Cisco ASA シリーズ コマンド リファレンス、I ～ R コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの MFIB 転送をイネーブルにします

 

コマンド履歴

 

使用上のガイドライン

マルチキャスト ルーティングをイネーブルにすると、デフォルトではすべてのインターフェイスで MFIB 転送がイネーブルになります。特定のインターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。実行コンフィギュレーションには、このコマンドの no 形式だけが表示されます。

インターフェイスで MFIB 転送がディセーブルになっている場合、特に他の方法を設定しない限り、そのインターフェイスはマルチキャスト パケットを受け付けません。MFIB 転送がディセーブルになっていると、IGMP パケットも阻止されます。

例

次に、指定されたインターフェイスで MFIB 転送をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

migrate l2l コマンドを使用すると、LAN-to-LAN のすべての IKEv1 設定が IKEv2 に移行されます。

overwrite キーワードを使用すると、既存の IKEv2 設定がある場合に、ASA で移行されたコマンドとマージされるのではなく、それらのコマンドで上書きされます。

migrate remote-access コマンドを使用すると、IKEv1 または SSL の設定が IKEv2 に移行されます。ただし、次の設定タスクは別途実行する必要があります。

• webvpn コンフィギュレーション モードで AnyConnect クライアント パッケージ ファイルをロードします。
• AnyConnect クライアント プロファイルを設定し、グループ ポリシーに対して指定します。
• IKEv1 接続にカスタマイゼーション オブジェクトを使用している場合は、IKEv2 接続に使用するトンネル グループにそれらを関連付けます。
• サーバ認証のアイデンティティ証明書（トラストポイント）を crypto ikev2 remote-access trust-point コマンドを使用して指定します。このトラストポイントは、IKEv2 で接続しているリモートの AnyConnect クライアントに ASA を認証するときに使用します。
• デフォルトのもの以外にもトンネル グループおよび/またはグループ ポリシーを設定している場合は、それらに対して IKEv2 または SSL を指定します（デフォルトの DefaultWEBVPNGroup トンネル グループとデフォルトのグループ ポリシーは IKEv2 または SSL を許可するように設定されています）。
• クライアントからデフォルト以外のグループに接続できるようにするには、トンネル グループでグループのエイリアスまたは URL を設定します。
• 外部のグループ ポリシーやユーザ レコードを更新します。
• グローバル、トンネル グループ、またはグループ ポリシーのその他の設定でクライアントの動作を変更します。
• クライアントで IKEv2 のファイルのダウンロードやソフトウェアのアップグレードに使用するポートを crypto ikev2 enable <interface> [client-services [port]] コマンドを使用して設定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのサイズは 0 KB です。

 

コマンド履歴

 

使用上のガイドライン

最小オブジェクト サイズは、最大オブジェクト サイズよりも小さい値である必要があります。キャッシュ圧縮がイネーブルになっている場合、ASA は、オブジェクトを圧縮してからサイズを計算します。

例

次に、最大オブジェクト サイズを 40 KB に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

パスを指定しないと、現在の作業ディレクトリにディレクトリが作成されます。

 

コマンド履歴

 

使用上のガイドライン

同じ名前のディレクトリがすでに存在する場合、新規のディレクトリは作成されません。

例

次に、新規ディレクトリを「backup」という名前で作成する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

このコマンドを実行する前のデフォルトの動作では、モバイル デバイスによって、クライアントレス VPN アクセスにミニ ポータルを使用するかフル ポータルを使用するかが異なります。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、Cisco Technical Assistance Center（TAC）から推奨された場合にのみ使用してください。

例

すべてのモバイル デバイスのクライアントレス VPN アクセス ポータルをフルブラウザ ポータルに変更します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

マルチ コンテキスト モードでは、ASA に各コンテキストのコンフィギュレーションが含まれ、それぞれのコンフィギュレーションでは、スタンドアロン デバイスに設定できるセキュリティ ポリシー、インターフェイス、およびほぼすべてのオプションが識別されます（コンテキスト コンフィギュレーションの場所を識別するには、 config-url コマンドを参照してください）。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに（サーバからコンテキストをダウンロードするなど）、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

mode コマンドを使用してコンテキスト モードを変更すると、再起動するように求められます。

コンテキスト モード（シングルまたはマルチ）は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、 mode コマンドを使用して、新規デバイスのモードを match に設定します。

シングル モードからマルチ モードに変換すると、ASA は実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーションと、（内部フラッシュ メモリのルート ディレクトリの）管理コンテキストで構成される admin.cfg です。元の実行コンフィギュレーションは、old_running.cfg として（内部フラッシュ メモリのルート ディレクトリに）保存されます。元のスタートアップ コンフィギュレーションは保存されません。ASA は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。

マルチ モードからシングル モードに変換する場合は、先にスタートアップ コンフィギュレーション全体（使用可能な場合）を ASA にコピーすることを推奨します。マルチ モードから継承されるシステム コンフィギュレーションは、シングル モード デバイスで完全に機能するコンフィギュレーションではありません。

マルチ コンテキスト モードのすべての機能がサポートされるわけではありません。詳細については、CLI 設定ガイド を参照してください。

例

次に、モードを multiple に設定する例を示します。

次に、モードを single に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

物理インターフェイスとサービス モジュールのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

ASA についてモニタできるインターフェイスの数はプラットフォームごとに異なり、 show failover コマンドの出力で確認できます。

インターフェイス ポーリング頻度ごとに、ASA フェールオーバー ペア間で hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ～ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと（25 秒間）、そのインターフェイスでテストが開始します。

モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

• Unknown：初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。
• Normal：インターフェイスはトラフィックを受信しています。
• Testing：ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。
• Link Down：インターフェイスまたは VLAN は管理のためにダウンしています。
• No Link：インターフェイスの物理リンクがダウンしています。
• Failed：インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

アクティブ/アクティブ フェールオーバーでは、このコマンドはコンテキスト内でだけ有効です。

例

次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにしています。

 

関連コマンド

 

構文の説明

 

デフォルト

ASCII モード

 

コマンド履歴

 

使用上のガイドライン

more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスを入力するように求めます。

（注） more コマンドを使用して保存したコンフィギュレーション ファイルを表示すると、このコンフィギュレーション ファイルのトンネル グループ パスワードがクリア テキストに表示されます。

例

次に、「test.cfg」というローカル ファイルの内容を表示する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

mount コマンドは、Installable File System（IFS）を使用して、CIFS ファイル システムをマウントします。IFS（ファイル システム API）を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

mount コマンドは、セキュリティ アプライアンス上の CIFS ファイル システムを UNIX ファイル ツリーにアタッチします。逆に、 no mount コマンドはそのアタッチを解除します。

mount コマンドに指定されている mount-name は、セキュリティ アプライアンスにすでにマウントされているファイル システムを参照するために、他の CLI コマンドで使用されます。たとえば、ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。

CIFS リモート ファイル アクセス プロトコルは、アプリケーションがローカル ディスクおよびネットワーク ファイル サーバ上のデータを共有する方法と互換性があります。TCP/IP を運用し、インターネットのグローバル DNS を使用する CIFS は、Windows オペレーティング システムにネイティブのファイル共有プロトコルである Microsoft のオープンでクロス プラットフォームのサーバ メッセージ ブロック（SMB）プロトコルを拡張したものです。

mount コマンドを使用した後は、必ずルート シェルを終了してください。mount-cifs-config モードの exit キーワードは、ユーザをグローバル コンフィギュレーション モードに戻します。

再接続するには、接続をストレージに再マッピングします。

（注） CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています（mount name type ftp コマンドを参照）。このリリースではネットワーク ファイル システム（NFS）ボリュームのマウントはサポートされていません。

例

次に、 cifs://amer;chief:big-boy@myfiler02/my_share を cifs_share というラベルとしてマウントする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

mount name type ftp コマンドは、Installable File System（IFS）を使用して、指定されたネットワーク ファイル システムをマウントします。IFS（ファイル システム API）を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。

FTP ファイル システムが実際にマウントされていることを確認するには、 dir all-filesystems 命令を使用します。

mount コマンドに指定されているマウント名は、他の CLI コマンドがセキュリティ アプライアンスですでにマウントされているファイル システムを参照するときに使用されます。たとえば、ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。

（注） FTP タイプのマウントの作成時に mount コマンドを使用するには、FTP サーバに UNIX ディレクトリ リスト スタイルが必要です。Microsoft FTP サーバには、デフォルトで MS-DOS ディレクトリ リスト スタイルがあります。

（注） CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています（mount name type ftp コマンドを参照）。このリリースではネットワーク ファイル システム（NFS）ボリュームのマウントはサポートされていません。

例

次に、 ftp://amor;chief:big-kid@myfiler02 を my ftp: というラベルとしてマウントする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、マルチキャスト送信元の検索場所をスタティックに設定できます。ASA は、特定の送信元にユニキャスト パケットを送信する際に使用したものと同じインターフェイスでマルチキャスト パケットを受信するものと想定します。場合によっては、マルチキャスト ルーティングをサポートしないルートをバイパスするなど、マルチキャスト パケットがユニキャスト パケットとは別のパスをたどることがあります。

スタティック マルチキャスト ルートはアドバタイズも再配布もされません。

マルチキャスト ルート テーブルの内容を表示するには、 show mroute コマンドを使用します。実行コンフィギュレーションで mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。

例

次に、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトでは、MS-CHAPv2 はイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

ASA と RADIUS サーバとの間で VPN 接続に使用されるプロトコルとして MS-CHAPv2 をイネーブルにするには、トンネル グループ一般属性でパスワード管理をイネーブルにする必要があります。パスワード管理をイネーブルにすると、ASA から RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、 password-management コマンドの説明を参照してください。

二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバが MS-CHAPv2 をサポートしない場合は、 no mschapv2-capable コマンドを使用して、そのサーバが MS-CHAPv2 以外の認証要求を送信するように設定できます。

例

次に、RADIUS サーバ authsrv1.cisco.com の MS-CHAPv2 をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、msie-proxy except-list はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次に、Microsoft Internet Explorer のプロキシ例外リストを設定する例を示します。IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象とします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、msie-proxy local-bypass はディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer のプロキシ ローカル バイパスをイネーブルにする例を示します。

ciscoasa(config-group-policy)#

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのグループ ポリシーでのこのコマンドのデフォルト値はイネーブルです。グループ ポリシーそれぞれがデフォルトのグループ ポリシーからデフォルト値を継承します。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ユーザ レジストリを AnyConnect VPN セッションの間、一時的に変更します。AnyConnect が VPN セッションを閉じると、レジストリはセッション前の状態に戻ります。

この機能をイネーブルにして、ユーザがプロキシ サービスを指定して LAN 設定を変更することを防止できます。これらの設定へのユーザ アクセスを防止すると、AnyConnect セッション中のエンドポイント セキュリティが向上します。

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次の例では、AnyConnect セッションの間、接続タブを非表示にします。

次の例では、接続タブをそのままにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのメソッドは use-server です。

 

コマンド履歴

 

使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行には、最大 100 文字含めることができます。

このコマンドでサポートされるオプションの組み合わせは次のとおりです。

• [no] msie-proxy method no-proxy
• [no] msie-proxy method no-modify
• [no] msie-proxy method [auto-detect] [use-server] [use-pac-url]

テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション（.pac）ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルは、Web サーバにあります。 use-pac-url を指定すると、ブラウザは.pac ファイルを使用してプロキシ設定を判別します。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定として自動検出を設定する例を示します。

次に、クライアント PC のサーバとしてサーバ QASERVER、ポート 1001 を使用するように、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は none です。

 

コマンド履歴

 

使用上のガイドライン

要件

プロキシ自動コンフィギュレーション機能を使用するには、リモート ユーザは Cisco AnyConnect VPN クライアントを使用する必要があります。プロキシ自動コンフィギュレーション URL の使用をイネーブルにするには、 msie-proxy method コマンドを use-pac-url オプションとともに設定する必要があります。

このコマンドを使用する理由

多くのネットワーク環境が、Web ブラウザを特定のネットワーク リソースに接続する HTTP プロキシを定義しています。HTTP トラフィックがネットワーク リソースに到達できるのは、プロキシがブラウザに指定され、クライアントが HTTP トラフィックをプロキシにルーティングする場合だけです。SSLVPN トンネルにより、HTTP プロキシの定義が複雑になります。企業ネットワークにトンネリングするときに必要なプロキシが、ブロードバンド接続経由でインターネットに接続されるときや、サード パーティ ネットワーク上にあるときに必要なものとは異なることがあるためです。

また、大規模ネットワークを構築している企業では、複数のプロキシ サーバを設定し、一時的な状態に基づいてユーザがその中からプロキシ サーバを選択できるようにすることが必要になる場合があります。.pac ファイルを使用すると、管理者は数多くのプロキシからどのプロキシを社内のすべてのクライアント コンピュータに使用するかを決定する単一のスクリプト ファイルを作成できます。

次に、PAC ファイルを使用する例をいくつか示します。

• ロード バランシングのためリストからプロキシをランダムに選択します。
• サーバのメンテナンス スケジュールに対応するために、時刻または曜日別にプロキシを交代で使用します。
• プライマリ プロキシで障害が発生した場合に備えて、使用するバックアップ プロキシ サーバを指定します。
• ローカル サブネットを元に、ローミング ユーザ用に最も近いプロキシを指定します。

プロキシ自動コンフィギュレーション機能の使用方法

テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション（.pac）ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。次に、 msie-proxy method コマンドに use-pac-url を指定すると、ブラウザは.pac ファイルを使用してプロキシ設定を判別します。

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次に、FirstGroup というグループ ポリシーのプロキシ設定を www.example.com という URL から取得するように、ブラウザを設定する例を示します。

次に、FirstGroup というグループ ポリシーのプロキシ自動コンフィギュレーション機能をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、no msie-proxy server が指定されます。

 

コマンド履歴

 

使用上のガイドライン

プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。

プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。

例

次に、Microsoft Internet Explorer プロキシ サーバとして IP アドレス 192.168.10.1 を設定し、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象にする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

イーサネット インターフェイスのデフォルトの bytes は 1500 です。

 

コマンド履歴

 

使用上のガイドライン

mtu コマンドを使用すると、接続上で送信されるペイロード サイズ（レイヤ 2 ヘッダーまたは VLAN タギングを除く）を設定できます。MTU 値よりも大きいデータは、送信前にフラグメント化されます。イーサネット インターフェイスのデフォルト MTU は 1500 バイトです（これは、ジャンボ フレーム予約なしの最大サイズでもある）。この場合、レイヤ 2 ヘッダー（14バイト）と VLAN タギング（4バイト）を持つパケットのサイズは 1518 バイトです。ほとんどのアプリケーションではこの値で十分ですが、ネットワーク状況によってはこれよりも小さい値にすることもできます。

ASA は、IP パス MTU ディスカバリを（RFC 1191 での規定に従って）サポートします。これにより、ホストはパスに沿ったさまざまなリンクで許容される最大 MTU サイズをダイナミックに検出し、各サイズの差に対処できます。パケットがインターフェイスに対して設定されている MTU よりも大きくなっているものの、「Don't Fragment」（DF）ビットが設定されているために、ASA がデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、メッセージを送信ホストに送信して、問題を警告します。送信ホストは、パスに沿ったすべてのリンクのうち最小のパケット サイズに適合するように、宛先へのパケットをフラグメント化する必要があります。

レイヤ 2 トンネリング プロトコル（L2TP）を使用するときは、L2TP ヘッダーと IPsec ヘッダーの長さを踏まえて MTU サイズを 1380 に設定することを推奨します。

IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。

バージョン 9.1(6) 以降では、ASA が使用できる最大 MTU は 9198 バイトです。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。

例

次に、インターフェイスの MTU を指定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの MTU は 1500 バイトです。

 

コマンド履歴

 

使用上のガイドライン

MTU を 1600 バイト以上に設定することを推奨します。このようにするには、 jumbo-frame reservation コマンドを使用してジャンボ フレームの予約をイネーブルにする必要があります。

このコマンドはグローバル コンフィギュレーション コマンドですが、ブートストラップ コンフィギュレーションの一部でもあります。ブートストラップ コンフィギュレーションは、ユニット間で複製されません。

例

次に、クラスタ制御リンクの MTU を 9000 バイトに設定する例を示します。

ciscoasa(config)# mtu cluster 9000

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、 acl 引数によって定義されている範囲でマルチキャスト グループ アドレスをフィルタリングするようにインターフェイスに管理用スコープの境界を設定するために使用されます。影響を受けるアドレス範囲は、標準アクセス リストによって定義されます。このコマンドが設定されている場合、マルチキャスト データ パケットはいずれの方向であっても境界を通過できません。マルチキャスト データ パケット フローを制限すると、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できます。

filter-autorp キーワードを設定した場合、管理用スコープの境界は Auto-RP 検出メッセージおよびアナウンス メッセージを調べ、境界 ACL によって拒否される Auto-RP パケットから Auto-RP グループ範囲アナウンスメントを削除します。Auto-RP グループ範囲通知は、Auto-RP グループ範囲のすべてのアドレスが境界 ACL によって許可される場合に限り境界を通過できます。許可されないアドレスがある場合は、グループ範囲全体がフィルタリングされ、Auto-RP メッセージが転送される前に Auto-RP メッセージから削除されます。

例

次に、すべての管理用スコープのアドレスの境界を設定し、Auto-RP メッセージをフィルタリングする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

multicast-routing コマンドは、デフォルトですべてのインターフェイスで PIM および IGMP をイネーブルにします。

 

コマンド履歴

 

使用上のガイドライン

multicast-routing コマンドは、すべてのインターフェイスで PIM および IGMP をイネーブルにします。

（注） PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。

セキュリティ アプライアンスが PIM RP である場合は、セキュリティ アプライアンスの未変換の外部アドレスを RP アドレスとして使用します。

マルチキャスト ルーティング テーブルのエントリの数は、システムに搭載されているメモリの量によって制限されます。 表 12-1 に、セキュリティ アプライアンス上のメモリの量に基づく特定のマルチキャスト テーブルのエントリの最大数を示します。この上限に達すると、新しいエントリは廃棄されます。

例

次に、ASA で IP マルチキャスト ルーティングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

次のコマンドを使用できます。

• A.B.C.D：ASA へのアクセスを認可された WSA の IP アドレスです。
• host：クライアントは、架空のホストに要求を送信して Web セキュリティ アプライアンスへの接続を定期的にチェックします。デフォルトでは、架空のホストの URL は mus.cisco.com です。AnyConnect Security Mobility をイネーブルにすると、Web セキュリティ アプライアンスは、この架空のホストへの要求を傍受し、このクライアントに応答します。
• password：WSA パスワードを設定します。
• server：WSA サーバを設定します。

例

次の例では、1.2.3.x サブネットの WSA サーバが、 inside インターフェイスのセキュア モビリティ ソリューションにアクセスすることを許可します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

所定のポートに対して AnyConnect Secure Mobility をイネーブルにできます。WSA ポートの値は 1 ～ 21000 です。このコマンドでポートが指定されていない場合、ポート 11999 が使用されます。

このコマンドを実行する前に AnyConnect Secure Mobility の共有秘密を設定する必要があります。

（注） このコマンドを想定どおりに機能させるためには、AnyConnect Secure Mobility クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。

例

次の例では、AnyConnect Secure Mobility ホストと WebVPN コマンド サブモードを入力する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

有効なパスワードは、正規表現 [0-9, a-z, A-Z,:;_/-]{8,20} で定義されます。共有秘密パスワードの全長は、最小 8 文字、最大 20 文字です。

 

コマンド履歴

 

使用上のガイドライン

この WebVPN サブモードを使用すると、WebVPN 用のグローバル設定を設定できます。AnyConnect Secure Mobility 通信に共有秘密を設定できます。

例

次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

AnyConnect Secure Mobility サービスで使用するポートを指定する必要があります。ASA と WSA の間の通信には、管理者が指定したポート（1 ～ 21000）で確立されたセキュアな SSL 接続が使用されます。

このコマンドを実行する前に AnyConnect Secure Mobility の共有秘密を設定する必要があります。

例

次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。

 

関連コマンド