- 整合性
- intercept-dhcp
- interface (global)
- interface(vpn ロード バランシング)
- interface bvi
- interface-policy
- interface port-channel
- interface redundant
- interface tunnel
- interface vlan
- interface vni
- interim-accounting-update
- internal-password
- interval maximum
- invalid-ack
- ip address
- ip address dhcp
- ip address pppoe
- ip-address-privacy
- ip audit attack
- ip audit info
- ip audit interface
- ip audit name
- ip audit signature
- ip-client
- ip-comp
- ip local pool
- ip-phone-bypass
- ips
- ipsec-udp
- ipsec-udp-port
integrity コマンド~ ipsec-udp-port コマンド
整合性
AnyConnect IPsec 接続に使用する IKEv2 セキュリティ アソシエーション(SA)の ESP 整合性アルゴリズムを指定するには、IKEv2 ポリシー コンフィギュレーション モードで integrity コマンドを使用します。コマンドを削除してデフォルト設定を使用するには、このコマンドの no 形式を使用します。
integrity { md5 | sha | sha256 | sha384 | sha512 | null }
no integrity { md5 | sha | sha256 | sha384 | sha512 | null }
構文の説明
AES-GCM を暗号化アルゴリズムとして指定されている場合に管理者が IKEv2 整合性アルゴリズムとして null を選択できるようにします。 |
|
(デフォルト)は、ESP の整合性保護のために米国連邦情報処理標準(FIPS)で定義されたセキュア ハッシュ アルゴリズム(SHA)SHA 1 を指定します。 |
|
デフォルト
使用上のガイドライン
IKEv2 SA は、IKEv2 ピアがフェーズ 2 で安全に通信できるようにするためにフェーズ 1 で使用されるキーです。crypto ikev2 policy コマンドを入力した後、 integrity コマンドを使用して ESP プロトコルの整合性アルゴリズムを設定します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、IKEv2 ポリシー コンフィギュレーション モードを開始し、整合性アルゴリズムを MD5 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
AnyConnect IPsec 接続に対して IKEv2 SA の Diffie-Hellman グループを指定します。 |
|
intercept-dhcp
DHCP 代行受信をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで intercept-dhcp enable コマンドを使用します。実行コンフィギュレーションから intercept-dhcp 属性を削除し、ユーザがデフォルトまたはその他のグループ ポリシーから DHCP 代行受信コンフィギュレーションを継承できるようにするには、このコマンドの no 形式を使用します。
intercept-dhcp netmask { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP 代行受信をディセーブルにするには、 intercept-dhcp disable コマンドを使用します。
スプリット トンネル オプションが 255 バイトを超えていると、Microsoft XP で異常が発生し、ドメイン名が破損します。この問題を回避するには、ASA で送信ルートの数を 27 ~ 40 に制限します。ルートの数はルートのクラスによって異なります。
DHCP 代行受信によって Microsoft XP クライアントは、ASA でスプリット トンネリングを使用できるようになります。ASA は、Microsoft Windows XP クライアント DHCP Inform メッセージに直接応答して、クライアントにトンネル IP アドレス用のサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。Windows クライアントが XP 以前である場合は、DHCP 代行受信により、ドメイン名およびサブネット マスクが提供されます。これは、DHCP サーバを使用するのが効果的でない環境で役立ちます。
例
次に、FirstGroup というグループ ポリシーに DHCP 代行受信を設定する例を示します。
interface (global)
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface コマンドを使用します。サブインターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスまたはマッピングされているインターフェイスは削除できません。
物理インターフェイスの場合(ASASM を除くすべてのモデルが対象):
サブインターフェイスの場合(ASA 5505 と ASASM、および ASA 5506-X ~ ASA 5555-X の管理インターフェイスには使用不可):
interface { physical_interface | redundant number | port-channel number }. subinterface
no interface { physical_interface | redundant number | port-channel number }. subinterface
マルチ コンテキスト モードの場合(マッピング名が割り当てられているとき):
構文の説明
デフォルト
デフォルトでは、ASA はすべての物理インターフェイスを対象に interface コマンドを自動的に生成します。
マルチ コンテキスト モードでは、ASA は allocate-interface コマンドを使用して、コンテキストに割り当てられているすべてのインターフェイスを対象に interface コマンドを自動的に生成します。
インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。
- マルチ コンテキスト モード、コンテキスト:システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。
- シングル モードまたはマルチ コンテキスト モード、システム:インターフェイスのデフォルトの状態は次のとおりです。
–
サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、サブインターフェイスの新しい命名規則に対応し、インターフェイス コンフィギュレーション モードでは引数が独立したコマンドとなるように変更されました。 |
使用上のガイドライン
インターフェイス コンフィギュレーション モードでは、インターフェイスのタイプおよびセキュリティ コンテキスト モードに応じて、ハードウェアの設定(物理インターフェイスの場合)、名前の割り当て、VLAN の割り当て、IP アドレスの割り当てをはじめ、数多くの設定を行うことができます。
イネーブルになっているインターフェイスでトラフィックを通過させるには、インターフェイス コンフィギュレーション モード コマンドである nameif を設定し、ルーテッド モードの場合には ip address も設定します。サブインターフェイスの場合は、 vlan コマンドも設定します。
インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、 clear local-host コマンドを使用して接続をクリアできます。
ASA 5512-X ~ ASA 5555-X の Management 0/0 インターフェイスには、次の特性があります。
例
次に、シングル モードで物理インターフェイスのパラメータを設定する例を示します。
次に、シングル モードでサブインターフェイスのパラメータを設定する例を示します。
次に、システム コンフィギュレーション用にマルチ コンテキスト モードでインターフェイス パラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。
次に、コンテキスト コンフィギュレーション用にマルチ コンテキスト モードでパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
interface(vpn ロード バランシング)
VPN ロード バランシングの仮想クラスタで VPN ロード バランシング用にデフォルト以外のパブリック インターフェイスまたはプライベート インターフェイスを指定するには、VPN ロード バランシング モードで interface コマンドを使用します。このインターフェイス指定を削除し、デフォルトのインターフェイスに戻すには、このコマンドの no 形式を使用します。
interface { lbprivate | lbpublic} interface-name
no interface { lbprivate | lbpublic }
構文の説明
VPN ロード バランシング クラスタのパブリック インターフェイスまたはプライベート インターフェイスとして設定されるインターフェイスの名前。 |
|
デフォルト
interface コマンドを省略した場合、 lbprivate インターフェイスはデフォルトで inside に設定され、 lbpublic インターフェイスはデフォルトで outside に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
先に vpn load-balancing コマンドを使用して、VPN ロード バランシング コンフィギュレーション モードを開始しておく必要があります。
また、あらかじめ interface 、 ip address 、 nameif の各コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。
例
次に、 vpn load-balancing コマンド シーケンスの例を示します。この中の interface コマンドでは、クラスタのプライベート インターフェイスをデフォルト(inside)に戻す「test」インターフェイスとして、クラスタのパブリック インターフェイスを指定しています。
関連コマンド
|
|
|
|---|---|
interface bvi
ブリッジ グループにブリッジ仮想インターフェイス(BVI)を設定するには、グローバル コンフィギュレーション モードで interface bvi コマンドを使用します。BVI コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
interface bvi bridge_group_number
no interface bvi bridge_group_number
構文の説明
ブリッジ グループの番号を 1 ~ 100 の範囲で指定します。9.3(1) 以降では、範囲が 1 ~ 250 に拡大されています。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用してインターフェイス コンフィギュレーション モードを開始すると、ブリッジ グループの管理用 IP アドレスを設定できます。セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。コンテキストまたはシングル モードごとに、少なくとも 1 つのブリッジ グループが必要です。
ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、管理 IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。他の管理方法としては、ブリッジ グループとは別に管理インターフェイスを設定する方法があります。
9.2 以前では、シングル モードまたはマルチ モードのコンテキストごとに最大 8 個のブリッジ グループを設定できます。9.3(1) 以降では、最大 250 個のブリッジ グループを設定できます。各ブリッジ グループには、最大 4 つのインターフェイスを含めることができます。9.6(2) 以降では、最大 64 のインターフェイスをブリッジ グループに追加できます。同一インターフェイスを複数のブリッジ グループに割り当てることはできません。少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があることに注意してください。
(注) ASA 5505 に複数のブリッジ グループを設定できますが、ASA 5505 のトランスペアレント モードのデータ インターフェイスは 2 つという制限は、実質的にブリッジ グループを 1 つだけ使用できることを意味します。
(注) 個別の管理インターフェイスでは、設定できないブリッジ グループ(ID 301)は、設定に自動的に追加されます。このブリッジ グループはブリッジ グループの制限に含まれません。
(注) ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
例
次の例では、3 つのインターフェイスそれぞれの 2 つのブリッジ グループと管理専用インターフェイスを示します。
関連コマンド
|
|
|
|---|---|
interface-policy
モニタリングでインターフェイスの障害を検出する際にフェールオーバーのポリシーを指定するには、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
パーセンテージとして使用するときには 1 ~ 100 の数値を指定し、そうでなければインターフェイスの最大数として 1 を指定します。 |
|
デフォルト
ユニットに failover interface-policy コマンドが設定されている場合は、その値が interface-policy フェールオーバー グループ コマンドのデフォルトと見なされます。そうでない場合、 num は 1 となります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
num 引数とオプションの % キーワードの間にはスペースを挿入しません。
障害が発生したインターフェイスの数が設定したポリシーを満たし、他の ASA が正しく機能している場合、ASA が自らを障害発生としてマークし、フェールオーバーが発生することがあります(アクティブな ASA で障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。
例
次の部分的な例では、フェールオーバー グループで可能な設定を示します。
関連コマンド
|
|
|
|---|---|
interface port-channel
EtherChannel インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface port-channel コマンドを使用します。EtherChannel インターフェイスを削除するには、このコマンドの no 形式を使用します。
no interface port-channel number
構文の説明
デフォルト
デフォルトでは、ポートチャネル インターフェイスはイネーブルになっています。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイス コンフィギュレーション モードでは、名前や IP アドレスの割り当てなど、さまざまな設定を行うことができます。
イネーブルになっているインターフェイスでトラフィックを通過させるには、インターフェイス コンフィギュレーション モード コマンドである nameif を設定し、ルーテッド モードの場合には ip address も設定します。
インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、 clear local-host コマンドを使用して接続をクリアできます。
(注) このコマンドは、ASA 5505 または ASASM ではサポートされません。4GE SSM(これには ASA 5550 のスロット 1 の統合 4GE SSM も含まれます)上のインターフェイスを EtherChannel の一部として使用することはできません。
例
次の例では、3 つのインターフェイスを EtherChannel の一部として設定します。また、システム プライオリティをより高く設定するとともに、GigabitEthernet 0/2 のプライオリティを他のインターフェイスよりも高く設定します。これは、8 個を超えるインターフェイスが EtherChannel に割り当てられた場合に備えるためです。
関連コマンド
|
|
|
|---|---|
EtherChannel 情報が、詳細に 1 行のサマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。 |
|
ポートチャネル負荷分散情報が、指定のパラメータ セットに対するハッシュ結果および選択されたメンバー インターフェイスとともに表示されます。 |
interface redundant
冗長インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface redundant コマンドを使用します。冗長インターフェイスを削除するには、このコマンドの no 形式を使用します。
構文の説明
論理冗長インターフェイス ID を指定します。範囲は 1 ~ 8 です。 redundant と ID 間のスペースは任意です。 |
デフォルト
デフォルトでは、冗長インターフェイスはイネーブルになっています。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
冗長インターフェイスは、アクティブ物理インターフェイスとスタンバイ物理インターフェイスのペアとなっています( member-interface コマンドを参照)。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。
すべての ASA コンフィギュレーションは、メンバ物理インターフェイスではなく論理冗長インターフェイスを参照します。
インターフェイス コンフィギュレーション モードでは、名前や IP アドレスの割り当てなど、さまざまな設定を行うことができます。
イネーブルになっているインターフェイスでトラフィックを通過させるには、インターフェイス コンフィギュレーション モード コマンドである nameif を設定し、ルーテッド モードの場合には ip address も設定します。
インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、 clear local-host コマンドを使用して接続をクリアできます。
(注) このコマンドは、ASA 5505 または ASASM ではサポートされません。
例
関連コマンド
|
|
|
|---|---|
interface tunnel
新しい VTI トンネル インターフェイスを作成するには、グローバル コンフィギュレーション モードで interface tunnel コマンドを使用します。VTI トンネル インターフェイスを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、新しいトンネル インターフェイスを作成する例を示します。
関連コマンド
|
|
|
|---|---|
interface vlan
ASA 5505 および ASASM で、VLAN インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface vlan コマンドを使用します。VLAN インターフェイスを削除するには、このコマンドの no 形式を使用します。
構文の説明
| ASA 5505 の場合、1 ~ 4090 の ID を使用します。VLAN インターフェイス ID は、デフォルトでは VLAN 1 でイネーブルになっています。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASASM では、コンフィギュレーションに任意の VLAN ID を追加できますが、トラフィックを転送できるのはスイッチによって ASA に割り当てられた VLAN だけです。 show vlan コマンドを使用して、ASA に割り当てられたすべての VLAN を表示します。スイッチによって ASA にまだ割り当てられていない VLAN にインターフェイスを追加した場合、そのインターフェイスはダウン ステートになります。ASA に VLAN を割り当てた時点で、インターフェイスはアップ ステートに変化します。インターフェイス ステートの詳細については、 show interface コマンドを参照してください。
インターフェイス コンフィギュレーション モードでは、名前や IP アドレスの割り当てなど、さまざまな設定を行うことができます。
イネーブルになっているインターフェイスでトラフィックを通過させるには、インターフェイス コンフィギュレーション モード コマンドである nameif を設定し、ルーテッド モードの場合には ip address も設定します。ASA 5505 スイッチの物理インターフェイスについては、 switchport access vlan コマンドを使用して VLAN インターフェイスに割り当てます。
インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、 clear local-host コマンドを使用して接続をクリアできます。
例
次の例では、3 つの VLAN インターフェイスを設定します。3 つめの家庭用インターフェイスは、業務用インターフェイスにトラフィックを転送できません。
次に、 failover lan コマンドを使用して別途設定されるフェールオーバー インターフェイスを含め、5 つの VLAN インターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
interface vni
VXLAN ネットワーク ID(VNI)インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface vni コマンドを使用します。VNI インターフェイスを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
vtep-nve コマンドを使用して VNI インターフェイスと VTEP 送信元インターフェイスを関連付ける必要があります。また、VXLAN セグメント ID を設定する必要があります。
例
次に、GigabitEthernet 1/1 インターフェイスを VTEP 送信元インターフェイスとして設定し、VNI 1 インターフェイスをそれに関連付ける例を示します。
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# mcast-group 236.0.0.100
関連コマンド
interim-accounting-update
AAA サーバ グループ用の RADIUS 中間アカウンティング更新メッセージの生成をイネーブルにするには、AAA サーバ グループ コンフィギュレーション モードで interim-accounting-update コマンドを使用します。中間アカウンティング更新メッセージをディセーブルにするには、このコマンドの no 形式を使用します。
interim-accounting-update [ periodic [ hours ]]
no interim-accounting-update [ periodic [ hours ]]
構文の説明
(オプション)対象のサーバ グループにアカウンティング レコードを送信するように設定されたすべての VPN セッションのアカウンティング レコードの定期的な生成と伝送をイネーブルにします。オプションで、これらの更新の送信間隔(時間単位)を含めることができます。デフォルトは 24 時間で、指定できる範囲は 1 ~ 120 時間です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
periodic キーワードなしでこのコマンドを使用すると、ASA は、VPN トンネル接続がクライアントレス VPN セッションに追加されたときにのみ中間アカウンティング更新メッセージを送信します。これが発生した場合、新たに割り当てられた IP アドレスを RADIUS に通知するためのアカウンティング アップデートが生成されます。
サーバ グループを使用してリモート アクセス VPN の ISE 認可変更を設定する場合は、 periodic キーワードを追加します。定期期間には、AnyConnect 接続とクライアントレス セッションが含まれます。
ISE は、ASA などの NAS デバイスから受信するアカウンティング レコードに基づいてアクティブ セッションのディレクトリを保持します。ただし、セッションが依然としてアクティブなアカウンティング メッセージ(またはポスチャ トランザクション)であるという通知を 5 日間にわたって受信しない場合、ISE はセッション レコードをデータベースから削除します。長期間アクティブな VPN 接続が削除されないようにするには、すべてのアクティブ セッションに関して定期的な中間アカウンティング更新メッセージを ISE 送信するようにグループを設定します。
例
次の例は、ISE サーバ グループに、動的認可(CoA)のアップデートと時間ごとの定期的なアカウンティングを設定する方法を示しています。ISE によるパスワード認証を設定するトンネル グループ設定が含まれています。
次に、ISE でローカル証明書の検証と認可用のトンネル グループを設定する例を示します。この場合、サーバ グループは認証用に使用されないため、 authorize-only コマンドをサーバ グループ コンフィギュレーションに組み込みます。
関連コマンド
|
|
|
|---|---|
internal-password
クライアントレス SSL VPN ポータル ページで追加パスワード フィールドを表示するには、webvpn コンフィギュレーション モードで internal-password コマンドを使用します。この追加パスワードは、SSO が許可されているユーザをファイル サーバに対して認証するために ASA で使用されます。
内部パスワードの使用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
イネーブルにした場合、エンド ユーザはクライアントレス SSL VPN セッションにログインするときに 2 つめのパスワードを入力します。クライアントレス SSL VPN サーバは、HTTPS を使用して、ユーザ名やパスワードなどの SSO 認証要求を認証サーバに送信します。認証サーバが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバに返されます。このクッキーは、ユーザの代理として ASA で保持され、ユーザ認証でこのクッキーを使用して、SSO サーバで保護されているドメイン内部の Web サイトの安全を確保します。
内部パスワード機能は、内部パスワードを SSL VPN パスワードとは異なるものにする場合に便利です。特に、ASA への認証にワンタイム パスワードを使用し、内部サイトの認証に別のパスワードを使用できます。
例
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# internal password enable
関連コマンド
|
|
|
|---|---|
webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSL VPN 接続の属性を設定できます。 |
interval maximum
DDNS 更新方式による更新試行の最大間隔を設定するには、DDNS 更新方式モードで interval コマンドを使用します。実行コンフィギュレーションから DDNS 更新方式の間隔を削除するには、このコマンドの no 形式を使用します。
interval maximum days hours minutes seconds
no interval maximum days hours minutes seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、3 分 15 秒ごとに更新を試行する方式を ddns-2 という名前で設定する例を示します。
関連コマンド
|
|
|
|---|---|
invalid-ack
ACK が無効になっているパケットに対するアクションを設定するには、tcp-map コンフィギュレーション モードで invalid-ack コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. invalid-ack :tcp-map コンフィギュレーション モードでは、 invalid-ack コマンドをはじめ多数のコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. set connection advanced-options :作成した TCP マップを指定します。
4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
次のような場合に無効な ACK が検出される可能性があります。
- TCP 接続が SYN-ACK-received ステータスでは、受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号と同じでない場合、その ACK は無効です。
- 受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号より大きい場合は常に、その ACK は無効です。
(注) 無効な ACK を含む TCP パケットは、WAAS 接続で自動的に許可されます。
例
次に、ACK が無効になっているパケットを許可するように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip address
インターフェイスの IP アドレス(ルーテッド モード)や、ブリッジ仮想インターフェイス(BVI)(ルーテッド モードまたはトランスペアレント モード)を設定するには、インターフェイス コンフィギュレーション モードで ip address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
ip address ip_address [ mask ] [ standby ip_address | cluster-pool poolname ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
このコマンドはこの他、フェールオーバーのスタンバイ アドレスを設定します。
シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスはそれぞれ固有のサブネットに存在する必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。
トランスペアレント ファイアウォールは、IP ルーティングに参加しません。ASA に必要な唯一の IP コンフィギュレーションは、BVI のアドレスを設定することです。このアドレスが必要になるのは、ASA がシステム メッセージや AAA サーバとの通信など ASA で発信されるトラフィックの送信元アドレスとしてこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチ コンテキスト モードの場合、各コンテキスト内の管理 IP アドレスを設定します。管理インターフェイスを含むモデルの場合は、このインターフェイスの IP アドレスを管理用に設定することもできます。
スタンバイ IP アドレスは、メイン IP アドレスと同じサブネットに存在する必要があります。
個々のインターフェイスのクラスタ プールは、クラスタ インターフェイス モードを個別インターフェイスに設定( cluster-interface mode individual コマンド)してからでないと設定できません。唯一の例外は管理専用インターフェイスです。
- 管理専用インターフェイスはいつでも、個別インターフェイスとして設定できます(スパンド EtherChannel モードのときでも)。管理インターフェイスは、個別インターフェイスとすることができます(トランスペアレント ファイアウォール モードのときでも)。
- スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミック ルーティングをイネーブルにできません。スタティック ルートを使用する必要があります。
ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。
- 31 ビット サブネットとクラスタリング:スパンド EtherChannel に 31 ビット サブネット マスクを使用できます。個々のインターフェイス(スパンド EtherChannel モードの管理 IP アドレスを含む)は 31 ビット サブネットをサポートしていません。また、クラスタ制御リンクにも 31 ビット サブネットを使用できません。
- 31 ビット サブネットとフェールオーバー:フェールオーバーに関しては、ASA インターフェイスの IP アドレスに 31 ビットのサブネットを使用した場合、アドレスが不足しているため、インターフェイス用のスタンバイ IP アドレスは設定できません。通常、アクティブなユニットがインターフェイスのテストを実行し、スタンバイのインターフェイスの健全性を保証できるよう、フェールオーバー インターフェイスはスタンバイ IP アドレスを必要とします。スタンバイ IP アドレスがないと、ASA はネットワークのテストを実行できず、リンク ステートのみしか追跡できません。ポイントツーポイント接続であるフェールオーバーと任意のステートリンクでは、31 ビットのサブネットも使用できます。
- 31 ビット サブネットと管理:直接接続されている管理ステーションがあれば、ASA 上で SSH または HTTP にポイントツーポイント接続を、または管理ステーション上で SNMP または Syslog にポイントツーポイント接続をそれぞれ使用できます。
- 31 ビット サブネットをサポートしていない機能:次の機能は、31 ビット サブネットをサポートしていません。
– ブリッジ グループ用 BVI インターフェイス:ブリッジ グループには BVI、2 つのブリッジ グループ メンバーに接続された 2 つのホスト用に、少なくとも 3 つのホスト アドレスが必要です。/29 サブネット以下を使用する必要があります。
例
次に、2 つのインターフェイスの IP アドレスおよびスタンバイ アドレスを設定する例を示します。
次に、ブリッジ グループ 1 の管理アドレスおよびスタンバイ アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip address dhcp
DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイス コンフィギュレーション モードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モード コマンドに変更されました。このコマンドは、外部インターフェイスだけでなく、任意のインターフェイスもイネーブルにできます。 |
使用上のガイドライン
DHCP リースをリセットし、新規リースを要求するには、このコマンドを再入力します。
ip address dhcp コマンドを入力する前に、 no shutdown コマンドを使用してインターフェイスをイネーブルにしなかった場合、DHCP 要求が送信されないことがあります。
(注) ASA は、タイムアウトが 32 秒未満のリースを拒否します。
例
次に、Gigabitethernet0/1 インターフェイスで DHCP をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip address pppoe
PPPoE をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip address pppoe コマンドを使用します。PPPoE をディセーブルにするには、このコマンドの no 形式を使用します。
ip address [ ip_address [ mask ]] p ppoe [ setroute ]
no ip address [ ip_address [ mask ]] p ppoe
構文の説明
IP アドレスのサブネット マスクを指定します。マスクを設定しない場合、ASA では IP アドレス クラスのデフォルト マスクが使用されます。 |
|
ASA が、PPPoE サーバから提供されるデフォルト ルートを使用できるようにします。PPPoE サーバがデフォルト ルートを送信しない場合、ASA はアクセス コンセントレータのアドレスをゲートウェイとするデフォルト ルートを作成します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PPPoE は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアント システムに割り当てる認証方式を提供します。ISP は、既存のリモート アクセス インフラストラクチャを使用して高速ブロードバンド アクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。
PPPoE を使用して IP アドレスを設定する前に、 vpdn コマンドでユーザ名、パスワード、および認証プロトコルを設定します。複数のインターフェイスでこのコマンドをイネーブルにした場合(たとえば、ISP へのバックアップ リンク用)は、pppoe client vpdn group コマンドを使用して、必要に応じて各インターフェイスをそれぞれ異なる VPDN グループに割り当てることができます。
最大伝送単位(MTU)サイズは、自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送を許可する正しい値です。
PPPoE セッションをリセットして再起動するには、このコマンドを再入力します。
このコマンドは、 ip address コマンドまたは ip address dhcp コマンドと同時には設定できません。
例
次に、GigabitEthernet 0/1 インターフェイスで PPPoE をイネーブルにする例を示します。
次に、PPPoE インターフェイスの IP アドレスを手動で設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip-address-privacy
IP アドレスのプライバシーをイネーブルにするには、パラメータ コンフィギュレーション モードで ip-address-privacy コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP を経由する IP アドレスのプライバシーをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip audit attack
攻撃シグニチャに一致するパケットに対してデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit attack コマンドを使用します。デフォルト アクションを復元(して接続をリセット)するには、このコマンドの no 形式を使用します。
ip audit attack [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、ASA はアクションを実行しません。 action キーワードを入力しない場合、ASA ではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクションは複数指定することも、まったく指定しないこともできます。このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次に、攻撃シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルト アクションを設定する例を示します。内部インターフェイスの監査ポリシーはアラームだけを生成するようにこのデフォルトを上書きしますが、外部インターフェイスの監査ポリシーは ip audit attack コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit info
情報シグニチャに一致するパケットに対してデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit info コマンドを使用します。デフォルト アクションを復元(してアラームを生成)するには、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。
ip audit info [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、ASA はアクションを実行しません。 action キーワードを入力しない場合、ASA ではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次に、情報シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルト アクションを設定する例を示します。内部インターフェイスの監査ポリシーはアラームを生成し、ドロップするようにこのデフォルトを上書きしますが、外部インターフェイスの監査ポリシーは ip audit info コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit interface
監査ポリシーをインターフェイスに割り当てるには、グローバル コンフィギュレーション モードで ip audit interface コマンドを使用します。インターフェイスからポリシーを削除するには、このコマンドの no 形式を使用します。
ip audit interface interface_name policy_name
no ip audit interface interface_name policy_name
構文の説明
ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、監査ポリシーを内部インターフェイスおよび外部インターフェイスに適用する例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit name
パケットが定義済みの攻撃シグニチャまたは情報シグニチャに一致したときに実行するアクションを識別する名前付き監査ポリシーを作成するには、グローバル コンフィギュレーション モードで ip audit name コマンドを使用します。ポリシーを削除するには、このコマンドの no 形式を使用します。
ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
デフォルト
ip audit attack コマンドおよび ip audit info コマンドを使用してデフォルト アクションを変更しなかった場合、攻撃シグニチャおよび情報シグニチャのデフォルト アクションはアラームを生成することです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあります。ポリシーを適用するには、 ip audit interface コマンドを使用して、そのポリシーをインターフェイスに割り当てます。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。
シグニチャのリストについては、 ip audit signature コマンドを参照してください。
トラフィックがシグニチャに一致し、そのトラフィックに対してアクションを実行する場合は、 shun コマンドを使用して、問題のホストからの新規接続を拒否し、既存の接続からのパケットの受信を禁止します。
例
次に、内部インターフェイスには攻撃シグニチャおよび情報シグニチャに関するアラームを生成する監査ポリシーを設定し、外部インターフェイスには攻撃に備えて接続をリセットする監査ポリシーを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip audit signature
監査ポリシーに対してシグニチャをディセーブルにするには、グローバル コンフィギュレーション モードで ip audit signature コマンドを使用します。シグニチャを再びイネーブルにするには、このコマンドの no 形式を使用します。
ip audit signature signature_number disable
no ip audit signature signature_number
構文の説明
ディセーブルにするシグニチャ番号を指定します。サポートされているシグニチャのリストについては、 表 3-1 を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
正規のトラフィックが頻繁にシグニチャに一致する場合には、シグニチャをディセーブルにしてみてください。リスクが伴うことを承知でシグニチャをディセーブルにすると、多数のアラームを回避できます。 表 3-1 に、サポートされているシグニチャおよびメッセージ番号の一覧を示します。
例
次に、シグニチャ 6100 をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip-client
FXOS での管理トラフィックの開始と、Firepower 2100 ASA データ インターフェイスから外部への送信を許可するには、グローバル構成モードで ip-client コマンドを使用します。トラフィックの開始を無効にするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA データ インターフェイスで FXOS 管理トラフィック開始を有効にすることができます。これは、たとえば、SNMP トラップ、NTP と DNS のサーバ アクセスなどに必要です。受信管理トラフィックについては、 fxos permit コマンドを参照してください。
FXOS の設定で、デフォルト ゲートウェイが 0.0.0.0 に設定されていることを確認します。これは ASA をゲートウェイとして設定します。FXOS の set out-of-band コマンドを参照してください。
例
次のコマンドにより、外部インターフェイスを介して FXOS トラフィックを開始できます。
関連コマンド
|
|
|
|---|---|
ip-comp
LZS IP 圧縮をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-comp enable コマンドを使用します。IP 圧縮をディセーブルにするには、 ip-comp disable コマンドを使用します。実行コンフィギュレーションから ip-comp 属性を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの no 形式を使用すると、別のグループ ポリシーから値を継承できます。データ圧縮をイネーブルにすると、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが向上する場合があります。
データ圧縮を使用すると、各ユーザ セッションのメモリ要件と CPU 使用率が高くなり、その結果 ASA 全体のスループットが低下します。そのため、データ圧縮はモデムで接続しているリモート ユーザに対してだけイネーブルにすることを推奨します。モデム ユーザに固有のグループ ポリシーを設計し、それらのユーザに対してだけ圧縮をイネーブルにします。
エンドポイントで IP 圧縮トラフィックが生成される場合、パケットの不正な圧縮解除を防ぐために、IP 圧縮をディセーブルにする必要があります。特定の LAN-to-LAN トンネルで IP 圧縮がイネーブルになっている場合、トンネルの一方からもう一方に IP 圧縮データを渡そうとするときに、ホスト A はホスト B と通信できません。
(注) ip-comp コマンドがイネーブルで、「暗号化前」の処理として IPsec フラグメンテーションが設定されている場合、IPsec 圧縮(ip-comp_option と pre-encryption)は使用できません。暗号化チップに送信される IP ヘッダーが圧縮によってあいまいになり、暗号化チップによる着信パケットの処理時にエラーが生成されるためです。この場合は、MTU レベルをチェックして少量(600 バイトなど)であることを確認してください。
例
次に、「FirstGroup」というグループ ポリシーの IP 圧縮をイネーブルにする例を示します。
ip local pool
IP アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。
ip local pool poolname first-address—last-address [ mask mask ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ASA クラスタリングをサポートするために、 ip address コマンドでクラスタ プールとして IP ローカル プールを指定できるようになりました。 |
使用上のガイドライン
VPN クライアントに割り当てられた IP アドレスが標準以外のネットワークに属しているときには、マスク値を指定する必要があります。デフォルト マスクを使用した場合には、データが誤ってルーティングされることがあります。典型的な例が、IP ローカル プールに 10.10.10.0/255.255.255.0 アドレスが含まれている場合で、これはデフォルトではクラス A ネットワークです。この結果、VPN クライアントが異なるインターフェイス経由で 10 ネットワーク内の別のサブネットにアクセスする必要がある場合には、ある種のルーティング問題が発生することがあります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 を介して使用できるようになっているものの、10.10.10.0 ネットワークが VPN トンネルを経由するためインターフェイス 1 で使用できるようになっている場合、VPN クライアントはプリンタ宛てのデータのルーティング先を正確に把握できなくなります。10.10.10.0 と 10.10.100.0 のサブネットは両方とも、10.0.0.0 クラス A ネットワークに分類されるため、プリンタ データが VPN トンネル経由で送信される可能性があります。
例
次に、firstpool という名前で IP アドレス プールを設定する例を示します。開始アドレスは 10.20.30.40 で、最終アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。
関連コマンド
|
|
|
|---|---|
IP プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。 |
ip-phone-bypass
IP Phone Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-phone-bypass enable コマンドを使用します。実行コンフィギュレーションから IP Phone Bypass 属性を削除するには、このコマンドの no 形式を使用します。
ip-phone-bypass { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IP Phone Bypass をディセーブルにするには、 ip-phone-bypass disable コマンドを使用します。このコマンド オプションの no 形式を使用すると、別のグループ ポリシーから IP Phone Bypass の値を継承できます。
IP Phone Bypass を使用すると、ハードウェア クライアントの背後にある IP フォンが、ユーザ認証プロセスなしで接続できます。イネーブルの場合、セキュア ユニット認証は有効のままになります。
IP Phone Bypass は、ユーザ認証をイネーブルにした場合にだけ設定する必要があります。
また、 mac-exempt オプションを設定してクライアントの認証を免除する必要があります。詳細については、 vpnclient mac-exempt コマンドを参照してください。
例
次の例は、FirstGroup というグループ ポリシーに対して IP Phone Bypass をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
ips
インスペクションのために ASA から AIP SSM にトラフィックを迂回させるには、クラス コンフィギュレーション モードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。
ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
no ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 5500 シリーズは、AIP SSM をサポートします。これは、プロアクティブでフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワーク ウイルスなど悪意のあるトラフィックを停止し、ネットワークに影響が及ばないようにします。ASA で ips コマンドを設定する前または後に、AIP SSM でセキュリティ ポリシーを設定します。ASA から AIP SSM へのセッションを確立するか( session コマンド)、または管理インターフェイスで SSH または Telnet を使用して直接 AIP SSM に接続できます。または、ASDM を使用する方法もあります。AIP SSM の設定の詳細については、 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface を参照してください。
ips コマンドを設定するには、先に class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。
AIP SSM は、ASA とは別のアプリケーションを実行します。ただし、そのアプリケーションはASA のトラフィック フローに統合されます。AIP SSM には、管理インターフェイス以外に外部インターフェイス自体は含まれていません。ASA でトラフィック クラスに対して ips コマンドを適用すると、トラフィックは次のように ASA および AIP SSM を経由します。
3. トラフィックがバックプレーン経由で AIP SSM に送信されます( inline キーワードを使用します。トラフィックのコピーを AIP SSM に送信するだけの場合の詳細については、 promiscuous キーワードを参照してください)。
4. AIP SSM が、セキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。
5. 有効なトラフィックがバックプレーン経由で ASA に返送されます。AIP SSM が、セキュリティ ポリシーに従ってトラフィックをブロックすることがあり、そのトラフィックは渡されません。
例
次に、無差別モードですべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生した場合にはすべての IP トラフィックをブロックする例を示します。
次に、インライン モードで 10.1.1.0 ネットワークおよび 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生してもすべてのトラフィックを許可する例を示します。my-ips-class トラフィックにはセンサー 1 が使用され、my-ips-class2 トラフィックにはセンサー 2 が使用されます。
関連コマンド
|
|
|
|---|---|
ipsec-udp
IPsec over UDP をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ipsec-udp enable コマンドを使用します。現在のグループ ポリシーから IPsec over UDP 属性を削除するには、このコマンドの no 形式を使用します。
ipsec-udp { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの no 形式を使用すると、別のグループ ポリシーから IPsec over UDP の値を継承できます。
IPsec over UDP(IPsec through NAT と呼ばれることもあります)を使用すると、Cisco VPN Client またはハードウェア クライアントは、NAT を実行している ASA に UDP 経由で接続できます。
IPsec over UDP をディセーブルにするには、 ipsec-udp disable コマンドを使用します。
IPsec over UDP を使用するには、 ipsec-udp-port コマンドも設定する必要があります。
また、IPsec over UDP を使用するように Cisco VPN Client を設定しておく必要があります(Cisco VPN Client は、デフォルトで IPsec over UDP を使用するように設定されています)。VPN 3002 では、IPsec over UDP を使用するためのコンフィギュレーションが必要ありません。
IPsec over UDP は独自仕様で、リモート アクセス接続にだけ適用され、モード コンフィギュレーションが必要です。つまり、ASA は SA のネゴシエーション中にクライアントとコンフィギュレーション パラメータを交換します。
IPSec over UDP を使用すると、システム パフォーマンスが若干低下します。
ipsec-udp-port コマンドは、VPN クライアントとして動作する ASA 5505 ではサポートされません。クライアント モードの ASA 5505 では、UDP ポート 500 または 4500 で IPsec セッションを開始できます。
例
次に、FirstGroup というグループ ポリシーの IPsec over UDP を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipsec-udp-port
IPsec over UDP の UDP ポート番号を設定するには、グループ ポリシー コンフィギュレーション モードで ipsec-udp-port コマンドを使用します。UDP ポートをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの no 形式を使用すると、別のグループ ポリシーから IPsec over UDP のポートの値を継承できます。
IPSec ネゴシエーションでは、ASA は設定されたポートでリッスンし、他のフィルタ ルールで UDP トラフィックがドロップされていても、そのポート宛ての UDP トラフィックを転送します。
この機能をイネーブルにすると、複数のグループ ポリシーを設定し、各グループ ポリシーでそれぞれ別のポート番号を使用できます。
例
次に、FirstGroup というグループ ポリシーの IPsec UDP ポートをポート 4025 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
Cisco VPN Client またはハードウェア クライアントが、NAT を実行している ASA に UDP 経由で接続できるようにします。 |
フィードバック