Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

 

シンタックスの説明

 

デフォルト

デフォルト設定はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

アクセス コントロール サーバがネットワーク上に存在する必要があります。

例

次の例では、グループ ポリシー用に NAC をイネーブルにします。

次の例では、グループ ポリシー用に NAC をディセーブルにします。

次の例では、デフォルトのグループ ポリシーから NAC 設定を継承します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

このコマンドには、引数もキーワードもありません。

 

コマンド履歴

 

使用上のガイドライン

NAC をサポートするために、アクセス コントロール サーバを少なくとも 1 つ設定します。 aaa-server コマンドを使用して ACS グループに名前を付けます。
次に、 nac-authentication-server-group コマンドを使用します。サーバ グループには同じ名前を使用します。

例

次の例では、acs-group1 を NAC のポスチャ確認に使用する認証サーバ グループとして指定します。

次の例では、デフォルトのリモート アクセス グループから認証グループを継承します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは none です。

NAC はデフォルトでディセーブルになっているので、セキュリティ アプライアンスを経由する VPN トラフィックは、NAC がイネーブルになるまで NAC のデフォルト ACL の影響を受けません。

 

コマンド履歴

例

次の例では、ポスチャ確認の失敗時に適用される ACL として acl-1 を指定します。

次の例では、デフォルトのグループ ポリシーから ACL を継承します。

次の例では、デフォルトのグループ ポリシーからの ACL の継承をディセーブルにします。ポスチャ確認に失敗する NAC セッションに ACL は適用されません。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト値は 36000 です。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスは、ポスチャ確認が成功すると再確認のタイマーを開始します。このタイマーが切れると、無条件のポスチャ確認が開始されます。セキュリティ アプライアンスは再確認中、ポスチャ確認を維持します。デフォルトのグループ ポリシーは、アクセス コントロール サーバがポスチャ確認または再確認中に無効な場合に有効になります。

例

次の例では、再確認タイマーを 86400 秒に変更します。

次の例では、デフォルトのグループ ポリシーから再確認タイマーの値を継承します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルト値は 300 です。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスはポスチャ確認とステータス クエリーの応答が正常に実行された後、ステータス クエリー タイマーを開始します。このタイマーが切れると、 ステータス クエリー と呼ばれる、ホスト ポスチャの変更に関するクエリーが開始されます。

例

次の例では、ステータス クエリー タイマーの値を 1800 秒に変更します。

次の例では、デフォルトのグループ ポリシーからステータス クエリー タイマーの値を継承します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

IP アドレスとの名前の関連付けをイネーブルにするには、 names コマンドを使用します。IP アドレスに関連付けることができるのは、1 つの名前だけです。

まず names コマンドを使用してから、 name コマンドを使用する必要があります。name コマンドは、names コマンドの直後、かつ write memory コマンドの前に使用してください。

name コマンドを使用すると、ホストをテキスト名で識別し、テキスト文字列を IP アドレスにマッピングできます。 no name コマンドを使用すると、テキスト名を使用できないようにできますが、コンフィギュレーションから名前は削除しません。名前のリストをコンフィギュレーションから消去するには、 clear configure name コマンドを使用します。

name 値の表示をディセーブルにするには、 no names コマンドを使用します。

name コマンドと names コマンドは、両方ともコンフィギュレーションに保存されます。

name コマンドでは、ネットワーク マスクに名前を割り当てることはサポートされていません。たとえば、次のコマンドは拒否されます。

（注） マスクを必要とするどのコマンドも、受け入れたネットワーク マスクとして名前を処理できません。

例

次の例は、 names コマンドによって、 name コマンドの使用をイネーブルにする方法を示しています。 name コマンドは、192.168.42.3 への参照の代わりに sa_inside を使用し、209.165.201.3 の代わりに sa_outside を使用できるようにします。IP アドレスをネットワーク インターフェイスに割り当てる際に、 ip address コマンドでこれらの名前を使用できます。 no names コマンドは、 name コマンド値の表示をディセーブルにします。その後で names コマンドを再度使用すると、 name コマンド値の表示が元に戻ります。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

サブインターフェイスの場合、 vlan コマンドを使用して VLAN を割り当ててから、 nameif コマンドを入力する必要があります。

新しい値でこのコマンドを再入力することによって、名前を変更できます。 no 形式のコマンドは入力しないでください。このコマンドを入力すると、該当する名前に適用されるコマンドがすべて削除されます。

例

次の例では、2 つのインターフェイスの名前を「inside」と「outside」に設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

name コマンドで設定した IP アドレスとの名前の関連付けをイネーブルにするには、 names コマンドを使用します。 name または names コマンドを入力する順番は、重要ではありません。

例

次の例は、名前と IP アドレスとの関連付けをイネーブルにする方法を示してします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトは、「:」（コロン）です。

 

コマンド履歴

 

使用上のガイドライン

名前セパレータには、サーバ セパレータと異なるものを指定する必要があります。

例

次の例は、POP3S の名前セパレータとしてハッシュ（#）を設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

access-list access_list_name	拡張アクセス リスト（別名、ポリシー NAT）を使用して、ローカル アドレスと宛先アドレスを指定します。 access-list コマンドを使用してアクセス リストを作成します。 eq 演算子を使用して、アクセス リストにローカル ポートと宛先ポートをオプションで指定できます。NAT ID が 0 の場合、アクセス リストは NAT から免除されたアドレスを指定します。NAT 免除はポリシー NAT とは異なります。たとえば、ポート アドレスを指定できません。 （注） アクセス リストのヒット カウント（show access-list コマンドを参照）は、NAT 免除アクセス リストの場合は増分されません。
dns	（オプション）このコマンドに一致する DNS 応答で、A レコード（アドレス レコード）を書き直します。マッピングされているインターフェイスから実際のインターフェイスに移動する DNS 応答では、A レコードが、マッピングされた値から実際の値に書き直されます。逆に、実際のインターフェイスからマッピングされているインターフェイスに移動する DNS 応答では、A レコードが、実際の値からマッピングされた値に書き直されます。 DNS サーバにエントリがあるホストのアドレスが NAT 文に含まれ、クライアントとは異なるインターフェイスに DNS サーバがある場合、クライアントと DNS サーバに必要なホスト アドレスはそれぞれ異なります。一方にはグローバル アドレスが必要で、もう一方にはローカル アドレスが必要です。変換対象のホストは、クライアントまたは DNS サーバのどちらかと同じインターフェイス上になければなりません。通常、他のインターフェイスからのアクセスを許可する必要があるホストがスタティック トランスレーションを使用するので、このオプションは static コマンドと併せて使用するのが一般的です。
emb_limit	（オプション）ホストごとの初期接続の最大数を指定します。デフォルトは 0 で、初期接続に制限がないことを意味します。 初期接続の数を制限することで、DoS 攻撃（サービス拒絶攻撃）から保護されます。セキュリティ アプライアンスでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。
real_ifc	実際の IP アドレス ネットワークに接続されているインターフェイスの名前を指定します。
real_ip	変換の対象となる実際のアドレスを指定します。 0.0.0.0 （または短縮形の 0 ）を使用すると、すべてのアドレスを指定できます。
mask	（オプション）実際のアドレスのサブネット マスクを指定します。マスクを入力しない場合、IP アドレス クラスのデフォルト マスクが使用されます。
nat_id	NAT ID の整数を指定します。標準 NAT の場合、この整数は 1 ～ 2147483647 です。ポリシー NAT（nat id access-list）の場合、この整数は 1 ～ 65535 です。 アイデンティティ NAT（ nat 0 ）と NAT 免除（ nat 0 access-list ）は、 0 の NAT ID を使用します。 global コマンドはこの ID を参照して、グローバル プールを real_ip に関連付けます。
norandomseq	（オプション）TCP ISN のランダム化保護をディセーブルにします。TCP シーケンスのランダム化をディセーブルにするのは、別のインライン ファイアウォールもシーケンス番号をランダム化していて、結果としてデータ順序が変わる場合だけにします。各 TCP 接続には、2 つの ISN があります。1 つはクライアントが生成し、1 つはサーバが生成します。セキュリティ アプライアンスは、ホストとサーバが生成する ISN をランダム化します。少なくとも 1 つの ISN をランダムに生成して、攻撃者が次の ISN を予想してセッションを乗っ取ることができないようにする必要があります。 norandomseq キーワードは、外部 NAT には適用されません。ファイアウォールがランダム化するのは、セキュリティの高いインターフェイスに対してホストまたはサーバが生成する ISN のみです。外部 NAT に対して norandomseq を設定しても、その norandomseq キーワードは無視されます。
outside	（オプション）このインターフェイスのセキュリティ レベルが、 global 文の一致で特定するインターフェイスより低い場合、 outside を入力する必要があります。この機能は、外部 NAT または双方向 NAT と呼ばれます。
tcp tcp_max_conns	サブネット全体に関して、同時 TCP 接続の最大数を指定します。デフォルトは 0 です。接続数の制限がないことを意味します（アイドル接続は、 timeout conn コマンドで指定したアイドル タイムアウトの経過後に閉じられます）。
udp udp_max_conns	（オプション）サブネット全体に関して、同時 UDP 接続の最大数を指定します。デフォルトは 0 です。接続数の制限がないことを意味します（アイドル接続は、 timeout conn コマンドで指定したアイドル タイムアウトの経過後に閉じられます）。

 

デフォルト

tcp_max_conns 、 emb_limit 、および udp_max_conns のデフォルト値は 0（無制限）です。この値は、最大使用可能値です。

 

コマンド履歴

 

使用上のガイドライン

ダイナミック NAT と PAT の場合、最初に nat コマンドを設定し、変換する所定のインターフェイスの実アドレスを指定します。次に、別の global コマンドを設定して、別のインターフェイスから出るときのマッピング アドレスを指定します（PAT の場合、このアドレスは 1 つです）。各 nat コマンドは、各コマンドに割り当てられた番号である NAT ID の比較によって、1 つの global コマンドと一致します。

セキュリティ アプライアンスは、NAT 規則がトラフィックに一致する場合に、アドレスを変換します。NAT 規則が一致しない場合、パケットの処理が続行します。例外は、 nat-control コマンドを使用して NAT コントロールをイネーブルにする場合です。NAT コントロールでは、セキュリティの高いインターフェイス（内部）からセキュリティの低いインターフェイス（外部）に移動するパケットが NAT 規則に一致する必要があります。一致していないと、パケットの処理が停止します。NAT コントロールをイネーブルにした場合でも、NAT は同一セキュリティ レベルのインターフェイスでは必要ありません。必要に応じて、オプションで NAT を設定できます。

ダイナミック NAT は、宛先ネットワークでルーティング可能なマッピング アドレスのプールに実際のアドレスのグループを変換します。マッピング プールは、実際のグループより少ないアドレスで構成されます。変換するホストが宛先ネットワークにアクセスするときに、セキュリティ アプライアンスがマッピング プールの IP アドレスをホストに割り当てます。実際のホストが接続を開始する場合にのみ、変換が追加されます。変換が有効なのは接続されている間だけなので、所定のユーザが変換のタイムアウト後も同じ IP アドレスを維持することはありません（ timeout xlate コマンドを参照）。そのため、アクセス リストによって接続が許可されている場合でも、ダイナミック NAT（または PAT）を使用するホストに、宛先ネットワーク上のユーザから確実に接続を開始できません。また、実ホスト アドレスに直接接続しようとすると、セキュリティ アプライアンスが拒否します。ホストへの信頼できるアクセスについては、 static コマンドを参照してください。

ダイナミック NAT には、次の短所があります。

• マッピング プール内のアドレスが実際のグループより少ない場合、トラフィック量が予想を超えるとアドレスが不足する可能性があります。

PAT は単一アドレスのポートを使用して 64,000 を超える変換を実行できるので、この現象が頻繁に発生する場合は、PAT を使用してください。

• マッピング プールで大量のルーティング可能なアドレスを使用しなければなりません。インターネットなどの登録アドレスが宛先ネットワークに必要な場合は、使用可能なアドレスが不足する可能性があります。

ダイナミック NAT の利点は、一部のプロトコルが PAT を使用できないということです。たとえば、GRE バージョン 0 のように、オーバーロードするポートを持たない IP プロトコルでは、PAT は動作しません。一部のマルチメディア アプリケーションのように、あるポートでデータ ストリームを流して別のポートで制御パスを提供するオープンスタンダードではない一部のアプリケーションでも、PAT は動作しません。

PAT では、複数の実アドレスを 1 つのマッピング IP アドレスに変換します。具体的には、セキュリティ アプライアンスが実アドレスと送信元ポート（実ソケット）をマッピング アドレスと一意なポート（マッピング ソケット）に変換します。送信元ポートが TCP/UDP の場合、送信元アドレスは PAT を使用して同じ範囲のアドレスに変換されます。範囲には、1 ～ 511、512 ～ 1023、および 1024 ～ 65535 が含まれます。送信元ポートはそれぞれの接続で異なるので、各接続には別個の変換が必要になります。たとえば、10.1.1.1:1025 には、10.1.1.1:1026 とは異なる変換が必要です。

接続の期限が切れると、ポートの変換も 30 秒の非アクティビティの後、期限切れになります。タイムアウトは、設定できません。

PAT で使用できるマッピング アドレスは 1 つなので、ルーティング可能なアドレスの節約になります。セキュリティ アプライアンスのインターフェイス IP アドレスを PAT アドレスとして使用することもできます。PAT は、データ ストリームが制御パスと異なる一部のマルチメディア アプリケーションでは動作しません。

（注） 変換中であれば、リモート ホストは、アクセス リストで許可されているかぎり変換対象のホストへの接続を開始できます。アドレスは（実際のアドレスとマッピング アドレスの両方とも）予測不能なので、ホストに接続できる可能性は非常に少なくなります。万一、接続が成功した場合は、アクセス リストのセキュリティに頼ることができます。

NAT コントロールをイネーブルにする場合、内部ホストは、外部ホストにアクセスするときに NAT 規則に一致する必要があります。一部のホストで NAT を実行しない場合は、それらのホストで NAT をバイパスできます（または、NAT コントロールをディセーブルにできます）。たとえば、NAT をサポートしていないアプリケーションを使用する場合に、NAT をバイパスすることになる可能性があります。 static コマンドを使用して NAT をバイパスするか、次のいずれかのオプションを使用できます。

• アイデンティティ NAT（ nat 0 コマンド）：アイデンティティ NAT（ダイナミック NAT と類似）を設定する場合、特定のインターフェイスのホストの変換を制限しません。すべてのインターフェイスを通過する接続に、アイデンティティ NAT を使用する必要があります。そのため、インターフェイス A にアクセスするときに、実際のアドレスで標準変換を実行し、インターフェイス B にアクセスするときに、アイデンティティ NAT を使用するといった選択はできません。これに対して、標準ダイナミック NAT を使用した場合は、アドレスを変換する特定のインターフェイスを指定できます。アクセス リストに基づいて使用可能なすべてのネットワーク上で、アイデンティティ NAT を使用する実際のアドレスがルーティング可能でなければなりません。

アイデンティティ NAT の場合、マッピング アドレスが実際のアドレスと同じでも、（アクセス リストで許可されている場合を含めて）外部から内部へ接続を開始することはできません。この機能では、スタティック アイデンティティ NAT または NAT 免除を使用してください。

• NAT 免除（ nat 0 access-list コマンド）：NAT 免除を使用すると、変換対象のホストとリモート ホストの両方で接続を開始できます。アイデンティティ NAT と同様、特定のインターフェイスのホストに対する変換を制限しないでください。すべてのインターフェイスを通過する接続に NAT 免除を使用する必要があります。ただし、NAT 免除では、変換する実際のアドレスを決定するときに（ポリシー NAT と同様）、実際のアドレスと宛先アドレスを指定できるので、NAT 免除を使用すると詳細な制御が可能になります。一方、ポリシー NAT と異なり、NAT 免除ではアクセス リストのポートは考慮されません。

ポリシー NAT では、拡張アクセス リストで送信元アドレスと宛先アドレスを指定することによって、アドレス変換対象の実アドレスを指定できます。オプションで、送信元ポートと宛先ポートも指定できます。標準 NAT で考慮されるのは、実際のアドレスだけです。たとえば、実際のアドレスがサーバ A にアクセスするときはマッピング アドレス A に変換できますが、サーバ B にアクセスするときにはマッピング アドレス B に変換できます。

セカンダリ チャネルのアプリケーション検査を必要とするアプリケーション（FTP、VoIP など）に対してポリシー NAT のポートを指定すると、セキュリティ アプライアンスは自動的にセカンダリ ポートを変換します。

（注） NAT 免除を除くすべてのタイプの NAT がポリシー NAT をサポートしています。NAT 免除では、アクセス リストを使用して実際のアドレスを指定しますが、ポートが考慮されない点がポリシー NAT と異なります。ポリシー NAT をサポートしていないスタティック アイデンティティ NAT を使用すると、NAT 免除と同じ結果を得られます。

別の方法として、モジュラ ポリシー フレームワークを使用して接続制限（ただし初期接続制限はでない）を設定できます。詳細については、 set connection コマンドを参照してください。NAT を使用する場合、初期接続制限のみが設定できます。同じトラフィックに対して両方の方法を使用してこれらの設定値を設定した場合、セキュリティ アプライアンスは小さい方の制限値を使用します。TCP シーケンスのランダム化がいずれかの方法でディセーブルにされている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。

NAT コンフィギュレーションを変更し、既存の変換のタイムアウトを待機せずに新しい NAT 情報が使用される場合、clear xlate コマンドを使用して、変換テーブルを消去できます。ただし、変換テーブルを消去すると現在の接続がすべて切断されます。

例

たとえば、内部インターフェイス上の 10.1.1.0/24 ネットワークを変換するには、次のコマンドを入力します。

ダイナミック NAT 用のアドレス プールを、NAT プールを使い果たしたときのための PAT アドレスと共に指定するには、次のコマンドを入力します。

ルーティングの簡略化などのために、セキュリティの低い DMZ（非武装地帯）のネットワーク アドレスを変換して内部ネットワーク（10.1.1.0）と同じネットワーク上に表示するには、次のコマンドを入力します。

ポリシー NAT を使用して、1 つの実際のアドレスに 2 つの異なる宛先アドレスを指定するには、次のコマンドを入力します。

ポリシー NAT を使用して、それぞれが異なるポートを使用する、1 つの実際のアドレスと宛先アドレスのペアを指定するには、次のコマンドを入力します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。

このコマンドの no nat 形式では、オプションの ip-address 値を指定する場合、IP アドレスが実行コンフィギュレーションの既存の NAT IP アドレスと一致する必要があります。

例

次は、VPN ロードバランシング コマンド シーケンスの例です。NAT 変換のアドレスを 192.168.10.10 に設定する nat コマンドが含まれています。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

NAT コントロールは、デフォルトではディセーブルです（ no nat-control コマンド）。ただし、ソフトウェアを以前のバージョンからアップグレードしたときに、以前のバージョンでデフォルトがイネーブルであった場合は、NAT コントロールがイネーブルになることがあります。

 

コマンド履歴

 

使用上のガイドライン

NAT コントロールでは、内部インターフェイスから外部インターフェイスに移動するパケットは、1 つの NAT 規則に一致している必要があります。外部ネットワークのホストにアクセスする内部ネットワークのホストではすべて、内部ホスト アドレスを変換するように NAT を設定してください。

同じセキュリティ レベルのインターフェイスでは、通信用に NAT を使用する必要はありません。ただし、NAT コントロールがイネーブルになっている状態で同じセキュリティ インターフェイスのダイナミック NAT または PAT を設定する場合、内部インターフェイスから同じセキュリティのインターフェイスあるいは外部インターフェイスへのトラフィックはすべて、NAT 規則に一致している必要があります。

同様に、NAT コントロールと共に外部のダイナミック NAT または PAT をイネーブルにする場合、内部インターフェイスへのアクセス時には、すべての外部トラフィックが 1 つの NAT 規則に一致している必要があります。

NAT コントロールを使用するスタティック NAT では、このような制限は発生しません。

デフォルトでは、NAT コントロールはディセーブルになっているため、NAT の実行を選択しないかぎり、ネットワーク上で NAT を実行する必要はありません。

NAT コントロールのセキュリティを強化する必要があるが、内部アドレスが変換されることを望まない場合は、これらのアドレスに NAT 免除（ nat 0 access-list ）またはアイデンティティ NAT（ nat 0 または static ）規則が適用できます。

（注） マルチ コンテキスト モードでは、パケット分類子はパケットをコンテキストに割り当てるために、NAT 設定に依存する場合があります。NAT コントロールがディセーブルであるという理由で NAT を実行しない場合、分類子によってはネットワーク コンフィギュレーションの変更が必要になることがあります。

例

次の例では、NAT コントロールをイネーブルにします。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

NAT リライトはデフォルトでイネーブルになっています。このコマンドは、 policy-map type inspect dns を定義していなくても、 inspect dns を設定している場合はイネーブルにできます。このコマンドをディセーブルにするには、 no nat-rewrite をポリシー マップ コンフィギュレーションで明示的に指定する必要があります。 inspect dns を設定していない場合、NAT リライトは実行されません。

 

コマンド履歴

 

使用上のガイドライン

この機能は、DNS 応答で A タイプのリソース レコード（RR）の NAT 変換を実行します。

例

次の例では、DNS 検査ポリシー マップで NAT リライトをイネーブルにする方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、NBNS サーバは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート モードの同等のコマンドに変換されます。

最大 3 つのサーバ エントリを設定できます。設定する最初のサーバはプライマリ サーバで、残りの 2 つのサーバは冗長構成用のバックアップになります。

一致するエントリをコンフィギュレーションから削除するには、 no オプションを使用します。

例

次の例は、10.10.10.19 の IP アドレス、10 秒のタイムアウト値、および 8 回のリトライでマスター ブラウザである NBNS サーバを設定して使用して、トンネル グループ「テスト」を設定する方法を示しています。また、10.10.10.24 の IP アドレス、15 秒のタイムアウト値、および 8 回のリトライで NBNS WINS サーバを設定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、NBNS サーバは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、webvpn コンフィギュレーション モードでは廃止されました。トンネル グループ webvpn アトリビュート コンフィギュレーション モードの nbns-server コマンドで置き換えられています。リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート モードの同等のコマンドに変換されます。

最大 3 つのサーバ エントリを設定できます。設定する最初のサーバはプライマリ サーバで、残りの 2 つのサーバは冗長構成用のバックアップになります。

一致するエントリをコンフィギュレーションから削除するには、 no オプションを使用します。

例

次の例は、10.10.10.19 の IP アドレス、10 秒のタイムアウト値、および 8 回のリトライでマスター ブラウザである NBNS サーバを設定する方法を示しています。また、10.10.10.24 の IP アドレス、15 秒のタイムアウト値、および 8 回のリトライで NBNS WINS サーバを設定する方法を示しています。

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

既知の各非ブロードキャスト ネットワーク ネイバーに、ネイバー エントリが 1 つ含まれている必要があります。インターフェイスのプライマリ アドレスに、ネイバー アドレスが存在する必要があります。

システムに直接接続されているインターフェイスと同じネットワーク上にネイバーがない場合、 interface オプションが指定されている必要があります。さらに、ネイバーに到達するには、スタティック ルートが作成されている必要があります。

例

次の例では、192.168.1.1 のアドレスの隣接ルータを定義します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

ネットワーク拡張モードはディセーブルです。

 

使用上のガイドライン

ネットワーク拡張モードにより、ハードウェア クライアントは、VPN トンネルを介したリモート プライベート ネットワークに対して、ルーティング可能なネットワークを 1 つ提示できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークからセキュリティ アプライアンスの背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、セキュリティ アプライアンスの背後にある装置は、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワークに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要がありますが、トンネルがアップの状態になった後は、どちらの側からもデータ交換を開始できます。

 

コマンド履歴

例

次の例は、FirstGroup という名前のグループ ポリシーの NEM を設定する方法を示しています。

 

シンタックスの説明

 

デフォルト

指定されているネットワークはありません。

 

コマンド履歴

 

使用上のガイドライン

指定のネットワーク番号にサブネット情報を含めないようにしてください。ルータで使用できるネットワーク コマンドの数には制限がありません。RIP ルーティング アップデートは、指定されたネットワークのインターフェイスを経由してのみ送受信されます。また、インターフェイスのネットワークが指定されていない場合、そのインターフェイスは RIP アップデートでアドバタイズされません。

例

次の例では、ネットワーク 10.0.0.0 および 192.168.7.0 に接続されたすべてのインターフェイスで使用されるルーティング プロトコルとして RIP を定義します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

インターフェイスで OSPF を動作させるには、 network area コマンドでインターフェイスのアドレスが指定されている必要があります。 network area コマンドでカバーされていないインターフェイスの IP アドレスがあれば、そのインターフェイス上では OSPF がイネーブルになりません。

セキュリティ アプライアンスで使用できる network area コンドの数には制限がありません。

例

次の例では、192.168.1.1 のインターフェイスで OSPF をイネーブルにし、エリア 2 に割り当てます。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ネットワーク コンフィギュレーション モードでホストまたはサブネット オブジェクトを定義するには、 object-group コマンドと共に network-object コマンドを使用します。

例

次の例は、ネットワーク コンフィギュレーション モードで network-object コマンドを使用して、新しいネットワーク オブジェクト グループを作成する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、NT 認証の AAA サーバでのみ有効です。最初に aaa-server host コマンドを使用して、ホスト コンフィギュレーション モードに入る必要があります。 string 変数の名前は、サーバ自体の NT エントリに一致する必要があります。

例

次の例では、このサーバの NT プライマリ ドメイン コントローラ名を「primary1」に設定します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、引数もキーワードもありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

認証をイネーブルにすると、セキュリティ アプライアンスは、NTP サーバが正しい信頼できるキーをパケットで使用している場合に限り、NTP サーバと通信します（ ntp trusted-key コマンドを参照）。セキュリティ アプライアンスは、認証キーを NTP サーバと同期をとるためにも使用します（ ntp authentication-key コマンドを参照）。

例

次の例では、NTP パケットで認証キー 42 を使用しているシステムのみと同期するようにセキュリティ アプライアンスを設定します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

NTP 認証を使用するには、 ntp authenticate コマンドも設定します。

例

次の例では、認証をイネーブルにし、信頼できるキー ID 1 と 2 を指定し、信頼できる各キー ID の認証キーを設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次の例では、2 つの NTP サーバを指定し、キー ID 1 と 2 の認証をイネーブルにします。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

NTP 認証を使用するには、 ntp authenticate コマンドも設定します。サーバと同期を取るには、 ntp authentication-key コマンドを使用して、キー ID の認証キーを設定します。

例

次の例では、認証をイネーブルにし、信頼できるキー ID 1 と 2 を指定し、信頼できる各キー ID の認証キーを設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

送信されるエコー タイプのパケットのデフォルト数は 1 です。

 

コマンド履歴

 

使用上のガイドライン

パケット損失による正確でない到達情報を防止するために送信されるパケットのデフォルト数を増やします。

例

次の例では、ICMP エコー要求/応答時間プローブ オペレーションを使用する、ID が 123 の SLA オペレーションを設定しています。エコー要求パケットのペイロード サイズを 48 バイト、SLA オペレーション中に送信されるエコー要求の数を 5 に設定しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ホスト、プロトコル、サービスなどのオブジェクトはグループ化できます。グループ化をすると、グループ名を使用して 1 つのコマンドを発行してグループ内のすべての項目に適用できます。

object-group コマンドでグループを定義してから、任意のセキュリティ アプライアンス コマンドを使用すると、そのコマンドはグループ内のすべての項目に適用されます。この機能によってコンフィギュレーション サイズをかなり削減できます。

オブジェクト グループを定義したら、次のように、該当するすべてのセキュリティ アプライアンス コマンドで object-group キーワードの後にグループ名を使用する必要があります。

group_name はグループの名前です。

次の例は、オブジェクト グループを定義した後で使用する方法を示しています。

また、 access list コマンドの引数をグループ化できます。

コマンドは階層構造にグループ化できます。したがって、あるオブジェクト グループを別のオブジェクト グループのメンバーにできます。

オブジェクト グループを使用するには、次のことを実行する必要があります。

• object-group キーワードは、すべてのコマンドでオブジェクト グループ名の前に使用する。

ここで、 remotes および locals はオブジェクト グループ名です。

• オブジェクト グループを空にしない。

• 別のコマンドで現在使用されている場合は、オブジェクト グループを削除したり、空にしたりすることはできない。

メインの object-group コマンドが入力されると、コマンド モードは対応するモードに変わります。オブジェクト グループは新規のモードで定義されます。アクティブ モードがコマンド プロンプト形式で示されます。たとえば、コンフィギュレーション端末モードのプロンプトは次のように表示されます。

ここで、 hostname はセキュリティ アプライアンスの名前です。

しかし、 object-group コマンドを入力すると、プロンプトは次のように表示されます。

hostname はセキュリティ アプライアンスの名前、 type は オブジェクト グループのタイプ です。

object-group モードを抜け、 object-group メイン コマンドを終了するには、 exit や quit コマンド、または access-list コマンドなどの有効な任意のコンフィギュレーション モードのコマンドを使用します。

show running-config object-group コマンドは、定義されているすべてのオブジェクト グループを表示します。このとき、 show running-config object-group grp_id コマンドを入力した場合は grp_id ごとに、 show running-config object-group grp_type コマンドを入力した場合はグループ タイプごとに表示されます。引数を指定せずに show running-config object-group コマンドを入力すると、定義されているすべてのオブジェクト グループが表示されます。

それまでに定義した object-group コマンドのグループを削除するには、 clear configure object-group コマンドを使用します。引数を指定せずに clear configure object-group コマンドを使用すると、コマンドで使用中でない定義済のオブジェクト グループすべてが削除できます。 grp_type 引数は、コマンドで使用中でない定義済のオブジェクト グループすべてのうち、そのグループ タイプだけを削除します。

object-group モードでは、 show running-config および clear configure コマンドを含む他のすべてのセキュリティ アプライアンス コマンドを使用できます。

object-group モード内のコマンドは、 show running-config object-group コマンド、 write コマンド、または config コンドで表示または保存した場合は、字下げして表示されます。

object-group モード内のコマンドには、メイン コマンドと同じコマンド特権レベルがあります。

access-list コマンドで複数のオブジェクト グループを使用している場合、このコマンドで使用されるすべてのオブジェクト グループの要素は相互に連結されます。最初に 1 番目のグループ要素が 2 番目のグループ要素に連結され、1 番目と 2 番目のグループ要素が 3 番目のグループ要素に連結されるというようになります。

説明テキストの開始位置は、 description キーワードに続く空白（ブランクまたはタブ）直後の文字です。

例

次の例は、 object-group icmp-type モードを使用して新しい icmp-type オブジェクト グループを作成する方法を示しています。

次の例は、 object-group network コマンドを使用して新しいネットワーク オブジェクト グループを作成する方法を示しています。

次の例は、 object-group network コマンドを使用して新しいネットワーク オブジェクト グループを作成し、既存のオブジェクト グループにマッピングする方法を示しています。

次の例は、 object-group protocol モードを使用して新しいプロトコル オブジェクト グループを作成する方法を示しています。

次の例は、 object-group service モードを使用して新しいポート（サービス）オブジェクト グループを作成する方法を示しています。

次の例は、テキスト説明をオブジェクト グループに追加およびオブジェクト グループから削除する方法を示しています。

次の例は、 group-object モードを使用して、すでに定義済みのオブジェクトで構成される新しいオブジェクト グループを作成する方法を示しています。

group-object コマンドを使用しない場合は、 host_grp_1 と host_grp_2 にすでに定義済みの IP アドレスをすべて含むように all_hosts グループを定義する必要があります。 group-object コマンドを指定する場合は、重複してホストを定義する必要がなくなります。

次の例は、オブジェクト グループを使用してアクセス リストのコンフィギュレーションを簡略化する方法を示しています。

このグループ化により、グループ化を使用しないと 24 行になるアクセス リストを 1 行で設定できます。その代わり、グループ化を使用するとアクセス リストのコンフィギュレーションは次のようになります。

（注） show running-config object-group コマンドおよび write コマンドを使用すると、オブジェクト グループ名で設定されているようにアクセス リストを表示できます。show access-list コマンドは、オブジェクトをグループ化せずに、アクセス リスト エントリを個々のエントリに展開して表示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、キーワードも引数もありません。

 

デフォルト

デフォルトでは、OCSP 要求にナンス拡張子が含まれます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、OCSP 要求には OCSP ナンス拡張子が含まれず、セキュリティ アプライアンスはチェックを行いません。

例

次の例では、newtrust というトラストポイントのナンス拡張子をディセーブルにする方法を示します。

 

関連コマンド

 

シンタックスの説明

このコマンドには、キーワードも引数もありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

セキュリティ アプライアンスは HTTP URL のみサポートし、各トランスポイントに URL を 1 つだけ指定できます。

セキュリティ アプライアンスでは OCSP サーバ URL を定義する方法が 3 つあり、定義する方法に従って次の順序で OCSP サーバの使用を試みます。

• match certificate コマンドを使用して設定する OCSP サーバ

• ocsp url コマンドを使用して設定する OCSP サーバ

• クライアント証明書の AIA フィールドの OCSP サーバ

match certificate コマンド、または ocsp url コマンドを使用して OCSP URL を設定しない場合、セキュリティ アプライアンスはクライアント証明書の AIA 拡張子で OCSP サーバを使用します。証明書に AIA 拡張が含まれていない場合、失効ステータスのチェックは失敗します。

例

次の例では、URL http://10.1.124.22 で OCSP サーバを設定する方法を示します。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトでは、OSPF 認証はイネーブルではありません。

 

コマンド履歴

 

使用上のガイドライン

ospf authentication コマンドを使用する前に、 ospf authentication-key コマンドを使用してインターフェイスのパスワードを設定します。 message-digest キーワードを使用する場合、
ospf message-digest-key コマンドを使用して、インターフェイスのメッセージ ダイジェスト キーを設定します。

下位互換性を維持するため、エリアの認証タイプが継続してサポートされます。認証タイプがインターフェイスに指定されていない場合、エリアの認証タイプが使用されます（エリアのデフォルトは null 認証です）。

オプションを指定せずにこのコマンドを使用する場合、簡易パスワード認証がイネーブルにされます。

例

次の例は、選択したインターフェイスで OSPF の簡易パスワード認証をイネーブルにする方法を示しています。

 

関連コマンド

 

シンタックスの説明<

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドによって作成されたパスワードは、ルーティング プロトコル パケットが発信されるときに、OSPF ヘッダーに直接挿入されるキーとして使用されます。インターフェイス単位で、別個のパスワードを各ネットワークに割り当てることができます。同一ネットワーク上のすべての隣接ルータが、OSPF 情報を交換できる同じパスワードを持つ必要があります。

例

次の例は、OSPF 認証のパスワードを指定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの interface_cost は 10 です。

 

コマンド履歴

 

使用上のガイドライン

ospf cost コマンドを使用すると、インターフェイスでの 1 パケットの送信コストを明示的に指定できます。 interface_cost パラメータは、0 ～ 65535 の符号なし整数値です。

no ospf cost コマンドを使用すると、パス コストをデフォルト値にリセットできます。

例

次の例は、選択したインターフェイスで 1 パケットの送信コストを指定する方法を示しています。

 

関連コマンド

 

シンタックスの説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ospf database-filter コマンドは、OSPF インターフェイスへの発信 LSA をフィルタリングします。 no ospf database-filter all out コマンドは、インターフェイスへの LSA のフォワーディングを復元します。

例

次の例は、 ospf database-filter コマンドを使用して、発信 LSA をフィルタリングする方法を示しています。

 

関連コマンド