- same-security-traffic through share-ratio コマンド
- show aaa kerberos コマンド~ show asdm sessions コマンド
- show as-path-access-list コマンド~ show auto-update コマンド
- how backup-package コマンド~ show cpu コマンド
- show crashinfo コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show event manager コマンド
- show facility-alarm コマンド~ show ipsec stats コマンド
- show ipv6 access-list コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show mroute コマンド
- show nac-policy コマンド~ show ospf virtual-links コマンド
- show pager コマンド~ show route コマンド
- show running-config コマンドから show sw-reset-button コマンドまで
- show tcpstat コマンド~ show traffic コマンド
- show uauth コマンド~ show zone コマンド
- shun コマンド~ sntp address コマンド
- software authenticity development コマンド~ strip-realm コマンド
- subject-name コマンド~ sysopt traffic detailed-statistics コマンド
- software authenticity development
- software authenticity key add special
- software authenticity key revoke special
- software-version
- source-interface
- speed
- spf-interval
- split-dns
- split-horizon
- split-tunnel-all-dns
- split-tunnel-network-list
- split-tunnel-policy
- spoof-server
- sq-period
- srv-id
- ss7 variant
- ssh
- ssh authentication
- ssh cipher encryption
- ssh cipher integrity
- ssh disconnect
- ssh key-exchange
- ssh pubkey-chain
- ssh scopy enable
- ssh stricthostkeycheck
- ssh timeout
- ssh version
- ssl certificate-authentication
- ssl cipher
- ssl client-version
- ssl dh-group
- ssl ecdh-group
- ssl encryption(廃止)
- ssl server-version
- ssl trust-point
- sso-server(廃止)
- sso-server value(group-policy webvpn)(廃止)
- sso-server value(username webvpn)(廃止)
- start-port
- start-url
- state-checking
- storage-url
- storage-key
- storage-objects
- strict-asp-state
- strict-diameter
- strict-header-validation
- strict-http
- strip-group
- strip-realm
software authenticity development コマンド~ strip-realm コマンド
software authenticity development
開発キー署名付きイメージのロードをイネーブルまたはディセーブルにするには、パラメータ コンフィギュレーション モードで software authenticity development コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このオプションは、一度イネーブルにすると、開発キー署名付きイメージのロードをディセーブルにするまで維持されます。
software authenticity development {enable | disable}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、開発キー署名付きシグニチャのロードをイネーブルにする例を示します。
次に、開発キー署名付きイメージのロードをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
software authenticity key add special
SPI フラッシュに新しい開発キーを追加するには、パラメータ コンフィギュレーション モードで software authenticity key add special コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。
software authenticity key add special
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SPI フラッシュに新しい開発キーを追加する例を示します。
関連コマンド
|
|
|
|---|---|
software authenticity key revoke special
SPI フラッシュから古い開発キーを削除するには、パラメータ コンフィギュレーション モードで software authenticity key revoke special コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。
software authenticity key revoke special
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SPI フラッシュから開発キーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
software-version
サーバまたはエンドポイントのソフトウェア バージョンを表示するサーバおよびユーザ エージェント ヘッダー フィールドを識別するには、パラメータ コンフィギュレーション モードで software-version コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
software-version action {mask | log} [log}
no software-version action {mask | log} [log}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップでソフトウェア バージョンを識別する例を示します。
関連コマンド
|
|
|
|---|---|
source-interface
VXLAN VTEP インターフェイスの送信元インターフェイス名を指定するには、nve コンフィギュレーション モードで source-interface コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。
source-interface interface_name
no source-interface interface_name
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VTEP 送信元インターフェイスは、ASA の通常のインターフェイス(物理、冗長、EtherChannel、または VLAN)であり、すべての VNI インターフェイスに関連付けます。ASA/セキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを設定できます。
VTEP 送信元インターフェイスは、VXLAN トラフィック専用にすることができますが、その使用に制限されません。必要に応じて、インターフェイスを通常のトラフィックに使用し、そのトラフィックのインターフェイスにセキュリティ ポリシーを適用できます。ただし、VXLAN トラフィックの場合は、すべてのセキュリティ ポリシーを VNI インターフェイスに適用する必要があります。VTEP インターフェイスは、物理ポートとしてのみ機能します。
トランスペアレント ファイアウォール モードでは、VTEP 送信元インターフェイスは、BVI の一部ではないため、その IP アドレスを設定しません。このインターフェイスは、管理インターフェイスが処理される方法に似ています。
(注
) 送信元インターフェイスの MTU が 1554 バイト未満の場合、ASA は自動的に MTU を 1554 バイトに増やします。
例
次に、GigabitEthernet 1/1 インターフェイスを VTEP 送信元インターフェイスとして設定する例を示します。
関連コマンド
speed
銅線(RJ-45)イーサネット インターフェイスの速度を設定するには、インターフェイス コンフィギュレーション モードで speed コマンドを使用します。速度設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
speed { auto | 10 | 100 | 1000 | nonegotiate }
no speed [ auto | 10 | 100 | 1000 | nonegotiate ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
|
Firepower 1000 および 2100 の 1GB ファイバインターフェイスで、 speed nonegotiate コマンドを使用して速度の自動ネゴシエーションを無効にできるようになりました。 |
使用上のガイドライン
ネットワークで自動検出がサポートされていない場合は、速度を特定の値に設定します。
ASA 5500 シリーズの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。
PoE ポートで速度を auto 以外に設定する場合(可能な場合)、IEEE 802.3af をサポートしない Cisco IP Phone およびシスコ ワイヤレス アクセス ポイントは検出されず、電力は供給されません。
(注) ファイバインターフェイス搭載の ASA 5500-X または ASA 5585-X に対して speed コマンドを設定しないでください。設定すると、リンク障害が発生します。
例
次に、速度を 1000BASE-T に設定する例を示します。
関連コマンド
|
|
|
|---|---|
spf-interval
最短パス優先(SPF)計算の IS-IS スロットリングをカスタマイズするには、ルータ isis コンフィギュレーション モードで spf-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
spf-interval [ level-1 | level-2 ] spf-max-wait [ spf-initial-wait spf-second-wait ]
no spf-interval [ level-1 | level-2 ] spf-max-wait [ spf-initial-wait spf-second-wait ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SPF 計算が実行されるのは、トポロジが変更されたときだけです。外部ルートが変更された場合は実行されません。
spf-interval コマンドは、ソフトウェアが SPF 計算を実行する頻度を制御します。SPF 計算は、プロセッサに高い負荷を与えます。そのため、特にエリアが広くトポロジが頻繁に変わる場合には、計算を実行する頻度を制限することが有効です。SPF 間隔を大きくすると、ルータのプロセッサ負荷が軽減されますが、コンバージェンスの速度が低下する可能性があります。
次の説明を参照して、このコマンドのデフォルト値を変更するかどうか決定する際の参考にしてください。
- spf-initial-wait 引数は、トポロジが変更されてから最初の SPF 計算までの初期の待機時間(ミリ秒単位)を示します。
- spf-second-wait 引数は、最初と 2 番目の SPF 計算の間の間隔(ミリ秒単位)を示します。
- 後続の各待機間隔は、指定された spf-max-wait 間隔に達するまで、前の待機間隔の 2 倍の長さになります。SPF 計算は、最初と 2 番目の間隔の後にスロットルされるか、スローダウンします。 spf-max-wait 間隔に達すると、待機間隔はネットワークが安定するまでこの間隔に維持されます。
- ネットワークが安定して、 spf-max-wait 間隔の 2 倍の時間内にトリガーがない場合は、高速動作(初期の待機時間)に戻ります。
SPF スロットリングはダンプニング メカニズムではありません。つまり、SPF スロットリングは SPF 計算を阻止せず、ルート、インターフェイス、またはルータをダウンとしてマークしません。SPF スロットリングは、SPF 計算の間の間隔を単に長くするに過ぎません。
例
次に、SPF 計算、部分的なルート計算(PRC)、およびリンクステート パケット(LSP)生成の間隔を設定する例を示します。
関連コマンド
split-dns
スプリット トンネルを介して解決されるドメインのリストを入力するには、グループ ポリシー コンフィギュレーション モードで split-dns コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ドメインのリストをすべて削除するには、 no split-dns コマンドを引数なしで使用します。これにより、 split-dns none コマンドを発行して作成されたヌル リストを含め、設定されているスプリット トンネリング ドメインのリストはすべて削除されます。
スプリット トンネリング ドメインのリストがない場合、ユーザはデフォルトのグループ ポリシー内に存在するリストを継承します。このようなスプリット トンネリング ドメインのリストをユーザが継承しないようにするには、 split-dns none コマンドを使用します。
split-dns { value domain-name1 domain-name2 domain-nameN | none }
no split-dns [ domain-name domain-name2 domain-nameN ]
構文の説明
スプリット DNS リストがないことを指定します。スプリット DNS リストをヌル値で設定して、スプリット DNS リストを拒否します。デフォルトのグループ ポリシーまたは指定したグループ ポリシーのスプリット DNS リストを継承しません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ドメインのリスト内の各エントリを区切るには、単一のスペースを使用します。エントリ数に制限はありませんが、ストリング全体の長さは 255 文字以下にします。英数字、ハイフン(-)、およびピリオド(.)のみを使用できます。
no split-dns コマンドを引数なしで使用すると、 split-dns none コマンドを発行して作成したヌル値を含め、現在の値はすべて削除されます。
バージョン 3.0.4235 から、AnyConnect セキュア モビリティ クライアントは Windows プラットフォーム向けのトゥルー スプリット DNS 機能をサポートしています。
例
次に、FirstGroup という名前のグループ ポリシーに対してスプリット トンネリングを介して解決されるドメイン Domain1、Domain2、Domain3、および Domain4 を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ドメイン フィールドが除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。 |
|
IPsec クライアントが、条件に応じてパケットを暗号化形式で IPsec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。 |
split-horizon
EIGRP スプリット ホライズンを再度イネーブルにするには、インターフェイス コンフィギュレーション モードで split-horizon コマンドを使用します。EIGRP スプリット ホライズンをディセーブルにするには、このコマンドの no 形式を使用します。
no split-horizon eigrp as-number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
X.25 パケットスイッチド ネットワーク上のリンクを含むネットワークでは、 neighbor コマンドを使用してスプリット ホライズン機能を無効にすることができます。代わりに、コンフィギュレーションで no split-horizon eigrp コマンドを明示的に指定することもできます。ただし、その場合、そのネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対して、同様にスプリット ホライズンをディセーブルにする必要があります。
通常、スプリット ホライズンのデフォルトの状態は、ルートを適切にアドバタイズするために変更することがアプリケーションにおいて必要となる場合を除き、変更しないことを推奨します。シリアル インターフェイスでスプリット ホライズンがディセーブルであり、そのインターフェイスがパケットスイッチド ネットワークに接続されている場合、そのネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対して、スプリット ホライズンをディセーブルにする必要があります。
例
次に、インターフェイス Ethernet0/0 で EIGRP スプリット ホライズンをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
split-tunnel-all-dns
AnyConnect セキュア モビリティ クライアントが VPN トンネルを経由するすべての DNS アドレスを解決できるようにするには、グループ ポリシー コンフィギュレーション モードで split-tunnel-all-dns コマンドを使用します。
実行コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーの値を継承できます。
split-tunnel-all-dns {disable | enable}
no split-tunnel-all-dns [{disable | enable}]
構文の説明
AnyConnect クライアントは、スプリット トンネル ポリシーに従ってトンネル経由で DNS クエリーを送信します。ポリシーは、すべてのネットワークをトンネリング、ネットワーク リストで指定されたネットワークをトンネリング、ネットワーク リストで指定されたネットワークを除外、のいずれかです。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
split-tunnel-all-dns enable コマンドは、SSL プロトコルまたは IPsec/IKEv2 プロトコルを使用する VPN 接続に適用され、AnyConnect クライアントに対して VPN トンネルを経由するすべての DNS アドレスを解決するように指示します。DNS 解決に失敗すると、アドレスは未解決のまま残ります。AnyConnect Client は、パブリック DNS サーバ経由でアドレスを解決しようとはしません。
デフォルトでは、この機能はディセーブルになっています。クライアントは、スプリット トンネル ポリシーに従ってトンネル経由で DNS クエリーを送信します。ポリシーは、すべてのネットワークをトンネリング、ネットワーク リストで指定されたネットワークをトンネリング、またはネットワーク リストで指定されたネットワークを除外です。
例
次に、AnyConnect クライアントが VPN トンネルを経由するすべての DNS クエリーを解決できるように ASA を設定する例を示します。
関連コマンド
split-tunnel-network-list
スプリット トンネリングのネットワーク リストを作成するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用します。ネットワーク リストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ネットワーク リストをすべて削除するには、 no split-tunnel-network-list コマンドを引数なしで使用します。これにより、 split-tunnel-network-list none コマンドを発行して作成されたヌル リストを含め、設定されているネットワーク リストはすべて削除されます。
スプリット トンネリング ネットワーク リストがない場合、ユーザはデフォルトのグループ ポリシーまたは指定したグループ ポリシー内に存在するネットワーク リストを継承します。このようなネットワーク リストをユーザが継承しないようにするには、 split-tunnel-network-list none コマンドを使用します。
スプリット トンネリング ネットワーク リストによって、トラフィックがトンネルを通過する必要があるネットワークと、トンネリングを必要としないネットワークが区別されます。
split-tunnel-network-list {value access-list name | none}
no split-tunnel-network-list value [ access-list name ]
構文の説明
スプリット トンネリングのネットワーク リストがないことを指定します。ASA によって、すべてのトラフィックがトンネリングされます。 スプリット トンネリング ネットワーク リストをヌル値で設定して、スプリット トンネリングを拒否します。デフォルトのグループ ポリシーまたは指定したグループ ポリシーのデフォルトのスプリット トンネリング ネットワーク リストを継承しません。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、ネットワーク リストに基づいてスプリット トンネリングの判断が行われます。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成される標準 ACL です。
no split-tunnel-network-list コマンドを引数なしで使用すると、 split-tunnel-network-list none コマンドを発行して作成したヌル値を含め、現在のネットワーク リストはすべて削除されます。
(注) ASA は、200 のスプリット ネットワークをサポートします。
例
次に、FirstGroup という名前のグループ ポリシーに対して FirstList という名前のネットワーク リストを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ドメイン フィールドが除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。 |
|
IPSec クライアントが、条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。 |
split-tunnel-policy
スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを使用します。実行コンフィギュレーションから split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。
split-tunnel-policy { tunnelall | tunnelspecified | excludespecified }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スプリット トンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。
これにより、別のグループ ポリシーのスプリット トンネリングの値を継承できます。
スプリット トンネリングを使用すると、リモート アクセス VPN クライアントが、条件に応じて、パケットを暗号化形式で IPsec トンネルまたは SSL トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようになります。スプリット トンネリングをイネーブルにすると、宛先が IPSec または SSL VPN トンネル エンドポイントの反対側ではないパケットでは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングは必要なくなります。
例
次に、FirstGroup という名前のグループ ポリシーに対して、指定したネットワークのみをトンネリングするスプリット トンネリング ポリシーを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# split-tunnel-policy tunnelspecified
関連コマンド
|
|
|
|---|---|
ドメイン フィールドが除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。 |
|
spoof-server
HTTP プロトコル インスペクションのために、サーバ ヘッダー フィールドをストリングに置き換えるには、パラメータ コンフィギュレーション モードで spoof-server コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、HTTP インスペクション ポリシー マップでサーバ ヘッダー フィールドをあるストリングに置き換える例を示します。
関連コマンド
|
|
|
|---|---|
sq-period
NAC フレームワーク セッションで正常に完了したポスチャ検証と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで sq-period コマンドを使用します。このコマンドを NAC ポリシーから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。 |
|
使用上のガイドライン
ASA では、正常に実行された各ポスチャ検証とステータス クエリー応答の後に、ステータス クエリー タイマーを起動します。このタイマーが切れると、ホスト ポスチャの変化を調べるクエリー( ステータス クエリー と呼ばれる)がトリガーされます。
例
次に、ステータス クエリー タイマーの値を 1800 秒に変更する例を示します。
次に、NAC フレームワーク ポリシーからステータス クエリー タイマーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。 |
|
srv-id
参照 ID オブジェクトに URI ID を設定するには、ca-reference-identity モードで uri-id コマンドを使用します。URI ID を削除するには、このコマンドの no 形式を使用します。最初に、 crypto ca reference-identity コマンドを入力して参照 ID オブジェクトを設定することで、 ca-reference-identity モードにアクセスできます。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
参照 ID が作成されると、4 つの ID タイプと関連付けられた値を参照 ID に追加、または参照 ID から削除することができます。
参照 ID には、DNS ドメイン名を特定する情報が含まれている必要があります。また、アプリケーション サービスを特定する情報も含めることができます。
例
次に、syslog サーバの参照 ID を作成する例を示します。
関連コマンド
|
|
|
|---|---|
ss7 variant
M3UA インスペクション用にネットワーク内で使用されている SS7 バリエーションを特定するには、パラメータ コンフィギュレーション モードで ss7 variant コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect m3ua コマンドを入力します。デフォルトの SS7 バリエーションに戻すには、このコマンドの no 形式を使用します。
ss7 variant { ITU | ANSI | Japan | China }
no ss7 variant { ITU | ANSI | Japan | China }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、ネットワーク内で使用されている SS7 バリエーションを特定できます。オプションを設定して、M3UA ポリシーを導入した後は、最初にポリシーを削除しないかぎり、ポリシーを変更することはできません。
例
次に、SS7 バリエーションを ITU に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ssh
ASA に SSH アクセスを追加するには、グローバル コンフィギュレーション モードで ssh コマンドを使用します。ASA への SSH アクセスをディセーブルにするには、このコマンドの no 形式を使用します。
ssh { ip_address mask | ipv6_address / prefix } interface
no ssh { ip_address mask | ipv6_address / prefix } interface
構文の説明
SSH をイネーブルにする ASA インターフェイス。名前付きインターフェイスを指定します。ブリッジ グループの場合、ブリッジ グループ メンバ インターフェイスを指定します。VPN 管理アクセスのみ( management-access コマンドを参照)の場合、名前付き BVI インターフェイスを指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
ssh ip_address コマンドでは、ASA への SSH 接続を開始することを認可されるホストまたはネットワークを指定します。複数の ssh コマンドをコンフィギュレーションに含めることができます。
ASA への SSH の使用を開始する前に、 crypto key generate rsa コマンドを使用してデフォルトの RSA キーを生成する必要があります。
また、ASA インターフェイスに SSH アクセスの目的でアクセスするために、ホスト IP アドレスを許可するアクセス ルールは必要ありません。このセクションの手順に従って、SSH アクセスを設定する必要があるだけです。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの SSH アクセスはサポートされません。たとえば、SSH ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです( management-access コマンドを参照)。
ASA は、コンテキスト/単一のモードあたり最大 5 つの同時 SSH 接続と、すべてのコンテキストにまたがり分散された最大 100 の接続を許容します。
ASA は SSH バージョン 2 で提供されている SSH リモート シェル機能をサポートし、DES 暗号方式および 3DES 暗号方式をサポートします。
次の SSH バージョン 2 機能は、ASA でサポートされていません。
ユーザ名およびパスワードとともに SSH を使用するには、 aaa authentication ssh console LOCAL コマンドを使用して AAA 認証を設定し、 username コマンドを入力してローカル ユーザを定義する必要があります。ローカル データベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。
ローカル ユーザ名 および公開キー認証とともに SSH を使用するには、 ssh authentication コマンドを設定します。ローカル データベースのみがサポートされます。
バージョン 9.6(2) および 9.7(1) では、 ssh authentication には aaa authentication ssh console LOCAL コマンドが必要です。バージョン 9.6(2) 以降では、パスワードを定義せずに ユーザ名 を作成できるため、公開キー認証のみが必要となります。
(注) パスワードとともにユーザ名を作成する必要を回避するために、username コマンドの nopassword オプションを使用しないでください。nopassword オプションでは任意のパスワードを入力できます。「パスワードなし」ではありません。aaa コマンドを設定する場合、nopassword オプションによってセキュリティ問題が生じます。
9.6(1) 以前および 9.6(3)/9.8(1) 以降では、 aaa authentication ssh console LOCAL コマンドを設定する必要はありません。このコマンドは、パスワードを持つユーザのみに適用されます。また、LOCAL だけでなく、任意のサーバ タイプを指定できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用することができます。 aaa authentication ssh console LOCAL コマンドを設定すると、 username パスワードと秘密キーのうちのどちらをログインに使用するかを選択できます。
例
次の例は、RSA キーを生成し、アドレスが 192.168.1.2 の内部インターフェイス上のホストで ASA にアクセスする方法を示しています。
関連コマンド
|
|
|
|---|---|
ssh authentication
SSH 公開キー認証をユーザ単位で有効にするには、ユーザ名属性モードで ssh authentication コマンドを使用します。公開キー認証をユーザ単位でディセーブルにするには、このコマンドの no 形式を使用します。
ssh authentication { pkf | publickey [ nointeractive ] key [ hashed ]}
no ssh authentication { pkf | publickey [ nointeractive ] key [ hashed ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
ローカル ユーザ名 の場合、パスワード認証の代わりに公開キー認証を有効にすることができます。SSH-RSA raw キー(証明書なし)を生成可能な任意の SSH キー生成ソフトウェア(ssh keygen など)を使用して、公開キー/秘密キーのペアを生成できます。 ssh authentication コマンドを使用して、ASA で公開キーを入力します。その後、SSH クライアントは秘密キー(およびキー ペアを作成するために使用したパスフレーズ)を使用して ASA に接続します。
設定を保存すると、ハッシュされたキー値はコンフィギュレーションに保存され、ASA のリブート時に使用されます。
バージョン 9.6(2) および 9.7(1) では、 ssh authentication には aaa authentication ssh console LOCAL コマンドが必要です。バージョン 9.6(2) 以降では、パスワードを定義せずに ユーザ名 を作成できるため、公開キー認証のみが必要となります。
(注) パスワードとともにユーザ名を作成する必要を回避するために、username コマンドの nopassword オプションを使用しないでください。nopassword オプションでは任意のパスワードを入力できます。「パスワードなし」ではありません。aaa コマンドを設定する場合、nopassword オプションによってセキュリティ問題が生じます。
9.6(1) 以前および 9.6(3)/9.8(1) 以降では、 aaa authentication ssh console LOCAL コマンドを設定する必要はありません。このコマンドは、パスワードを持つユーザのみに適用されます。また、LOCAL だけでなく、任意のサーバ タイプを指定できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用することができます。 aaa authentication ssh console LOCAL コマンドを設定すると、 username パスワードと秘密キーのうちのどちらをログインに使用するかを選択できます。
例
Enter an SSH public key formatted file.
End with the word "quit" on a line by itself:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by xxx@xxx from OpenSSH"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: Import of an SSH public key formatted file SUCCEEDED.
関連コマンド
|
|
|
|---|---|
ssh cipher encryption
SSH アクセスの設定時に、暗号化および整合性のアルゴリズムを選択できます。SSH 暗号の暗号化アルゴリズムを綿密に制御するには、グローバル コンフィギュレーション モードで ssh cipher encryption コマンドを使用します。アルゴリズムの特定のセットに対応する定義済みのレベルを利用できます。また、複数のアルゴリズムをコロンで区切って指定することで、カスタム リストを定義できます。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
ssh cipher encryption { all | fips | high | low | medium | custom encryption_1 [ : encryption_2 [ :... encryption_n ]]}
no ssh cipher encryption [ all | fips | high | low | medium | custom encryption_1 [ : encryption_2 [ :... encryption_n ]]]
構文の説明
暗号化アルゴリズムのカスタム セットを指定します。 show ssh ciphers コマンドを入力すると、使用可能なすべての暗号化アルゴリズムを表示できます。次に例を示します。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 ssh cipher integrity コマンドと一緒に使用されます。暗号化アルゴリズムについては、次の値を指定できます。
- all:3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
- fips:aes128-cbc、aes256-cbc
- high:aes256-cbc、aes256-ctr
- low:3des-cbc、aes128-cbc、aes192-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr
- medium:3des-cbc、aes128-cbc、aes192-cbc、aes256-cbc、aes128-ctr、aes192-ctr、aes256-ctr
(注) FIPS モードが有効な場合は、FIPS 暗号化および整合性アルゴリズムのみが許可されます。
オプションで、アルゴリズムの一部を選択解除できます。FIPS モードが有効な場合、現在設定されているアルゴリズムと FIPS 準拠のアルゴリズムの共通部分が計算されます。NULL 以外の場合に、結果の構成が使用されます。NULL の場合は、デフォルトの FIPS 準拠のアルゴリズムが使用されます。
セキュア コピーのパフォーマンスは、使用する暗号化アルゴリズムにある程度依存します。medium の暗号セットを選択した場合、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。提示された暗号方式を変更するには、たとえば、 ssh cipher encryption custom aes128-cbc などの ssh cipher encryption コマンドを使用します。
例
次に、いくつかのカスタム SSH 暗号化アルゴリズムの構成の例を示します。
関連コマンド
|
|
|
|---|---|
ssh cipher integrity
SSH アクセスの設定時に、暗号化および整合性方式のモードを選択できます。SSH 暗号の整合性アルゴリズムを綿密に制御するには、グローバル コンフィギュレーション モードで ssh cipher integrity コマンドを使用します。アルゴリズムの特定のセットに対応する定義済みのレベルを利用できます。また、コロンで区切って複数のアルゴリズムを指定して、カスタム リストを定義できます。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
ssh cipher integrity { all | fips | high | low | medium | custom algorithm_1 [ : algorithm_2 [ :... algorithm_n ]]}
no ssh cipher integrity [ all | fips | high | low | medium | custom algorithm_1 [ : algorithm_2 [ :... algorithm_n ]]]
構文の説明
整合性アルゴリズムのカスタム セットを指定します。 show ssh ciphers コマンドを入力すると、使用可能なすべての整合性アルゴリズムを表示できます。次に例を示します。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
HMAC-SHA256 整合性暗号のサポートが追加されました。デフォルトは、高セキュリティの暗号セット(hmac-sha1 および hmac-sha2-256)になりました。以前のデフォルトは中程度のセットでした。 |
|
使用上のガイドライン
このコマンドは、 ssh cipher encryption コマンドと一緒に使用されます。整合性アルゴリズムについては、次の値を指定できます。
- all:hmac-sha1、hmac-sha1-96(廃止)、hmac-md5(廃止)、hmac-md5-96(廃止)、hmac-sha2-256(廃止)
- fips:hmac-sha1, hmac-sha2-256
- high:hmac-sha1, hmac-sha2-256
- low:hmac-sha1、hmac-sha1-96(廃止)、hmac-md5(廃止)、hmac-md5-96(廃止)、hmac-sha2-256(廃止)
- medium:hmac-sha1、hmac-sha1-96(廃止)、hmac-md5、hmac-md5-96、hmac-sha2-256
(注) FIPS モードが有効な場合は、FIPS 暗号化および整合性アルゴリズムのみが許可されます。
オプションで、アルゴリズムの一部を選択解除できます。FIPS モードが有効な場合、現在設定されているアルゴリズムと FIPS 準拠のアルゴリズムの共通部分が計算されます。NULL 以外の場合に、結果の構成が使用されます。NULL の場合は、デフォルトの FIPS 準拠のアルゴリズムが使用されます。
例
次に、いくつかのカスタム SSH 整合性アルゴリズムの構成の例を示します。
関連コマンド
|
|
|
|---|---|
ssh disconnect
アクティブな SSH セッションを切断するには、特権 EXEC モードで ssh disconnect コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セッション ID を指定する必要があります。切断する SSH セッションの ID を取得するには、 show ssh sessions コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
ssh key-exchange
SSH キー交換方式を設定するには、グローバル コンフィギュレーション モードで ssh key-exchange コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
ssh key-exchange group { dh-group1-sha1 | dh-group14-sha1 | dh-group14-sha256 }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
dh-group1-sha1- Diffie-Hellman group 2 コマンド オプションは廃止され、以降のリリースで削除されました。 |
使用上のガイドライン
Diffie-Hellman(DH)キー交換は、いずれかの当事者単独では決定できない共有秘密を提供します。キー交換を署名およびホスト キーと組み合わせることで、ホスト認証が実現します。このキー交換方式により、明示的なサーバ認証が可能となります。DH キー交換の使用方法の詳細については、RFC 4253 を参照してください。
管理コンテキストでは SSH キー交換を設定する必要があります。この設定は、他のすべてのコンテキストによって継承されます。
例
次に、DH グループ 14 SHA1 のキー交換方式を使用してキーを交換する例を示します。
関連コマンド
|
|
|
|---|---|
ssh pubkey-chain
オンボードのセキュア コピー(SCP)クライアントの SSH サーバおよびそのキーを ASA データベースに対して手動で追加または削除するには、グローバル コンフィギュレーション モードで ssh pubkey-chain コマンドを使用します。すべてのホスト キーを削除するには、このコマンドの no 形式を使用します。単一のサーバ キーだけを削除するには、 server コマンドを参照してください。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバとそのキーを追加または削除できます。
サーバごとに( server コマンドを参照)、SSH ホストの key-string (公開キー)または key-hash (ハッシュ値)を指定できます。
例
次に、10.86.94.170 にあるサーバのすでにハッシュされているホスト キーを追加する例を示します。
次に、10.7.8.9 にあるサーバのホスト ストリング キーを追加する例を示します。
ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit
関連コマンド
|
|
|
|---|---|
ssh scopy enable
ASA で Secure Copy(SCP; セキュア コピー)をイネーブルにするには、グローバル コンフィギュレーション モードで ssh scopy enable コマンドを使用します。SCP をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ssh cipher encryption コマンドおよび ssh cipher integrity コマンドを使用して、SSH アクセスの暗号化と整合性の方式を設定できます。 |
使用上のガイドライン
SCP はサーバのみの実装です。SCP のための接続を受け入れて終了できますが、開始することはできません。ASA には、次の制約事項があります。
- SCP のこの実装にはディレクトリ サポートはないため、ASA の内部ファイルへのリモート クライアント アクセスは制限されます。
- SCP の使用時はバナー サポートはありません。
- SCP ではワイルドカードはサポートされません。
- SSH バージョン 2 接続をサポートするには、ASA のライセンスに VPN-3DES-AES 機能が必要です。
ファイル転送を開始する前に、ASA では使用可能なフラッシュ メモリをチェックします。使用可能なスペースが十分ではない場合、ASA は SCP 接続を終了します。フラッシュ メモリ内のファイルを上書きする場合でも、ASA にコピーされるファイル用に十分な空きスペースが必要です。SCP プロセスでは、ファイルはまず一時ファイルにコピーされ、置き換えられるファイルに一時ファイルがコピーされます。コピーされるファイルと上書きされるファイルを保持する十分なスペースがフラッシュ内にない場合、ASA は SCP 接続を終了します。
セキュア コピーのパフォーマンスは、使用する暗号化アルゴリズムにある程度依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。提示された暗号方式を変更するには、たとえば、 ssh cipher encryption custom aes128-cbc などの ssh cipher encryption コマンドを使用します。
例
次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
ssh stricthostkeycheck
オンボードのセキュア コピー(SCP)クライアントに対する SSH ホスト キー チェックをイネーブルにするには、グローバル コンフィギュレーション モードで ssh stricthostkeycheck コマンドを使用します。ホスト キー チェックをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。このオプションがイネーブルになっている場合、ASA にまだ格納されていないホストキーを許可または拒否するように求められます。このオプションがディセーブルになっている場合、ASA は過去に保存されたことがないホストキーを自動的に許可します。
例
次に、SSH ホスト キー チェックをイネーブルにする例を示します。
ciscoasa# ssh stricthostkeycheck
ciscoasa# copy x scp://cisco@10.86.95.9/x
The authenticity of host '10.86.95.9 (10.86.95.9)' can't be established.
RSA key fingerprint is dc:2e:b3:e4:e1:b7:21:eb:24:e9:37:81:cf:bb:c3:2a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.86.95.9' (RSA) to the list of known hosts.
Address or name of remote host [10.86.95.9]?
関連コマンド
|
|
|
|---|---|
ssh timeout
デフォルトの SSH セッション アイドル タイムアウト値を変更するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ssh timeout コマンドでは、セッションが切断される前にアイドルである時間を分単位で指定します。デフォルトの時間は、5 分です。
例
次に、IP アドレス 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続のみを受け入れるように、内部インターフェイスを設定する例を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
ssh version
ASA が受け入れる SSH のバージョンを制限するには、グローバル コンフィギュレーション モードで ssh version コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。バージョン 2 のみがサポートされます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
ssl certificate-authentication
8.2(1) よりも前のバージョンに対する下位互換性のためにクライアント証明書の認証をイネーブルにするには、グローバル コンフィギュレーション モードで ssl certificate-authentication コマンドを使用します。ssl 証明書の認証をディセーブルにするには、このコマンドの no 形式を使用します。
ssl certificate-authentication interface interface-name port port-number
no ssl certificate-authentication interface interface-name port port-numbe r
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、SSL 証明書認証機能を使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl certificate-authentication interface inside port 330
関連コマンド
|
|
|
|---|---|
ssl cipher
SSL、DTLS、TLS の各プロトコル用の暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで ssl cipher コマンドを使用します。デフォルト(暗号化アルゴリズムの完全なセット)に戻すには、このコマンドの no 形式を使用します。
ssl cipher version [ level | custom “ string ”]
no ssl cipher version [ level | custom “ string ”]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
lina で tlv1 でサポートされている暗号から NULL-SHA を削除しました。ssl cipher tlsv1 all および ssl cipher tlsv1 custom NULL-SHA コマンドが廃止され削除されました。 |
使用上のガイドライン
このコマンドは、ASA Version 9.3(2) から ssl encryption コマンドに置き換わりました。
推奨設定は medium です。 high を使用すると、接続が制限される場合があります。 custom を使用すると、少数の暗号のみが設定されている場合は、機能が制限されることがあります。デフォルトのカスタム値を制限すると、クラスタリングを含めて発信接続が制限されることがあります。
OpenSSL を使用した暗号の詳細については、 https://www.openssl.org/docs/apps/ciphers.html を参照してください。
どの暗号がどのバージョンをサポートしているかのリストを表示するには、 show ssl ciphers all コマンドを使用します。次に例を示します。
ASA では、サポートされる暗号の優先順位が次のように指定されています。
例
次に、TLSv1.1 FIPS 準拠の暗号を使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl cipher tlsv1.1 fips
次に、TLSv1 カスタム暗号を使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl cipher tlsv1 custom "RC4-SHA:ALL"
関連コマンド
|
|
|
|---|---|
ssl client-version
ASA がクライアントとして動作する場合の SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl client-version コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
ssl client-version [ any | sslv3-only | tlsv1-only | sslv3 | tlsv1 | tlsv1.1 | tlsv1.2 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
SSLv3 は廃止されました。現在のデフォルトは [any] ではなく [tlsv1] です。[any] キーワードは廃止されました。 |
使用上のガイドライン
any 、 sslv3 、または sslv3-only キーワードを使用した場合、次の警告が表示されますが、コマンドは受け入れられます。
例
次に、SSL クライアントとして動作する場合に SSLv3 プロトコルのバージョンを指定するように ASA を設定する例を示します。
ciscoasa(config)# ssl client-version any
関連コマンド
|
|
|
|---|---|
ssl dh-group
TLS が使用する DHE-RSA 暗号で Diffie-Hellmann(DH)グループを使用するように指定するには、グローバル コンフィギュレーション モードで ssl dh-group コマンドを使用します。デフォルトに戻るには、 no 形式のコマンドを使用します。
ssl dh-group [ group1 | group2 | group5 | group14 | group24 ]
no ssl dh-group [ group1 | group2 | group5 | group14 | group24 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ 1 および 2 は、Java 7 およびそれ以前のバージョンと互換性があります。グループ 5、14、および 24 は、Java 7 と互換性がありません。すべてのグループが Java 8 と互換性があります。グループ 14 と 24 は FIPS 準拠です。
例
次に、特定の DH グループを使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl dh-group group14
関連コマンド
|
|
|
|---|---|
ssl ecdh-group
TLS が使用する ECDHE-ECDSA 暗号でグループを使用するように指定するには、グローバル コンフィギュレーション モードで ssl ecdh-group コマンドを使用します。デフォルトに戻るには、 no 形式のコマンドを使用します。
ssl ecdh-group [ group19 | group20 | group21 ]
no ssl ecdh-group [ group19 | group20 | group21 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TLSv1.2 では、次の暗号方式のサポートが追加されています。
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-GCM-SHA384
- DHE-RSA-AES256-GCM-SHA384
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- DHE-RSA-AES128-GCM-SHA256
- RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
(注) 優先度が最も高いのは ECDSA 暗号および DHE 暗号です。
例
次に、特定の DH グループを使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl ecdh-group group21
関連コマンド
|
|
|
|---|---|
ssl encryption(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.3(1) でした。
SSL、DTLS、TLS の各プロトコル用の暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで ssl encryption コマンドを使用します 。 デフォルト(暗号化アルゴリズムの完全なセット)に戻すには、このコマンドの no 形式を使用します。
ssl encryption [ 3des-sha1 ] [ aes128-sha1 ] [ aes256-sha1 ] [ des-sha1 ] [null-sha1] [ rc4-md5 ] [rc4-sha1] [ dhe-aes256-sha1 ] [ dhe-aes128-sha1 ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
DHE-AES128-SHA1 アルゴリズムおよび DHE-AES256-SHA1 アルゴリズムを使用した SSL 暗号化のサポートが追加されました。 |
|
使用上のガイドライン
このコマンドを再度発行すると、前の設定は上書きされます。ASDM のライセンス タブには、設定した値ではなく、ライセンスでサポートされる暗号化の最大レベルが反映されます。
アルゴリズムの使用の優先順位は、アルゴリズムの順序によって決まります。環境のニーズに合わせてアルゴリズムを追加または削除できます。
FIPS 準拠の AnyConnect クライアント SSL 接続の場合、FIPS 準拠の暗号が SSL 暗号化リストの先頭に指定されていることを確認する必要があります。
アプリケーションによっては DHE がサポートされないものがあるため、他の SSL 暗号化方式を少なくとも 1 つ含めて、暗号スイートが両方に共通するようにします。
http://en.wikipedia.org/wiki/Symmetric-key_algorithm に示すように、暗号化操作では対称キー アルゴリズムが使用されます。
例
次に、3des-sha1 および des-sha1 暗号化アルゴリズムを使用するように ASA を設定する例を示します。
ciscoasa(config)# ssl encryption 3des-sha1 des-sha1
次の例では、このコマンドが廃止され、 ssl cipher コマンドに置き換えられたことを示します。
ciscoasa(config)# ssl encryption ?
ciscoasa(config)# ssl encryption rc4-sha1 aes256-sha1 aes128-sha1
関連コマンド
|
|
|
|---|---|
ASA がクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl server-version
ASA が SSL/TLS 接続をネゴシエートする最小プロトコル バージョンを設定するには、グローバル コンフィギュレーション モードで ssl server-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no 形式を使用します。
ssl server-version [ [ tlsv1 | tlsv1.1 | tlsv1.2 ] [dtlsv1 | dtlsv1.2 ] ]
構文の説明
DTLSv1.2 クライアントの hello を受け入れ、DTLSv1.2(以降)をネゴシエートします。DTLSv 1.2 トンネルの使用を指定するには、唯一の有効なオプションである TLSv 1.2 トンネルの指定が必要です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
例
次に、SSL/TLS 接続をネゴシエートするように ASA を設定する例を示します。
ciscoasa(config)# ssl server-version tlsv1
次に、set versions のコンフィギュレーションおよび検証の例を示します。
関連コマンド
|
|
|
|---|---|
ASA がクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl trust-point
インターフェイスの SSL 証明書を表す証明書トラストポイントを指定するには、グローバル コンフィギュレーション モードで ssl trust-point コマンドを interface 引数を指定して使用します。インターフェイスを指定しない SSL トラストポイントをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。インターフェイスを指定するエントリを削除するには、このコマンドの no ssl trust-point name [ interface ] 形式を使用します。
ssl trust-point name [ interface [ vpnlb-ip ] | domain domain-name ]
no ssl trust-point name [ interface [ vpnlb-ip ] | domain domain-name ]
構文の説明
デフォルト
デフォルトでは、トラストポイント アソシエーションはありません。ASA では、デフォルトの自己生成 RSA キー ペア証明書が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスまたはドメインを指定しない場合、このエントリは、独自のトラストポイントに関連付けられていない、すべてのインターフェイスで使用されるフォールバック トラストポイントを表します。
ssl trustpoint ? コマンドを入力すると、使用可能な設定済みのトラストポイントが表示されます。 ssl trust-point name ? コマンド(たとえば、 ssl trust-point mysslcert ? )を入力した場合、trustpoint-SSL 証明書アソシエーションに使用可能な設定済みのインターフェイスが表示されます。
インターフェイス 1 つにつき、最大 16 個のトラストポイントを設定できます。
このコマンドを使用するときは、次のガイドラインに従ってください。
- trustpoint の値は、 crypto ca trustpoint name コマンドで設定された CA トラストポイントの name である必要があります。
- interface の値は、あらかじめ設定されたインターフェイスの nameif 名である必要があります。
- トラストポイントを削除すると、そのトラストポイントを参照する ssl trust-point エントリも削除されます。
- ssl trust-point エントリは、インターフェイスごとに 1 つと、インターフェイスを指定しないもの 1 つを保持できます。
- domain キーワードで設定したトラストポイントは、複数のインターフェイスに適用されることがあります(接続方法によって異なります)。
- domain-name 値ごとに ssl trust-point を 1 つだけ設定できます。
- 同じトラストポイントを複数のエントリで再利用できます。
- このコマンドを入力すると、次のエラーが表示される場合があります。
これは、ユーザが新しい証明書を設定して、以前に設定された証明書と置き換えたことを示しています。特に対処の必要はありません。
– 接続が domain キーワードの値に一致した場合、その証明書が最初に選択されます。( ssl trust-point name domain domain-name コマンド)
– ロード バランシング アドレスへの接続が確立された場合、vpnlb-ip 証明書が選択されます。( ssl trust-point name interface vpnlb-ip コマンド)
– インターフェイスに対して設定された証明書。( ssl trust-point name interface コマンド)
例
次に、inside インターフェイスの FirstTrust という名前の SSL トラストポイントと、インターフェイスが関連付けられない DefaultTrust という名前のトラストポイントを設定する例を示します。
ciscoasa(config)# ssl trust-point FirstTrust inside
ciscoasa(config)# ssl trust-point DefaultTrust
次に、このコマンドの no 形式を使用して、インターフェイスが関連付けられていないトラストポイントを削除する例を示します。
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ciscoasa(config)# show running-configuration ssl
次に、インターフェイスが関連付けられているトラストポイントを削除する例を示します。
ciscoasa(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ciscoasa(config)# no ssl trust-point FirstTrust inside
ciscoasa(config)# show running-configuration ssl
次に、設定済みのトラストポイントに特定のドメイン名を割り当てる例を示します。
ciscoasa(config)# ssl trust-point www-cert domain www.example.com
関連コマンド
|
|
|
|---|---|
ASA がクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
sso-server(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
ASA のユーザ認証のために Single Sign-On(SSO; シングル サインオン)サーバを作成する場合、webvpn コンフィギュレーション モードで sso-server コマンドを使用します。このコマンドでは、SSO サーバ タイプを指定する必要があります。
SSO サーバを削除するには、このコマンドの no 形式を使用します。
sso-server name type [siteminder | saml-v1.1-post ]
構文の説明
構文の説明構文の説明
設定する ASA SSO サーバが、SAML、バージョン 1.1、POST タイプの SSO サーバであることを指定します。 |
|
設定する ASA SSO サーバが、Computer Associates SiteMinder SSO サーバであることを指定します。 |
|
SSO サーバのタイプを指定します。使用できるタイプは、SiteMinder と SAML-V1.1-POST だけです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 sso-server コマンドを使用すると、SSO サーバを作成できます。
認証では、ASA は SSO サーバへの WebVPN ユーザのプロキシとして動作します。ASA は現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。現在、type オプションで使用できる引数は siteminder または saml-V1.1-post に限定されています。
例
次に、webvpn コンフィギュレーション モードで、「example1」という名前の SiteMinder-type の SSO サーバを作成する例を示します。
次に、webvpn コンフィギュレーション モードで、「example2」という名前の SAML、バージョン 1.1、POST-type の SSO サーバを作成する例を示します。
関連コマンド
|
|
|
|---|---|
sso-server value(group-policy webvpn)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
SSO サーバをグループ ポリシーに割り当てるには、グループ ポリシー コンフィギュレーション モードで使用可能な webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。
割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。
デフォルト ポリシーが継承されないようにするには、 sso-server none コマンドを使用します。
sso-server {value name | none}
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ ポリシー webvpn モードで sso-server value コマンドを入力すると、SSO サーバをグループ ポリシーに割り当てることができます。
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ASA は、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
(注) SSO サーバをユーザ ポリシーに割り当てるには、同じコマンド sso-server value をユーザ名 webvpn コンフィギュレーション モードで入力します。
例
次に、グループ ポリシー my-sso-grp-pol を作成し、example という名前の SSO サーバに割り当てるサンプル コマンドを示します。
関連コマンド
関連コマンドciscoasa
|
|
|
|---|---|
sso-server value(username webvpn)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
SSO サーバをユーザ ポリシーに割り当てるには、ユーザ名コンフィギュレーション モードで使用可能な webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。
ユーザの SSO サーバ割り当てを削除するには、このコマンドの no 形式を使用します。
ユーザ ポリシーがグループ ポリシーから不要な SSO サーバ割り当てを継承している場合は、 sso-server none コマンドを使用して割り当てを削除します。
sso-server {value name | none}
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ASA は、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
sso-server value コマンドを入力すると、SSO サーバをユーザ ポリシーに割り当てることができます。
(注) SSO サーバをグループ ポリシーに割り当てるには、同じコマンド sso-server value をグループ webvpn コンフィギュレーション モードで入力します。
例
次に、my-sso-server という名前の SSO サーバを Anyuser という名前の WebVPN ユーザのユーザ ポリシーに割り当てるサンプル コマンドを示します。
関連コマンド
|
|
|
|---|---|
start-port
マッピングアドレスおよびポート(MAP)ドメイン内の基本マッピングルールでポートプールの開始ポートを設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで start-port コマンドを使用します。比率を削除するには、このコマンドの no 形式を使用します。
構文の説明
変換されたアドレスのポートプールに表示される最初のポート。指定するポートは 1 ~ 32768 の範囲内とし、2 の累乗にする必要があります(1、2、4、8 など)。既知のポートを除外する場合は、1024 以降から開始します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
基本マッピングルールの start-port コマンドおよび share-ratio コマンドによって、MAP ドメイン内のアドレス変換に使用されるプールの開始ポートとポート数が決まります。
例
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
関連コマンド
|
|
|
|---|---|
start-url
オプションの事前ログイン クッキーの取得先 URL を入力するには、AAA サーバ ホスト コンフィギュレーション モードで start-url コマンドを入力します。これは HTTP フォームのコマンドを使用した SSO です。
(注) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA の WebVPN サーバは、HTTP POST 要求を使用して、シングル サインオン認証要求を認証 Web サーバに送信できます。認証 Web サーバは、Set-Cookie ヘッダーをログイン ページのコンテンツとともに送信することによって、事前ログイン シーケンスを実行できます。このことは、認証 Web サーバのログイン ページにブラウザで直接接続することによって検出できます。ログイン ページがロードされるときに Web サーバによってクッキーが設定され、このクッキーがその後のログイン セッションに関連する場合、 start-url コマンドを使用してクッキーの取得先 URL を入力する必要があります。実際のログイン シーケンスは、事前ログイン クッキー シーケンスの後で、認証 Web サーバへのフォーム送信により開始されます。
(注) start-url コマンドは、事前ログイン クッキー交換が存在する場合にのみ必要です。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、事前ログイン クッキーを取得するための URL https://example.com/east/Area.do?Page-Grp1 を指定する例を示します。
関連コマンド
|
|
|
|---|---|
state-checking
H.323 の状態チェックを実行するには、パラメータ コンフィギュレーション モードで state-checking コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no state-checking [h225 | ras]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 コールで RAS の状態チェックを実行する例を示します。
関連コマンド
|
|
|
|---|---|
storage-url
各コンテキストでフラッシュ メモリを使用して VPN パッケージを格納できるようにするには、コンテキスト コンフィギュレーション モードで storage-url コマンドを使用します。記憶域を削除するには、このコマンドの no 形式を使用します。
storage-url { private | shared } [ disk n :/ ] path [ context_label ]
no storage-url { private | shared } [ disk n :/ ] path [ context_label ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各コンテキストで、フラッシュ メモリを使用して AnyConnect などの VPN パッケージを保存できるだけでなく、AnyConnect およびクライアントレス SSL VPN ポータルのカスタマイズのストレージも提供できるようにします。読み取り専用の共有記憶域だけでなく、コンテキストごとに専用の記憶域も使用できます。注: mkdir コマンドを使用して、指定するディスク上にターゲット ディレクトリがすでに存在することを確認してください。
private で指定できる専用記憶域は、コンテキストごとに 1 つに限られます。コンテキスト内から(およびシステム実行スペースから)、このディレクトリの読み取り/書き込み/削除操作を実行できます。コンテキストごとに許容するディスク容量の大きさを制御するには、 limit-resource storage コマンドを参照してください。
AnyConnect パッケージなど、すべてのコンテキストに共通の大きなファイルを共有記憶域で共有することで、ASA は大きなファイルの重複を抑えることができます。共有ディレクトリの書き込みおよび削除操作は、システム実行スペースでのみ実行できます。
例
次に、プライベート ディレクトリと共有ディレクトリを作成し、それらを管理コンテキストに割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
storage-key
セッション間に保管されるデータを保護するストレージ キーを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-key コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
storage- key { none | value string }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ストレージ キーの値にはスペース以外の任意の文字を使用できますが、標準的な英数字セット(0 ~ 9 および a ~ z)のみを使用することを推奨します。
例
次に、ストレージ キーを値 abc123 に設定する例を示します。
ciscoasa(config)# group-policy test attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# storage-key value abc123
関連コマンド
|
|
|
|---|---|
storage-objects
セッション間に保管されるデータについて使用するストレージ オブジェクトを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-objects コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
storage- objects { none | value string }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ストレージ オブジェクト名にはスペースおよびカンマ以外の任意の文字を使用できますが、標準的な英数字セット(0 ~ 9 および a ~ z)のみを使用することを推奨します。ストリング内でストレージ オブジェクトの名前を区切るには、カンマをスペースなしで使用します。
例
次に、ストレージ オブジェクト名を cookies および xyz456 に設定する例を示します。
ciscoasa(config)# group-policy test attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-group-webvpn)# storage-object value cookies,xyz456
関連コマンド
|
|
|
|---|---|
strict-asp-state
M3UA アプリケーション サーバ プロセス(ASP)の厳密な状態検証を有効にするには、ポリシー マップ パラメータ コンフィギュレーショ モードで strict-asp-state コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、M3UA インスペクション ポリシー マップを設定する場合に使用します。
アプリケーション サーバ プロセス(ASP)の厳密な状態検証を有効にすると、システムは M3UA セッションの ASP の状態を維持し、検証結果に基づいて ASP メッセージを許可またはドロップします。ASP の厳密な状態検証を無効にすると、すべての ASP メッセージが検査されずに転送されます。
厳密な ASP のステート チェックが必要なのは、ステートフル フェールオーバーが必要な場合、またはクラスタ内での動作が必要な場合です。ただし、厳密な ASP のステート チェックは、上書きモードでのみ動作し、ロードシェアリングまたはブロードキャスト モードで実行している場合は動作しません(RFC 4666 より)。インスペクションは、エンドポイントごとに ASP が 1 つだけあると仮定します。
例
次に、状態およびセッションの厳密なチェックを有効にする例を示します。
関連コマンド
|
|
|
|---|---|
strict-diameter
Diameter プロトコルの RFC 6733 への厳密な準拠を有効にするには、ポリシー マップ パラメータ コンフィギュレーション モードで strict-diameter コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
strict-diameter { state | session }
no strict-diameter { state | session }
構文の説明
デフォルト
デフォルトでは、インスペクションによって、Diameter フレームの RFC への準拠は確保されますが、状態とセッションのチェックは有効になりません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Diameter インスペクション ポリシー マップを設定する場合に、このコマンドを使用します。
これらのオプションでは、標準プロトコルの準拠チェックに加え、状態とセッションの厳密なコンプライアンス検証も有効になります。コマンドを 2 回入力すると、状態とセッションの両方のチェックを有効にすることができます。
例
次に、状態およびセッションの厳密なチェックを有効にする例を示します。
関連コマンド
|
|
|
|---|---|
strict-header-validation
RFC 3261 に従って、SIP メッセージのヘッダー フィールドの厳密な検証をイネーブルにするには、パラメータ コンフィギュレーション モードで strict-header-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
strict-header-validation action {drop | drop-connection | reset | log} [log}
no strict-header-validation action {drop | drop-connection | reset | log} [log}
構文の説明
違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP ヘッダー フィールドの厳密な検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
strict-http
HTTP に準拠していないトラフィックの転送を許可するには、HTTP マップ コンフィギュレーション モードで strict-http コマンドを使用します。このモードには http-map コマンドを使用してアクセスできます。この機能をデフォルトの動作にリセットするには、このコマンドの no 形式を使用します。
strict-http action { allow | reset | drop } [ log ]
no strict-http action { allow | reset | drop } [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
厳密な HTTP インスペクションをディセーブルにすることはできませんが、 strict-http action allow コマンドを使用すると、HTTP に準拠していないトラフィックの転送が ASA で許可されます。このコマンドによって、デフォルトの動作(HTTP に準拠していないトラフィックの転送を拒否する)が上書きされます。
例
次に、HTTP に準拠していないトラフィックの転送を許可する例を示します。
関連コマンド
|
|
|
|---|---|
strip-group
このコマンドは、user@realm の形式で受信されるユーザ名にのみ適用されます。レルムは、ユーザ名に「@」デリミタが付加された管理ドメインです(juser@abc)。
グループ除去処理をイネーブルまたはディセーブルにするには、トンネル グループ一般属性モードで strip-group コマンドを使用します。ASA では、VPN クライアントによって提示されるユーザ名からグループ名を取得して、IPsec 接続のトンネル グループを選択します。グループ除去処理をイネーブルにすると、ASA では、ユーザ名のユーザ部分のみを認可/認証のために送信します。それ以外の場合(ディセーブルの場合)、ASA ではレルムを含むユーザ名全体を送信します。
グループ除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この属性は、IPsec リモート アクセス トンネル タイプだけに適用できます。
(注) MSCHAPv2 の制限により、MSCHAPv2 を PPP 認証に使用すると、トンネル グループのスイッチングを実行できません。MSCHAPv2 中のハッシュ計算はユーザ名の文字列にバインドされます(ユーザ + 区切り + グループなど)。
例
次に、IPsec リモート アクセス タイプの「remotegrp」という名前のリモート アクセス トンネル グループを設定し、一般コンフィギュレーション モードを開始し、「remotegrp」という名前のトンネル グループをデフォルトのグループ ポリシーとして設定して、そのトンネル グループに対してグループ除去をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定します。 |
|
strip-realm
レルム除去処理をイネーブルまたはディセーブルにするには、トンネル グループ一般属性コンフィギュレーション モードで strip-realm コマンドを使用します。レルム除去処理によって、ユーザ名を認証サーバまたは認可サーバに送信するときに、ユーザ名からレルムが削除されます。レルムは、@ デリミタを使用してユーザ名に追加される管理ドメインです(username@realm など)。このコマンドをイネーブルにすると、ASA では、ユーザ名のユーザ部分のみを認可/認証のために送信します。それ以外の場合、ASA ではユーザ名全体を送信します。
レルム除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、IPsec リモート アクセス タイプの「remotegrp」という名前のリモート アクセス トンネル グループを設定し、一般コンフィギュレーション モードを開始し、「remotegrp」という名前のトンネル グループをデフォルトのグループ ポリシーとして設定して、そのトンネル グループに対してレルム除去をイネーブルにする例を示します。
フィードバック