Cisco ASA シリーズ コマンド リファレンス、I ～ R コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

pre-fill-username コマンドを使用すると、ユーザ名/パスワードによる認証と認可のユーザ名として、 username-from-certificate コマンドで指定した証明書のフィールドから抽出したユーザ名を使用できます。証明書機能からこの事前充填ユーザ名を使用するには、両方のコマンドを設定する必要があります。

この機能をイネーブルにするには、トンネル グループ一般属性モードで username-from-certificate コマンドを設定する必要もあります。

（注） リリース 8.0.4 および 8.1.2 では、ユーザ名は事前充填されません。ユーザ名フィールドで送信されるデータは無視されます。

例

次に、グローバル コンフィギュレーション モードで、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成し、SSL VPN クライアントの認証または認可クエリーの名前をデジタル証明書から取得する必要があることを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは遅延はありません。

 

コマンド履歴

 

使用上のガイドライン

primary または secondary 優先順位をフェールオーバー グループに割り当てると、 preempt コマンドが設定されているときに、フェールオーバー グループがどのユニット上でアクティブになるかが指定されます。グループの primary または secondary の設定にかかわらず、両方のフェールオーバー グループがブートアップした最初のユニットでアクティブになります（それらが同時に起動したように見える場合でも、一方のユニットが最初にアクティブになります）。もう一方のユニットがオンラインになったとき、2 番めのユニットをプライオリティの高いユニットとして所有するフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドで設定されているか、 no failover active コマンドを使用して手動でもう一方のユニットに強制されない限り、2 番めのユニットではアクティブになりません。フェールオーバー グループが preempt コマンドで設定される場合、指定されたユニットでフェールオーバー グループが自動的にアクティブになります。

（注） ステートフル フェールオーバーがイネーブルの場合、プリエンプションは、フェールオーバー グループが現在アクティブになっている装置から接続が複製されるまで遅延されます。

例

次の例では、プライマリ装置のフェールオーバー グループ 1 をより高いプライオリティに設定し、セカンダリ装置のフェールオーバー グループ 2 をより高いプライオリティに設定します。どちらのフェールオーバー グループも preempt コマンドで待機時間が 100 秒に設定されているため、グループは、ユニットが使用可能になった 100 秒後に自動的にその優先ユニットでアクティブになります。

 

関連コマンド

 

構文の説明

 

デフォルト

シーケンス番号を指定しない場合、プレフィックス リストの先頭エントリにはシーケンス番号 5 が割り当てられ、その後のエントリのシーケンス番号は 5 ずつ増えていきます。

 

コマンド履歴

 

使用上のガイドライン

prefix-list コマンドは、ABR のタイプ 3 LSA フィルタリング コマンドです。ABR のタイプ 3 LSA フィルタリングは、OSPF を実行している ABR の機能を拡張して、異なる OSPF エリア間のタイプ 3 LSA をフィルタリングします。プレフィックス リストが設定されると、指定したプレフィックスのみがエリア間で送信されます。その他のすべてのプレフィックスは、それぞれの OSPF エリアに制限されます。このタイプのエリア フィルタリングは、OSPF エリアを出入りするトラフィックに対して、またはそのエリアの着信と発信の両方のトラフィックに対して適用できます。

プレフィックス リストの複数のエントリが指定されたプレフィックスと一致する場合、シーケンス番号が最も小さいエントリが使用されます。ASA では、プレフィックス リストの先頭、つまりシーケンス番号が最も小さいエントリから検索を開始します。一致が見つかると、ASA はリストの残りの部分を調べません。効率性を高めるため、頻繁に一致するエントリまたは一致しないエントリに、小さいシーケンス番号を手動で割り当てることで、それらをリストの上部に配置することもできます。

デフォルトでは、シーケンス番号は自動的に生成されます。自動生成されるシーケンス番号を抑制するには、 no prefix-list sequence-number コマンドを使用します。シーケンス番号は、5 ずつ増分されます。プレフィックス リストで生成される最初のシーケンス番号は 5 です。そのリストの次のエントリにはシーケンス番号 10 が設定され、以降も同様に設定されます。あるエントリに値を指定し、その後のエントリに値を指定しない場合、生成されるシーケンス番号は指定された値から 5 ずつ増分されます。たとえば、プレフィックス リストの最初のエントリのシーケンス番号を 3 と指定し、その後シーケンス番号を指定しないで 2 つのエントリを追加した場合、これら 2 つエントリに対して自動的に生成されるシーケンス番号は、8 および 13 となります。

ge キーワードおよび le キーワードを使用して、 network / len 引数よりも具体的なプレフィックスに対して一致するプレフィックス長の範囲を指定できます。 ge キーワードも le キーワードも指定されていないときは、完全一致であると見なされます。 ge キーワードのみが指定されている場合の範囲は、 min_value ～ 32 です。 le キーワードのみが指定されている場合の範囲は、 len ～ max_value です。

min_value 引数および max_value 引数の値は、次の条件を満たす必要があります。

len < min_value <= max_value <= 32

プレフィックス リストから特定のエントリを削除するには、このコマンドの no 形式を使用します。プレフィックス リストを削除するには、 clear configure prefix-list コマンドを使用します。 clear configure prefix-list コマンドを使用すると、関連する prefix-list description コマンドがある場合は、それもコンフィギュレーションから削除されます。

例

次に、デフォルト ルート 0.0.0.0/0 を拒否する例を示します。

次に、プレフィックス 10.0.0.0/8 を許可する例を示します。

次に、プレフィックス 192/8 のルートで最大 24 ビットのマスク長を許可する例を示します。

次に、プレフィックス 192/8 のルートで 25 ビットよりも大きいマスク長を拒否する例を示します。

次に、すべてのアドレス空間で 8 ～ 24 ビットのマスク長を許可する例を示します。

次に、すべてのアドレス空間で 25 ビットよりも大きいマスク長を拒否する例を示します。

次に、プレフィックス 10/8 のすべてのルートを拒否する例を示します。

次に、プレフィックス 192.168.1/24 のルートで 25 ビットよりも大きいすべてのマスクを拒否する例を示します。

次に、プレフィックス 0/0 のすべてのルートを許可する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

prefix-list コマンドおよび prefix-list description コマンドは、特定のプレフィックス リスト名に対して、任意の順序で入力できます。プレフィックス リストの説明を入力する前に、プレフィックス リストを作成する必要はありません。 prefix-list description コマンドは、コマンドを入力する順序に関係なく、コンフィギュレーションで関連するプレフィックス リストの前の行に必ず記述されます。

すでに説明の設定されたプレフィックス リスト エントリに対して prefix-list description コマンドを入力した場合、新しい説明によって元の説明が置き換えられます。

このコマンドの no 形式を使用するときは、テキスト説明を入力する必要はありません。

例

次に、MyPrefixList という名前のプレフィックス リストの説明を追加する例を示します。 show running-config prefix-list コマンドは、プレフィックス リストの説明が実行コンフィギュレーションに追加された場合でも、プレフィックス リスト自体は設定されていないことを示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

プレフィックス リストのシーケンス番号付けは、デフォルトでイネーブルです。

 

コマンド履歴

 

使用上のガイドライン

コンフィギュレーションには、このコマンドの no 形式だけが記述されます。このコマンドの no 形式がコンフィギュレーション内にある場合、シーケンス番号（手動設定したものを含む）はコンフィギュレーション内の prefix-list コマンドから削除されます。プレフィックス リストの新しいエントリにシーケンス番号は割り当てられません。

プレフィックス リストのシーケンス番号付けがイネーブルの場合、デフォルトの番号付け方式（5 で始まり、番号が 5 ずつ増分される）を使用して、プレフィックス リストのすべてのエントリにシーケンス番号が割り当てられます。番号付けがディセーブルになる前に、シーケンス番号がプレフィックス リストのエントリに手動で割り当てられた場合、手動で割り当てられた番号が復元されます。自動番号付けがディセーブルのときに手動で割り当てたシーケンス番号も復元されます。ただし、番号付けがディセーブルの間、これらのシーケンス番号は表示されません。

例

次に、プレフィックス リストのシーケンス番号付けをディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトは sha （SHA 1）です。

 

使用上のガイドライン

IKEv2 SA は、IKEv2 ピアがフェーズ 2 で安全に通信できるようにするためにフェーズ 1 で使用されるキーです。crypto ikev2 policy コマンドを入力した後、 prf コマンドを使用して、SA で使用されるすべての暗号化アルゴリズムのキー関連情報の構築に使用する疑似乱数関数を選択します。

 

コマンド履歴

例

次に、IKEv2 ポリシー コンフィギュレーション モードを開始し、PRF を MD5 に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

フェールオーバー グループに primary または secondary が指定されていない場合は、フェールオーバー グループはデフォルトで primary に設定されます。

 

コマンド履歴

 

使用上のガイドライン

primary または secondary 優先順位をフェールオーバー グループに割り当てると、 preempt コマンドが設定されているときに、フェールオーバー グループがどのユニット上でアクティブになるかが指定されます。グループの primary または secondary の設定にかかわらず、両方のフェールオーバー グループがブートアップした最初のユニットでアクティブになります（それらが同時に起動したように見える場合でも、一方のユニットが最初にアクティブになります）。もう一方のユニットがオンラインになったとき、2 番めのユニットをプライオリティの高いユニットとして所有するフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドで設定されているか、 no failover active コマンドを使用して手動でもう一方のユニットに強制されない限り、2 番めのユニットではアクティブになりません。フェールオーバー グループが preempt コマンドで設定される場合、指定されたユニットでフェールオーバー グループが自動的にアクティブになります。

例

次の例では、プライマリ装置のフェールオーバー グループ 1 をより高いプライオリティに設定し、セカンダリ装置のフェールオーバー グループ 2 をより高いプライオリティに設定します。どのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになります。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や変数はありません。

 

コマンド履歴

 

使用上のガイドライン

LLQ プライオリティ キューイングを使用すると、特定のトラフィック フロー（音声やビデオのような遅延の影響を受けやすいトラフィックなど）をその他のトラフィックよりも優先できます。

ASA は、次の 2 つのタイプのプライオリティ キューイングをサポートしています。

• 標準プライオリティ キューイング：標準プライオリティ キューイングではインターフェイスで LLQ プライオリティ キューを使用しますが（ priority-queue コマンドを参照）、他のすべてのトラフィックは「ベスト エフォート」キューに入ります。キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これは テール ドロップ と呼ばれます。キューがいっぱいになることを避けるには、キューのバッファ サイズを大きくします。送信キューに入れることのできるパケットの最大数も微調整できます。これらのオプションを使用して、プライオリティ キューイングの遅延と強固さを制御できます。LLQ キュー内のパケットは、常に、ベストエフォート キュー内のパケットよりも前に送信されます。
• 階層型プライオリティ キューイング：階層型プライオリティ キューイングは、トラフィック シェーピング キュー（ shape コマンド）をイネーブルにしているインターフェイスで使用されます。シェーピングされるトラフィックのサブセットに優先順位を付けることができます。標準プライオリティ キューは使用されません。階層型プライオリティ キューイングについては、次のガイドラインを参照してください。

– プライオリティ パケットは常にシェープ キューの先頭に格納されるので、常に他の非プライオリティ キュー パケットよりも前に送信されます。

– プライオリティ トラフィックの平均レートがシェープ レートを超えない限り、プライオリティ パケットがシェープ キューからドロップされることはありません。

– IPsec-encrypted パケットの場合、DSCP または先行する設定に基づいてのみトラフィックを照合することができます。

– プライオリティ トラフィック分類では、IPsec-over-TCP はサポートされません。

Modular Policy Framework を使用した QoS の設定

プライオリティ キューイングをイネーブルにするには、モジュラー ポリシー フレームワークを使用します。標準プライオリティ キューイングまたは階層型プライオリティ キューイングを使用できます。

標準プライオリティ キューイングの場合は、次の作業を実行します。

1. class-map ：プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map ：各クラス マップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラス マップを指定します。

b. priority ：クラス マップのプライオリティ キューイングを有効にします。

3. service-policy ：ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

階層型プライオリティ キューイングの場合は、次の作業を実行します。

1. class-map ：プライオリティ キューイングを実行するトラフィックを指定します。

2. policy-map （プライオリティ キューイングの場合）：各クラス マップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラス マップを指定します。

b. priority ：クラス マップのプライオリティ キューイングを有効にします。ポリシー マップを階層的に使用する場合は、このポリシー マップに priority コマンドだけを含めることができます。

3. policy-map （トラフィック シェーピングの場合）： class-default クラス マップに関連付けるアクションを指定します。

a. class class-default ：アクションを実行する class-default クラス マップを指定します。

b. shape ：トラフィック シェーピングをクラス マップに適用します。

c. service-policy ：プライオリティ キューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定したプライオリティ キューイング ポリシー マップを呼び出します。

4. service-policy ：ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

例

次に、ポリシー マップ コンフィギュレーション モードでの priority コマンドの例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

クラスタのメンバは、クラスタ制御リンクを介して通信してマスター ユニットを選定します。方法は次のとおりです。

1. ユニットに対してクラスタリングをイネーブルにしたとき（または、クラスタリングがイネーブル済みの状態でそのユニットを初めて起動したとき）に、そのユニットは選定要求を 3 秒間隔でブロードキャストします。

2. プライオリティの高い他のユニットがこの選定要求に応答します。プライオリティは 1 ～ 100 の範囲内で設定され、1 が最高のプライオリティです。

3. 45 秒経過しても、プライオリティの高い他のユニットからの応答を受信していない場合は、そのユニットがマスターになります。

（注） 最高のプライオリティを持つユニットが複数ある場合は、クラスタ ユニット名、次にシリアル番号を使用してマスターが決定されます。

4. 後からクラスタに参加したユニットのプライオリティの方が高い場合でも、そのユニットが自動的にマスター ユニットになることはありません。既存のマスター ユニットは常にマスターのままです。ただし、マスター ユニットが応答を停止すると、その時点で新しいマスター ユニットが選定されます。

（注） cluster master unit コマンドを使用して、特定のユニットを手動で強制的にマスターにすることができます。中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。中央集中型機能のリストについては、設定ガイドを参照してください。

例

次に、プライオリティ を 1（最高）に設定する例を示します。

ciscoasa(cfg-cluster)# priority 1

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのプライオリティは、デバイスのモデル番号によって異なります。

 

コマンド履歴

 

使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始する必要があります。

このコマンドは、仮想ロード バランシング クラスタに参加するローカル デバイスのプライオリティを設定します。

プライオリティは、1（最低）～ 10（最高）の範囲の整数である必要があります。

プライオリティは、VPN ロード バランシング クラスタ内でクラスタのマスターまたはプライマリ デバイスになるデバイスを決定する方法の 1 つとして、マスター選出プロセスで使用されます。マスター選出プロセスの詳細については、CLI 設定ガイドを参照してください。

プライオリティ指定をデフォルト値に戻すには、このコマンドの no 形式を使用します。

例

次に、現在のデバイスのプライオリティを 9 に設定する priority コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、プライオリティ キューイングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

LLQ プライオリティ キューイングを使用すると、特定のトラフィック フロー（音声やビデオのような遅延の影響を受けやすいトラフィックなど）をその他のトラフィックよりも優先できます。

ASA は、次の 2 つのタイプのプライオリティ キューイングをサポートしています。

• 標準プライオリティ キューイング：標準プライオリティ キューイングでは、インターフェイスで priority-queue コマンドを使用して作成する LLQ プライオリティ キューを使用しますが、他のすべてのトラフィックは「ベスト エフォート」キューに入ります。キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これは テール ドロップ と呼ばれます。キューがいっぱいになるのを回避するために、キューのバッファ サイズを増やすことができます（ queue-limit コマンド）。また、送信キュー内に受け入れ可能な最大パケット数を微調整することもできます（ tx-ring-limit コマンド）。これらのオプションを使用して、プライオリティ キューイングの遅延と強固さを制御できます。LLQ キュー内のパケットは、常に、ベストエフォート キュー内のパケットよりも前に送信されます。
• 階層型プライオリティ キューイング：階層型プライオリティ キューイングは、トラフィック シェーピング キューがイネーブルなインターフェイスで使用されます。シェーピングされるトラフィックのサブセットに優先順位を付けることができます。標準プライオリティ キューは使用されません。

（注） ASA 5505 に限り、1 つのインターフェイスでプライオリティ キューを設定すると、他のすべてのインターフェイスの同じコンフィギュレーションが上書きされます。つまり、最後に適用されたコンフィギュレーションだけがすべてのインターフェイスに存在することになります。また、プライオリティ キュー コンフィギュレーションは、1 つのインターフェイスから削除すると、すべてのインターフェイスから削除されます。この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなインターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで最大の値と、すべての tx-ring-limit のうちで最小の値を使用します（CSCsi13132）。

例

次に、test という名前のインターフェイスに対してプライオリティ キューを設定し、キュー制限に 30,000 パケット、送信キュー制限に 256 パケットを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のすべてのコマンドは、レベル 15 です。

• show checksum
• show curpriv
• イネーブル化
• help
• show history
• login
• logout
• pager
• show pager
• clear pager
• quit
• show version

コンフィギュレーション モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

すべての特権レベルを表示するには、 show running-config all privilege all コマンドを参照してください。

 

コマンド履歴

 

使用上のガイドライン

privilege コマンドを使用すると、 aaa authorization command LOCAL コマンドを設定するときに、ASA コマンドの特権レベルを設定できます。このコマンドで LOCAL キーワードを使用する場合でも、このキーワードによってローカル、RADIUS、および LDAP（マッピング）認可がイネーブルになります。

例

たとえば、 filter コマンドには次の形式があります。

• filter （ configure オプションで表されます）
• show running-config filter
• clear configure filter

特権レベルを形式ごとに個別に設定することができます。または、このオプションを省略してすべての形式に同じ特権レベルを設定することもできます。たとえば、それぞれの形式を別々に設定するには、次のように指定します。

また、すべてのフィルタ コマンドを同じレベルに設定できます。

show privilege コマンドは、形式を分けて表示します。

次の例では、 mode キーワードの使用方法を示します。 enable コマンドは、ユーザ EXEC モードから入力する必要があります。一方、 enable password コマンドは、コンフィギュレーション モードでアクセスでき、最も高い特権レベルが必要です。

次に、2 つのモードの mac-address コマンドの例を示します。show、clear、および cmd のレベルをそれぞれ個別に設定しています 。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルト プロファイル「Cisco TAC」が提供されました。デフォルト プロファイルには、事前定義されたモニタ対象グループ（診断、環境、インベントリ、コンフィギュレーション、テレメトリ）のセットと、事前定義された宛先電子メールおよび HTTPS URL があります。デフォルト プロファイルは、Smart Call Home を初めて設定するときに自動的に作成されます。宛先電子メールは callhome@cisco.com で、宛先 URL は https://tools.cisco.com/its/service/oddce/services/DDCEService です。

 

コマンド履歴

 

使用上のガイドライン

次のコマンドは、イン プロファイル コンフィギュレーション モードで使用されます。

プロファイルのイネーブル化またはディセーブル化

Call Home プロファイルを有効にするには、Call Home プロファイル コンフィギュレーション モードで active コマンドを使用します。Call Home プロファイルをディセーブルにするには、Call Home プロファイル コンフィギュレーション モードで no active コマンドを使用します。Call Home プロファイル コンフィギュレーション モードにアクセスするには、先に call-home コマンドを入力してから profile コマンドを入力します。デフォルトではイネーブルになっています。

active

no active

プロファイル コマンドのデフォルトへの設定

Call Home プロファイル設定をデフォルト値に設定するには、Call Home プロファイル コンフィギュレーション モードで default コマンドを使用します。Call Home プロファイル コンフィギュレーション モードにアクセスするには、先に call-home コマンドを入力してから profile コマンドを入力します。このモードから Call Home コンフィギュレーション モード設定をリセットすることもできます。すべての Call Home プロファイルおよび全般設定を確認/リセットする方法については、コマンド ヘルプ（ default ? ）を参照してください。

default {active | destination | email-subject | subscribe-to-alert-group}

宛先タイプ、アドレス、および設定

Smart Call Home メッセージ受信者の宛先アドレス、参照アイデンティティ、メッセージ形式、およびトランスポート方式を設定するには、Call Home プロファイル コンフィギュレーション モードで destination コマンドを使用します。宛先パラメータを削除するか、それらをデフォルトにリセットするには、 no destination コマンドまたは default コマンドを使用します。

デフォルト メッセージ形式は XM、デフォルト メッセージ サイズは 5 MB（0 にすると無制限）、デフォルトのトランスポート方式は電子メールです。事前に設定された参照アイデンティティを指定する必要があります。これは、接続時に Call Home サーバの証明書を検証するために使用されます。これは、HTTP 宛先にのみ適用されます。

destination address { e-mail e-mail-address | http http-url }

no destination address { e-mail | http [ all] }

destination address http http-url [ reference-identity ref-id-name ]

no destination address http http-url [ reference-identity ref-id-name ]

destination address { e-mail e-mail-address | http http-url } [ msg-format {short-text | long-text | xml }]

no destination address { e-mail e-mail-address | http http-url } [ msg-format {short-text | long-text | xml }]

destination message-size-limit max-size

no destination message-size-limit max-size

destination preferred-msg-format {s hort-text | long-text | xml }

no destination preferred-msg-format {s hort-text | long-text | xml }

destination transport-method { e-mail | http }

no destination transport-method { e-mail | http }

電子メールの件名の設定

Call Home 電子メールの件名のプレフィックスまたはサフィックスを設定するには、Call Home プロファイル コンフィギュレーション モードで email-subject コマンドを使用します。これらのフィールドをクリアするには、 no email-subject コマンドを使用します。Call Home プロファイル コンフィギュレーション モードにアクセスするには、先に call-home コマンドを入力してから profile コマンドを入力します。

email-subject {append | prepend } chars

no email-subject {append | prepend } chars

アラート グループへのサブスクライブ

アラート グループにサブスクライブするには、Call Home プロファイル コンフィギュレーション モードで subscribe-to-alert-group コマンドを使用します。これらのサブスクライブをクリアするには、 no subscribe-to-alert-group コマンドを使用します。Call Home プロファイル コンフィギュレーション モードにアクセスするには、先に call-home コマンドを入力してから profile コマンドを入力します。

• [no] subscribe-to-alert-group alert-group-name [severity {catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging}]：指定した重大度レベルのグループのイベントにサブスクライブします。
  alert-group-name：有効な値は、syslog、diagnostic、environment、または threat です。
• [no] subscribe-to-alert-group syslog [{severity {catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging} | message start [-end]}]：重大度レベルまたはメッセージ ID のある syslog にサブスクライブします。
  start-[end]：1 つの syslog メッセージ ID またはある範囲の syslog メッセージ ID。
• [no] subscribe-to-alert-group inventory [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]：インベントリ イベントにサブスクライブします。
  day_of_month：1 ～ 31 の日付。
  day_of_week：Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
  hh, mm：24 時間形式の時間および分。
• [no] subscribe-to-alert-group configuration [export full | minimum] [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]：コンフィギュレーション イベントにサブスクライブします。
  full：実行コンフィギュレーション、スタートアップ コンフィギュレーション、機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名をエクスポートするコンフィギュレーション。
  minimum：機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名だけをエクスポートするコンフィギュレーション。
  day_of_month：1 ～ 31 の日付。
  day_of_week：Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
  hh, mm：24 時間形式の時間および分。
• [no] subscribe-to-alert-group telemetry periodic {hourly | daily | monthly day_of_month | weekly day_of_week [hh:mm]：定期的なテレメトリ イベントにサブスクライブします。
  day_of_month：1 ～ 31 の日付。
  day_of_week：Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
  hh, mm：24 時間形式の時間および分。
• [no] subscribe-to-alert-group snapshot periodic {interval minutes | hourly [mm] | daily | monthly day_of_month |weekly day_of_week [hh:mm]}：定期的なスナップショット イベントにサブスクライブします。
  minutes：間隔（分単位）。
  day_of_month：1 ～ 31 の日付。
  day_of_week：Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
  hh, mm：24 時間形式の時間および分。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのプロンプトはホスト名です。マルチ コンテキスト モードでは、ホスト名の後に現在のコンテキスト名が続きます（ hostname / context ）。

 

コマンド履歴

 

使用上のガイドライン

キーワードを入力する順序によって、プロンプト内の要素の順序が決まります。要素はスラッシュ（/）で区切ります。

マルチ コンテキスト モードでは、システム実行スペースまたは管理コンテキストにログインするときに、拡張プロンプトを表示できます。非管理コンテキスト内では、デフォルトのプロンプト（ホスト名およびコンテキスト名）のみが表示されます。

プロンプトに情報を追加できるため、複数のモジュールがある場合に、どの ASA にログインしているかを一目で確認できます。この機能は、フェールオーバー時に、両方の ASA に同じホスト名が設定されている場合に便利です。

例

次に、フェールオーバー用のプロンプトで使用可能なすべての要素を表示する例を示します。

プロンプトが次のストリングに変化します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

伝搬はデフォルトでイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、CTS レイヤ 2 SGT インポジションのセキュリティ グループ タグの伝播をイネーブルまたはディセーブルにできます。

[Restrictions（機能制限）]

• 物理インターフェイス、VLAN インターフェイス、ポート チャネル インターフェイスおよび冗長インターフェイスでのみサポートされます。
• BVI、TVI、VNI などの論理インターフェイスや仮想インターフェイスではサポートされません。

例

次に、レイヤ 2 SGT インポジションのインターフェイスをイネーブルにし、SGT の伝播は行わないように設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

IPsec プロポーザルのデフォルトの設定は、暗号化タイプが 3DES で、整合性タイプが SHA-1 です。

 

コマンド履歴

 

使用上のガイドライン

IKEv2 IPsec プロポーザルには、暗号化タイプと整合性タイプを複数設定できます。このコマンドで指定したタイプの中から、必要なタイプをピアで選択することができます。

AES-GMC/GMAC が暗号化アルゴリズムとして設定されている場合は、ヌル整合性アルゴリズムを選択する必要があります。

例

次に、proposal_1 という IPsec プロポーザルを作成する例を示します。ESP 暗号化タイプとして DES と 3DES を設定し、整合性保護のために暗号化アルゴリズム MD5 と SHA-1 を指定しています。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

プロトコルの強制は、デフォルトでイネーブルになっています。この機能は、 policy-map type inspect dns を定義していなくても、 inspect dns を設定していれば、イネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで no protocol-enforcement を明示的に記述する必要があります。 inspect dns が設定されていない場合、NAT リライトは実行されません。

 

コマンド履歴

 

使用上のガイドライン

状況によっては、コマンドがディセーブルであっても、プロトコルの強制が実行されます。これは、DNS リソース レコードの分類、NAT、TSIG チェックなど、他の目的で DNS リソース レコードの解析が必要なときに発生します。

例

次に、DNS インスペクション ポリシー マップ内でプロトコルの強制をイネーブルにする方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの設定は、HTTP を許可します。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用する場合は、HTTP ルールをパブリック インターフェイス フィルタに適用してください。権限があれば、CRL 配布ポイントの内容によって取得方法（HTTP、LDAP、SCEP のいずれかまたは複数）が決まります。

例

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして HTTP を許可する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの設定は、LDAP を許可します。

 

コマンド履歴

例

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして LDAP を許可する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

protocol-object コマンドは、 object-group コマンドとともに使用して、プロトコル コンフィギュレーション モードでプロトコル オブジェクトを定義します。

IP プロトコルの名前や番号は、 protocol 引数を使用して指定できます。udp プロトコル番号は 17、tcp プロトコル番号は 6、egp プロトコル番号は 47 です。

例

次に、プロトコル オブジェクトを定義する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの設定は、SCEP を許可します。

 

コマンド履歴

例

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして SCEP を許可する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドにデフォルトの動作または値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドにより、既存の IS-IS コンフィギュレーション パラメータを削除することなく特定のルーティング インスタンスの IS-IS プロトコルをディセーブルにすることができます。 protocol shutdown コマンドを入力する際に、IS-IS プロトコルが ASA で引き続き動作していて、現在の IS-IS 設定を使用できますが、IS-IS はどのインターフェイスとも隣接関係を形成せず、また IS-IS LSP データベースをクリアします。

特定のインターフェイスで IS-IS プロトコルをディセーブルにするには、 isis protocol shutdown コマンドを使用します。

例

次に、特定のルーティング インスタンスの IS-IS プロトコルをディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、HTTP または NetBIOS ポリシー マップで設定できます。HTTP または NetBIOS パーサーが HTTP または NetBIOS メッセージの最初の数バイトで有効なメッセージを検出できない場合、syslog が発行されます。たとえば、チャンク エンコーディングの形式が不正であるためにメッセージを解析できない場合に、このような状況が発生します。

例

次に、ポリシー マップにおけるプロトコル違反に対するアクションを設定する例を示します。

 

関連コマンド

 

構文の説明l

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

proxy-auth コマンドは、AAA サーバ プロキシ認証のテキスト メッセージのネイティブ プロトコル ディレクティブへの解析をイネーブルにする場合に使用します。

 

構文の説明l

 

デフォルト

ASA のデフォルトのマッピングは、Cisco ACS のデフォルトの設定（システム管理、コンフィギュレーション、RSA SecureID のプロンプトなど）と対応しており、RSA 認証マネージャのデフォルトの設定とも同期されています。

 

コマンド履歴

 

使用上のガイドライン

RADIUS プロキシからの RADIUS チャレンジ メッセージの解析とマッピングをイネーブルにするには、トンネル グループ コンフィギュレーション モードで proxy-auth コマンドをイネーブルにする必要があります。これにより、デフォルトのマッピングの値が使用されます。デフォルトのマッピングの値は、 proxy-auth_map コマンドを使用して変更できます。

リモート ユーザは、AnyConnect クライアントで ASA に接続し、RSA SecurID トークンを使用して認証を試みます。RADIUS プロキシ サーバを使用して、そのサーバ経由で認証に関する SDI サーバとの通信を行うように ASA を設定することができます。

認証の間に、RADIUS サーバは ASA にアクセス チャレンジ メッセージを提示します。これらのチャレンジ メッセージ内に、SDI サーバからのテキストを含む応答メッセージがあります。メッセージ テキストは、ASA が SDI サーバと直接通信する場合と、ASA が RADIUS プロキシ経由で通信する場合で異なります。

そのため、AnyConnect クライアントにネイティブ SDI サーバとして認識させるために、ASA は RADIUS サーバからのメッセージを解釈する必要があります。また、SDI メッセージは SDI サーバで設定可能であるため、ASA のメッセージ テキストの全体または一部が、SDI サーバのメッセージ テキストと一致する必要があります。一致しない場合、リモート クライアント ユーザに表示されるプロンプトは、認証中に必要とされるアクションに対して適切でない場合があります。この場合、AnyConnect クライアントが応答できずに認証が失敗する場合があります。

 

関連コマンド

 

構文の説明l

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

プロキシ バイパスは、コンテンツの書き換えを最小限に実行して、アプリケーションおよび Web リソースの動作を向上させるために使用します。proxy-bypass コマンドは、ASA を通過する特定の Web アプリケーションの処理方法を決定します。

このコマンドは複数回使用できます。エントリを設定する順序は重要ではありません。インターフェイスとパス マスク、またはインターフェイスとポートにより、プロキシ バイパス ルールが一意に指定されます。

パス マスクではなくポートを使用してプロキシ バイパスを設定する場合、ネットワーク コンフィギュレーションによっては、これらのポートが ASA にアクセスできるようにするために、ファイアウォール コンフィギュレーションの変更が必要になることがあります。この制限を回避するには、パス マスクを使用します。ただし、パス マスクは変化することがあるため、複数のパス マスク ステートメントを使用して変化する可能性をなくすことが必要になる場合があります。

パスは、URL で.com や.org、またはその他のタイプのドメイン名の後に続く全体です。たとえば、www.example.com/hrbenefits という URL では、 hrbenefits がパスになります。同様に、www.example.com/hrinsurance という URL では、 hrinsurance がパスです。すべての hr サイトでプロキシ バイパスを使用する場合は、*（ワイルドカード）を /hr* のように使用して、コマンドを複数回使用しないようにできます。

例

次に、webvpn インターフェイス上のプロキシ バイパス用にポート 20001 を使用するように ASA を設定する例を示します。HTTP とそのデフォルト ポート 80 を使用してトラフィックを example.com に転送し、XML コンテンツを書き換えます。

次に、外部インターフェイスでのプロキシ バイパス用にパス マスク mypath/* を使用するように ASA を設定する例を示します。HTTP とそのデフォルト ポート 443 を使用してトラフィックを example.com に転送し、XML およびリンク コンテンツを書き換えます。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

TLS プロキシ ローカル ダイナミック証明書を発行するには、proxy-ldc-issuer コマンドを使用します。proxy-ldc-issuer コマンドは、クリプト トラストポイントにローカル CA としてのロールを付与して LDC を発行します。クリプト ca トラストポイント コンフィギュレーション モードからアクセスできます。

proxy-ldc-issuer コマンドは、TLS プロキシのダイナミック証明書を発行するトラストポイントに、ローカル CA の役割を定義します。このコマンドは、「自己登録」を使用するトラストポイントでのみ設定できます。

例

次に、内部ローカル CA を作成し、電話用の LDC を署名する例を示します。このローカル CA は、proxy-ldc-issuer がイネーブルな標準の自己署名トラストポイントとして作成されます。

 

関連コマンド

 

構文の説明

 

デフォルト

リッスン ポートを指定しない場合、ポートはデフォルトで 8080 に設定されます。

 

コマンド履歴

 

使用上のガイドライン

電話プロキシのプロキシ サーバ コンフィギュレーション オプションを設定すると、DMZ または外部ネットワークで HTTP プロキシを使用できます。これらのネットワークでは、電話機上のサービスについてすべての IP フォンの URL がこのプロキシ サーバに誘導されます。この設定では、非セキュアな HTTP トラフィックに対応します。このようなトラフィックは社内ネットワークに入ることはできません。

入力する ip_address は、IP フォンおよび HTTP プロキシ サーバの配置場所に基づくグローバル IP アドレスにする必要があります。

プロキシ サーバが DMZ 内にあり、IP 電話がネットワークの外部にある場合、ASA は、NAT ルールが存在するかどうかのルックアップを実行し、グローバル IP アドレスを使用してコンフィギュレーション ファイルに書き込みます。

ASA がホスト名を IP アドレスに解決できる場合は（DNS ルックアップが設定されている場合など）、ASA がそのホスト名を IP アドレスに解決するため、 ip_address 引数にホスト名を入力できます。

デフォルトでは、エンタープライズ パラメータの下に設定された電話の URL パラメータは、URL 内で FQDN を使用しています。HTTP プロキシ用の DNS lookup で FQDN が解決されない場合は、IP アドレスを使用するようにこれらのパラメータを変更する必要があります。

プロキシ サーバ URL が IP フォンのコンフィギュレーション ファイルに正しく書き込まれたかどうかを確認するには、[Settings] > [Device Configuration] > [HTTP configuration] > [Proxy Server URL] で IP フォンの URL をチェックします。

電話プロキシでは、プロキシ サーバに対するこの HTTP トラフィックを検査しません。

ASA が IP フォンと HTTP プロキシ サーバのパス内にある場合は、既存のデバッグ手法（syslog やキャプチャなど）を使用して、プロキシ サーバをトラブルシューティングします。

電話プロキシが使用中の場合は、プロキシ サーバを 1 つだけ設定できます。ただし、プロキシ サーバを設定した後に IP 電話にコンフィギュレーション ファイルをダウンロードした場合は、IP 電話を再起動して、プロキシ サーバのアドレスが記載されたコンフィギュレーション ファイルが取り込まれるようにする必要があります。

例

次に、 proxy-server コマンドを使用して電話プロキシ用に HTTP プロキシ サーバを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの ptp domain 番号は 0 です。

 

コマンド履歴

 

使用上のガイドライン

また、 ptp domain コマンドは、グローバル コンフィギュレーション モードでも使用できます。

例

次に、 ptp domain コマンドを使用して、PTP ドメイン番号を 127 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、トランスペアレント モードのすべての ISA 3000 インターフェイスで PTP がイネーブルになっています。ルーテッド モードでは、PTP パケットがデバイスを通過できるようにするために必要な設定を追加する必要があります。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを入力できるのは、インターフェイス コンフィギュレーション モードのみです。

このコマンドは物理インターフェイスのみで使用できます。サブインターフェイス、その他の仮想インターフェイス、または管理インターフェイスでは使用できません。

VLAN サブインターフェイスでの PTP フローは、適切な PTP 設定が親インターフェイス上に存在する場合にサポートされます。

PTP がどのモードでもイネーブルになっていない場合、このコマンドは受け入れられても何も効果がありません。警告が発行されます。

 

関連コマンド

 

構文の説明

 

デフォルト

エンドツーエンド トランスペアレント モードはデフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

エンドツーエンド トランスペアレント モードがディセーブルの場合、すべての PTP パケットは他のマルチキャスト パケットのように扱われます。これは転送モードと同等です。

また、 ptp mode コマンドは、グローバル コンフィギュレーション モードでも使用できます。

例

次に、 ptp mode コマンドを使用して、PTP クロック モードをエンドツーエンド トランスペアレントに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのキーが使用されます。

 

コマンド履歴

 

使用上のガイドライン

DNS インスペクション ポリシー マップで DNScrypt をイネーブルにする場合は、必要に応じて証明書の検証に DNScrypt プロバイダーの公開キーを設定できます。キーを設定しない場合は、現在配布されているデフォルトの公開キーが検証に使用されます。

キーの設定が必要になるのは、DNScrypt 暗号化に使用する公開キーが Cisco Umbrella によって変更された場合だけです。

例

次に、Cisco Umbrella で使用する公開キーを設定する例を示します。この例では、グローバル DNS インスペクションで使用されるデフォルトの DNS インスペクション ポリシー マップで DNScrypt を有効にする方法も示しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの publish-crl ステータスは、 no publish です。TCP ポート 80 は、HTTP のデフォルトです。

 

コマンド履歴

 

使用上のガイドライン

CRL は、デフォルトでアクセス不可です。必要なインターフェイスおよびポートで CRL ファイルへのアクセスをイネーブルにする必要があります。

TCP ポート 80 は、HTTP のデフォルト ポート番号です。デフォルト以外のポート（ポート 80 以外）を設定する場合は、他のデバイスが新しいポートへのアクセス方法を認識できるように、 cdp-url コンフィギュレーションにそのポート番号が含まれるようにします。

CRL 配布ポイント（CDP）は、ローカル CA ASA における CRL の場所です。 cdp-url コマンドで設定する URL は、発行されるすべての証明書に埋め込まれます。CDP 用に特定の場所を設定しない場合、デフォルトの CDP の URL は http://hostname.domain/+CSCOCA+/asa_ca.crl です。

クライアントレス SSL VPN が同じインターフェイスでイネーブルになっている場合、HTTP リダイレクトと CRL ダウンロード要求は、同じ HTTP リスナーによって処理されます。リスナーは着信 URL をチェックし、 cdp-url コマンドで設定した URL と一致する場合に、CRL ファイルがダウンロードされます。URL が cdp-url コマンドと一致しない場合は、接続が HTTPS にリダイレクトされます（HTTP リダイレクトがイネーブルの場合）。

例

次に、CA サーバ コンフィギュレーション モードで publish-crl コマンドを入力して、外部インターフェイスのポート 70 を CRL ダウンロード用にイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

ルート ディレクトリ（/）がデフォルトです。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、 dir コマンドと機能が類似しています。

例

次に、現在の作業ディレクトリを表示する例を示します。

 

関連コマンド