- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: icmp コマンド ~ import webvpn webcontent コマンド
- icmp
- icmp unreachable
- icmp-object
- id-cert-issuer
- id-mismatch
- id-randomization
- id-usage(クリプト CA トラスト ポイント)
- igmp
- igmp access-group
- igmp forward interface
- igmp join-group
- igmp limit
- igmp query-interval
- igmp query-max-response-time
- igmp query-timeout
- igmp static-group
- igmp version
- ignore-ipsec-keyusage
- ignore lsa mospf
- ike-retry-count
- ike-retry-timeout
- im
- imap4s
- import webvpn customization
- import webvpn plug-in protocol
- import webvpn translation-table
- import webvpn url-list
- import webvpn webcontent
icmp コマンド ~ import webvpn webcontent コマンド
icmp
セキュリティ アプライアンス インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定するには、 icmp コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
no icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name
構文の説明
デフォルト
セキュリティ アプライアンスのデフォルトの動作は、セキュリティ アプライアンス インターフェイス に向かう すべての ICMP トラフィックを許可することです。ただし、セキュリティ アプライアンスはデフォルトではブロードキャスト アドレスに送信される ICMP エコー要求に応答しません。また、セキュリティ アプライアンスは宛先が保護されたインターフェイスにある場合、は外部インターフェイスで受信された ICMP メッセージを拒否します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp コマンドは、セキュリティ アプライアンス インターフェイスで終了する ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、セキュリティ アプライアンスは外部インターフェイスを含め任意のインターフェイスで終了するすべての ICMP トラフィックを受け付けます。ただし、セキュリティ アプライアンスはデフォルトではブロードキャスト アドレスに送信される ICMP エコー要求に応答しません。
セキュリティ アプライアンスは、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、インターフェイス経由で離れたインターフェイスに送信できません。
icmp deny コマンドはインターフェイスへの ping の実行をディセーブルにし、icmp permit コマンドはインターフェイスへの ping の実行をイネーブルにします。ping の実行がディセーブルの場合、セキュリティ アプライアンスはネットワーク上で検出できません。これは、設定可能なプロキシ ping とも呼ばれます。
宛先が保護されたインターフェイスにある場合、access-list extended コマンドまたは access-group コマンドはセキュリティ アプライアンス 経由で ルーティングされる ICMP トラフィックに対して使用します。
ICMP 到達不能メッセージ タイプ(タイプ 3)の権限を付与することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになって、IPSec および PPTP トラフィックが停止することがあります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。
インターフェイスの ICMP コントロール リストが設定されている場合、セキュリティ アプライアンスは指定された ICMP トラフィックを照合し、そのインターフェイス上の他のすべての ICMP トラフィックに関して暗黙拒否を適用します。つまり、最初に一致したエントリが許可エントリである場合、ICMP パケットは引き続き処理されます。最初に一致したエントリが拒否エントリであるか、エントリに一致しない場合、セキュリティ アプライアンスによって ICMP パケットは破棄され、syslog メッセージが生成されます。例外は、ICMP コントロール リストが設定されていない場合です。その場合、 permit ステートメントがあるものと見なされます。
表 3 に、サポートされている ICMP タイプの値を示します。
|
|
|
|---|---|
例
次に、外部インターフェイスですべての ping 要求を拒否し、すべての到達不能メッセージを許可する例を示します。
ICMP トラフィックを拒否するその他のインターフェイスごとに icmp deny any interface コマンドの入力を続行します。
次に、ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 上のホストに外部インターフェイスへの ping の実行を許可する例を示します。
関連コマンド
|
|
|
|---|---|
icmp unreachable
セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに到達不能な ICMP メッセージ レート制限を設定するには、 icmp unreachable コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
icmp unreachable rate-limit rate burst-size size
no icmp unreachable rate-limit rate burst-size size
構文の説明
到達不能メッセージのレート制限を 1 秒あたり 1 ~ 100 メッセージに設定します。デフォルトは、1 秒あたり 1 メッセージです。 |
|
バースト レートを 1 ~ 10 に設定します。このキーワードは、現在システムで使用されていないため、任意の値を選択できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
到達不能メッセージなどの ICMP メッセージにセキュリティ アプライアンス インターフェイスでの終了を許可する( icmp コマンドを参照)場合は、到達不能メッセージのレートを制御できます。
セキュリティ アプライアンスをホップの 1 つとして表示する traceroute がセキュリティ アプライアンスを経由できるようにするには、 set connection decrement-ttl コマンドとともにこのコマンドが必要です。
例
次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。
関連コマンド
|
|
|
|---|---|
icmp-object
ICMP タイプのオブジェクト グループを追加するには、ICMP タイプ コンフィギュレーション モードで icmp-object コマンドを使用します。ネットワーク オブジェクト グループを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
icmp-object コマンドは、ICMP タイプのオブジェクトを定義するために、 object-group コマンドとともに使用されます。また、ICMP タイプ コンフィギュレーション モードで使用されます。
|
|
|
|---|---|
例
次に、ICMP タイプ コンフィギュレーション モードで icmp-object コマンドを使用する例を示します。
関連コマンド
|
|
|
|---|---|
id-cert-issuer
システムがこのトラストポイントに関連付けられた CA が発行したピア証明書を受け付けるかどうかを示すには、クリプト CA トラストポイント コンフィギュレーション モードで id-cert-issuer コマンドを使用します。トラストポイントに関連付けられた CA が発行した証明書を禁止するには、このコマンドの no 形式を使用します。これは、広く使用されているルート CA を表すトラストポイントに便利です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、広く使用されているルート証明書の下位証明書が発行した証明書に限って受け付けることができます。この機能を許可しないと、セキュリティ アプライアンスはこの発行者によって署名された IKE ピア証明書を拒否します。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始し、管理者がトラストポイント central の発行者によって署名されたアイデンティティ証明書を受け付ける例を示します。
関連コマンド
|
|
|
|---|---|
id-mismatch
過度の DNS ID 不一致のロギングをイネーブルにするには、パラメータ コンフィギュレーション モードで id-mismatch コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
id-mismatch [count number duration seconds] action log
no id-mismatch [count number duration seconds] [action log]
構文の説明
デフォルト
このコマンドは、デフォルトでディセーブルになっています。コマンドがイネーブルで、オプションが指定されていない場合、デフォルトのレートは 3 秒間で 30 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DNS ID 不一致のレートが高い場合、キャッシュ侵害攻撃が発生している可能性があります。このコマンドをイネーブルにすると、このような攻撃をモニタし、警告を発することができます。不一致レートが設定値を超えた場合、システム メッセージ ログを要約したものが印刷されます。 id-mismatch コマンドを使用すると、システム管理者は通常のイベントベースのシステム メッセージ ログに加え、さらに情報を得ることができます。
例
次に、DNS インスペクション ポリシー マップで ID 不一致をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
id-randomization
DNS クエリーの DNS 識別子をランダム化するには、パラメータ コンフィギュレーション モードで id-randomization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、DNS インスペクション ポリシー マップで ID のランダム化をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
id-usage(クリプト CA トラスト ポイント)
証明書の登録済み ID を使用できることを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで id-usage コマンドを使用します。証明書の使用をデフォルト( ssl-ipsec )に設定するには、このコマンドの no 形式を使用します。
id-usage {ssl-ipsec | code-signer}
no id-usage {ssl-ipsec | code-signer}
構文の説明
この証明書で表されるデバイスの ID は、リモート ユーザに提供されるアプレットを検証する際に Java コード署名者として使用されます。 |
|
(デフォルト)この証明書で表されるデバイスの ID は、SSL 接続または IPSec-encrypted 接続のサーバ側 ID として使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リモート アクセス VPN では、配置要件に応じて SSL、IPSec、またはその両方のプロトコルを使用して、ほとんどすべてのネットワーク アプリケーションまたはリソースへのアクセスを許可できます。 id-usage コマンドを使用すると、証明書で保護されたさまざまなリソースへのアクセスのタイプを指定できます。
CA の ID と、場合によってはデバイスの ID は、CA が発行した証明書に基づいています。クリプト CA トラストポイント モードのすべてのコマンドは、セキュリティ アプライアンスが CA 証明書を取得する方法、セキュリティ アプライアンスが CA から自身の証明書を取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定する、CA 固有のコンフィギュレーション パラメータを制御します。
id-usage コマンドは、1 つのトラストポイント コンフィギュレーションに 1 回のみ指定できます。code-signer か ssl-ipsec、またはその両方のトラストポイントをイネーブルにするには、コマンドを 1 回のみ使用して、いずれか一方または両方のオプションを指定できます。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント central をコード署名者の証明書に指定する例を示します。
次に、トラストポイント general のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント general をコード署名者の証明書として、かつ SSL 接続または IPSec 接続のサーバ側 ID として指定する例を示します。
次に、トラストポイント checkin1 のクリプト CA トラストポイント コンフィギュレーション モードを開始し、トラストポイント checkin1 の使用を SSL 接続または IPSec 接続に制限するようにトラストポイント checkin1 をリセットする例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトラストポイントの場所から PKCS12 証明書およびキー関連情報を使用するように WebVPN Java オブジェクト署名機能を設定します。 |
|
igmp
インターフェイスでの IGMP 処理を元の状態に戻すには、インターフェイス コンフィギュレーション モードで igmp コマンドを使用します。インターフェイスで IGMP 処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、選択したインターフェイス上の IGMP 処理をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスに直接接続されている受信者、および IGMP を通じて学習された受信者を含むマルチキャスト グループを表示します。 |
|
igmp access-group
インターフェイスからサービスを提供されているサブネット上のホストが参加できるマルチキャスト グループを制御するには、インターフェイス コンフィギュレーション モードで igmp access-group コマンドを使用します。インターフェイスでグループをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
IP アクセス リスト名。標準のアクセス リストまたは拡張アクセス リストを指定できます。ただし、拡張アクセス リストを指定した場合は、宛先アドレスのみが照合されるため、送信元には 任意の アドレスを指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
例
次に、アクセス リスト 1 でグループへの参加を許可するホストを制限する例を示します。
関連コマンド
|
|
|
|---|---|
igmp forward interface
すべての IGMP ホスト レポートの転送をイネーブルにし、受信したメッセージを指定されたインターフェイスに残しておくには、インターフェイス コンフィギュレーション モードで igmp forward interface コマンドを使用します。転送を削除するには、このコマンドの no 形式を使用します。
igmp forward interface if-name
no igmp forward interface if-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
入力インターフェイスでこのコマンドを入力します。このコマンドは、スタブ マルチキャスト ルーティングに使用されるため、PIM と同時には設定できません。
例
次に、IGMP ホスト レポートを現在のインターフェイスから指定したインターフェイスに転送する例を示します。
関連コマンド
|
|
|
|---|---|
igmp join-group
指定したグループのローカルに接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp join-group コマンドを使用します。グループのメンバーシップをキャンセルするには、このコマンドの no 形式を使用します。
no igmp join-group group-address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドは、マルチキャスト グループのメンバーとなるようにセキュリティ アプライアンス インターフェイスを設定します。 igmp join-group コマンドを使用すると、セキュリティ アプライアンスは指定したマルチキャスト グループ宛てのマルチキャスト パケット受け付けて転送するようになります。
マルチキャスト グループのメンバーにならずにマルチキャスト トラフィックを転送するようにセキュリティ アプライアンスを設定するには、 igmp static-group コマンドを使用します。
例
次に、IGMP グループ 255.2.2.2 に参加するように、選択したインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
igmp limit
インターフェイス単位で IGMP 状態の数を制限するには、インターフェイス コンフィギュレーション モードで igmp limit コマンドを使用します。デフォルトの制限に戻すには、このコマンドの no 形式を使用します。
構文の説明
インターフェイスで許可されている IGMP 状態の数。有効な値の範囲は、0 ~ 500 です。デフォルト値は 500 です。この値を 0 に設定すると、学習したグループが追加されなくなりますが、( igmp join-group コマンドおよび igmp static-group コマンドを使用して)手動で定義したメンバーシップは引き続き許可されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、インターフェイス上の IGMP 状態の数を 250 に制限する例を示します。
関連コマンド
|
|
|
|---|---|
igmp query-interval
IGMP ホスト クエリー メッセージがインターフェイスによって送信される頻度を設定するには、インターフェイス コンフィギュレーション モードで igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。
no igmp query-interval seconds
構文の説明
IGMP ホスト クエリー メッセージを送信する頻度(秒単位)。有効な値の範囲は、1 ~ 3600 です。デフォルト値は 125 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
マルチキャスト ルータは、ホスト クエリー メッセージを送信して、インターフェイスにアタッチされているネットワークでどのマルチキャスト グループがメンバーを持っているかを検出します。ホストは、特定のグループのマルチキャスト パケットを受信することを示す IGMP レポート メッセージで応答します。ホスト クエリー メッセージは、アドレスが 224.0.0.1 で、TTL 値が 1 である all-hosts マルチキャスト グループ宛てに送信されます。
LAN の指定ルータが、IGMP ホスト クエリー メッセージを送信する唯一のルータです。
•
IGMP バージョン 1 の場合、指定ルータは LAN で稼働するマルチキャスト ルーティング プロトコルに従って選択されます。
• IGMP バージョン 2 の場合、指定ルータはサブネットで最も小さな IP アドレスが指定されたマルチキャスト ルータです。
ルータは、タイムアウト期間( igmp query-timeout コマンドで制御)にクエリーを受信しないとクエリアになります。
例
次に、IGMP クエリー間隔を 120 秒に変更する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-max-response-time
IGMP クエリーでアドバタイズされる最大応答時間を指定するには、インターフェイス コンフィギュレーション モードで igmp query-max-response-time コマンドを使用します。デフォルトの応答時間に戻すには、このコマンドの no 形式を使用します。
igmp query-max-response-time seconds
no igmp query-max-response-time [ seconds ]
構文の説明
IGMP クエリーでアドバタイズされる最大応答時間(秒単位)。有効な値は、1 ~ 25 です。デフォルト値は 10 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
このコマンドは、IGMP バージョン 2 または 3 が実行されているときにだけ有効です。
このコマンドは、応答側が IGMP クエリー メッセージに応答できる期間を制御します。この期間を過ぎると、ルータはグループを削除します。
例
次に、最大クエリー応答時間を 8 秒に変更する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
igmp query-timeout
前のクエリアがクエリーを停止した後でインターフェイスがクエリアを引き継ぐまでのタイムアウト期間を設定するには、インターフェイス コンフィギュレーション モードで igmp query-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no igmp query-timeout [ seconds ]
構文の説明
前のクエリアがクエリーを停止した後でルータがクエリアを引き継ぐまでの秒数。有効な値は、60 ~ 300 秒です。デフォルト値は 255 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、最後のクエリーを受信してからインターフェイスのクエリアを引き継ぐまで 200 秒待機するようにルータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
igmp static-group
指定したマルチキャスト グループのスタティックに接続されたメンバーになるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで igmp static-group コマンドを使用します。スタティック グループ エントリを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
igmp static-group コマンドで設定された場合、セキュリティ アプライアンス インターフェイスは指定されたグループ自体宛てのマルチキャスト パケットを受け付けず、転送のみを行います。特定のマルチキャスト グループのマルチキャスト パケットを受け付けて転送するようにセキュリティ アプライアンスを設定するには、 igmp join-group コマンドを使用します。 igmp static-group コマンドと同じグループ アドレスに対して igmp join-group コマンドが設定されている場合、 igmp join-group コマンドが優先され、グループはローカルに参加したグループのように動作します。
例
次に、選択したインターフェイスをマルチキャスト グループ 239.100.100.101 に追加する例を示します。
関連コマンド
|
|
|
|---|---|
igmp version
インターフェイスが使用する IGMP のバージョンを設定するには、インターフェイス コンフィギュレーション モードで igmp version コマンドを使用します。バージョンをデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドはインターフェイス コンフィギュレーション モードに移動しました。以前のバージョンでは、マルチキャスト インターフェイス コンフィギュレーション モードを開始する必要がありましたが、このモードは使用できなくなりました。 |
使用上のガイドライン
サブネット上のすべてのルータが、同じバージョンの IGMP をサポートする必要があります。ホストは任意の IGMP バージョン(1 または 2)を搭載でき、セキュリティ アプライアンスはホストの存在を正しく検出して適切にホストを照会できます。
igmp query-max-response-time や igmp query-timeout など一部のコマンドでは、IGMP バージョン 2 が必要です。
例
次に、IGMP バージョン 1 を使用するように、選択したインターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
前のクエリアがクエリーを停止した後、ルータがインターフェイスのクエリアとして引き継ぐまでのタイムアウト期間を設定します。 |
ignore-ipsec-keyusage
IPsec クライアント証明書でキー使用状況チェックを行わないようにするには、設定 CA トラストポイント コンフィギュレーション モードで ignore-ipsec-keyusage コマンドを使用します。キー使用状況チェックを再開するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは安全対策として導入されましたが、すぐに廃止されました。今後のリリースでは、キー使用状況チェックの停止が提供されない可能性があることに注意してください。 |
使用上のガイドライン
このコマンドを使用すると、IPsec リモート クライアント証明書のキー使用状況および拡張キー使用状況の値が検証されなくなります。このコマンドはキー使用状況チェックを無視し、非準拠の配置に便利です。
例
関連コマンド
|
|
|
|---|---|
ignore lsa mospf
ルータが LSA Type 6 MOSPF パケットを受信したときには syslog メッセージの送信を行わないようにするには、ルータ コンフィギュレーション モードで ignore lsa mospf コマンドを使用します。syslog メッセージの送信を復元するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、LSA Type 6 MOSPF パケットを無視する例を示します。
関連コマンド
|
|
|
|---|---|
ike-retry-count
SSL による接続試行に戻るまでに、Cisco AnyConnect VPN クライアントが IKE を使用して接続を再試行できる最大数を設定するには、グループ ポリシー webvpn コンフィギュレーション モード、またはユーザ名 webvpn コンフィギュレーション モードで ike-retry-count コマンドを使用します。コンフィギュレーションからこのコマンドを削除し、再試行の最大数をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
ike-retry-count { none | value }
no ike-retry-count [ none | value ]
構文の説明
初期接続障害の後、Cisco AnyConnect VPN クライアントが接続を再試行できる最大数(1 ~ 10)を指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco AnyConnect VPN クライアントが IKE を使用して接続を試行できる回数を制御するには、 ike-retry-count コマンドを使用します。IKE を使用して接続に失敗した回数がこのコマンドに指定された再試行数を上回ると、SSL による接続試行に戻ります。この値は、Cisco AnyConnect VPN クライアントに存在する値を上書きします。
(注) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドに svc と ipsec の両方の引数を設定する必要があります。
例
次に、FirstGroup というグループ ポリシーの IKE 再試行回数を 7 に設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# ike-retry-count 7
hostname(config-group-webvpn)#
次に、ユーザ名 Finance の IKE 再試行回数を 9 に設定する例を示します。
hostname(config)# username Finance attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# ike-retry-count 9
hostname(config-group-webvpn)#
関連コマンド
|
|
|
グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードを開始します。 |
ike-retry-timeout
Cisco AnyConnect VPN Client の IKE 再試行の間隔を秒数で設定するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで ike-retry-timeout コマンドを使用します。このコマンドをコンフィギュレーションから削除する場合や、タイムアウト値をデフォルト値にリセットする場合は、このコマンドの no 形式を使用します。
構文の説明
Cisco AnyConnect VPN Client が、最初の接続の失敗後に実行する IKE 再試行の間隔(1 ~ 3600) を秒数で指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco AnyConnect VPN Client の IKE 再試行の間隔(時間の長さ)を制御するには、 ike-retry-timeout コマンドを使用します。クライアントが、 ike-retry-count コマンドで指定された数の再試行を行った後で、IKE を使用した接続に失敗した場合は、SSL に戻って接続が試行されます。この値は、Cisco AnyConnect VPN クライアントに存在する値を上書きします。
(注) IPSec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドに svc と ipsec の両方の引数を設定する必要があります。
例
次の例では、FirstGroup というグループ ポリシーに対して、IKE 再試行間隔を 77 秒に設定しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# ike-retry-timeout 77
hostname(config-group-webvpn)#
次の例では、Finance というユーザ名に対して、IKE 再試行回数を 99 回に設定しています。
hostname(config)# username Finance attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# ike-retry-timeout 9
hostname(config-group-webvpn)#
関連コマンド
|
|
|
IKE を使用する Cisco AnyConnect VPN Client が、SSL に戻って接続を試行する前に実行する接続再試行の最大数を指定します。 |
|
im
SIP を経由するインスタント メッセージングをイネーブルにするには、パラメータ コンフィギュレーション モードで im コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP を経由するインスタント メッセージングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
imap4s
IMAP4S コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで imap4s コマンドを使用します。IMAP4S コマンド モードで入力されたコマンドを削除するには、このコマンドの no 形式を使用します。
IMAP4 は、インターネット サーバが電子メールを受信し、保持する際に使用するクライアント/サーバ プロトコルです。ユーザ(または電子メール クライアント)は、電子メールのヘッダーおよび送信者だけを表示して、電子メールをダウンロードするかどうかを判別できます。また、サーバに複数のフォルダまたはメールボックスを作成および操作したり、メッセージを削除したり、メッセージの一部または全体を検索したりできます。IMAP では、電子メールでの作業中、サーバに連続してアクセスする必要があります。IMAP4S を使用すると、SSL 接続で電子メールを受信できます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、IMAP4S コンフィギュレーション モードを開始する例を示します。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
import webvpn customization
カスタマイゼーション オブジェクトをセキュリティ アプライアンスのフラッシュ デバイスにロードするには、特権 EXEC モードで import webvpn customization コマンドを入力します。
import webvpn customization name URL
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
import customization コマンドを入力する前に、セキュリティ アプライアンス インターフェイスで WebVPN がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。
カスタマイゼーション オブジェクトをインポートすると、セキュリティ アプライアンスは次のことを行います。
• カスタマイゼーション オブジェクトを URL からセキュリティ アプライアンス ファイル システム disk0:/csco_config/customization に MD5 name としてコピーします。
• ファイルに対して基本的な XML 構文チェックを実行します。無効な場合、セキュリティ アプライアンスはファイルを削除します。
• index.ini ファイルにレコード MD5 name が含まれていることをチェックします。含まれていない場合、セキュリティ アプライアンスは MD5 name をファイルに追加します。
• MD5 name ファイルを RAMFS /csco_config/customization/ に ramfs name としてコピーします。
例
次に、カスタマイゼーション オブジェクト General.xml を URL 209.165.201.22/customization からセキュリティ アプライアンスにインポートし、それに custom1 という名前を付ける例を示します。
tftp://209.165.201.22/customization/General.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
関連コマンド
|
|
|
|---|---|
import webvpn plug-in protocol
セキュリティ アプライアンスのフラッシュ デバイスにプラグインをインストールするには、特権 EXEC モードで import webvpn plug-in protocol コマンドを入力します。
import webvpn plug-in protocol protocol URL
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• セキュリティ アプライアンスのインターフェイス上でクライアントレス SSL VPN(「webvpn」)がイネーブルになっていることを確認します。これを行うには、 show running-config コマンドを入力します。
• ローカル TFTP サーバ(たとえば、ホスト名が「local_tftp_server」のサーバ)で一時ディレクトリを「plugins」という名前で作成し、プラグインをシスコの Web サイトから「plugins」ディレクトリにダウンロードします。TFTP サーバのホスト名またはアドレスを入力し、必要なプラグインへのパスを import webvpn plug-in protocol コマンドの URL フィールドに入力します。
プラグインをインポートすると、セキュリティ アプライアンスは次のことを行います。
• URL に指定されている jar ファイルを解凍します。
• そのファイルをセキュリティ アプライアンス ファイル システムの csco-config/97/plugin ディレクトリに書き込みます。
• ASDM の URL 属性の横にあるドロップダウン メニューに情報を入力します。
• 以後のすべてのクライアントレス SSL VPN セッションでプラグインをイネーブルにし、ポータル ページの Address フィールドの横にあるドロップダウン メニューにメイン メニュー オプションとオプションを追加します。 表 14-2 に、ポータル ページのメイン メニューと Address フィールドに加えられた変更を示します。
|
|
|
|
|---|---|---|
セキュリティ アプライアンスは、 import webvpn plug-in protocol コマンドをコンフィギュレーションに保持しません。その代わりに、 csco-config/97/plugin ディレクトリの内容を自動的にロードします。セカンダリ セキュリティ アプライアンスは、プライマリ セキュリティ アプライアンスからプラグインを取得します。
クライアントレス SSL VPN セッションでユーザがポータル ページの関連付けられたメニュー オプションをクリックすると、ポータル ページにはインターフェイスへのウィンドウとヘルプ ペインが表示されます。ドロップダウン メニューに表示されたプロトコルをユーザが選択して [Address] フィールドに URL を入力すると、接続を確立できます。
(注) SSH クライアントは、SSH バージョン 1.0 のみをサポートします。
Java プラグインによっては、宛先サービスへのセッションが設定されていない場合でも、接続済みまたはオンラインというステータスがレポートされることがあります。open-source プラグインは、セキュリティ アプライアンスではなくステータスをレポートします。
import webvpn plug-in protocol コマンドを個別に削除し、プロトコルのサポートをディセーブルにするには、 revert webvpn plug-in protocol コマンドを使用します。
例
次のコマンドでは、RDP のクライアントレス SSL VPN サポートを追加しています。
tftp://209.165.201.22/plugins/rdp-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
次のコマンドでは、SSH および Telnet のクライアントレス SSL VPN サポートを追加しています。
tftp://209.165.201.22/plugins/ssh-plugin.jar...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
次のコマンドでは、VNC のクライアントレス SSL VPN サポートを追加しています。
関連コマンド
|
|
|
|---|---|
import webvpn translation-table
リモート ユーザが SSL VPN 接続を確立するときに表示される言語を変換するために使用される変換テーブルをインポートするには、特権 EXEC モードから import webvpn translation-table コマンドを使用します。
import webvpn translation-table translation_domain language language url
構文の説明
リモート ユーザに表示される機能エリアと関連するメッセージ。使用上のガイドラインのセクションに、使用可能な変換ドメインがリストされています。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。
リモート ユーザに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain 引数 で指定します。次の表に、変換ドメインおよび、変換される機能領域を示します。
|
|
|
|---|---|
ログイン ページ、ログアウト ページ、ポータル ページのメッセージ、およびユーザによるカスタマイズが可能なすべてのメッセージ。 |
|
変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。セキュリティ アプライアンスのソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。 クライアントレス ユーザのログインおよびログアウト ページ、ポータル ページ、および URL ブックマーク はカスタマイズが可能なため、セキュリティ アプライアンスは customization および url-list 変換ドメイン テンプレートをダイナミックに 生成 し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。
export webvpn translation-table コマンドを使用して変換ドメインのテンプレートをダウンロードし、メッセージに変更を加え、 import webvpn translation-table コマンドを使用してオブジェクトを作成します。 show import webvpn translation-table コマンドを使用して、使用可能なオブジェクトを表示できます。
ブラウザの言語オプションの表現に従って language を指定してください。たとえば、Microsoft Internet Explorer は中国語に短縮形 zh を使用します。セキュリティ アプライアンスにインポートする変換テーブルも、 zh という名前にする必要があります。
カスタマイゼーション オブジェクトを作成し、そのオブジェクトで使用する変換テーブルを識別し、グループ ポリシーまたはユーザのカスタマイズを指定するまで、AnyConnect 変換ドメインを除いて、変換テーブルは機能せず、メッセージは変換されません。AnyConnect ドメインの変換テーブルに対する変更は、ただちに AnyConnect クライアント ユーザに表示されます。詳細については、 import webvpn customization コマンドを参照してください。
例
次に、AnyConnect クライアント ユーザ インターフェイスに影響を与える変換ドメインの変換テーブルをインポートし、変換テーブルが中国語用のものであることを指定する例を示します。 show import webvpn translation-table コマンドは、新規オブジェクトを表示します。
関連コマンド
|
|
|
import webvpn url-list
セキュリティ アプライアンスのフラッシュ デバイス上に URL リストをロードするには、特権 EXEC モードで import webvpn url-list コマンドを使用します。
import webvpn url-list name URL
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
import url-list コマンドを入力する前に、セキュリティ アプライアンス インターフェイスで WebVPN がイネーブルになっていることを確認します。そのためには、 show running-config コマンドを入力します。
URL リストをインポートすると、セキュリティ アプライアンスは次のことを行います。
• URL リストを URL からセキュリティ アプライアンス ファイル システム disk0:/csco_config/url-lists に name on flash = base 64 name としてコピーします。
• ファイルに対して基本的な XML 構文チェックを実行します。無効な場合、セキュリティ アプライアンスはファイルを削除します。
• index.ini ファイルにレコード base 64 name が含まれていることをチェックします。含まれていない場合、セキュリティ アプライアンスは base 64 name をファイルに追加します。
• name ファイルを RAMFS /csco_config/url-lists/ に ramfs name = name としてコピーします。
例
次に、 NewList.xml という URL リストを URL 209.165.201.22/url-lists からセキュリティ アプライアンスにインポートし、それに ABCList という名前を付ける例を示します。
tftp://209.165.201.22/url-lists/NewList.xml...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
関連コマンド
|
|
|
|---|---|
import webvpn webcontent
リモートのクライアントレス SSL VPN ユーザに表示されるコンテンツをフラッシュ メモリにインポートするには、特権 EXEC モードから import webvpn webcontent コマンドを使用します。
import webvpn webcontent < destination url > < source url >
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
webcontent オプションでインポートされるコンテンツは、リモートのクライアントレス ユーザに表示されます。この中には、クライアントレス ポータルに表示されるヘルプ コンテンツや、ユーザ画面をカスタマイズするカスタマイゼーション オブジェクトで使用されるロゴなどがあります。
パス /+CSCOE+/ で URL にインポートされるコンテンツは、認可されたユーザにのみ表示されます。
パス /+CSCOU+/ で URL にインポートされるコンテンツは、不正なユーザと認可されたユーザの両方に表示されます。
たとえば、/+CSCOU+/logo.gif としてインポートした企業ロゴを、ポータル カスタマイゼーション オブジェクトに使用し、ログイン ページおよびポータル ページに表示できます。/+CSCOE+/logo.gif としてインポートした同じ logo.gif ファイルは、正常にログインしたリモート ユーザにのみ表示されます。
さまざまなアプリケーション画面に表示されるヘルプ コンテンツは、特定の URL にインポートする必要があります。 表 14-4 に、標準のクライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL および画面エリアを示します。
|
|
|
|---|---|
表 14-5 に、任意のプラグイン クライアントレス アプリケーション用に表示されるヘルプ コンテンツの URL および画面エリアを示します。
|
|
|
|---|---|
URL パスの < language > は、ヘルプ コンテンツ用に指定した言語の短縮形です。セキュリティ アプライアンスは、ファイルを指定された言語に実際に変換するわけではなく、ファイルに言語の短縮形のラベルを付けます。
次に、HTML ファイル application_access_help.html を 209.165.200.225 の tftp サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。
例
次に、HTML ファイル application_access_help.html を 209.165.200.225 の tftp サーバからフラッシュ メモリ内の Application Access ヘルプ コンテンツを保管する URL にインポートする例を示します。URL には英語の省略形 en が含まれています。
関連コマンド
|
|
|
フィードバック