使用上のガイドライン

このコマンドを使用すると、クラスタからクラスタユニットを手動で削除できます。このコマンドではクラスタリング設定は変更されないため、後で cluster enable コマンドを使用してクラスタに再追加できます。

使用上のガイドライン

最初にイネーブルにしたユニットについては、マスター ユニット選定が発生します。最初のユニットは、その時点でクラスタの唯一のメンバーであるため、そのユニットがマスター ユニットになります。この期間中にコンフィギュレーション変更を実行しないでください。

使用上のガイドライン

show コマンドをすべてのメンバーに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。capture や copy などのその他のコマンドも、クラスタ全体での実行を活用できます。

使用上のガイドライン

ルールヒット情報は、アクセスコントロールルールとプレフィルタルールのみを対象としています。

使用上のガイドライン

ルールヒット情報は、アクセスコントロールルールとプレフィルタルールのみを対象としています。

使用上のガイドライン

メイン クラスタ IP アドレスへの再接続が必要になります。

使用上のガイドライン

ブートストラップ コンフィギュレーションは変更されず、マスター ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。マスター ユニットを削除するためにスレーブ ユニットでこのコマンドを入力した場合は、新しいマスター ユニットが選定されます。

使用上のガイドライン

cluster disable コマンドを使用して、最初にクラスタリングを無効にする必要があります。この cluster reset-interface-mode コマンドは 脅威に対する防御 の設定をクリアし、論理デバイスを再起動します。4100 シリーズの FXOS では、論理デバイスもスタンドアロンタイプのデバイスに変換されます。ブートストラップ設定とインターフェイスの割り当ては維持されます。

使用上のガイドライン

デフォルトでは、バージョン 7.0.5 をインストールまたは 脅威に対する防御 をアップグレードすると、CA 証明書が自動的に更新されます。この機能を無効にするには、disable キーワードを使用します。CA バンドルの自動更新を再度有効にするには、enable キーワードを使用します。CA 証明書の自動更新を有効にすると、更新プロセスはシステムで定義された時刻に毎日実行されます。

使用上のガイドライン

CA 証明書をすぐに更新する場合は、configure cert-update run-now を使用します。ただし、シスコのサーバーのうちの 1 つでも SSL 接続チェックが失敗した場合、プロセスは終了します。接続に失敗しても更新を続行するには、force キーワードを使用します。たとえば、ローカル CA バンドルには、スマートライセンス、AMP 登録、ThreatGrid サービスなどのいくつかのシスコ サービスにアクセスするための証明書があり、シスコのスマートライセンスサービスへの接続に失敗した場合も、configure cert-update run-now force コマンドを使用すると、証明書の更新プロセスが実行されます。

（注）	IPv6 のみの展開では、一部のシスコのサーバーが IPv6 をサポートしていないため、CA 証明書の自動更新が失敗することがあります。このような場合は、configure cert-update run-now force コマンドを使用して CA 証明書を強制的に更新します。

使用上のガイドライン

この configure cert-update test コマンドは、ローカルシステムの CA バンドルを（シスコのサーバーからの）最新の CA バンドルと比較します。CA バンドルが最新の場合はチェックは実行されず、次の例のセクションに示すようにテスト結果が表示されます。CA バンドルが古い場合、ダウンロードされた CA バンドルに対して接続チェックが実行され、次の例のセクションに示すように結果が表示されます。

使用上のガイドライン

パケットエンジンのコアダンプ生成は、デフォルトで有効になっています。

このコマンドは、Firepower 2100 シリーズのみで使用できます。サポートされていないプラットフォームでこのコマンドを入力すると、次のメッセージが返されます。

This command is not available on this platform.

使用上のガイドライン

このコマンドを使用して、デバイスへの HTTPS アクセスを無効にします。ローカルマネージャである Device Manager を使用する場合は、HTTPS アクセスが必要です。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

デバイスへの SSH アクセスを無効にするには、このコマンドを使用します。これにより、コンソールポート経由以外の CLI アクセスが防止されます。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

多くのコマンドは両方のモードではサポートされていないため、モードを変更した場合は、デバイスによってコンフィギュレーションがクリアされます。設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。

（注）	Device Manager を使用している場合、トランスペアレント ファイアウォール モードに切り替えることはできません。ローカルマネージャを使用していて、トランスペアレントモードに変換する場合は、まず configure manager delete を使用してマネージャを削除し、トランスペアレントモードに変換してから、configure manager add を使用して Management Center を指定する必要があります。

使用上のガイドライン

ダイナミック フロー オフロードのサポートと制限については、『Management Center Configuration Guide』の共通ルール特性に関する章を参照してください。

使用上のガイドライン

2 つのデバイススタックをハイアベイラビリティペアとして設定できます。これはフェールオーバー設定とも呼ばれ、ペアの一方のデバイスに障害が発生した場合、もう一方のデバイスが引き継ぎます。

何らかの理由でデバイスマネージャの設定を更新できない場合は、configure high-availability コマンドを使用してハイアベイラビリティペアを管理できます。たとえば、ハイアベイラビリティペアに到達できない場合は、configure high-availability disable を使用して両方のハイアベイラビリティピアからフェールオーバー設定を削除できます。

フェールオーバー設定を一時的に停止して、後で再開することもできます。ユニット で HA を一時的に停止することは、次の場合に役立ちます。

• 両方のユニットがアクティブ-アクティブの状況で、フェールオーバー リンクでの通信を修復しても、問題が解決されない場合。

• アクティブ ユニットまたはスタンバイ ユニットをトラブルシューティングする間、ユニットのフェールオーバーを発生させたくない場合。

• スタンバイデバイスのソフトウェアアップグレードをインストール中のフェールオーバーを防ぎたい場合。

ハイ アベイラビリティを中断すると、デバイスのペアがフェールオーバー ユニットとして動作しなくなります。現在アクティブなデバイスはアクティブなままで、すべてのユーザ接続を処理します。ただし、フェールオーバー基準はモニタされなくなり、システムにより現在の擬似-スタンバイ デバイスにフェールオーバーされることはなくなります。スタンバイ デバイスの設定は保持されますが、非アクティブのままです。

HA の中断と HA の破棄の主な違いは、中断された HA デバイスではハイ アベイラビリティ設定が保持されることです。HA を破棄すると、この設定は消去されます。そのため、中断されたシステムで HA を再開するためのオプションがあります。これにより、既存の設定が有効になり、2 台のデバイスがフェールオーバー ペアとして再び機能します。

（注）	ハイ アベイラビリティの中断は一時的な状態です。ユニットをリロードすると、ハイ アベイラビリティ設定が自動的に再開され、ピアとアクティブ/スタンバイ ステータスがネゴシエートされます。

使用上のガイドライン

サポートされているすべてのホストまたはネットワークを 1 つのコマンドに含める必要があります。このコマンドで指定されたアドレスは、HTTPS アクセスリストの現在の内容を上書きします。

HTTPS アクセスを許可するだけでは、ユーザーはローカルマネージャにログインできません。設定ソフトウェアへのアクセスは、ユーザー名とパスワードによって制御されます。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

デフォルトの検査エンジンは、シスコテクニカルサポートの指示がある場合、または関連するトラフィックタイプがネットワーク上で発生しないことが確実な場合にのみ無効にしてください。たとえば、検査対象のポートですべてのトラフィックをブロックする場合、そのポートの検査は安全に無効化できます。これらの検査は、すべてのデータインターフェイスに適用されます。

これらの検査エンジンは、Snort インスペクションとは別のものです。これらのエンジンは、次のサービスを提供します。

• ピンホールの作成：一部のアプリケーション プロトコルは、標準ポートまたはネゴシエートされたポートでセカンダリ TCP または UDP 接続を開きます。インスペクションでは、これらのセカンダリ ポートのピンホールが開くため、ユーザーはそれらを許可するアクセス コントロール ルールを作成する必要はありません。

• NAT の書き換え：プロトコルの一部としてのパケット データ内のセカンダリ接続用の FTP 埋め込み型 IP アドレスおよびポートなどのプロトコル。エンドポイントのいずれかに関与する NAT 変換がある場合、インスペクション エンジンは、埋め込まれたアドレスおよびポートの NAT 変換を反映するようにパケット データを書き換えます。セカンダリ接続は NAT の書き換えがないと動作しません。NAT の制限については、デバイス（Management Center または Device Manager ）の設定に使用するマネージャの設定ガイドの「NAT」の章を参照してください。

• プロトコルの強制：一部のインスペクションでは、検査対象プロトコルにある程度の RFC への準拠が強制されます。

次の検査エンジンは、無効にした後で有効にできます。現在有効になっている検査エンジンを確認するには、show running-config policy-map コマンドを使用し、inspect コマンドを探します。各検査のデフォルトパラメータの詳細を表示するには、show running-config all policy-map コマンドを使用します。

• dcerpc ：（TCP ポート 135）。分散型コンピューティング環境/リモートプロシージャコール。DCERPC 検査エンジンは、Endpoint Mapper（EPM）とウェルノウン TCP ポート 135 上のクライアントとの間のネイティブ TCP 通信を検査します。DCERPC に基づく Microsoft リモート プロシージャ コール（MSRPC）は、Microsoft 分散クライアントおよびサーバー アプリケーションで広く使用されているプロトコルであり、ソフトウェア クライアントがサーバー上のプログラムをリモートで実行できるようにします。検査は、ピンホールの作成および NAT サービスを提供します。

• dns ：（UDP ポート 53）。Domain Name System（ドメイン ネーム システム）。DNS は UDP ポート 53 で検査されます。検査は、NAT サービスとプロトコルの適用を提供します。NAT ルールで NAT の書き換えオプションを使用するには、この検査エンジンを有効にする必要があります。NAT の書き換えは、IPv4 ネットワークと IPv6 ネットワーク（NAT64/46）間で NAT を実行するときに頻繁に必要になります。

• esmtp ：（TCP ポート 25）。Extended Simple Mail Transfer Protocol。ESMTP インスペクションでは、スパム、フィッシング、不正形式メッセージ攻撃、バッファ オーバーフロー/アンダーフロー攻撃などの攻撃を検出します。また、アプリケーション セキュリティとプロトコル準拠により、正常な ESMTP メッセージだけを通し、送受信者およびメール中継のブロックも行います。検査中に適用される制御の詳細については、show running-config all policy-map コマンドを使用し、「policy-map type inspect esmtp _default_esmtp_map」行および後続のパラメータを探して確認してください。

  ESMTP アプリケーション インスペクションは、ユーザーが使用できるコマンドとサーバーが返送するメッセージを制御し、その数を減らします。また、NAT サービスとプロトコル準拠を提供します。ESMTP インスペクションは、次の 3 つの主要なタスクを実行します。

  • SMTP 要求を 7 つの基本 SMTP コマンドと 8 つの拡張コマンドに制限します。サポートされるコマンドは次のとおりです。

    拡張 SMTP：AUTH、EHLO、ETRN、HELP、SAML、SEND、SOML、STARTTLS、および VRFY。

    SMTP（RFC 821）：DATA、HELO、MAIL、NOOP、QUIT、RCPT、RSET。

  • SMTP コマンド応答シーケンスをモニターします。

  • 監査証跡を生成します。Syslog 監査記録 108002 は、メールアドレスに埋め込まれた無効な文字が置き換えられた場合に生成されます。詳細については、RFC 821 を参照してください。

• ftp ：（TCP ポート 21）。File Transfer Protocol（ファイル転送プロトコル）。検査は、ピンホールおよび NAT サービスを提供します。

• h323_h225 ：（TCP ポート 1720、UDP ポート 1718）。H.323 インスペクションは RAS、H.225、H.245 をサポートし、埋め込まれた IP アドレスとポートをすべて変換する機能を備えています。また、ステートトラッキングとフィルタリングを実行します。H.323 インスペクションは、Cisco CallManager などの H.323 準拠のアプリケーションをサポートします。H.323 は、国際電気通信連合によって定義されている、LAN を介したマルチメディア会議用のプロトコル群です。デバイスは、H.323 v3 機能の同一コールシグナリングチャネルでの複数コールを含めて、H.323 をバージョン 6 までサポートします。

  H.323 インスペクションの 2 つの主要機能は次のとおりです。

  • H.225 と H.245 の両メッセージ内に埋め込まれている必要な IPv4 アドレスを NAT 処理します。H.323 メッセージは PER 符号化形式で符号化されているため、ASA では ASN.1 デコーダを使用して H.323 メッセージを復号化します。

  • ネゴシエートされた H.245 と RTP/RTCP 接続をダイナミックに割り当てます。RAS を使用すると、H.225 接続もダイナミックに割り当てることができます。

• h323_ras ：（UDP ポート 1718 〜 1719）。h323_h225 についての説明を参照してください。この検査は、RAS シグナリング用です。

• icmp ：（ICMP トラフィックのみ）。ICMP インスペクション エンジンを使用すると、ICMP トラフィックが「セッション」を持つようになるため、TCP トラフィックや UDP トラフィックのように検査することが可能になります。ICMP 検査エンジンを使用しない場合、ICMP にデバイスの通過を許可しない（アクセスコントロールルールでブロックする）ことをお勧めします。ステートフル インスペクションを実行しないと、ICMP がネットワーク攻撃に利用される可能性があります。ICMP インスペクション エンジンは、要求ごとに応答が 1 つだけであること、シーケンス番号が正しいことを確認します。検査は、NAT サービスも提供します。

• icmp_error ：（ICMP トラフィックのみ）。ICMP エラーインスペクションを有効にすると、デバイスは NAT の設定に基づいて、ICMP エラーメッセージを送信する中間ホップ用の変換セッションを作成します。デバイスは、変換後の IP アドレスでパケットを上書きします。これは、デバイスを通過するトレースルートに意味のある情報を提供するために必要です。

• ip-options ：（RSVP トラフィックのみ）。IP オプションインスペクションは、パケットヘッダーの [IP Options] フィールドの内容に基づいて許可する IP パケットを制御します。Router Alert オプションが設定されているパケットは許可されます。その他のオプションが設定されているパケットはドロップされます。

• netbios ：（UDP 送信元ポート 137、138）。NetBIOS Name Server over IP。NetBIOS アプリケーション インスペクションでは、NetBIOS ネーム サービス（NBNS）パケットおよび NetBIOS データグラム サービス パケットに埋め込まれている IP アドレスで NAT を実行します。また、プロトコル準拠チェックを行って、さまざまなフィールドの数や長さの整合性を確認します。

• rsh ：（TCP ポート 514）。RSH プロトコルは、TCP ポート 514 で RSH クライアントから RSH サーバーへの TCP 接続を使用します。クライアントとサーバーは、クライアントが STDERR 出力ストリームを受信する TCP ポート番号をネゴシエートします。RSH インスペクションは、必要に応じて、ピンホールを開き、ネゴシエートされたポート番号の NAT をサポートします。

• rtsp ：（TCP ポート 554）。Real-time Streaming Protocol。RTSP 検査エンジンを使用することにより、デバイスは RTSP パケットを通過させることができます。RTSP は、RealAudio、RealNetworks、Apple QuickTime、RealPlayer、および Cisco IP/TV 接続によって使用されます。RTSP アプリケーションは、制御チャネルとしての TCP（例外的に UDP）とともに予約済みポート 554 を使用します。デバイスは、RFC 2326 に準拠して TCP だけをサポートします。この TCP 制御チャネルは、クライアント上で設定されているトランスポート モードに応じて、音声/ビデオ トラフィックの送信に使用されるデータ チャネルのネゴシエーションに使用されます。サポートされている RDT トランスポートは、rtp/avp、rtp/avp/udp、x-real-rdt、x-real-rdt/udp、x-pn-tng/udp です。

• sqlnet ：（TCP ポート 1521）。インスペクション エンジンは、SQL*Net バージョン 1 および 2 をサポートしていますが、形式は Transparent Network Substrate（TNS）のみです。インスペクションでは、表形式データ ストリーム（TDS）形式をサポートしていません。SQL*Net メッセージは、埋め込まれたアドレスとポートについてスキャンされ、必要に応じて NAT の書き換えが適用されます。

  SQL 制御 TCP ポート 1521 と同じポートで SQL データ転送が行われる場合は、SQL*Net のインスペクションをディセーブルにします。SQL*Net インスペクションがイネーブルになっていると、セキュリティ アプライアンスはプロキシとして機能し、クライアントのウィンドウ サイズを 65000 から約 16000 に減らすため、データ転送の問題が発生します。

• sip ：（TCP/UDP ポート 5060）。セッション開始プロトコル。SIP は、インターネット会議、テレフォニー、プレゼンス、イベント通知、およびインスタント メッセージングに広く使用されているプロトコルです。テキストベースの性質とその柔軟性により、SIP ネットワークは数多くのセキュリティ脅威にさらされます。SIP アプリケーション インスペクションでは、メッセージ ヘッダーおよび本文のアドレス変換、ポートの動的なオープン、および基本的な健全性チェックが行われます。

• skinny ：（TCP ポート 2000）。Skinny Client Control Protocol（SCCP）。SCCP（Skinny）アプリケーション インスペクションでは、パケット データ、ピンホールの動的開放に埋め込まれている IP アドレスとポート番号を変換します。また、追加のプロトコル準拠チェックと基本的なステート トラッキングも行います。

• sunrpc ：（TCP/UDP ポート 111）。Sun RPC は、NFS および NIS で使用されます。Sun RPC サービスはどのポート上でも実行できます。サーバー上の Sun RPC サービスにアクセスしようとするクライアントは、そのサービスが実行されているポートを知る必要があります。そのためには、予約済みポート 111 でポート マッパー プロセス（通常は rpcbind）に照会します。

  クライアントがサービスの Sun RPC プログラム番号を送信すると、ポート マッパー プロセスはサービスのポート番号を応答します。クライアントは、ポート マッパー プロセスによって特定されたポートを指定して、Sun RPC クエリーをサーバーに送信します。サーバーが応答すると、デバイスはこのパケットを代行受信し、そのポートで TCP と UDP の両方の初期接続を開きます。Sun RPC ペイロード情報の NAT または PAT はサポートされていません。

• tftp ：（UDP ポート 69）。Trivial File Transfer Protocol。インスペクション エンジンは、TFTP 読み取り要求（RRQ）、書き込み要求（WRQ）、およびエラー通知（ERROR）を検査し、必要に応じてダイナミックに接続と変換を作成し、TFTP クライアントとサーバーの間のファイル転送を許可します。

  有効な読み取り要求（RRQ）または書き込み要求（WRQ）を受信すると、必要に応じて、ダイナミックなセカンダリ チャネルと PAT 変換が割り当てられます。このセカンダリ チャネルは、これ以降 TFTP によってファイル転送またはエラー通知用に使用されます。TFTP サーバーだけがセカンダリ チャネル経由のトラフィックを開始できます。また、TFTP クライアントとサーバーの間に存在できる不完全なセカンダリ チャネルは 1 つまでです。サーバーからのエラー通知があると、セカンダリ チャネルは閉じます。TFTP トラフィックのリダイレクトにスタティック PAT が使用されている場合は、TFTP インスペクションをイネーブルにする必要があります。

• xdmcp ：（UDP ポート 177）。X Display Manager Control Protocol。XDMCP は、UDP ポート 177 を使用して X セッションをネゴシエートするプロトコルです。X セッションは確立時に TCP を使用します。XWindows セッションを正常にネゴシエートして開始するために、デバイスは、Xhosted コンピュータからの TCP 戻り接続を許可する必要があります。TCP ポート経由の戻り接続を許可するには、アクセスコントロールルールを使用します。

  XWindows セッション中、マネージャはウェルノウンポート 6000 | n 上でディスプレイ Xserver と通信します。次の端末設定を行うと、各ディスプレイは別々に Xserver と接続します。setenv DISPLAY Xserver:n 、ここで n はディスプレイ番号です。

  XDMCP が使用されている場合、デバイスが必要に応じて NAT を実行できる IP アドレスを使用して、ディスプレイがネゴシエートされます。XDCMP インスペクションでは、PAT はサポートされません。

使用上のガイドライン

接続イベントを記録するために使用する RAM ディスクと物理 SSD を切り替えるには、このコマンドを使用します。有効にすると、接続イベントは RAM ディスクに記録されます。無効にすると、接続イベントは SSD に記録されます。停電が発生すると、RAM ディスクに記録された接続イベントは失われます。

このコマンドは、すべてのデバイスタイプで使用できるわけではありません。サポートされていないプラットフォームでこのコマンドを入力すると、次のメッセージが返されます。

This command is not available on this platform.

使用上のガイドライン

デバイスを Management Center に登録するには、一意の英数字登録キーが常に必要です。

通常は、両方の IP アドレスが必要となります。つまり、Management Center でデバイスの IP アドレスを指定し、デバイスで Management Center の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。Management Center の IP アドレスがわからない場合は、IP アドレスまたはホスト名の代わりに DONTRESOLVE キーワードを使用します。

（注）	管理にデータインターフェイスを使用する場合は、登録用に 脅威に対する防御と Management Center の両方で NAT ID を指定する必要があります。

IPv4 を使用して登録した Management Center とデバイスを IPv6 に変換する場合は、デバイスをいったん削除してから Management Center で再登録する必要があります。

Management Center からローカルの Device Manager に変更するには、configure manager delete コマンドを使用してから configure manager local コマンドを使用します。

（注）	デバイスをある Management Center から別のものに移動したり、ローカルマネージャに変更したりする前に、現在の Management Center から削除してください。

使用上のガイドライン

現在のデバイスマネージャを削除するには、このコマンドを使用します。デバイスはノーマネージャモードになり、リモートマネージャ（Management Center）を追加したり、ローカルマネージャ（Device Manager ）を使用したりすることができるようになります。このコマンドは、ローカル管理とリモート管理を切り替えるときや、リモートマネージャがアクティブでなくなったときに使用します。

デバイスが高可用性用に設定されている場合は、まず、デバイスマネージャ(可能な場合)または configure high-availability disable コマンドを使用して、高可用性設定を中断する必要があります。アクティブなユニットから HA を中断することをお勧めします

このコマンドの動作は、現在のマネージャによって異なります。

• Remote：Management Center に到達できません。Management Center がまだ 脅威に対する防御 と通信している場合は、最初に Management Center のインベントリからデバイスを削除します。その後、このコマンドを使用できます。

• Local：制限なし。すぐにノーマネージャモードに移行します。

使用上のガイドライン

Management Center の IP アドレスまたはホスト名を変更する場合は、設定が一致するようにデバイス CLI で値を変更する必要があります。ほとんどの場合、管理接続はデバイスの Management Center IP アドレスまたはホスト名を変更せずに再確立されますが、少なくともデバイスを Management Center に追加して NAT ID のみを指定した場合は、接続が再確立されるようにするために、このタスクを実行する必要があります。他の場合でも、Management Center IP アドレスまたはホスト名を最新の状態に維持して、ネットワークの復元力を高めることを推奨します。

Management Center が DONTRESOLVE と NAT ID によって最初に識別された場合、このコマンドを使用して値をホスト名または IP アドレスに変更できます。IP アドレスまたはホスト名を DONTRESOLVE に変更することはできません。

管理接続がダウンした後、再確立されます。sftunnel-status コマンドを使用して、接続の状態をモニターできます。

使用上のガイドライン

このコマンドを使用して、ローカルマネージャである Device Manager を有効にします。個別の Management Center を使用しない場合は、ローカルマネージャを使用します。ローカルマネージャを有効にすると、http://management_ip_address でブラウザを使用して Device Manager を開くことができます。

（注）	システムがデータベースを再初期化する必要があるため、コマンドの完了に最大 4 〜 6 分かかります。Please be patient.

使用上のガイドライン

ミニコアダンプの生成はデフォルトで有効になっています。

Snort 3 プロセスは、そのマルチスレッドの性質により、巨大なコアファイルをダンプします。これらのダンプは、ハードディスクに書き込まれるまでに時間がかかります。コアが書き込まれて新しいプロセスが開始されるまで、Snort のトラフィック検査は中断されます。ミニコアダンプを作成すると、時間の遅延が回避されます。ミニコアダンプには、デバッグに役立つスタックとメモリ値の重要な詳細が含まれています。

使用上のガイドライン

DNS 検索ドメインの現在のリストを新しいリストに置き換えるには、このコマンドを使用します。これらのドメインは、コマンド（ping system など）に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

DNS サーバーの現在のリストを新しいリストに置き換えるには、このコマンドを使用します。これらのサーバーは管理インターフェイスでのみ使用されます。データインターフェイスを通過するコマンドの完全修飾ドメイン名を解決することはできません。

バージョン 6.3 以降、ローカル管理デバイス限定で、データインターフェイスおよび管理インターフェイスが同じ DNS グループを使用している場合、そのグループがマネージャからの次の展開時に更新されます。これは、データインターフェイスで使用されている DNS グループにも変更が適用されることを意味します。管理インターフェイスの変更はすぐに反映されます。すべての DNS 変更は、このコマンドを使用するのではなく、ローカルマネージャから行うことを推奨します。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

システムホスト名は複数の場所で定義されます。マネージャからホスト名を更新すると、システムはすべてのプロセスでホスト名を同期します。Device Manager （ローカルマネージャ）を使用しているときにこのコマンドを使用する場合は、すべてのシステムプロセスで同じ名前が使用されるように、Device Manager から変更を展開して更新を完了する必要があります。

使用上のガイドライン

このコマンドを使用して、デバイスの HTTP プロキシアドレスを設定します。コマンド発行後に、HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかをユーザーは尋ねられます。認証が必要な場合はプロキシのユーザー名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。

使用上のガイドライン

デバイスの管理インターフェイスの IPv4 設定を無効にするには、このコマンドを使用します。削除した IP アドレスに接続すると、デバイスへの接続が失われます。IPv4 アドレスを削除する前に、IPv6 アドレスが設定されていることを確認します。

IPv4 アドレスを変更するために設定を削除する必要はありません。IPv4 アドレッシングを維持しつつ、アドレスのみを変更する場合は、configure network ipv4 manual コマンドか configure network ipv4 dhcp コマンドを使用します。

使用上のガイドライン

このコマンドを使用して、デバイスの管理インターフェイスが DHCP サーバーから IPv4 設定を受信するように指定します。管理インターフェイスは DHCP サーバーと通信して、設定情報を取得します。

（注）

configure network management-data-interface コマンドを使用して Management Center アクセス用のデータインターフェイスを設定している場合、管理インターフェイスの DHCP を使用することはできないため、IP アドレスを手動で設定する必要があります。これは、data-interfaces である必要があるデフォルトルートが DHCP サーバーから受信したルートで上書きされる可能性があるためです。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。この IP アドレスは、トラフィックがデータインターフェイスに転送されるときに NAT 処理されます。

使用上のガイドライン

いずれかのバージョンの IP アドレスを指定しなかった場合でも、このコマンドの IPv4 バージョンと IPv6 バージョンの両方を入力して、設定を工場出荷時のデフォルトに復元する必要があります。

使用上のガイドライン

管理インターフェイスにアクティブな DHCP サーバーがある場合は、それを無効にできます。無効になっている場合、管理ネットワーク上のクライアントに静的アドレスを設定するか、ネットワーク上の別のデバイスを DHCP サーバーサービスを提供するデバイスとして設定する必要があります。

DHCP を使用してアドレスを取得するように管理 IP アドレスを変更すると、DHCP サーバーは（有効な場合）自動的に無効になります。

使用上のガイドライン

管理インターフェイスの手動（静的）IPv4 アドレスを設定する場合は、管理ネットワーク上のエンドポイントにアドレスを提供するように DHCP サーバーを設定できます。

サーバーを有効にする前に、管理ネットワーク上に他の DHCP サーバーがないことを確認します。ネットワークごとに最大 1 台の DHCP サーバーを設定できます。1 台を超えると、予測できない結果が生じることがあります。

（注）	このコマンドは、Threat Defense Virtual デバイスではサポートされません。

使用上のガイドライン

configure network management-data-interface コマンドを使用して Management Center アクセス用のデータインターフェイスを設定する場合は、手動 IP アドレス（IPv4 または IPv6）を設定する必要があります。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。この IP アドレスは、トラフィックがデータインターフェイスに転送されるときに NAT 処理されます。data-interfaces である必要があるデフォルトルートは、DHCP サーバーから受信したルートで上書きされる可能性があるため、DHCP（デフォルト）は使用できません。

使用上のガイドライン

このコマンドを使用して、デバイスの管理インターフェイスの IPv6 設定を無効にします。削除する IP アドレスに接続している場合、デバイスへの接続が失われます。IPv6 アドレスを削除する前に、IPv4 アドレスが設定されていることを確認します。

IPv6 アドレスを変更するために設定を削除する必要はありません。IPv6 アドレッシングを維持しつつ、アドレスのみを変更する場合は、configure network ipv6 {manual | dhcp | router} コマンドを使用します。

使用上のガイドライン

これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。

使用上のガイドライン

このコマンドを使用して、デバイスの管理インターフェイスが DHCP サーバーから IPv6 設定を受信するように指定します。管理インターフェイスは DHCP サーバーと通信して、設定情報を取得します。

（注）

configure network management-data-interface コマンドを使用して Management Center アクセス用のデータインターフェイスを設定している場合、管理インターフェイスの DHCP を使用することはできないため、IP アドレスを手動で設定する必要があります。これは、data-interfaces である必要があるデフォルトルートが DHCP サーバーから受信したルートで上書きされる可能性があるためです。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。この IP アドレスは、トラフィックがデータインターフェイスに転送されるときに NAT 処理されます。

使用上のガイドライン

いずれかのバージョンの IP アドレスを指定しなかった場合でも、このコマンドの IPv4 バージョンと IPv6 バージョンの両方を入力して、設定を工場出荷時のデフォルトに復元する必要があります。

使用上のガイドライン

これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

使用上のガイドライン

configure network management-data-interface コマンドを使用して Management Center アクセス用のデータインターフェイスを設定する場合は、手動 IP アドレス（IPv4 または IPv6）を設定する必要があります。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。この IP アドレスは、トラフィックがデータインターフェイスに転送されるときに NAT 処理されます。data-interfaces である必要があるデフォルトルートは、DHCP サーバーから受信したルートで上書きされる可能性があるため、DHCP（デフォルト）は使用できません。

使用上のガイドライン

このコマンドを使用して、デバイスの管理インターフェイスがルータから IPv6 の設定を受信するように指定します。管理インターフェイスは IPv6 ルータと通信して、設定情報を取得します。

使用上のガイドライン

最初にこのコマンドを設定するときに引数を指定しない場合は、データインターフェイスの基本的なネットワーク設定を行うためのウィザードが表示されます。

（注）	このコマンドを使用する場合は、コンソールポートを使用する必要があります。管理インターフェイスに SSH を使用すると、接続が切断され、コンソールポートに再接続する必要が生じる場合があります。SSH の詳細な使用方法については、次を参照してください。

Management Center でセカンダリ管理インターフェイスを設定する場合、このコマンドを使用して編集できます。CLI でセカンダリインターフェイスを手動で追加することはできません。Management Center を使用する必要があります。

このコマンドの使用については、次の詳細を参照してください。

• データインターフェイスを管理に使用する場合、元の管理インターフェイスは DHCP を使用できません。初期セットアップ時に IP アドレスを手動で設定しなかった場合は、configure network {ipv4 | ipv6} manual コマンド を使用して設定できるようになりました。管理インターフェイス ゲートウェイを data-interfaces に設定しなかった場合は、ここでこのコマンドで設定します。

• データインターフェイスからの Management Center アクセスには、次の制限があります。

  • マネージャアクセスを有効にできるのは、1 つの物理的なデータインターフェイスのみです。サブインターフェイスと EtherChannel は使用できません。冗長性を目的として、Management Center の単一のセカンダリインターフェイスでマネージャアクセスを有効にすることもできます。

  • このインターフェイスは管理専用にできません。

  • ルーテッドインターフェイスを使用するルーテッドファイアウォールモードのみです。

  • PPPoE はサポートされていません。ISP で PPPoE が必要な場合は、PPPoE をサポートするルータを Threat Defense と WAN モデムの間に配置する必要があります。

  • インターフェイスを配置する必要があるのはグローバル VRF のみです。

  • SSH はデータインターフェイスではデフォルトで有効になっていないため、後で Management Center を使用して SSH を有効にする必要があります。また、管理インターフェイス ゲートウェイがデータインターフェイスに変更されるため、configure network static-routes コマンドを使用して管理インターフェイス用の静的ルートを追加しない限り、リモートネットワークから管理インターフェイスに SSH 接続することはできません。Amazon Web Services の Threat Defense Virtual の場合、コンソールポートは使用できないため、管理インターフェイスへの SSH アクセスを維持する必要があります。設定を続行する前に、管理用の静的ルートを追加します。または、マネージャアクセス用のデータインターフェイスを設定する前に、すべての CLI 構成（configure manager add コマンドを含む）を終了してから接続を切断します。

  • 管理インターフェイスとイベント専用インターフェイスを別々に使用することはできません。

  • ハイ アベイラビリティはサポートされません。この場合、管理インターフェイスを使用する必要があります。

  • クラスタリングはサポートされません。この場合、管理インターフェイスを使用する必要があります。

• 脅威に対する防御 を Management Center に追加すると、Management Center はインターフェイス設定（インターフェイス名と IP アドレス、ゲートウェイへの静的ルート、DNS サーバー、DDNS サーバーなど）を検出して維持します。DNS サーバー設定の詳細については、次を参照してください。Management Center では、後で Management Center アクセスインターフェイス設定を変更できますが、脅威に対する防御 または Management Center が管理接続による再確立を妨げるような変更を加えないようにしてください。管理接続が中断された場合、脅威に対する防御 には以前の展開を復元する configure policy rollback コマンドが含まれます。

• DDNS サーバー更新の URL を設定すると、脅威に対する防御 は Cisco Trusted Root CA バンドルからすべての主要 CA の証明書を自動的に追加するため、脅威に対する防御 は HTTPS 接続の DDNS サーバー証明書を検証できます。脅威に対する防御 は、DynDNS リモート API 仕様（https://help.dyn.com/remote-access-api/）を使用するすべての DDNS サーバーをサポートします。

• このコマンドは、「データ」インターフェイス DNS サーバーを設定します。セットアップスクリプトで（または configure network dns servers コマンドを使用して）設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。

  Management Center では、この 脅威に対する防御 に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。Management Center に 脅威に対する防御 を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む 脅威に対する防御 に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。Management Center と 脅威に対する防御 を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

  また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ Management Center で保持されます。たとえば、管理インターフェイスを使用してデバイスを登録し、後で configure network management-data-interface コマンドを使用してデータインターフェイスを設定した場合、脅威に対する防御 設定と一致するように、DNS サーバーを含むすべての設定を Management Center で手動で設定する必要があります。

• 管理インターフェイスは、脅威に対する防御 を Management Center に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

• セットアップウィザードで設定した FQDN がこのインターフェイスに使用されます。

• コマンドの一部としてデバイス設定全体をクリアできます。このオプションはリカバリシナリオで使用できますが、初期セットアップや通常の操作には使用しないでください。

• データ管理を無効にするには、configure network management-data-interface disable コマンドを入力します。

使用上のガイドライン

デバイスを管理する場合、Management Center 管理インターフェイスには 2 つの別個のトラフィック チャネルがあります。管理トラフィック チャネルはすべての内部トラフィック（デバイスの管理に固有のデバイス間トラフィックなど）を伝送し、イベント トラフィック チャネルはすべてイベント トラフィック（Web イベントなど）を伝送します。必要に応じて、Management Center で個別のイベント専用インターフェイスを設定し、イベントトラフィックを処理することもできます（Management Center Web インターフェースで、この設定が実行されていることを確認してください）。イベント専用インターフェイスは 1 つだけ設定できます。イベント トラフィックは大量の帯域幅を使用する可能性があるので、管理トラフィックからイベント トラフィックを分離することで、Management Center のパフォーマンスを向上させることができます。

Firepower 4100 シリーズと 9300 シリーズのデバイスでは、論理デバイスに割り当てる mgmt タイプのインターフェイスは、脅威に対する防御 アプリケーションでデフォルトの management0 インターフェイスとして指定されます。このインターフェイスには、デフォルトで管理チャンネルとイベントチャンネルの両方が含まれています。Management Center で別のイベントインターフェイスを設定した場合は、Firepower 4100 または 9300 デバイスで、脅威に対する防御 論理デバイスに eventing-type インターフェイスを割り当てることで分離を活用することができます。このインターフェイスは、management1 インターフェイスとして指定されます。可能であれば、デバイス イベント インターフェイスと Management Center イベント インターフェイスの間で、イベント トラフィックが送信されます。イベント ネットワークがダウンすると、イベント トラフィックは、デフォルトの管理インターフェイスに戻ります。可能な場合には別個のイベント インターフェイスが使用されますが、管理インターフェイスが常にバックアップとなります。

Management Center イベント専用インターフェイスは管理チャネルのトラフィックを受け入れることができないので、デバイス イベント インターフェイスで管理チャネルを単に無効にしてください。必要に応じて、管理インターフェイスのイベントを無効にすることができます。いずれの場合も、デバイスは、イベントのみのインターフェイス上でイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベント チャネルが無効になっていても、管理インターフェイス上でイベントを送信します。

イベントインターフェイスを論理デバイスに割り当てても、このインターフェイスは有効になっておらず、ネットワーク設定も設定されていません。脅威に対する防御 CLI にアクセスし、configure network management-interface コマンドを使用して有効にする必要があります。次に、configure network {ipv4 | ipv6} manual コマンドを使用して管理インターフェイスのアドレスを設定します。

使用上のガイドライン

Management Center への管理接続に使用するポートを変更するには、このコマンドを使用します。このコマンドを使用しても、ローカルマネージャである Device Manager で使用されるポートが変更されることはありません。このコマンドは、configure network management-interface tcpport コマンドと同等です。両方のコマンドを使用する必要はありません。

使用上のガイドライン

このコマンドは、configure network management-interface mtu-event-channel および configure network management-interface mtu-management-channel コマンドと同等です。両方のコマンドを使用する必要はありません。

使用上のガイドライン

SFP 機能に関係なく、速度を特定の速度に設定する場合を除き、デフォルトの sfp-detect を使用することをお勧めします。

使用上のガイドライン

configure network management-interface コマンドを使用してイベント専用インターフェイスを設定する際、そのインターフェイスが管理インターフェイスとは別のネットワーク上に存在する場合は、スタティックルートを設定する必要があります。スタティックルートは、through-the-box トラフィック（データインターフェイス上のトラフィック）には影響しません。スタティックルートがない場合、すべての管理トラフィックは、デフォルト管理インターフェイスのゲートウェイとして指定されたデフォルトルートを使用します。通常、単一の管理インターフェイスを使用する場合、またはイベント専用インターフェイスが同じネットワーク上にある場合、スタティックルートは必要ありません。

（注）	デフォルトルートの場合は、このコマンドを使用しないでください。デフォルト管理インターフェイスに対して configure network ipv4 コマンドまたは ipv6 コマンドを使用する場合は、デフォルト ルート ゲートウェイの IP アドレスしか変更できません。

使用上のガイドライン

このコマンドを使用すると、現在のユーザーは CLI でパスワードを変更できます。コマンドを発行すると、CLI は現在の（古い）パスワードを入力するようユーザーに要求し、その後で新しいパスワードを 2 回入力するよう要求します。

使用上のガイドライン

Management Center の管理に 脅威に対する防御 でデータインターフェイスを使用し（configure network management-data-interface を参照）、ネットワーク接続に影響する Management Center からの設定変更を展開する場合、脅威に対する防御 の設定を last-deployed 設定にロールバックするため、管理接続を復元できます。その後、ネットワーク接続が維持されるように Management Center で構成設定を調整し、再展開できます。ロールバック機能は、接続が失われていない場合でも使用でき、このトラブルシューティングの状況以外でも使用できます。

次のガイドラインを参照してください。

• 前回の展開のみ 脅威に対する防御 でローカルに使用できます。さらに以前の展開にロールバックすることはできません。

• ロールバックは Management Center 7.2 以降は高可用性でサポートされています。

• ロールバックは、クラスタリング展開ではサポートされていません。

• ロールバックは、Management Center で設定できる設定にのみ影響します。たとえば、ロールバックは、脅威に対する防御 CLI でのみ設定できる専用管理インターフェイスに関連するローカル構成には影響しません。configure network management-data-interface コマンドを使用した最後の Management Center 展開後にデータインターフェイス設定を変更し、rollback コマンドを使用すると、それらの設定は保持されないことに注意してください。最後に展開された Management Center 設定にロールバックされます。

• UCAPL/CC モードはロールバックできません。

• 以前の展開中に更新されたアウトオブバンド SCEP 証明書データはロールバックできません。

• ロールバック中に、現在の設定がクリアされるため、接続がドロップされます。

ロールバック後、脅威に対する防御 はロールバックが正常に完了したことを Management Center に通知します。Management Center では、設定がロールバックされたことを示すバナーが展開画面に表示されます。

ロールバックが失敗した場合、一般的な展開の問題についてhttps://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.htmlを参照してください。場合によっては、Management Center 管理アクセスの復元後にロールバックが失敗することがあります。この場合、Management Center 設定の問題を解決して、Management Center から再展開できます。

使用上のガイドライン

ファイアウォールの電源が入っている状態で Threat Defense CLI で次のタスクを実行できます。

• SSD の 1 つをホットスワップする：SSD に障害がある場合は、交換できます。SSD が 1 つしかない場合、ファイアウォールの電源がオンになっている間 SSD は取り外せません。

• SSD の 1 つを取り外す：SSD が 2 つある場合は、1 つを取り外すことができます。

• 2 つ目の SSD を追加する：SSD が 1 つの場合は、2 つ目の SSD を追加して RAID を形成できます。

注意	この手順を使用して、SSD を RAID から削除する前に SSD を取り外さないでください。データが失われる可能性があります。

使用上のガイドライン

preserve-connection を有効にすると、Snort がダウンしても、既存の接続は確立されたままになります。Snort が使用可能になると、これらの確立された接続は Snort 検査をバイパスし続けます。Snort 検査が必要な新しい接続は、Snort が再び使用可能になるまでドロップされます。

使用上のガイドライン

サポートされているすべてのホストまたはネットワークを 1 つのコマンドに含める必要があります。このコマンドで指定したアドレスで、SSH アクセスリストの現在の内容が上書きされます。

SSH アクセスを許可するだけでは、ユーザーはローカルマネージャにログインできません。設定ソフトウェアへのアクセスは、ユーザー名とパスワードによって制御されます。

現在 CLI にログインしている IP アドレスを除外すると、接続が切断されます。CLI に再度アクセスするには、IP アドレスを変更する必要があります。

デバイスがローカル管理の高可用性グループ内のユニットである場合、アクティブユニットが次に設定の更新を展開するときに変更が上書きされます。これがアクティブユニットの場合、展開中に変更がピアに伝播されます。

使用上のガイドライン

このコマンドは、クライアントがデバイスへの HTTPS Web アクセスに使用できるプロトコルを設定します。これは、ローカルマネージャである Device Manager で使用されます。リモートマネージャでは使用できません。

（注）	このコマンドを使用して、デバイスとの通信に現在使用しているプロトコルを無効にすると、接続が失われます。

使用上のガイドライン

個々の TCP 接続には 2 つの初期シーケンス番号（ISN）があり、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバーで生成されます。脅威に対する防御 デバイスは、着信と発信の両方向で通過する TCP SYN の ISN をランダム化します。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

たとえば、データがスクランブルされるため、必要に応じて TCP 初期シーケンス番号ランダム化をディセーブルにすることができます。たとえば、連続番号が付いた TCP パケットに依存するソフトウェアテストツール、ソフトウェア製品、またはハードウェアデバイスを使用しているとします。TCP ランダム化設定を変更すると、デバイス上のすべてのインターフェイスとすべてのトラフィックに影響します。特定のインターフェイスまたはトラフィッククラスを指定して変更することはできません。

TCP シーケンス番号のランダム化は、ランダム化による特定の問題が発生した場合にのみ無効にする必要があります。

（注）	Device Manager を使用している場合は、TCP シーケンス番号のランダム化を無効にできますが、Device Manager から設定を展開するたびに、この機能は再度有効になります。TCP シーケンス番号のランダム化を無効のままにしておく場合は、展開が完了するたびにコマンドを再入力する必要があります。

使用上のガイドライン

CC/UCAPL コンプライアンスモードで実行している場合は、ロックアウトされたユーザーのグローバルロック解除時間を設定できます。設定された時間が経過すると、ユーザーアカウントの最大ログイン試行失敗回数を超えた特定のユーザーのアカウントはロック解除され、ユーザーは再試行できるようになります。ログイン試行の失敗が許可される最大回数を設定するには、configure user maxfailedlogins コマンドを使用します。

ロック解除時間を設定した場合でも、configure user unlock コマンドを使用してユーザーアカウントをいつでもロック解除できます。ユーザーは、ロック解除時間が経過するまで待つ必要はありません。

使用上のガイドライン

ユーザーアカウントを作成するときに、ユーザーのアクセス権を指定します。configure user access コマンドを使用して、指定したユーザーのアクセスレベルを変更します。このコマンドは、該当ユーザーが次にログインするときに有効になります。

使用上のガイドライン

指定した名前、アクセスレベル、およびパスワードで新しいユーザーを作成するには、このコマンドを使用します。このコマンドは、パスワードを要求するコマンドプロンプトを表示します。他のすべてのアカウントプロパティは、デフォルトのプロパティで設定されます。

使用上のガイドライン

ユーザーアカウントを削除せずに無効にするには、このコマンドを使用します。無効なユーザーはログインできません。無効なユーザーアカウントを再度有効にするには、configure user enable コマンドを使用します。