- icmp
- icmp-object
- icmp unreachable
- id-cert-issuer
- id-mismatch
- id-randomization
- id-usage
- igmp
- igmp access-group
- igmp forward interface
- igmp join-group
- igmp limit
- igmp query-interval
- igmp query-max-response-time
- igmp query-timeout
- igmp static-group
- igmp version
- ignore-ipsec-keyusage(廃止)
- ignore lsa mospf
- ignore-lsp-errors
- ignore-ssl-keyusage(廃止)
- ike-retry-count
- ikev1 pre-shared-key
- ikev1 trust-point
- ikev1 user-authentication
- ikev2 local-authentication
- ikev2 mobike-rrc
- ikev2 remote-authentication
- ikev2 rsa-sig-hash
- im
- imap4s(廃止)
- imi-traffic-descriptor
- import
- import webvpn AnyConnect-customization
- import webvpn customization
- import webvpn mst-translation
- import webvpn plug-in protocol
- import webvpn translation-table
- import webvpn url-list
- import webvpn webcontent
icmp コマンド ~ import webvpn webcontent コマンド
icmp
ASA インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定するには、 icmp コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
構文の説明
(オプション)ICMP メッセージ タイプ( 表 1-1 を参照)。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp コマンドは、ASA インターフェイスで終了する ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、ASA は外部インターフェイスを含め任意のインターフェイスで終了するすべての ICMP トラフィックを受け付けます。ただし、ASA はデフォルトではブロードキャスト アドレスに送信される ICMP エコー要求に応答しません。
ASA は、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、インターフェイス経由で離れたインターフェイスに送信できません。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの VPN アクセスはサポートされません。たとえば、VPN アクセスが外部インターフェイスにある場合、外部インターフェイスへの直接接続のみ開始できます。複数のアドレスを覚える必要がないように、ASA の直接アクセス可能インターフェイスの VPN を有効にし、名前解決を使用してください。
icmp deny コマンドはインターフェイスへの ping の実行をディセーブルにし、icmp permit コマンドはインターフェイスへの ping の実行をイネーブルにします。ping の実行がディセーブルの場合、ASA はネットワーク上で検出できません。これは、設定可能なプロキシ ping とも呼ばれます。
宛先が保護されたインターフェイスにある場合、access-list extended コマンドまたは access-group コマンドは ASA 経由でルーティングされる ICMP トラフィックに対して使用します。
ICMP 到達不能メッセージ タイプ(タイプ 3)の権限を付与することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになって、IPSec および PPTP トラフィックが停止することがあります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。
インターフェイスの ICMP コントロール リストが設定されている場合、ASA は指定された ICMP トラフィックを照合し、そのインターフェイス上の他のすべての ICMP トラフィックに関して暗黙拒否を適用します。つまり、最初に一致したエントリが許可エントリである場合、ICMP パケットは引き続き処理されます。最初に一致したエントリが拒否エントリであるか、エントリに一致しない場合、ASA によって ICMP パケットは破棄され、syslog メッセージが生成されます。例外は、ICMP コントロール リストが設定されていない場合です。その場合、permit ステートメントがあるものと見なされます。
表 1-1 に、サポートされる ICMP タイプの値を一覧表示します。
|
|
|
|---|---|
例
次に、外部インターフェイスですべての ping 要求を拒否し、すべての到達不能メッセージを許可する例を示します。
ICMP トラフィックを拒否するその他のインターフェイスごとに icmp deny any interface コマンドの入力を続行します。
次に、ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 上のホストに外部インターフェイスへの ping の実行を許可する例を示します。
関連コマンド
|
|
|
|---|---|
icmp-object
ICMP オブジェクト グループに ICMP タイプを追加するには、ICMP タイプ コンフィギュレーション モードで icmp-object コマンドを使用します。ICMP タイプを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp-object コマンドは、ICMP オブジェクトを定義するために、 object-group icmp-type コマンドとともに使用されます。また、ICMP タイプ コンフィギュレーション モードで使用されます。
ICMP タイプを含むサービス グループを作成する場合は、このコマンドではなく、 object-group service コマンドと service-group コマンドを使用します。サービス グループには ICMP6 および ICMP のコードを含めることができますが、ICMP オブジェクトにはそれらのコードを含めることはできません。
|
|
|
|---|---|
例
次に、ICMP タイプ コンフィギュレーション モードで icmp-object コマンドを使用する例を示します。
関連コマンド
|
|
|
|---|---|
icmp unreachable
ASA インターフェイスで終了する ICMP トラフィックに関して ICMP 到達不能メッセージ レート制限を設定するには、 icmp unreachable コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
icmp unreachable rate-limit rate burst-size size
no icmp unreachable rate-limit rate burst-size size
構文の説明
到達不能メッセージのレート制限を 1 秒あたり 1 ~ 100 メッセージに設定します。デフォルトは、1 秒あたり 1 メッセージです。 |
|
バースト レートを 1 ~ 10 に設定します。このキーワードは、現在システムで使用されていないため、任意の値を選択できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
到達不能メッセージなどの ICMP メッセージに ASA インターフェイスでの終了を許可する( icmp コマンドを参照)場合は、到達不能メッセージのレートを制御できます。
ASA をホップの 1 つとして表示する traceroute が ASA を経由できるようにするには、 set connection decrement-ttl コマンドとともにこのコマンドが必要です。
例
次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。
関連コマンド
|
|
|
|---|---|
id-cert-issuer
システムがこのトラストポイントに関連付けられた CA が発行したピア証明書を受け付けるかどうかを示すには、クリプト CA トラストポイント コンフィギュレーション モードで id-cert-issuer コマンドを使用します。トラストポイントに関連付けられた CA によって発行された証明書を拒否するには、このコマンドの no 形式を使用します。これは、広く使用されているルート CA を表すトラストポイントに便利です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、広く使用されているルート証明書の下位証明書が発行した証明書に限って受け付けることができます。この機能を許可しないと、ASA はこの発行者によって署名された IKE ピア証明書を拒否します。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始し、管理者がトラストポイント central の発行者によって署名されたアイデンティティ証明書を受け付ける例を示します。
関連コマンド
|
|
|
|---|---|
id-mismatch
過度の DNS ID 不一致のロギングをイネーブルにするには、パラメータ コンフィギュレーション モードで id-mismatch コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
id-mismatch [count number duration seconds ] action log
no id-mismatch [count number duration seconds] action log]
構文の説明
デフォルト
このコマンドは、デフォルトでディセーブルになっています。コマンドがイネーブルで、オプションが指定されていない場合、デフォルトのレートは 3 秒間で 30 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS ID 不一致のレートが高い場合、キャッシュ侵害攻撃が発生している可能性があります。このコマンドをイネーブルにすると、このような攻撃をモニタし、警告を発することができます。不一致レートが設定値を超えた場合、システム メッセージ ログを要約したものが印刷されます。 id-mismatch コマンドを使用すると、システム管理者は通常のイベントベースのシステム メッセージ ログに加え、さらに情報を得ることができます。
例
次に、DNS インスペクション ポリシー マップで ID 不一致をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
id-randomization
DNS クエリーの DNS 識別子をランダム化するには、パラメータ コンフィギュレーション モードで id-randomization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、DNS インスペクション ポリシー マップで ID のランダム化をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
id-usage
証明書の登録済み ID を使用できることを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで id-usage コマンドを使用します。証明書の使用をデフォルトに設定するには、このコマンドの no 形式を使用します。
id-usage { ssl-ipsec | code-signer }
no id-usage { ssl-ipsec | code-signer }
構文の説明
この証明書で表されるデバイスの ID は、リモート ユーザに提供されるアプレットを検証する際に Java コード署名者として使用されます。 |
|
(デフォルト)この証明書で表されるデバイスの ID は、SSL 接続または IPsec-encrypted 接続のサーバ側 ID として使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リモート アクセス VPN では、配置要件に応じて SSL、IPsec、またはその両方のプロトコルを使用して、ほとんどすべてのネットワーク アプリケーションまたはリソースへのアクセスを許可できます。 id-usage コマンドを使用すると、証明書で保護されたさまざまなリソースへのアクセスのタイプを指定できます。
CA の ID と、場合によってはデバイスの ID は、CA が発行した証明書に基づいています。クリプト CA トラストポイント コンフィギュレーション モードのすべてのコマンドは、ASA が CA 証明書を取得する方法、ASA が CA から自身の証明書を取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定する、CA 固有のコンフィギュレーション パラメータを制御します。
id-usage コマンドは、1 つのトラストポイント コンフィギュレーションに 1 回のみ指定できます。 code-signer オプションか ssl-ipsec オプション、またはその両方のトラストポイントをイネーブルにするには、コマンドを 1 回のみ使用して、いずれか一方または両方のオプションを指定できます。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central をコード署名者の証明書として指定する例を示します。
次に、トラストポイント general のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント general をコード署名者の証明書として、かつ SSL 接続または IPsec 接続のサーバ側 ID として指定する例を示します。
次に、トラストポイント checkin1 のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント checkin1 の使用を SSL 接続または IPsec 接続に制限するようにトラストポイント checkin1 をリセットする例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトラストポイントの場所から PKCS12 証明書およびキー関連情報を使用するように WebVPN Java オブジェクト署名機能を設定します。 |
|
igmp
インターフェイスでの IGMP 処理を元の状態に戻すには、インターフェイス コンフィギュレーション モードで igmp コマンドを使用します。インターフェイスで IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、選択したインターフェイス上の IGMP 処理をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ASA に直接接続されている受信者、および IGMP を通じて学習された受信者を含むマルチキャスト グループを表示します。 |
|
igmp access-group
インターフェイスからサービスを提供されているサブネット上のホストが参加できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで igmp access-group コマンドを使用します。インターフェイスでグループをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
IP アクセス リスト名。標準のアクセス リストまたは拡張アクセス リストを指定できます。ただし、拡張アクセス リストを指定した場合は、宛先アドレスのみが照合されるため、送信元には 任意の アドレスを指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
例
次に、アクセス リスト 1 でグループへの参加を許可するホストを制限する例を示します。
関連コマンド
|
|
|
|---|---|
igmp forward interface
すべての IGMP ホスト レポートの転送をイネーブルにし、受信したメッセージを指定されたインターフェイスに残しておくには、インターフェイス コンフィギュレーション モードで igmp forward interface コマンドを使用します。転送を削除するには、このコマンドの no 形式を使用します。
igmp forward interface if-name
no igmp forward interface if-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
入力インターフェイスでこのコマンドを入力します。このコマンドは、スタブ マルチキャスト ルーティングに使用されるため、PIM と同時には設定できません。
例
次に、IGMP ホスト レポートを現在のインターフェイスから指定したインターフェイスに転送する例を示します。
関連コマンド
|
|
|
|---|---|
igmp join-group
指定したグループのローカルに接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp join-group コマンドを使用します。グループのメンバーシップをキャンセルするには、このコマンドの no 形式を使用します。
no igmp join-group group-address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドは、マルチキャスト グループのメンバーとなるように ASA インターフェイスを設定します。 igmp join-group コマンドを使用すると、ASA は指定したマルチキャスト グループ宛てのマルチキャスト パケット受け付けて転送するようになります。
マルチキャスト グループのメンバーにならずにマルチキャスト トラフィックを転送するように ASA を設定するには、 igmp static-group コマンドを使用します。
例
次に、IGMP グループ 255.2.2.2 に参加するように、選択したインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
igmp limit
インターフェイス単位で IGMP 状態の数を制限するには、インターフェイス コンフィギュレーション モードで igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。
構文の説明
インターフェイスで許可されている IGMP 状態の数。有効な値の範囲は、0 ~ 500 です。デフォルト値は 500 です。この値を 0 に設定すると、学習したグループが追加されなくなりますが、( igmp join-group コマンドおよび igmp static-group コマンドを使用して)手動で定義したメンバーシップは引き続き許可されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、インターフェイス上の IGMP 状態の数を 250 に制限する例を示します。
関連コマンド
|
|
|
|---|---|
igmp query-interval
IGMP ホスト クエリー メッセージがインターフェイスによって送信される頻度を設定するには、インターフェイス コンフィギュレーション モードで igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。
no igmp query-interval seconds
構文の説明
IGMP ホスト クエリー メッセージを送信する頻度(秒単位)。有効な値の範囲は、1 ~ 3600 です。デフォルト値は 125 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
マルチキャスト ルータは、ホスト クエリー メッセージを送信して、インターフェイスにアタッチされているネットワークでどのマルチキャスト グループがメンバーを持っているかを検出します。ホストは、特定のグループのマルチキャスト パケットを受信することを示す IGMP レポート メッセージで応答します。ホスト クエリー メッセージは、アドレスが 224.0.0.1 で、TTL 値が 1 である all-hosts マルチキャスト グループ宛てに送信されます。
LAN の指定ルータが、IGMP ホスト クエリー メッセージを送信する唯一のルータです。
- IGMP バージョン 1 の場合、指定ルータは LAN で稼働するマルチキャスト ルーティング プロトコルに従って選択されます。
- IGMP バージョン 2 の場合、指定ルータはサブネットで最も小さな IP アドレスが指定されたマルチキャスト ルータです。
ルータは、タイムアウト期間( igmp query-timeout コマンドで制御)にクエリーを受信しないとクエリアになります。
この値を変更すると、マルチキャスト転送に深刻な影響が及ぶ可能性があります。
例
次に、IGMP クエリー間隔を 120 秒に変更する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-max-response-time
IGMP クエリーでアドバタイズされる最大応答時間を指定するには、インターフェイス コンフィギュレーション モードで igmp query-max-response-time コマンドを使用します。デフォルトの応答時間に戻すには、このコマンドの no 形式を使用します。
igmp query-max-response-time seconds
no igmp query-max-response-time seconds
構文の説明
IGMP クエリーでアドバタイズされる最大応答時間(秒単位)。有効な値は、1 ~ 25 です。デフォルト値は 10 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドは、IGMP バージョン 2 または 3 が実行されているときにだけ有効です。
このコマンドは、応答側が IGMP クエリー メッセージに応答できる期間を制御します。この期間を過ぎると、ルータはグループを削除します。
例
次に、最大クエリー応答時間を 8 秒に変更する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-timeout
前のクエリアがクエリーを停止した後でインターフェイスがクエリアを引き継ぐまでのタイムアウト期間を設定するには、インターフェイス コンフィギュレーション モードで igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
前のクエリアがクエリーを停止した後でルータがクエリアを引き継ぐまでの秒数。有効な値は、60 ~ 300 秒です。デフォルト値は 255 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、最後のクエリーを受信してからインターフェイスのクエリアを引き継ぐまで 200 秒待機するようにルータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
igmp static-group
指定したマルチキャスト グループのスタティックに接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
igmp static-group コマンドで設定された場合、ASA インターフェイスは指定されたグループ自体宛てのマルチキャスト パケットを受け付けず、転送のみを行います。特定のマルチキャスト グループのマルチキャスト パケットを受け付けて転送するように ASA を設定するには、 igmp join-group コマンドを使用します。 igmp static-group コマンドと同じグループ アドレスに対して igmp join-group コマンドが設定されている場合、 igmp join-group コマンドが優先され、グループはローカルに参加したグループのように動作します。
例
次に、選択したインターフェイスをマルチキャスト グループ 239.100.100.101 に追加する例を示します。
関連コマンド
|
|
|
|---|---|
igmp version
インターフェイスが使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで igmp version コマンドを使用します。バージョンをデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
サブネット上のすべてのルータが、同じバージョンの IGMP をサポートする必要があります。ホストは任意の IGMP バージョン(1 または 2)を搭載でき、ASA はホストの存在を正しく検出して適切にホストを照会できます。
igmp query-max-response-time や igmp query-timeout など一部のコマンドでは、IGMP バージョン 2 が必要です。
例
次に、IGMP バージョン 1 を使用するように、選択したインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
ignore-ipsec-keyusage(廃止)
IPsec クライアント証明書でキー使用状況チェックを行わないようにするには、CA トラストポイント コンフィギュレーション モードで ignore-ipsec-keyusage コマンドを使用します。キー使用状況チェックを再開するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは安全対策として追加されましたが、すぐに廃止されました。今後のリリースでは、キー使用状況チェックの停止が提供されない可能性があることに注意してください。 |
使用上のガイドライン
このコマンドを使用すると、IPsec リモートクライアント証明書のキー使用状況および拡張キー使用状況の値が検証されなくなります。このコマンドはキー使用状況チェックを無視し、非準拠の配置に便利です。
例
関連コマンド
|
|
|
|---|---|
ignore lsa mospf
ルータが LSA Type 6 MOSPF パケットを受信したときには syslog メッセージの送信を行わないようにするには、ルータ コンフィギュレーション モードで ignore lsa mospf コマンドを使用します。syslog メッセージの送信を復元するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、LSA Type 6 MOSPF パケットを無視する例を示します。
関連コマンド
|
|
|
|---|---|
ignore-lsp-errors
ASA が内部チェックサム エラーのある IS-IS リンクステート パケットを受信した場合にリンクステート パケットをパージするのではなく無視できるようにするには、ルータ ISIS コンフィギュレーション モードで ignore-lsp-errors コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
このコマンドはデフォルトでイネーブルになっています。つまり、ネットワークの安定性のために、破損した LSP は除去されるのではなくドロップされます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IS-IS プロトコル定義では、データリンク チェックサムが不正な受信リンクステート パケットを受信側が除去することになっています。これにより、パケットの発信側は LSP を再生成します。ただし、正しいデータリンク チェックサムによってリンクステート パケットを配信中にデータの破損を引き起こすリンクがネットワークに含まれている場合、大量のパケットの除去と再生成を繰り返す連続サイクルが発生する可能性があります。
これによりネットワークが機能しなくなる可能性があるため、 ignore-lsp-errors コマンドを使用して、パケットを除去するのではなく、これらのリンクステート パケットを無視します。受信側ルータは、リンクステート パケットを使用してルーティング テーブルのメンテナンスを行います。
例
次に、内部チェックサムを持つリンクステート パケットを無視するようにルータに指示する例を示します。
関連コマンド
ignore-ssl-keyusage(廃止)
SSL クライアント証明書でキー使用状況チェックを行わないようにするには、CA トラストポイント コンフィギュレーション モードで ignore-ssl-keyusage コマンドを使用します。キー使用状況チェックを再開するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは安全対策として追加されましたが、すぐに廃止されました。今後のリリースでは、キー使用状況チェックの停止が提供されない可能性があることに注意してください。 |
使用上のガイドライン
このコマンドを使用すると、IPsec リモート クライアント証明書のキー使用状況および拡張キー使用状況の値が検証されなくなります。このコマンドはキー使用状況チェックを無視し、非準拠の配置に便利です。
例
関連コマンド
|
|
|
|---|---|
ike-retry-count
SSL による接続試行に戻るまでに、Cisco AnyConnect VPN クライアントが IKE を使用して接続を再試行できる最大数を設定するには、グループ ポリシー webvpn コンフィギュレーション モード、またはユーザ名 webvpn コンフィギュレーション モードで ike-retry-count コマンドを使用します。コンフィギュレーションからこのコマンドを削除し、再試行の最大数をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
ike-retry-count { none | value }
no ike-retry-count [ none | value ]
構文の説明
初期接続障害の後、Cisco AnyConnect VPN クライアントが接続を再試行できる最大数(1 ~ 10)を指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco AnyConnect VPN クライアントが IKE を使用して接続を試行できる回数を制御するには、 ike-retry-count コマンドを使用します。IKE を使用して接続に失敗した回数がこのコマンドに指定された再試行数を上回ると、SSL による接続試行に戻ります。この値は、Cisco AnyConnect VPN クライアントに存在する値を上書きします。
(注) IPsec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドに svc と ipsec の両方の引数を設定する必要があります。
例
次に、FirstGroup というグループ ポリシーの IKE 再試行回数を 7 に設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# ike-retry-count 7
ciscoasa(config-group-webvpn)#
次に、ユーザ名 Finance の IKE 再試行回数を 9 に設定する例を示します。
ciscoasa(config)# username Finance attributes
ciscoasa(config-username)# webvpn
ciscoasa(config-username-webvpn)# ike-retry-count 9
ciscoasa(config-group-webvpn)#
関連コマンド
|
|
|
グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードを開始します。 |
ikev1 pre-shared-key
事前共有キーを指定して、事前共有キーに基づく IKEv1 接続をサポートするには、トンネル グループ IPSec 属性コンフィギュレーション モードで pre-shared-key コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、設定 IPSec コンフィギュレーション モードで、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループの IKE 接続をサポートするように事前共有キー XYZX を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ikev1 trust-point
IKEv1 ピアに送信する証明書を識別するトラストポイントの名前を指定するには、トンネル グループ ipsec 属性モードで、 trust-point コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。
no trust-point trust-point-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、トンネル ipsec コンフィギュレーション モードを開始し、IPsec LAN-to-LAN トンネル グループ 209.165.200.225 の IKEv1 ピアに送信される証明書を識別するためのトラストポイントを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ikev1 user-authentication
IKE 時にハイブリッド認証を設定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで ikev1 user-authentication コマンドを使用します。ハイブリッド認証をディセーブルにするには、このコマンドの no 形式を使用します。
ikev1 user-authentication [ interface ] { none | xauth | hybrid }
no ikev1 user-authentication [ interface ] { none | xauth | hybrid }
構文の説明
デフォルト
デフォルトの認証方式は XAUTH、つまり拡張ユーザ認証です。デフォルトは、すべてのインターフェイスです。
(注) 確立されている L2TP over IPsec セッションが切断されないようにするには、デフォルト値の XAUTH のままにする必要があります。トンネル グループが他の値(isakmp ikev1-user-authentication none など)に設定されている場合、L2TP over IPsec セッションを確立できません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
コマンド名が isakmp ikev1-user-authentication から ikev1 user-authentication に変更されました 。 |
使用上のガイドライン
このコマンドは、ASA 認証にデジタル証明書を使用し、リモート VPN ユーザ認証に RADIUS、TACACS+、SecurID などの別の従来の方式を使用する必要がある場合に使用します。このコマンドは、IKE のフェーズ 1 をハイブリッド認証と呼ばれる次の 2 つの手順に分けます。
1. ASA は、標準の公開キー技術を使用して、リモート VPN ユーザに対して認証します。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。
2. 次に、XAUTH 交換がリモート VPN ユーザを認証します。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。
(注) 認証タイプをハイブリッドに設定するには、事前に認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定する必要があります。
交換タイプがメイン モードの場合、IPsec ハイブリッド RSA 認証タイプは拒否されます。
任意の interface 引数を省略すると、コマンドはすべてのインターフェイスに適用され、インターフェイスごとのコマンドが指定されていないときにはバックアップとなります。トンネル グループに指定されている ikev1 user-authentication コマンドが 2 つある場合、1 つは interface 引数を使用し、もう 1 つは使用しません。インターフェイスを指定している方が、その特定のインターフェイスでは優先されます。
例
次に、example-group というトンネル グループの内部インターフェイスでハイブリッド XAUTH をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ikev2 local-authentication
IKEv2 LAN-to-LAN 接続のローカル認証を指定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで ikev2 local-authentication コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ikev2 local-authentication {pre-shared-key key_value | hex <string> | certificate trustpoint}
no ikev2 local-authentication {pre-shared-key key_value | hex <string> | certificate trustpoint}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IPsec IKEv2 LAN-to-LAN トンネル グループだけに適用されます。
ローカル認証に対しては、認証オプションは 1 つしか設定できません。
ikev2 remote-authentication コマンドを使用して EAP 認証をイネーブルにする場合は、このコマンドで certificate オプションを使用するように設定しておく必要があります。
IKEv2 接続の場合、トンネル グループのマッピングで、リモート認証に使用できる認証方式(PSK、証明書、および EAP)とローカル認証に使用できる認証方式(PSK および証明書)、およびローカル認証で使用するトラストポイントを特定する必要があります。
例
次に、209.165.200.225 という名前の IPsec LAN-to-LAN トンネル グループの IKE 接続をサポートするように事前共有キー XYZX を指定する例を示します。
次に、トラストポイント myIDcert に関連付けられた ID 証明書を使用して ASA をピアに対して認証するようにリモート アクセス トンネル グループを設定する例を示します。ピアの認証には、事前共有キー、証明書、または EAP も使用できます。
関連コマンド
|
|
|
|---|---|
ikev2 mobike-rrc
IPsec IKEv2 RA VPN 接続のモバイル IKE(mobike)通信時にリターン ルータビリティ チェックをイネーブルにするには、トンネル グループ IPsec 属性コンフィギュレーション モードで ikev2 mobike-rrc コマンドを使用します。リターン ルータビリティ チェックをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
Mobike は「常にオン」になっています。このコマンドは、mobike 接続の RRC をイネーブルするために使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、example-group というトンネル グループの mobike のリターン ルータビリティ チェックをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ikev2 remote-authentication
IPsec IKEv2 LAN-to-LAN 接続のリモート認証を指定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで ikev2 remote-authentication コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ikev2 remote-authentication { pre-shared-key key_value | certificate | hex <string> | eap [ query-identity ]}
no ikev2 remote-authentication { pre-shared-key key_value | certificate | hex <string> | eap [ query-identity ]}
構文の説明
拡張可能認証プロトコル(EAP)を指定します。この方式では、(AnyConnect に加えて)サードパーティの汎用の IKEv2 リモート アクセス クライアントによるユーザ認証がサポートされます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IPsec IKEv2 LAN-to-LAN トンネル グループだけに適用されます。
リモート認証で EAP をイネーブルにする場合は、 ikev2 local-authentication pre-shared-key key-value | certificate trustpoint コマンドで、証明書と有効なトラストポイントを使用してローカル認証を設定しておく必要があります。そうしないと、エラーが発生して、EAP 認証要求が拒否されます。
(注) IKEv2 接続の場合、トンネル グループのマッピングで、リモート認証に使用できる認証方式(PSK、証明書、および EAP)とローカル認証に使用できる認証方式(PSK および証明書)、およびローカル認証で使用するトラストポイントを特定する必要があります。現在、マッピングの実行には、ピアまたはピア証明書のフィールドの値から取得(証明書マップを使用)された IKE ID が使用されます。両方のオプションが失敗した場合、デフォルトのリモート アクセス トンネル グループに着信接続がマッピングされます。証明書マップは、リモート ピアが証明書で認証された場合にのみ適用されるオプションです。このマップにより、異なるトンネル グループへのマッピングが可能です。
証明書認証の場合のみ、ルールまたはデフォルトの設定を使用してトンネル グループの参照が行われます。EAP 認証および PSK 認証の場合は、クライアント(トンネル グループ名が一致するクライアント)の IKE ID またはデフォルトの設定を使用してトンネル グループの参照が行われます。
例
次に、209.165.200.225 という名前の IPsec LAN-to-LAN トンネル グループの IKEv2 接続をサポートするように事前共有キー XYZX を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ikev2 rsa-sig-hash
IKEv2 RSA 署名ハッシュを設定するには、tunnel-group ipsec-attributes コンフィギュレーション モードで ikev2 rsa-sig-hash コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次のコマンドで、SHA-1 関数を使用して IKEv2 認証ペイロードに署名します。
関連コマンド
|
|
|
|---|---|
im
SIP を使用したインスタント メッセージをイネーブルにするには、パラメータ コンフィギュレーション モードで im コマンドを使用します。このモードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP を経由するインスタント メッセージングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
imap4s(廃止)
(注) このコマンドをサポートする最後のリリースは、9.5(1) でした。
IMAP4S コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで imap4s コマンドを使用します。IMAP4S コマンド モードで入力されたコマンドを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IMAP4 は、インターネット サーバが電子メールを受信し、保持する際に使用するクライアント/サーバ プロトコルです。ユーザ(または電子メール クライアント)は、電子メールのヘッダーおよび送信者だけを表示して、電子メールをダウンロードするかどうかを判別できます。また、サーバに複数のフォルダまたはメールボックスを作成および操作したり、メッセージを削除したり、メッセージの一部または全体を検索したりできます。IMAP では、電子メールでの作業中、サーバに連続してアクセスする必要があります。IMAP4S を使用すると、SSL 接続で電子メールを受信できます。
例
次に、IMAP4S コンフィギュレーション モードを開始する例を示します。
ciscoasa(config)# imap4s
関連コマンド
|
|
|
|---|---|
imi-traffic-descriptor
IP オプション インスペクションが設定されたパケット ヘッダーで IMI トラフィック記述子(IMITD)オプションが発生したときに実行するアクションを定義するには、パラメータ コンフィギュレーション モードで imi-traffic-descriptor コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
imi-traffic-descriptor action {allow | clear}
no imi-traffic-descriptor action {allow | clear}
構文の説明
デフォルト
デフォルトでは、IP オプション インスペクションは、IMI トラフィック記述子 IP オプションを含むパケットをドロップします。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
例
次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。
関連コマンド
|
|
|
|---|---|
import
プレフィックス委任クライアント インターフェイスで ASA が DHCPv6 サーバから取得した 1 つ以上のパラメータをステートレスアドレス自動設定(SLAAC)クライアントに提供するには、IPv6 DHCP プール コンフィギュレーション モードで import コマンドを使用します。パラメータを削除するには、このコマンドの no 形式を使用します。
import {[ dns-server ] [ domain-name ] [ nis address ] [ nis domain-name ] [ nisp address ] [ nisp domain-name ] [ sip address ] [ sip domain-name ] [ sntp address ]}
no import {[ dns-server ] [ domain-name ] [ nis address ] [ nis domain-name ] [ nisp address ] [ nisp domain-name ] [ sip address ] [ sip domain-name ] [ sntp address ]}
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLAAC をプレフィックス委任機能とともに使用するクライアントについては、情報要求(IR)パケットを ASA に送信する際に IPv6 DHCP プール 内の情報(DNS サーバまたはドメイン名を含む)を提供するように ASA を設定できます。手動で設定されたパラメータとインポートされたパラメータを組み合わせて使用できますが、同じコマンドを手動と import コマンドで設定することはできません。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
|
|
|
|---|---|
DHCPv6 ステートレス サーバを使用して、特定のインターフェイスで SLAAC クライアントに提供する情報を含むプールを作成します。 |
|
DHCPv6 プレフィックス委任クライアントによって獲得されたすべてのプレフィックスと、そのプレフィックスの他のプロセスへの ASA 配布を表示します。 |
|
import webvpn AnyConnect-customization
AnyConnect カスタマイゼーション オブジェクトを ASA のフラッシュ デバイスにロードするには、特権 EXEC モードで import webvpn AnyConnect-customization コマンドを入力します。
import webvpn AnyConnect-customization type { binary | resource | transform } platform { linux | linux-64 | mac-intel | mac-powerpc | win | win-mobile } name name { URL | stdin { num_chars data | data quit }}
構文の説明
platform { linux | linux-64 | mac-intel | mac-powerpc | win | win-mobile } |
|
データが stdin から提供されることを指定します。文字数が指定されていない場合、標準入力から読み取られるデータは base64 でエンコードされ、その後に "\nquit\n" が付けられます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
import customization コマンドを入力する前に、ASA インターフェイスで WebVPN がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。
ASA は、カスタマイゼーション オブジェクトを URL または stdin から ASA ファイル システムの disk0:/csco_config/customization にコピーします。AnyConnect のカスタマイズには、カスタム AnyConnect GUI リソース、バイナリ カスタム ヘルプ ファイルとバイナリ VPN スクリプト、およびインストーラ変換を含めることができます。
関連コマンド
|
|
|
|---|---|
import webvpn customization
カスタマイゼーション オブジェクトを ASA のフラッシュ デバイスにロードするには、特権 EXEC モードで import webvpn customization コマンドを入力します。
import webvpn customization name URL
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
import customization コマンドを入力する前に、ASA インターフェイスで WebVPN がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。
カスタマイゼーション オブジェクトをインポートすると、ASA は次のことを行います。
- カスタマイゼーション オブジェクトを URL から ASA ファイル システム disk0:/csco_config/customization に MD5 name としてコピーします。
- ファイルに対して基本的な XML 構文チェックを実行します。無効な場合、ASA はファイルを削除します。
- index.ini ファイルにレコード MD5 name が含まれていることをチェックします。含まれていない場合、ASA は MD5 name をファイルに追加します。
- MD5 name ファイルを RAMFS /csco_config/customization/ に ramfs name としてコピーします。
例
次に、カスタマイゼーション オブジェクト General.xml を URL 209.165.201.22/customization から ASA にインポートし、それに custom1 という名前を付ける例を示します。
関連コマンド
|
|
|
|---|---|
import webvpn mst-translation
MST(Microsoft Transform)オブジェクトを ASA のフラッシュ デバイスにロードするには、特権 EXEC モードで import webvpn mst-translation コマンドを入力します。
import webvpn mst-translation AnyConnect language language URL | stdin { num_chars data | data quit }}
構文の説明
データが stdin から提供されることを指定します。文字数が指定されていない場合、標準入力から読み取られるデータは base64 でエンコードされ、その後に "\nquit\n" が付けられます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
関連コマンド
|
|
|
|---|---|
import webvpn plug-in protocol
ASA のフラッシュ デバイスにプラグインをインストールするには、特権 EXEC モードで import webvpn plug-in protocol コマンドを入力します。
import webvpn plug-in protocol protocol URL
構文の説明
|
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プラグインをインストールする前に、以下の手順に従ってください。
- ASA のインターフェイス上でクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。これを行うには、 show running-config コマンドを入力します。
- ローカル TFTP サーバ(たとえば、ホスト名が「local_tftp_server」のサーバ)で一時ディレクトリを「plugins」という名前で作成し、プラグインをシスコの Web サイトから「plugins」ディレクトリにダウンロードします。TFTP サーバのホスト名またはアドレスを入力し、必要なプラグインへのパスを import webvpn plug-in protocol コマンドの URL フィールドに入力します。
プラグインをインポートすると、ASA は次のことを行います。
- URL に指定されている.jar ファイルを解凍します。
- ASA ファイル システムの csco-config/97/plugin ディレクトリにファイルを書き込む。
- ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。
- 以後のすべてのクライアントレス SSL VPN セッションでプラグインをイネーブルにし、ポータル ページの Address フィールドの横にあるドロップダウン メニューにメイン メニュー オプションとオプションを追加します。次の表に、ポータル ページのメイン メニューと [Address] フィールドへの変更を示します。
|
|
|
|
|---|---|---|
ASA は、 import webvpn plug-in protocol コマンドをコンフィギュレーションに保持しません。その代わりに、csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ ASA は、プライマリ ASA からプラグインを取得します。
クライアントレス SSL VPN セッションでユーザがポータル ページの関連付けられたメニュー オプションをクリックすると、ポータル ページにはインターフェイスへのウィンドウとヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。
(注) 以前からサポートされている SSH V1 および Telnet に加え、SSH V2 のサポートが追加されています。プラグインのプロトコルは同じ(ssh および telnet)で、URL の形式は次のようになります。
ssh://<target>:SSH V2 を使用します。
ssh://<target>/?version=1:SSH V1 を使用します。
telnet://<target>:Telnet を使用します。
import webvpn plug-in protocol コマンドを個別に削除し、プロトコルのサポートをディセーブルにするには、 revert webvpn plug-in protocol コマンドを使用します。
例
次のコマンドでは、RDP のクライアントレス SSL VPN サポートを追加しています。
次のコマンドでは、SSH および Telnet のクライアントレス SSL VPN サポートを追加しています。
次のコマンドでは、VNC のクライアントレス SSL VPN サポートを追加しています。
関連コマンド
|
|
|
|---|---|
import webvpn translation-table
リモート ユーザが SSL VPN 接続を確立するときに表示される言語を変換するために使用される変換テーブルをインポートするには、特権 EXEC モードで import webvpn translation-table コマンドを使用します。
import webvpn translation-table translation_domain language language url
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。
リモート ユーザに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。次の表に、変換ドメインおよび、変換される機能領域を示します。
|
|
|
|---|---|
ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。 |
|
変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。ASA のソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、 ASA は customization および url-list 変換ドメイン テンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。
export webvpn translation-table コマンドを使用して変換ドメインのテンプレートをダウンロードし、メッセージに変更を加え、 import webvpn translation-table コマンドを使用してオブジェクトを作成します。 show import webvpn translation-table コマンドを使用して、使用可能なオブジェクトを表示できます。
ブラウザの言語オプションの表現に従って language を指定してください。たとえば、Microsoft Internet Explorer は中国語に短縮形 zh を使用します。ASA にインポートする変換テーブルも、 zh という名前にする必要があります。
カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザのカスタマイズを指定するまで、AnyConnect 変換ドメインを除いて、変換テーブルは機能せず、メッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。詳細については、 import webvpn customization コマンドを参照してください。
例
次に、AnyConnect クライアント ユーザ インターフェイスに影響を与える変換ドメインの変換テーブルをインポートし、変換テーブルが中国語用のものであることを指定する例を示します。 show import webvpn translation-table コマンドは、新規オブジェクトを表示します。
関連コマンド
|
|
|
import webvpn url-list
ASA のフラッシュ デバイス上に URL リストをロードするには、特権 EXEC モードで import webvpn url-list コマンドを使用します。
import webvpn url-list name URL
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
import url-list コマンドを入力する前に、ASA インターフェイスで WebVPN がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。
URL リストをインポートすると、ASA は次のことを行います。
- URL リストを URL から ASA ファイル システム disk0:/csco_config/url-lists に name on flash = base 64 name としてコピーします。
- ファイルに対して基本的な XML 構文チェックを実行します。構文が無効な場合、ASA はファイルを削除します。
- index.ini ファイルにレコード base 64 name が含まれていることをチェックします。含まれていない場合、ASA は base 64 name をファイルに追加します。
- name ファイルを RAMFS /csco_config/url-lists/ に ramfs name = name としてコピーします。
例
次に、 NewList.xml という URL リストを URL 209.165.201.22/url-lists から ASA にインポートし、それに ABCList という名前を付ける例を示します。
関連コマンド
|
|
|
|---|---|
import webvpn webcontent
リモートのクライアントレス SSL VPN ユーザに表示されるコンテンツをフラッシュ メモリにインポートするには、特権 EXEC モードで import webvpn webcontent コマンドを使用します。
import webvpn webcontent destination url source url
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
webcontent オプションでインポートされるコンテンツは、リモートのクライアントレス ユーザに表示されます。この中には、クライアントレス ポータルに表示されるヘルプ コンテンツや、ユーザ画面をカスタマイズするカスタマイゼーション オブジェクトで使用されるロゴなどがあります。
パス /+CSCOE+/ で URL にインポートされるコンテンツは、認可されたユーザにのみ表示されます。
パス /+CSCOU+/ で URL にインポートされるコンテンツは、不正なユーザと認可されたユーザの両方に表示されます。
たとえば、/+CSCOU+/logo.gif としてインポートした企業ロゴを、ポータル カスタマイゼーション オブジェクトに使用し、ログイン ページおよびポータル ページに表示できます。/+CSCOE+/logo.gif としてインポートした同じ logo.gif ファイルは、正常にログインしたリモート ユーザにのみ表示されます。
さまざまなアプリケーション画面に表示されるヘルプ コンテンツは、特定の URL にインポートする必要があります。次の表に、標準のクライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL および画面エリアを示します。
|
|
|
|---|---|
次の表に、任意のプラグイン クライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL および画面エリアを示します。
|
|
|
|---|---|
URL パスの language エントリは、ヘルプ コンテンツ用に指定した言語の短縮形です。ASA は、ファイルを指定された言語に実際に変換するわけではなく、ファイルに言語の短縮形のラベルを付けます。
例
次に、HTML ファイル application_access_help.html を 209.165.200.225 の TFTP サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。
次に、HTML ファイル application_access_help.html を 209.165.200.225 の tftp サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。
関連コマンド
|
|
|
フィードバック