- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- eigrp log-neighbor-changes
- eigrp log-neighbor-warnings
- eigrp router-id
- eigrp stub
- eject
- enable
- enable(webvpn)
- enable gprs
- enable password
- endpoint
- endpoint-mapper
- enforcenextupdate
- enrollment-retrieval
- enrollment retry count
- enrollment retry period
- enrollment terminal
- enrollment url
- enrollment-retrieval
- eou allow
- eou clientless
- eou initialize
- eou max-retry
- eou port
- eou revalidate
- eou timeout
- erase
- esp
- established
- exceed-mss
- exempt-list
- exit
- expiry-time
- export
- export webvpn customization
- export webvpn translation-table
- export webvpn url-list
- export webvpn webcontent
- failover
- failover active
- failover exec
- failover group
- failover interface ip
- failover interface-policy
- failover key
- failover lan enable
- failover lan interface
- failover lan unit
- failover link
- failover mac address
- failover polltime
- failover polltime interface
- failover reload-standby
- failover replication http
- failover reset
- failover timeout
- file-bookmarks
- file-browsing
- file-encoding
- file-entry
- filter
- filter activex
- filter ftp
- filter https
- filter java
- filter url
- fips enable
- fips self-test poweron
- firewall transparent
- flowcontrol
- format
- forward interface
- fqdn
- fragment
- frequency
- fsck
- ftp mode passive
- functions(削除)
eigrp log-neighbor-changes コマンド~ functions(removed)コマンド
eigrp log-neighbor-changes
EIGRP ネイバーとの隣接関係の変更のロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
eigrp log-neighbor-changes コマンドはデフォルトでイネーブルです。実行コンフィギュレーションには、コマンドの no 形式のみが表示されます。
例
次に、EIGRP ネイバーの変更のロギングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
eigrp log-neighbor-warnings
EIGRP ネイバー警告メッセージのロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-warnings コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。
eigrp log-neighbor-warnings [ seconds ]
no eigrp log-neighbor-warnings
構文の説明
(任意)ネイバー警告メッセージの反復間隔(秒数)。有効な値は 1 ~ 65535 です。この間隔内に警告が繰り返し発生した場合、それらの警告はログに記録されません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
eigrp log-neighbor-warnings コマンドはデフォルトでイネーブルです。実行コンフィギュレーションには、コマンドの no 形式のみが表示されます。
例
次に、EIGRP ネイバーの警告メッセージのロギングをディセーブルにする例を示します。
次に、EIGRP ネイバー警告メッセージをログに記録し、5 分(300 秒)間隔で警告メッセージを繰り返す例を示します。
関連コマンド
|
|
|
|---|---|
eigrp router-id
EIGRP ルーティング プロセスによって使用されるルータ ID を指定するには、ルータ コンフィギュレーション モードで eigrp router-id コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no eigrp router-id [ ip-addr ]
構文の説明
IP アドレス形式(ドット付き 10 進形式)でのルータ ID。ルータ ID として 0.0.0.0 または 255.255.255.255 を使用することはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
eigrp router-id コマンドが設定されていない場合、EIGRP では、EIGRP プロセスの開始時に、セキュリティ アプライアンス上で最大の IP アドレスが自動的に選択されて、ルータ ID として使用されます。 no router eigrp コマンドを使用して EIGRP プロセスを削除するか、または eigrp router-id コマンドを使用して手動でルータ ID を設定しない限り、ルータ ID は変更されません。
ルータ ID は、外部ルートの発信元ルータを識別するために使用されます。外部ルートがローカルのルータ ID で受信された場合、このルートは廃棄されます。このような事態を回避するには、 eigrp router-id コマンドを使用して、ルータ ID のグローバル アドレスを指定します。
例
次に、EIGRP ルーティング プロセスの固定ルータ ID として 172.16.1.3 を設定する例を示します。
関連コマンド
|
|
|
|---|---|
eigrp stub
EIGRP ルーティング プロセスをスタブ ルーティング プロセスとして設定するには、ルータ コンフィギュレーション モードで eigrp stub コマンドを使用します。EIGRP スタブ ルーティングを削除するには、このコマンドの no 形式を使用します。
eigrp stub [ receive-only] | {[ connected ] [ redistributed ] [ static ] [ summary ]}
no eigrp stub [ receive-only] | {[ connected ] [ redistributed ] [ static ] [ summary ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
eigrp stub コマンドを使用して、セキュリティ アプライアンスをスタブとして設定します。この場合、セキュリティ アプライアンスでは、すべての IP トラフィックがディストリビューション ルータに転送されます。
receive-only キーワードを使用すると、セキュリティ アプライアンスが自律システム内の他のどのルータともルートを共有しないように設定できます。セキュリティ アプライアンスは、EIGRP ネイバーからの更新のみを受信します。 receive-only キーワードは他のキーワードと組み合わせて使用することはできません。
connected 、 static 、 summary 、および redistributed の各キーワードは、1 つ以上を組み合わせて指定できます。これらのいずれかのキーワードを指定して eigrp stub コマンドを使用した場合、これらの特定のキーワードによって指定されたルート タイプのみが送信されます。
connected キーワードを指定すると、EIGRP スタブ ルーティング プロセスで接続ルートを送信できます。接続ルートが network ステートメントで指定されていない場合は、EIGRP プロセスで redistribute コマンドを使用して接続ルートの再配布が必要となることがあります。
static キーワードを指定すると、EIGRP スタブ ルーティング プロセスでスタティック ルートを送信できます。このオプションを設定しない場合、EIGRP ではスタティック ルートは送信されません。スタティック ルートが network ステートメントで指定されていない場合は、EIGRP プロセスで redistribute コマンドを使用してスタティック ルートの再配布が必要となることがあります。
summary キーワードを指定すると、EIGRP スタブ ルーティング プロセスで集約ルートを送信できます。集約ルートは、 summary-address eigrp コマンドを使用して手動で作成することも、 auto-summary コマンドをイネーブルにして自動的に作成することもできます( auto-summary はデフォルトでイネーブルになっています)。
redistributed キーワードを指定すると、EIGRP スタブ ルーティング プロセスで、他のルーティング プロトコルから EIGRP ルーティング プロセスに再配布されたルートを送信できます。このオプションを設定しない場合、再配布されたルートは EIGRP によってアドバタイズされません。
例
次に、 eigrp stub コマンドを使用して、接続ルートおよび集約ルートをアドバタイズする EIGRP スタブとしてセキュリティ アプライアンスを設定する例を示します。
次に、 eigrp stub コマンドを使用して、接続ルートおよびスタティック ルートをアドバタイズする EIGRP スタブとしてセキュリティ アプライアンスを設定する例を示します。集約ルートの送信は許可されません。
次に、 eigrp stub コマンドを使用して、EIGRP 更新の受信のみを行う EIGRP スタブとしてセキュリティ アプライアンスを設定する例を示します。接続ルート、集約ルート、およびスタティック ルートの情報は送信されません。
次に、 eigrp stub コマンドを使用して、他のルーティング プロトコルから EIGRP に再配布されたルートをアドバタイズする EIGRP スタブとしてセキュリティ アプライアンスを設定する例を示します。
次に、オプションの引数を指定しないで eigrp stub コマンドを使用する例を示します。引数なしで eigrp stub コマンドを使用すると、デフォルトで接続ルートおよびスタティック ルートがアドバタイズされます。
関連コマンド
|
|
|
|---|---|
eject
ASA 5500 シリーズの外部コンパクト フラッシュ デバイスの取り外しをサポートするには、ユーザ EXEC モードで eject コマンドを使用します。
構文の説明
セキュリティ アプライアンスから外部フラッシュ デバイスを物理的に取り外す前に、デバイスを取り外すかどうかの確認が必要ないことを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
eject コマンドを使用すると、ASA 5500 シリーズ セキュリティ アプライアンスからコンパクト フラッシュ デバイスを安全に取り外すことができます。
次に、 eject コマンドを使用して、デバイスをセキュリティ アプライアンスから物理的に取り外す前に disk1 を正常にシャットダウンする例を示します。
hostname# eject /noconfig disk1:
It is now safe to remove disk1:
hostname# show version
関連コマンド
|
|
|
|---|---|
登録時に、指定した電子メール アドレスを証明書のサブジェクト代替名の拡張に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで email コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の登録要求に電子メール アドレス user1@user.net を含める例を示します。
関連コマンド
|
|
|
|---|---|
enable
特権 EXEC モードを開始するには、ユーザ EXEC モードで enable コマンドを使用します。
構文の説明
(任意)0 ~ 15 の特権レベル。enable 認証( aaa authentication enable console コマンド)では使用されません。 |
デフォルト
enable 認証( aaa authentication enable console コマンドを使用)を使用していない場合は、特権レベル 15 を開始します。enable 認証の場合、デフォルトのレベルは、ユーザ名に設定されているレベルに応じて異なります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトのイネーブル パスワードはブランクです。パスワードの設定については、 enable password コマンドを参照してください。
enable 認証を使用しない場合は、 enable コマンドを入力すると、ユーザ名が enable_ level に変更されます。デフォルトのレベルは 15 です。enable 認証を使用する場合( aaa authentication enable console コマンドを使用)、ユーザ名および関連するレベルは維持されます。ユーザ名の維持は、コマンド認可(ローカルまたは TACACS+ を使用した aaa authorization command コマンド)で重要です。
レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザ EXEC モードを開始します。中間のレベルを使用するには、ローカル コマンド認可( aaa authorization command LOCAL コマンド)をイネーブルにし、 privilege コマンドを使用して異なる特権レベルにコマンドを設定します。TACACS+ コマンド認可では、セキュリティ アプライアンスに設定された特権レベルは使用されません。
例
次に、レベル 10 の特権 EXEC モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
enable(webvpn)
以前に設定したインターフェイスで WebVPN または電子メール プロキシ アクセスをイネーブルにするには、enable コマンドを使用します。WebVPN の場合は、webvpn モードでこのコマンドを使用します。電子メール プロキシ(IMAP4S、 POP3S、SMTPS)については、該当する電子メール プロキシ モードでこのコマンドを使用します。インターフェイスで WebVPN をディセーブルにするには、このコマンドの no バージョンを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、Outside という名前のインターフェイスで WebVPN をイネーブルにする方法の例を示します。
hostname(config)# webvpn
次に、Outside という名前のインターフェイスで POP3S 電子メール プロキシを設定する方法の例を示します。
hostname(config)# pop3s
enable gprs
RADIUS アカウンティングで GPRS をイネーブルにするには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで enable gprs コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスします。セキュリティ アプライアンスは、セカンダリ PDP コンテキストを適切に処理するために、アカウンティング要求停止メッセージ内に 3GPP VSA 26-10415 があるかどうかをチェックします。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、RADIUS アカウンティングで GPRS をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
enable password
特権 EXEC モードのイネーブル パスワードを設定するには、グローバル コンフィギュレーション モードで enable password コマンドを使用します。15 以外のレベルのパスワードを削除するには、このコマンドの no 形式を使用します。レベル 15 のパスワードは削除できません。
enable password password [level level ] [ encrypted ]
no enable password level level
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
イネーブル レベル 15(デフォルト レベル)のデフォルトのパスワードはブランクです。パスワードをブランクにリセットする場合は、 password 引数にテキストを指定しません。
マルチ コンテキスト モードでは、システム コンフィギュレーションおよび各コンテキストに対してイネーブル パスワードを作成できます。
デフォルトの 15 以外の特権レベルを使用するには、ローカル コマンド認可( aaa authorization command コマンドを使用して LOCAL キーワードを指定)を設定し、 privilege コマンドを使用して異なる特権レベルにコマンドを設定します。ローカル コマンド認可を設定しない場合、イネーブル レベルは無視されて、設定したレベルにかかわらずレベル 15 へのアクセスが可能になります。現在の特権レベルを表示するには、 show curpriv コマンドを使用します。
レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザ EXEC モードを開始します。
例
次に、イネーブル パスワードを Pa$$w0rd に設定する例を示します。
次に、レベル 10 のイネーブル パスワードを Pa$$w0rd10 に設定する例を示します。
次に、イネーブル パスワードを、別のセキュリティ アプライアンスからコピーした暗号化されたパスワードに設定する例を示します。
関連コマンド
|
|
|
|---|---|
endpoint
H.323 プロトコル インスペクションの HSI グループにエンドポイントを追加するには、HSI グループ コンフィギュレーション モードで endpoint コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no endpoint ip_address if_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション ポリシー マップの HSI グループにエンドポイントを追加する例を示します。
関連コマンド
|
|
|
|---|---|
endpoint-mapper
DCERPC インスペクションのエンドポイント マッパー オプションを設定するには、パラメータ コンフィギュレーション モードで endpoint-mapper コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
endpoint-mapper [epm-service-only] [lookup-operation [timeout value]]
no endpoint-mapper [epm-service-only] [lookup-operation [timeout value]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、DCERPC ポリシー マップにエンドポイント マッパーを設定する例を示します。
関連コマンド
|
|
|
|---|---|
enforcenextupdate
CRL の NextUpdate フィールドの処理方法を指定するには、ca-crl コンフィギュレーション モードで enforcenextupdate コマンドを使用します。期限が切れた NextUpdate フィールドがある場合や、NextUpdate フィールドがない場合を許容するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドが設定されている場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。このコマンドが使用されていない場合、セキュリティ アプライアンスでは、CRL に NextUpdate フィールドがない場合や、期限が切れた NextUpdate フィールドがある場合が許容されます。
例
次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central に対して、期限が切れていない NextUpdate フィールドが CRL に存在することを必須とする例を示します。
関連コマンド
|
|
|
|---|---|
enrollment-retrieval
登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定するには、ローカル CA サーバ コンフィギュレーション モードで enrollment-retrieval コマンドを使用します。期間をデフォルトの時間数(24)にリセットするには、このコマンドの no 形式を使用します。
構文の説明
何時間以内にユーザがローカル CA 登録 Web ページから発行された証明書を取得しなければならないかを指定します。有効なタイムアウト値の範囲は 1 ~ 720 時間です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PKCS12 登録ファイルには、発行された証明書とキー ペアが含まれています。ファイルはローカル CA サーバに保存され、 enrollment-retrieval コマンドで指定された時間内は登録 Web ページから取得できます。
ユーザが登録可能とマークされている場合、そのユーザは otp expiration の時間内であればそのパスワードを使用して登録できます。ユーザが正常に登録すると、PKCS12 ファイルが生成および保存され、コピーが登録 Web ページを経由して返されます。何らかの理由でファイルのコピーが再度必要になった場合(登録しようとしてダウンロードに失敗した場合など)、ユーザは enrollment-retrieval コマンドで指定した時間内であれば新しくコピーを取得できます。
例
次に、証明書の発行後 48 時間以内は PKCS12 登録ファイルをローカル CA サーバから取得できるように指定する例を示します。
hostname(config-ca-server)# enrollment-retrieval 48
hostname(config-ca-server)#
次に、取得可能時間をデフォルトの 24 時間にリセットする例を示します。
hostname(config-ca-server)# no enrollment-retrieval
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
enrollment retry count
再試行回数を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment retry count コマンドを使用します。証明書を要求した後、セキュリティ アプライアンスは CA からの証明書の受信を待ちます。セキュリティ アプライアンスは、設定された再試行間隔内に証明書を受信できない場合、証明書要求を再度送信します。セキュリティ アプライアンスは、応答を受信するか、または設定されている再試行間隔が終了するまで、要求を繰り返し送信します。デフォルトの再試行回数設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central 内の登録再試行回数を 20 回に設定する例を示します。
関連コマンド
|
|
|
|---|---|
enrollment retry period
再試行間隔を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment retry period コマンドを使用します。証明書を要求した後、セキュリティ アプライアンスは CA からの証明書の受信を待ちます。セキュリティ アプライアンスは、指定された再試行間隔内に証明書を受信できない場合、証明書要求を再度送信します。デフォルトの再試行間隔設定に戻すには、このコマンドの no 形式を使用します。
enrollment retry period minutes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central 内の登録再試行間隔を 10 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
enrollment terminal
このトラストポイントでカット アンド ペースト登録(手動登録とも呼ばれます)を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment terminal コマンドを使用します。このコマンドのデフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の CA 登録にカット アンド ペースト方式を指定する例を示します。
関連コマンド
|
|
|
|---|---|
enrollment url
このトラストポイントの登録に自動登録(SCEP)を指定して、登録 URL を設定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment url コマンドを使用します。このコマンドのデフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central に URL https://enrollsite における SCEP 登録を指定する例を示します。
関連コマンド
|
|
|
|---|---|
enrollment-retrieval
登録されたユーザが PKCS12 登録ファイルを取得できる期間を時間単位で指定するには、ローカル CA サーバ コンフィギュレーション モードで enrollment-retrieval コマンドを使用します。期間をデフォルトの時間数(24)にリセットするには、このコマンドの no 形式を使用します。
構文の説明
何時間以内にユーザがローカル CA 登録 Web ページから発行された証明書を取得しなければならないかを指定します。有効なタイムアウト値の範囲は 1 ~ 720 時間です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PKCS12 登録ファイルには、発行された証明書とキー ペアが含まれています。ファイルはローカル CA サーバに保存され、 enrollment-retrieval コマンドで指定された時間内は登録 Web ページから取得できます。
ユーザが登録可能とマークされている場合、そのユーザは otp expiration の時間内であればそのパスワードを使用して登録できます。ユーザが正常に登録すると、PKCS12 ファイルが生成および保存され、コピーが登録 Web ページを経由して返されます。何らかの理由でファイルのコピーが再度必要になった場合(登録しようとしてダウンロードに失敗した場合など)、ユーザは enrollment-retrieval コマンドで指定した時間内であれば新しくコピーを取得できます。
例
次に、証明書の発行後 48 時間以内は PKCS12 登録ファイルをローカル CA サーバから取得できるように指定する例を示します。
hostname(config-ca-server)# enrollment-retrieval 48
hostname(config-ca-server)#
次に、取得可能時間をデフォルトの 24 時間にリセットする例を示します。
hostname(config-ca-server)# no enrollment-retrieval
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
eou allow
NAC フレームワーク コンフィギュレーションでクライアントレス認証をイネーブルにするには、グローバル コンフィギュレーション モードで eou allow コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
eou allow { audit | clientless | none }
no eou allow { audit | clientless | none }
構文の説明
デフォルト
デフォルトのコンフィギュレーションには、 eou allow clientless コンフィギュレーションが含まれています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、次の両方の条件が満たされている場合にのみこのコマンドが使用されます。
例
次に、ACS を使用したクライアントレス認証の実行をイネーブルにする例を示します。
次に、監査サーバを使用してクライアントレス認証を実行するようにセキュリティ アプライアンスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
NAC フレームワーク コンフィギュレーションのクライアントレス認証で ACS に対して送信されるユーザ名およびパスワードを変更します。 |
|
eou clientless
NAC フレームワーク コンフィギュレーションにおけるクライアントレス認証でアクセス コントロール サーバに送信するユーザ名とパスワードを変更するには、グローバル コンフィギュレーション モードで eou clientless コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。
eou clientless username username password password
no eou clientless username username password password
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、次の条件をすべて満たしている場合にのみ有効です。
•
クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバが設定されている。
• セキュリティ アプライアンス上でクライアントレス認証がイネーブルになっている。
例
次に、クライアントレス認証のユーザ名を sherlock に変更する例を示します。
次に、クライアントレス認証のユーザ名をデフォルト値である clientless に変更する例を示します。
次に、クライアントレス認証のパスワードを secret に変更する例を示します。
次に、クライアントレス認証のパスワードをデフォルト値である clientless に変更する例を示します。
関連コマンド
|
|
|
|---|---|
eou initialize
1 つ以上の NAC フレームワーク セッションに割り当てられているリソースをクリアして、各セッションに対して新しい無条件のポスチャ検証を開始するには、特権 EXEC モードで eou initialize コマンドを使用します。
eou initialize { all | group tunnel-group | ip ip-address }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リモート ピアのポスチャが変更されたり、割り当てられているアクセス ポリシー(つまりダウンロードされた ACL)が変更されたりしたときに、セッションに割り当てられているリソースをクリアする場合は、このコマンドを使用します。このコマンドを入力すると、ポスチャ検証に使用される EAPoUDP アソシエーションおよびアクセス ポリシーが消去されます。再検証中には NAC のデフォルトの ACL が有効となるため、セッションを初期化するとユーザ トラフィックに影響する場合があります。このコマンドは、ポスチャ確認から免除されているピアには作用しません。
例
次に、すべての NAC フレームワーク セッションを初期化する例を示します。
次に、tg1 というトンネル グループに割り当てられているすべての NAC フレームワーク セッションを初期化する例を示します。
次に、IP アドレス 209.165.200.225 を持つエンドポイントの NAC フレームワーク セッションを初期化する例を示します。
関連コマンド
|
|
|
|---|---|
NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。 |
|
eou max-retry
セキュリティ アプライアンスが EAP over UDP メッセージをリモート コンピュータに再送信する回数を変更するには、グローバル コンフィギュレーション モードで eou max-retry コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、次の条件をすべて満たしている場合にのみ有効です。
• クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバが設定されている。
• セキュリティ アプライアンス上でクライアントレス認証がイネーブルになっている。
例
次に、EAP over UDP の再送信回数を 1 に制限する例を示します。
次に、EAP over UDP の再送信回数をデフォルト値である 3 に変更する例を示します。
関連コマンド
NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。 |
|
NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。 |
|
eou port
NAC フレームワーク コンフィギュレーションにおいて、Cisco Trust Agent との EAP over UDP 通信に使用するポート番号を変更するには、グローバル コンフィギュレーション モードで eou port コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。
構文の説明
EAP over UDP 通信用に指定するクライアント エンドポイントのポート番号。この番号は、Cisco Trust Agent に設定するポート番号です。値は 1024 ~ 65535 の範囲で入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、EAP over UDP 通信のポート番号を 62445 に変更する例を示します。
次に、EAP over UDP 通信のポート番号をデフォルト値に変更する例を示します。
関連コマンド
1 つ以上の NAC フレームワーク セッションに割り当てられているリソースを消去し、セッションごとに新しい無条件のポスチャ確認を開始します。 |
|
VLAN マッピング セッション データを含む、IPSec、Cisco AnyConnect、NAC の各セッションの数を表示します。 |
|
eou revalidate
1 つ以上の NAC フレームワーク セッションのポスチャ再検証をただちに実行するには、特権 EXEC モードで eou revalidate コマンドを使用します。
eou revalidate { all | group tunnel-group | ip ip-address }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ピアのポスチャ、または割り当てられているアクセス ポリシー(つまりダウンロードされた ACL が存在する場合その ACL)が変更された場合にこのコマンドを使用します。このコマンドは、新しい無条件のポスチャ検証を開始します。コマンド入力前に有効であったポスチャ検証および割り当てられているアクセス ポリシーは、新しいポスチャ検証に成功または失敗するまでは引き続き有効となります。このコマンドは、ポスチャ確認から免除されているピアには作用しません。
例
次に、すべての NAC フレームワーク セッションを再検証する例を示します。
次に、tg-1 というトンネル グループに割り当てられているすべての NAC フレームワーク セッションを再検証する例を示します。
次に、IP アドレス 209.165.200.225 を持つエンドポイントの NAC フレームワーク セッションを初期化する例を示します。
関連コマンド
eou timeout
NAC フレームワーク コンフィギュレーションにおいて、リモート ホストに対して EAP over UDP メッセージを送信した後に待機する秒数を変更するには、グローバル コンフィギュレーション モードで eou timeout コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。
eou timeout {hold-period | retransmit } seconds
no eou timeout {hold-period | retransmit }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間を 120 秒に変更する例を示します。
次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間をデフォルト値に変更する例を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがリモート コンピュータに対して EAP over UDP メッセージを再送信する回数を変更します。 |
erase
ファイル システムを消去して再フォーマットするには、特権 EXEC モードで erase コマンドを使用します。このコマンドは、非表示のシステム ファイルを含むすべてのファイルを上書きしてファイル システムを消去し、ファイル システムを再インストールします。
erase [disk0: | disk1: | flash:]
構文の説明
(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。 
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
erase コマンドは、OxFF パターンを使用してフラッシュ メモリ上の全データを消去し、デバイスの空のファイル システム割り当てテーブルを再書き込みします。
(非表示のシステム ファイルを除く)表示されているすべてのファイルを削除する場合は、 erase コマンドではなく delete /recursive コマンドを入力します。
(注) Cisco PIX セキュリティ アプライアンスでは、erase コマンドおよび format コマンドは両方とも、0xFF パターンを使用してユーザ データを破棄します。
(注) Cisco ASA 5500 シリーズのセキュリティ アプライアンスでは、erase コマンドを実行すると、ディスク上のすべてのユーザ データが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイル システムの制御構造をリセットするだけです。ロウ ディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。
例
次に、ファイル システムを消去して再フォーマットする例を示します。
関連コマンド
|
|
|
|---|---|
esp
IPSec パススルー インスペクションで esp トンネルおよび AH トンネルのパラメータを指定するには、パラメータ コンフィギュレーション モードで esp コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
{ esp | ah } [per-client-max num ] [timeout time]
no { esp | ah } [per-client-max num ] [timeout time]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、UDP 500 のトラフィックを許可する例を示します。
関連コマンド
|
|
|
|---|---|
established
確立された接続に基づく、ポートへの戻り接続を許可するには、グローバル コンフィギュレーション モードで established コマンドを使用します。established 機能をディセーブルにするには、このコマンドの no 形式を使用します。
est ablished est_ protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port [-port]]
no est ablished est_ protocol dest_port [source_port] [permitto protocol port [-port]] [permitfrom protocol port [-port]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
キーワード to および from が CLI から削除されました。代わりにキーワード permitto および permitfrom を使用します。 |
使用上のガイドライン
established コマンドを使用すると、セキュリティ アプライアンス経由の発信接続の戻りアクセスを許可できます。このコマンドは、ネットワークから発信され、セキュリティ アプライアンスによって保護されている元の接続、および外部ホストからの同じ 2 つのデバイス間の着信戻り接続に対して動作します。established コマンドでは、接続のルックアップに使用する宛先ポートを指定できます。宛先ポートを指定することによって、コマンドをより細かく制御でき、宛先ポートは既知であるが送信元ポートは不明であるプロトコルをサポートできます。permitto および permitfrom キーワードでは、リターン インバウンド接続を定義します。
例
次に、established コマンドを正しく使用しない場合にセキュリティ違反が発生する可能性があることを示すいくつかの例を示します。
次に、内部システムから外部ホストのポート 4000 に TCP 接続を確立した場合に、外部ホストから任意のプロトコルを使用して任意のポートに戻り接続を確立できることを示す例を示します。
プロトコルで使用されるポートが規定されていない場合は、送信元ポートおよび宛先ポートに 0 を指定できます。ワイルドカード ポート(0)は、必要な場合にのみ使用します。
(注) established コマンドが正しく動作するためには、クライアントは permitto キーワードで指定されたポートでリッスンする必要があります。
established コマンドは、nat 0 コマンドとともに使用できます(global コマンドがない場合)。
(注) established コマンドは、PAT とともに使用することはできません。
セキュリティ アプライアンスでは、 established コマンドを利用することによって XDMCP がサポートされます。
デフォルトで、XDMCP はオンになっていますが、次のように established コマンドを入力しないとセッションが完了しません。
established コマンドを入力すると、内部の XDMCP 実装ホスト(UNIX または Reflection X)から外部の XDMCP 実装 XWindows サーバにアクセスできます。UDP/177 ベースの XDMCP によって TCP ベースの XWindows セッションがネゴシエートされ、後続の TCP 戻り接続が許可されます。リターン トラフィックの送信元ポートは不明であるため、 source_port フィールドには 0(ワイルドカード)を指定します。 dest_port は 6000 + n となります。 n は、ローカルのディスプレイ番号を表します。この値を変更するには、次の UNIX コマンドを使用します。
(ユーザ対話に基づいて)数多くの TCP 接続が生成され、これらの接続の送信元ポートが不明であるため、 established コマンドが必要となります。宛先ポートのみがスタティックです。セキュリティ アプライアンスでは、XDMCP フィックスアップが透過的に実行されます。コンフィギュレーションは必要ありませんが、TCP セッションを確立できるように established コマンドを入力する必要があります。
次に、プロトコル A、宛先ポート B、送信元ポート C を使用した 2 つのホスト間の接続の例を示します。セキュリティ アプライアンス経由でプロトコル D(プロトコル D はプロトコル A とは異なっていてもかまいません)による戻り接続を許可するには、送信元ポートがポート F に、宛先ポートがポート E に対応している必要があります。
次に、TCP 宛先ポート 6060、および任意の送信元ポートを使用して、内部ホストから外部ホストに接続を開始する例を示します。セキュリティ アプライアンスでは、TCP 宛先ポート 6061 および任意の TCP 送信元ポートを使用したホスト間のリターン トラフィックが許可されます。
次に、UDP 宛先ポート 6060、および任意の送信元ポートを使用して、内部ホストから外部ホストに接続を開始する例を示します。セキュリティ アプライアンスでは、TCP 宛先ポート 6061 および TCP 送信元ポート 1024 ~ 65535 を使用したホスト間のリターン トラフィックが許可されます。
次に、ローカル ホストから外部ホストにポート 9999 への TCP 接続を開始する例を示します。この例では、外部ホストのポート 4242 からローカル ホストのポート 5454 へのパケットが許可されます。
関連コマンド
|
|
|
|---|---|
exceed-mss
スリーウェイ ハンドシェイクでピアによって設定された TCP 最大セグメント サイズを超えるデータ長のパケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで exceed-mss コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no exceed-mss { allow | drop }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。スリーウェイ ハンドシェイクでピアによって設定された TCP 最大セグメント サイズを超えるデータ長の TCP パケットをドロップするには、tcp マップ コンフィギュレーション モードで exceed-mss コマンドを使用します。
例
次に、MSS を超えた場合にポート 21 のフローをドロップする例を示します。
関連コマンド
|
|
|
|---|---|
exempt-list
ポスチャ検証を免除されるリモート コンピュータ タイプのリストにエントリを追加するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで exempt-list コマンドを使用します。免除リストからエントリを削除するには、このコマンドの no 形式を使用して、削除するエントリのオペレーティング システムおよび ACL を指定します。
exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]
no exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
コマンド名が vpn-nac-exempt から exempt-list に変更されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。 |
|
使用上のガイドライン
コマンドでオペレーティング システムを指定しても、例外リストに追加済みのエントリは上書きされません。免除する各オペレーティング システムおよび ACL に対して 1 つずつコマンドを入力します。
no exempt-list コマンドを入力すると、NAC フレームワーク ポリシーからすべての免除が削除されます。エントリを指定してこのコマンドの no 形式を発行すると、そのエントリが免除リストから削除されます。
NAC ポリシーに関連付けられている免除リストからすべてのエントリを削除するには、キーワードを指定しないでこのコマンドの no 形式を使用します。
例
次に、ポスチャ検証を免除するコンピュータのリストに Windows XP を実行するすべてのホストを追加する例を示します。
次に、Windows XP を実行するすべてのホストを免除して、これらのホストのトラフィックに ACL acl-1 を適用する例を示します。
次に、免除リストから上記の例と同じエントリを削除する例を示します。
次に、免除リストからすべてのエントリを削除する例を示します。
関連コマンド
|
|
|
|---|---|
exit
現在のコンフィギュレーション モードを終了するか、特権 EXEC モードまたはユーザ EXEC モードからログアウトするには、 exit コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キー シーケンス Ctrl+Z を使用して、グローバル コンフィギュレーション(および上位の)モードを終了することもできます。このキー シーケンスは、特権 EXEC モードまたはユーザ EXEC モードでは動作しません。
特権 EXEC モードまたはユーザ EXEC モードで exit コマンドを入力すると、セキュリティ アプライアンスからログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。
例
次に、 exit コマンドを使用してグローバル コンフィギュレーション モードを終了して、セッションからログアウトする方法の例を示します。
次に、 exit コマンドを使用してグローバル コンフィギュレーション モードを終了し、その後 disable コマンドを使用して特権 EXEC モードを終了する例を示します。
関連コマンド
|
|
|
|---|---|
コンフィギュレーション モードを終了するか、または特権 EXEC モードやユーザ EXEC モードからログアウトします。 |
expiry-time
再検証しないでオブジェクトをキャッシュする有効期限を設定するには、キャッシュ コンフィギュレーション モードで expiry-time コマンドを使用します。コンフィギュレーションから有効期限を削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
有効期限とは、セキュリティ アプライアンスが再検証しないでオブジェクトをキャッシュする時間(分)を指します。再検証では、内容が再度チェックされます。
例
hostname(config)# webvpn
hostname(config-webvpn)# cache
関連コマンド
|
|
|
|---|---|
export
証明書をクライアントにエクスポートすることを指定するには、CTL プロバイダー コンフィギュレーション モードで export コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
export certificate trustpoint_name
no export certificate [ trustpoint_name]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL プロバイダー コンフィギュレーション モードで export コマンドを使用して、証明書をクライアントにエクスポートすることを指定します。トラストポイント名は、crypto ca trustpoint コマンドで定義します。証明書は、CTL クライアントで構成された証明書信頼リスト ファイルに追加されます。
例
次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
export webvpn customization
クライアントレス SSL VPN ユーザに表示される画面をカスタマイズする カスタマイゼーション オブジェクトをエクスポートするには、特権 EXEC モードで export webvpn customization コマンドを使用します。
export webvpn customization name url
構文の説明
XML カスタマイゼーション オブジェクトをエクスポートする URL/filename 形式のリモート パスとファイル名(最大 255 文字)。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
カスタマイゼーション オブジェクトとは、キャッシュ メモリ内にあり、クライアントレス SSL VPN ユーザに表示される画面(ログイン画面、ログアウト画面、ポータル ページ、使用可能な言語など)をカスタマイズする XML ファイルです。カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。
カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュ メモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度セキュリティ アプライアンスにインポートできます。
Template の内容は、DfltCustomization オブジェクトの初期状態と同じです。
export webvpn customization コマンドを使用してカスタマイゼーション オブジェクトをエクスポートし、XML タグを変更し、 import webvpn customization コマンドを使用して新しいオブジェクトとしてファイルをインポートできます。
例
次に、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、dflt_custom という名前の XML ファイルを作成する例を示します。
関連コマンド
|
|
|
export webvpn translation-table
SSL VPN 接続を確立するリモート ユーザに表示される用語を変換するために使用される変換テーブルをエクスポートするには、特権 EXEC モードで export webvpn translation-table コマンドを使用します。
export webvpn translation-table translation_domain {language language | template} url
構文の説明
機能エリアおよび関連するメッセージです。使用上のガイドラインのセクションに、使用可能な変換ドメインがリストされています。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。
リモート ユーザに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。次の表に、変換ドメインおよび、変換される機能領域を示します。
|
|
|
|---|---|
ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。 |
|
変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、セキュリティ アプライアンスは customization および url-list 変換ドメイン テンプレートをダイナミックに 生成 し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。
以前にインポートされた変換テーブルをエクスポートすると、URL の場所にそのテーブルの XML ファイルが作成されます。 show import webvpn translation-table コマンドを使用して、使用可能なテンプレート、およびインポート済みのテーブルのリストを表示できます。
export webvpn translation-table コマンドを使用してテンプレートまたは変換テーブルをダウンロードし、メッセージを変更し、 import webvpn translation-table コマンドを使用して変換テーブルをインポートします。
例
次に、変換ドメイン customization 用のテンプレートをエクスポートする例を示します。このドメインは、 クライアントレス SSL VPN 接続を確立するリモート ユーザがカスタマイズおよび表示可能なログイン ページ、ログアウト ページ、ポータル ページ、およびすべてのメッセージを変換するために使用します。セキュリティ アプライアンスは、 Sales という名前の XML ファイルを作成します。
次に、 zh という名前の、以前にインポートされた中国語用変換テーブルをエクスポートする例を示します。この短縮形 zh は、Microsoft Internet Explorer ブラウザの [Internet Options] で中国語に指定されている短縮形に準拠しています。 セキュリティ アプライアンスは、 Chinese という名前の XML ファイルを作成します。
関連コマンド
|
|
|
export webvpn url-list
URL リストをリモートの場所にエクスポートするには、特権 EXEC モードで export webvpn url-list コマンドを使用します。
export webvpn url-list name url
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
WebVPN には、デフォルトで URL リストはありません。
export webvpn url-list コマンドを使用して、Template というオブジェクトをダウンロードできます。Template は、変更または削除できません。Template の内容を編集してカスタム URL リストとして保存し、 import webvpn url-list コマンドを使用してインポートし、カスタム URL リストを追加できます。
インポート済みの URL リストをエクスポートすると、URL の場所にそのリストの XML ファイルが作成されます。 show import webvpn url-list コマンドを使用して、使用可能なテンプレート、およびインポート済みのテーブルのリストを表示できます。
例
次に、URL リスト servers をエクスポートする例を示します 。
関連コマンド
|
|
|
export webvpn webcontent
リモートのクライアントレス SSL VPN ユーザに表示される、フラッシュ メモリ内のインポート済みコンテンツをエクスポートするには、特権 EXEC モードで export webvpn webcontent コマンドを使用します。
export webvpn webcontent < source url > < destination url >
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
webcontent オプションを使用してエクスポートされるコンテンツは、リモートのクライアントレス ユーザに表示されるコンテンツです。これには、クライアントレス ポータルに表示されるインポート済みのヘルプ コンテンツや、カスタマイゼーション オブジェクトによって使用されるロゴなどがあります。
export webvpn webcontent コマンドの後に疑問符( ? )を入力すると、エクスポート可能なコンテンツのリストを表示できます。次に例を示します。
例
次に、tftp を使用してファイル logo.gif を、 logo_copy.gif というファイル名で 209.165.200.225 にエクスポートする例を示します。
関連コマンド
|
|
|
failover
フェールオーバーをイネーブルにするには、グローバル コンフィギュレーション モードで failover コマンドを使用します。フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、コンフィギュレーションでのフェールオーバーのイネーブルまたはディセーブルに限定されました( failover active コマンドを参照)。 |
使用上のガイドライン
フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
ASA 5505 デバイスでは、ステートレス フェールオーバーのみが、Easy VPN ハードウェア クライアントとして動作していないときにのみ許可されます。
例
関連コマンド
|
|
|
|---|---|
failover active
スタンバイのセキュリティ アプライアンスまたはフェールオーバー グループをアクティブ ステートに切り替えるには、特権 EXEC モードで failover active コマンドを使用します。アクティブなセキュリティ アプライアンスまたはフェールオーバー グループをスタンバイに切り替えるには、このコマンドの no 形式を使用します。
failover active [ group group_id ]
no failover active [ group group_id ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタンバイ ユニットからのフェールオーバー切り替えを開始するには failover active コマンドを使用し、アクティブ ユニットからのフェールオーバー切り替えを開始するには no failover active コマンドを使用します。この機能を使用して、障害が発生したユニットを稼働させたり、メンテナンスのためにアクティブ ユニットをオフラインにしたりできます。ステートフル フェールオーバーを使用していない場合は、すべてのアクティブな接続がドロップされるため、フェールオーバー実行後にクライアントは接続を再確立する必要があります。
フェールオーバー グループの切り替えは、Active/Active フェールオーバーでのみ使用できます。Active/Active フェールオーバー ユニットでフェールオーバー グループを指定しないで failover active コマンドを入力すると、ユニットのすべてのグループがアクティブになります。
例
次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。
関連コマンド
|
|
|
|---|---|
failover exec
フェールオーバー ペアの特定のユニットに対してコマンドを実行するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで failover exec コマンドを使用します。
failover exec { active | standby | mate } cmd_string
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover exec コマンドを使用して、フェールオーバー ペアの特定のユニットに対してコマンドを送信できます。
コンフィギュレーション コマンドはアクティブ ユニットまたはコンテキストからスタンバイ ユニットまたはコンテキストに複製されるため、いずれのユニットにログインしているかにかかわらず、 failover exec コマンドを使用して正しいユニットにコンフィギュレーション コマンドを入力できます。たとえば、スタンバイ ユニットにログインしている場合、 failover exec active コマンドを使用して、コンフィギュレーションの変更をアクティブ ユニットに送信できます。その後、これらの変更はスタンバイ装置に複製されます。スタンバイ装置またはコンテキストへのコンフィギュレーション コマンドの送信には、 failover exec コマンドを使用しないでください。これらのコンフィギュレーションの変更はアクティブ装置に複製されないため、2 つのコンフィギュレーションが同期されなくなります。
コンフィギュレーション、exec、および show コマンドの出力は、現在のターミナル セッションで表示されます。したがって、 failover exec コマンドを使用して、ピア装置で show コマンドを発行し、その結果を現在のターミナルに表示することができます。
ピア装置でコマンドを実行するには、ローカル装置でコマンドを実行できるだけの十分な権限を持っている必要があります。
failover exec コマンドは、お使いのターミナル セッションのコマンド モードとは異なるコマンド モード状態を維持します。デフォルトで、 failover exec のコマンド モードは、指定したデバイスに対するグローバル コンフィギュレーション モードです。このコマンド モードを変更するには、 failover exec コマンドを使用して適切なコマンド( interface コマンドなど)を送信します。
指定されたデバイスの failover exec コマンド モードを変更しても、デバイスへのアクセスに使用しているセッションのコマンド モードは変更されません。たとえば、フェールオーバー ペアのアクティブ ユニットにログインしており、グローバル コンフィギュレーション モードで次のコマンドを発行した場合、セッションのコマンド モードはグローバル コンフィギュレーション モードのままですが、 failover exec コマンドを使用して送信されるすべてのコマンドはインターフェイス コンフィギュレーション モードで実行されます。
デバイスとの現在のセッションのコマンド モードを変更しても、 failover exec コマンドで使用されるコマンド モードには影響しません。たとえば、アクティブ ユニットでインターフェイス コンフィギュレーション モードであるときに、 failover exec のコマンド モードを変更していない場合、次のコマンドはグローバル コンフィギュレーション モードで実行されます。
show failover exec コマンドを使用すると、指定したデバイスにコマンド モードが表示されます。 failover exec コマンドを使用して送信されたコマンドは、このモードで実行されます。
failover exec コマンドは、フェールオーバー リンクを使用してコマンドをピア装置に送信し、実行されたコマンドの出力をピア装置から受信します。盗聴や中間者攻撃を防止するには、 failover key コマンドを使用してフェールオーバー リンクを暗号化する必要があります。
• ゼロダウンタイム アップグレード手順を使用して 1 台の装置だけをアップグレードする場合は、機能するコマンドとして failover exec コマンドをサポートしているソフトウェアが両方の装置で動作している必要があります。
• コマンドの完成およびコンテキスト ヘルプは、 cmd_string 引数のコマンドでは使用できません。
• マルチ コンテキスト モードでは、ピア装置のピア コンテキストだけにコマンドを送信できます。異なるコンテキストにコマンドを送信するには、まずログインしているユニットでそのコンテキストに変更する必要があります。
• 次のコマンドと failover exec コマンドを一緒に使用することはできません。
• スタンバイ装置が故障状態の場合、故障の原因がサービス カードの不具合であれば、 failover exec コマンドからのコマンドは受信できます。それ以外の場合、リモート コマンドの実行は失敗します。
• failover exec コマンドを使用して、フェールオーバー ピアで特権 EXEC モードをグローバル コンフィギュレーション モードに切り替えることはできません。たとえば、現在の装置が特権 EXEC モードのときに failover exec mate configure terminal を入力すると、 show failover exec mate の出力に、failover exec セッションがグローバル コンフィギュレーション モードであることが示されます。ただし、ピア装置で failover exec を使用してコンフィギュレーション コマンドを入力した場合、現在の装置でグローバル コンフィギュレーション モードを開始しない限り、その処理は失敗します。
• failover exec mate failover exec mate コマンド のような、再帰的な failover exec コマンドは入力できません。
例
次に、 failover exec コマンドを使用して、アクティブ ユニットのフェールオーバー情報を表示する例を示します。コマンドはアクティブ ユニットで実行されるため、コマンドはローカルで実行されます。
次に、 failover exec コマンドを使用して、ピア ユニットのフェールオーバー ステータスを表示する例を示します。コマンドはアクティブ ユニットであるプライマリ ユニットで実行されるため、セカンダリのスタンバイ ユニットの情報が表示されます。
次に、 failover exec コマンドを使用して、フェールオーバー ピアのフェールオーバー コンフィギュレーションを表示する例を示します。コマンドはアクティブ ユニットであるプライマリ ユニットで実行されるため、セカンダリのスタンバイ ユニットの情報が表示されます。
次に、 failover exec コマンドを使用して、スタンバイ ユニットからアクティブ ユニットにコンテキストを作成する例を示します。コマンドは、アクティブ ユニットからスタンバイ ユニットに複製されます。「Creating context」というメッセージが 2 回表示されていることに注意してください。1 回めは、コンテキスト作成時に failover exec コマンドによってピア ユニットから出力されたものであり、2 回めは複製されたコマンドによってローカルにコンテキストが作成されたときにローカル ユニットから出力されたものです。
次に、 failover exec コマンドを使用してスタンバイ ステートのフェールオーバー ピアにコンフィギュレーション コマンドを送信したときに警告が返され、その警告が表示される例を示します。
次に、 failover exec コマンドを使用して、 show interface コマンドをスタンバイ ユニットに送信する例を示します。
次に、ピア ユニットに対して不正なコマンドを発行したときにエラー メッセージが返され、そのエラー メッセージが表示される例を示します。
次に、フェールオーバーがディセーブルの場合に failover exec コマンドを使用してエラー メッセージが返され、そのエラー メッセージが表示される例を示します。
関連コマンド
|
|
|
|---|---|
failover group
Active/Active フェールオーバー グループを設定するには、グローバル コンフィギュレーション モードで failover group コマンドを使用します。フェールオーバー グループを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 2 つのフェールオーバー グループを定義できます。 failover group コマンドは、マルチ コンテキスト モードが設定されたデバイスのシステム コンテキストにのみ追加できます。フェールオーバー グループは、フェールオーバーがディセーブルになっているときに限り作成および削除できます。
このコマンドを入力すると、フェールオーバー グループ コマンド モードが開始されます。フェールオーバー グループ コンフィギュレーション モードでは、 primary 、 secondary 、 preempt 、 replication http 、 interface-policy 、 mac address 、および polltime interface コマンドを使用できます。グローバル コンフィギュレーション モードに戻るには、 exit コマンドを使用します。
(注) failover polltime interface、failover interface-policy、failover replication http、および failover mac address コマンドは、Active/Active フェールオーバー コンフィギュレーションでは効果がありません。これらは、polltime interface、interface-policy、replication http、および mac address の各フェールオーバー グループ コンフィギュレーション モード コマンドによって上書きされます。
フェールオーバー グループを削除するときは、フェールオーバー グループ 1 を最後に削除する必要があります。フェールオーバー グループ 1 には、常に管理コンテキストが含まれています。フェールオーバー グループに割り当てられていないすべてのコンテキストは、デフォルトでフェールオーバー グループ 1 に割り当てられます。コンテキストが明示的に割り当てられているフェールオーバー グループは削除できません。
(注) 同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上に重複した MAC アドレスが存在しないようにするには、mac address コマンドを使用して、各物理インターフェイスに対して仮想アクティブ MAC アドレスおよび仮想スタンバイ MAC アドレスを割り当てる必要があります。
例
次に、2 つのフェールオーバー グループのコンフィギュレーションの例(抜粋)を示します。
関連コマンド
|
|
|
|---|---|
failover interface ip
フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイスに対して IP アドレスおよびマスクを指定するには、グローバル コンフィギュレーション モードで failover interface ip コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
failover interface ip if_name ip_address mask standby ip_address
no failover interface ip if_name ip_address mask standby ip_address
構文の説明
プライマリ モジュールのフェールオーバー インターフェイスまたはステートフル フェールオーバー インターフェイスに対して IP アドレスおよびマスクを指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイスは、セキュリティ アプライアンスがトランスペアレント ファイアウォール モードで動作している場合でもレイヤ 3 の機能であり、システムに対してグローバルです。
マルチ コンテキスト モードでは、システム コンテキストにフェールオーバーを設定します( monitor-interface コマンドを除く)。
このコマンドは、セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。
例
次に、フェールオーバー インターフェイスの IP アドレスおよびマスクを指定する例を示します。
関連コマンド
|
|
|
|---|---|
failover interface-policy
モニタリングによってインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、グローバル コンフィギュレーション モードで failover interface-policy コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
failover interface-policy num [ % ]
no failover interface-policy num [ % ]
構文の説明
パーセンテージとして使用される場合は 1 ~ 100 の数値を、数値として使用される場合は 1 ~インターフェイスの最大数を指定します。 |
|
デフォルト
• 物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
num 引数とオプションの % キーワードの間にはスペースを挿入しません。
障害が発生したインターフェイスの数が設定されているポリシーの基準を満たし、他方のセキュリティ アプライアンスが正しく機能している場合、セキュリティ アプライアンスは自身を障害発生状態とマークして、フェールオーバーが行われる可能性があります(アクティブなセキュリティ アプライアンスで障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。
(注) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用して、各フェールオーバー グループのインターフェイス ポリシーを設定します。
例
次に、2 通りの方法でフェールオーバー ポリシーを指定する例を示します。
関連コマンド
|
|
|
|---|---|
failover key
フェールオーバー ペアのユニット間での暗号化および認証された通信用のキーを指定するには、グローバル コンフィギュレーション モードで failover key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。
failover key { secret | hex key }
構文の説明
暗号キーの 16 進数値を指定します。キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。 |
|
英数字の共有秘密を指定します。秘密に使用できる文字数は、1 ~ 63 文字です。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユニット間のフェールオーバー通信を暗号化および認証するには、両方のユニットに共有秘密または 16 進キーを設定する必要があります。フェールオーバー キーを指定しない場合、フェールオーバー通信はクリア テキストで送信されます。
(注) PIX セキュリティ アプライアンス プラットフォームでは、ユニットへの接続に専用のシリアル フェールオーバー ケーブルを使用している場合、フェールオーバー キーを設定しても、フェールオーバー リンク上の通信は暗号化されません。フェールオーバー キーでは、LAN ベースのフェールオーバー通信のみが暗号化されます。
例
次に、フェールオーバー ペアのユニット間でフェールオーバー通信をセキュリティ保護するための共有秘密を指定する例を示します。
次に、フェールオーバー ペアの 2 つのユニット間でフェールオーバー通信をセキュリティ保護するための 16 進キーを指定する例を示します。
関連コマンド
|
|
|
|---|---|
failover lan enable
PIX セキュリティ アプライアンスで LAN ベースのフェールオーバーをイネーブルにするには、グローバル コンフィギュレーション モードで failover lan enable コマンドを使用します。LAN ベースのフェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドの no 形式を使用して LAN ベースのフェールオーバーがディセーブルになっている場合、フェールオーバー ケーブルが接続されていると、ケーブルベースのフェールオーバーが使用されます。このコマンドは、PIX セキュリティ アプライアンスでのみ使用できます。
例
次に、LAN ベースのフェールオーバーをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
failover lan interface
フェールオーバー通信に使用されるインターフェイスを指定するには、グローバル コンフィギュレーション モードで failover lan interface コマンドを使用します。フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
failover lan interface if_name { phy_if [. sub_if ] | vlan_if ]}
no failover lan interface [ if_name { phy_if [. sub_if ] | vlan_if ]}]
構文の説明
ASA 5505 セキュリティ アプライアンスで、VLAN インターフェイスをフェールオーバー リンクとして指定するために使用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LAN フェールオーバーでは、フェールオーバー トラフィックを送受信するための専用のインターフェイスが必要です。ただし、LAN フェールオーバー インターフェイスをステートフル フェールオーバー リンクに使用することもできます。
(注) LAN フェールオーバーとステートフル フェールオーバーの両方で同じインターフェイスを使用する場合は、LAN ベースのフェールオーバーとステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量がインターフェイスに必要です。
デバイス上の任意の未使用のイーサネット インターフェイスをフェールオーバー インターフェイスとして使用できます。現在名前が設定されているインターフェイスは指定できません。フェールオーバー インターフェイスは、通常のネットワーキング インターフェイスとしては設定されず、フェールオーバー通信専用となります。このインターフェイスは、フェールオーバー リンク専用である必要があります(ただしステート リンクとしても使用可能)。LAN ベースのフェールオーバー リンクは、リンクにホストまたはルータのない専用スイッチを使用するか、装置を直接リンクするためのクロスオーバー イーサネット ケーブルを使用して接続できます。
(注) VLAN を使用する場合は、フェールオーバー リンク専用の VLAN を使用します。フェールオーバー リンクの VLAN を他の VLAN と共有すると、断続的にトラフィックの問題が発生したり、ping や ARP の障害が発生したりすることがあります。フェールオーバー リンクの接続にスイッチを使用する場合は、スイッチおよびセキュリティ アプライアンスでフェールオーバー リンク専用のインターフェイスを使用します。インターフェイスを、通常のネットワーク トラフィックを伝送するサブインターフェイスと共有しないでください。
マルチ コンテキスト モードで動作するシステムでは、フェールオーバー リンクはシステム コンテキストにあります。システム コンテキストに設定できるインターフェイスは、このインターフェイス、および使用されている場合はステート リンクのみです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。
(注) フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。
このコマンドの no 形式を使用すると、フェールオーバー インターフェイスの IP アドレス コンフィギュレーションもクリアされます。
このコマンドは、セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。
例
次に、PIX 500 シリーズセキュリティ アプライアンスでフェールオーバー LAN インターフェイスを設定する例を示します。
次に、ASA 5500 シリーズセキュリティ アプライアンス(ASA 5505 セキュリティ アプライアンスを除く)でサブインターフェイスを使用してフェールオーバー LAN インターフェイスを設定する例を示します。
次に、ASA 5505 セキュリティ アプライアンスでフェールオーバー LAN インターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover lan unit
LAN フェールオーバー設定でセキュリティ アプライアンスをプライマリ装置またはセカンダリ装置のいずれかに設定するには、グローバル コンフィギュレーション モードで failover lan unit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
failover lan unit { primary | secondary }
no failover lan unit { primary | secondary }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Standby フェールオーバーでは、フェールオーバー ユニットに対するプライマリとセカンダリの指定によって、起動時にどのユニットがアクティブになるかが決まります。次の場合に、起動時にプライマリ ユニットがアクティブ ユニットになります。
• 最初のフェールオーバー ポーリング チェックの間に、プライマリ ユニットとセカンダリ ユニットの両方がブート シーケンスを完了している。
• プライマリ ユニットがセカンダリ ユニットよりも前に起動している。
プライマリ ユニットの起動時にすでにセカンダリ ユニットがアクティブになっている場合、プライマリ ユニットはアクティブにはならずに、スタンバイ ユニットとなります。この場合、プライマリ ユニットを強制的にアクティブ ステータスに戻すには、セカンダリ(アクティブ)ユニットで no failover active コマンドを発行する必要があります。
Active/Active フェールオーバーでは、各フェールオーバー グループにプライマリまたはセカンダリのユニット プリファレンスが割り当てられます。このプリファレンスによって、両方のユニットが(フェールオーバー ポーリング期間内に)同時に起動されたときに、起動時にフェールオーバー ペアのどのユニットでフェールオーバー グループのコンテキストがアクティブになるかが決まります。
このコマンドは、セキュリティ アプライアンスを LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。
例
次に、セキュリティ アプライアンスを LAN ベースのフェールオーバーのプライマリ ユニットとして設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover link
ステートフル フェールオーバー インターフェイスを指定するには、グローバル コンフィギュレーション モードで failover link コマンドを使用します。ステートフル フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
failover link if_name [ phy_if ]
構文の説明
(任意)物理インターフェイス ポートまたは論理インターフェイス ポートを指定します。ステートフル フェールオーバー インターフェイスが、フェールオーバー通信に割り当てられているインターフェイスを共有しているか、または標準ファイアウォール インターフェイスを共有している場合、この引数は必要ありません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ステートフル フェールオーバーをサポートしない ASA 5505 シリーズセキュリティ アプライアンスでは使用できません。
物理または論理インターフェイス引数は、フェールオーバー通信または標準ファイアウォール インターフェイスを共有していない場合に必要となります。
failover link コマンドによって、ステートフル フェールオーバーがイネーブルになります。ステートフル フェールオーバーをディセーブルにするには、no failover link コマンドを入力します。専用のステートフル フェールオーバー インターフェイスを使用している場合は、 no failover link コマンドによって、ステートフル フェールオーバー インターフェイスの IP アドレス コンフィギュレーションもクリアされます。
ステートフル フェールオーバーを使用するには、すべての状態情報を送信するためのステートフル フェールオーバー リンクを設定する必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。
• ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。
• LAN ベースのフェールオーバーを使用する場合は、フェールオーバー リンクを共有できます。
• 内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションはお勧めしません。
ステートフル フェールオーバー リンクに専用のイーサネット インターフェイスを使用する場合は、スイッチまたはクロス ケーブルを使用して、ユニットを直接接続できます。スイッチを使用する場合は、このリンク上に他のホストやルータを配置しないようにする必要があります。
(注) セキュリティ アプライアンスに直接接続されている Cisco スイッチ ポートの PortFast オプションをイネーブルにします。
ステートフル フェールオーバー リンクとしてフェールオーバー リンクを使用する場合は、使用可能なイーサネット インターフェイスのうち最も高速なインターフェイスを使用する必要があります。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。
ステートフル フェールオーバー リンクとしてデータ インターフェイスを使用する場合は、そのインターフェイスをステートフル フェールオーバー リンクとして指定したときに次の警告が表示されます。
データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。
(注) データ インターフェイスは、シングル コンテキストのルーテッド モードでのみステートフル フェールオーバー インターフェイスとして使用できます。
マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。
(注) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。
例
次に、専用インターフェイスをステートフル フェールオーバー インターフェイスとして指定する例を示します。この例のインターフェイスには、既存のコンフィギュレーションはありません。
関連コマンド
|
|
|
|---|---|
failover mac address
物理インターフェイスのフェールオーバー仮想 MAC アドレスを指定するには、グローバル コンフィギュレーション モードで failover mac address コマンドを使用します。仮想 MAC アドレスを削除するには、このコマンドの no 形式を使用します。
failover mac address phy_if active_mac standby_mac
no failover mac address phy_if active_mac standby_mac
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover mac address コマンドを使用すると、Active/Standby フェールオーバー ペアの仮想 MAC アドレスを設定できます。仮想 MAC アドレスが定義されていない場合は、各フェールオーバー ユニットが起動したときに、それらのユニットではインターフェイスのバーンドイン MAC アドレスが使用され、それらのアドレスがフェールオーバー ピアと交換されます。プライマリ ユニットのインターフェイスの MAC アドレスが、アクティブ ユニットのインターフェイスに使用されます。
ただし、両方のユニットが同時にオンラインにならず、セカンダリ ユニットが最初に起動してアクティブになった場合、セカンダリ ユニットは、自身のインターフェイスにバーンドイン MAC アドレスを使用します。その後プライマリ ユニットがオンラインになると、セカンダリ ユニットはプライマリ ユニットから MAC アドレスを取得します。この変更によりネットワーク トラフィックが中断される可能性があります。インターフェイスに仮想 MAC アドレスを設定すると、セカンダリ ユニットがプライマリ ユニットよりも前にオンラインになり、アクティブ ユニットとなった場合でも、正しい MAC アドレスが使用されるようになります。
failover lan interface コマンドでは、フェールオーバーが発生した場合に IP アドレスおよび MAC アドレスが変更されないため、LAN ベースのフェールオーバーに設定されたインターフェイスでは、 failover mac address コマンドは不要であり、使用できません。このコマンドは、セキュリティ アプライアンスが Active/Active フェールオーバーに設定されている場合には効果がありません。
コンフィギュレーションに failover mac address コマンドを追加する場合は、仮想 MAC アドレスを設定し、コンフィギュレーションをフラッシュ メモリに保存して、フェールオーバー ペアをリロードすることを推奨します。アクティブな接続が存在するときに仮想 MAC アドレスを追加すると、これらの接続は停止します。また、仮想 MAC アドレス指定を有効にするには、 failover mac address コマンドを含むコンフィギュレーション全体を、セカンダリセキュリティ アプライアンスのフラッシュ メモリに書き込む必要があります。
failover mac address がプライマリ ユニットのコンフィギュレーションに指定されている場合は、セカンダリ ユニットのブートストラップ コンフィギュレーションにも指定する必要があります。
(注) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用して、フェールオーバー グループの各インターフェイスの仮想 MAC アドレスを設定します。
例
次に、intf2 という名前のインターフェイスのアクティブ MAC アドレスおよびスタンバイ MAC アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover polltime
フェールオーバー ユニットのポーリング タイムおよびホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover polltime コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。
failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]
no failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]
構文の説明
デフォルト
PIX セキュリティ アプライアンスのデフォルト値は次のとおりです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
ユニットのポーリング タイムの 3 倍未満の値を holdtime の値として入力することはできません。ポーリング時間が短いほど、セキュリティ アプライアンスは短時間で故障を検出し、フェールオーバーをトリガーできます。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要なスイッチオーバーが発生する可能性があります。
1 回のポーリング期間中にユニットがフェールオーバー通信インターフェイスまたはケーブルで hello パケットを受信しないと、残りのインターフェイス経由で追加のテストが行われます。それでも保持時間内にピア装置から応答がない場合、その装置は故障していると見なされ、故障した装置がアクティブ装置の場合は、スタンバイ装置がアクティブ装置を引き継ぎます。
failover polltime [ unit ] コマンドおよび failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。
(注) CTIQBE トラフィックがフェールオーバー コンフィギュレーションのセキュリティ アプライアンスをパススルーする場合は、セキュリティ アプライアンスのフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。
例
次に、ユニットのポーリング タイムの頻度を 3 秒に変更する例を示します。
次に、200 ミリ秒ごとに hello パケットを送信し、800 ミリ秒以内にフェールオーバー インターフェイスで hello パケットを受信しないとフェールオーバーを実行するようにセキュリティ アプライアンスを設定する例を示します。オプションの unit キーワードがコマンドに含まれています。
関連コマンド
|
|
|
|---|---|
Active/Standby フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。 |
|
Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング タイムおよびホールド タイムを指定します。 |
|
failover polltime interface
Active/Standby フェールオーバー コンフィギュレーションのデータ インターフェイスのポーリング タイムおよびホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover polltime interface コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。
failover polltime interface [ msec ] time [ holdtime time ]
no failover polltime interface [ msec ] time [ holdtime time ]
構文の説明
(任意)データ インターフェイスが hello メッセージを受信する間隔を設定します。この時間を経過すると、ピアで障害が発生したと見なされます。有効な値は 5 ~ 75 秒です。 |
|
インターフェイス モニタリングのポーリング タイムを指定します。有効な値の範囲は、1 ~ 15 秒です。オプションの msec キーワードを使用した場合、有効な値は 500 ~ 999 ミリ秒です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 failover poll コマンドから failover polltime コマンドに変更され、 unit キーワード、 interface キーワード、および holdtime キーワードが含まれるようになりました。 |
|
使用上のガイドライン
データ インターフェイスで hello パケットが送信される頻度を変更するには、 failover polltime interface コマンドを使用します。このコマンドは、Active/Standby フェールオーバーにのみ使用可能です。Active/Active フェールオーバーでは、 failover polltime interface コマンドではなく、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。
ユニットのポーリング タイムの 5 倍未満の値を holdtime の値として入力することはできません。ポーリング時間が短いほど、セキュリティ アプライアンスは短時間で故障を検出し、フェールオーバーをトリガーできます。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。ホールド タイムの半分が経過したときに、インターフェイスで hello パケットが受信されていない場合は、インターフェイスのテストが開始されます。
failover polltime unit コマンドと failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。
(注) CTIQBE トラフィックがフェールオーバー コンフィギュレーションのセキュリティ アプライアンスをパススルーする場合は、セキュリティ アプライアンスのフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。
例
次に、インターフェイスのポーリング タイムの頻度を 15 秒に設定する例を示します。
次に、インターフェイスのポーリング タイムの頻度を 500 ミリ秒に、ホールド タイムを 5 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング タイムを指定します。 |
|
failover reload-standby
スタンバイ ユニットを強制的にリブートするには、特権 EXEC モードで failover reload-standby コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー ユニットが同期化されないときにこのコマンドを使用します。スタンバイ ユニットが再起動し、起動終了後にアクティブ ユニットと再同期化されます。
例
次に、アクティブ ユニットで failover reload-standby コマンドを使用して、スタンバイ ユニットを強制的にリブートする例を示します。
関連コマンド
|
|
|
|---|---|
failover replication http
HTTP(ポート 80)接続のレプリケーションをイネーブルにするには、グローバル コンフィギュレーション モードで failover replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 failover replicate http から failover replication http に変更されました。 |
使用上のガイドライン
デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、セキュリティ アプライアンスは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 failover replication http コマンドを使用すると、ステートフル フェールオーバー環境において HTTP セッションのステートフル レプリケーションが可能になりますが、システムのパフォーマンスに悪影響がある可能性があります。
Active/Active フェールオーバー コンフィギュレーションでは、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用して、フェールオーバー グループごとに HTTP セッションのレプリケーションを制御します。
例
次に、HTTP 接続のレプリケーションをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
failover reset
障害が発生したセキュリティ アプライアンスを障害が発生していない状態に復元するには、特権 EXEC モードで failover reset コマンドを使用します。
failover reset [ group group_id ]
構文の説明
(任意)フェールオーバー グループを指定します。 group キーワードは、Active/Active フェールオーバーに対してのみ適用されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover reset コマンドを使用すると、障害が発生したユニットまたはグループを、障害が発生していない状態に変更できます。 failover reset コマンドはいずれのユニットでも入力できますが、常にアクティブ ユニットでコマンドを入力することを推奨します。アクティブ ユニットで failover reset コマンドを入力すると、スタンバイ ユニットが障害が発生していない状態に復元されます。
show failover コマンドまたは show failover state コマンドを使用して、ユニットのフェールオーバー ステータスを表示できます。
Active/Active フェールオーバーでは、 failover reset を入力すると、ユニット全体がリセットされます。コマンドにフェールオーバー グループを指定すると、指定したグループのみがリセットされます。
例
次に、障害が発生したユニットを障害が発生していない状態に変更する例を示します。
関連コマンド
|
|
|
|---|---|
failover timeout
非対称ルーテッド セッションのフェールオーバー再接続タイムアウト値を指定するには、グローバル コンフィギュレーション モードで failover timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。
failover timeout hh [ : mm :[ : ss ]
no failover timeout [ hh [ : mm :[ : ss ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 nailed オプションを指定した static コマンドとともに使用されます。 nailed オプションを指定すると、起動後、またはシステムがアクティブになった後、指定した時間内に接続を再確立できます。 failover timeout コマンドでは、その時間を指定します。設定しない場合は、接続を再確立できません。 failover timeout コマンドは、 asr-group コマンドには影響しません。
(注) nailed オプションを static コマンドに追加すると、その接続で TCP ステート トラッキングとシーケンス チェックがスキップされます。
このコマンドの no 形式を使用すると、デフォルト値に戻ります。 failover timeout 0 を入力しても、デフォルト値に戻ります。デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。
例
次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換ルールを設定します。 |
file-bookmarks
認証された WebVPN ユーザに表示される WebVPN ホームページの [File Bookmarks] タイトルまたは [File Bookmarks] リンクをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで file-bookmarks コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
file-bookmarks { link {style value } | title {style value | text value }}
no file-bookmarks { link {style value } | title {style value | text value }}
構文の説明
デフォルト
デフォルトのリンクのスタイルは color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。
デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、任意の有効な CSS パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、W3C の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、[File Bookmarks] タイトルを「Corporate File Bookmarks」にカスタマイズする例を示します。
関連コマンド
|
|
|
file-browsing
ファイル サーバまたは共有の CIFS または FTP によるファイル ブラウジングをイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで file-browsing コマンドを使用します。
file-browsing enable | disable
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ファイル ブラウジングには、次の使用上の注意事項があります。
• ファイル ブラウジングでは、国際化はサポートされていません。
• ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。
セキュリティ アプライアンスは、さまざまなソースからの属性値を適用できます。次の階層に従って、属性値を適用します。
したがって、属性の DAP 値は、ユーザ、グループ ポリシー、またはトンネル グループに設定されたものよりも優先順位が高くなります。
DAP レコードの属性をイネーブルまたはディセーブルにすると、セキュリティ アプライアンスはその値を適用して実行します。たとえば、DAP webvpn モードでファイル ブラウジングをディセーブルにした場合、セキュリティ アプライアンスはそれ以上値を検索しません。ディセーブルにする代わりに file-browsing コマンドで no の値を設定した場合、属性は DAP レコードには存在しないため、セキュリティ アプライアンスはユーザ名の AAA 属性に移動し、必要に応じてグループ ポリシーにも移動して、適用する値を検索します。
例
次に、Finance という DAP レコードでファイル ブラウジングをイネーブルにする例を示します。
hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dap-webvpn)# file-browsing enable
hostname(config-dap-webvpn)#
関連コマンド
|
|
|
|---|---|
file-encoding
Common Internet File System サーバからのページの文字エンコーディングを指定するには、webvpn コンフィギュレーション モードで file-encoding コマンドを使用します。file-encoding 属性の値を削除するには、このコマンドの no 形式を使用します。
file-encoding {server-name | server-ip-addr } charset
no file-encoding {server-name | server-ip-addr }
構文の説明
最大 40 文字から成るストリングで、 http://www.iana.org/assignments/character-sets で特定されている有効な文字セットのいずれかに相当するもの。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。 このストリングは、大文字と小文字が区別されません。セキュリティ アプライアンス コンフィギュレーション内では、コマンド インタプリタによって大文字が小文字に変換されます。 |
|
| セキュリティ アプライアンスでは、指定した大文字と小文字の区別が保持されますが、名前をサーバと照合するときには大文字と小文字は区別されません。 |
デフォルト
WebVPN コンフィギュレーションに明示的な file-encoding エントリがないすべての CIFS サーバからのページでは、character-encoding 属性の文字エンコーディング値が継承されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
WebVPN の character-encoding 属性の値とは異なる文字エンコーディングが必要なすべての CIFS サーバに対して、file-encoding エントリを入力します。
CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding 属性の値を符号化します。符号化が行われなかった場合は、character-encoding 属性の値を継承します。リモート ユーザのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding 属性も設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。
CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding 属性によって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。
(注) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。次の例に示すように日本語の Shift_JIS 文字エンコーディングを使用する場合などは、webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してフォント ファミリを置換し、これらの値の設定を補足するか、または webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除する必要があります。
例
次に、「CISCO-server-jp」という名前の CIFS サーバが日本語の Shift_JIS 文字をサポートするように file-encoding 属性を設定し、フォント ファミリを削除して、デフォルトの背景色を保持する例を示します。
次に、CIFS サーバ 10.86.5.174 の file-encoding 属性を設定して、IBM860(エイリアス「CP860」)文字をサポートする例を示します。
関連コマンド
|
|
|
|---|---|
WebVPN コンフィギュレーションの file-encoding エントリに指定されたサーバのページを除き、すべての WebVPN ポータル ページで使用されるグローバルな文字エンコーディングを指定します。 |
|
WebVPN の実行コンフィギュレーションを表示します。デフォルト コンフィギュレーションを組み込むには all キーワードを使用します。 |
|
file-entry
アクセスするファイル サーバ名をユーザが入力できる機能をイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで file-entry コマンドを使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、さまざまなソースからの属性値を適用できます。次の階層に従って、属性値を適用します。
4. 接続プロファイル(トンネル グループ)のグループ ポリシー
属性の DAP 値には、ユーザ、グループ ポリシー、または接続プロファイルよりも高いプライオリティが設定されています。
DAP レコードの属性をイネーブルまたはディセーブルにすると、セキュリティ アプライアンスはその値を適用して実行します。たとえば、DAP webvpn モードでファイル サーバ名の入力をディセーブルにした場合、セキュリティ アプライアンスはそれ以上値を検索しません。ディセーブルにする代わりに file-entry コマンドで no の値を設定した場合、属性は DAP レコードには存在しないため、セキュリティ アプライアンスはユーザ名の AAA 属性に移動し、必要に応じてグループ ポリシーにも移動して、適用する値を検索します。
例
次に、Finance という DAP レコードでファイル サーバ名の入力をイネーブルにする例を示します。
hostname (config)# config-dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)# webvpn
hostname(config-dap-webvpn)# file-entry enable
hostname(config-dap-webvpn)#
関連コマンド
|
|
|
|---|---|
filter
特定のグループ ポリシーまたはユーザ名の WebVPN 接続で使用するアクセス リストの名前を指定するには、webvpn コンフィギュレーション モードで filter コマンドを使用します。アクセス リスト( filter none コマンドを発行して作成されたヌル値を含む)を削除するには、このコマンドの no 形式を使用します。
filter { value ACLname | none }
構文の説明
WebVPN タイプ のアクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。フィルタ値を継承しないようにするには、 filter value none コマンドを使用します。
このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。その後、 filter コマンドを使用して、これらの WebVPN トラフィック用の ACL を適用します。
例
次に、FirstGroup という名前のグループ ポリシーで acl_in という名前のアクセス リストを呼び出すフィルタを設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
filter activex
セキュリティ アプライアンスを通過する HTTP トラフィック内の ActiveX オブジェクトを削除するには、グローバル コンフィギュレーション モードで filter activex コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
filter activex | java < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask>
no filter activex | java < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask>
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ActiveX オブジェクトには、保護されているネットワーク上のホストやサーバを攻撃することを目的とするコードが含まれている場合があるため、セキュリティのリスクが発生する可能性があります。filter activex コマンドを使用して、ActiveX オブジェクトをディセーブルにできます。
ActiveX コントロールは、以前は OLE コントロールまたは OCX コントロールと呼ばれていたもので、Web ページやその他のアプリケーションに挿入できるコンポーネントです。これらのコントロールにはカスタム フォームやカレンダーなど、情報の収集と表示に使用されるサードパーティ製の多様なフォームが含まれています。ActiveX は、技術的に、ネットワーク クライアントに対して多くの問題を発生させる可能性があります。たとえば、ワークステーションの障害の原因となる、ネットワーク セキュリティ問題を引き起こす、またはサーバへの攻撃に利用される、などのおそれがあります。
filter activex コマンドでは、HTML Web ページ内で HTML の <object> コマンドをコメントアウトすることによって、<object> コマンドがブロックされます。<APPLET> ~ </APPLET> タグおよび <OBJECT CLASSID> ~ </OBJECT> タグを選択的にコメントに置換することによって、HTML ファイルの ActiveX フィルタリングが実行されます。ネストされたタグのフィルタリングは、最上位タグをコメントに変換することによってサポートされています。
<object> または </object> HTML タグが複数のネットワーク パケットに分割されている場合や、タグ内のコードが MTU のバイト数よりも長い場合は、セキュリティ アプライアンスでタグをブロックできません。
alias コマンドによって参照されている IP アドレスにユーザがアクセスした場合、または WebVPN トラフィックでは、ActiveX ブロッキングは行われません。
例
次に、すべての発信接続で ActiveX オブジェクトをブロックする例を示します。
このコマンドは、任意のローカル ホストから任意の外部ホストへの接続において、ポート 80 で Web トラフィックに対して ActiveX オブジェクト ブロッキングを適用することを指定します。
関連コマンド
|
|
|
フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。 |
|
filter ftp
Websense サーバまたは N2H2 サーバでフィルタリングする FTP トラフィックを指定するには、グローバル コンフィギュレーション モードで filter ftp コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
filter ftp < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ interact-block ]
no filter ftp < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ interact-block ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
filter ftp コマンドを使用すると、Websense サーバまたは N2H2 サーバでフィルタリングする FTP トラフィックを指定できます。
この機能をイネーブルにした後、ユーザがサーバに対して FTP GET 要求を発行すると、セキュリティ アプライアンスは、FTP サーバ、および Websense サーバまたは N2H2 サーバに対して同時に要求を送信します。Websense サーバまたは N2H2 サーバによって接続が許可されると、セキュリティ アプライアンスは成功の FTP リターン コードを変更しないでそのままユーザに返します。たとえば、成功のリターン コードは「250: CWD command successful」です。
Websense サーバまたは N2H2 サーバによって接続が拒否されると、セキュリティ アプライアンスは FTP リターン コードを変更して、接続が拒否されたことを示します。たとえば、セキュリティ アプライアンスは、コード 250 を「550 Requested file is prohibited by URL filtering policy」に変更します。Websense では、FTP GET コマンドのみがフィルタリングされ、FTP PUT コマンドはフィルタリングされません。
完全なディレクトリ パスを指定しない対話形式の FTP セッションを禁止するには、interactive-block オプションを使用します。対話形式の FTP クライアントを使用すると、ユーザは、完全なパスを入力しないでディレクトリを変更できます。たとえば、ユーザは、cd /public/files ではなく、cd ./files と入力できます。これらのコマンドを使用する前に、URL フィルタリング サーバを指定してイネーブルにする必要があります。
例
次に、FTP フィルタリングをイネーブルにする例を示します。
関連コマンド
|
|
|
フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。 |
|
filter https
N2H2 サーバまたは Websense サーバでフィルタリングする HTTPS トラフィックを指定するには、グローバル コンフィギュレーション モードで filter https コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
filter https < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ]
no filter https < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、外部の Websense または N2H2 フィルタリング サーバを使用した HTTPS サイトおよび FTP サイトのフィルタリングをサポートしています。
サイトが許可されない場合、SSL 接続ネゴシエーションを完了させないことによって、HTTPS フィルタリングが行われます。ブラウザには、「The Page or the content cannot be displayed.」のようなエラー メッセージが表示されます。
HTTPS コンテンツは暗号化されているため、セキュリティ アプライアンスは、ディレクトリおよびファイル名の情報を付けずに URL ルックアップを送信します。
例
次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTPS 接続をフィルタリングする例を示します。
関連コマンド
|
|
|
フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。 |
|
filter java
セキュリティ アプライアンスを通過する HTTP トラフィックから Java アプレットを削除するには、グローバル コンフィギュレーション モードで filter java コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]
no filter java {[ port [ - port ] | except } local_ip local_mask foreign_ip foreign_mask ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Java アプレットは、保護されたネットワーク上のホストとサーバを攻撃するコードを含むことがあるため、セキュリティ リスクを引き起こす可能性があります。Java アプレットは、filter java コマンドで取り除くことができます。
filter java コマンドは、発信接続からセキュリティ アプライアンスに返される Java アプレットをフィルタリングします。フィルタリングされてもユーザは HTML ページを受信できますが、アプレットの Web ページ ソースはコメントアウトされているため、アプレットは実行できません。 filter java コマンドでは、WebVPN トラフィックはフィルタリングされません。
applet または /applet HTML タグが複数のネットワーク パケットに分割されている場合や、タグ内のコードが MTU のバイト数よりも長い場合は、セキュリティ アプライアンスでタグをブロックできません。Java アプレットが <object> タグ内にあることがわかっている場合は、 filter activex コマンドを使用して削除します。
例
次の例では、すべての発信接続で Java アプレットをブロックすることを指定しています。
このコマンドは、Java アプレット ブロックが、あらゆるローカル ホストからあらゆる外部ホストへのポート 80 の Web トラフィックに対して、適用されることを指定しています。
次の例では、保護されたネットワーク上のホストへの Java アプレットのダウンロードをブロックしています。
関連コマンド
|
|
|
filter url
トラフィックを URL フィルタリング サーバに転送するには、グローバル コンフィギュレーション モードで filter url コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
filter url < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]
no filter url < port> [-<port> ] | except <local_ip> <mask> <foreign_ip> <foreign_mask> [ allow ] [ cgi-truncate ] [ longurl-truncate | longurl-deny ] [ proxy-block ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
filter url コマンドを使用すると、N2H2 または Websense フィルタリング アプリケーションを使用して指定した WWW 上の URL への発信ユーザのアクセスを禁止できます。
(注) filter url コマンドを発行する前に、url-server コマンドを設定する必要があります。
filter url コマンドの allow オプションでは、N2H2 サーバまたは Websense サーバがオフラインになった場合のセキュリティ アプライアンスの動作が決定されます。filter url コマンドで allow オプションを使用し、N2H2 サーバまたは Websense サーバがオフラインになった場合、ポート 80 のトラフィックはフィルタリングなしでセキュリティ アプライアンスを通過します。allow オプションを指定しないでこのコマンドを使用し、サーバがオフラインになった場合、セキュリティ アプライアンスでは、サーバが再度オンラインになるまでポート 80(Web)への発信トラフィックが停止されるか、または別の URL サーバを使用できる場合は次の URL サーバに制御が渡されます。
(注) allow オプションを設定した場合、セキュリティ アプライアンスでは、N2H2 サーバまたは Websense サーバがオフラインになると代替サーバに制御が渡されるようになりました。
N2H2 サーバまたは Websense サーバは、セキュリティ アプライアンスと連携して動作し、会社のセキュリティ ポリシーに基づいてユーザの Web サイトへのアクセスを拒否します。
Websense プロトコル バージョン 4 では、ホストとセキュリティ アプライアンスとの間でのグループおよびユーザ名認証が可能です。セキュリティ アプライアンスは、ユーザ名ルックアップを実行し、その後 Websense サーバが URL フィルタリングおよびユーザ名のロギングを処理します。
N2H2 サーバは、IFP サーバを実行する Windows ワークステーション(2000、NT、または XP)である必要があります。512 MB 以上の RAM を推奨します。また、N2H2 サービスにおける長い URL のサポートは最大 3 KB までとなっており、Websense における制限よりも短くなっています。
Websense プロトコル バージョン 4 では、次の機能が拡張されました。
• URL フィルタリングにおいて、セキュリティ アプライアンスでは、Websense サーバに定義されているポリシーに対して発信 URL 要求をチェックできます。
• ユーザ名のロギングによって、Websense サーバでユーザ名、グループ、およびドメイン名が追跡されます。
• ユーザ名ルックアップによって、セキュリティ アプライアンスでは、ユーザ認証テーブルを使用して、ホストの IP アドレスをユーザ名にマッピングできます。
Websense についての情報は、次の Web サイトで入手できます。
ステップ 1 ベンダー固有の適切な形式の url-server コマンドを使用して、N2H2 サーバまたは Websense サーバを指定します。
ステップ 2 filter コマンドを使用して、フィルタリングをイネーブルにします。
ステップ 3 必要に応じて url-cache コマンドを使用して、スループットを向上させます。ただし、このコマンドは Websense ログを更新しないため、Websense アカウンティング レポートに影響がある可能性があります。url-cache コマンドを使用する前に、Websense の実行ログを蓄積します。
ステップ 4 show url-cache statistics コマンドおよび show perfmon コマンドを使用して、実行情報を表示します。
Websense フィルタリング サーバでは 4 KB まで、N2H2 フィルタリング サーバでは 3 KB までの URL のフィルタリングがサポートされています。
許可されている最大サイズよりも長い URL 要求の処理を許可するには、 longurl-truncate オプションおよび cgi-truncate オプションを使用します。
URL が最大長よりも長く、longurl-truncate オプションまたは longurl-deny オプションをイネーブルにしない場合、セキュリティ アプライアンスではパケットがドロップされます。
longurl-truncate オプションを指定すると、セキュリティ アプライアンスは URL が最大許容長よりも長い場合に、URL のホスト名または IP アドレス部分だけを、評価のためにフィルタリング サーバに送信します。longurl-deny オプションは、URL が最大許容長よりも長い場合、発信 URL トラフィックを拒否します。
パラメータは含まずに CGI スクリプトの場所とスクリプト名だけを含むよう CGI URL を切り捨てるには、cgi-truncate オプションを使用します。長い HTTP 要求のほとんどは、CGI 要求です。パラメータ リストが非常に長い場合、パラメータ リストを含む完全な CGI 要求を待機したり送信したりすると、大量のメモリ リソースが使用され、セキュリティ アプライアンスのパフォーマンスに影響を与える可能性があります。
デフォルトで、ユーザが特定の Web サイトに対する接続要求を発行すると、セキュリティ アプライアンスはその要求を Web サーバとフィルタリング サーバに同時に送信します。Web コンテンツ サーバよりも前にフィルタリング サーバが応答しない場合、Web サーバからの応答はドロップされます。このような場合、Web クライアントの観点からは、Web サーバの応答が遅延することになります。
HTTP 応答バッファをイネーブルにすることによって、Web コンテンツ サーバからの応答がバッファリングされ、フィルタリング サーバによって接続が許可された場合にその応答が要求元ユーザに転送されます。これにより、応答バッファをイネーブルにしない場合に発生する遅延を防止できます。
HTTP 応答バッファをイネーブルにするには、次のコマンドを入力します。
block-buffer を、バッファリングする最大ブロック数で置き換えます。1 ~ 128 の値を指定できます。この値は、一度にバッファリング可能な 1550 バイトのブロック数を指定します。
例
次に、10.0.2.54 ホストからの接続を除く、すべての発信 HTTP 接続をフィルタリングする例を示します。
次に、ポート 8080 でリッスンするプロキシ サーバ宛てのすべての発信 HTTP 接続をブロックする例を示します。
関連コマンド
|
|
|
フィルタリング サーバからのフィルタリング決定を待っている間、Web サーバの応答に使用される URL バッファを管理します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
fips enable
FIPS に準拠するためのポリシー チェックをイネーブルにするには、グローバル コンフィギュレーション モードで fips enable コマンドを使用します。ポリシー チェックをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
FIPS 準拠動作モードで実行するには、fips enable コマンドを適用し、セキュリティ ポリシーに指定されている適切なコンフィギュレーションを適用する必要があります。内部 API によって、実行時に、適切なコンフィギュレーションが適用されるようにデバイスを移行できます。
スタートアップ コンフィギュレーションに「fips enable」が存在する場合は、FIPS POST が実行されて、次のコンソール メッセージが表示されます。
例
次に、FIPS に準拠するためのポリシー チェックをシステムでイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
fips self-test poweron
電源オン セルフテストを実行するには、特権 EXEC モードで fips self-test powereon コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを実行すると、デバイスで、FIPS 140-2 準拠に必要なすべてのセルフテストが実行されます。テストには、暗号化アルゴリズム テスト、ソフトウェア完全性テスト、および重要機能のテストがあります。
例
次に、システムで電源オン セルフテストを実行する例を示します。
関連コマンド
|
|
|
|---|---|
firewall transparent
ファイアウォール モードをトランスペアレント モードに設定するには、グローバル コンフィギュレーション モードで firewall transparent コマンドを使用します。ルーテッド モードに戻すには、このコマンドの no 形式を使用します。トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 のファイアウォールであり、接続デバイスにはルータ ホップとして認識されません。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マルチ コンテキスト モードでは、すべてのコンテキストに対して 1 つのファイアウォール モードのみを使用できます。モードは、システム コンフィギュレーションで設定する必要があります。このコマンドは、各コンテキストのコンフィギュレーションにも情報提供の目的で表示されますが、このコマンドをコンテキストで入力することはできません。
多くのコマンドは両方のモードではサポートされていないため、モードを変更した場合は、セキュリティ アプライアンスによってコンフィギュレーションがクリアされます。設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。
firewall transparent コマンドを使用してモードを変更するテキスト コンフィギュレーションをセキュリティ アプライアンスにダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、セキュリティ アプライアンスでこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。コマンドをコンフィギュレーションの後の方に配置すると、コンフィギュレーション内のその位置よりも前にあるすべての行がセキュリティ アプライアンスによってクリアされます。
例
次に、ファイアウォール モードをトランスペアレントに変更する例を示します。
関連コマンド
|
|
|
|---|---|
flowcontrol
フロー制御のポーズ(XOFF)フレームを 10 ギガビット イーサネット インターフェイスでのみイネーブルにするには、インターフェイス コンフィギュレーション モードで flowcontrol コマンドを使用します。ポーズ フレームをディセーブルにするには、このコマンドの no 形式を使用します。
flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]
no flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。
このコマンドをイネーブルにすると、FIFO バッファの使用量に基づいて、NIC ハードウェアによってポーズ(XOFF)フレームおよび XON フレームが自動的に生成されます。
1. バッファの使用量が高基準値を超えると、NIC からポーズ フレームが送信されます。
2. ポーズが送信された後、バッファの使用量が低基準値を下回ると、NIC から XON フレームが送信されます。
3. リンク パートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズ フレーム内のタイマー値によって制御されます。
4. バッファの使用量が継続的に高基準値を超えている場合は、ポーズ リフレッシュのしきい値に指定された間隔でポーズ フレームが NIC から繰り返し送信されます。
プロンプトを表示しないでパラメータを変更するには、 noconfirm キーワードを使用します。
(注) 802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。
例
次に、デフォルト設定を使用してポーズ フレームをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
format
すべてのファイルを消去してファイル システムをフォーマットするには、特権 EXEC モードで format コマンドを使用します。このコマンドは、非表示のシステム ファイルを含むファイル システム上のすべてのファイルを消去して、ファイル システムを再インストールします。
format {disk0: | disk1: | flash:}
構文の説明
内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
format コマンドは、指定したファイル システム上のすべてのデータを消去して、デバイスに FAT 情報を再書き込みします。
(非表示のシステム ファイルを除く)表示されているすべてのファイルを削除する場合は、 format コマンドではなく delete /recursive コマンドを入力します。
(注) Cisco PIX セキュリティ アプライアンスでは、erase コマンドおよび format コマンドは両方とも、0xFF パターンを使用してユーザ データを破棄します。
破損したファイル システムを修復する場合は、format コマンドを入力する前に fsck を入力します。
(注) Cisco ASA 5500 シリーズのセキュリティ アプライアンスでは、erase コマンドを実行すると、ディスク上のすべてのユーザ データが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイル システムの制御構造をリセットするだけです。ロウ ディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。
破損したファイル システムを修復する場合は、format コマンドを入力する前に fsck を入力します。
例
次に、フラッシュ メモリをフォーマットする方法の例を示します。
関連コマンド
|
|
|
|---|---|
forward interface
ASA 5505 適応型セキュリティ アプライアンスなどの組み込みのスイッチを備えたモデルにおいて、特定の VLAN で他の特定の VLAN への接続の開始を可能にするには、インターフェイス コンフィギュレーション モードで forward interface コマンドを使用します。特定の VLAN で他の特定の VLAN への接続が開始されないよう制限するには、このコマンドの no 形式を使用します。ライセンスでサポートされている VLAN 数に応じて、特定の VLAN の制限が必要となることがあります。
no forward interface vlan number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ルーテッド モードでは、ASA 5505 適応型セキュリティ アプライアンスの基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 5 つのアクティブ VLAN を設定できます。アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。いずれのライセンスでも、ASA 5505 適応型セキュリティ アプライアンスでは最大 5 つの非アクティブな VLAN を設定できますが、これらをアクティブにする場合は、ライセンスのガイドラインに従う必要があります。
基本ライセンスでは、3 つめの VLAN は no forward interface コマンドを使用して設定し、この VLAN から他の特定の VLAN への接続の開始を制限する必要があります。
たとえば、1 つめの VLAN がインターネット アクセス用の外部ネットワークに、2 つめの VLAN が内部の業務用ネットワークに、3 つめの VLAN が家庭用ネットワークにそれぞれ割り当てられているとします。家庭用ネットワークから業務用ネットワークにアクセスする必要はないため、家庭用 VLAN に対して no forward interface コマンドを使用できます。業務用ネットワークから家庭用ネットワークにはアクセスできますが、家庭用ネットワークから業務用ネットワークにはアクセスできません。
すでに 2 つの VLAN インターフェイスに nameif コマンドを設定している場合は、3 つめのインターフェイスに nameif コマンドを設定する前に no forward interface コマンドを入力する必要があります。セキュリティ アプライアンス(ASA 5505 適応型セキュリティ アプライアンス)の基本ライセンスでは、3 つの VLAN インターフェイスすべてを完全に動作させることは許可されていません。
例
次の例では、3 つの VLAN インターフェイスを設定します。3 つめの家庭用インターフェイスは、業務用インターフェイスにトラフィックを転送できません。
関連コマンド
|
|
|
|---|---|
fqdn
登録時に、指定した FQDN を証明書のサブジェクト代替名の拡張に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで fqdn コマンドを使用します。fqdn のデフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
証明書を使用した Nokia VPN クライアントの認証をサポートするようにセキュリティ アプライアンスを設定する場合は、 none キーワードを使用します。Nokia VPN クライアントの証明書認証のサポートの詳細については、 crypto isakmp identity コマンドまたは isakmp identity コマンドを参照してください。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の登録要求に FQDN engineering を含める例を示します。
関連コマンド
|
|
|
|---|---|
fragment
パケット フラグメンテーションの付加的な管理を提供して、NFS との互換性を向上させるには、グローバル コンフィギュレーション モードで fragment コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
fragment { size | chain | timeout limit } [ interface ]
no fragment { size | chain | timeout limit } interface
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドの引数が変更されました。 chain 、 size 、または timeout のいずれかの引数を選択する必要があります。ソフトウェアの以前のリリースではこれらの引数なしで fragment コマンドを入力できましたが、これらの引数なしでは入力できなくなりました。 |
使用上のガイドライン
デフォルトで、セキュリティ アプライアンスでは、完全な IP パケットを再構築するために最大で 24 のフラグメントを受け入れます。ネットワーク セキュリティ ポリシーに基づいて、各インターフェイスで fragment chain 1 interface コマンドを入力して、フラグメント化されたパケットがセキュリティ アプライアンスを通過しないようにセキュリティ アプライアンスを設定することを検討する必要があります。limit を 1 に設定すると、すべてのパケットは完全なものである必要があります。つまり、フラグメント化されていない必要があります。
セキュリティ アプライアンスを通過するネットワーク トラフィックの多くが NFS である場合は、データベースのオーバーフローを回避するために追加の調整が必要となることがあります。
WAN インターフェイスなど、NFS サーバとクライアントとの間の MTU サイズが小さい環境では、chain キーワードに追加の調整が必要となる場合があります。この場合、効率性を向上させるために、NFS over TCP を使用することを推奨します。
size limit を大きな値に設定すると、セキュリティ アプライアンスがフラグメント フラッディングによる DoS 攻撃を受けやすくなります。 size limit の値は、1550 または 16384 プールの合計ブロック数 以上には設定しないでください。
例
次に、外部インターフェイスおよび内部インターフェイスにおいてフラグメント化されたパケットの通過を禁止する例を示します。
引き続き、フラグメント化されたパケットの通過を禁止する追加の各インターフェイスに対して、fragment chain 1 interface コマンドを入力します。
次に、外部インターフェイスのフラグメント データベースを、最大サイズ 2000、最大チェーン長 45、待機時間 10 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
frequency
選択した SLA 動作の反復間隔を設定するには、SLA モニタ プロトコル コンフィギュレーション モードで frequency コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
SLA プローブ間の秒数。有効な値は、1 ~ 604800 秒です。この値は、 timeout の値未満にはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLA 動作は、動作のライフタイム中、指定された頻度で繰り返し実行されます。たとえば、60 秒の頻度に設定された ipIcmpEcho 動作は、動作のライフタイム中 60 秒ごとにエコー要求パケットを繰り返し送信します。たとえば、エコー動作のデフォルトのパケット数は 1 です。動作が開始されるとこのパケットが送信され、60 秒後に再度送信されます。
個別の SLA 動作において、指定された頻度の値よりも実行に時間がかかる場合は、動作がすぐに繰り返されるのではなく、「busy」という統計情報カウンタが増加します。
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度が 3 秒に、タイムアウト値が 1000 ミリ秒に設定されています。
関連コマンド
|
|
|
|---|---|
fsck
ファイル システムのチェックを実行して、破損を修復するには、特権 EXEC モードで fsck コマンドを使用します。
fsck [/no confirm]{disk0: | disk1: | flash:}
構文の説明
内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
fsck コマンドは破損したファイル システムをチェックし、修復を試みます。他の方法を用いる前に、まずこのコマンドを使用してください。
例
次の例では、フラッシュ メモリのファイル システムのチェック方法を示しています。
関連コマンド
|
|
|
|---|---|
非表示のシステム ファイルを含むファイル システム上のすべてのファイルを消去して、ファイル システムを再インストールします。 |
ftp mode passive
FTP モードをパッシブに設定するには、グローバル コンフィギュレーション モードで ftp mode passive コマンドを使用します。FTP クライアントをアクティブ モードにリセットするには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ftp mode passive コマンドは、FTP モードをパッシブに設定します。セキュリティ アプライアンスでは、FTP を使用して、FTP サーバとの間でイメージ ファイルやコンフィギュレーション ファイルをアップロードまたはダウンロードできます。 ftp mode passive コマンドは、セキュリティ アプライアンス上の FTP クライアントの FTP サーバとの通信方法を制御します。
パッシブ FTP では、クライアントは制御接続およびデータ接続の両方を開始します。パッシブ モードとはサーバの状態を指しており、クライアントが開始する制御接続およびデータ接続の両方をサーバが受動的に受け入れることを意味しています。
パッシブ モードでは、送信元ポートおよび宛先ポートの両方が 1023 よりも大きい一時ポートです。モードはクライアントによって設定されます。クライアントは、 passive コマンドを発行して、パッシブ データ接続の設定を開始します。パッシブ モードではデータ接続の受け入れ側となるサーバは、今回の特定の接続においてリッスンするポート番号を応答として返します。
例
関連コマンド
functions(削除)
functions コマンドは、リリース 8.0(2) では使用できません。このコマンドは廃止されており、下位互換性の目的でのみこのコマンド リファレンスに記載されています。Web サイトの URL リストの作成、ファイル アクセス、プラグイン、カスタマイゼーション、言語変換には、import コマンドおよび export コマンドを使用します。
特定のユーザまたはグループ ポリシーに対して、ポート フォワーディング Java アプレットの自動ダウンロード、ファイル アクセス、ファイル ブラウジング、ファイル サーバ名の入力、Web タイプ ACL の適用、HTTP プロキシ、ポート フォワーディング、または WebVPN 上での URL 入力を設定するには、webvpn コンフィギュレーション モードで functions コマンドを入力します。設定済みの機能を削除するには、このコマンドの no 形式を使用します。
functions { auto-download | citrix | file-access | file-browsing | file-entry | filter | http-proxy | url-entry | port-forward | none }
no functions [ auto-download | citrix | file-access | file-browsing | file-entry | filter | url-entry | port-forward ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
functions none コマンドを発行することによって作成されたヌル値を含め、設定されているすべての機能を削除するには、引数を指定しないでこのコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。機能の値を継承しない場合は、 functions none コマンドを使用します。
例
次に、FirstGroup という名前のグループ ポリシーに対して、ファイル アクセスおよびファイル ブラウジングを設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
フィードバック