- same-security-traffic through share-ratio コマンド
- show aaa kerberos コマンド~ show asdm sessions コマンド
- show as-path-access-list コマンド~ show auto-update コマンド
- how backup-package コマンド~ show cpu コマンド
- show crashinfo コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show event manager コマンド
- show facility-alarm コマンド~ show ipsec stats コマンド
- show ipv6 access-list コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show mroute コマンド
- show nac-policy コマンド~ show ospf virtual-links コマンド
- show pager コマンド~ show route コマンド
- show running-config コマンドから show sw-reset-button コマンドまで
- show tcpstat コマンド~ show traffic コマンド
- show uauth コマンド~ show zone コマンド
- shun コマンド~ sntp address コマンド
- software authenticity development コマンド~ strip-realm コマンド
- subject-name コマンド~ sysopt traffic detailed-statistics コマンド
- subject-name(暗号 CA 証明書マップ)
- subject-name(暗号 CA トラストポイント)
- subject-name-default
- サブネット
- summary-address(インターフェイス)
- summary-prefix(IPv6 ルータ OSPF)
- summary-address(ルータ ISIS)
- summary-address(ルータ OSPF)
- sunrpc-server
- support-user-cert-validation
- switchport
- sw-module module password-reset
- sw-module module recover
- sw-module module reload
- sw-module module reset
- sw-module module shutdown
- sw-module module uninstall
- switchport
- switchport access vlan
- switchport mode
- switchport monitor
- switchport protected
- switchport trunk
- synack-data
- synchronization
- syn-data
- sysopt connection permit-vpn
- sysopt connection preserve-vpn-flows
- sysopt connection reclassify-vpn
- sysopt connection tcpmss
- sysopt connection timewait
- sysopt noproxyarp
- sysopt radius ignore-secret
- sysopt traffic detailed-statistics
subject-name コマンド~ sysopt traffic detailed-statistics コマンド
subject-name(暗号 CA 証明書マップ)
IPsec ピア証明書のサブジェクト DN にルール エントリが適用されることを指定するには、クリプト CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。
subject-name [ attr tag eq | ne |co | nc string ]
no subject-name [ attr tag eq | ne |co | nc string ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、証明書マップ 1 に対して CA 証明書マップ コンフィギュレーション モードを開始して、証明書サブジェクト名の組織属性が Central と等しくなる必要があることを指定するルール エントリを作成する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。 |
subject-name(暗号 CA トラストポイント)
指定したサブジェクト DN を登録時に証明書に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。これは、証明書を使用する人またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
X.500 認定者名を定義します。属性と値のペアを区切るには、カンマを使用します。カンマやスペースを含む値は、引用符で囲みます。たとえば、 cn=crl,ou=certs,o="cisco systems, inc.",c=US です。最大長は 500 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、URL https//:frog.example.com での自動登録を設定し、サブジェクト DN OU certs をトラストポイント central の登録要求に含める例を示します。
関連コマンド
|
|
|
|---|---|
subject-name-default
ローカル CA サーバが発行するすべてのユーザ証明書でユーザ名に追加される一般的なサブジェクト名認定者名(DN)を指定するには、CA サーバ コンフィギュレーション モードで subject-name-default コマンドを使用します。サブジェクト名 DN をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
このコマンドは、デフォルトのコンフィギュレーションの一部ではありません。このコマンドでは、証明書のデフォルトの DN を指定します。ユーザ入力に DN がある場合、このコマンドは ASA によって無視されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
subject-name-default コマンドでは、発行される証明書のサブジェクト名を構成するユーザ名で使用される、共通の一般的な DN を指定します。この目的には、 dn 値は cn=username で十分です。このコマンドによって、ユーザごとに個別にサブジェクト名 DN を定義する必要がなくなります。 crypto ca server user-db add dn dn コマンドを使用してユーザが追加される場合、DN フィールドは任意です。
例
ciscoasa(config-ca-server)# subject-name-default cn=cisco,cn=example_corp,ou=eng,st=ma, c="cisco systems, inc.”
ciscoasa(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
サブネット
ネットワーク オブジェクトのネットワークを設定するには、オブジェクト コンフィギュレーション モードで subnet コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。
subnet { IPv4_address IPv4_mask | IPv6_address / IPv6_prefix }
no subnet { IPv4_address IPv4_mask | IPv6_address / IPv6_prefix }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
既存のネットワーク オブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。
例
次に、サブネット ネットワーク オブジェクトを作成する例を示します。
関連コマンド
|
|
|
|---|---|
summary-address(インターフェイス)
特定のインターフェイスの EIGRP のサマリーを設定するには、インターフェイス コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスを削除するには、このコマンドの no 形式を使用します。
summary-address as-number addr mask [ admin-distance ]
no summary-address as-number addr mask
構文の説明
(任意)集約ルートのアドミニストレーティブ ディスタンス。有効な値は、0 ~ 255 です。指定されていない場合、デフォルト値は 5 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。自動ルート集約をディセーブルにするには、 no auto-summary コマンドを使用します。 summary-address コマンドを使用すると、サブネット ルート集約をインターフェイス単位で手動で定義できます。
例
次の例では、 tag を 3 に設定してルート集約を設定しています。
次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。
次の例では、コンフィギュレーションから summary-address コマンドを削除しています。
関連コマンド
|
|
|
|---|---|
summary-prefix(IPv6 ルータ OSPF)
IPv6 サマリー プレフィックスを設定するには、IPv6 ルータ OSPF コンフィギュレーション モードで summary-prefix コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
summary-prefix prefix [ not-advertise ] [ tag tag_value ]
no summary-prefix prefix [ not-advertise ] [ tag tag_value ]
構文の説明
(オプション)指定されたプレフィックスとマスクのペアに一致するルートを抑制します。このキーワードは OSPFv3 だけに適用されます。 |
|
(オプション)ルート マップを使用して再配布を制御する match 値として使用できるタグ値を指定します。このキーワードは OSPFv3 だけに適用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、サマリー プレフィックス FECO:: /24 が、アドレス FECO::/1 ~ FECO::/24 を含んでいます。アドレス FECO:: /24 のみが外部 LSA でアドバタイズされます。
関連コマンド
|
|
|
|---|---|
ある OSPFv3 ルーティング ドメインから別の OSPFv3 ルーティング ドメインへ IPv6 ルートを再配布します。 |
summary-address(ルータ ISIS)
IS-IS の集約アドレスを作成するには、ルータ ISIS コンフィギュレーション モードで summary-address コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
summary-address address mask [ level-1 | level-1-2 | level-2 ] [ tag tag-number ] [ metric metric-value ]
no summary-address address mask [ level-1 | level-1-2 | level-2 ] [ tag tag-number ] [ metric metric-value ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
複数のアドレス グループを特定のレベルに集約できます。他のルーティング プロトコルから学習したルートも集約できます。サマリーのアドバタイズに使用されるメトリックは、具体的なルートすべての中で最小のメトリックです。このコマンドは、ルーティング テーブルの容量縮小に有効です。
リンクステート パケット(LSP)とリンクステート データベース(LSDB)のサイズも小さくします。また、要約アドバタイズメントは多くの特定ルートによって異なるので、ネットワークの安定にも役立ちます。たいていの場合、1 つのルート フラップが原因で要約アドバタイズメントはフラップしません。
サマリー アドレスを使用する場合の欠点は、他のルートには、個々の宛先すべてに最適なルーティング テーブルを計算するための情報が少なくなることです。
例
次に、IS-IS に Routing Information Protocol(RIP)ルートを再配布する例を示します。RIP ネットワークでは、10.1.1、10.1.2、10.1.3、10.1.4 のような IP ルートがあります次に、10.1.0.0 のみを IS-IS レベル 1 リンクステート プロトコル データ ユニット(PDU)にアドバタイズする例を示します。サマリー アドレスに 100 のタグが付けられ、110 のメトリック値が指定されます。
関連コマンド
summary-address(ルータ OSPF)
OSPF の集約アドレスを作成するには、ルータ OSPF コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスまたは特定のサマリー アドレス オプションを削除するには、このコマンドの no 形式を使用します。
summary-address addr mask [ not-advertise ] [ tag tag_value ]
no summary-address addr mask [ not-advertise ] [ tag tag_value ]
構文の説明
(任意)各外部ルートに付けられた 32 ビットの 10 進値。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効値の範囲は、0 ~ 4294967295 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
他のルーティング プロトコルから学習したルートをサマライズできます。このコマンドを OSPF に対して使用すると、OSPF 自律システム境界ルータ(ASBR)により、このアドレスの対象となる再配布されるすべてのルートの集約として、1 つの外部ルートがアドバタイズされます。このコマンドでは、OSPF に再配布されている、他のルーティング プロトコルからのルートのみが集約されます。OSPF エリア間のルート集約には area range コマンドを使用します。
summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を、任意のキーワードまたは引数を指定しないで使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、このコマンドの no 形式を使用して、削除するオプションを指定します。詳細については、「例」を参照してください。
例
次の例では、 tag を 3 に設定してルート集約を設定しています。
次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。
次の例では、コンフィギュレーションから summary-address コマンドを削除しています。
関連コマンド
|
|
|
|---|---|
sunrpc-server
SunRPC サービス テーブルのエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。SunRPC サービス テーブルのエントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port ] timeout hh:mm:ss
no sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port] timeout hh:mm:ss
no sunrpc-server active service service_type server ip_addr
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SunRPC サービス テーブルは、timeout で指定された時間、確立された SunRPC セッションに基づいて、SunRPC トラフィックが ASA を通過するのを許可するために使用します。
例
次に、SunRPC サービス テーブルを作成する例を示します。
関連コマンド
|
|
|
|---|---|
support-user-cert-validation
現在のトラストポイントが、リモート ユーザ証明書を発行した CA に対して認証されている場合に、このトラストポイントに基づいてリモート証明書を検証するには、クリプト CA トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no support-user-cert-validation
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central でユーザ検証を受け入れることができるようにする例を示します。
関連コマンド
|
|
|
|---|---|
switchport
インターフェイスをスイッチポートモードに設定するには、インターフェイス コンフィギュレーション モードで switchport コマンドを使用します。インターフェイスをファイアウォールモードに設定するには、このコマンドの no 形式を使用します。
(注
) Firepower 1010 でのみサポートされています。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。
管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。
このインターフェイスがすでにスイッチポートモードの場合、 switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。
例
次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。
関連コマンド
|
|
|
|---|---|
sw-module module password-reset
ソフトウェア モジュールのパスワードをデフォルト値にリセットするには、特権 EXEC モードで sw-module module password-reset コマンドを使用します。
sw-module module id password-reset
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中はサービスを使用できません。リブートには数分を要する場合があります。 show module コマンドを実行すると、モジュールの状態をモニタできます。
コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラー メッセージが表示されます。
例
次に、IPS モジュール上のパスワードをリセットする例を示します。
関連コマンド
|
|
|
|---|---|
sw-module module recover
ソフトウェア モジュールのリカバリ用ソフトウェア イメージをディスクからロードする場合、またはイメージの場所を設定する場合は、特権 EXEC モードで sw-module module recover コマンドを使用します。たとえば、モジュールが現在のイメージをロードできない場合などに、このコマンドを使用してモジュールを回復することが必要になることがあります。
sw-module module id recover { boot | stop | configure image path }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、ソフトウェア モジュールをインストールします。このモジュールは、デバイスで設定されていない新しいモジュールである場合と、障害が発生したために再インストールが必要となった既存のモジュールである場合があります。
イメージをインストールする場合は、次のコマンド シーケンスを使用します。
- sw-module module id configure image path (ソフトウェア モジュール イメージの disk0 上の場所を指定)。
- sw-module module id boot (該当イメージをブート)。
イメージのブートは、モジュールがアップ、ダウン、無応答、または回復のいずれかの状態である場合にのみ可能です。ステート情報については、 show module コマンドを参照してください。モジュールがアップ状態でない場合、ASA は強制的にモジュールをシャットダウンします。強制シャットダウンでは、すべてのコンフィギュレーションを含む、古いモジュール ディスク イメージが破壊されます。このため、ディザスタ リカバリ メカニズムとしてのみ使用してください。
show module id recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。
(注) IPS モジュールの場合、モジュール ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。モジュールのインストールおよび初期設定を完了する方法については、各ソフトウェア モジュールの CLI 設定ガイドを参照してください。
例
次に、disk0:image2 からイメージをダウンロードするようにモジュールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
sw-module module reload
ソフトウェア モジュールのモジュール ソフトウェアをリロードするには、特権 EXEC モードで sw-module module reload コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、モジュールをリロードする前にリセットを実行する sw-module module reset コマンドとは異なります。
このコマンドは、モジュールのステータスがアップ状態にある場合だけ有効です。ステート情報については、 show module コマンドを参照してください。
例
関連コマンド
|
|
|
|---|---|
sw-module module reset
モジュールをリセットしてからモジュール ソフトウェアをリロードするには、特権 EXEC モードで sw-module module reset コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュールがアップ状態の場合、 sw-module module reset コマンドによって、リセットの前にソフトウェアをシャットダウンするように要求されます。
sw-module module recover コマンドを使用してモジュールを回復できます。モジュールが回復状態になっているときに sw-module module reset コマンドを入力しても、モジュールは回復プロセスを中断しません。 sw-module module reset コマンドによって、モジュールのリセットが実行され、リセット後にモジュールの回復が続行します。モジュールがハングした場合は、回復中にモジュールをリセットできます。ハードウェア リセットによって、問題が解決することもあります。
このコマンドは、ソフトウェアのリロードのみを行いリセットは行わない sw-module module reload コマンドとは異なります。
このコマンドは、モジュールのステータスがアップ、ダウン、無応答、または回復のいずれかの場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。
例
次に、アップ状態の IPS モジュールをリセットする例を示します。
関連コマンド
|
|
|
|---|---|
sw-module module shutdown
モジュール ソフトウェアをシャットダウンするには、特権 EXEC モードで sw-module module shutdown コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュール ソフトウェアをシャットダウンするのは、コンフィギュレーション データを失うことなく安全にモジュールの電源をオフにできるように準備するためです。
このコマンドは、モジュール ステータスがアップまたは無応答である場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。
例
関連コマンド
|
|
|
|---|---|
sw-module module uninstall
ソフトウェア モジュール イメージおよび関連するコンフィギュレーションをアンインストールするには、特権 EXEC モードで sw-module module uninstall コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ソフトウェア モジュール イメージおよび関連するコンフィギュレーションを永続的にアンインストールします。
例
次に、IPS モジュール イメージおよびコンフィギュレーションをアンインストールする例を示します。
ciscoasa# sw-module module ips uninstall
Module ips will be uninstalled. This will completely remove the
disk image associated with the sw-module including any configuration
関連コマンド
|
|
|
|---|---|
switchport
インターフェイスをスイッチポートモードに設定するには、インターフェイス コンフィギュレーション モードで switchport コマンドを使用します。インターフェイスをファイアウォールモードに設定するには、このコマンドの no 形式を使用します。
(注) Firepower 1010 でのみサポートされています。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。
管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。
このインターフェイスがすでにスイッチポートモードの場合、 switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。
例
次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport access vlan
アクセスモードのスイッチポートに VLAN を設定するには、インターフェイス コンフィギュレーション モードで switchport access vlan コマンドを使用します。デフォルトの VLAN 1 に戻すには、このコマンドの no 形式を使用します。
no switchport access vlan number
(注) Firepower 1010 および ASA 5505 でのみサポートされています。
構文の説明
このスイッチ ポートを割り当てる VLAN ID を指定します。VLAN ID は、1 ~ 4070(Firepower 1010)または 4090(ASA 5505)の範囲で指定します。 |
デフォルト
Firepower 1010:デフォルトでは、イーサネット 0/1 ~ 0/7 が VLAN 1 に割り当てられ、イーサネット 0/0 が VLAN 2 に割り当てられます。
Firepower 1010:デフォルトでは、イーサネット 1/2 ~ 1/8 のスイッチポートがアクセスモードとなり、VLAN 1 に割り当てられます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクセス ポートは、タグなしのトラフィックのみを受け入れます。ASA は、指定した VLAN を使用してスイッチポートに入るトラフィックにタグを付け、同じ VLAN 上の他のアクセスポートまたはトランクポートにトラフィックを転送できるようにします。VLAN タグは、別のアクセスポートを出力すると削除されますが、トランクポートを出力しても保持されます。
(注) ASA は、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。
トランスペアレント ファイアウォール モードでは、ASA 5505 基本ライセンスはアクティブ VLAN を 2 つ、Security Plus ライセンスは 3 つ設定できます。そのうちの 1 つは、フェールオーバー用です。
ルーテッドモードでは、ASA 5505 の基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 20 のアクティブ VLAN を設定できます。
例
次に、5 つの ASA 5505 物理インターフェイスを 3 つの VLAN インターフェイスに割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
switchport mode
スイッチポートの VLAN をアクセスモード(デフォルト)またはトランクモードのいずれかに設定するには、インターフェイス コンフィギュレーション モードで switchport mode コマンドを使用します。デフォルトのアクセスモードに戻すには、このコマンドの no 形式を使用します。
switchport mode { access | trunk }
no switchport mode { access | trunk }
(注) Firepower 1010 および ASA 5505 でのみサポートされています。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モードをアクセスモードに設定した後、 switchport vlan access コマンドを使用して VLAN を識別します。
モードをトランクモードに設定した後、 switchport trunk allowed vlan コマンドを使用して、複数の VLAN をトランクに割り当てます。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。ASA 5505 でトランクモードが使用できるのは、Security Plus ライセンスだけです。
例
次に、VLAN 100 に割り当てられたアクセス モードのスイッチ ポートおよび VLAN 200 および 300 に割り当てられたトランク モードのスイッチ ポートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport monitor
SPAN スイッチポートモニタリングをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport monitor コマンドを使用します。このコマンドを入力する対象のポート(宛先ポートと呼ばれる)では、指定した送信元ポートで送受信されるすべてのパケットのコピーを受信します。SPAN 機能を使用すると、トラフィックをモニタできるように、スニファを宛先ポートに接続できます。このコマンドを複数回入力して、複数の送信元ポートを指定できます。SPAN をイネーブルにすることができるのは、1 つの宛先ポートのみです。送信元ポートのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
switchport monitor source_port [ tx | rx | both ]
no switchport monitor source_port [ tx | rx | both ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SPAN をイネーブルにしない場合、スニファをスイッチ ポートの 1 つに接続すると、そのポートで送受信されるトラフィックのみがキャプチャされます。複数のポートで送受信されるトラフィックをキャプチャするには、SPAN をイネーブルにし、モニタするポートを指定する必要があります。
例
次に、イーサネット 0/0 ポートとイーサネット 0/2 ポートをモニタする宛先ポートとして、イーサネット 0/1 ポートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport protected
スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信しないようにするには、インターフェイス コンフィギュレーション モードで switchport protected コマンドを入力します。この機能により、あるスイッチ ポートが侵害された場合に、VLAN 上の他のスイッチ ポートに対して強固なセキュリティを提供します。保護されたモードをディセーブルにするには、このコマンドの no 形式を使用します。
(注) Firepower 1010 および ASA 5505 でのみサポートされています。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに switchport protected コマンドを適用すると、Web サーバを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバすべてと通信でき、その逆も可能ですが、Web サーバは相互に通信できません。
例
次に、7 つのスイッチ ポートを設定する例を示します。イーサネット 0/4、0/5、および 0/6 は DMZ ネットワークに割り当てられ、相互から保護されます。
関連コマンド
|
|
|
|---|---|
switchport trunk
VLAN をトランクポートに割り当てるには、インターフェイス コンフィギュレーション モードで switchport trunk コマンドを使用します。VLAN をトランクから削除するには、このコマンドの no 形式を使用します。
switchport trunk {allowed vlans vlan_range | native vlan v lan }
no switchport trunk {allowed vlans vlan_range | native vlan v lan }
(注) Firepower 1010 および ASA 5505 でのみサポートされています。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、スイッチ ポートごとに 4 つ以上の VLAN を許可するように変更されました。また、1 つのみに制限されず、複数のトランク ポートを設定できるようになりました。このコマンドで、VLAN ID を区切るためにスペースではなくカンマも使用されます。 |
|
使用上のガイドライン
スイッチ ポートで複数の VLAN を渡すトランク ポートを作成する場合は、 switchport mode trunk コマンドを使用してモードをトランク モードに設定してから、 switchport trunk コマンドを使用して VLAN をトランクに割り当てます。このスイッチ ポートに少なくとも 1 つの VLAN を割り当てるまで、このスイッチ ポートでトラフィックを渡すことはできません。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。
トランク モードが使用できるのは Security Plus ライセンスだけです。
(注) このコマンドにはバージョン 7.2(1) との下位互換性はありません。VLAN を区切るカンマは 7.2(1) では認識されません。ダウングレードする場合は、VLAN をスペースで区切り、3 つの VLAN という制限を超えないようにしてください。
例
次に、7 つの VLAN インターフェイスを設定する例を示します。 failover lan コマンドを使用して設定するフェールオーバー インターフェイスが含まれています。VLAN 200、201、および 202 は、イーサネット 0/1 でトランキングされています。
関連コマンド
|
|
|
|---|---|
synack-data
データが含まれる TCP SYNACK パケットのアクションを設定するには、tcp マップ コンフィギュレーション モードで synack-data コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. synack-data :tcp マップ コンフィギュレーション モードでは、 synack-data などの数多くのコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
例
次に、データが含まれる TCP SYNACK パケットを許可するようにASAを設定する例を示します。
関連コマンド
|
|
|
|---|---|
synchronization
BGP と内部ゲートウェイ プロトコル(IGP)システム間の同期をイネーブルにするには、アドレス ファミリ コンフィギュレーション モードで synchronization コマンドを使用します。Cisco IOS ソフトウェアが IGP を待機せずにネットワーク ルートをアドバタイズできるようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常、ルートがローカルであるか IGP に存在する場合を除き、BGP スピーカーは外部ネイバーにルートをアドバタイズしません。デフォルトでは BGP と IGP 間の同期はオフになっており、Cisco IOS ソフトウェアが IGP を待機せずにネットワーク ルートをアドバタイズできるようになっています。この機能により、自律システム内のルータおよびアクセス サーバは、BGP が他の自律システムでルートを使用可能にする前にルートを確保できるようになります。
例
次に、アドレス ファミリ コンフィギュレーション モードで同期をイネーブルにする例を示します。ルータは、ルートを外部にアドバタイズする前に、IGP 内のネットワーク ルートを検証します。
syn-data
データが含まれる SYN パケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで syn-data コマンドを使用して、SYN パケット内にデータが含まれるパケットをドロップします。
TCP の仕様によると、TCP 実装は SYN パケット内に含まれているデータを受け入れる必要があります。これは微妙であいまいな点であるため、一部の実装ではこのことが正しく処理されない場合があります。不適切なエンドシステム実装などの挿入攻撃に対する脆弱性を回避するために、SYN パケット内にデータが含まれるパケットをドロップすることを選択できます。
例
次に、データが含まれる SYN パケットをすべての TCP フローでドロップする例を示します。
関連コマンド
|
|
|
|---|---|
sysopt connection permit-vpn
VPN トンネルを介して ASA に入り復号化されるトラフィックに対して、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを使用して、トラフィックがインターフェイス アクセス リストをバイパスできるようにします。グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no sysopt connection permit-vpn
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、デフォルトでイネーブルになりました。また、インターフェイス アクセス リストのみがバイパスされます。グループ ポリシーまたはユーザ単位のアクセス リストは有効なままです。 |
|
使用上のガイドライン
デフォルトでは、ASA によって、VPN トラフィックが ASA のインターフェイスで終端することが許可されています。IKE または ESP(またはその他のタイプの VPN パケット)をインターフェイス アクセス リストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、コンフィギュレーションが簡略化され、ASA のパフォーマンスはセキュリティ リスクを負うことなく最大化されます(グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます)。
no sysopt connection permit-vpn コマンドを入力して、インターフェイス アクセス リストをローカル IP アドレスに適用できます。アクセス リストを作成してインターフェイスに適用するには、 access-list コマンドおよび access-group コマンドを参照してください。アクセス リストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。
例
次に、復号化された VPN トラフィックがインターフェイス アクセス リストに従うようにする例を示します。
関連コマンド
|
|
|
|---|---|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection preserve-vpn-flows
トンネルのドロップおよび回復後のタイムアウト期間内に、ステートフル(TCP)トンネル IPSec LAN-to-LAN トラフィックを保持して再開するには、 sysopt connection preserve-vpn-flows コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt connection preserve-vpn-flows
no sysopt connection preserve-vpn-flows
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
永続的 IPSec トンネル フロー機能がイネーブルの場合、タイムアウト ウィンドウ内にトンネルが再作成される限り、セキュリティ アプライアンスで元のフロー内の状態情報にアクセスできるため、データは正常に流れ続けます。
このコマンドでは、ネットワーク拡張モードを含め、IPSec LAN-to-LAN トンネルのみがサポートされます。AnyConnect/SSL VPN または IPSec リモートアクセス トンネルはサポートされません。
例
次に、トンネルがドロップされ、タイムアウト期間内に再確立された後、トンネルの状態情報が保持されてトンネル IPSec LAN-to-LAN VPN トラフィックが再開されることを指定する例を示します。
ciscoasa(config)# no sysopt connection preserve-vpn-flows
この機能がイネーブルかどうかを確認するには、sysopt に対して show run all コマンドを入力します。
ciscoasa(config)# show run all sysopt
結果の例は次のとおりです。説明のために、これ以降のすべての例では、preserve-vpn-flows の項目は太字になっています。
sysopt connection reclassify-vpn
既存の VPN フローを再分類するには、グローバル コンフィギュレーション モードで sysopt connection reclassify-vpn コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt connection reclassify-vpn
no sysopt connection reclassify-vpn
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPN トンネルがアップになると、このコマンドによって既存の VPN フローは再分類され、暗号化が必要なフローは分解されて再作成されます。
このコマンドは、LAN-to-LAN およびダイナミック VPN についてのみ適用されます。このコマンドは EZVPN または VPN クライアント接続には影響しません。
例
関連コマンド
|
|
|
|---|---|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection tcpmss
通過トラフィックの最大 TCP セグメント サイズが設定した値を超えないようにし、指定したサイズ未満にならないようにするには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
sysopt connection tcpmss [ minimum ] bytes
no sysopt connection tcpmss [ minimum ] [ bytes ]
構文の説明
最大 TCP セグメント サイズをバイト単位で設定します(48 ~任意の最大値)。デフォルト値は 1380 バイトです。この機能をディセーブルにするには、 bytes を 0 に設定します。 |
|
最大セグメント サイズを上書きし、 bytes 未満にならないようにします(48 ~ 65535 バイト)。この機能は、デフォルトでディセーブルです(0 に設定)。 |
デフォルト
デフォルトでは、ASA の最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU の デフォルトの 1500 バイト内にも収まっています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大セグメント サイズ(TCP MSS)とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイ ハンドシェイク中に、クライアントとサーバは TCP MSS 値を交換します。
通過トラフィックの TCP MSS を ASA に設定できます。デフォルトでは、最大 TCP MSS は 1380 バイトに設定されます。この設定は、ASA が IPsec VPN カプセル化のパケット サイズを追加する必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、ASA の最大 TCP MSS を無効にする必要があります。
最大 TCP MSS を設定している場合、接続のいずれかのエンドポイントが ASA に設定された値を超える TCP MSS を要求すると、ASA は要求パケット内の TCP MSS を ASA の最大サイズで上書きします。ホストまたはサーバが TCP MSS を要求しない場合、ASA は RFC 793 のデフォルト値 536 バイト(IPv4)または 1220 バイト(IPv6)を想定しますが、パケットは変更しません。たとえば、MTU を デフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。ASA の最大 TCP MSS が 1380(デフォルト)の場合は、ASA は TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバは、1380 バイトのペイロードを含むパケットを送信します。ASA は、最大 120 バイトのヘッダーをパケットに追加しても、1500 バイトの MTU サイズに適応することができます。
TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、ASA は値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。
SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。ASA は MTU を使用して、TCP MSS を導き出します。MTU - 40(IPv4)または MTU - 60(IPv6)となります。
デフォルトでは TCP MSS は、ASA が IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。ASA が IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。
MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして ASA を使用しない場合は、TCP MSS 設定を変更する必要があります。次のガイドラインを参照してください。
- 通常のトラフィック:TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。通常、接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
- IPv4 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボ フレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
- IPv6 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 140 に設定します。
例
下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、非 VPN トラフィックの TCP MSS をディセーブルにします(TCP MSS を 0 に設定、すなわち無制限とすることによって行います)。
下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、VPN トラフィックの TCP MSS を 9078 に変更します(MTU から 120 を差し引きます)。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection timewait
各 TCP 接続において、最後の通常の TCP クローズ ダウン シーケンスの後に、少なくとも 15 秒の短い TIME_WAIT 状態が強制的に維持されるようにするには、グローバル コンフィギュレーション モードで sysopt connection timewait コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズである場合に、この機能を使用することを推奨します。
(注) FIN_WAIT2 状態で受信した RST パケット(通常の TCP クローズダウン シーケンスではなく)は、15 秒の遅延もトリガーします。ASA では、接続の最後のパケット(FIN/ACK または RST)を受信した後、接続を 15 秒間保持します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA のデフォルトの動作では、シャットダウン シーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK の後で接続が解放されます。この即時解放ヒューリスティックにより、ASAでは、標準クローズ シーケンスと呼ばれる最も一般的なクロージング シーケンスに基づいて、高い接続レートを維持できます。ただし、一方の端が閉じ、もう一方の端が確認応答してから独自のクロージング シーケンスを開始する標準クローズ シーケンスとは異なり、同時クローズでは、トランザクションの両端がクロージング シーケンスを開始します(RFC 793 を参照)。したがって、同時クローズでは、即時解放によって接続の一方の側で CLOSING 状態が保持されます。多くのソケットを CLOSING 状態にすると、エンド ホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレーム クライアントはこの動作を示し、メインフレーム サーバのパフォーマンスを低下させることが知られています。 sysopt connection timewait コマンドを使用すると、同時クローズ ダウン シーケンスが完了するためのウィンドウが作成されます。
例
次に、timewait 機能をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
sysopt noproxyarp
インターフェイスで NAT グローバル アドレスまたは VPN クライアント アドレスに対するプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。プロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。
sysopt noproxyarp interface_name
no sysopt noproxyarp interface_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、VPN クライアント アドレスが内部ネットワークと重複するときに、VPN プロキシ ARP に影響を及ぼすように拡張されました。 |
使用上のガイドライン
既存のネットワークと重なる VPN クライアント アドレス プールがある場合、ASA は、デフォルトにより、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの VPN クライアントのリターン トラフィックは、その誤ったインターフェイスに送信され、破棄されます。この場合、プロキシ ARP が不要なインターフェイスに対して sysopt noproxyarp コマンドを入力する必要があります。
まれに、NAT グローバル アドレスに対してプロキシ ARP をディセーブルにする場合があります。
ホストによって IP トラフィックが同じイーサネット ネットワーク上の別のデバイスに送信される場合、ホストではそのデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。
プロキシ ARP は、デバイスが IP アドレスを所有していなくても、その固有の MAC アドレスで ARP 要求に応答する場合に使用します。NAT を設定し、ASA のインターフェイスと同じネットワーク上にあるグローバル アドレスを指定すると、ASA によってプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、ASA でプロキシ ARP が使用されている場合、ASA の MAC アドレスが宛先グローバル アドレスに割り当てられていると主張することです。
例
次に、内部インターフェイスでプロキシ ARP をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
sysopt radius ignore-secret
RADIUS アカウンティング応答内の認証キーを無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。一部の RADIUS サーバとの互換性のために、このキーを無視する必要がある場合があります。
no sysopt radius ignore-secret
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
一部の RADIUS サーバでは、アカウンティング確認応答内のオーセンティケータ ハッシュにこのキーが含まれていません。この使用上の注意により、ASA でアカウンティング要求を継続的に再送信する場合があります。 sysopt radius ignore-secret コマンドを使用して、これらの確認応答内のキーを無視し、再送信の問題を回避します(ここで示すキーは、 aaa-server host コマンドで設定するものと同じです)。
例
次に、アカウンティング応答内の認証キーを無視する例を示します。
関連コマンド
|
|
|
|---|---|
sysopt traffic detailed-statistics
変更されたトラフィック システム オプションについて秒単位でプロトコルごとの詳細な統計情報を計算するには、グローバル コンフィギュレーション モードで sysopt traffic detailed-statistics コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt traffic detailed-statistics
no sysopt traffic detailed-statistics
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
sysopt traffic detailed-statistics コマンドを使用して、変更されたトラフィック システム オプションについて秒単位でプロトコルごとに詳細な統計情報を計算できます。
例
次に、変更されたトラフィック システム オプションの詳細な統計情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック