-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
- crypto isakmp disconnect-notify
- crypto isakmp identity
- crypto isakmp nat-traversal
- crypto isakmp policy authentication
- crypto isakmp policy encryption
- crypto isakmp policy group
- crypto isakmp policy hash
- crypto isakmp policy lifetime
- crypto isakmp reload-wait
- crypto key generate
- crypto key zeroize
- crypto large-cert-acceleration enable(廃止)
- crypto map interface
- crypto map ipsec-isakmp dynamic
- crypto map match address
- crypto map set connection-type
- crypto map set df-bit
- crypto map set ikev1 phase1-mode
- crypto map set ikev2 ipsec-proposal
- crypto map set ikev2 mode
- crypto map set ikev2 phase1-mode
- crypto map set ikev2 pre-shared-key
- crypto map set inheritance
- crypto map set nat-t-disable
- crypto map set peer
- crypto map set pfs
- crypto map set reverse-route
- crypto map set security-association lifetime
- crypto map set tfc-packets
- crypto map set transform-set
- crypto map set trustpoint
- crypto map set validate-icmp-errors
- csc
- csd enable(廃止)
- csd hostscan image(廃止)
- csd image(廃止)
- ctl
- ctl-file(廃止)
- ctl-provider
- cts import-pac
- cts manual
- cts refresh environment-data
- cts role-based sgt-map
- cts server-group
- cts sxp connection peer
- cts sxp default password
- cts sxp default source-ip
- cts sxp delete-hold-down period
- cts sxp enable
- cts sxp mapping network-map
- cts sxp reconciliation period
- cts sxp retry period
- customization
- cxsc
- cxsc auth-proxy port
crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
crypto isakmp disconnect-notify
ピアに対する切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで crypto isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp disconnect-notify
no crypto isakmp disconnect-notify
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp disconnect-notify コマンドが、 crypto isakmp disconnect-notify コマンドに置き換えられました。 |
|
使用上のガイドライン
次の削除理由を使用して、ピアに対する切断通知をイネーブルにできます。
- IKE_DELETE_RESERVED = 0
無効なコード。送信しません。 - IKE_DELETE_BY_ERROR = 1
タイムアウトの伝送エラー、またはキープアライブやその他の IKE パケット ACK に対する応答が予期されるときに発生した障害。デフォルトのテキストは「Connectivity to client lost.」です。 - IKE_DELETE_BY_USER_COMMAND = 2
SA は、ユーザまたは管理者の手動による介入によって削除されました。デフォルトのテキストは「Manually Disconnected by Administrator.」です。 - IKE_DELETE_BY_EXPIRED_LIFETIME = 3
SA の期限が切れています。デフォルトのテキストは「Maximum Configured Lifetime Exceeded.」です。 - IKE_DELETE_NO_ERROR = 4
不明なエラーにより削除されました。 - IKE_DELETE_SERVER_SHUTDOWN = 5
サーバをシャットダウンしています。 - IKE_DELETE_SERVER_IN_FLAMES = 6
サーバに重大な問題があります。デフォルトのテキストは「Peer is having heat problems.」です。 - IKE_DELETE_MAX_CONNECT_TIME = 7
アクティブなトンネルの最大許容時間が経過しました。EXPIRED_LIFETIME とは異なり、この理由は、この 1 つの SA だけでなく、IKE ネゴシエート/制御されたトンネル全体が切断されることを示します。デフォルトのテキストは「Maximum Configured Connection Time Exceeded.」です。 - IKE_DELETE_IDLE_TIMEOUT = 8
トンネルがアイドル状態のまま最大許容時間が経過しました。そのため、この 1 つの SA だけでなく、IKE ネゴシエートされたトンネル全体が切断されます。デフォルトのテキストは「Maximum Idle Time for Session Exceeded.」です。 - IKE_DELETE_SERVER_REBOOT = 9
サーバを再起動しています。 - IKE_DELETE_P2_PROPOSAL_MISMATCH = 10
Phase2 プロポーザルの不一致。 - IKE_DELETE_FIREWALL_MISMATCH = 11
ファイアウォール パラメータの不一致。 - IKE_DELETE_CERT_EXPIRED = 12
ユーザ認定が必要です。デフォルトのメッセージは「User or Root Certificate has Expired.」です。 - IKE_DELETE_CLIENT_NOT_ALLOWED = 13
許可されていないクライアント タイプまたはバージョン。 - IKE_DELETE_FW_SERVER_FAIL = 14
Zone Integrity サーバに接続できませんでした。 - IKE_DELETE_ACL_ERROR = 15
AAA からダウンロードされた ACL は挿入できません。デフォルトのメッセージは「ACL parsing error.」です。
例
次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。
関連コマンド
|
|
|
|---|---|
crypto isakmp identity
フェーズ 1 ID をピアに送信するように設定するには、グローバル コンフィギュレーション モードで crypto isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
crypto isakmp identity { address | hostname | key-id key-id-string | auto }
no crypto isakmp identity { address | hostname | key-id key-id-string | auto }
構文の説明
ISAKMP ネゴシエーションを、接続のタイプ(事前共有キーの IP アドレス、または証明書認証用の証明書 DN)によって判別します。 |
|
ISAKMP 識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp identity コマンドが、 crypto isakmp identity コマンドに置き換えられました。 |
|
例
次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPsec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。
関連コマンド
|
|
|
|---|---|
crypto isakmp nat-traversal
NAT トラバーサルをグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで ISAKMP がイネーブルになっていることを確認します(イネーブルにするには crypto isakmp enable コマンドを使用します)。NAT トラバーサルをディセーブルにするには、このコマンドの no 形式を使用します。
crypto isakmp nat-traversal natkeepalive
no crypto isakmp nat-traversal natkeepalive
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp nat-traversal コマンドが、 crypto isakmp nat-traversal コマンドに置き換えられました。 |
|
使用上のガイドライン
NAT(PAT を含む)は、IPsec も使用されている多くのネットワークで使用されていますが、IPsec パケットが NAT デバイスを正常に通過することを妨げる非互換性が数多くあります。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。
ASA は、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおりに NAT トラバーサルをサポートしています。また、ダイナミック クリプト マップとスタティック クリプト マップの両方で NAT トラバーサルをサポートしています。
このコマンドは、ASA 上で NAT-T をグローバルにイネーブルにします。クリプト マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。
例
次に、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、NAT トラバーサルのキープアライブ間隔を 30 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto isakmp policy authentication
IKE ポリシー内の認証方式を指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy authentication コマンドを使用します。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。
crypto isakmp policy priority authentication { crack | pre-share | rsa-sig }
構文の説明
IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
|
| RSA シグニチャにより、IKE ネゴシエーションに対して否認防止を実行できます。これは基本的に、ユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy authenticatio n コマンドが、 crypto isakmp policy authentication コマンドに置き換えられました。 |
使用上のガイドライン
IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。
RSA シグニチャを指定する場合は、CA サーバから証明書を取得するように ASA とそのピアを設定する必要があります。事前共有キーを指定する場合は、ASA とそのピアに、事前共有キーを別々に設定する必要があります。
例
次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy authentication コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーで RSA シグネチャの認証方式を使用するように設定します。
関連コマンド
|
|
|
|---|---|
crypto isakmp policy encryption
IKE ポリシーで使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。
crypto isakmp policy priority encryption { aes | aes-192 | aes-256 | des | 3des }
no crypto isakmp policy priority encryption { aes | aes-192 | aes-256 | des | 3des }
構文の説明
IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy encryption コマンドが、 crypto isakmp policy encryption コマンドに置き換えられました。 |
例
次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy encryption コマンドを使用する例を示します。この例では、プライオリティ番号 25 の IKE ポリシーに使用するアルゴリズムとして 128 ビット キーの AES 暗号化を設定します。
次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto isakmp policy group
IKE ポリシーに対して Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy group コマンドを使用します。Diffie-Hellman グループ ID をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
crypto isakmp policy priority group { 1 | 2 | 5 }
no crypto isakmp policy priority group
構文の説明
IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。これはデフォルト値です。 |
|
IIKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy group コマンドが、 crypto isakmp policy group コマンドに置き換えられました。 |
|
group 7 コマンド オプションは廃止されました。グループ 7 を設定しようとするとエラー メッセージが生成され、代わりにグループ 5 が使用されます。 |
使用上のガイドライン
IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。
グループ オプションには、768 ビット(DH グループ 1)、1024 ビット(DH グループ 2)、および 1536 ビット(DH グループ 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。
(注
) Cisco VPN Client のバージョン 3.x 以上では、ISAKMP ポリシーで DH グループ 2 を使用する必要があります(DH グループ 1 に設定すると、Cisco VPN Client は接続できません)。
AES は、VPN-3DES のライセンスがある ASA に限りサポートされます。AES では大きなキー サイズが提供されるため、ISAKMP ネゴシエーションでは Diffie-Hellman(DH)グループ 1 やグループ 2 ではなく、グループ 5 を使用する必要があります。グループ 5 を設定するには、crypto isakmp policy priority group 5 コマンドを使用します。
例
次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy group コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーに対し、グループ 2、1024 ビットの Diffie Hellman を使用するように設定しています。
関連コマンド
|
|
|
|---|---|
crypto isakmp policy hash
IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy hash コマンドを使用します。ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。
crypto isakmp policy priority hash { md5 | sha }
no crypto isakmp policy priority hash
構文の説明
プライオリティをポリシーに一意に指定および割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy hash コマンドが、 crypto isakmp policy hash コマンドに置き換えられました。 |
使用上のガイドライン
IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。
ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。
例
次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy hash コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーに MD5 ハッシュ アルゴリズムを使用することを指定します。
関連コマンド
|
|
|
|---|---|
crypto isakmp policy lifetime
IKE セキュリティ アソシエーションが期限切れになるまでのライフタイムを指定するには、グローバル コンフィギュレーション モードで crypto isakmp policy lifetime コマンドを使用します。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。
crypto isakmp policy priority lifetime seconds
no crypto isakmp policy priority lifetime
構文の説明
IKE ポリシーを一意に識別し、そのポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
|
各セキュリティ アソシエーションが期限切れになるまでの秒数を指定します。有限のライフタイムを提示するには、120 ~ 2147483647 秒の整数を使用します。無制限のライフタイムの場合は、0 秒を使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy lifetime コマンドが、 crypto isakmp policy lifetime コマンドに置き換えられました。 |
使用上のガイドライン
IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。ピアがライフタイムを提示していない場合は、無限のライフタイムを指定できます。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPsec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。
ライフタイムを長くするほど、ASA は以後の IPSec セキュリティ アソシエーションをより迅速にセットアップします。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨します。
(注) IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。
例
次に、グローバル コンフィギュレーション モードで、プライオリティ番号 40 の IKE ポリシーに IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定する例を示します。
次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。
関連コマンド
crypto isakmp reload-wait
すべてのアクティブなセッションが自発的に終了しないと ASA をリブートできないようにするは、グローバル コンフィギュレーション モードで crypto isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずに ASA をリブートするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp reload-wait コマンドが、 crypto isakmp reload-wait コマンドに置き換えられました。 |
|
例
次に、グローバル コンフィギュレーション モードを開始し、すべてのアクティブ セッションが終了するまで待機してからリブートすることを ASA に指示する例を示します。
関連コマンド
|
|
|
|---|---|
crypto key generate
アイデンティティ証明書用のキー ペアを生成するには、グローバル コンフィギュレーション モードで crypto key generate コマンドを使用します。このコマンドは、RSA と楕円曲線署名アルゴリズム(ECDSA)キーによって異なります。
crypto key generate rsa [ usage-keys | general-keys ] [ label key-pair-label ] [ modulus size ] [ noconfirm ]
crypto key generate ecdsa [ label key-pair-label ] elliptic-curve [ 256 | 384 | 521 ] [ noconfirm ]
構文の説明
デフォルト
デフォルトの RSA キー ペアのタイプは、 general key です。デフォルトのモジュラス サイズは 2048 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSL、SSH、および IPsec 接続をサポートするためにキー ペアを生成するには、 crypto key generate コマンドを使用します。生成されたキー ペアは、コマンド構文の一部として指定できるラベルで識別されます。キー ペアを参照しないトラストポイントは、デフォルトの Default-RSA-Key を使用できます。SSH 接続では常にこのキーが使用されます。SSL は独自の証明書やキーをダイナミックに生成するため、証明書やキーがトラストポイントに設定されていない限り、このことは SSL に影響を与えません。
例
次に、ラベル mypubkey を持つ RSA キー ペアを生成する例を示します。
次に、デフォルトのラベルを持つ RSA キー ペアを生成する例を示します。
次に、ECDSA キーを生成する例を示します。RSA キーペアを保存するための十分なスペースがないため警告メッセージが表示されます。
関連コマンド
|
|
|
|---|---|
crypto key zeroize
指定したタイプのキー ペアを削除するには、グローバル コンフィギュレーション モードで crypto key zeroize コマンドを使用します。
crypto key zeroize { rsa | ecdsa } [ label key-pair-label ] [ default ] [ noconfirm ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、グローバル コンフィギュレーション モードで、すべての RSA キー ペアを削除する例を示します。
関連コマンド
|
|
|
|---|---|
crypto large-cert-acceleration enable(廃止)
ASA がハードウェアで 2048 ビットの RSA キー演算を実行できるようにするには、グローバル コンフィギュレーション モードで crypto large-cert-acceleration enable コマンドを使用します。ソフトウェアで 2048 ビットの RSA キー演算を実行するには、 no crypto large-cert-acceleration enable コマンドを使用します。
crypto large-cert-acceleration enable
no crypto large-cert-acceleration enable
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto engine large-mod-accel コマンドに置き換えられました。 |
使用上のガイドライン
このコマンドは、ASA 5510、ASA 5520、ASA 5540、および ASA 5550 でのみ使用できます。このコマンドは、ASA 5580 では使用できません。
例
次に、2048 ビットの RSA キー演算がハードウェアでイネーブルになっている例を示します。
ciscoasa (config)# show running-config crypto large-cert-acceleration
ciscoasa (config)#
関連コマンド
|
|
|
|---|---|
2048 ビットの RSA キー コンフィギュレーションを、残りのクリプト コンフィギュレーションとともにクリアします。 |
|
crypto map interface
以前に定義したクリプト マップ セットをインターフェイスに適用するには、グローバル コンフィギュレーション モードで crypto map interface コマンドを使用します。このクリプト マップ セットをインターフェイスから削除するには、このコマンドの no 形式を使用します。
crypto map map-name interface interface-name [ipv6-local-address ipv6-address]
no crypto map map-name interface interface-name [ipv6-local-address ipv6-address]
構文の説明
構文の説明構文の説明
ASA が VPN ピアとのトンネルの確立に使用するインターフェイスを指定します。ISAKMP がイネーブルになっており、CA を使用して証明書を取得する場合は、CA 証明書で指定されているアドレスを持つインターフェイスにする必要があります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、クリプト マップ セットを任意のアクティブな ASA のインターフェイスに割り当てます。ASA では、あらゆるアクティブ インターフェイスを IPsec の終端にすることができます。インターフェイスで IPSec サービスを提供するには、事前にそのインターフェイスにクリプト マップ セットを割り当てる必要があります。
インターフェイスに割り当てることができるクリプト マップ セットは 1 つだけです。同じマップ名でシーケンス番号が異なるクリプト マップ エントリが複数ある場合、それらのエントリは同じセットの一部であり、そのインターフェイスにすべて適用されます。ASA は、シーケンス番号が最も小さいクリプト マップ エントリを最初に評価します。
インターフェイスに複数の IPv6 アドレスが設定されており、IPv6 環境で LAN-to-LAN VPN トンネルをサポートするように ASA を設定する場合、ipv6-local-address キーワードを使用します。
(注) ASA では、クリプト マップ、ダイナミック マップ、および IPSec 設定を、オンザフライで変更できます。設定を変更する場合、変更によって影響を受ける接続のみが ASA によって停止させられます。たとえば、アクセス リスト内のエントリを削除して、クリプト マップに関連付けられた既存のアクセス リストを変更した場合、関連する接続だけがダウンします。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。
すべてのスタティック クリプト マップでは、アクセス リスト、トランスフォーム セット、および IPsec ピアという 3 つの部分を定義する必要があります。これらの 1 つが欠けている場合、そのクリプト マップは不完全であるため、ASA は次のエントリに進みます。ただし、クリプト マップがアクセス リストと一致し、他の 2 つの要件のいずれか、または両方と一致しない場合には、ASA はトラフィックを廃棄します。
すべてのクリプト マップが完全であることを確認するには、show running-config crypto map コマンドを使用します。不完全なクリプト マップを修正するには、クリプト マップを削除し、欠けているエントリを追加してからクリプト マップを再適用します。
例
次に、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップ セットを外部インターフェイスに割り当てる例を示します。トラフィックは、この outside インターフェイスを通過するとき、ASA によって mymap セット内のすべてのクリプト マップ エントリを使用して評価されます。発信トラフィックが、いずれかの mymap クリプト マップ エントリのアクセス リストと一致する場合、ASA はそのクリプト マップ エントリのコンフィギュレーションを使用して、セキュリティ アソシエーションを形成します。
次に、必要最小限のクリプト マップ エントリ コンフィギュレーションの例を示します。
関連コマンド
|
|
|
|---|---|
crypto map ipsec-isakmp dynamic
所定のクリプト マップ エントリで既存のダイナミック クリプト マップを参照させるようにするには、グローバル コンフィギュレーション モードで crypto map ipsec-isakmp dynamic コマンドを使用します。クロス リファレンスを削除するには、このコマンドの no 形式を使用します。
ダイナミック クリプト マップ エントリを作成するには、 crypto dynamic-map コマンドを使用します。ダイナミック クリプト マップ セットを作成した後に、 crypto map ipsec-isakmp dynamic コマンドを使用して、ダイナミック クリプト マップ セットをスタティック クリプト マップに追加します。
crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
no crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クリプト マップ エントリを定義してから、 crypto map interface コマンドを使用して、ダイナミック クリプト マップ セットをインターフェイスに割り当てることができます。
ダイナミック クリプト マップを使用することで、保護の対象となるトラフィックのフィルタリングと分類、そのトラフィックに適用するポリシーの定義という 2 つの機能を利用できます。最初の機能はインターフェイス上のトラフィック フローが対象となり、2 番めの機能はそのトラフィックのために(IKE を通じて)実行されるネゴシエーションが対象となります。
IPsec ダイナミック クリプト マップでは、次のことを指定します。
- 保護するトラフィック
- セキュリティ アソシエーションを確立する IPsec ピア
- 保護対象のトラフィックとともに使用するトランスフォーム セット
- キーおよびセキュリティ アソシエーションの使用方法または管理方法
クリプト マップ セットとは、それぞれ異なるシーケンス番号( seq-num )を持つが、マップ名が同じであるクリプト マップ エントリの集合です。したがって、所定のインターフェイスで、あるトラフィックには指定のセキュリティを適用してピアに転送し、その他のトラフィックには別の IPsec セキュリティを適用して同じまたは別のピアに転送できます。これを行うには、マップ名は同じであるが、シーケンス番号がそれぞれ異なる 2 つのクリプト マップ エントリを作成します。
seq-num 引数として割り当てる番号は、任意に決定しないでください。この番号によって、クリプト マップ セット内の複数のクリプト マップ エントリにランクが付けられます。小さいシーケンス番号のクリプト マップ エントリは、大きいシーケンス番号のマップ エントリよりも先に評価されます。つまり、番号の小さいマップ エントリの方がプライオリティが高くなります。
(注) クリプト マップをダイナミック クリプト マップにリンクする場合は、ダイナミック クリプト マップを指定する必要があります。指定すると、crypto dynamic-map コマンドを使用して以前に定義した既存のダイナミック クリプト マップにクリプト マップがリンクされます。クリプト マップ エントリが変換された後に加えた変更は、有効になりません。たとえば、set peer 設定への変更は有効になりません。ただし、ASA は起動中に変更を保存します。ダイナミック クリプト マップをクリプト マップに変換して戻す場合、この変更は有効となり、show running-config crypto map コマンドの出力に表示されます。ASA は、リブートされるまでこれらの設定を維持します。
例
次に、グローバル コンフィギュレーション モードで、mymap というクリプト マップが test というダイナミック クリプト マップを参照するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map match address
アクセス リストをクリプト マップ エントリに割り当てるには、グローバル コンフィギュレーション モードで crypto map match address コマンドを使用します。クリプト マップ エントリからアクセス リストを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num match address acl_name
no crypto map map-name seq-num match address acl_name
構文の説明
暗号化アクセス リストの名前を指定します。この名前は、一致対象となる名前付き暗号化アクセス リストの名前引数と一致している必要があります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべてのスタティッククリプトマップに対して必要です。 crypto dynamic-map コマンドを使用してダイナミック クリプト マップを定義する場合、このコマンドは必須ではありませんが、使用することを強く推奨します。
アクセス リストを定義するには、 access-list コマンドを使用します。アクセス リストのヒット カウントは、トンネルが開始されたときにのみ増加します。トンネルが動作状態になると、パケット単位のフローではヒット カウントは増加しません。トンネルがドロップされてから再開されると、ヒット カウントは増加します。
ASA は、アクセス リストを使用して、IPsec クリプトで保護するトラフィックと保護を必要としないトラフィックとを区別します。また、許可 ACE に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが確実に保護されるようにします。
ASA は、パケットが deny ステートメントと一致すると、クリプト マップ内の残りの ACE を使用したパケットの評価を省略して、順番に次のクリプト マップ内の ACE を使用したパケットの評価を再開します。 ACL のカスケード処理 には、ACL 内の残りの ACE の評価をバイパスする拒否 ACE の使用、およびクリプト マップ セット内の次のクリプト マップに割り当てられた ACL を使用したトラフィックの評価の再開が含まれています。クリプト マップごとに異なる IPsec 設定を関連付けることができるため、拒否 ACE を使用することで、特別なトラフィックを対応するクリプト マップでの以後の評価から除外し、異なるセキュリティを提供する別のクリプト マップ、または異なるセキュリティを必要とする別のクリプト マップの permit 文と特別なトラフィックを照合することができます。
(注) クリプト アクセス リストでは、インターフェイスを通過するトラフィックを許可するかどうかは判別されません。このような判別は、access-group コマンドを使用してインターフェイスに直接適用されるアクセス リストによって行われます。
トランスペアレント モードでは、宛先アドレスは ASA の IP アドレス、管理アドレスである必要があります。トランスペアレント モードでは、ASA へのトンネルだけが許可されます。
関連コマンド
|
|
|
|---|---|
crypto map set connection-type
クリプト マップ エントリのバックアップ サイト間機能の接続タイプを指定するには、グローバル コンフィギュレーション モードで crypto map set connection-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
crypto map m ap-name seq-num set connection-type { answer-only | originate-only | bidirectional }
no crypto map map-name seq-num set connection-type { answer-only | originate-only | bidirectional }
構文の説明
ピアが、クリプト マップ エントリに基づいて接続を受け入れ、発信できることを指定します。これは、すべての Site-to-Site 接続のデフォルトの接続タイプです。 |
|
クリプト マップ エントリのバックアップ サイト間機能の接続タイプを指定します。answer-only、originate-only、および bidirectional の 3 つのタイプの接続があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto map set connection-type コマンドは、バックアップ LAN-to-LAN 機能の接続タイプを指定します。接続の一方の側で複数のバックアップ ピアを指定できます。
- 2 つの Cisco ASA 5500 シリーズ
- Cisco ASA 5500 シリーズと Cisco VPN 3000 コンセントレータ
- Cisco ASA 5500 シリーズと、Cisco PIX セキュリティ アプライアンス ソフトウェア バージョン 7.0 以上を実行しているセキュリティ アプライアンス
バックアップ LAN-to-LAN 接続を設定するには、接続の一方の側を originate-only キーワードを使用して originate-only として設定し、複数のバックアップ ピアがある側を answer-only キーワードを使用して answer-only として設定することを推奨します。originate-only 側では、 crypto map set peer コマンドを使用してピアのプライオリティを指定します。originate-only ASA は、リストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、ASA はピアが応答するか、またはリストにピアがなくなるまで下に向かってリストを検索します。
(注) IKEv2 は、サイトからサイトへのバックアップをサポートしていません。これは、発信専用または応答専用のキーワードを使用する場合に設定されます。IKEv2 を使用する場合、暗号マップ セット接続タイプは双方向でなければなりません。
このように設定した場合、originate-only ピアは、最初に独自のトンネルを確立してピアとネゴシエートしようとします。その後は、いずれかのピアが通常の LAN-to-LAN 接続を確立することができ、いずれかの側からのデータがトンネル接続を開始できます。
トランスペアレント ファイアウォール モードでは、このコマンドは表示されますが、インターフェイスに対応付けられたクリプト マップに含まれるクリプト マップ エントリでは、connection-type 値は answer-only 以外の値に設定できません。
表10-1 に、サポートされているすべてのコンフィギュレーションを示します。他の組み合わせは、予測不可能なルーティング問題を引き起こす場合があります。
|
|
|
|---|---|
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、接続タイプを originate-only に設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set df-bit
per-signature algorithm(SA)do-not-fragment(DF)ポリシーを設定するには、グローバル コンフィギュレーション モードで crypto map set df-bit コマンドを使用します。DF ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。
crypto map name priority set df-bit [ clear-df | copy-df | set-df ]
no crypto map name priority set df-bit [ clear-df | copy-df | set-df ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
元の DF ポリシー コマンドが保持され、インターフェイスのグローバル ポリシー設定として機能しますが、SA については crypto map コマンドが優先されます。
crypto map set ikev1 phase1-mode
メインまたはアグレッシブへの接続を開始する場合にフェーズ 1 の IKEv1 モードを指定するには、グローバル コンフィギュレーション モードで crypto map set ikev1 phase1-mode コマンドを使用します。フェーズ 1 IKEv1 ネゴシエーションの設定を削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set ikev1 phase1-mode { main | aggressive [group1 | group2 | group5 | group14 | group15 | group16| group19 | group20 | group21 ]}
no crypto map map-name seq-num set ikev1 phase1-mode { main | aggressive [group1 | group2 | group5 | group14 | group15 | group16 | group19 | group20 | group21 ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
group 7 コマンド オプションは廃止されました。グループ 7 を設定しようとするとエラー メッセージが生成され、代わりにグループ 5 が使用されます。 |
|
DH グループ 14、15、および 16 のサポートが追加され、デフォルトとして設定されています。 グループ 1、2 および グループ 5 のオプションは廃止され、以降のリリースで削除されます。 |
|
使用上のガイドライン
このコマンドは、発信側モードでのみ機能します。応答側モードでは機能しません。アグレッシブ モードの Diffie-Hellman グループを含めるかどうかは任意です。含めない場合、ASA はグループ 2 を使用します。
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、グループ 2 を使用してフェーズ 1 のモードをアグレッシブに設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set ikev2 ipsec-proposal
クリプト マップ エントリで使用する IKEv2 プロポーザルを指定するには、グローバル コンフィギュレーション モードで crypto map set ikev2 ipsec-proposal コマンドを使用します。クリプト マップ エントリから特定のプロポーザルを削除するには、プロポーザルの名前を指定してこのコマンドの no 形式を使用します。プロポーザルをすべて指定するか何も指定せずに、クリプト マップ エントリを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set ikev2 ipsec-proposal propsal-name1
[ … proposal-name11 ]
no crypto map map-name seq-num set ikev2 ipsec-proposal propsal-name1
[ … proposal-name11 ]
no crypto map map-name seq-num set ikev2 ipsec-proposal
構文の説明
IKEv2 の IPsec プロポーザルの名前を 1 つ以上指定します。このコマンドで指定するプロポーザルはすべて、 crypto ipsec ikev2 ipsec-proposal コマンドで定義されている必要があります。各暗号マップ エントリは、最大 11 個のプロポーザルをサポートします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
すべてのクリプト マップ エントリに、IKEv1 トランスフォーム セットまたは IKEv2 プロポーザルが必要です。
IPsec IKEv2 の開始側とは反対側にあるピアは、最初に一致したプロポーザルをセキュリティ アソシエーションに使用します。ローカルの ASA がネゴシエーションを開始した場合、ASA は、 crypto map コマンドで指定した順番どおりに、トランスフォーム セットの内容をピアに提示します。ピアがネゴシエーションを開始すると、ローカルの ASA は、クリプト マップ エントリ内の、ピアから送信された IPsec パラメータと一致する最初のプロポーザルを使用します。
IPsec の開始側とは反対側にあるピアが、一致するプロポーザルの値を見つけられない場合、IPsec はセキュリティ アソシエーションを確立しません。トラフィックを保護するセキュリティ アソシエーションがないため、開始側はトラフィックをドロップします。
プロポーザルのリストを変更するには、新しいリストを作成して指定し、古いリストと置き換えます。
次のコマンドを使用してクリプト マップを変更すると、ASA は、指定したシーケンス番号と同じ番号のクリプト マップ エントリだけを変更します。たとえば、次のコマンドを入力すると、ASA は、56des-sha というプロポーザルをリストの最後に挿入します。
次のコマンドの応答は、前の 2 つのコマンドで行った変更を合わせたものになります。
クリプト マップ エントリ内のプロポーザルの順番を再設定するには、エントリを削除し、マップ名とシーケンス番号の両方を指定してから、エントリを再作成します。たとえば、次のコマンドでは、シーケンス番号 3 の map2 というクリプト マップ エントリを再設定します。
例
次に、10 個のプロポーザルで構成された、map2 というクリプト マップ エントリを作成する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set ikev2 mode
クリプト マップ エントリで使用する IKEv2 モードを指定するには、グローバル コンフィギュレーション モードで crypto map set ikev2 mode コマンドを使用します。このモードをリセットするには、コンフィギュレーション モードで このコマンドの no 形式を使用します。
crypto map map-name seq-num set ikev2 mode { transport | transport-require | tunnel }
no crypto map map-name seq-num set ikev2 mode { transport | transport-require | tunnel }
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IKEv2 では、このモードはトンネルに ESP 暗号化と認証を適用するために指定します。これにより、ESP が適用されるオリジナルの IP パケットの部分が決定されます。
デフォルトは tunnel カプセル化モードです。transport カプセル化モードは、ピアがこのモードをサポートしていない場合に tunnel モードにフォールバックできる転送モードです。transport モードは、リモート アクセス VPN では推奨されません。
- tunnel モード(デフォルト):カプセル化モードは tunnel モードになります。tunnel モードでは、ESP 暗号化と認証が元の IP パケット全体(IP ヘッダーおよびデータ)に適用され、最終的な送信元アドレスと宛先アドレスが非表示になります。元の IP データグラム全体が暗号化され、新しい IP パケットのペイロードになります。
このモードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。トンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはトンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりません(これらがトンネルのエンドポイントと同じ場合でも同様)。
- transport モード:カプセル化モードは transport モードになります。ピアがこのモードをサポートしていない場合は tunnel モードにフォールバックできます。transport モードでは IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。
このモードには、各パケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送信元と宛先を認識できるという利点があります。transport モードでは、中間ネットワークでの特別な処理(たとえば QoS)を、IP ヘッダーの情報に基づいて実行できるようになります。ただし、レイヤ 4 ヘッダーが暗号化されるため、パケットの検査が制限されます。
関連コマンド
|
|
|
|---|---|
crypto map set ikev2 phase1-mode
メインまたはアグレッシブへの接続を開始する場合にフェーズ 1 の IKEv2 モードを指定するには、グローバル コンフィギュレーション モードで crypto map set ikev2 phase1-mode コマンドを使用します。フェーズ 1 IKEv2 ネゴシエーションの設定を削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set ikev2 phase1-mode { main | aggressive [ group1 | group2 | group5 ]}
no crypto map map-name seq-num set ikev2 phase1-mode { main | aggressive [ group1 | group2 | group5 ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
group 7 コマンド オプションは廃止されました。グループ 7 を設定しようとするとエラー メッセージが生成され、代わりにグループ 5 が使用されます。 |
|
使用上のガイドライン
このコマンドは、発信側モードでのみ機能します。応答側モードでは機能しません。アグレッシブ モードの Diffie-Hellman グループを含めるかどうかは任意です。含めない場合、ASA はグループ 2 を使用します。
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、グループ 2 を使用してフェーズ 1 のモードをアグレッシブに設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set ikev2 pre-shared-key
AnyConnect IKEv2 接続の事前共有キーを指定するには、グローバル コンフィギュレーション モードで crypto map set ikev2 pre-shared-key コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
crypto map m ap-name seq-num set ikev2 pre-shared-key key
no crypto map m ap-name seq-num set ikev2 pre-shared-key key
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、事前共有キー SKTIWHT を設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set inheritance
クリプト マップ エントリ用に生成されるセキュリティ アソシエーションの精度(シングルまたはマルチ)を設定するには、グローバル コンフィギュレーション モードで set inheritance コマンドを使用します。クリプト マップ エントリの継承の設定を削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set inheritance { data | rule }
no crypto map map-name seq-num set inheritance { data | rule }
構文の説明
継承のタイプを data または rule に指定します。継承では、各セキュリティ ポリシー データベース(SPD)ルールに対して 1 つのセキュリティ アソシエーション(SA)を生成したり、範囲内の各アドレス ペアに対して複数のセキュリティ SA を生成したりすることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA がトンネルに応答しているときではなく、トンネルを開始しているときにのみ機能します。データ設定を使用すると、多数の IPsec SA が作成される可能性があります。この場合、メモリが消費され、全体としてのトンネルが少なくなります。データ設定は、セキュリティへの依存が非常に高いアプリケーションに対してのみ使用してください。
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、継承タイプを data に設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set nat-t-disable
接続の NAT-T をクリプト マップ エントリに基づいてディセーブルにするには、グローバル コンフィギュレーション モードで crypto map set nat-t-disable コマンドを使用します。このクリプト マップ エントリの NAT-T をイネーブルにするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set nat-t-disable
no crypto map map-name seq-num set nat-t-disable
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
isakmp nat-traversal コマンドを使用して NAT-T をグローバルにイネーブルにします。その後に、 crypto map set nat-t-disable コマンドを使用して、特定のクリプト マップ エントリの NAT-T をディセーブルにできます。
例
次のコマンドでは、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップ エントリの NAT-T をディセーブルにします。
関連コマンド
|
|
|
|---|---|
crypto map set peer
クリプト マップ エントリの IPsec ピアを指定するには、グローバル コンフィギュレーション モードで crypto map set peer コマンドを使用します。クリプト マップ エントリから IPsec ピアを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address10 | hostname10 }
no crypto map map-name seq-num set peer { ip_address | hostname }{... ip_address10 | hostname10 }
構文の説明
クリプト マップ エントリ内で IPsec ピアをホスト名または IP アドレス(IPv4 または IPv6)で指定します。9.14(1) 以降、IKEv2 でも複数のピアがサポートされています。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべてのスタティッククリプトマップに対して必要です。 crypto dynamic-map コマンドを使用してダイナミック クリプト マップ エントリを定義する場合、このコマンドは必須ではなく、ほとんど使用しません。これは、ピアが通常は未知のものであるためです。
複数のピアを設定することは、フォールバックリストを指定することと同じです。各トンネルについて、ASA は、リストの最初のピアとネゴシエーションを試みます。ピアが応答しない場合、ASA はピアが応答するか、またはリストにピアがなくなるまで下に向かってリストを検索します。バックアップ LAN-to-LAN 機能を使用している場合(つまり、クリプトマップ接続タイプが originate-only の場合)にのみ複数のピアを設定できます。詳細については、 crypto map set connection-type コマンドを参照してください。
(注) 9.14(1) 以降、IKEv2 では複数のピアがサポートされています。
例
次に、グローバル コンフィギュレーション モードで、IKE を使用してセキュリティ アソシエーションを確立するクリプト マップ コンフィギュレーションの例を示します。この例では、ピア 10.0.0.1 またはピア 10.0.0.2 のどちらかと、セキュリティ アソシエーションを確立できます。
関連コマンド
|
|
|
|---|---|
crypto map set pfs
クリプト マップ エントリ用の新しいセキュリティ アソシエーションの要求時に PFS を要求するように IPsec を設定するか、または新しいセキュリティ アソシエーションの要求の受信時に PFS を要求するように IPsec を設定するには、グローバル コンフィギュレーション モードで crypto map set pfs コマンドを使用します。IPsec が PFS を要求しないことを指定するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group 15 | group 16 | group19 | group20 | group21 | group24 ]
no crypto map map-name seq-num set pfs [group1 | group2 | group5 | group14 | group 15 | group 16 | group19 | group20 | group21 | group24 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
group 7 コマンド オプションは廃止されました。グループ 7 を設定しようとするとエラー メッセージが生成され、代わりにグループ 5 が使用されます。 |
|
DH グループ 14、15、および 16 のサポートが追加されました。DH グループ 1、2、5、および 24 のオプションは廃止され、以降のリリースで削除されます。 |
|
使用上のガイドライン
PFS を使用すると、新しいセキュリティ アソシエーションをネゴシエートするたびに新しい Diffie-Hellman 交換が発生します。この交換によって、処理時間が長くなります。PFS を使用すると、セキュリティがさらに向上します。1 つのキーが攻撃者によってクラックされた場合でも、侵害されるのはそのキーで送信されたデータだけになるためです。
このコマンドを使用すると、クリプト マップ エントリ用の新しいセキュリティ アソシエーションを要求するとき、ネゴシエーション中に IPsec が PFS を要求します。 set pfs ステートメントでグループが指定されていない場合、ASA はデフォルト(グループ 2)を送信します。
ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合、ネゴシエーションは失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、ASA はデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションでグループ 2 またはグループ 5 が指定されている場合は、そのグループがピアのオファーに含まれている必要があります。含まれていない場合、ネゴシエーションは失敗します。
ネゴシエーションが成功するには、(Diffie-Hellman グループの有無に関係なく)LAN to LAN トンネルの両端で PFS が設定されている必要があります。設定されている場合、グループは完全一致でなければなりません。ASA はピアからのいずれの PFS のオファーも受け入れません。
1536 ビットの Diffie-Hellman プライム モジュラス グループであるグループ 5 は、グループ 1 やグループ 2 よりも高いセキュリティを提供します。ただし、他のグループより処理時間が長くなります。
ASA は、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定する例を示します。
ciscoasa(config)# crypto map mymap 12 set pfs ipsec-isakmp
関連コマンド
|
|
|
|---|---|
crypto map set reverse-route
クリプト マップ エントリに基づいた任意の接続の逆ルート注入をイネーブルにするには、グローバル コンフィギュレーション モードで crypto map set reverse-route コマンドを使用します。クリプト マップ エントリに基づいた任意の接続の逆ルート注入をディセーブルにするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set reverse-route [dynamic]
no crypto map map-name seq-num s et reverse-route [dynamic]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RRI は設定で行われ、静的とみなされます。設定が変更または削除されるまでそのままになります。ASA は、ルーティング テーブルにスタティック ルートを自動的に追加し、OSPF を使用してそれらのルートをプライベート ネットワークまたはボーダー ルータに通知します。
このアプローチでは、IPsec セキュリティ アソシエーション(SA)の確立が成功するとルートが作成されます。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。また、ダイナミックからスタティックへの設定変更、およびその逆の設定変更により、その暗号マップの既存の IPsec トンネルが破棄されます。
通常、RRI ルートは、ルートが存在せず、トラフィックを暗号化する必要がある場合に、トンネルを開始するために使用されます。ダイナミック RRI がサポートされると、トンネルが確立されるまでルートが存在しません。したがって、ダイナミック RRI が設定された ASA は通常、レスポンダとしてのみ動作します。
例
次に、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップの逆ルート注入をイネーブルにする例を示します。
グローバル コンフィギュレーション モードで入力された次の例では、トンネル確立時にリバース ルート インジェクションが有効になります。
関連コマンド
|
|
|
|---|---|
crypto map set security-association lifetime
特定のクリプト マップ エントリについて、IPsec セキュリティ アソシエーションをネゴシエートするときに使用されるグローバル ライフタイム値を上書きするには、グローバル コンフィギュレーション モードで crypto map set security-association lifetime コマンドを使用します。クリプト マップ エントリのライフタイム値をグローバル値にリセットするには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set security-association lifetime {seconds number | kilobytes { number | unlimited }}
no crypto map map-name seq-num set security-association lifetime {seconds number | kilobytes { number | unlimited }}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クリプト マップのセキュリティ アソシエーションは、グローバル ライフタイムに基づいてネゴシエートされます。
IPsec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。
特定のクリプト マップ エントリでライフタイム値が設定されている場合、ASA は、セキュリティ アソシエーションのネゴシエート時に新しいセキュリティ アソシエーションを要求するときに、ピアへの要求でクリプト マップ ライフタイム値を指定し、これらの値を新しいセキュリティ アソシエーションのライフタイムとして使用します。ASA は、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定されたライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します
サイト間 VPN 接続の場合、「時間指定」と「トラフィック量」の 2 つのライフタイムがあります。これらのライフタイムのいずれかに最初に到達すると、セキュリティ アソシエーションが期限切れになります。リモート アクセス VPN セッションでは、指定時刻ライフタイムのみが適用されます。
(注) ASA では、クリプト マップ、ダイナミック マップ、および IPsec 設定を動作中に変更できます。設定を変更する場合、変更によって影響を受ける接続のみが ASA によって停止させられます。たとえば、アクセス リスト内のエントリを削除して、クリプト マップに関連付けられた既存のアクセス リストを変更した場合、関連する接続だけがダウンします。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。
指定時刻ライフタイムを変更するには、 crypto map set security-association lifetime seconds コマンドを使用します。指定時刻ライフタイムを使用すると、指定した秒数が経過した後にキーおよびセキュリティ アソシエーションがタイムアウトします。
例
次のコマンドでは、グローバル コンフィギュレーション モードで、クリプト マップ mymap のセキュリティ アソシエーション ライフタイムを秒単位および KB 単位で指定します。
関連コマンド
|
|
|
|---|---|
crypto map set tfc-packets
IPsec SA でダミーのトラフィック フローの機密性(TFC)パケットをイネーブルにするには、グローバル コンフィギュレーション モードで crypto map set tfc-packets コマンドを使用します。IPsec SA で TFC パケットをディセーブルにするには、このコマンドの no 形式を使用します。
crypto map name priority set tfc-packets [ burst length | auto ] [ payload-size bytes | auto ] [ timeout second | auto ]
no crypto map name priority set tfc-packets [ burst length | auto ] [ payload-size bytes | auto ] [ timeout second | auto ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto map set transform-set
クリプト マップ エントリで使用する IKEv1 トランスフォーム セットを指定するには、グローバル コンフィギュレーション モードで crypto map set transform-set コマンドを使用します。クリプト マップ エントリから特定のトランスフォーム セット名を削除するには、トランスフォーム セットの名前を指定してこのコマンドの no 形式を使用します。トランスフォーム セットをすべて指定するか何も指定せずに、クリプト マップ エントリを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set transform-set transform-set-name1
[ … transform-set-name11 ]
no crypto map map-name seq-num set transform-se t transform-set-name1
[ … transform-set-name11 ]
no crypto map map-name seq-num set transform-se t
構文の説明
トランスフォーム セットの名前を 1 つ以上指定します。このコマンドで指定するトランスフォーム セットは、 crypto ipsec transform-set コマンドで定義されている必要があります。各クリプト マップ エントリは、11 個までのトランスフォーム セットをサポートしています。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべてのクリプト マップ エントリで必要です。
IPsec の開始側とは反対側にあるピアは、最初に一致したトランスフォーム セットをセキュリティ アソシエーションに使用します。ローカルの ASA がネゴシエーションを開始した場合、ASA は、 crypto map コマンドで指定した順番どおりに、トランスフォーム セットの内容をピアに提示します。ピアがネゴシエーションを開始すると、ローカルの ASA は、クリプト マップ エントリ内の、ピアから送信された IPsec パラメータと一致する最初のトランスフォーム セットを使用します。
IPsec の開始側とは反対側にあるピアが、一致するトランスフォーム セットの値を見つけられない場合、IPsec はセキュリティ アソシエーションを確立しません。トラフィックを保護するセキュリティ アソシエーションがないため、開始側はトラフィックをドロップします。
トランスフォーム セットのリストを変更するには、新しいリストを再度指定して、古いリストと置き換えます。
次のコマンドを使用してクリプト マップを変更すると、ASA は、指定したシーケンス番号と同じ番号のクリプト マップ エントリだけを変更します。たとえば、次のコマンドを入力すると、ASA は、56des-sha というトランスフォーム セットをリストの最後に挿入します。
次のコマンドの応答は、前の 2 つのコマンドで行った変更を合わせたものになります。
クリプト マップ エントリ内のトランスフォーム セットの順番を再設定するには、エントリを削除し、マップ名とシーケンス番号の両方を指定してから、エントリを再作成します。たとえば、次のコマンドでは、シーケンス番号 3 の map2 というクリプト マップ エントリを再設定します。
例
「 crypto ipsec transform-set (トランスフォーム セットの作成または削除)」の項には、10 個のトランスフォーム セット コマンドが示されています。次に、10 個の同じトランスフォーム セットで構成された、map2 というクリプト マップ エントリを作成する例を示します。
次に、グローバル コンフィギュレーション モードで、ASA が IKE を使用してセキュリティ アソシエーションを確立する場合に最小限必要となるクリプト マップ コンフィギュレーションの例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set trustpoint
クリプト マップ エントリのフェーズ 1 ネゴシエーション中に、認証用に送信する証明書を指定するトラストポイントを指定するには、グローバル コンフィギュレーション モードで crypto map set trustpoint コマンドを使用します。クリプト マップ エントリからトラストポイントを削除するには、このコマンドの no 形式を使用します。
crypto map map-name seq-num set trustpoint trustpoint-name [ chain ]
no crypto map map-name seq-num set trustpoint trustpoint-name [ chain ]
構文の説明
(任意)証明書チェーンを送信します。CA 証明書チェーンには、ルート証明書からアイデンティティ証明書まで、証明書の階層内のすべての CA 証明書が含まれています。デフォルト値はディセーブル(チェーンなし)です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このクリプト マップ コマンドは、接続の開始に対してのみ有効です。応答側の情報については、 tunnel-group コマンドを参照してください。
例
次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap にトラストポイント tpoint 1 を指定し、証明書チェーンを含める例を示します。
関連コマンド
|
|
|
|---|---|
crypto map set validate-icmp-errors
IPsec トンネルを介して受信した、プライベート ネットワークの内部ホスト宛ての着信 ICMP エラー メッセージを検証するかどうかを指定するには、グローバル コンフィギュレーション モードで crypto map set validate-icmp-errors コマンドを使用します。クリプト マップ エントリからトラストポイントを削除するには、このコマンドの no 形式を使用します。
crypto map name priority set validate-icmp-errors
no crypto map name priority set validate-icmp-errors
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
csc
ASA がネットワーク トラフィックを CSC SSM に送信できるようにするには、クラス コンフィギュレーション モードで csc コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
csc { fail-open | fail-close }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラス コンフィギュレーション モードはポリシー マップ コンフィギュレーション モードからアクセスできます。
csc コマンドは、該当するクラス マップに一致したすべてのトラフィックを CSC SSM に送信するようにセキュリティ ポリシーを設定します。この設定の後、ASA は、トラフィックが宛先に引き続き送信されるのを許可します。
CSC SSM がトラフィックをスキャンできない場合は、一致しているトラフィックを ASA が処理する方法を指定できます。 fail-open キーワードは、CSC SSM を使用できない場合でも、トラフィックが宛先に引き続き送信されるのを ASA が許可するように指定します。 fail-close キーワードは、CSC SSM が使用できない場合、一致しているトラフィックが宛先に引き続き送信されるのを ASA が許可しないように指定します。
CSC SSM は、HTTP、SMTP、POP3、および FTP トラフィックをスキャンできます。接続を要求しているパケットの宛先ポートが、これらのプロトコルにとって既知のポートである場合にのみ、これらのプロトコルがサポートされます。つまり、CSC SSM は、次の接続のみをスキャンできます。
- TCP ポート 21 に対してオープンされている FTP 接続
- TCP ポート 80 に対してオープンされている HTTP 接続
- TCP ポート 110 に対してオープンされている POP3 接続
- TCP ポート 25 に対してオープンされている SMTP 接続
csc コマンドを使用しているポリシーで、これらのポートを他のプロトコルに誤用する接続が選択された場合、ASA はパケットを CSC SSM に渡しますが、CSC SSM はパケットをスキャンせずに渡します。
CSC SSM の効率を最大限にするには、次のように、 csc コマンドを実装しているポリシーが使用するクラス マップを設定します。
- サポートされているプロトコルのうち、CSC SSM がスキャンするプロトコルだけを選択します。たとえば、HTTP トラフィックをスキャンしない場合は、サービス ポリシーが HTTP トラフィックを CSC SSM に転送しないようにしてください。
- ASA によって保護されている信頼できるホストを危険にさらす接続だけを選択します。これらは、外部ネットワークまたは信頼できないネットワークから内部ネットワークへの接続です。次の接続をスキャンすることを推奨します。
– ASA の内部のクライアントから ASA の外部のサーバへの FTP 接続
– ASA の内部のクライアントから ASA の外部サーバへの POP3 接続
CSC SSM は、FTP セッションのプライマリ チャネルが標準ポート(TCP ポート 21)を使用している場合にのみ、FTP ファイル転送のスキャンをサポートします。
FTP インスペクションは、CSC SSM がスキャンする FTP トラフィックに対してイネーブルである必要があります。これは、FTP が、データ転送用にダイナミックに割り当てられたセカンダリ チャネルを使用するためです。ASA は、セカンダリ チャネルに割り当てられるポートを決定し、データ転送の実行を許可するピンホールを開きます。FTP データをスキャンするように CSC SSM が設定されている場合、ASA はデータ トラフィックを CSC SSM に転送します。
FTP インスペクションは、グローバルに、または csc コマンドが適用される同じインターフェイスに適用できます。デフォルトでは、FTP インスペクションはグローバルにイネーブルになっています。デフォルトのインスペクション コンフィギュレーションを変更していない場合、CSC SSM による FTP スキャンをイネーブルにするために必要なその他の FTP インスペクション コンフィギュレーションはありません。
FTP インスペクションまたはデフォルトのインスペクション コンフィギュレーションの詳細については、CLI 設定ガイドを参照してください。
例
内部ネットワーク上のクライアントから HTTP、FTP、および POP3 接続で外部のネットワークに要求されたトラフィック、および外部のホストから DMZ ネットワーク上のメール サーバに着信する SMTP 接続を CSC SSM に転送するように、ASA を設定する必要があります。内部ネットワークから DMZ ネットワーク上の Web サーバへの HTTP 要求は、スキャンされません。
次のコンフィギュレーションでは、2 つのサービス ポリシーを作成します。最初のポリシー csc_out_policy は、内部インターフェイスに適用され、csc_out アクセス リストを使用して、FTP および POP3 に対するすべての発信要求が確実にスキャンされるようにします。csc_out アクセス リストにより、内部から外部インターフェイス上のネットワークへの HTTP 接続が確実にスキャンされるようにもなりますが、このアクセス リストには、内部から DMZ ネットワーク上のサーバへの HTTP 接続を除外する拒否 ACE が含まれています。
2 番めのポリシー csc_in_policy は、外部インターフェイスに適用されます。このポリシーは csc_in アクセス リストを使用して、外部インターフェイスで発信され、DMZ ネットワークを宛先とする SMTP 要求と HTTP 要求が CSC SSM で確実にスキャンされるようにします。HTTP 要求をスキャンすることで、Web サーバは HTTP ファイルのアップロードから保護されます。
(注) FTP で転送されるファイルをスキャンするには、CSC SSM に対して FTP 検査がイネーブルになっている必要があります。FTP インスペクションは、デフォルトでイネーブルになっています。
関連コマンド
|
|
|
|---|---|
csd enable(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
クライアントレス SSL VPN リモート アクセスまたは AnyConnect クライアントを使用したリモート アクセスに対して Cisco Secure Desktop(CSD)をイネーブルにするには、webvpn コンフィギュレーション モードで csd enable コマンドを使用します。CSD をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CSD は、1 つの例外を除いて、ASA へのすべてのリモート アクセス接続試行に対してグローバルにイネーブルまたはディセーブルに設定されます。
1. 以前の csd image path コマンドによって実行されたチェックを補足する有効性チェックを提供します。
2. sdesktop フォルダがまだ存在しない場合は、disk0: 上に作成します。
3. data.xml(Cisco Secure Desktop コンフィギュレーション)ファイルが sdesktop フォルダにまだ存在しない場合は、追加します。
4. フラッシュ デバイスの data.xml を実行コンフィギュレーションにロードします。
(注) • show webvpn csd コマンドを入力して、Cisco Secure Desktop がイネーブルであるかどうかを確認できます。
- csd enable コマンドを入力する前に、実行コンフィギュレーション内に csd image path コマンドが存在する必要があります。
- no csd enable コマンドは、実行コンフィギュレーションで CSD をディセーブルにします。CSD がディセーブルの場合、管理者は CSD Manager にアクセスできず、リモート ユーザは CSD を使用できません。
- data.xml ファイルを転送または交換する場合は、このファイルを実行コンフィギュレーションにロードするために、CSD をいったんディセーブルにしてからイネーブルにします。
- CSD は、ASA へのすべてのリモート アクセス接続試行に対してグローバルにイネーブルまたはディセーブルに設定されます。個別の接続プロファイルやグループ ポリシーに対して CSD をイネーブルまたはディセーブルに設定することはできません。
例外 :クライアントレス SSL VPN 接続の接続プロファイルは、コンピュータがグループ URL を使用して ASA への接続を試み、CSD がグローバルにイネーブルの場合、CSD がクライアント コンピュータで実行されないように設定できます。次に例を示します。
ciscoasa(config)# tunnel-group group-name webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-url https://www.url-string.com
ciscoasa(config-tunnel-webvpn)# without-csd
例
次に、CSD イメージのステータスを表示し、CSD イメージをイネーブルにするためのコマンドを示します。
関連コマンド
csd hostscan image(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
シスコのホスト スキャン配布パッケージをインストールまたはアップグレードし、実行コンフィギュレーションに追加するには、webvpn コンフィギュレーション モードで csd hostscan image コマンドを使用します。ホスト スキャン配布パッケージを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
現在インストールされ、イネーブルになっているホスト スキャン イメージのバージョンを確認するには、 show webvpn csd hostscan コマンドを入力します。
csd hostscan image コマンドを使用してホスト スキャンをインストールしたら、csd enable コマンドを使用してイメージをイネーブルにします。
次回の ASA のリブート時にホスト スキャン イメージを確実に使用できるように、 write memory コマンドを入力して実行コンフィギュレーションを保存します。
例
次に、シスコのホスト スキャン パッケージをインストールし、イネーブルにして、表示およびフラッシュ ドライブへの設定の保存を行うコマンドを示します。
関連コマンド
|
|
|
シスコのホスト スキャンがイネーブルである場合、そのバージョンを示します。ディセーブルの場合、CLI に「Secure Desktop is not enabled.」と表示されます。 |
|
csd image(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
Cisco Secure Desktop(CSD)配布パッケージを検証して、実行コンフィギュレーションに追加するには、CSD を効率的にインストールし、webvpn コンフィギュレーション モードで csd image コマンドを使用します。CSD 配布パッケージを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを入力する前に、 show webvpn csd コマンドを入力して、CSD イメージがイネーブルであるかどうかを判断します。CLI は、現在インストールされている CSD イメージがイネーブルである場合、そのバージョンを示します。
新しい Cisco Secure Desktop イメージをコンピュータにダウンロードし、フラッシュ ドライブに転送してから、 csd image コマンドを使用して、イメージをインストールするか、または既存のイメージをアップグレードします。ダウンロードする場合、使用している ASA に合ったファイルを必ず取得してください。ファイルの形式は、securedesktop_asa_<n>_<n>*.pkg です。
no csd image コマンドを入力すると、CSD Manager への管理アクセスと CSD へのリモート ユーザ アクセスの両方が削除されます。このコマンドを入力しても、ASA は CSD ソフトウェアおよびフラッシュ ドライブの CSD コンフィギュレーションに変更を加えません。
(注) 次回の ASA のリブート時に CSD を確実に使用できるようにするために、write memory コマンドを入力して実行コンフィギュレーションを保存します。
例
次に、現在の CSD 配布パッケージを表示し、フラッシュ ファイル システムの内容を表示して、新しいバージョンにアップグレードするためのコマンドを示します。
関連コマンド
|
|
|
イネーブルの場合、CSD のバージョンを識別します。ディセーブルの場合、CLI に「Secure Desktop is not enabled.」と表示されます。 |
|
ctl
証明書信頼リスト(CTL)プロバイダーをイネーブルにして、CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールするには、ctl プロバイダー コンフィギュレーション モードで ctl コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL プロバイダーをイネーブルにして、CTL クライアントの CTL ファイルを解析し、CTL ファイルのエントリに対するトラストポイントをインストールするには、ctl プロバイダー コンフィギュレーション モードで ctl コマンドを使用します。このコマンドでインストールされたトラストポイントには、「_internal_CTL_<ctl_name>」というプレフィックスが付いた名前が設定されます。
このコマンドがディセーブルの場合は、crypto ca trustpoint コマンドと crypto ca certificate chain コマンドを使用して、各 CallManager サーバと CAPF 証明書を手動でインポートおよびインストールする必要があります。
例
次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
ctl-file(廃止)
電話プロキシ用に作成するための CTL インスタンス、またはフラッシュ メモリに格納されている CTL ファイルを解析するための CTL インスタンスを指定するには、グローバル コンフィギュレーション モードで ctl-file コマンドを使用します。電話プロキシの設定時に使用する CTL インスタンスを指定するには、電話プロキシ コンフィギュレーション モードで ctl-file コマンドを使用します。CTL インスタンスを削除するには、このコマンドの no 形式を使用します。
no ctl-file ctl_name [ noconfirm ]
構文の説明
(任意、グローバル モードのみ) no コマンドとともに使用して、CTL ファイルの削除時に、トラストポイントの削除に関する警告が ASA コンソールに表示されないようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LSC プロビジョニングが必要な電話をユーザが所有している場合は、 ctl-file コマンドを使用して CTL ファイル インスタンスを設定するときに、CAPF 証明書を CUMC から ASA にインポートする必要もあります。
(注) CTL ファイルを作成するには、ctl ファイル コンフィギュレーション モードで no shutdown コマンドを使用します。CTL ファイルのエントリを変更したり CTL ファイルにエントリを追加したりするには、または CTL ファイルを削除するには、shutdown コマンドを使用します。
このコマンドの no 形式を使用すると、CTL ファイル、および電話プロキシによって内部的に作成されたすべての登録済みトラストポイントが削除されます。また、CTL ファイルを削除すると、関連する認証局から受信したすべての証明書が削除されます。
例
次に、電話プロキシ機能用の CTL ファイルを設定する例を示します。
ciscoasa(config)# ctl-file myctl
次に、 ctl-file コマンドを使用して、電話プロキシ モードで電話プロキシ機能用の CTL ファイルを設定する例を示します。
ciscoasa(config-phone-proxy)# ctl-file myctl
関連コマンド
|
|
|
|---|---|
フラッシュ メモリに格納されている CTL ファイルからトラストポイントをインストールするために、CTL ファイルを解析します。 |
|
ctl-provider
CTL プロバイダー モードで CTL プロバイダー インスタンスを設定するには、グローバル コンフィギュレーション モードで ctl-provider コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL プロバイダー コンフィギュレーション モードを開始して CTL プロバイダー インスタンスを作成するには、ctl-provider コマンドを使用します。
例
次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
cts import-pac
Cisco ISE から Protected Access Credential(PAC)ファイルをインポートするには、グローバル コンフィギュレーション モードで cts import-pac コマンドを使用します。
cts import-pac filepath password value
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PAC ファイルを ASA にインポートすると、ISE との接続が確立されます。チャネルが確立されると、ASA は、ISE を使用してセキュア RADIUS トランザクションを開始し、Cisco TrustSec 環境データをダウンロードします。具体的には、ASA は、セキュリティ グループ テーブルをダウンロードします。セキュリティ グループ テーブルによって、SGT がセキュリティ グループ名にマッピングされます。セキュリティ グループの名前は ISE 上で作成され、セキュリティ グループをわかりやすい名前で識別できるようになります。チャネルは RADIUS トランザクションの前には確立されません。ASA は、認証用の PAC を使用して ISE の RADIUS トランザクションを開始します。
ヒント PAC ファイルには、ASA および ISE がその間で発生する RADIUS トランザクションを保護できる共有キーが含まれています。このキーは、その機密性により、ASA に安全に保存する必要があります。
ファイルの正常なインポート後に、ASA は、ISE で設定されたデバイスのパスワードを要求せずに、ISE から Cisco TrustSec 環境データをダウンロードします。
ASA は、ユーザ インターフェイスからアクセスできない NVRAM の領域に PAC ファイルを保存します。
- ASA が PAC ファイルを生成するには、ISE の認識された Cisco TrustSec ネットワーク デバイスとして ASA を設定する必要があります。ASA は、任意の PAC ファイルをインポートできますが、PAC ファイルは、正しく設定された ISE によって生成された場合にのみ ASA で動作します。
- ISE での PAC ファイルの生成時に PAC ファイルを暗号化するために使用されたパスワードを取得します。
例
関連コマンド
|
|
|
|---|---|
ASA が Cisco TrustSec と統合されると、ISE からの Cisco TrustSec 環境データをリフレッシュします |
|
cts manual
SGT およびイーサネット タギング(レイヤ 2 SGT インポジションとも呼ばれる)をイネーブルにし、cts manual インターフェイス コンフィギュレーション モードを開始するには、インターフェイス コンフィギュレーション モードで cts manual コマンドを使用します。SGT およびイーサネット タギングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、レイヤ 2 SGT インポジションをイネーブルにし、cts manual インターフェイス コンフィギュレーション モードを開始します。
例
次に、レイヤ 2 SGT インポジションをイネーブルにし、cts manual インターフェイス コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
cts refresh environment-data
ISE からの Cisco TrustSec 環境データをリフレッシュし、調整タイマーを設定されたデフォルト値にリセットするには、グローバル コンフィギュレーション モードで cts refresh environment-data コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が Cisco TrustSec と統合されると、ASA は ISE から環境データをダウンロードします。このデータには、セキュリティ グループ タグ(SGT)名テーブルが含まれます。ASA で次のタスクを完了すると、ASA は、ISE から取得した環境データを自動的にリフレッシュします。
- ISE と通信するように AAA サーバを設定します。
- ISE から PAC ファイルをインポートします。
- Cisco TrustSec 環境データを取得するために ASA で使用する AAA サーバ グループを識別します。
通常、ISE からの環境データを手動でリフレッシュする必要はありません。ただし、セキュリティ グループが ISE で変更されることがあります。これらの変更は、ASA セキュリティ グループ テーブルのデータをリフレッシュするまで ASA には反映されません。ASA でデータをリフレッシュして、ISE 上で作成されたセキュリティ グループが ASA に反映されるようにします。
ヒント メンテナンス時間中に ISE のポリシー設定および ASA での手動データ リフレッシュをスケジュールすることを推奨します。このようにポリシー設定の変更を処理すると、セキュリティ グループ名が解決される可能性が最大化され、セキュリティ ポリシーが ASA で即時にアクティブ化されます。
Cisco TrustSec の変更が ASA に適用されるように、ASA は、ISE の認識された Cisco TrustSec ネットワーク デバイスとして設定される必要があり、ASA は PAC ファイルを正常にインポートする必要があります。
例
次に、ISE から Cisco TrustSec 環境データをダウンロードする例を示します。
関連コマンド
|
|
|
|---|---|
ASA が Cisco TrustSec と統合されると、Cisco ISE から Protected Access Credential(PAC)ファイルをインポートします。 |
|
cts role-based sgt-map
IP-SGT バインディングを手動で設定するには、グローバル コンフィギュレーション モードで cts role-based sgt-map コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
cts role-based sgt-map { IPv4_addr [/ mask ] | IPv6_addr [/ prefix ]} sgt sgt_value
no cts role-based sgt-map { IPv4_addr [/ mask ] | IPv6_addr [/ prefix ]} sgt sgt_value
構文の説明
使用する IPv4 アドレスを指定します。サブネットのマッピングを作成するために CIDR 形式のサブネット マスクを追加します(10.100.10.0/24 など)。 |
|
使用する IPv6 アドレスを指定します。IPv6 ネットワークのマッピングを作成するためにプレフィックスを追加します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、IP-SGT バインディング テーブル エントリを設定する例を示します。
関連コマンド
|
|
|
|---|---|
cts server-group
環境データを取得する Cisco TrustSec と統合するために ASA で使用する AAA サーバ グループを識別するには、グローバル コンフィギュレーション モードで cts server-group コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts server-group aaa-server-group-name
no cts server-group [ aaa-server-group-name ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco TrustSec と統合するための ASA の設定の一環として、ISE と通信できるように ASA を設定する必要があります。ASA では、サーバ グループの 1 つのインスタンスだけを Cisco TrustSec 用に設定できます。
例
次に、ISE 用の AAA サーバ グループを ASA でローカルに設定し、ASA と Cisco TrustSec を統合するためにその AAA サーバ グループを使用するように ASA を設定する例を示します。
関連コマンド
cts sxp connection peer
SXP ピアへの SXP 接続を設定するには、グローバル コンフィギュレーション モードで cts sxp connection peer コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts sxp connection peer peer_ip_address [ source source_ip_address ] password { default | mode } [ mode { local | peer }] { speaker | listener }
no cts sxp connection peer peer_ip_address [ source source_ip_address ] [ password { default | none }] [ mode { local | peer }] [ speaker | listener ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ピア間の SXP 接続はポイントツーポイントであり、基礎となるトランスポート プロトコルとして TCP を使用します。SXP 接続は IP アドレスごとに設定されます。単一デバイスのペアは複数の SXP 接続に対応できます。
- ASA は SXP 接続用の接続ごとのパスワードをサポートしません。
- cts sxp default password を使用してデフォルトの SXP パスワードを設定する場合、デフォルトのパスワードを使用するように SXP 接続を設定する必要があります。逆に、デフォルトのパスワードを設定しない場合は、SXP 接続用のデフォルトのパスワードを設定しないでください。この 2 つのガイドラインに従っていない場合、SXP 接続は失敗する可能性があります。
- デフォルトのパスワードを使用する SXP 接続を設定しましたが、ASA にデフォルトのパスワードが設定されていない場合、SXP 接続は失敗します。
- SXP 接続の送信元 IP アドレスを設定する場合は、ASA 発信インターフェイスと同じアドレスを指定する必要があります。送信元 IP アドレスが発信インターフェイスのアドレスと一致しない場合、SXP 接続は失敗します。
SXP 接続の送信元 IP アドレスが設定されていない場合、ASA は、route/ARP 検索を実行して、SXP 接続用の発信インターフェイスを判別します。SXP 接続の送信元 IP アドレスを設定せずに、ASA が route/ARP 検索を実行して SXP 接続の送信元 IP アドレスを決定できるようにすることを推奨します。
例
関連コマンド
|
|
|
|---|---|
cts sxp default password
SXP ピアでの TCP MD5 認証のデフォルト パスワードを設定するには、グローバル コンフィギュレーション モードで cts sxp default password コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts sxp default password [ 0 | 8 ] password
no cts sxp default password [ 0 | 8 ] [ password ]
構文の説明
(オプション)デフォルトのパスワードで暗号化レベルに暗号化されていないクリアテキストを使用することを指定します。デフォルトのパスワードに設定できる暗号化レベルは 1 つだけです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトのパスワードを使用する SXP 接続を設定しましたが、ASA にデフォルトのパスワードが設定されていない場合、SXP 接続は失敗します。
例
次に、SXP 接続のデフォルトのパスワードを含む、すべての SXP 接続のデフォルト値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ASA と SXP ピアとの SXP 接続を設定します。このコマンドで password default キーワードを指定すると、SXP 接続のデフォルトのパスワードを使用できるようになります。 |
|
cts sxp default source-ip
SXP 接続のデフォルトのローカル IP アドレスを設定するには、グローバル コンフィギュレーション モードで cts sxp default source-ip コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts sxp default source-ip ipaddress
no cts sxp default source-ip [ ipaddress ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SXP 接続のデフォルトの送信元 IP アドレスを設定する場合は、ASA 発信インターフェイスと同じアドレスを指定する必要があります。送信元 IP アドレスが発信インターフェイスのアドレスと一致しない場合、SXP 接続は失敗します。
SXP 接続の送信元 IP アドレスが設定されていない場合、ASA は、route/ARP 検索を実行して、SXP 接続用の発信インターフェイスを判別します。SXP 接続のデフォルトの送信元 IP アドレスを設定せずに、ASA が route/ARP 検索を実行して SXP 接続の送信元 IP アドレスを決定できるようにすることを推奨します。
例
次に、SXP 接続のデフォルトの送信元 IP アドレスを含む、すべての SXP 接続のデフォルト値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ASA の SXP 接続を設定します。このコマンドで source source_ip_address キーワードおよび引数を指定すると、SXP 接続のデフォルトの送信元 IP アドレスを使用できるようになります。 |
|
cts sxp delete-hold-down period
SXP ピアが SXP 接続を終了した後にピアから学習した IP-SGT マッピングに削除ホールド ダウン タイマーを設定するには、グローバル コンフィギュレーション モードで cts sxp delete-hold-down period コマンドを使用します。タイマーをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
cts sxp delete-hold-down period timervalue
no cts sxp delete-hold-down period
構文の説明
SXP 接続の切断から学習した IP-SGT マッピングが削除されるまで保持する秒数を 120 ~ 64000 の範囲で指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各 SXP 接続が削除ホールド ダウン タイマーに関連付けられます。このタイマーは、リスナー側の SXP 接続が切断されたときにトリガーされます。この SXP 接続から学習した IP-SGT マッピングはすぐには削除されません。その代わりに、削除ホールド ダウン タイマーの有効期限が切れるまで保持されます。このタイマーの有効期限が切れると、マッピングが削除されます。
例
関連コマンド
|
|
|
|---|---|
cts sxp enable
ASA 上の SXP プロトコルをイネーブルにするには、グローバル コンフィギュレーション モードで cts sxp enable コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ASA 上の SXP プロトコルをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp mapping network-map
SXPv2 以前を使用しているピアのスピーカーとして機能している場合、IPv4 サブネット拡張の深さを設定するには、グローバル コンフィギュレーション モードで cts sxp mapping network-map コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
cts sxp mapping network-map maximum_hosts
no cts sxp mapping network-map maximum_hosts
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リスナー ピアが SXPv2 以下を使用している場合、ピアは SGT とサブネットのバインドを理解できません。ASA は、個々のホスト バインディングに IPv4 サブネット バインディングを拡張できます(IPv6 バインディングは拡張されません)。このコマンドでは、サブネット バインディングから生成できるホスト バインディングの最大数が指定されます。すべてのリスナー ピアが SXPv3 以降を使用しているか、ASA がリスナーである場合、このコマンドの効果はありません。
例
次に、サブネット マッピングを 1000 ホスト バインドまで拡張できるようにする例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp reconciliation period
SXP ピアが SXP 接続を終了した後にホールド ダウン タイマーを開始するには、グローバル コンフィギュレーション モードで cts sxp reconciliation period コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts sxp reconciliation period timervalue
no cts sxp reconciliation period [ timervalue ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SXP ピアが SXP 接続を終了すると、ASA はホールド ダウン タイマーを開始します。ホールド ダウン タイマーの実行中に SXP ピアが接続されると、ASA は調整タイマーを開始します。次に、ASA は、SXP マッピング データベースを更新して、最新のマッピングを学習します。
調整タイマーの期限が切れると、ASA は、SXP マッピング データベースをスキャンして、古いマッピング エントリ(前回の接続セッションで学習されたエントリ)を識別します。ASA は、これらの接続を廃止としてマークします。調整タイマーが期限切れになると、ASA は、SXP マッピング データベースから廃止エントリを削除します。
0 を指定すると調整タイマーが開始されないため、このタイマーには 0 を指定できません。調整タイマーを実行できないようにすると、失効する時間の定義がない状態で古いエントリが維持され、ポリシーの適用に対する予期しない結果が発生します。
例
次に、デフォルトの調整タイマーを含む、すべての SXP 接続のデフォルト値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp retry period
ASA が SXP ピア間での新しい SXP 接続の設定を試行するデフォルトの時間間隔を指定するには、グローバル コンフィギュレーション モードで cts sxp retry period コマンドを使用します。コマンドのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
cts sxp retry period timervalue
no cts sxp retry period [ timervalue ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が SXP ピア間での新しい SXP 接続の設定を試行するデフォルトの時間間隔を指定します。ASA は、成功した接続が確立されるまで接続を試み続けます。
ASA で確立されていない SXP 接続が存在する限り、再試行タイマーがトリガーされます。
0 秒を指定すると、タイマーの期限が切れず、ASA は SXP ピアへの接続を試行しません。
再試行タイマーが期限切れになると、ASA は接続データベースを順に検索し、データベースに切断されているか、または「保留中」状態の接続が含まれている場合、ASA は、再試行タイマーを再開します。
例
次に、デフォルトの再試行タイマーを含む、すべての SXP 接続のデフォルト値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
customization
トンネル グループ、グループ、またはユーザに使用するカスタマイゼーションを指定するには、トンネル グループ webvpn 属性コンフィギュレーション モードまたは webvpn コンフィギュレーション モードで customization コマンドを使用します。カスタマイゼーションを指定しない場合は、このコマンドの no 形式を使用します。
customization { none | value name }
no customization { none | value name }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トンネル グループ webvpn 属性コンフィギュレーション モードで customization コマンドを入力する前に、webvpn コンフィギュレーション モードで customization コマンドを使用してカスタマイゼーションの名前を付け、設定する必要があります。
customization コマンドで使用できるキーワードは使用しているモードによって異なります。グループ ポリシー属性コンフィギュレーション モードおよびユーザ名属性コンフィギュレーション モードでは、追加のキーワード none と value が表示されます。
たとえば、ユーザ名属性コンフィギュレーション モードで customization none コマンドを入力すると、ASA は、グループ ポリシーやトンネル グループ内の値を検索しません。
例
次に、パスワード プロンプトを定義する「123」という名前の WebVPN カスタマイゼーションを最初に確立するコマンド シーケンスの例を示します。この例では、次に「test」という名前の WebVPN トンネル グループを定義し、 customization コマンドを使用して、「123」という名前の WebVPN カスタマイゼーションを使用することを指定しています。
次に、「cisco」というカスタマイゼーションを「cisco_sales」というグループ ポリシーに適用する例を示します。webvpn コンフィギュレーション モード経由でグループポリシー属性コンフィギュレーション モードになった場合は、 customization コマンドに追加のコマンド オプション value が必要になります。
関連コマンド
|
|
|
|---|---|
cxsc
ASA CX モジュールにトラフィックをリダイレクトするには、クラス コンフィギュレーション モードで cxsc コマンドを使用します。ASA CX アクションを削除するには、このコマンドの no 形式を使用します。
cxsc { fail-close | fail-open } [ auth-proxy | monitor-only ]
no cxsc { fail-close | fail-open } [ auth-proxy | monitor-only ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラス コンフィギュレーション モードにアクセスするには、policy-map コマンドを入力します。
ASA で cxsc コマンドを設定する前または後に、Cisco Prime Security Manager(PRSM)を使用して ASA CX モジュールでセキュリティ ポリシーを設定します。
cxsc コマンドを設定するには、先に class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。
ASA CX モジュールは、ASA とは別のアプリケーションを実行します。ただし、そのアプリケーションは ASA のトラフィック フローに統合されます。ASA でトラフィックのクラスの cxsc コマンドを適用すると、トラフィックは次のように ASA と ASA CX モジュールを通過します。
4. バックプレーンを介して ASA CX モジュールにトラフィックが送信されます。
5. ASA CX モジュールはセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。
6. 有効なトラフィックがバックプレーンを介して ASA に返送されます。ASA CX モジュールがセキュリティ ポリシーに従ってトラフィックをブロックすることがあり、そのトラフィックは渡されません。
ASA CX が HTTP ユーザを認証する必要がある場合は(アイデンティティ ポリシーを利用するために)、認証プロキシとして動作するように ASA を設定する必要があります。つまり、ASA CX モジュールは認証要求を ASA インターフェイス IP アドレス/プロキシ ポートにリダイレクトします。デフォルトでは、ポートは 885 です( cxsc auth-proxy port コマンドでユーザが設定できます)。この機能は、トラフィックを ASA から ASA CX モジュールに誘導するサービス ポリシーの一部として設定します。認証プロキシをイネーブルにしない場合は、パッシブ認証のみを使用できます。
ASA には、HTTP インスペクションを含む、多数の高度なアプリケーション インスペクション機能があります。ただし、ASA CX モジュールには ASA よりも高度な HTTP インスペクション機能があり、その他のアプリケーションについても機能が追加されています。たとえば、アプリケーション使用状況のモニタリングと制御です。
ASA CX モジュールの機能を最大限に活用するには、ASA CX モジュールに送信するトラフィックに関する次のガイドラインを参照してください。
- HTTP トラフィックに対して ASA インスペクションを設定しないでください。
- クラウド Web セキュリティ(ScanSafe)インスペクションを設定しないでください。同じトラフィックに対して ASA CX のアクションとクラウド Web セキュリティ インスペクションの両方が設定されている場合に、ASA が実行するのは ASA CX のアクションのみです。
- ASA 上の他のアプリケーション インスペクションは ASA CX モジュールと互換性があり、これにはデフォルト インスペクションも含まれます。
- Mobile User Security(MUS)サーバをイネーブルにしないでください。これは、ASA CX モジュールとの間に互換性がありません。
- ASA クラスタリングをイネーブルにしないでください。これは、ASA CX モジュールとの間に互換性がありません。
- フェールオーバーをイネーブルにした場合は、ASA がフェールオーバーしたときに、既存の ASA CX フローは新しい ASA に転送されますが、トラフィックは ASA CX モジュールによる処理を受けることなく ASA の通過を許可されます。新しい ASA が受信した新しいフローだけが、ASA CX モジュールによる処理の対象となります。
テストおよびデモンストレーション用に、 monitor-only キーワードを使用して、ASA CX モジュールに読み取り専用トラフィックの重複ストリームを送信するように ASA を設定できるので、モジュールが ASA トラフィック フローに影響を与えることなく、どのようにトラフィックをインスペクションするかを確認できます。このモードでは、ASA CX モジュールが通常どおりトラフィックをインスペクションし、ポリシーを決定し、イベントを生成します。ただし、パケットが読み取り専用コピーであるため、モジュールのアクションは実際のトラフィックには影響しません。代わりに、モジュールはインスペクション後コピーをドロップします。
例
次の例では、すべての HTTP トラフィックが ASA CX モジュールに誘導され、何らかの理由で ASA CX モジュールに障害が発生した場合はすべての HTTP トラフィックがブロックされます。
次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックが ASA CX モジュールに誘導され、何らかの理由で ASA CX モジュールに障害が発生した場合は、すべてのトラフィックの通過が許可されます。
関連コマンド
|
|
|
|---|---|
cxsc auth-proxy port
ASA CX モジュール トラフィックの認証プロキシ ポートを設定するには、グローバル コンフィギュレーション モードで cxsc auth-proxy port コマンドを使用します。このポートをデフォルトに設定するには、このコマンドの no 形式を使用します。
no cxsc auth-proxy port [ port ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
cxsc コマンドの設定時に認証プロキシをイネーブルにする場合は、このコマンドを使用してポートを変更できます。
ASA CX が HTTP ユーザを認証する必要がある場合は(アイデンティティ ポリシーを利用するために)、認証プロキシとして動作するように ASA を設定する必要があります。つまり、ASA CX モジュールは認証要求を ASA インターフェイス IP アドレス/プロキシ ポートにリダイレクトします。デフォルトでは、port は 885 です。この機能は、トラフィックを ASA から ASA CX モジュールに誘導するサービス ポリシーの一部として設定します。認証プロキシをイネーブルにしない場合は、パッシブ認証のみを使用できます。
例
次に、ASA CX トラフィックの認証プロキシをイネーブルにし、ポートを 5000 に変更する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック