフィギュレーションを出荷時のデフォルトに戻すには、グローバル コンフィギュレーション モードで configure factory-default コマンドを使用します。
configure factory-default [ ip_address [ mask ]]
構文の説明
デフォルトのアドレス 192.168.1.1 を使用する代わりに、管理インターフェイスまたは内部インターフェイスの IP アドレスを設定します。各モデルで設定されるインターフェイスの詳細については、「使用上のガイドライン」を参照してください。 |
|
インターフェイスのサブネット マスクを設定します。マスクを設定しない場合、ASA は IP アドレス クラスに適したマスクを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
工場出荷時のデフォルトのコンフィギュレーションは、シスコによって新しい ASA に適用される設定です。このコマンドは PIX 525 および PIX 535 ASA を除き、すべてのプラットフォームでサポートされています。
PIX 515/515E および ASA 5510 以上の ASA では、出荷時のデフォルトのコンフィギュレーションによって、管理インターフェイスが自動的に設定されるため、ASDM を使用してそのインターフェイスに接続し、残りの設定を実行できます。ASA 5505 では、出荷時のデフォルトのコンフィギュレーションによって、ASA をネットワークですぐに使用できるように、インターフェイスと NAT が自動的に設定されます。
このコマンドは、ルーテッド ファイアウォール モードでのみ使用可能です。トランスペアレント モードはインターフェイスの IP アドレスをサポートしていません。インターフェイス IP アドレスの設定は、このコマンドが行うアクションの 1 つです。また、このコマンドはシングル コンテキスト モードでのみ使用できます。コンフィギュレーションをクリアされた ASA には、このコマンドを使用して自動的に設定される定義済みのコンテキストはありません。
このコマンドは現在の実行コンフィギュレーションをクリアしてから、複数のコマンドを設定します。
configure factory-default コマンドで IP アドレスを設定した場合、 http コマンドは、ユーザが指定したサブネットを使用します。同様に、 dhcpd address コマンドの範囲は、指定したサブネット内のアドレスで構成されます。
出荷時のデフォルトのコンフィギュレーションに戻した後に、 write memory コマンドを使用してこのコンフィギュレーションを内部フラッシュ メモリに保存します。 write memory コマンドは、前に boot config コマンドで別の場所を設定している場合でも、その設定をクリアしたときにパスもクリアされているので、スタートアップ コンフィギュレーション用のデフォルトの場所に実行コンフィギュレーションを保存します。
(注) このコマンドは、boot system コマンド(存在する場合)も、他のコンフィギュレーションとともにクリアします。boot system を使用すると、外部フラッシュ メモリ カードのイメージを含む特定のイメージからブートできます。出荷時のコンフィギュレーションに戻した後、次回 ASA をリロードすると、ASA は、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、はブートしません。
完全なコンフィギュレーションに有用な追加の設定を行うには、 setup コマンドを参照してください。
ASA 5505 の工場出荷時のデフォルト設定は、次のとおりです。
- イーサネット 0/1 ~ 0/7 スイッチ ポートを含む内部 VLAN 1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定していない場合、VLAN 1 の IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
- イーサネット 0/0 スイッチ ポートを含む外部 VLAN 2 インターフェイス。VLAN 2 は、DHCP を使用してその IP アドレスを取得します。
- デフォルトのルートも DHCP から取得されます。
- すべての内部 IP アドレスが、外部にアクセスするときにインターフェイス PAT によって変換されます。
- デフォルトでは、内部ユーザはアクセス リストを使用して外部にアクセスでき、外部ユーザは内部にアクセスできません。
- ASA で DHCP サーバがイネーブルになっているため、VLAN 1 インターフェイスに接続している PC は、192.168.1.2 ~ 192.168.1.254 のアドレスを受け取ります。
- ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。
このコンフィギュレーションは次のコマンドで構成されています。
ASA 5510 以降の工場出荷時のデフォルト設定は、次のとおりです。
- 管理用 Management 0/0 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。
- ASA では DHCP サーバがイネーブルにされているため、このインターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。
- ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。
このコンフィギュレーションは次のコマンドで構成されています。
PIX 515/515E セキュリティ アプライアンスのコンフィギュレーション
PIX 515/515E セキュリティ アプライアンスの出荷時のデフォルトのコンフィギュレーションによって、次のように設定されます。
- 内部 Ethernet1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスおよびマスクは 192.168.1.1 および 255.255.255.0 です。
- PIX セキュリティ アプライアンスで DHCP サーバがイネーブルになっているため、このインターフェイスに接続する PC には、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。
- ASDM 用に HTTP サーバがイネーブルにされており、192.168.1.0 ネットワーク上のユーザからアクセスできます。
このコンフィギュレーションは次のコマンドで構成されています。
例
次に、コンフィギュレーションを出荷時のデフォルトにリセットし、IP アドレス 10.1.1.1 をインターフェイスに割り当て、次に新しいコンフィギュレーションをスタートアップ コンフィギュレーションとして保存する例を示します。
関連コマンド
|
|
|
|---|---|
configure http
HTTP(S) サーバから実行コンフィギュレーションにコンフィギュレーション ファイルをマージするには、グローバル コンフィギュレーション モードで configure http コマンドを使用します。
configure [interface name ] http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは IPv4 および IPv6 のアドレスをサポートします。マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy http running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドはシステム実行スペースでのみ使用できるため、 configure http コマンドはコンテキスト内で使用するための代替です。
インターフェイスを指定しなかった場合、ASA は管理専用ルーティング テーブルを確認し、一致するものが見つからなければ、データのルーティング テーブルを確認します。管理専用インターフェイスを経由するデフォルト ルートがある場合は、すべての configure トラフィックがそのルートに一致するため、データ ルーティング テーブルを確認することはありません。このシナリオでは、データ インターフェイスからコピーする必要がある場合にそのインターフェイスを指定します。
例
次に、コンフィギュレーション ファイルを HTTPS サーバから実行コンフィギュレーションにコピーする例を示します。
関連コマンド
|
|
|
|---|---|
configure memory
スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure memory コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
コンフィギュレーションをマージしない場合は、ASA を経由する通信を妨げる実行コンフィギュレーションをクリアしてから、 configure memory コマンドを入力して新しいコンフィギュレーションをロードできます。
このコマンドは、 copy startup-config running-config コマンドと同じです。
マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは、 config-url コマンドで指定した場所にあります。
例
次に、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーする例を示します。
関連コマンド
|
|
|
|---|---|
configure net
TFTP サーバのコンフィギュレーション ファイルを実行コンフィギュレーションにマージするには、グローバル コンフィギュレーション モードで configure net コマンドを使用します。
configure net [ interface name ] [ server : [ filename ] | : filename ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは IPv4 および IPv6 のアドレスをサポートします。マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy tftp running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドはシステム実行スペースでのみ使用できるため、 configure net コマンドはコンテキスト内で使用するための代替です。
インターフェイスを指定しなかった場合、ASA は管理専用ルーティング テーブルを確認し、一致するものが見つからなければ、データのルーティング テーブルを確認します。管理専用インターフェイスを経由するデフォルト ルートがある場合は、すべての configure トラフィックがそのルートに一致するため、データ ルーティング テーブルを確認することはありません。このシナリオでは、データ インターフェイスからコピーする必要がある場合にそのインターフェイスを指定します。
例
次に、 tftp-server コマンドにサーバとファイル名を設定してから、 configure net コマンドを使用してサーバを上書きする例を示します。同じファイル名が使用されています。
次に、サーバおよびファイル名を上書きする例を示します。ファイル名へのデフォルト パスは /tftpboot/configs/config1 です。ファイル名をスラッシュ(/)で始めない場合、パスの /tftpboot/ 部分がデフォルトで含まれます。このパスを上書きし、ファイルも tftpboot にある場合は、tftpboot パスを configure net コマンドに含めます。
次に、サーバだけを tftp-server コマンドに設定する例を示します。 configure net コマンドはファイル名だけを指定します。
関連コマンド
|
|
|
|---|---|
configure session
ACL やオブジェクトを隔離して編集できるコンフィギュレーション セッションを作成または開くには、特権 EXEC モードで configure session コマンドを使用します。
configure session session_name
構文の説明
コンフィギュレーション セッションの名前。セッションがすでに存在する場合は、そのセッションを開きます。そうでない場合は、新しいセッションを作成します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクセス ルールまたは他の目的に使用する ACL を編集すると、その変更はすぐに実装され、トラフィックに影響を与えます。新しいルールがアクティブになるのはルールのコンパイルが完了した後のみとし、そのコンパイルは各 ACE を編集した後に発生することを、トランザクション コミット モデルによって保証するために、アクセス ルールを使用できます。
ACL 編集の影響をさらに分離するには、「コンフィギュレーション セッション」で変更を行うことができます。このセッションは、変更内容を明示的にコミットする前に、複数の ACE やオブジェクトを編集できる隔離されたモードです。このため、デバイスの動作を変更する前に、目的のすべての変更が完了したことを確認できます。
新しいセッションを作成するか、または既存のセッションを開くには、 configure session コマンドを使用します。他のユーザが編集のためにセッションをすでに開いている場合は、そのセッションを開くことはできません。セッションが実際には編集されていないと判断した場合は、 clear session session_name access コマンドを使用してアクセス フラグをリセットしてから、そのセッションを開くことができます。
– exit :セッションを単に終了し、変更のコミットや廃棄は行わないため、後で戻ることができます。
– commit [ noconfirm [ revert-save | config-save ]]:(コミットされていないセッションのみ)変更を保存します。セッションを保存するかどうか尋ねられます。リバート セッションを保存( revert-save )しておくと、 revert コマンドで変更を元に戻すことができます。また、コンフィギュレーション セッションを保存( config-save )しておくと、そのセッションで変更したすべての内容を、必要に応じて再度コミットできます。リバート セッションまたはコンフィギュレーション セッションを保存した場合は、変更はコミットされますが、セッションはアクティブのままになります。セッションを開いて、変更を元に戻したり同じ変更を再コミットしたりできます。 noconfirm オプションと任意の適切な save オプションを指定すると、プロンプトが表示されないようにすることができます。
– abort :(コミットされていないセッションのみ)変更を破棄し、セッションを削除します。セッションを保持する場合は、セッションを終了して clear session session_name configuration コマンドを使用します。このコマンドは、セッションを削除せずに空にします。
– revert :(コミットされたセッションのみ)変更を元に戻し、セッションをコミットする前のコンフィギュレーションに戻して、そのセッションを削除します。
– show configuration session [ session_name ]:セッションで行った変更を表示します。
例
関連コマンド
|
|
|
|---|---|
configure terminal
実行コンフィギュレーションをコマンドラインで設定するには、特権 EXEC モードで configure terminal コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、コンフィギュレーションを変更するコマンドを入力できるグローバル コンフィギュレーション モードを開始します。
例
次に、グローバル コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
config-url
システムがコンテキスト コンフィギュレーションをダウンロードする URL を指定するには、コンテキスト コンフィギュレーション モードで config-url コマンドを使用します。
構文の説明
コンテキスト コンフィギュレーションの URL を設定します。すべてのリモート URL は、管理コンテキストからアクセスできる必要があります。次の URL 構文を参照してください。 ASA 5500 シリーズでは、この URL は内部フラッシュ メモリを示します。 disk0 コマンドではなく flash コマンドを使用することもできます。これらはエイリアスになっています。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンテキスト URL を追加すると、システムはただちにコンテキストをロードし、実行中になります。
(注) config-url コマンドを入力する前に、allocate-interface コマンドを入力します。ASA は、コンテキスト コンフィギュレーションをロードする前に、コンテキストにインターフェイスを割り当てる必要があります。コンテキスト コンフィギュレーションには、インターフェイス(interface、nat、global など)を示すコマンドが含まれている場合があります。最初に config-url コマンドを入力した場合、ASA はただちにコンテキスト コンフィギュレーションをロードします。インターフェイスを示すコマンドがコンテキストに含まれている場合、それらのコマンドは失敗します。
ファイル名にファイル拡張子は必要ありませんが、「.cfg」を使用することを推奨します。
管理コンテキスト ファイルは、内部フラッシュ メモリに保存する必要があります。
HTTP または HTTPS サーバからコンテキスト コンフィギュレーションをダウンロードした場合、 copy running-config startup-config コマンドを使用してこれらのサーバに変更内容を戻して保存することはできません。ただし、 copy tftp コマンドを使用して実行コンフィギュレーションを TFTP サーバにコピーできます。
システムは、サーバが利用できない、またはファイルがまだ存在しないためにコンテキスト コンフィギュレーション ファイルを取得できない場合、コマンドライン インターフェイスですぐに設定できるブランクのコンテキストを作成します。
URL を変更するには、新しい URL で config-url コマンドを再入力します。
ASA は、新しいコンフィギュレーションを現在の実行コンフィギュレーションにマージします。同じ URL を再入力した場合でも、保存されたコンフィギュレーションが実行コンフィギュレーションにマージされます。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。実行コンフィギュレーションが空白の場合(たとえば、サーバが使用不可でコンフィギュレーションがダウンロードされなかった場合)は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションをクリアしてから、新しい URL からコンフィギュレーションをリロードすることができます。
例
次に、管理コンテキストを「administrator」に設定し、内部フラッシュ メモリに「administrator」というコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加する例を示します。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。 |
|
connect fxos
Firepower 1000 または 2100 で ASA CLI から FXOS に接続するには、特権 EXEC モードで connect fxos コマンドを入力します。
構文の説明
(オプション)アプライアンスモードの Firepower 1000 または Firepower 2100 では、管理者レベルのアクセスに admin を指定します。このオプションを指定しないと、ユーザのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーション コマンドは使用できないことに注意してください。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アプライアンスモードの Firepower 1000 および 2100
Firepower 1000 および 2100 アプライアンス モードのコンソール ポートは、ASA CLI に接続します(FXOS CLI に接続する Firepower 2100 プラットフォーム モードのコンソールとは異なります)。ASA CLI から、トラブルシューティングのために Telnet を使用して FXOS CLI に接続できます。
ユーザはクレデンシャルの入力を求められません。現在の ASA ユーザ名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、 exit と入力するか、または Ctrl-Shift-6 、 x と入力します。
FXOS 内で、 scope security/show audit-logs コマンドを使用してユーザアクティビティを表示できます。
ASA への接続に SSH または Telnet を使用している場合は、このコマンドを使用して FXOS CLI に接続します。FXOS への認証を求められます。デフォルトのユーザ名: admin およびパスワード: Admin123 を使用します。ASA CLI に戻るには、 exit と入力するか、または Ctrl-Shift-6 、 x と入力します。
初期接続が(コンソール ポートなどでの)FXOS への接続である場合は、 connect asa コマンドを使用すると、ASA CLI に接続できます。当初の接続 CLI に戻るには、 connect コマンドは使用できません。接続を終了させる必要があります。
例
次に、アプライアンスモードの Firepower 1000 または 2100 で FXOS CLI に接続する例を示します。
次に、プラットフォームモードの Firepower 2100 で FXOS CLI に接続する例を示します。
関連コマンド
|
|
|
|---|---|
conn data-rate
負荷の大きいデータを渡すデバイス上の接続を表示するには、特権 EXEC モードで conn data-rate コマンドを使用します。このコマンドには、フローごとのデータレートが既存の接続情報とともに表示されます。データレート別に接続の収集をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
conn data-rate コマンドは、デバイスの全体的な負荷に最も関係している可能性がある接続やユーザを特定する際に最も役立ちます。
例
次の例では、接続データレート収集をイネーブルにする方法について示します。
関連コマンド
|
|
|
|---|---|
conn-rebalance
クラスタのメンバー間の接続再分散をイネーブルにするには、クラスタ グループ コンフィギュレーション モードで conn-rebalance コマンドを使用します。接続再分散をディセーブルにするには、このコマンドの no 形式を使用します。
conn-rebalance [ frequency seconds ]
no conn-rebalance [ frequency seconds ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アップストリームまたはダウンストリーム ルータによるロード バランシングの結果として、フロー分散に偏りが生じた場合は、新しいフローを過負荷のユニットから他のユニットにリダイレクトするように設定できます。既存のフローは他のユニットには移動されません。イネーブルの場合は、ASA は負荷情報を定期的に交換し、新しい接続の負荷を高負荷のデバイスから低負荷のデバイスに移動します。
このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。
例
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
console-replicate
ASA クラスタ内でスレーブ ユニットからマスター ユニットへのコンソール複製をイネーブルにするには、クラスタ グループ コンフィギュレーション モードで console-replicate コマンドを使用します。コンソール複製をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、特定の重大イベントが発生したときに、メッセージを直接コンソールに出力します。コンソール複製をイネーブルにすると、スレーブ ユニットからマスター ユニットにコンソール メッセージが送信されるので、モニタが必要になるのはクラスタのコンソール ポート 1 つだけとなります。
このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。
例
ciscoasa(config)# cluster group cluster1
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
console timeout
認証済みシリアル コンソール セッション( aaa authentication serial console )に対する非アクティブ タイムアウトを設定して、タイムアウト後にユーザがコンソールからログアウトされるようにするには、または認証済みイネーブル セッション( aaa authentication serial console )に対する非アクティブ タイムアウトを設定して、タイムアウト後にユーザが特権 EXEC モードを終了し、ユーザ EXEC モードに戻るようにするには、グローバル コンフィギュレーション モードで console timeout コマンドを使用します。認証済みシリアル コンソール セッションに対する非アクティブ タイムアウトをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コンソール セッションが終了するまでのアイドル時間を分単位(0 ~ 60)で指定します。0 はコンソールがタイムアウトしないことを意味します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
console timeout コマンドは、認証済みのシリアル接続またはイネーブル接続だけに適用されます。このコマンドは、Telnet、SSH、または HTTP のタイムアウトを変更しません。これらのアクセス方式では、独自のタイムアウト値が維持されます。このコマンドは、認証されていないコンソール接続には影響しません。
no console timeout コマンドは、コンソール タイムアウト値をデフォルトのタイムアウトである 0 にリセットします。この値は、コンソールがタイムアウトしないことを意味します。
例
次に、コンソール タイムアウトを 15 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
content-length
HTTP メッセージ本文の長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで content-length コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。
content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
no content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
構文の説明
バイト数を指定します。許容される範囲は、 min オプションでは 1 ~ 65535、 max オプションでは 1 ~ 50000000 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
content-length コマンドをイネーブルにすると、ASA は、設定された範囲内のメッセージだけを許可し、範囲外の場合は指定されたアクションを実行します。ASA に TCP 接続をリセットさせて、Syslog エントリを作成させるには、 action キーワードを使用します。
例
次に、HTTP トラフィックを 100 バイト以上 2000 バイト以下のメッセージに制限する例を示します。メッセージがこの範囲外の場合、ASA は TCP 接続をリセットし、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
context
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで context コマンドを使用します。コンテキストを削除するには、このコマンドの no 形式を使用します。
構文の説明
名前を最大 32 文字のストリングで設定します。この名前では大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンテキスト コンフィギュレーション モードでは、コンテキストで使用できる、コンフィギュレーション ファイルの URL とインターフェイスを指定できます。管理コンテキストがない場合(たとえば、コンフィギュレーションをクリアした場合)、追加する最初のコンテキストは管理コンテキストである必要があります。管理コンテキストを追加するには、 admin-context コマンドを参照してください。管理コンテキストを指定した後、 context コマンドを入力して管理コンテキストを設定します。
コンテキストは、システム コンフィギュレーションを編集することによってのみ削除できます。現在の管理コンテキストはこのコマンドの no 形式を使用して削除することはできません。 clear configure context コマンドを使用してすべてのコンテキストを削除した場合にのみ削除できます。
例
次に、管理コンテキストを「administrator」に設定し、内部フラッシュ メモリに「administrator」というコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加する例を示します。
関連コマンド
|
|
|
|---|---|
copy
ファイルを ASA フラッシュ メモリとの間でコピーするには、特権 EXEC モードで copy コマンドを使用します。
copy [ /noconfirm | /noverify ] [ /pcap ] [ interface_name ] { url | running-config | startup-config } { running-config | startup-config | url }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
|
|||||
|
4.コンテキスト内では、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションのみを外部 URL にコピーできます。 |
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
- コンフィギュレーションを実行コンフィギュレーションにコピーするには、2 つのコンフィギュレーションをマージします。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。
- RSA キーを NVRAM に保存できない場合は、次のエラー メッセージが表示されます。
複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、filename_A.pcap、filename_B.pcap などとなります。ここで、A および B はクラスタ ユニット名です。
(注) ファイル名の末尾にユニット名を追加すると、別の宛先名が生成されます。
パケットキャプチャをディスクにコピーすることもできます。ただし、コピー操作が成功するためには、キャプチャ名を 63 文字未満にしてください。
例
次に、システム実行スペースでファイルをディスクから TFTP サーバにコピーする例を示します。
次に、ファイルをディスク上のある場所からディスク上の別の場所にコピーする例を示します。宛先ファイルの名前は、コピー元のファイルの名前にすることも、別の名前にすることもできます。
次に、ASDM ファイルを TFTP サーバから内部フラッシュ メモリにコピーする例を示します。
次に、コンテキスト内の実行コンフィギュレーションを TFTP サーバにコピーする例を示します。
copy コマンドでは、IP アドレス(上の例の場合)だけでなく、次に示すように DNS 名もサポートされています。
次に、フル パスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトの例を示します。
TFTP サーバをすでに設定している場合は、次のようにファイルの位置や名前を省略できます。
ciscoasa(config)# tftp-server outside 209.165.200.224 tftp/cdisk
ciscoasa(config)# copy capture:abc tftp:/tftp/abc.cap
次に、開発キー署名済みイメージを検証せずにコピーする例を示します。
関連コマンド
|
|
|
|---|---|
cpu hog granular-detection
リアルタイムの占有検出を行い、短期間での CPU 占有しきい値を設定するには、特権 EXEC モードで cpu hog granular-detection コマンドを使用します。
cpu hog granular-detection [ count number ] [ threshold value ]
構文の説明
実行されるコード実行割り込みの数を指定します。有効な値は、1 ~ 10000000 です。デフォルト値および推奨値は 1000 です。 |
|
範囲は 1 ~ 100 です。設定されていない場合はデフォルトが使用されます。デフォルトはプラットフォームによって異なります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
|
|
|
|
|
|
|
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
cpu hog granular-detection コマンドでは、現在のコード実行に 10 ミリ秒ごとに割り込み、割り込みの総数がカウントされます。割り込みによって CPU 占有がチェックされます。存在する場合は、ログに記録されます。このコマンドによって、データ パスでの CPU 占有検出の精度が低下します。
各スケジューラ ベースの占有は、最大 5 つの割り込みベースの占有エントリに関連付けられます。各エントリには最大 3 つのトレースバックが含まれる場合があります。割り込みベースの占有は上書きできません。空き領域がない場合は、新しい占有が廃棄されます。スケジューラ ベースの占有は、LRU ポリシーに従って引き続き再利用され、関連付けられている割り込みベースの占有はそのときにクリアされます。
(注) UDP パケットが小さい ASA 5585-X では、パフォーマンスが影響を受ける可能性があります。
例
関連コマンド
|
|
|
|---|---|
cpu profile activate
CPU プロファイリングを開始するには、特権 EXEC モードで cpu profile activate コマンドを使用します。
cpu profile activate n-samples [ sample-process process-name ] [ trigger cpu-usage cpu % [ process-name ]]
構文の説明
グローバルな CPU 使用率である 5 秒を超えるまでプロファイラを開始しないようにし、CPU 使用率がこの値を下回った場合はプロファイラを停止します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
sample-process process-name 、 trigger cpu-usage cpu % 、および trigger cpu-usage cpu % process-name オプションが追加されました。出力形式が更新されました。 |
使用上のガイドライン
CPU プロファイラは、CPU 使用率が高いプロセスの特定に役立ちます。CPU のプロファイリングでは、タイマー割り込みが発生したときに CPU で動作していたプロセスのアドレスをキャプチャします。このプロファイリングは、CPU の負荷に関係なく、10 ミリ秒ごとに発生します。たとえば、5000 のサンプルを取得する場合、プロファイリングが完了するまで正確に 50 秒かかります。CPU プロファイラが使用する CPU 時間が比較的少ない場合は、サンプルの収集に時間がかかります。CPU プロファイル レコードは、別のバッファでサンプリングされます。
show cpu profile コマンドを cpu profile activate コマンドとともに使用して、ユーザが収集できる情報、および TAC が CPU の問題のトラブルシューティングに使用できる情報を表示します。 show cpu profile dump コマンドの出力は、16 進形式です。
CPU プロファイラが開始条件の発生を待機している場合、 show cpu profile コマンドは次の出力を表示します。
例
次の例では、プロファイラをアクティブ化して、1000 個のサンプルを格納するように指示します。
次に、プロファイリングのステータス(進行中および完了済み)を表示する例を示します。
関連コマンド
|
|
|
|---|---|
coredump enable
コアダンプ機能をイネーブルにするには、coredump enable コマンドを入力します。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
coredump enable [ filesystem disk n : [ size [ default | size ]]
no coredump enable [ filesystem disk n : [ size [ default | size ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
(注) 4100/9300 プラットフォームで動作している ASA の場合は、ブートストラップ CLI モードを使用してコアダンプを処理します。
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能をイネーブルにすると、重要なトラブルシューティング情報が提供されます。この機能をディセーブルにすると、システムのクラッシュ時にすべてのコンポーネントのコアダンプ ファイルが生成されなくなります。また、この機能をディセーブルにしても、前のコアダンプ ファイル システム イメージやコアダンプ ファイル システム イメージの内容は削除されません。コアダンプをイネーブルにすると、コアダンプ ファイル システムの作成を許可するように求めるプロンプトが表示されます。このプロンプトは確認であり、作成されるコアダンプ ファイル システムのサイズ(MB 単位)が含まれます。コアダンプをイネーブルまたはディセーブルにした後に、コンフィギュレーションを保存することが重要です。
コアダンプを有効にする前に、ASA デバイスで現在使用可能なディスク領域を認識しておく必要があります。ASA に十分なディスク領域がある場合にのみ、コアダンプを有効にします。コアダンプに割り当てられているディスク領域の容量は、現在 ASA プラットフォームとその標準メモリの次のような構成に基づいています。
- ASA5505、ASA5510、ASA552 の場合は 60 MB
- ASA5540 の場合は 100 MB
- ASA5550、ASA5580 の場合は 200 MB
- ASA5585 の場合は 300 MB
デフォルトのコアダンプが大きすぎて使用可能なフラッシュメモリに保存できない場合、ASA はエラーをスローします。
コアダンプをイネーブルにすると、次のファイル要素が作成されます。これらのファイル要素を明示的に操作しないでください。
- coredumpfsys:コアダンプ イメージが含まれるディレクトリ
- coredumpfsysimage.bin:コアダンプの管理に使用されるコアダンプ ファイル システム イメージ
- coredumpinfo:コアダンプ ログが含まれるディレクトリ
(注) コアダンプをディセーブルにしても、crashinfo ファイルの生成には影響がありません。
ASA でのアプリケーションまたはシステムのクラッシュをトラブルシューティングするために、コアダンプ機能をイネーブルにすることを Cisco TAC が依頼する場合があります。
(注) 後続のコアダンプで、現在のコアダンプを格納するために前のコアダンプが削除される場合があるため、コアダンプ ファイルを必ずアーカイブしてください。コアダンプ ファイルは、設定されたファイル システム(たとえば、「disk0:/coredumpfsys」や「disk1:/coredumpfsys」)に配置され、ASA から削除できます。
1. / ルート ディレクトリになっていることを確認します。コンソールのディレクトリの場所を確認するには、 pwd コマンドを入力します。
2. 必要に応じて、 cd disk0:/ または cd disk1:/ コマンドを入力して、ディレクトリを変更します。
3. coredump enable コマンドを入力します。
coredump コマンドを使用して ASA 上のクラッシュをトラブルシューティングするときに、クラッシュ後にコアダンプ ファイルが保存されないことがあります。このことは、コアダンプ機能がイネーブルになっており、かつ事前に割り当てられたディスク領域を使用してコアダンプ ファイル システムが作成されている場合に発生する可能性があります。この状態は、通常、数週間ビジーな状態が継続した ASA で大量の RAM が割り当てられ、その後に発生したクラッシュをトラブルシューティングする場合に発生します。
show coredump コマンドの出力に、次のような内容が示されます。
この問題の発生を抑制するには、フル メモリを格納できるだけの十分な容量があるコアダンプ ファイル システム カードを使用し、対応する領域をコアダンプ ファイル システムに割り当てる必要があります。
例
次の例の各 ! は、書き込まれる 1 MB のコアダンプ ファイル システムを表しています。
次に、デフォルト値および disk0: を使用して、コアダンプ ファイル システムを作成する例を示します。
次に、 disk1: 上に 120 MB のコアダンプ ファイル システムを作成して、ファイル システムおよびサイズを指定する例を示します。
次に、コアダンプ ファイル システムのサイズを 120 MB から 100 MB に変更する例を示します。
(注) 120 MB のコアダンプ ファイル システムの内容は保持されないため、変更する前に、前のコアダンプを必ずアーカイブしてください。
次に、 disk0: 上で最初にコアダンプをイネーブルにし、次に disk1: 上でイネーブルにする例を示します。 default キーワードを使用していることにも注意してください。
(注) 2 つのアクティブなコアダンプ ファイル システムは許可されないため、先に進む前に、前のコアダンプ ファイル システムを削除する必要があります。
次に、コアダンプ ファイル システムをディセーブルにする例を示します。ただし、現在のコアダンプ ファイル システム イメージおよびその内容は影響を受けません。
コアダンプを再度イネーブルにするには、コアダンプ ファイル システムを設定するために最初に使用したコマンドを再入力します。
次に、コアダンプをディセーブルにし、再度イネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
crashinfo console disable
コンソールへのクラッシュ情報の出力を抑制するには、グローバル コンフィギュレーション モードで crashinfo console disable コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、コンソールへのクラッシュ情報の出力を抑制できます。クラッシュ情報には、デバイスに接続しているすべてのユーザに表示するのは適切でない機密情報が含まれている場合があります。このコマンドとともに、クラッシュ情報がフラッシュに書き込まれていることも確認する必要があります。これはデバイスのリブート後に確認できます。このコマンドは、クラッシュ情報および checkheaps の出力に影響を与えます。この出力はフラッシュに保存され、トラブルシューティングに十分に役立ちます。
例
次に、コンソールへのクラッシュ情報の出力を抑制する例を示します。
関連コマンド
|
|
|
|---|---|
crashinfo force
ASA を強制的にクラッシュするには、特権 EXEC モードで crashinfo force コマンドを使用します。
crashinfo force [ page-fault | watchdog | dump [ process name ]]
構文の説明
(任意)指定されたプロセス コア ダンプを収集し、システムをクラッシュします。使用可能なプロセスを表示するには、 show kernel process コマンドを使用します。特定のプロセスが強制終了不能なプロセスである場合、ASA は適切なエラー メッセージを発行し、そのプロセスを強制終了しません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crashinfo force コマンドを使用して、クラッシュ出力の生成をテストできます。クラッシュ出力では、本物のクラッシュを、 crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドによって発生したクラッシュと区別できません。これは、これらのコマンドによって実際にクラッシュが発生しているためです。ASA は、クラッシュのダンプが完了するとリロードします。
実働環境では
crashinfo force コマンドを使用しないでください。
crashinfo force コマンドは ASA をクラッシュさせて、強制的にリロードを実行します。
例
次に、 crashinfo force page-fault コマンドを入力したときに表示される警告の例を示します。
キーボードの Return キーまたは Enter キーを押して復帰改行を入力するか、"Y" または "y" を入力すると、ASA がクラッシュしてリロードが実行されます。これらのすべての応答は、確認として解釈されます。その他の文字はすべて no と解釈され、ASA はコマンドライン プロンプトに戻ります。
関連コマンド
crashinfo save disable
フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにするには、グローバル コンフィギュレーション モードで crashinfo save コマンドを使用します。フラッシュ メモリへのクラッシュ情報の書き込みを許可し、デフォルトの動作に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
crashinfo save enable コマンドは廃止されました。代わりに、 no crashinfo save disable コマンドを使用します。 |
使用上のガイドライン
クラッシュ情報は、まずフラッシュ メモリに書き込まれ、次にコンソールに書き込まれます。
(注) ASA が起動中にクラッシュした場合、クラッシュ情報ファイルは保存されません。ASA は、完全に初期化され、動作を開始した後に、クラッシュ情報をフラッシュ メモリに保存できます。
フラッシュ メモリへのクラッシュ情報の保存をもう一度イネーブルにするには、no crashinfo save disable コマンドを使用します。
例
次に、フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにする例を示します。
関連コマンド
crashinfo test
フラッシュ メモリのファイルにクラッシュ情報を保存する ASA の機能をテストするには、特権 EXEC モードで crashinfo test コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザが使用可能なクラッシュ情報ファイルは、crashinfo-test_YYYYMMDD_HHMMSS_UTC 形式で保存されます。コマンド出力には、実際のクラッシュ情報は表示されません。フラッシュ メモリ内に以前のクラッシュ情報ファイルがすでに存在する場合、そのファイルは上書きされます。
(注) crashinfo test コマンドを入力しても ASA はクラッシュしません。
例
関連コマンド
crl(廃止)
CRL コンフィギュレーション オプションを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで crl コマンドを使用します。
crl { required | optional | nocheck }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントに対してピア証明書を検証する場合に CRL を必須とする例を示します。
関連コマンド
|
|
|
|---|---|
crl cache-time
ASA によってリフレッシュされる前に trustpool CRL を CRL キャッシュ内に残す時間(分)を設定するには、CA trustpool コンフィギュレーション モードで crl cache-time コマンドを使用します。デフォルト値の 60 分をそのまま使用するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、トラストポイント コンフィギュレーション モードでサポートされているこのコマンドのバージョンと整合性があります。
例
関連コマンド
|
|
|
|---|---|
crl configure
CRL コンフィギュレーション モードを開始するには、クリプト CA トラストポイント コンフィギュレーション モードで crl configure コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central の CRL コンフィギュレーション モードを開始する例を示します。
crl enforcenextupdate
CRL の NextUpdate フィールドの処理方法を指定するには、CA trustpool コンフィギュレーション モードで crl enforcenextupdate コマンドを使用します。イネーブルの場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。この制限を適用しないようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
イネーブルの場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。このコマンドは、トラストポイント コンフィギュレーション モードでサポートされているこのコマンドのバージョンと整合性があります。
関連コマンド
|
|
|
|---|---|
フィードバック