- same-security-traffic through share-ratio コマンド
- show aaa kerberos コマンド~ show asdm sessions コマンド
- show as-path-access-list コマンド~ show auto-update コマンド
- how backup-package コマンド~ show cpu コマンド
- show crashinfo コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show event manager コマンド
- show facility-alarm コマンド~ show ipsec stats コマンド
- show ipv6 access-list コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show mroute コマンド
- show nac-policy コマンド~ show ospf virtual-links コマンド
- show pager コマンド~ show route コマンド
- show running-config コマンドから show sw-reset-button コマンドまで
- show tcpstat コマンド~ show traffic コマンド
- show uauth コマンド~ show zone コマンド
- shun コマンド~ sntp address コマンド
- software authenticity development コマンド~ strip-realm コマンド
- subject-name コマンド~ sysopt traffic detailed-statistics コマンド
- shun
- shutdown(ca サーバ)
- shutdown(インターフェイス)
- sip address
- sip domain-name
- site-id
- site-periodic-garp interval
- site-redundancy
- sla monitor
- sla monitor schedule
- smart-tunnel auto-signon enable
- smart-tunnel auto-signon list
- smart-tunnel auto-start
- smart-tunnel disable
- smart-tunnel enable
- smart-tunnel list
- smart-tunnel network
- smart-tunnel tunnel-policy
- smtp from-address
- smtp subject
- smtps(廃止)
- smtp-server
- snmp cpu threshold rising
- snmp link threshold
- snmp-map
- snmp-server community
- snmp-server contact
- snmp-server enable
- snmp-server enable oid
- snmp-server enable traps
- snmp-server group
- snmp-server host
- snmp-server host-group
- snmp-server listen-port
- snmp-server location
- snmp-server user
- snmp-server user-list
- sntp address
shun コマンド~ sntp address コマンド
shun
攻撃元ホストからの接続をブロックするには、特権 EXEC モードで shun コマンドを使用します。shun をディセーブルにするには、このコマンドの no 形式を使用します。
shun source_ip [ dest_ip source_port dest_port [ protocol ]] [ vlan vlan_id ]
no shun source_ip [ vlan vlan_id ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
shun コマンドを使用すると、攻撃元ホストからの接続をブロックできます。送信元 IP アドレスからの今後のすべての接続は、手動または Cisco IPS センサーによってブロッキング機能が削除されるまで、ドロップされ、ログに記録されます。shun コマンドのブロッキング機能は、指定したホスト アドレスとの接続が現在アクティブかどうかに関係なく適用されます。
宛先アドレス、送信元ポート、宛先ポート、およびプロトコルを指定すると、一致する接続がドロップされ、かつ、その送信元 IP アドレスからの今後のすべての接続に shun が適用されます。この場合、これらの特定の接続パラメータと一致する接続だけでなく、今後のすべての接続が回避されます。
shun コマンドは、送信元 IP アドレスごとに 1 つのみ使用できます。
shun コマンドは攻撃をダイナミックにブロックするために使用されるため、ASA コンフィギュレーションには表示されません。
インターフェイス コンフィギュレーションが削除されると、そのインターフェイスに付加されているすべての shun も削除されます。新しいインターフェイスを追加するか、または同じインターフェイスを(同じ名前を使用して)置き換える場合、IPS センサーでそのインターフェイスをモニタするには、そのインターフェイスを IPS センサーに追加する必要があります。
例
次に、攻撃ホスト(10.1.1.27)が攻撃対象(10.2.2.89)に TCP で接続する例を示します。この接続は、ASA 接続テーブル内で次のように記載されています。
このコマンドにより、現在の接続は ASA 接続テーブルから削除され、10.1.1.27 からの今後のすべてのパケットは ASA を通過できなくなります。
関連コマンド
|
|
|
|---|---|
shutdown(ca サーバ)
ローカル認証局(CA)サーバをディセーブルにし、ユーザが登録インターフェイスにアクセスできないようにするには、CA サーバ コンフィギュレーション モードで shutdown コマンドを使用します。CA サーバをイネーブルにし、コンフィギュレーションをロックして変更できないようにし、登録インターフェイスにアクセスできるようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CA サーバ モードのこのコマンドは、インターフェイス モードの shutdown コマンドと類似しています。セットアップ時に、ローカル CA サーバはデフォルトでシャットダウンされるため、 no shutdown コマンドを使用してイネーブルにする必要があります。 no shutdown コマンドを初めて使用するときは、CA サーバをイネーブルにし、CA サーバ証明書とキー ペアを生成します。
(注
) no shutdown コマンドを発行することによって、CA コンフィギュレーションをロックして CA 証明書を生成した後は、CA コンフィギュレーションを変更できません。
no shutdown コマンドで CA サーバをイネーブルにして現在のコンフィギュレーションをロックするには、生成される CA 証明書とキー ペアが含まれる PKCS12 ファイルを符号化してアーカイブするために、7 文字のパスワードが必要です。このファイルは、以前に指定した database path コマンドで識別されるストレージに格納されます。
例
次に、ローカル CA サーバをディセーブルにし、登録インターフェイスにアクセスできないようにする例を示します。
ciscoasa(config-ca-server)# shutdown
ciscoasa(config-ca-server)#
次に、ローカル CA サーバをイネーブルにし、登録インターフェイスにアクセスできるようにする例を示します。
ciscoasa(config-ca-server)# no shutdown
ciscoasa(config-ca-server)#
ciscoasa(config-ca-server)# no shutdown
ciscoasa(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
shutdown(インターフェイス)
インターフェイスをディセーブルにするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。インターフェイスをイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
すべての物理インターフェイスは、デフォルトではシャットダウンされます。セキュリティ コンテキスト内の割り当て済みのインターフェイスは、コンフィギュレーション内でシャットダウンされません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
使用上のガイドライン
インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。
マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。
シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。
- 物理インターフェイス:ディセーブル。
- 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。
- サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。
(注) このコマンドでは、ソフトウェア インターフェイスのみがディセーブルになります。物理リンクはアップのまま維持され、対応するインターフェイスが shutdown コマンドを使用して設定された場合でも、直接接続されたデバイスはアップであると認識されます。
例
次に、メイン インターフェイスをイネーブルにする例を示します。
次に、サブインターフェイスをシャットダウンする例を示します。
関連コマンド
|
|
|
|---|---|
sip address
DHCPv6 サーバを設定するときに、Session Initiation Protocol(SIP)サーバ IP アドレスをステートレス アドレス自動設定(SLAAC)クライアントに提供するには、ipv6 dhcp プール コンフィギュレーション モードで sip address コマンドを使用します。SIP サーバを削除するには、このコマンドの no 形式を使用します。
no sip address sip_ipv6_address
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求(IR)パケットを ASA に送信したときに、SIP サーバを含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
sip domain-name
DHCPv6 サーバを設定するときに、Session Initiation Protocol(SIP)ドメイン名をステートレス アドレス自動設定(SLAAC)クライアントに提供するには、ipv6 dhcp プール コンフィギュレーション モードで sip domain-name コマンドを使用します。SIP ドメイン名を削除するには、このコマンドの no 形式を使用します。
sip domain-name sip_domain_name
no sip domain-name sip_domain_name
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求(IR)パケットを ASA に送信したときに、SIP ドメイン名を含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
関連コマンド
site-id
サイト間クラスタリングの場合は、クラスタ グループ コンフィギュレーション モードで site-id コマンドを使用します。サイト ID を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
LISP フロー モビリティとともに使用するために、トランスペアレント モードでこのコマンドを入力できるようになりました。 |
|
使用上のガイドライン
各クラスタ シャーシを、個別のサイト ID に属するように設定できます。
サイト ID は、サイト固有の MAC アドレスで動作します。ASA クラスタから送信されたパケットはサイト固有の MAC アドレスを使用しますが、クラスタによって受信されるパケットはグローバル MAC アドレスを使用します。この機能により、スイッチが 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスを学習してしまうのを防いでいます。MAC フラッピングが発生しないよう、サイト MAC アドレスのみを学習します。サイト固有の MAC アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされています。
また、サイト ID は LISP インスペクションを使用するフロー モビリティを有効にするためにも使用されます。
マスター ユニットに MAC アドレスを設定するには、 mac-address site-id コマンドを使用し、その後、 site-id コマンドを使用して、各ユニット(マスターとスレーブ)をクラスタ ブートストラップ設定の一部としてサイトに割り当てます。
例
次に、port-channel 2 のサイト固有の MAC アドレスを設定して、マスター ユニットをサイト 1 に割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
site-periodic-garp interval
クラスタリングのための gratuitous ARP (GARP) 間隔をカスタマイズするには、クラスタ グループ コンフィギュレーション モードで site-periodic-garp interval コマンドを使用します。GARP をディセーブルにするには、このコマンドの no 形式を使用します。
site-periodic-garp interval seconds
no site-periodic-garp interval
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保ちます。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。
クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。
各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。
例
関連コマンド
|
|
|
|---|---|
site-redundancy
サイトの障害からクラスタのフローを保護するには、クラスタ グループ コンフィギュレーション モードで site-redundancy コマンドを使用します。サイトの冗長性を無効にするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
サイトの障害からフローを保護するために、サイトの冗長性を有効にできます。接続バックアップ オーナーがオーナーと同じサイトにある場合は、サイトの障害からフローを保護するために、追加のバックアップ オーナーが別のサイトから選択されます。
例
関連コマンド
|
|
|
|---|---|
ディレクタ ローカリゼーションを有効にします。これによりパフォーマンスが向上し、データ センターのサイト間クラスタリングでラウンドトリップ時間の遅延が減少します。 |
sla monitor
SLA 動作を作成するには、グローバル コンフィギュレーション モードで sla monitor コマンドを使用します。SLA 動作を削除するには、このコマンドの no 形式を使用します。
構文の説明
設定する SLA の ID を指定します。SLA が存在しない場合は、作成されます。有効な値は 1 ~ 2147483647 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
sla monitor コマンドによって、SLA 動作が作成され、SLA モニタ コンフィギュレーション モードが開始されます。このコマンドを入力すると、コマンド プロンプトは ciscoasa(config-sla-monitor)# に変わり、SLA モニタ コンフィギュレーション モードになったことが示されます。SLA 動作がすでに存在し、それに対してタイプがすでに定義されている場合、プロンプトは ciscoasa(config-sla-monitor-echo)# と表示されます。最大 2000 個の SLA 動作を作成できます。任意の時点でデバッグできるのは 32 個の SLA 動作のみです。
no sla monitor コマンドによって、指定した SLA 動作およびその動作を設定するために使用されたコマンドが削除されます。
SLA 動作を設定した後、 sla monitor schedule コマンドで動作をスケジューリングする必要があります。スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。
動作の現在のコンフィギュレーション設定を表示するには、 show sla monitor configuration コマンドを使用します。SLA 動作の動作統計情報を表示するには、 show sla monitor operation-state コマンドを使用します。コンフィギュレーション内の SLA コマンドを表示するには、 show running-config sla monitor コマンドを使用します。
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。
関連コマンド
|
|
|
|---|---|
sla monitor schedule
SLA 動作をスケジューリングするには、グローバル コンフィギュレーション モードで sla monitor schedule コマンドを使用します。SLA 動作のスケジュールを削除し、動作を保留状態にするには、このコマンドの no 形式を使用します。
sla monitor schedule sla-id [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ ageout seconds ] [ recurring ]
no sla monitor schedule sla-id
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLA 動作がアクティブ状態の場合、ただちに情報の収集が開始されます。次のタイム ラインは、動作のエージング アウト プロセスを示しています。
- W は、SLA 動作が sla monitor コマンドで設定された時刻です。
- X は、SLA 動作の開始時刻です。これは、動作が「アクティブ」になったときです。
- Y は、 sla monitor schedule コマンドで設定された有効期間の終了です( life の秒数は 0 までカウント減少されました)。
- Z は、動作のエージング アウトです。
エージ アウト プロセスは、使用されている場合は、W でカウント ダウンを開始し、X と Y の間は中断され、設定されたサイズにリセットされると、再び Y でカウント ダウンを開始します。SLA 動作がエージ アウトすると、SLA 動作の設定は実行コンフィギュレーションから削除されます。動作は、実行される前にエージング アウトする可能性があります(つまり、Z が X の前に発生する可能性があります)。このような状況が発生しないようにするには、動作のコンフィギュレーション時刻と開始時刻(X と W)の差を、エージング アウトの秒数よりも小さくする必要があります。
recurring キーワードは、単一の SLA 動作のスケジューリングに対してのみサポートされています。1 つの sla monitor schedule コマンドを使用して複数の SLA 動作をスケジューリングすることはできません。定期的な SLA 動作の life 値は、1 日未満にする必要があります。定期的な動作の ageout 値を「なし」(値 0 で指定)にするか、 life 値と ageout 値の合計を 1 日よりも大きくする必要があります。recurring オプションを指定しないと、動作は既存の通常のスケジューリング モードで開始されます。
スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。
例
次に、4 月 5 日午後 3 時にデータの収集をアクティブに開始するようにスケジューリングされた SLA 動作 25 の例を示します。この動作は、非アクティブになって 12 時間後にエージング アウトします。この SLA 動作がエージング アウトすると、SLA 動作のすべてのコンフィギュレーション情報は実行コンフィギュレーションから削除されます。
次に、5 分間の遅延の後にデータの収集を開始するようにスケジューリングされた SLA 動作 1 の例を示します。デフォルトの有効期間である 1 時間が適用されます。
次に、ただちにデータの収集を開始するようにスケジューリングされた SLA 動作 3 の例を示します。この例は、無期限に実行されるようにスケジューリングされています。
次に、毎日午前 1 時 30 分にデータの収集を自動的に開始するようにスケジューリングされた SLA 動作 15 の例を示します。
関連コマンド
|
|
|
|---|---|
smart-tunnel auto-signon enable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル自動サインオンをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel auto-signon enable コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel auto-signon enable コマンドを削除し、デフォルトのグループ ポリシーから継承するには、このコマンドの no 形式を使用します。
no smart-tunnel auto-signon enable list [ domain domain ] [port port ] [realm realm string ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
smart-tunnel auto-signon list コマンドを使用して、最初にサーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名に割り当てることができるリストは 1 つだけです。
レルムの文字列は Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。対応するレルムがわからない場合、管理者はログインを一度実行し、プロンプト ダイアログから文字列を取得する必要があります。
管理者は、対応するホストに任意でポート番号を指定できるようになりました。Firefox では、ポート番号が指定されていない場合、自動サインオンはデフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。
例
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証中に CISCO という名前のドメインをユーザ名に追加します。
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル自動サインオン リスト コマンドを継承します。
関連コマンド
|
|
|
|---|---|
プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。 |
smart-tunnel auto-signon list
スマート トンネル接続でクレデンシャルの送信を自動化する対象のサーバのリストを作成するには、webvpn コンフィギュレーション モードで smart-tunnel auto-signon list コマンドを使用します。リストに追加する各サーバに対してこのコマンドを使用します。
リストからエントリを削除するには、このコマンドの no 形式を使用します。リストと、ASA コンフィギュレーションに表示されている IP アドレスまたはホスト名を指定します。
no smart-tunnel auto-signon list [ use-domain ] { ip ip-address [ netmask ] | host hostname-mask }
スマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。
サーバのリスト全体を ASA コンフィギュレーションから削除するには、このコマンドの no 形式を使用して、リストのみを指定します。
no smart-tunnel auto-signon list
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
スマート トンネル自動サインオン リストの入力に続き、グループ ポリシー webvpn モードまたはユーザ名 webvpn モードで smart-tunnel auto-signon enable list コマンドを使用してリストを割り当てます。
例
次のコマンドでは、サブネット内のすべてのホストを追加し、認証で必要な場合に Windows ドメインをユーザ名に追加します。
前述のコマンドでは、削除されるエントリがリストの唯一のエントリである場合、HR という名前のリストも削除されます。唯一のエントリではない場合は、次のコマンドによってリスト全体が ASA コンフィギュレーションから削除されます。
次のコマンドでは、ドメイン内のすべてのホストを intranet という名前のスマート トンネル自動サインオン リストに追加します。
関連コマンド
smart-tunnel auto-start
クライアントレス(ブラウザベース)SSL VPN セッションでユーザがログインしたときにスマート トンネル アクセスを自動的に開始するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel auto-start コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。
構文の説明
list は、ASA webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 SSL VPN コンフィギュレーション内にすでに存在するスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドでは、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。
例
次のコマンドでは、apps1 という名前のアプリケーションのリストについて、スマート トンネル アクセスを開始します。
次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル コマンドを継承します。
関連コマンド
smart-tunnel disable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル アクセスを禁止するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel disable コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除して、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトではスマート トンネルはイネーブルではないため、 smart-tunnel disable コマンドは(デフォルトの)グループ ポリシーまたはユーザ名コンフィギュレーションに、対象のポリシーまたはユーザ名に適用しない smart-tunnel auto-start または smart-tunnel enable コマンドが含まれている場合にのみ必要です。
例
次のコマンドでは、スマート トンネル アクセスを禁止します。
関連コマンド
smart-tunnel enable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル アクセスをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel enable コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。
構文の説明
list は、ASA webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
smart-tunnel enable コマンドによって、スマート トンネル アクセスに適格なアプリケーションのリストがグループ ポリシーまたはユーザ名に割り当てられます。ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。または、 smart-tunnel auto-start コマンドを使用して、ユーザがログインしたときに自動的にスマート トンネル アクセスを開始できます。
いずれのコマンドでも、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。
例
次のコマンドでは、apps1 という名前のスマート トンネル リストをイネーブルにします。
次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル リストを継承します。
関連コマンド
|
|
|
|---|---|
クライアントレス SSL VPN コンフィギュレーションを、すべてのスマート トンネル リスト エントリを含めて表示します。 |
|
プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。 |
smart-tunnel list
プライベート サイトに接続する場合にクライアントレス(ブラウザベース)SSL VPN セッションを使用できるアプリケーションのリストに入力するには、webvpn コンフィギュレーション モードで smart-tunnel list コマンドを使用します。アプリケーションをリストから削除するには、このコマンドの no 形式を使用して、エントリを指定します。アプリケーションのリスト全体を ASA コンフィギュレーションから削除するには、このコマンドの no 形式を使用して、リストだけを指定します。
[ no ] smart-tunnel list list application path [ platform OS ] [ hash ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
複数のスマート トンネル リストを ASA で設定できますが、複数のスマート トンネル リストを特定のグループ ポリシーまたはユーザ名に割り当てることはできません。スマート トンネル リストに入力するには、アプリケーションごとに smart-tunnel list コマンドを 1 回入力します。同じ list ストリングを入力しますが、OS で一意の application および path を指定します。リストでサポートする各 OS について、コマンドを 1 回入力します。
OS がエントリで指定されたものと一致しない場合、セッションでリスト エントリは無視されます。アプリケーションのパスが存在しない場合も、エントリは無視されます。
SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。
path はコンピュータ上のものと一致する必要がありますが、完全である必要はありません。たとえば、実行ファイルとその拡張子だけで path を構成できます。
- スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、または Windows 2000、あるいは Mac OS 10.4 または 10.5 が実行されている必要があります。
- スマート トンネルまたはポート フォワーディングを使用する Microsoft Windows Vista のユーザは、ASA の URL を [Trusted Site] ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動して、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。
- ブラウザで Java、Microsoft ActiveX、またはその両方をイネーブルにする必要があります。
- Mac OS のスマート トンネル サポートには、Safari 3.1.1 以降が必要です。
Microsoft Windows では、Winsock 2、TCP ベースのアプリケーションのみがスマート トンネル アクセスに適格です。
Mac OS では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できます。次のタイプのアプリケーションは、スマート トンネルで使用できません。
- dlopen または dlsym を使用して libsocket コールを特定するアプリケーション
- libsocket コールを特定するためにスタティックにリンクされたアプリケーション
- 2 レベルのネーム スペースを使用する Mac OS アプリケーション。
- Mac OS のコンソールベースのアプリケーション(Telnet、SSH、cURL など)。
- Mac OS の PowerPC タイプのアプリケーション。Mac OS アプリケーションのタイプを判別するには、そのアイコンを右クリックして [Get Info] を選択します。
Mac OS では、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できます。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。
- リモート コンピュータが ASA にアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。この設定では、スマート トンネルは基本認証だけをサポートします。
- スマート トンネル自動サインオン機能では、Microsoft Windows OS 上の Microsoft WININET ライブラリを使用して HTTP または HTTPS 通信を行うアプリケーションのみがサポートされます。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
- グループ ポリシーまたはローカル ユーザ ポリシーでは、スマート トンネル アクセスに適格なアプリケーションのリスト 1 つと、スマート トンネル自動サインオン サーバのリスト 1 つだけがサポートされます。
- ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。
(注) スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、path 値が最新でないことを示している場合があります。たとえば、アプリケーションおよび次のアップグレードを作成する会社が買収されると、アプリケーションのデフォルトのパスは通常は変更されます。
ハッシュを入力すると、 path で指定したストリングと一致する不適格なファイルがクライアントレス SSL VPN によって認定されないことが、ある程度保証されます。チェックサムはアプリケーションの各バージョンまたはパッチによって異なるため、入力する hash が一致するのは、リモート ホスト上の 1 つのバージョンまたはパッチのみです。アプリケーションの複数のバージョンに対して hash を指定するには、各バージョンに対して smart-tunnel list コマンドを 1 回入力します。このとき、各コマンドでは、同じ list ストリングを入力しますが、一意の application ストリングと一意の hash 値を指定します。
(注) hash 値を入力し、スマート トンネル アクセスでアプリケーションの今後のバージョンまたはパッチをサポートする場合は、今後もスマート トンネル リストを維持する必要があります。スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、hash 値を含むアプリケーション リストが最新でないことを示している場合があります。この問題は hash を入力しないことによって回避できます。
スマート トンネル リストのコンフィギュレーションに続き、 smart-tunnel auto-start または smart-tunnel enable コマンドを使用して、グループ ポリシーまたはユーザ名にリストを割り当てます。
例
次のコマンドでは、apps1 という名前のスマート トンネル リストに Microsoft Windows アプリケーションの接続を追加します。
次のコマンドでは、Windows アプリケーション msimn.exe を追加し、リモート ホスト上のアプリケーションのハッシュが、スマート トンネル アクセスを許可するために入力された最後のストリングと一致することを要求します。
次のコマンドでは、Mac OS ブラウザ Safari にスマート トンネル サポートを提供します。
関連コマンド
|
|
|
|---|---|
ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。 |
smart-tunnel network
スマート トンネル ポリシーの設定に使用するホストのリストを作成するには、webvpn コンフィギュレーション モードで smart-tunnel network コマンドを使用します。スマート トンネル ポリシー用ホストのリストを不許可にするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネルがオンになっている場合、ネットワーク(ホストのセット)を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。
例
次に、 smart-tunnel network コマンドの使用例を示します。
関連コマンド
|
|
|
|---|---|
smart-tunnel tunnel-policy
スマート トンネル トンネル ポリシーを特定のグループ ポリシーまたはユーザ ポリシーに適用するには、コンフィギュレーション webvpn モードで smart-tunnel tunnel-policy コマンドを使用します。特定のグループからスマート トンネル トンネル ポリシーの適用をはずすには、このコマンドの [no] 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネルがオンになっている場合、ネットワーク(ホストのセット)を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。
例
次に、 smart-tunnel tunnel-policy コマンドの使用方法の例を示します。
関連コマンド
|
|
|
|---|---|
smtp from-address
ローカル CA サーバが生成するすべての電子メール(ワンタイム パスワードの配布など)の送信者フィールドで使用する電子メール アドレスを指定するには、CA サーバ コンフィギュレーション モードで smtp from-address コマンドを使用します。電子メール アドレスをデフォルトにリセットするには、このコマンドの no 形式を使用します。
smtp from-address e-mail_address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドに ca-admin@asa1-ca.example.com が含まれるように指定する例を示します。
ciscoasa(config-ca-server)# smtp from-address ca-admin@asa1-ca.example.com
ciscoasa(config-ca-server)#
次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドをデフォルトのアドレス admin@asa1-ca.example.com にリセットする例を示します。
ciscoasa(config-ca-server)# smtp from-address admin@asa1-ca.example.com
ciscoasa(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
smtp subject
ローカル認証局(CA)サーバが生成するすべての電子メール(ワンタイム パスワードの配布など)の件名フィールドに表示するテキストをカスタマイズするには、CA サーバ コンフィギュレーション モードで smtp subject コマンドを使用します。テキストをデフォルトにリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、CA サーバからの、すべての電子メールの件名フィールドにテキスト Action: Enroll for a certificate を表示するように指定する例を示します。
ciscoasa(config-ca-server)# smtp subject Action: Enroll for a certificate
ciscoasa(config-ca-server)#
次に、CA サーバからの、すべての電子メールの件名フィールドのテキストをデフォルトのテキスト「Certificate Enrollment Invitation」にリセットする例を示します。
ciscoasa(config-ca-server)# no smtp subject
ciscoasa(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
smtps(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
SMTPS コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで smtps コマンドを使用します。SMTPS コマンド モードで入力されたコマンドを削除するには、このコマンドの no 形式を使用します。SMTPS は、SSL 接続での電子メールの送信を可能にする TCP/IP プロトコルです。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SMTPS コンフィギュレーション モードを開始する例を示します。
ciscoasa(config)# smtps
関連コマンド
|
|
|
|---|---|
smtp-server
SMTP サーバを設定するには、グローバル コンフィギュレーション モードで smtp-server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
smtp-server [primary-interface] primary-smpt-server-ip-address) [[backup-interface] backup-smpt-server-ip-address]
構文の説明
プライマリ SMTP サーバを指定します。IP アドレスまたはホスト名( name コマンドを使用して設定)を使用します。 |
|
(オプション)プライマリ SMTP サーバが利用できない場合にイベント メッセージをリレーするバックアップ SMTP サーバを指定します。IP アドレスまたはホスト名( name コマンドを使用して設定)を使用します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ロギングのための適切な smtp サーバに接続するために、プライマリおよびバックアップのインターフェイス名を任意で指定できます。 |
使用上のガイドライン
ASA には、内部 SMTP クライアントが含まれており、特定のイベントが発生したことを外部エンティティに通知するためにイベント システムで使用できます。これらのイベント通知を受信し、指定された電子メール アドレスに転送するように SMTP サーバを設定できます。ASA に対して電子メール イベントをイネーブルにしている場合にのみ、SMTP ファシリティはアクティブです。また、このコマンドにより、ロギングに使用するルーティング テーブル(管理ルーティング テーブルまたはデータ ルーティング テーブル)をインターフェイス アソシエーションで識別できるようにします。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。
例
次に、SMTP サーバを IP アドレス 10.1.1.24 を使用して設定し、バックアップ SMTP サーバを IP アドレス 10.1.1.34 を使用して設定する例を示します。
ciscoasa(config)# smtp-server 10.1.1.24 10.1.1.34
ciscoasa(config)# smtp-server 10.1.1.24
ciscoasa(config)# smtp-server management 10.1.1.24 outside 10.1.1.34
ciscoasa(config)# smtp-server management 10.1.1.24
snmp cpu threshold rising
高 CPU しきい値およびしきい値モニタリング期間のしきい値を設定するには、グローバル コンフィギュレーション モードで snmp cpu threshold rising コマンドを使用します。しきい値およびしきい値モニタリング期間を設定しない場合は、このコマンドの no 形式を使用します。
snmp cpu threshold rising threshold_value monitoring_period
no snmp cpu threshold rising threshold_value monitoring_period
構文の説明
デフォルト
snmp cpu threshold rising コマンドが設定されていない場合、上限しきい値レベルのデフォルトは 70% の CPU 使用率を超えて設定されます。クリティカルしきい値レベルのデフォルトは 95% の CPU 使用率を超えて設定されます。デフォルトのモニタリング期間は 1 分に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CPU のクリティカルしきい値レベルは設定できません。この値は 95% に固定されています。有効なしきい値の範囲は 10 ~ 94% の CPU 使用率です。モニタリング期間の有効値は 1~60 分です。
例
次に、SNMP CPU しきい値レベルを 75% の CPU 使用率および 30 分のモニタリング期間に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp link threshold
SNMP 物理インターフェイスのしきい値およびシステム メモリ使用率のしきい値を設定するには、グローバル コンフィギュレーション モードで snmp link threshold コマンドを使用します。SNMP 物理インターフェイスのしきい値およびシステム メモリ使用率のしきい値をクリアするには、このコマンドの no 形式を使用します。
snmp link threshold threshold_value
no snmp link threshold threshold_value
構文の説明
デフォルト
snmp link threshold コマンドを設定しない場合、デフォルトのしきい値は CPU 使用率およびシステム メモリ使用率の 70% です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
有効なしきい値の範囲は物理インターフェイスの 30 ~ 99% です。 snmp link threshold コマンドは、管理コンテキストでのみ使用できます。
例
次に、SNMP インターフェイスのしきい値をすべての物理インターフェイスの 75% に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-map
SNMP インスペクションのパラメータを定義するための特定のマップを指定するには、グローバル コンフィギュレーション モードで snmp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
snmp-map コマンドを使用して、SNMP インスペクションのパラメータを定義するために使用する特定のマップを指定します。このコマンドを入力すると、SNMP マップ コンフィギュレーション モードが開始され、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。SNMP マップの定義後、inspect snmp コマンドを使用してマップをイネーブルにします。次に、 class-map 、 policy-map 、 service-policy の各コマンドを使用して、トラフィックのクラス定義、inspect コマンドのクラスへの適用、1 つ以上のインターフェイスへのポリシー適用を定義します。
例
次に、SNMP トラフィックを指定し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server community
SNMP コミュニティ ストリングを設定するには、グローバル コンフィギュレーション モードで snmp-server community コマンドを使用します。SNMP コミュニティ ストリングを削除するには、このコマンドの no 形式を使用します。
snmp-server community [ 0 | 8 ] community- string
no snmp-server community [ 0 | 8 ] community- string
構文の説明
SNMP コミュニティ ストリングを設定します。暗号化されたパスワード、または非暗号化(クリア テキスト)フォーマットのパスワードです。このコミュニティ ストリングは最大 32 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理されるネットワーク ノード間の共有秘密です。管理ステーションとデバイス間のバージョン 1 およびバージョン 2c の通信に対してのみ使用されます。ASA では、キーを使用して着信 SNMP 要求が有効かどうかを判別します。
たとえば、あるサイトにコミュニティ ストリングを指定し、さらに同じストリングを使用してルータ、ASA、管理ステーションを設定できます。ASA はこのストリングを使用し、無効なコミュニティ ストリングを持つ要求には応答しません。
暗号化されたコミュニティ ストリングを使用した後は、暗号化された形式だけがすべてのシステム(CLI、ASDM、CSM など)に表示されます。クリア テキストのパスワードは表示されません。
暗号化されたコミュニティ ストリングは常に ASA によって生成されます。通常は、クリア テキストの形式で入力します。
(注) ASA ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。
例
次に、コミュニティ ストリングを「onceuponatime」に設定する例を示します。
次の例では、暗号化されたコミュニティ ストリングを設定しています。
次の例では、非暗号化コミュニティ ストリングを設定しています。
関連コマンド
|
|
|
|---|---|
snmp-server contact
SNMP サーバのコンタクト名を設定するには、グローバル コンフィギュレーション モードで snmp-server contact コマンドを使用します。SNMP のコンタクト名を削除するには、このコマンドの no 形式を使用します。
no snmp-server contact [ text ]
構文の説明
コンタクト担当者または ASA システム管理者の名前を指定します。名前は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SNMP サーバのコンタクトを EmployeeA に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server enable
ASA で SNMP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable コマンドを使用します。SNMP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP トラップまたはその他のコンフィギュレーションを設定および再設定しなくても、SNMP を簡単にイネーブルおよびディセーブルにすることができます。
例
次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。
関連コマンド
|
|
|
|---|---|
snmp-server enable oid
ASA が SNMP ウォーク操作を通じて空きメモリと使用メモリの統計を照会できるようにするには、グローバル コンフィギュレーション モードで snmp server enable oid コマンドを使用します。メモリ統計情報のクエリをディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server enable oid mempool
no snmp-server enable oid mempool
構文の説明
デフォルト
デフォルトでは、 snmp-server enable oid は、これらの MIB オブジェクトの snmp ウォーク動作を可能にするためイネーブルになっています。
このコマンドの no 形式を使用して、これらの MIB オブジェクトをディセーブルにすることができます。 clear configure snmp-server コマンドを使用すると、メモリのクエリのための SNMP MIB オブジェクトがデフォルトのイネーブル状態に戻ります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP ウォークの操作を実行すると、ASA は MEMPOOL_DMA プールと MEMPOOL_GLOBAL_SHARED プールからメモリ情報を照会します。ASA がメモリ情報を照会すると、CPU は他のプロセスに開放される前に SNMP プロセスによって長時間にわたり保持されることがあります。これにより、SNMP 関連の CPU ホグ状態になり、パケットがドロップされることがあります。
この問題を軽減するには、 no snmp-server enable oid コマンドを使用して、グローバル共有プールに関連する OID をポーリングしないようにしてください。ディセーブルにすると、 mempool OID は 0 バイトを返します。ただし、このコマンドに関係なく、そのプールに対する GET 要求を使用して明示的にクエリすることができます。
関連コマンド
|
|
|
|---|---|
snmp-server enable traps
ASA の NMS へのトラップ送信をイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable traps コマンドを使用します。トラップをディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | config | entity [ trap ] [...] | ipsec [ trap ] [...] | ikev2 [ trap ] [...] | remote-access [ trap ] | connection-limit-reached | cpu threshold rising | link-threshold | memory-threshold | nat [ trap ]
no snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | config | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ] | connection-limit-reached | cpu threshold rising | link-threshold | memory-threshold | nat [ trap ]
構文の説明
SNMP トラップを有効にします。デフォルトでは、すべての SNMP トラップはイネーブルになっています。 snmp トラップは次のとおりです。 |
|
デフォルト
デフォルトのコンフィギュレーションでは、次の snmp トラップがイネーブルです( snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart )。このコマンドを入力し、トラップ タイプを指定しない場合、デフォルトは syslog です(デフォルトの snmp トラップは syslog トラップとともに引き続きイネーブルのままです)。デフォルトでは他のトラップはすべてディセーブルです。
これらのトラップをディセーブルにするには、 snmp キーワードを指定してこのコマンドの no 形式を使用します。 clear configure snmp-server コマンドを使用すると、SNMP トラップのデフォルトのイネーブル状態に戻ります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
個別のトラップまたはトラップのセットをイネーブルにするには、機能タイプごとにこのコマンドを入力します。すべてのトラップをイネーブルにするには、 all キーワードを入力します。
NMS にトラップを送信するには、 logging history コマンドを入力し、 logging enable コマンドを使用してロギングをイネーブルにします。
管理コンテキストのみで生成されるトラップは、次のとおりです。
システム コンテキストの物理的に接続されたインターフェイスに対してのみ管理コンテキストを介して生成されるトラップは、次のとおりです。
その他すべてのトラップは、管理およびユーザ コンテキストで使用できます。
accelerator-temperature しきい値トラップは、ASA 5506-X および ASA 5508-X にのみ適用されます。
chassis-fan-failure トラップは、ASA 5506-X には適用されません。
config トラップを指定すると、ciscoConfigManEvent 通知と ccmCLIRunningConfigChanged 通知がイネーブルになります。これらの通知は、コンフィギュレーション モードを終了した後に生成されます。
次のトラップは ASA 5506-X および ASA 5508-X には適用されません。 fan-failure 、 fru-insert 、 fru-remove 、 power-supply 、 power-supply-failure 、 power-supply-presence 、および power-supply-temperature 。
- マルチ コンテキスト モードでは、 fan-failure トラップ、 power-supply-failure トラップ、および cpu-temperature トラップは、ユーザ コンテキストではなく、管理コンテキストのみから生成されます。これらのトラップは、ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X にのみ適用され、ASA 5505 には適用されません。
- snmp-server enable traps remote-access session-threshold-exceeded コマンドは、マルチ コンテキスト モードではサポートされません。
CPU 使用率が、設定されたモニタリング期間の設定されたしきい値を超える場合、 cpu threshold rising トラップが生成されます。
使用されたシステム メモリが 80% に達すると、 memory-threshold トラップが生成されます。
例
次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。
関連コマンド
|
|
|
|---|---|
snmp-server group
新しい SNMP グループを設定するには、グローバル コンフィギュレーション モードで snmp-server group コマンドを使用します。指定した SNMP グループを削除するには、このコマンドの no 形式を使用します。
snmp-server group group-name { v3 { auth | noauth | priv }}
no snmp-server group group-name { v3 { auth | noauth | priv }}
構文の説明
グループが SNMP バージョン 3 セキュリティ モデルを使用することを指定します。このセキュリティ モデルは、サポートされているものの中で最もセキュアです。このバージョンでは、認証特性を明示的に設定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。バージョン 3 およびセキュリティ レベルも指定する必要があります。コミュニティ ストリングが内部的に設定されている場合、「public」という名前の 2 つのグループが自動的に作成されます。1 つはバージョン 1 セキュリティ モデル用、もう 1 つはバージョン 2c セキュリティ モデル用です。コミュニティ ストリングを削除すると、設定された両方のグループが自動的に削除されます。
(注) 特定のグループに属すように設定されるユーザは、グループと同じセキュリティ モデルを持つ必要があります。
ASA の起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。
(注) ASA ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。
例
次の例に、ASA が SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する方法について示します。これには、グループ、ユーザ、ホストの作成が含まれます。
関連コマンド
|
|
|
|---|---|
snmp-server host
ASA で SNMP を使用可能な NMS を指定するには、グローバル コンフィギュレーション モードで snmp-server host コマンドを使用します。NMS をディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username } ] [ udp-port port ]
no snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username } ] [ udp-port port ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
直接接続された SNMP 管理ステーションがある場合、ASA および SNMP サーバの /31 サブネットを使用してポイントツーポイント接続を作成できます。 |
|
使用上のガイドライン
現在使用中のポートで snmp-server host コマンドを設定すると、次のメッセージが表示されます。
警告 UDP ポート port は、別の機能によって使用されています。異なるポートを使用するように snmp-server listen-port コマンドが設定されるまで、デバイスへの SNMP 要求は失敗します。
既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。
バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定し、SNMP ホストを設定する必要があります。ユーザ名はデバイス上で設定済みである必要があります。デバイスがフェールオーバー ペアのスタンバイ ユニットとして設定される場合、SNMP エンジン ID とユーザ コンフィギュレーションはアクティブ ユニットから複製されます。このアクションによって、SNMP バージョン 3 クエリーの観点から、トランスペアレントなスイッチオーバーが可能になります。スイッチオーバー イベントに対応するために NMS でのコンフィギュレーション変更は必要ありません。
暗号化されたコミュニティ ストリングを使用した後は、暗号化された形式だけがすべてのシステム(CLI、ASDM、CSM など)に表示されます。クリア テキストのパスワードは表示されません。
暗号化されたコミュニティ ストリングは常に ASA によって生成されます。通常は、クリア テキストの形式で入力します。
ASA の起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。
(注) ASA ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。
例
次に、ホストを内部インターフェイスに接続されている 192.0.2.5 に設定する例を示します。
次に、ASA が SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する例を示します。これには、グループ、ユーザ、ホストの作成が含まれます。
次に、暗号化されたコミュニティ ストリングを使用するようにホストを設定する例を示します。
次に、暗号化されていないコミュニティ ストリングを使用するようにホストを設定する例を示します。
次に、SNMP 通知バージョン 2c を使用して、ホストを IPv6 アドレス 12:ab:56:ce::11 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server host-group
ユーザ リストの 1 人のユーザまたはユーザ グループをネットワーク オブジェクトに関連付けるには、グローバル コンフィギュレーション モードで snmp-server host-group コマンドを使用します。アソシエーションを削除するには、このコマンドの no 形式を使用します。
snmp-server host-group interface-network-object-name [ trap | poll ] [ community community-string ] [ version { 1 | 2c | 3 { username | user-list list_name }] [ udp-port port ]
no snmp-server host-group interface-network-object-name [ trap | poll ] [ community community-string ] [ version { 1 | 2c | 3 { username | user-list list_name }] [ udp-port port ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 4000 個までホストを追加できるようになりました。サポートされるアクティブなポーリング先の数は 128 個です。ホスト名または IP アドレスの範囲を使用してホストを定義できます。ホスト グループとして追加する個々のホストを示すためにネットワーク オブジェクトを指定できます。1 つのホストに複数のユーザを関連付けることができます。
[ trap | poll ] を指定していない場合のデフォルトは poll です。このコマンドでは、同じホスト グループに対して trap と polling の両方を有効にできないことに注意してください。これが必要な場合、該当するホストに対して snmp-server host コマンドを使用することを推奨します。
トラップの送信に SNMP 通知バージョン 1 または 2c を使用する場合、1 人のユーザとネットワーク オブジェクトを関連付けることができます。トラップの送信に SNMP 通知バージョン 3 を使用する場合、1 人のユーザまたはユーザ グループをネットワーク オブジェクトに関連付けることができます。ユーザ グループを作成するには、 snmp-server user-list コマンドを使用します。ユーザは、グループ設定に属する場合があります。
例
次に、SNMP 通知バージョン 1 を使用して 1 人のユーザとネットワーク オブジェクトを関連付ける例を示します。
次に、SNMP 通知バージョン 2c を使用して 1 人のユーザとネットワーク オブジェクトを関連付ける例を示します。
次に、SNMP 通知バージョン 3 を使用して 1 人のユーザとネットワーク オブジェクトを関連付ける例を示します。
次に、SNMP 通知バージョン 3 を使用してユーザ リストとネットワーク オブジェクトを関連付ける例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server listen-port
SNMP 要求のリスニング ポートを設定するには、グローバル コンフィギュレーション モードで snmp-server listen-port コマンドを使用します。デフォルトのポートに戻すには、このコマンドの no 形式を使用します。
no snmp-server listen-port lport
構文の説明
着信要求が受け入れられるポート 1 。 |
|
1.snmp-server listen-port コマンドは管理コンテキストでのみ使用でき、システム コンテキストでは使用できません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
現在使用中のポートで snmp-server listen-port コマンドを設定すると、次のメッセージが表示されます。
警告 UDP ポート port は、別の機能によって使用されています。異なるポートを使用するように snmp-server listen-port コマンドが設定されるまで、デバイスへの SNMP 要求は失敗します。
既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。
例
次に、リスニング ポートを 192 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server location
SNMP の ASA の場所を設定するには、グローバル コンフィギュレーション モードで snmp-server location コマンドを使用します。場所を削除するには、このコマンドの no 形式を使用します。
no snmp-server location [ text ]
構文の説明
セキュリティ アプライアンスの場所を指定します。 location text は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SNMP の ASA の場所を Building 42、Sector 54 として設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server user
新しい SNMP ユーザを設定するには、グローバル コンフィギュレーション モードで snmp-server user コマンドを使用します。指定した SNMP ユーザを削除するには、このコマンドの no 形式を使用します。
snmp-server user username group-name { v3 [ engineID engineID ] [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]
no snmp-server user username group-name { v3 [ engineID engineID ] [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP ユーザは、SNMP グループの一部である必要があります。バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。
(注) パスワードを忘れた場合は、回復できないため、ユーザを再設定する必要があります。
snmp-server user のコンフィギュレーションがコンソールに表示されるか、ファイル(スタートアップ コンフィギュレーション ファイルなど)に書き込まれる場合、ローカライズされた認証およびプライバシー ダイジェストが常にプレーン テキストのパスワードの代わりに表示されます。この使用法は、RFC 3414、11.2 項によって要求されています。
(注) 3DES または AES アルゴリズムを使用してユーザを設定するには、3DES または AES 機能のライセンスが必要です。
ASA の起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。
クラスタリング環境では、クラスタ化されたそれぞれの ASA について手動で SNMPv3 ユーザを更新する必要があります。これを行うには、マスター ユニットに対する snmp-server user username group-name v3 コマンドを入力し、ローカライズされていない形式で priv-password オプションおよび auth-password オプションを指定します。
クラスタリングの複製または設定時に、SNMPv3 ユーザ コマンドが複製されないことを通知するエラー メッセージが表示されます。この場合、SNMPv3 ユーザおよびグループのコマンドをスレーブの ASA に対して個別に設定します。また、複製の実行時に既存の SNMPv3 ユーザおよびグループのコマンドがクリアされない場合にもメッセージが表示されます。この場合は、クラスタのすべてのスレーブに対して SNMPv3 ユーザおよびグループのコマンドを入力します。次に例を示します。
マスター ユニットに対するコマンドで入力したキーがすでにローカライズされている場合:
ciscoasa(config)# snmp-server user defe abc v3 encrypted auth sha c0:e7:08:50:47:eb:2e:e4:3f:a3:bc:45:f6:dd:c3:46:25:a0:22:9a priv aes 256 cf:ad:85:5b:e9:14:26:ae:8f:92:51:12:91:16:a3:ed:de:91:6b:f7:f6:86:cf:18:c0:f0:47:d6:94:e5:da:01
ERROR: This command cannot be replicated because it contains localized keys.
クラスタ複製時のスレーブ ユニットの場合( snmp-server user コマンドが設定にある場合にのみ表示されます):
Beginning configuration replication from Master.
例
次に、ASA で SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server user-list
指定されたユーザ グループを使用して SNMP ユーザ リストを設定するには、グローバル コンフィギュレーション モードで snmp-server user-list コマンドを使用します。指定した SNMP ユーザ リストを削除するには、このコマンドの no 形式を使用します。
snmp-server user-list list_name username user_name
no snmp-server user-list list_name username user_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
snmp-server user username コマンドを使用して、ユーザ リストのユーザを設定します。ユーザ リストには複数のユーザを含める必要があり、ホスト名または IP アドレスの範囲に関連付けることができます。
例
次に、engineering という名前のユーザ リストのユーザ グループを作成する例を示します。
関連コマンド
|
|
|
|---|---|
sntp address
DHCPv6 サーバを設定するときに、Simple Network Time Protocol(SNTP)サーバ IP アドレスをステートレス アドレス自動設定(SLAAC)クライアントに提供するには、ipv6 dhcp プール コンフィギュレーション モードで sntp address コマンドを使用します。SNTP サーバを削除するには、このコマンドの no 形式を使用します。
sntp address sntp_ipv6_address
no sntp address sntp_ipv6_address
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求(IR)パケットを ASA に送信したときに、SNTP サーバを含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。
例
次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。
フィードバック