Cisco ASA シリーズコマンドリファレンス、A ～ H コマンド

feature コマンドから fxos port コマンド

feature

スマートライセンス機能権限付与を要求するには、ライセンススマートコンフィギュレーションモードで feature コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。

（注）このコマンドは、ASAv および FirePOWER シャーシでのみサポートされています。

feature {tier standard | strong-encryption | context number | mobile-sp | carrier}

no feature {tier standard | strong-encryption | context number | mobile-sp | carrier}

構文の説明

carrier	（FirePOWER 9300/4100 のみ）キャリア（GTP/GPRS、Diameter、SCTP）ライセンスを要求します。このライセンスは、モバイル SP ライセンスを置き換えます。
context number	（FirePOWER シャーシのみ）セキュリティコンテキストのライセンスを要求します。標準ライセンスに含まれるデフォルトのコンテキストの数は差し引いてください。たとえば、ご使用のモデルが 250 のコンテキストをサポートしており、デフォルトのコンテキストの数が 10 の場合、要求するコンテキストの数は 240 までにする必要があります。
mobile-sp	（FirePOWER 9300/4100 のみ）モバイル SP（GTP/GPRS）ライセンスを要求します。このライセンスは、Version 9.5(2) のキャリアライセンスに置き換えられて廃止されました。
strong-encryption	（FirePOWER シャーシのみ）高度暗号化（3DES）ライセンスを要求します。FXOS 1.1.3 以降では、対象となるお客様がデバイスを登録すると、高度暗号化ライセンスが自動的に有効になります。このコマンドを使用する必要があるのは、2.3.0 より前のスマートソフトウェアマネージャサテライトのユーザだけです。
tier standard	使用可能なオプションは標準層だけです。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ライセンススマートコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴

リリース	変更内容
9.3(2)	このコマンドが追加されました。
9.4(1.152)	Firepower 9300 ASA セキュリティモジュールのサポートと、キーワード strong-encryption 、 mobile-sp 、および context が追加されました。
9.5(2)	mobile-sp キーワードが carrier キーワードに置き換えられました。 strong-encryption キーワードが廃止されました（2.3.0 より前のスマートソフトウェアマネージャサテライトのユーザを除く）。
9.6(1)	Firepower 4100 シリーズのサポートが追加されました。
9.8(2)	Firepower 2100 シリーズのサポートが追加されました。

使用上のガイドライン

ASAv の場合、初めて機能層を要求したときは、変更を有効にするためにライセンススマートコンフィギュレーションモードを終了する必要があります。シスコライセンス認証局で認可された後で機能層を変更した場合、変更を有効にするために ASAv をリロードする必要があります。

例

次に、ASAv 機能層を標準に設定し、スループットレベルを 2G に設定する例を示します。

ciscoasa# license smart

ciscoasa(config-smart-lic)# feature tier standard

ciscoasa(config-smart-lic)# throughput level 2G

ciscoasa(config-smart-lic)# exit

ciscoasa(config)#

コマンド	説明
call-home	Smart Call Home を設定します。スマートライセンスでは、Smart Call Home インフラストラクチャが使用されます。
clear configure license	スマートライセンス設定をクリアします。
http-proxy	スマートライセンスおよび Smart Call Home の HTTP(S) プロキシを設定します。
license smart	スマートライセンスのライセンス権限付与を要求できます。
license smart deregister	ライセンス認証局からデバイスを登録解除します。
license smart register	デバイスをライセンス認証局に登録します。
license smart renew	登録またはライセンス権限を更新します。
service call-home	Smart Call Home をイネーブルにします。
show license	スマートライセンスのステータスを表示します。
show running-config license	スマートライセンスの設定を表示します。
throughput level	スマートライセンスのスループットレベルを設定します。

file-bookmarks

認証された WebVPN ユーザに表示される WebVPN ホームページの [File Bookmarks] タイトルまたは [File Bookmarks] リンクをカスタマイズするには、webvpn カスタマイゼーションコンフィギュレーションモードで file-bookmarks コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

file-bookmarks { link {style value } | title {style value | text value }}

no file-bookmarks { link {style value } | title {style value | text value }}

構文の説明

link	リンクへの変更を指定します。
title	タイトルへの変更を指定します。
style	HTML スタイルヘの変更を指定します。
text	テキストへの変更を指定します。
value	表示する実際のテキストまたは CSS パラメータ（最大 256 文字）。

デフォルト

デフォルトのリンクのスタイルは color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。

デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。

デフォルトのタイトルテキストは「File Folder Bookmarks」です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn カスタマイゼーションコンフィギュレーション	対応	—	対応	—	—

コマンド履歴

リリース	変更内容
7.1(1)	このコマンドが追加されました。

使用上のガイドライン

style オプションは、任意の有効な CSS パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、W3C の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。
RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進数値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、[File Bookmarks] タイトルを「Corporate File Bookmarks」にカスタマイズする例を示します。

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# customization cisco

ciscoasa(config-webvpn-custom)# file-bookmarks title text Corporate File Bookmarks

file-browsing

ファイルサーバまたは共有の CIFS または FTP によるファイルブラウジングをイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーションモードで file-browsing コマンドを使用します。

file-browsing enable | disable

構文の説明

enable | disable

ファイルサーバまたは共有のブラウズ機能をイネーブルまたはディセーブルにします。

デフォルト

デフォルトの値や動作はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DAP webvpn コンフィギュレーション	対応	対応	対応	—	—

コマンド履歴

リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

ファイルブラウジングには、次の使用上の注意事項があります。

ファイルブラウジングでは、国際化はサポートされていません。
ブラウズには、NBNS（マスターブラウザまたは WINS）が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。

ASA は、さまざまなソースからの属性値を適用できます。次の階層に従って、属性値を適用します。

1. DAP レコード

2. ユーザ名

3. グループポリシー

4. トンネルグループのグループポリシー

5. デフォルトのグループポリシー

したがって、属性の DAP 値は、ユーザ、グループポリシー、またはトンネルグループに設定されたものよりも優先順位が高くなります。

DAP レコードの属性をイネーブルまたはディセーブルにすると、ASA はその値を適用して実行します。たとえば、DAP webvpn コンフィギュレーションモードでファイルブラウジングをディセーブルにした場合、ASA はそれ以上値を検索しません。ディセーブルにする代わりに file-browsing コマンドで no の値を設定した場合、属性は DAP レコードには存在しないため、ASA はユーザ名の AAA 属性に移動し、必要に応じてグループポリシーにも移動して、適用する値を検索します。

例

次に、Finance という DAP レコードでファイルブラウジングをイネーブルにする例を示します。

ciscoasa (config)# config-dynamic-access-policy-record Finance

ciscoasa(config-dynamic-access-policy-record)# webvpn

ciscoasa(config-dap-webvpn)# file-browsing enable

ciscoasa(config-dap-webvpn)#

コマンド	説明
dynamic-access-policy-record	DAP レコードを作成します。
file-entry	アクセス先のファイルサーバの名前を入力する機能をイネーブルまたはディセーブルにします。

file-encoding

Common Internet File System サーバからのページの文字エンコーディングを指定するには、webvpn コンフィギュレーションモードで file-encoding コマンドを使用します。file-encoding 属性の値を削除するには、このコマンドの no 形式を使用します。

file-encoding { server-name | server-ip-addr } charset

no file-encoding { server-name | server-ip-addr }

構文の説明

charset

最大 40 文字から成るストリングで、 http://www.iana.org/assignments/character-sets で特定されている有効な文字セットのいずれかに相当するもの。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

この文字列は、大文字と小文字が区別されません。ASA 設定内では、コマンドインタープリタによって大文字が小文字に変換されます。

server-ip-addr

文字エンコーディングを指定する CIFS サーバの IP アドレス（ドット付き 10 進表記）。

server-name

文字エンコーディングを指定する CIFS サーバの名前。

ASA では、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。

デフォルト

WebVPN コンフィギュレーションに明示的な file-encoding エントリがないすべての CIFS サーバからのページでは、character-encoding 属性の文字エンコーディング値が継承されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴

リリース	変更内容
7.1(1)	このコマンドが追加されました。

使用上のガイドライン

webvpn 文字エンコーディング属性の値とは異なる文字エンコーディングエントリが必要なすべての CIFS サーバに対して、ファイルエンコーディングエントリを入力します。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータルページは、サーバを識別する WebVPN ファイルエンコーディング属性の値を符号化します。符号化が行われなかった場合は、文字エンコーディング属性の値を継承します。リモートユーザのブラウザでは、ブラウザの文字エンコードセットのエントリにこの値がマップされ、使用する正しい文字セットが決定されます。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding 属性も設定されていない場合、WebVPN ポータルページは値を指定しません。WebVPN ポータルページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモートブラウザはブラウザ自体のデフォルトエンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn 文字エンコーディング属性によって、個別的にはファイルエンコーディングの上書きによってマッピングすることで、ページと同様にファイル名やディレクトリパスを正しくレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。

（注）文字エンコーディングおよびファイルエンコーディングの値は、ブラウザによって使用されるフォントファミリを排除するものではありません。次の例に示すように日本語の Shift_JIS 文字エンコーディングを使用する場合などは、webvpn カスタマイゼーションコマンドモードで page style コマンドを使用してフォントファミリを置換し、これらの値の 1 つの設定を補足するか、または webvpn カスタマイゼーションコマンドモードで no page style コマンドを入力してフォントファミリを削除する必要があります。

例

次の例では、「CISCO-server-jp」という名前の CIFS サーバが日本語の Shift_JIS 文字をサポートするようにファイルエンコーディング属性を設定し、フォントファミリを削除して、デフォルトの背景色を保持しています。

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# file-encoding CISCO-server-jp shift_jis

ciscoasa(config-webvpn)# customization DfltCustomization

ciscoasa(config-webvpn-custom)# page style background-color:white

ciscoasa(config-webvpn-custom)#

次に、CIFS サーバ 10.86.5.174 のファイルエンコーディング属性を設定して、IBM860（エイリアス「CP860」）文字をサポートする例を示します。

ciscoasa(config)# webvpn

ciscoasa(config-webvpn)# file-encoding 10.86.5.174 cp860

ciscoasa(config-webvpn)

コマンド	説明
character-encoding	WebVPN コンフィギュレーションのファイルエンコーディングエントリに指定されたサーバのページを除き、すべての WebVPN ポータルページで使用されるグローバルな文字エンコーディングを指定します。
show running-config webvpn	WebVPN の実行コンフィギュレーションを表示します。デフォルトコンフィギュレーションを組み込むには all キーワードを使用します。
debug webvpn cifs	Common Internet File System についてのデバッグメッセージを表示します。

file-entry

アクセスするファイルサーバ名をユーザが入力できる機能をイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーションモードで file-entry コマンドを使用します。

file-entry enable | disable

構文の説明

enable | disable

アクセス先のファイルサーバの名前を入力する機能をイネーブルまたはディセーブルにします。

デフォルト

デフォルトの値や動作はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DAP webvpn コンフィギュレーション	対応	対応	対応	—	—

コマンド履歴

リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

ASA は、次の階層に従って、さまざまなソースから属性値を適用できます。

1. DAP レコード

2. ユーザ名

3. グループポリシー

4. 接続プロファイル（トンネルグループ）のグループポリシー

5. デフォルトのグループポリシー

属性の DAP 値には、ユーザ、グループポリシー、または接続プロファイルよりも高いプライオリティが設定されています。

DAP レコードの属性をイネーブルまたはディセーブルにすると、ASA はその値を適用して実行します。たとえば、DAP webvpn コンフィギュレーションモードでファイル入力をディセーブルにした場合、ASA はそれ以上値を検索しません。ディセーブルにする代わりに file-entry コマンドで no の値を設定した場合、属性は DAP レコードには存在しないため、ASA はユーザ名の AAA 属性に移動し、必要に応じてグループポリシーにも移動して、適用する値を検索します。

例

次に、Finance という DAP レコードでファイルサーバ名の入力をイネーブルにする例を示します。

ciscoasa (config)# config-dynamic-access-policy-record Finance

ciscoasa(config-dynamic-access-policy-record)# webvpn

ciscoasa(config-dap-webvpn)# file-entry enable

ciscoasa(config-dap-webvpn)#

コマンド	説明
dynamic-access-policy-record	DAP レコードを作成します。
file-browsing	ファイルサーバまたは共有のブラウズ機能をイネーブルまたはディセーブルにします。

filter

特定のグループポリシーまたはユーザ名の WebVPN 接続で使用するアクセスリストの名前を指定するには、webvpn コンフィギュレーションモードで filter コマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。

filter { value ACLname | none }

no filter

構文の説明

none	WebVPN タイプのアクセスリストがないことを示します。ヌル値を設定して、アクセスリストを使用できないようにします。アクセスリストを他のグループポリシーから継承しないようにします。
value ACLname	事前に設定済みのアクセスリストの名前を指定します。

デフォルト

WebVPN アクセスリストは、 filter コマンドを使用してアクセスリストを指定するまでは適用されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	対応	—	—	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

no オプションを使用すると、値を別のグループポリシーから継承できるようになります。フィルタ値を継承しないようにするには、 filter value none コマンドを使用します。

このユーザまたはグループポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。その後、 filter コマンドを使用して、これらの WebVPN トラフィック用の ACL を適用します。

WebVPN では、 vpn-filter コマンドで定義された ACL は使用されません。

例

次に、FirstGroup という名前のグループポリシーで acl_in という名前のアクセスリストを呼び出すフィルタを設定する例を示します。

ciscoasa(config)# group-policy FirstGroup attributes

ciscoasa(config-group-policy)# webvpn

ciscoasa(config-group-webvpn)# filter acl_in

コマンド	説明
access-list	アクセスリストを作成するか、ダウンロード可能なアクセスリストを使用します。
webvpn	グループポリシーコンフィギュレーションモードまたはユーザ名コンフィギュレーションモードで使用します。webvpn コンフィギュレーションモードを開始して、グループポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

filter activex

ASA を通過する HTTP トラフィック内の ActiveX オブジェクトを削除するには、グローバルコンフィギュレーションモードで filter activex コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

filter activex port [-port ] | except local_ip mask foreign_ip foreign_mask

no filter activex port [-port ] | except local_ip mask foreign_ip foreign_mask

構文の説明

except	先行の filter 条件に対する例外を作成します。
foreign_ip	セキュリティレベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
foreign_mask	foreign_ip 引数のネットワークマスク。常に特定のマスク値を指定します。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
local_ip	セキュリティレベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0.0.0.0（短縮形は 0）を設定すると、すべてのホストを指定できます。
mask	local_ip 引数のネットワークマスク。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
port	フィルタリングが適用される TCP ポート。一般的に、これはポート 21 ですが、他の値も受け入れられます。ポート 21 の代わりに、http または url リテラルを使用できます。指定できる値の範囲は、0 ～ 65535 です。
- port	（任意）ポート範囲を指定します。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ActiveX オブジェクトには、保護されているネットワーク上のホストやサーバを攻撃することを目的とするコードが含まれている場合があるため、セキュリティのリスクが発生する可能性があります。filter activex コマンドを使用して、ActiveX オブジェクトをディセーブルにできます。

ActiveX コントロール（旧称：OLE コントロールまたは OCX コントロール）は、Web ページやその他のアプリケーションに挿入できるコンポーネントです。これらのコントロールにはカスタムフォームやカレンダーなど、情報の収集と表示に使用されるサードパーティ製の多様なフォームが含まれています。ActiveX は、技術的に、ネットワーククライアントに対して多くの問題を発生させる可能性があります。たとえば、ワークステーションの障害の原因となる、ネットワークセキュリティ問題を引き起こす、またはサーバへの攻撃に利用される、などのおそれがあります。

filter activex コマンドは、HTML object コマンドを、HTML Web ページ内でコメントアウトすることでブロックします。<applet> ～ </applet> タグおよび <object classid> ～ </object> タグを選択的にコメントに置換することによって、HTML ファイルの ActiveX フィルタリングが実行されます。ネストされたタグのフィルタリングは、最上位タグをコメントに変換することによってサポートされています。

注意

alias コマンドによって参照されている IP アドレスにユーザがアクセスした場合、または WebVPN トラフィックでは、ActiveX ブロッキングは行われません。

例

次に、すべての発信接続で ActiveX オブジェクトをブロックする例を示します。

ciscoasa(config)# filter activex 80 0 0 0 0

このコマンドは、任意のローカルホストから任意の外部ホストへの接続において、ポート 80 で Web トラフィックに対して ActiveX オブジェクトブロッキングを適用することを指定します。

filter ftp

Websense サーバまたは N2H2 サーバでフィルタリングする FTP トラフィックを指定するには、グローバルコンフィギュレーションモードで filter ftp コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

filter ftp port [-port ] | except local_ip mask foreign_ip foreign_mask [ allow ] [ interact-block ]

no filter ftp port [-port ] | except local_ip mask foreign_ip foreign_mask [ allow ] [ interact-block ]

構文の説明

allow	（任意）サーバが利用できない場合に、フィルタリングなしで発信接続が ASA を通過します。このオプションを省略した場合、および N2H2 サーバまたは Websense サーバがオフラインの場合、ASA は、N2H2 サーバまたは Websense サーバがオンラインに戻るまで、発信ポート 80（Web）トラフィックを停止します。
except	先行の filter 条件に対する例外を作成します。
foreign_ip	セキュリティレベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
foreign_mask	foreign_ip 引数のネットワークマスク。常に特定のマスク値を指定します。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
interact-block	（任意）ユーザが対話形式の FTP プログラムを使用して FTP サーバに接続することを禁止します。
local_ip	セキュリティレベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0.0.0.0（短縮形は 0）を設定すると、すべてのホストを指定できます。
mask	local_ip 引数のネットワークマスク。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
port	フィルタリングが適用される TCP ポート。一般的に、これはポート 21 ですが、他の値も受け入れられます。ポート 80 の代わりに、ftp リテラルを使用できます。
- port	（任意）ポート範囲を指定します。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

filter ftp コマンドを使用すると、Websense サーバまたは N2H2 サーバでフィルタリングする FTP トラフィックを指定できます。

この機能をイネーブルにした後、ユーザがサーバに対して FTP GET 要求を発行すると、ASA は、FTP サーバ、および Websense サーバまたは N2H2 サーバに対して同時に要求を送信します。Websense サーバまたは N2H2 サーバによって接続が許可されると、ASA は成功の FTP リターンコードを変更しないでそのままユーザに返します。たとえば、成功の戻りコードは「250: CWD command successful.」です。

Websense サーバまたは N2H2 サーバによって接続が拒否されると、ASA は FTP リターンコードを変更して、接続が拒否されたことを示します。たとえば、ASA はコード 250 を「550 Requested file is prohibited by URL filtering policy」に変更します。Websense は FTP PUT コマンドのみをフィルタリングし、PUT コマンドのフィルタリングは行いません。

完全なディレクトリパスを指定しない対話形式の FTP セッションを禁止するには、interactive-block オプションを使用します。対話形式の FTP クライアントを使用すると、ユーザは、完全なパスを入力しないでディレクトリを変更できます。たとえば、ユーザは、cd /public/files ではなく、cd./files と入力できます。これらのコマンドを使用する前に、URL フィルタリングサーバを指定してイネーブルにする必要があります。

例

次に、FTP フィルタリングをイネーブルにする例を示します。

ciscoasa(config)# url-server (perimeter) host 10.0.1.1

ciscoasa(config)# filter ftp 21 0 0 0 0

ciscoasa(config)# filter ftp except 10.0.2.54 255.255.255.255 0 0

filter https

N2H2 サーバまたは Websense サーバでフィルタリングする HTTPS トラフィックを指定するには、グローバルコンフィギュレーションモードで filter https コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

filter https port [-port ] | except local_ip mask foreign_ip foreign_mask [ allow ]

no filter https port [-port ] | except local_ip mask foreign_ip foreign_mask [ allow ]

構文の説明

allow	（任意）サーバが利用できない場合に、フィルタリングなしで発信接続が ASA を通過します。このオプションを省略した場合に、N2H2 サーバまたは Websense サーバがオフラインになると、ASA は、N2H2 サーバまたは Websense サーバが再度オンラインになるまで、ポート 443 への発信トラフィックを停止します。
except	（オプション）先行の filter 条件に対する例外を作成します。
foreign_ip	セキュリティレベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
foreign_mask	foreign_ip 引数のネットワークマスク。常に特定のマスク値を指定します。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
local_ip	セキュリティレベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0.0.0.0（短縮形は 0）を設定すると、すべてのホストを指定できます。
mask	local_ip 引数のネットワークマスク。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
port	フィルタリングが適用される TCP ポート。一般的に、これはポート 443 ですが、他の値でも受け入れられます。ポート 443 の代わりに、https リテラルを使用できます。
- port	（任意）ポート範囲を指定します。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ASA は、外部の Websense または N2H2 フィルタリングサーバを使用した HTTPS サイトおよび FTP サイトのフィルタリングをサポートしています。

サイトが許可されない場合、SSL 接続ネゴシエーションを完了させないことによって、HTTPS フィルタリングが行われます。ブラウザに、「The Page or the content cannot be displayed.」のようなエラーメッセージが表示されます。

HTTPS コンテンツは暗号化されているため、ASA は、ディレクトリおよびファイル名の情報を付けずに URL ルックアップを送信します。

例

次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTPS 接続をフィルタリングする例を示します。

ciscoasa(config)# url-server (perimeter) host 10.0.1.1

ciscoasa(config)# filter https 443 0 0 0 0

ciscoasa(config)# filter https except 10.0.2.54 255.255.255.255 0 0

filter java

ASA を通過する HTTP トラフィックから Java アプレットを削除するには、グローバルコンフィギュレーションモードで filter java コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]

no filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]

構文の説明

except	（オプション）先行の filter 条件に対する例外を作成します。
foreign_ip	セキュリティレベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
foreign_mask	foreign_ip 引数のネットワークマスク。常に特定のマスク値を指定します。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
local_ip	セキュリティレベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0.0.0.0（短縮形は 0）を設定すると、すべてのホストを指定できます。
local_mask	local_ip 引数のネットワークマスク。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
port	フィルタリングが適用される TCP ポート。一般的に、これはポート 80 ですが、他の値でも受け入れられます。ポート 80 には http または url リテラルを使用できます。
port - port	（任意）ポート範囲を指定します。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

Java アプレットは、保護されたネットワーク上のホストとサーバを攻撃するコードを含むことがあるため、セキュリティリスクを引き起こす可能性があります。Java アプレットは、filter java コマンドで取り除くことができます。

filter java コマンドは、発信接続から ASA に返される Java アプレットをフィルタリングします。フィルタリングされてもユーザは HTML ページを受信できますが、アプレットの Web ページソースはコメントアウトされているため、アプレットは実行できません。 filter java コマンドでは、WebVPN トラフィックはフィルタリングされません。

<applet> または </applet> HTML タグが複数のネットワークパケットに分割されている場合や、タグ内のコードが MTU のバイト数よりも長い場合は、ASA でタグをブロックできません。Java アプレットが <object> タグ内にあることがわかっている場合は、 filter activex コマンドを使用して削除します。

例

次の例では、すべての発信接続で Java アプレットをブロックすることを指定しています。

ciscoasa(config)# filter java 80 0 0 0 0

次に、Java アプレットブロックを、すべてのローカルホストからポート 80 への Web トラフィック、および外部ホストへの接続の Web トラフィックに適用することを指定する例を示します。

次の例では、保護されたネットワーク上のホストへの Java アプレットのダウンロードをブロックしています。

ciscoasa(config)# filter java http 192.168.3.3 255.255.255.255 0 0

filter url

トラフィックを URL フィルタリングサーバに転送するには、グローバルコンフィギュレーションモードで filter url コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

filter url port [-port ] | except local_ip local_mask foreign_ip foreign_mask [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]

no filter url port [-port ] | except local_ip mask foreign_ip foreign_mask [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]

構文の説明

allow	サーバが利用できない場合、発信接続はフィルタリングなしで ASA を通過します。このオプションを省略した場合に、N2H2 サーバまたは Websense サーバがオフラインになると、ASA は、N2H2 サーバまたは Websense サーバが再度オンラインになるまで、発信ポート 80（Web）トラフィックを停止します。
cgi_truncate	CGI スクリプトのように、URL に疑問符（?）から始まるパラメータリストがある場合は、フィルタリングサーバに送信する URL から、疑問符を含む疑問符以降のすべての文字を削除します。
except	先行の filter 条件に対する例外を作成します。
foreign_ip	セキュリティレベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
foreign_mask	foreign_ip 引数のネットワークマスク。常に特定のマスク値を指定します。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
http	ポート 80 を指定します。80 の代わりに http または www と入力してポート 80 を指定することもできます。
local_ip	セキュリティレベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0.0.0.0（短縮形は 0）を設定すると、すべてのホストを指定できます。
local_mask	local_ip 引数のネットワークマスク。0.0.0.0（短縮形は 0）を使用すると、すべてのホストを指定できます。
longurl-deny	URL が URL バッファサイズの制限を超える場合や、URL バッファが使用できない場合に URL 要求を拒否します。
longurl-truncate	URL が URL バッファの制限を超える場合は、N2H2 サーバまたは Websense サーバに対して元のホスト名または IP アドレスのみを送信します。
- port	（任意）フィルタリングの適用対象となる TCP ポート。一般的に、これはポート 80 ですが、他の値でも受け入れられます。ポート 80 には http または url リテラルを使用できます。ハイフンの後にもう 1 つポートを追加すると、ポートの範囲を指定できます。
proxy-block	ユーザの HTTP プロキシサーバへの接続を禁止します。
url	ASA 経由で伝送されるデータから URL をフィルタリングします。

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

filter url コマンドを使用すると、N2H2 または Websense フィルタリングアプリケーションを使用して指定した WWW 上の URL への発信ユーザのアクセスを禁止できます。

（注） filter url コマンドを発行する前に、url-server コマンドを設定する必要があります。

filter url コマンドの allow オプションは、N2H2 サーバまたは Websense サーバがオフラインになった場合の ASA の動作を決定します。filter url コマンドで allow オプションを使用し、N2H2 サーバまたは Websense サーバがオフラインになった場合、ポート 80 のトラフィックはフィルタリングなしで ASA を通過します。allow オプションを指定しないでこのコマンドを使用し、サーバがオフラインになった場合、ASA では、サーバが再度オンラインになるまでポート 80（Web）への発信トラフィックが停止されるか、または別の URL サーバを使用できる場合は次の URL サーバに制御が渡されます。

（注） allow オプションを設定した場合、ASA では、N2H2 サーバまたは Websense サーバがオフラインになると代替サーバに制御が渡されます。

N2H2 サーバまたは Websense サーバは、ASA と連携して動作し、会社のセキュリティポリシーに基づいてユーザの Web サイトへのアクセスを拒否します。

フィルタリングサーバの使用方法

Websense プロトコルバージョン 4 では、ホストと ASA との間でのグループおよびユーザ名認証が可能です。ASA は、ユーザ名ルックアップを実行し、その後 Websense サーバが URL フィルタリングおよびユーザ名のロギングを処理します。

N2H2 サーバは、IFP サーバを実行する Windows ワークステーション（2000、NT、または XP）である必要があります。512 MB 以上の RAM を推奨します。また、N2H2 サービスにおける長い URL のサポートは最大 3 KB までとなっており、Websense における制限よりも短くなっています。

Websense プロトコルバージョン 4 では、次の機能が拡張されました。

URL フィルタリングによって、ASA では、Websense サーバに定義されているポリシーを使用して発信 URL 要求をチェックできます。
ユーザ名のロギングによって、Websense サーバでユーザ名、グループ、およびドメイン名が追跡されます。
ユーザ名ルックアップによって、ASA では、ユーザ認証テーブルを使用して、ホストの IP アドレスをユーザ名にマッピングできます。

Websense についての情報は、次の Web サイトで入手できます。

http://www.websense.com/

設定手順

次の手順を実行して、URL フィルタリングを行います。

1. ベンダー固有の適切な形式の url-server コマンドを使用して、N2H2 サーバまたは Websense サーバを指定します。

2. filter コマンドを使用して、フィルタリングをイネーブルにします。

3. 必要に応じて url-cache コマンドを使用して、スループットを向上させます。ただし、このコマンドは Websense ログを更新しないため、Websense アカウンティングレポートに影響がある可能性があります。url-cache コマンドを使用する前に、Websense の実行ログを蓄積します。

4. show url-cache statistics コマンドおよび show perfmon コマンドを使用して、実行情報を表示します。

長い URL の使用

Websense フィルタリングサーバでは 4 KB まで、N2H2 フィルタリングサーバでは 3 KB までの URL のフィルタリングがサポートされています。

許可されている最大サイズよりも長い URL 要求の処理を許可するには、 longurl-truncate オプションおよび cgi-truncate オプションを使用します。

URL が最大長よりも長く、longurl-truncate オプションまたは longurl-deny オプションをイネーブルにしない場合、ASA ではパケットがドロップされます。

longurl-truncate オプションを指定すると、ASA は URL が最大許容長よりも長い場合に、URL のホスト名または IP アドレス部分だけを、評価のためにフィルタリングサーバに送信します。longurl-deny オプションは、URL が最大許容長よりも長い場合、発信 URL トラフィックを拒否します。

パラメータは含まずに CGI スクリプトの場所とスクリプト名だけを含むよう CGI URL を切り捨てるには、cgi-truncate オプションを使用します。長い HTTP 要求のほとんどは、CGI 要求です。パラメータリストが非常に長い場合、パラメータリストを含む完全な CGI 要求を待機したり送信したりすると、大量のメモリリソースが使用され、ASA のパフォーマンスに影響を与える可能性があります。

HTTP 応答のバッファリング

デフォルトで、ユーザが特定の Web サイトに対する接続要求を発行すると、ASA はその要求を Web サーバとフィルタリングサーバに同時に送信します。Web コンテンツサーバよりも前にフィルタリングサーバが応答しない場合、Web サーバからの応答はドロップされます。このような場合、Web クライアントの観点からは、Web サーバの応答が遅延することになります。

HTTP 応答バッファをイネーブルにすることによって、Web コンテンツサーバからの応答がバッファリングされ、フィルタリングサーバによって接続が許可された場合にその応答が要求元ユーザに転送されます。これにより、応答バッファをイネーブルにしない場合に発生する遅延を防止できます。

HTTP 応答バッファをイネーブルにするには、次のコマンドを入力します。

ciscoasa(config)# url-block block block-buffer-limit

block-buffer-limit 引数を、バッファリングする最大ブロック数で置き換えます。1 ～ 128 の値を指定できます。この値は、一度にバッファリング可能な 1550 バイトのブロック数を指定します。

例

次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTP 接続をフィルタリングする例を示します。

ciscoasa(config)# url-server (perimeter) host 10.0.1.1

ciscoasa(config)# filter url 80 0 0 0 0

ciscoasa(config)# filter url except 10.0.2.54 255.255.255.255 0 0

次に、ポート 8080 でリッスンするプロキシサーバ宛てのすべての発信 HTTP 接続をブロックする例を示します。

ciscoasa(config)# filter url 8080 0 0 0 0 proxy-block

fips enable

FIPS 準拠を強制するためのポリシーチェックをイネーブルにするには、グローバルコンフィギュレーションモードで fips enable コマンドを使用します。ポリシーチェックをディセーブルにするには、このコマンドの no 形式を使用します。

fips enable

no fips enable

構文の説明

enable

FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。

デフォルト

このコマンドには、デフォルト設定がありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	x	対応	対応	—

コマンド履歴

リリース	変更内容
7.0(4)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。
9.8(2)	FIPS モードを有効にするには、設定の保存とリロードが必要になりました。また、フェールオーバーペアの両方のユニットは、同じ FIPS 設定が必要です。

使用上のガイドライン

FIPS 準拠動作モードで実行するには、fips enable コマンドを適用し、セキュリティポリシーに指定されている正しいコンフィギュレーションを適用する必要があります。内部 API によって、実行時に正しいコンフィギュレーションが適用されるようにデバイスを移行できます。

スタートアップコンフィギュレーションに FIPS 準拠モードが存在する場合、FIPS POST が実行され、次のコンソールメッセージが出力されます。

Restricted Rights Legend

Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

....

Cryptochecksum (unchanged): 6c6d2f77 ef13898e 682c9f94 9c2d5ba9

INFO: FIPS Power-On Self-Test in process. Estimated completion in 90 seconds.

......................................................

INFO: FIPS Power-On Self-Test complete.

Type help or '?' for a list of available commands.

sw8-5520>

（注） FIPS モードは、クラスタリングモードではサポートされていません。

（注）すべてのインターフェイスがポートチャネルのメンバーとして設定されている場合、FIPS セルフテストは起動時に失敗します。FIPS セルフテストが起動時に成功するには、少なくとも 1 つのインターフェイスを有効にして、ポートチャネルのメンバーとしては設定しないようにする必要があります。

例

次に、システムで FIPS 準拠を強制するためのポリシーチェックを示します。

ciscoasa(config)# fips enable

WARNING: FIPS mode change will not take effect until you save configuration and reboot the device

コマンド	説明
clear configure fips	NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。
crashinfo console disable	フラッシュに対するクラッシュ書き込みの読み取り、書き込み、およびコンフィギュレーションをディセーブルにします。
fips self-test poweron	電源投入時自己診断テストを実行します。
show crashinfo console	フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行います。
show running-config fips	ASA で実行されている FIPS コンフィギュレーションを表示します。
show fips	FIPS の現在の動作状態を ASA に表示します。

fips self-test poweron

電源投入時自己診断テストを実行するには、特権 EXEC モードで fips self-test powereon コマンドを使用します。

fips self-test poweron

構文の説明

poweron

電源投入時自己診断テストを実行します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	—	対応	対応	—

コマンド履歴

リリース	変更内容
7.0(4)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

このコマンドを入力すると、デバイスで FIPS 140-2 準拠に必要なすべてのセルフテストが実行されます。テストには、暗号化アルゴリズムテスト、ソフトウェア完全性テスト、および重要機能のテストがあります。

例

次に、システムで電源投入時自己診断テストを実行する例を示します。

ciscoasa(config)# fips self-test poweron

firewall transparent

ファイアウォールモードをトランスペアレントモードに設定するには、グローバルコンフィギュレーションモードで firewall transparent コマンドを使用します。ルーテッドモードに戻すには、このコマンドの no 形式を使用します。

firewall transparent

no firewall transparent

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

デフォルトでは、ASA はルーテッドモードです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応		—

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.5(1)/9.0(1)	マルチコンテキストモードでは、コンテキストごとにこれを設定できます。

使用上のガイドライン

トランスペアレントファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータホップとしては認識されません。

マルチコンテキストモードでは、コンテキストごとにこのコマンドを設定できます。

多くのコマンドは両方のモードではサポートされていないため、モードを変更した場合は、ASAによってコンフィギュレーションがクリアされます。設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。

firewall transparent コマンドを使用してモードを変更するテキストコンフィギュレーションをASA にダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、ASA でこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。コマンドをコンフィギュレーションの後の方に配置すると、コンフィギュレーション内のその位置よりも前にあるすべての行が ASA によってクリアされます。

例

次に、ファイアウォールモードをトランスペアレントに変更する例を示します。

ciscoasa(config)# firewall transparent

flow-export active refresh-interval

flow-update イベント間の間隔を指定するには、グローバルコンフィギュレーションモードで flow-export active refresh-interval コマンドを使用します。

flow-export active refresh-interval value

構文の説明

value

flow-update イベント間の間隔を分単位で指定します。有効な値は 1 ～ 60 分です。

デフォルト

デフォルト値は 1 分です。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
9.1(2)	このコマンドが追加されました。

使用上のガイドライン

flow-export delay flow-create コマンドを設定した後で、遅延値より 5 秒以上長くはない間隔値を使用して flow-export active refresh-interval コマンドを設定した場合、コンソールに次の警告メッセージが表示されます。

WARNING: The current delay flow-create value configuration may cause flow-update events to appear before flow-creation events.

flow-export active refresh-interval コマンドを設定した後で、間隔値より 5 秒以上短くはない遅延値を使用して flow-export delay flow-create コマンドを設定した場合、コンソールに次の警告メッセージが表示されます。

WARNING: The current delay flow-create value configuration may cause flow-update events to appear before flow-creation events.

例

次に、30 分の時間間隔を設定する例を示します。

ciscoasa(config)# flow-export active refresh-interval 30

flow-export delay flow-create

フロー作成イベントのエクスポートを遅延するには、グローバルコンフィギュレーションモードで flow-export delay flow-create コマンドを使用します。遅延なしでフロー作成イベントをエクスポートするには、このコマンドの no 形式を使用します。

flow-export delay flow-create seconds

no flow-export delay flow-create seconds

構文の説明

seconds

フロー作成イベントのエクスポートを遅延する秒数を指定します。有効な値は、1 ～ 180 秒です。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
8.1(2)	このコマンドが追加されました。

使用上のガイドライン

flow-export delay flow-create コマンドが設定されていない場合、フロー作成イベントは遅延なしでエクスポートされます。

設定されている遅延よりも前にフローが切断された場合は、flow-create イベントは送信されません。その代わりに拡張フローティアダウンイベントが送信されます。

例

次に、フロー作成イベントのエクスポートを 10 秒間遅延する例を示します。

ciscoasa(config)# flow-export delay flow-create 10

flow-export destination

NetFlow パケットの送信先のコレクタを設定するには、グローバルコンフィギュレーションモードで flow-export destination コマンドを使用します。NetFlow パケットのコレクタを削除するには、このコマンドの no 形式を使用します。

flow-export destination interface-name ipv4-address | hostname udp-port

no flow-export destination interface-name ipv4-address | hostname udp-port

構文の説明

hostname	NetFlow コレクタのホスト名を指定します。
interface-name	宛先に到達可能なインターフェイス名を指定します。
ipv4-address	NetFlow コレクタの IP アドレスを指定します。IPv4 だけがサポートされます。
udp-port	NetFlow コレクタがリッスンしている UDP ポートを指定します。有効な値は、1 ～ 65535 です。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
8.1(1)	このコマンドが追加されました。
8.1(2)	フローエクスポートの宛先の最大数が 5 に増やされました。

使用上のガイドライン

flow-export destination コマンドを使用すると、NetFlow コレクタに NetFlow データをエクスポートするように ASA を設定できます。

（注）セキュリティコンテキストごとに最大で 5 つのエクスポートの宛先（コレクタ）を入力できます。新しい宛先を入力すると、新たに追加されたコレクタにテンプレートレコードが送信されます。6 つ以上の宛先の追加を試みると、次のエラーメッセージが表示されます。

「ERROR: A maximum of 5 flow-export destinations can be configured.」

ASA が NetFlow データをエクスポートするように設定されている場合、パフォーマンス向上のため、 logging flow-export-syslogs disable コマンドを入力して（NetFlow でキャプチャされた）冗長な syslog メッセージをディセーブルにすることを推奨します。

例

次に、NetFlow データのコレクタを設定する例を示します。

ciscoasa(config)# flow-export destination inside 209.165.200.224 2055

flow-export event-type destination

各コレクタにどの NetFlow レコードを送信するかを決定するために NetFlow コレクタおよびフィルタのアドレスを設定するには、ポリシーマップクラスコンフィギュレーションモードで flow-export event-type destination コマンドを使用します。NetFlow コレクタおよびフィルタのアドレスを削除するには、このコマンドの no 形式を使用します。

flow-export event-type { all | flow-create | flow-denied | flow-update | flow-teardown } destination

no flow-export event-type { all | flow-create | flow-denied | flow-update | flow-teardown } destination

構文の説明

all	4 つのイベントタイプをすべて指定します。
flow-create	flow-create イベントを指定します。
flow-denied	flow-denied イベントを指定します。
flow-teardown	flow-teardown イベントを指定します。
flow-update	flow-update イベントを指定します。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表は、このコマンドを入力できるモードを示しています。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ポリシーマップクラスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
8.1(2)	このコマンドが追加されました。

使用上のガイドライン

NetFlow イベントは、Modular Policy Framework を使用して設定されます。Modular Policy Framework が NetFlow 用に設定されていない場合、イベントはログに記録されません。トラフィックはクラスが設定される順序に基づいて照合されます。一致が検出されると、その他のクラスはチェックされません。NetFlow イベントの場合、コンフィギュレーションの要件は次のとおりです。

flow-export destination（NetFlow コレクタ）は、その IP アドレスによって一意に識別されます。
サポートされるイベントタイプは、flow-create、flow-teardown、flow-denied、および all です（前述の 4 つのイベントタイプを含みます）。
flow-export アクションは、インターフェイスポリシーでサポートされません。
flow-export アクションがサポートされるのは、 class-default コマンド、および match any コマンドまたは match access-list コマンドで使用されるクラスに限られます。
NetFlow コレクタが定義されていない場合は、コンフィギュレーションアクションは発生しません。
NetFlow セキュアイベントロギングのフィルタリングは、順序に関係なく実行されます。

（注）有効な NetFlow コンフィギュレーションを作成するには、flow-export destination コンフィギュレーションと flow-export event-type コンフィギュレーションの両方が必要です。flow-export destination コンフィギュレーション単独では何も実行されません。また、flow-export event-type コンフィギュレーションのクラスマップも設定する必要があります。これは、デフォルトクラスマップにすることも、自分で作成したクラスマップにすることもできます。

例

次に、ホスト 10.1.1.1 と 20.1.1.1 の間のすべての NetFlow イベントを送信先 15.1.1.1 にエクスポートする例を示します。

ciscoasa(config)# access-list flow_export_acl permit ip host 10.1.1.1 host 20.1.1.1

ciscoasa(config)# class-map flow_export_class

ciscoasa(config-cmap)# match access-list flow_export_acl

ciscoasa(config)# policy-map global_policy

ciscoasa(config-pmap)# class flow_export_class

ciscoasa(config-pmap-c)# flow-export event-type all destination 15.1.1.1

flow-export template timeout-rate

テンプレート情報が NetFlow コレクタに送信される間隔を制御するには、グローバルコンフィギュレーションモードで flow-export template timeout-rate コマンドを使用します。テンプレートタイムアウトをデフォルト値にリセットするには、このコマンドの no 形式を使用します。

flow-export template timeout-rate minutes

no flow-export template timeout-rate minutes

構文の説明

minutes	間隔を分単位で指定します。有効な値は、1 ～ 3600 分です。
template	テンプレートのエクスポートを設定するための timeout-rate キーワードをイネーブルにします。
timeout-rate	テンプレートを最初に送信してから再送信するまでの時間（間隔）を指定します。

デフォルト

間隔のデフォルト値は 30 分です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
8.1(1)	このコマンドが追加されました。

使用上のガイドライン

使用するコレクタ、およびコレクタにおいて必要となるテンプレートリフレッシュ頻度に基づいて、タイムアウトレートを設定する必要があります。

セキュリティアプライアンスが NetFlow データをエクスポートするように設定されている場合、パフォーマンス向上のため、 logging flow-export-syslogs disable コマンドを入力して（NetFlow でキャプチャされた）冗長な syslog メッセージをディセーブルにすることを推奨します。

例

次に、すべてのコレクタに対してテンプレートレコードを 60 分ごとに送信するように NetFlow を設定する例を示します。

ciscoasa(config)# flow-export template timeout-rate 60

flow-offload enable

フローのオフロードをイネーブルにするには、グローバルコンフィギュレーションモードで flow-offload enable コマンドを使用します。オフロードをディセーブルにするには、このコマンドの no 形式を使用します。

flow-offload enable

no flow-offload enable

構文の説明

このコマンドには引数またはキーワードはありません。

デフォルト

フローのオフロードはデフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
9.5(2.1)	このコマンドが導入されました。このコマンドは FXOS 1.1.3+ を実行している Firepower 9300 シリーズのみで使用できます。
9.6(1)	FXOS 1.1.4+ を実行している Firepower 4100 シリーズのサポートが追加されました。
9.6(2)	トランスペアレントモードのマルチキャスト接続のサポートが追加されました。ただし、ブリッジグループに 2 つのインターフェイスだけが含まれる場合に限ります。

使用上のガイドライン

データセンターに FirePOWER アプライアンスと ASA セキュリティモジュールを展開した場合、超高速パスにオフロードするトラフィックを識別して、フローが NIC 自身でスイッチングされるようにできます。オフロードを行うと、大容量ファイルの転送など、データ集約型アプリケーションのパフォーマンスを向上させることができます。

オフロードを行う前に、ASA は接続確立時に通常のセキュリティ処理（アクセスルールやインスペクションなど）を適用します。ASA はまた、セッションの切断を行います。しかし、接続が確立され、フローがオフロード対象として識別されると、以降の処理は ASA ではなく NIC で発生します。

オフロード中、フローはセキュリティポリシーチェックなどのサービスを受け取らないため、システム全体を可能な限り高速に移動できます。オフロードされたフローに対しては、インスペクション、TCP 正規化（設定した場合はチェックサム検証を除く）、QoS、シーケンス番号チェックが行われません。

オフロードできるフローを識別するには、フローオフロードサービスを適用するサービスポリシールールを作成します。次の条件を満たす場合、一致したフローがオフロードされます。

IPv4 アドレスのみ。
TCP、UDP、GRE のみ。
標準または 802.1q タグ付きイーサネットフレームのみ。
（トランスペアレントモードのみ。）インターフェイスを 2 つだけ含むブリッジグループのマルチキャストフロー。
オフロードされるフローに適用できないサービス（インスペクション、復号化、IPSec および VPN フロー、サービスモジュールに送信されるフロー）を受け取らない。

オフロードされるフローのリバースフローもオフロードされます。

フローのオフロードをイネーブルまたはディセーブルにするたびに、システムをリロードする必要があります。

マルチコンテキストモードでは、フローオフロードを有効または無効にすると、すべてのコンテキストのフローオフロードが有効または無効になります。コンテキストごとに異なる設定を使用することはできません。

クラスタまたはフェールオーバーペアの場合、ヒットレスなモード変更を行うには、次の事項を考慮する必要があります。

クラスタリング：最初にマスターユニット上でコマンドを入力しますが、マスターユニットをすぐにリブートしないでください。代わりに、クラスタの各メンバーを最初にリブートしてから、マスターに戻ってリブートします。その後、マスターユニットでオフロードサービスポリシーを設定できます。
フェールオーバー：最初にアクティブユニット上でコマンドを入力しますが、アクティブユニットをすぐにリブートしないでください。代わりに、スタンバイユニットをリブートしてから、アクティブユニットをリブートします。次に、アクティブユニット上でオフロードサービスポリシーを設定します。

（注）デバイスサポートの詳細については、http://www.cisco.com/c/en/us/td/docs/security/firepower/9300/compatibility/fxos-compatibility.html を参照してください。

例

次に、フローのオフロードをイネーブルにし、設定を保存してシステムをリブートする例を示します。

ciscoasa(config)# flow-offload enable

WARNING: This command will take effect after the running-config is

saved and the system has been rebooted.

ciscoasahostname(config)# write memory

ciscoasa(config)# reload

flowcontrol

フロー制御用のポーズ（XOFF）フレームをイネーブルにするには、インターフェイスコンフィギュレーションモードで flowcontrol コマンドを使用します。ポーズフレームをディセーブルにするには、このコマンドの no 形式を使用します。

flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]

no flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]

構文の説明

high_water	10 GigabitEthernet の最高水準点を 0 ～ 511 KB の範囲で設定し、1 GigabitEthernet の最高水準点を 0 ～ 47 KB の範囲で（4GE-SSM では GigabitEthernet の最高水準点を 0 ～ 11 KB の範囲で）設定します。バッファの使用量が高基準値を超えると、NIC からポーズフレームが送信されます。
low_water	10 GigabitEthernet の最低水準点を 0 ～ 511 KB の範囲で設定し、1 GigabitEthernet の最低水準点を 0 ～ 47 KB の範囲で（4GE-SSM では GigabitEthernet の最低水準点を 0 ～ 11 KB の範囲で）設定します。Network Interface Controller（NIC; ネットワークインターフェイスコントローラ）からポーズフレームが送信された後、バッファの使用量が低基準値を下回ると、NIC から XON フレームが送信されます。リンクパートナーは、XON フレームを受信するとトラフィックを再開できます。
noconfirm	確認なしでコマンドを適用します。このコマンドでは、インターフェイスがリセットされるため、このオプションを指定しない場合は、コンフィギュレーションの変更の確認を求められます。
pause_time	ポーズリフレッシュのしきい値を 0 ～ 65535 スロットの範囲で設定します。各スロットは 64 バイトを転送するために必要な時間なので、ユニットあたりの時間はリンク速度によって異なります。リンクパートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズフレーム内のこのタイマー値によって制御されます。バッファの使用量が継続的に最高水準点を超えている場合は、ポーズリフレッシュのしきい値に指定された間隔でポーズフレームが繰り返し送信されます。デフォルトは 26624 です。

コマンドデフォルト

ポーズフレームは、デフォルトではディセーブルになっています。

10 GigabitEthernet の場合は、次のデフォルト設定を参照してください。

デフォルトの最高水準点は 128 KB です。
デフォルトの最低水準点は 64 KB です。
デフォルトのポーズリフレッシュのしきい値は 26624 スロットです。

1 GigabitEthernet の場合は、次のデフォルト設定を参照してください。

デフォルトの最高水準点は 24 KB です。
デフォルトの最低水準点は 16 KB です。
デフォルトのポーズリフレッシュのしきい値は 26624 スロットです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴

リリース	変更内容
8.2(2)	ASA 5580 上の 10-GigabitEthernet インターフェイスに対して、このコマンドが追加されました。
8.2(3)	ASA 5585-X のサポートが追加されました。
8.2(5)/8.4(2)	すべてのモードで 1-GigabitEthernet インターフェイスのサポートが追加されました。

使用上のガイドライン

このコマンドは、1-GigabitEthernet および 10-Gigabit Ethernet インターフェイスでサポートされています。このコマンドでは、管理インターフェイスをサポートしていません。

このコマンドは、物理インターフェイスに対して入力します。

トラフィックバーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リングバッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズフレームをイネーブルにすると、このような問題の発生を抑制できます。

このコマンドをイネーブルにすると、FIFO バッファの使用量に基づいて、NIC ハードウェアによってポーズ（XOFF）フレームおよび XON フレームが自動的に生成されます。

1. バッファの使用量が最高水準点を超えると、NIC からポーズフレームが送信されます。

2. ポーズが送信された後、バッファの使用量が最低水準点を下回ると、NIC から XON フレームが送信されます。

3. リンクパートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズフレーム内のタイマー値によって制御されます。

4. バッファの使用量が継続的に最高水準点を超えている場合は、ポーズリフレッシュのしきい値に指定された間隔でポーズフレームが繰り返し送信されます。

このコマンドを使用すると、次の警告メッセージが表示されます。

Changing flow-control parameters will reset the interface. Packets may be lost during the reset.

Proceed with flow-control changes?

プロンプトを表示しないでパラメータを変更するには、 noconfirm キーワードを使用します。

（注） 802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。

例

次に、デフォルト設定を使用してポーズフレームをイネーブルにする例を示します。

ciscoasa(config)# interface tengigabitethernet 1/0

ciscoasa(config-if)# flowcontrol send on

Changing flow-control parameters will reset the interface. Packets may be lost during the reset.

Proceed with flow-control changes?

ciscoasa(config-if)# y

flow-mobility lisp

クラスタのフローモビリティをイネーブルにするには、クラスコンフィギュレーションモードで flow-mobility lisp コマンドを使用します。フローモビリティをディセーブルにするには、このコマンドの no 形式を使用します。

flow-mobility lisp

no flow-mobility lisp

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタ構成	対応	対応	対応	対応	—

コマンド履歴

リリース	変更内容
9.5(2)	このコマンドが追加されました。

使用上のガイドライン

このオン/オフトグルを使用すると、特定のクラスのトラフィックまたはアプリケーションに対してフローモビリティを簡単にイネーブルまたはディセーブルにできます。

クラスタフローモビリティの LISP インスペクションについて

ASA は、場所の変更について LISP トラフィックを検査し、シームレスなクラスタリング操作のためにこの情報を使用します。LISP の統合により、ASA クラスタメンバーは、最初のホップルータと ETR または ITR との間で渡される LISP トラフィックを検査し、その後、フローの所有者を新しいサイトへ変更できます。

クラスタフローモビリティには複数の相互に関連する設定が含まれています。

1. （オプション）ホストまたはサーバの IP アドレスに基づく検査される EID の限定：最初のホップルータは、ASA クラスタが関与していないホストまたはネットワークに関する EID 通知メッセージを送信することがあるため、EID をクラスタに関連するサーバまたはネットワークのみに限定することができます。たとえば、クラスタが 2 つのサイトのみに関連しているが、LISP は 3 つのサイトで稼働している場合は、クラスタに関連する 2 つのサイトの EID のみを含めます。 policy-map type inspect lisp 、 allowed-eid および validate-key コマンドを参照してください。

2. LISP トラフィックのインスペクション：ASA は、最初のホップルータと ITR または ETR 間で送信された EID 通知メッセージに関して LISP トラフィックを検査します。ASA は EID とサイト ID を相関付ける EID テーブルを維持します。たとえば、最初のホップルータの送信元 IP アドレスと ITR または ETR の宛先アドレスをもつ LISP トラフィックを検査する必要があります。 inspect lisp コマンドを参照してください。

3. 指定されたトラフィックでのフローモビリティを有効にするサービスポリシー：ビジネスクリティカルなトラフィックでフローモビリティを有効にする必要があります。たとえば、フローモビリティを、HTTPS トラフィックのみに制限したり、特定のサーバとの間でやり取りされるトラフィックのみに制限したりできます。 cluster flow-mobility lisp コマンドを参照してください。

4. サイト ID：ASA は各クラスタユニットのサイト ID を使用して、新しい所有者を判別します。 site-id コマンドを参照してください。

5. フローモビリティを有効にするクラスタレベルの設定：クラスタレベルでもフローモビリティを有効にする必要があります。このオン/オフの切り替えを使用することで、特定のクラスのトラフィックまたはアプリケーションに対してフローモビリティを簡単に有効または無効にできます。 flow-mobility lisp コマンドを参照してください。

例

次に、cluster1 のフローモビリティをイネーブルにする例を示します。

ciscoasa(config)# cluster group cluster1

ciscoasa(cfg-cluster)# flow-mobility lisp

format

すべてのファイルを消去してファイルシステムをフォーマットするには、特権 EXEC モードで format コマンドを使用します。

format {disk0: | disk1: | flash:}

構文の説明

disk0 :	内部フラッシュメモリを指定し、続けてコロンを入力します。
disk1:	外部フラッシュメモリカードを指定し、続けてコロンを入力します。
flash:	内部フラッシュメモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。

デフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴

リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

format コマンドは、指定したファイルシステム上のすべてのデータを消去して、デバイスに FAT 情報を再書き込みします。

注意

format コマンドを使用するのは、必要な場合に、破損したフラッシュメモリをクリーンアップするためにのみ、慎重に使用してください。

（非表示のシステムファイルを除く）表示されているすべてのファイルを削除する場合は、 format コマンドではなく delete /recursive コマンドを入力します。

（注） Cisco ASA 5500 シリーズでは、erase コマンドを実行すると、ディスク上のすべてのユーザデータが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイルシステムの制御構造をリセットするだけです。ロウディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。

破損したファイルシステムを修復する場合は、format コマンドを入力する前に fsck を入力します。

例

次に、フラッシュメモリをフォーマットする例を示します。

ciscoasa# format flash:

forward interface

ASA 5505 など、組み込みスイッチを搭載したモデルの場合、特定の VLAN で他の特定の VLAN への接続の開始を可能にするには、インターフェイスコンフィギュレーションモードで forward interface コマンドを使用します。特定の VLAN で他の特定の VLAN への接続が開始されないよう制限するには、このコマンドの no 形式を使用します。

forward interface vlan number

no forward interface vlan number

（注） Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

vlan number

この VLAN インターフェイスでトラフィックの開始を禁止する先の VLAN ID を指定します。

デフォルト

デフォルトでは、すべてのインターフェイスから他のすべてのインターフェイスにトラフィックを開始できます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。

コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴

リリース	変更内容
7.2(1)	このコマンドが追加されました。
9.13(1)	Firepower 1010 のサポートが追加されました。

使用上のガイドライン

ライセンスでサポートされている VLAN 数に応じて、特定の VLAN の制限が必要となることがあります。

ルーテッドモードでは、ASA 5505 の基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 5 つのアクティブ VLAN を設定できます。アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。いずれのライセンスでも、ASA 5505 では最大 5 つの非アクティブな VLAN を設定できますが、これらをアクティブにする場合は、ライセンスのガイドラインに従う必要があります。

基本ライセンスでは、3 つめの VLAN は no forward interface コマンドを使用して設定し、この VLAN から他の特定の VLAN への接続の開始を制限する必要があります。

たとえば、1 つめの VLAN がインターネットアクセス用の外部ネットワークに、2 つめの VLAN が内部の業務用ネットワークに、3 つめの VLAN が家庭用ネットワークにそれぞれ割り当てられているとします。家庭用ネットワークから業務用ネットワークにアクセスする必要はないため、家庭用 VLAN に対して no forward interface コマンドを使用できます。業務用ネットワークから家庭用ネットワークにはアクセスできますが、家庭用ネットワークから業務用ネットワークにはアクセスできません。

すでに 2 つの VLAN インターフェイスを nameif コマンドで設定している場合は、3 つ目のインターフェイスに対して nameif コマンドを使用する前に no forward interface コマンドを入力してください。ASA では、ASA 5505 の基本ライセンスで 3 つのフル機能 VLAN インターフェイスを持つことは許可されていません。

例

次の例では、3 つの VLAN インターフェイスを設定します。3 つめの家庭用インターフェイスは、業務用インターフェイスにトラフィックを転送できません。

ciscoasa(config)# interface vlan 100

ciscoasa(config-if)# nameif outside

ciscoasa(config-if)# security-level 0

ciscoasa(config-if)# ip address dhcp