- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: acl-netmask-convert コマンド~ auto-update timeout コマンド
- acl-netmask-convert
- action-uri
- activation-key
- address-pool
- address-pools(グループ ポリシー)
- alias
- allocate-interface
- apcf
- application-access
- application-access hide-details
- area
- area authentication
- area default-cost
- area filter-list prefix
- area nssa
- area range
- area stub
- area virtual-link
- arp
- arp timeout
- arp-inspection
- asdm disconnect
- asdm disconnect log_session
- asdm group
- asdm history enable
- asdm image
- asdm location
- asr-group
- auth-cookie-name
- authentication
- authentication(暗号 isakmp ポリシー コンフィギュレーション モード)
- authentication(トンネル グループ webvpn コンフィギュレーション モード)
- authentication eap-proxy
- authentication ms-chap-v1
- authentication ms-chap-v2
- authentication pap
- authentication-port
- authentication-server-group
- authentication-server-group(webvpn)
- authorization-dn-attributes(トンネル グループ一般アトリビュート モード)
- authorization-dn-attributes(webvpn)
- authorization-required(トンネル グループ一般アトリビュート モード)
- authorization-required(webvpn)
- authorization-server-group(トンネル グループ一般アトリビュート モード)
- authorization-server-group(webvpn)
- auth-prompt
- auto-signon
- auto-summary
- auto-update device-id
- auto-update poll-at
- auto-update poll-period
- auto-update server
- auto-update timeout
acl-netmask-convert コマンド~ auto-update timeout コマンド
acl-netmask-convert
RADIUS サーバから受信したダウンロード可能な ACL 内のネットマスクをセキュリティ アプライアンスがどのように扱うかを指定するには、AAA サーバ ホスト モードで acl-netmask-convert コマンドを使用します。このモードには、 aaa-server host コマンドを使用してアクセスできます。コマンドを削除するには、このコマンドの no 形式を使用します。
acl-netmask-convert { auto-detect | standard | wildcard }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RADIUS サーバがワイルドカード形式のネットマスクを含むダウンロード可能な ACL を提供する場合は、wildcard キーワードまたは auto-detect キーワードと共に acl-netmask-convert コマンドを使用します。セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていると予想します。一方、Cisco Secure VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に、標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていると予想します。ワイルドカード マスクでは、無視するビット位置には 1 が、一致する必要のあるビット位置には 0 が置かれます。 acl-netmask-convert コマンドを使用すると、このような違いが、RADIUS サーバ上でダウンロード可能な ACL を設定する方法に及ぼす影響を最小限に抑えることができます。
auto-detect キーワードは、RADIUS サーバがどのように設定されているかわからない場合に役立ちます。ただし、ワイルドカード ネットマスク表現に「穴」があると、その表現が正しく検出されず、変換されません。たとえば、ワイルドカード ネットマスク 0.0.255.0 は、第 3 オクテットがどのような数値であっても許可し、Cisco VPN 3000 シリーズ コンセントレータで有効に使用できますが、セキュリティ アプライアンスはこの表現をワイルドカード ネットマスクとして検出できません。
例
次の例では、ホスト「192.168.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、ダウンロード可能な ACL のネットマスク変換をイネーブルにして、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。
aaa-server svrgrp1 protocol radius
retry-interval 7
関連コマンド
action-uri
Web サーバの URI を指定してシングル サインオン認証用のユーザ名とパスワードを受信するには、AAA サーバ ホスト コンフィギュレーション モードで action-uri コマンドを使用します。これは HTTP Forms コマンドを使用した SSO です。
URI パラメータ値をリセットするには、このコマンドの no 形式を使用します。新しい値を入力するには、 action-uri コマンドを再度使用します。
(注) HTTP プロトコルで SSO を適切に設定するには、認証と HTTP プロトコル交換についての十分な実用知識が必要です。
シンタックスの説明
認証プログラムの URI。複数の行に入力できます。各行の最大文字数は 255 文字です。URI 全体の最大文字数は 2,048 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
URI(ユニフォーム リソース識別子)は、インターネット上のコンテンツの位置を特定するコンパクトな文字列です。URI で表されるコンテンツには、テキスト ページ、ビデオ クリップ、サウンド クリップ、静止画、動画、プログラムなどがあります。URI の最も一般的な形式は Web ページ アドレスです。Web ページ アドレスは、URI の特定の形式(つまりサブセット)で、Uniform Resource Locator(URL; ユニフォーム リソース ロケータ)と呼ばれます。
セキュリティ アプライアンスの WebVPN サーバは、POST 要求を使用してシングル サインオン認証要求を認証 Web サーバに送信します。この処理が実行されるようにするには、HTTP POST 要求を使用して認証 Web サーバ上のアクション URI にユーザ名とパスワードを渡すようにセキュリティ アプライアンスを設定します。 action-uri コマンドは、セキュリティ アプライアンスが POST 要求を送信する先の Web サーバ上の認証プログラムの場所と名前を指定します。
認証 Web サーバ上のアクション URI は、認証 Web サーバのログイン ページにブラウザで直接接続するとわかります。ブラウザに表示されるログイン Web ページの URL が、認証 Web サーバのアクション URI です。
入力しやすいように、URI は連続する複数の行に入力できるようになっています。各行は入力と同時にセキュリティ アプライアンスによって連結され、URI が構成されます。action-uri 行の 1 行あたりの最大文字数は 255 文字ですが、それより少ない文字を各行に入力できます。
(注) 文字列に疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。
例
次の例では、認証データを受信する URI は次のとおりです。
http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REALMOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2PxkHqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com
AAA サーバ ホスト コンフィギュレーション モードで入力した次の例では、www.example.com の上記の URI を指定しています。
(注) ホスト名とプロトコルをアクション URI に含める必要があります。上記の例では、URI の最初にある http://www.example.com にそれらが含まれています。
関連コマンド
|
|
|
|---|---|
activation-key
セキュリティ アプライアンスのアクティベーション キーを変更し、セキュリティ アプライアンス上で運用されているアクティベーション キーをセキュリティ アプライアンスのフラッシュ パーティションに隠しファイルとして保存されているアクティベーション キーと比較してチェックするには、グローバル コンフィギュレーション モードで activation-key コマンドを使用します。
activation-key [ activation-key-four-tuple| activation-key-five-tuple ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各要素の間にスペースを 1 つ入れて、4 つの要素で構成される 16 進数文字列として
activation-key-four-tuple を入力します。または、各要素の間にスペースを 1 つ入れて、5 つの要素で構成される 16 進数文字列として、 activation-key-five-tuple を入力します。次に例を示します。
例
次の例は、セキュリティ アプライアンスのアクティベーション キーを変更する方法を示しています。
関連コマンド
|
|
|
|---|---|
address-pool
リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで address-pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。
address-pool [( interface name )] address_pool1 [... address_pool6 ]
no address-pool [( interface name )] address_pool1 [... address_pool6 ]
シンタックスの説明
ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスを指定しない場合、このコマンドは、明示的に参照されていないすべてのインターフェイスのデフォルトを指定します。
グループ ポリシーの address-pools コマンドによるアドレス プールの設定で、トンネル グループの address-pool コマンドによるローカル プールの設定が上書きされます。
プールを指定する順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。
例
config-general コンフィギュレーション モードに入る次の例では、IPSec リモートアクセス トンネル グループ xyz のリモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。 |
address-pools(グループ ポリシー)
リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定するには、グループ ポリシーのアトリビュート コンフィギュレーション モードで address-pools コマンドを使用します。グループ ポリシーからアトリビュートを削除し、別のグループ ポリシーからの継承をイネーブルにするには、このコマンドの no 形式を使用します。
address-pools value address_pool1 [... address_pool6 ]
no address-pools value address_pool1 [... address_pool6 ]
シンタックスの説明
ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドのアドレス プールの設定で、グループ内のローカル プールの設定が上書きされます。ローカル アドレスの割り当てに使用するローカル アドレス プールを 6 個まで指定できます。
プールを指定する順序は重要です。セキュリティ アプライアンスは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスを割り当てます。
address-pools none コマンドは、このアトリビュートが他のポリシー(DefaultGrpPolicy など)から継承されることをディセーブルにします。 no address pools none コマンドは、コンフィギュレーションから address-pools none コマンドを削除し、デフォルトの値(継承可能)に戻します。
例
次のコマンドは、config-general コンフィギュレーション モードで入力しています。この例では、GroupPolicy1 で、リモート クライアントにアドレスを割り当てるために pool 1 と pool20 を使用するように設定しています。
関連コマンド
|
|
|
|---|---|
alias
アドレスを手動で変換し、DNS の応答を変更するには、グローバル コンフィギュレーション モードで alias コマンドを使用します。 alias コマンドを削除するには、このコマンドの no 形式を使用します。このコマンドの代わりに、外部 NAT コマンド( nat コマンドと static コマンドを dns キーワードと一緒に使用)を使えるようになっています。 alias コマンドではなく、外部 NAT コマンドを使用することをお勧めします。
alias interface_name mapped_ip real_ip [ netmask ]
[no] alias interface_name mapped_ip real_ip [ netmask ]
シンタックスの説明
マップされた IP アドレスに向かうトラフィックの入力インターフェイス(またはマップされた IP アドレスからのトラフィックの出力インターフェイス)の名前を指定します。 |
|
(オプション)両方の IP アドレスのサブネット マスクを指定します。ホストのマスクには、 255.255.255.255 と入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで、宛先アドレスを変換することもできます。たとえば、ホストがパケットを 209.165.201.1 に送信する場合は、 alias コマンドを使用することで、トラフィックを他のアドレス(209.165.201.30 など)にリダイレクトできます。
(注) alias コマンドを他のアドレスへの変換ではなく DNS の書き換えに使用する場合は、エイリアスがイネーブルなインターフェイス上で proxy-arp をディセーブルにします。sysopt noproxyarp コマンドを使用して、セキュリティ アプライアンスが一般的な NAT 処理のために proxy-arp でトラフィックを自分自身にプルしないようにしてください。
alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。
DNS ゾーン ファイルの中に、 alias コマンドに含まれている「dnat」アドレスの A(アドレス)レコードが存在している必要があります。
alias コマンドには、2 つの使用方法があります。次に、その概要を示します。
•
セキュリティ アプライアンスが mapped_ip 宛てのパケットを取得した場合、そのパケットを real_ip に送信するように alias コマンドを設定できる。
• セキュリティ アプライアンスが real_ip 宛てに DNS パケットを送信し、そのパケットがセキュリティ アプライアンスに戻ってきた場合、DNS パケットに変更を加えて、宛先ネットワーク アドレスを mapped_ip にするように alias コマンドを設定できる。
alias コマンドは、ネットワーク上の DNS サーバと自動的に対話して、エイリアスが設定された IP アドレスへのドメイン名によるアクセスを透過的に処理します。
real_ip IP アドレスと mapped_ip IP アドレスにネットワーク アドレスを使用すると、ネット エイリアスを指定できます。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1 ~ 209.165.201.30 の各 IP アドレスのエイリアスが作成されます。
static コマンドと access-list コマンドで alias コマンドの mapped_ip アドレスにアクセスするには、access-list コマンド内で、許可されるトラフィック送信元アドレスとして mapped_ip アドレスを指定します。次に例を示します。
内部アドレス 192.168.201.1 を宛先アドレス 209.165.201.1 にマッピングして、エイリアスを指定しています。
内部ネットワーク クライアント 209.165.201.2 が example.com に接続すると、内部クライアントのクエリーに対する外部 DNS サーバからの DNS 応答は、セキュリティ アプライアンスによって 192.168.201.29 へと変更されます。セキュリティ アプライアンスで 209.165.200.225 ~
209.165.200.254 をグローバル プール IP アドレスとして使用している場合、パケットはセキュリティ アプライアンスに SRC=209.165.201.2 および DST=192.168.201.29 として送信されます。セキュリティ アプライアンスは、アドレスを外部の SRC=209.165.200.254 および DST=209.165.201.29 に変換します。
例
次の例では、内部ネットワークに IP アドレス 209.165.201.29 が含まれています。このアドレスはインターネット上にあり、example.com に属しています。内部のクライアントが example.com にアクセスしても、パケットはセキュリティ アプライアンスに到達しません。クライアントは、209.165.201.29 がローカルの内部ネットワーク上にあると判断するためです。
この動作を修正するには、 alias コマンドを次のように使用します。
hostname(config)# alias (inside) 192.168.201.0 209.165.201.0 255.255.255.224
次の例では、内部の 10.1.1.11 にある Web サーバ、および 209.165.201.11 で作成された static コマンドを示しています。送信元ホストは、外部のアドレス 209.165.201.7 にあります。外部の DNS サーバには、次に示すとおり、www.example.com のレコードが登録されています。
ドメイン名 www.example.com. の末尾のピリオドは必要です。
セキュリティ アプライアンスは、内部クライアント用のネーム サーバ応答を 10.1.1.11 に変更して、Web サーバに直接接続できるようにします。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスに、またはローカル ポートをグローバル ポートにマッピングすることによって、1 対 1 のアドレス変換規則を設定します。 |
allocate-interface
セキュリティ コンテキストにインターフェイスを割り当てるには、コンテキスト コンフィギュレーション モードで allocate-interface コマンドを使用します。コンテキストからインターフェイスを削除するには、このコマンドの no 形式を使用します。
allocate-interface physical_interface [ map_name ] [ visible | invisible ]
no allocate-interface physical_interface
allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ map_name [ - map_name ]] [ visible | invisible ]
no allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ]
シンタックスの説明
(デフォルト)コンテキスト ユーザが show interface コマンドで、マッピング名(設定されている場合)だけを表示できるようにします。 |
|
| map_name は、インターフェイス ID ではなく、インターフェイスを示す英数字のエイリアスで、コンテキスト内で使用できます。マッピング名を指定しない場合は、コンテキスト内でインターフェイス ID が使用されます。セキュリティを確保するため、コンテキストによって使用されているインターフェイスをコンテキスト管理者に知らせたくない場合があります。 マッピング名はアルファベットで始まり、アルファベットまたは数字で終わる必要があります。その間の文字には、アルファベット、数字、または下線だけを使用できます。たとえば、次のような名前を使用できます。 サブインターフェイスの場合は、マッピング名の範囲を指定できます。 範囲の詳細については、「使用上のガイドライン」を参照してください。 |
|
インターフェイス ID( gigabit ethernet0/1 など)を設定します。使用できる値については、 interface コマンドを参照してください。 |
|
(オプション)マッピング名を設定した場合でも、コンテキスト ユーザが show interface コマンドで、物理インターフェイスのプロパティを表示できるようにします。 |
デフォルト
デフォルトでは、マッピング名を設定した場合に show interface コマンドの出力にインターフェイス ID は表示されません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを複数回入力して、異なる範囲を指定できます。マッピング名または表示の設定を変更するには、所定のインターフェイス ID でこのコマンドを再入力し、新しい値を設定します。 no allocate-interface コマンドを入力して、最初からやり直す必要はありません。 allocate-interface コマンドを削除すると、セキュリティ アプライアンスによって、コンテキスト内のインターフェイス関連のコンフィギュレーションがすべて削除されます。
透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。
(注) 透過モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをそのインターフェイスを通してフラッドしません。
ルーテッド モードでは、必要に応じて、同じインターフェイスを複数のコンテキストに割り当てることができます。透過モードでは、インターフェイスを共有できません。
サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。
• マッピング名は、アルファベット部分と、それに続く数値部分で構成される必要がある。範囲の両端で、マッピング名のアルファベット部分が一致する必要があります。たとえば、次のような範囲を入力します。
たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドが失敗します。
• マッピング名の数値部分には、サブインターフェイス範囲と同じ個数の数値が含まれる必要がある。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。
たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドが失敗します。
例
次の例は、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 ~ gigabitethernet0/1.305 をコンテキストに割り当てる方法を示しています。マッピング名は、int1 ~ int8 です。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
apcf
Application Profile Customization Framework プロファイルをイネーブルにするには、webvpn モードで apcf コマンドを使用します。特定の APCF スクリプトをディセーブルにするには、このコマンドの no 形式を使用します。すべての APCF スクリプトをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Application Profile Customization Framework オプションでは、非標準の Web アプリケーションや Web リソースが WebVPN 接続で適切にレンダリングされるように、セキュリティ アプライアンスによってそれらの処理を可能にします。APCF プロファイルには、特定のアプリケーションに関して、いつ(事前、事後)、どこの(ヘッダー、本文、要求、応答)、どのデータを変換するかを指定するスクリプトがあります。
複数の APCF プロファイルをセキュリティ アプライアンス上で使用できます。そのようにした場合、セキュリティ アプライアンスは、それらを古いものから新しいものの順に 1 つずつ適用します。
例
次の例は、フラッシュ メモリの /apcf にある apcf1 という名前の APCF をイネーブルにする方法を示しています。
hostname(config)# webvpn
hostname(config-webvpn)# apcf flash:/apcf/apcf1.xml
次の例は、myserver という https サーバのポート 1440(パスは /apcf)にある apcf2.xml という名前の APCF をイネーブルにする方法を示しています。
hostname(config)# webvpn
hostname(config-webvpn)# apcf https://myserver:1440/apcf/apcf2.xml
関連コマンド
|
|
|
|---|---|
application-access
認証済みの WebVPN ユーザに表示される WebVPN ホームページの Application Access ボックス、およびそれらのユーザがアプリケーションを選択したときに開く Application Access ウィンドウをカスタマイズするには、webvpn カスタマイゼーション モードで application-access コマンドを使用します。
application-access { title | message | window } { text | style } value
[ no ] application-access { title | message | window } { text | style } value
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
Application Access ボックスのデフォルトのタイトル テキストは「Application Access」です。
Application Access ボックスのデフォルトのタイトル スタイルは次のとおりです。
background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase
Application Access ボックスのデフォルトのメッセージ テキストは「Start Application Client」です。
Application Access ボックスのデフォルトのメッセージ スタイルは次のとおりです。
background-color:#99CCCC;color:maroon;font-size:smaller
Application Access ウィンドウのデフォルトのウィンドウ テキストは次のとおりです。
「Close this window when you finish using Application Access.Please wait for the table to be displayed before starting applications.」
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。
『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。
例
次の例では、Application Access ボックスの背景色を RGB 16 進値 66FFFF(緑色の一種)にカスタマイズしています。
関連コマンド
|
|
|
application-access hide-details
WebVPN Applications Access ウィンドウに表示されるアプリケーション詳細を非表示にするには、WebVPN カスタマイゼーション モードで application-access hide-details コマンドを使用します。
application-access hide - details {enable | disable}
[ no ] application-access hide - details {enable | disable}
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、アプリケーション詳細の表示をディセーブルにしています。
関連コマンド
|
|
|
area
OSPF エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
作成するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
作成するエリアには、パラメータが設定されていません。関連する area コマンドを使用して、エリア パラメータを設定します。
例
次の例は、エリア ID 1 の OSPF エリアを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
area authentication
OSPF エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで area authentication コマンドを使用します。エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id authentication [ message-digest ]
no area area_id authentication [ message-digest ]
シンタックスの説明
認証をイネーブルにするエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
(オプション) area_id によって指定されたエリアでの Message Digest 5(MD5)認証をイネーブルにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定した OSPF エリアが存在しない場合は、このコマンドの入力時にそのエリアが作成されます。 message-digest キーワードを付けずに area authentication コマンドを入力すると、簡易パスワード認証がイネーブルになります。 message-digest キーワードを付けると、MD5 認証がイネーブルになります。
例
次の例は、エリア 1 の MD5 認証をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
area default-cost
スタブまたは NSSA に送信されるデフォルト サマリー ルートのコストを指定するには、ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。
area area_id default-cost cost
シンタックスの説明
デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
スタブまたは NSSA に使用されるデフォルト サマリー ルートのコストを指定します。有効な値は 0 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
例
次の例は、スタブまたは NSSA に送信されるサマリー ルートのデフォルト コストを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
area filter-list prefix
ABR の OSPF エリア間のタイプ 3 LSA でアドバタイズされたプレフィックスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。
area area_id filter-list prefix list_name { in | out }
no area area_id filter-list prefix list_name { in | out }
シンタックスの説明
フィルタリングを設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
タイプ 3 LSA だけをフィルタリングできます。プライベート ネットワークに ASBR が設定されている場合は、ASBR がタイプ 5 LSA(プライベート ネットワークを記述)を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッドされます。
例
次の例では、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングします。
関連コマンド
|
|
|
|---|---|
area nssa
エリアを NSSA として設定するには、ルータ コンフィギュレーション モードで area nssa コマンドを使用します。エリアから NSSA 指定を削除するには、このコマンドの no 形式を使用します。
area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
あるオプションをエリアに設定した後、別のオプションを指定すると、両方のオプションが設定されます。たとえば、次の 2 つのコマンドを別々に入力すると、コンフィギュレーション内では、両方のオプションが設定された 1 つのコマンドになります。
例
次の例は、2 つのオプションを別々に設定すると、コンフィギュレーション内でどのように 1 つのコマンドになるかを示しています。
関連コマンド
|
|
|
|---|---|
area range
エリアの境界でルートを統合および集約するには、ルータ コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id range address mask [ advertise | not-advertise ]
no area area_id range address mask [ advertise | not-advertise ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
area range コマンドは、ABR だけで使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つのサマリー ルートが ABR によって他のエリアにアドバタイズされます。エリアの境界でルーティング情報が凝縮されます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は、「経路集約」と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。この設定により、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。
no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードだけを削除します。
例
次の例は、ネットワーク 10.0.0.0 上のすべてのサブネット対する 1 つのサマリー ルート、およびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つのサマリー ルートが、ABR によって他のエリアにアドバタイズされるよう指定しています。
関連コマンド
|
|
|
|---|---|
area stub
エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリア機能を削除するには、このコマンドの no 形式を使用します。
no area area_id [ no-summary ]
シンタックスの説明
スタブ エリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、スタブまたは NSSA に接続されている ABR だけで使用できます。
area stub と area default-cost という 2 つのスタブ エリア ルータ コンフィギュレーション コマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続されている ABR だけで area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成されるサマリー デフォルト ルートのメトリックをスタブ エリアに提供します。
例
次の例では、指定したエリアをスタブ エリアとして設定しています。
関連コマンド
|
|
|
|---|---|
area virtual-link
OSPF 仮想リンクを定義するには、ルータ コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットする、または仮想リンクを削除するには、このコマンドの no 形式を使用します。
area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]
no area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]
シンタックスの説明
デフォルト
• area_id :エリア ID は事前に定義されていません。
• router_id :ルータ ID は事前に定義されていません。
• hello-interval seconds :10 秒。
• retransmit-interval seconds :5 秒。
• transmit-delay seconds :1 秒。
• dead-interval seconds :40 秒。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合、仮想リンクを確立することで接続を修復できます。
hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。
再送間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。
指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にだけ使用されます。
簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらかを指定するか、または両方とも指定しないでください。 authentication-key key または message-digest-key key_id md5 key の後に指定したキーワードと引数はすべて無視されます。したがって、オプションの引数はすべて、上記のキーワードと引数の組み合せの前に指定します。
インターフェイスに認証タイプが指定されていない場合、インターフェイスはエリアに指定されている認証タイプを使用します。エリアに認証タイプが指定されていない場合、エリアのデフォルトは null 認証です。
(注) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。
仮想リンクからオプションを削除するには、削除するオプションを付けて、このコマンドの no 形式を使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
arp
ARP テーブルにスタティック ARP エントリを追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。スタティック ARP エントリは MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトしないため、ネットワーク問題の解決に役立つことがあります。透過ファイアウォール モードでは、ARP 検査でスタティック ARP テーブルが使用されます( arp-inspection コマンドを参照)。
arp interface_name ip_address mac_address [ alias ]
no arp interface_name ip_address mac_address
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストは IP アドレスによってパケットの宛先を指定しますが、イーサネット上での実際のパケット配信は、イーサネット MAC アドレスに依存しています。ルータまたはホストは、直接接続されているネットワーク上でパケットを配信する場合、IP アドレスに関連付けられている MAC アドレスを要求する ARP 要求を送信してから、その ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータは ARP テーブルを保持しているため、配信する必要のあるパケットごとに ARP 要求を送信する必要がありません。ARP テーブルは、ネットワーク上で ARP 応答が送信されるたびに動的にアップデートされます。また、一定期間使用されなかったエントリは、タイムアウトになります。エントリが間違っている場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合)、アップデートされる前にそのエントリがタイムアウトになります。
(注) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。
例
次の例では、外部インターフェイス上で、10.1.1.1 のスタティック ARP エントリを MAC アドレス 0009.7cbe.2100 で作成しています。
関連コマンド
|
|
|
|---|---|
arp timeout
セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。ARP テーブルを再構築すると、自動的に、新しいホスト情報にアップデートされ、古いホスト情報が削除されます。ホスト情報が頻繁に変更されるため、タイムアウト値を小さくする必要がある場合もあります。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ARP タイムアウトを 5,000 秒に変更します。
関連コマンド
|
|
|
|---|---|
arp-inspection
透過ファイアウォール モードで ARP 検査をイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP 検査をディセーブルにするには、このコマンドの no 形式を使用します。ARP 検査では、すべての ARP パケットがスタティック ARP エントリ( arp コマンドを参照)と比較され、一致しないパケットがブロックされます。この機能により、ARP スプーフィングを防止できます。
arp-inspection interface_name enable [ flood | no-flood ]
no arp-inspection interface_name enable
シンタックスの説明
デフォルト
デフォルトでは、すべてのインターフェイスで ARP 検査がディセーブルになっています。すべての ARP パケットがセキュリティ アプライアンスを通過できます。ARP 検査をイネーブルにすると、デフォルトでは、まったく一致しない ARP パケットがフラッドされます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ARP 検査をイネーブルにするには、事前に arp コマンドを使用してスタティック ARP エントリを設定しておく必要があります。
ARP 検査をイネーブルにすると、セキュリティ アプライアンスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較して、次のアクションを実行します。
• IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致した場合、パケットを通過させます。
• MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。
• ARP パケットのエントリがスタティック ARP テーブル内のどのエントリとも一致しなかった場合、パケットをすべてのインターフェイスに転送(フラッド)するように、またはドロップするように、セキュリティ アプライアンスを設定できます。
(注) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。
ARP 検査により、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィングと呼ばれる)を防止できます。ARP スプーフィングは、「man-in-the-middle」攻撃をイネーブルにすることができます。たとえば、ホストがゲートウェイ ルータに ARP 要求を送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ところが、攻撃者はホストに、ルータの MAC アドレスではなく、攻撃者の MAC アドレスを含む別の ARP 応答を送信します。これで、攻撃者は、ルータに転送する前に、ホストのトラフィックをすべて代行受信できるようになります。
ARP 検査により、正しい MAC アドレスと、それに関連付けられている IP アドレスがスタティック ARP テーブル内にある限り、攻撃者が攻撃者の MAC アドレスで ARP 応答を送信できないことが保証されます。
(注) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。
例
次の例では、外部インターフェイス上で ARP 検査をイネーブルにし、スタティック ARP エントリに一致しないすべての ARP パケットをドロップするようセキュリティ アプライアンスを設定しています。
関連コマンド
|
|
|
|---|---|
asdm disconnect
アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。
シンタックスの説明
終了させるアクティブな ASDM セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm sessions コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。
ASDM セッションを終了しても、残りのすべてのアクティブな ASDM セッションは、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM セッションにセッション ID 1 が割り当てられ、その後の新しいセッションには、セッション ID 3 から順番に ID が割り当てられます。
例
次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect コマンドの入力前後に、 show asdm sessions コマンドで、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm disconnect log_session
アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。
sdm disconnect log_session session
シンタックスの説明
終了させるアクティブな ASDM ロギング セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm log_sessions コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。
アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、ロギング セッションを使用して、セキュリティ アプライアンスから syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶことがあります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。
(注) 各 ASDM セッションは、少なくとも 1 つの ASDM ロギング セッションを保持しているため、show asdm sessions と show asdm log_sessions の出力は同じ内容になることもあります。
ASDM ロギング セッションを終了しても、残りのすべてのアクティブな ASDM ロギング セッションは、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM ロギング セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM ロギング セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM ロギング セッションにセッション ID 1 が割り当てられ、その後の新しいロギング セッションには、セッション ID 3 から順番に ID が割り当てられます。
例
次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect log_sessions コマンドの入力前後に、 show asdm log_sessions コマンドで、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm group
asdm group real_grp_name real_if_name
asdm group ref_grp_name ref_if_name reference real_grp_name
シンタックスの説明
real_grp_name 引数で指定されたオブジェクト グループの変換された IP アドレスを含むオブジェクト グループの名前。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
asdm history enable
ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASDM 履歴トラッキングをイネーブルにすることによって得られる情報は、ASDM 履歴バッファに格納されます。この情報を表示するには、 show asdm history コマンドを使用します。この履歴情報は、ASDM によってデバイス モニタリングに使用されます。
例
次の例では、ASDM 履歴トラッキングをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
asdm image
フラッシュ メモリ内の ASDM ソフトウェア イメージの場所を指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの場所の指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内蔵フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリに複数の ASDM ソフトウェア イメージを格納できます。アクティブな ASDM セッションのある間に、 asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定しても、アクティブなセッションは中断しません。アクティブな ASDM セッションは、セッションを開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、セキュリティ アプライアンスから ASDM にアクセスできます。
このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは最初に検出した ASDM イメージを起動時に使用します。内蔵フラッシュ メモリのルート ディレクトリ内を検索し、次に外部フラッシュ メモリを検索します。イメージを検出した場合、セキュリティ アプライアンスは asdm image コマンドを実行コンフィギュレーションに挿入します。必ず write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しておかないと、再起動するたびにセキュリティ アプライアンスが ASDM イメージを探し、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用している場合は、起動時にこのコマンドが自動的に追加され、セキュリティ アプライアンスにあるコンフィギュレーションが Auto Update Server にあるコンフィギュレーションと一致しなくなります。そのため、セキュリティ アプライアンスは Auto Update Server からコンフィギュレーションをダウンロードします。この不必要な動作を防ぐには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存しておきます。
例
次の例では、ASDM イメージを asdm.bin に設定しています。
関連コマンド
|
|
|
|---|---|
asdm location
asdm location ip_addr netmask if_name
asdm location ipv6_addr / prefix if_name
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
asr-group
非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。この ID を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Active フェールオーバーがイネーブルである場合、ロードバランシングのために、発信接続のリターン トラフィックがピア装置上のアクティブなコンテキストを介してルーティングされることがあります。このピア装置上で、発信接続のコンテキストはスタンバイ グループ内にあります。
asr-group コマンドでは、着信インターフェイスによるフローが見つからない場合、同じ asr グループのインターフェイスで着信パケットが再分類されます。再分類により、別のインターフェイスによるフローが見つかり、関連付けられているコンテキストがスタンバイ状態である場合、パケットは処理のためにアクティブ装置に転送されます。
このコマンドを有効にするには、ステートフル フェールオーバーがイネーブルである必要があります。
ASR 統計情報を表示するには、 show interface detail コマンドを使用します。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれています。
例
次の例では、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てています。
関連コマンド
|
|
|
|---|---|
auth-cookie-name
認証クッキーの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで auth-cookie-name コマンドを使用します。これは HTTP Forms コマンドを使用した SSO です。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用してシングル サインオン認証要求を SSO サーバに送信します。認証が成功した場合、認証 Web サーバは、クライアント ブラウザに認証クッキーを返します。クライアント ブラウザは、その認証クッキーを提示することで、SSO ドメイン内の他の Web サーバに対して認証を行います。 auth-cookie-name コマンドは、セキュリティ アプライアンスによって SSO で使用される認証クッキーの名前を設定します。
一般的な認証クッキーの形式は、Set-Cookie: <クッキー名>=<クッキー値> [;<クッキー アトリビュート>]です。次の認証クッキーの例では、SMSESSION が auth-cookie-name コマンドで設定される名前です。
AAA サーバ ホスト コンフィギュレーション モードで入力された次の例では、example.com という名前の Web サーバから受信した認証クッキーの認証クッキー名として SMSESSION を指定しています。
関連コマンド
|
|
|
|---|---|
SSO 認証で使用される HTTP POST 要求の一部としてユーザ名パラメータが送信される必要があることを指定します。 |
authentication
WebVPN または電子メール プロキシの認証方式を設定するには、 authentication コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。デフォルトの AAA に戻すには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。
authentication { aaa | certificate | mailhost | piggyback }
シンタックスの説明
リモート メール サーバを介した認証。mailhost を設定できるのは SMTPS だけです。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。 |
|
HTTPS WebVPN セッションがすでに存在する必要があります。ピギーバック認証は、電子メール プロキシだけで使用できます。 |
デフォルト
次の表は、WebVPN および電子メール プロキシのデフォルトの認証方式を示しています。
|
|
|
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn モードでは廃止され、トンネル グループ webvpn アトリビュート モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート モードの同等のコマンドに変換されます。
WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。その場合、ユーザは証明書およびユーザ名とパスワードを提供する必要があります。
例
次の例は、WebVPN ユーザに対して認証のために証明書の提供を要求する方法を示しています。
hostname(config)# webvpn
authentication(暗号 isakmp ポリシー コンフィギュレーション モード)
IKE ポリシー内の認証方式を指定するには、暗号 isakmp ポリシー コンフィギュレーション モードで authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。
authentication { crack | pre-share | rsa-sig }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
isakmp policy authenticatio n コマンドが、 authentication コマンドに置き換えられました。 |
使用上のガイドライン
RSA シグニチャを指定する場合は、認証局(CA)から証明書を取得するようにセキュリティ アプライアンスとそのピアを設定する必要があります。事前共有キーを指定する場合は、セキュリティ アプライアンスとそのピアに、事前共有キーを別々に設定する必要があります。
例
次の例は、グローバル コンフィギュレーション モードで、 authentication コマンドを使用する方法を示しています。この例では、優先順位番号 40 の IKE ポリシーで RSA シグニチャの認証方式を使用するように設定します。
関連コマンド
|
|
|
|---|---|
authentication(トンネル グループ webvpn コンフィギュレーション モード)
トンネル グループの認証方式を指定するには、トンネル グループ webvpn コンフィギュレーション モードで authentication コマンドを使用します。
authentication aaa [ certificate ]
authentication certificate [ aaa ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードから、トンネル グループの webvpn アトリビュート コンフィギュレーション モードに移動しました。 |
使用上のガイドライン
認証方式は、少なくとも 1 つ必要です。AAA 認証、証明書認証、またはその両方を指定できます。これらは、どちらを先に指定してもかまいません。このコマンドを省略した場合、セキュリティ アプライアンスはデフォルトの認証方式である AAA を使用します。
WebVPN 証明書認証では、HTTPS ユーザ証明書を各インターフェイスに求める必要があります。つまり、この選択が機能するためには、証明書認証を指定する前に、 http authentication-certificate コマンドでインターフェイスを指定しておく必要があります。
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ webvpn アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、トンネル グループ webvpn コンフィギュレーション モードの authentication コマンドを示しています。トンネル グループ「test」のメンバーに対して、認証にユーザ名とパスワードを使用する必要があることを指定しています。
次の例は、 authentication コマンドを示しています。トンネル グループ「docs」のメンバーに対して、認証にデジタル証明書を使用する必要があることを指定しています。
関連コマンド
|
|
|
|---|---|
authentication eap-proxy
L2TP over IPSec 接続で EAP をイネーブルにし、セキュリティ アプライアンスの PPP の認証プロセスを外部の RADIUS 認証サーバに代理させるには、トンネル グループの ppp アトリビュート コンフィギュレーション モードで authentication eap-proxy コマンドを使用します。
コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次のコマンドは、config-ppp コンフィギュレーション モードで入力しています。この例では、pppremotegrp というトンネル グループの PPP 接続の EAP による認証を許可しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。 |
authentication ms-chap-v1
IPSec 接続を使用した L2TP において、PPP の Microsoft CHAP バージョン 1 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで
authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。
コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。
Microsoft CHAP バージョン 1 をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
関連コマンド
|
|
|
|---|---|
指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。 |
|
authentication ms-chap-v2
IPSec 接続を使用した L2TP において、PPP の Microsoft CHAP バージョン 2 認証をイネーブルにするには、トンネル グループ PPP アトリビュート コンフィギュレーション モードで
authentication ms-chap-v1 コマンドを使用します。このプロトコルは CHAP と類似していますが、CHAP のようにサーバがクリアテキスト パスワードを格納および比較するのではなく、暗号化されたパスワードのみを格納および比較するため、セキュリティが高くなります。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。
コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。
Microsoft CHAP バージョン 2 をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
関連コマンド
|
|
|
|---|---|
指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。 |
|
authentication pap
L2TP over IPSec 接続で PPP の PAP による認証を許可するには、トンネル グループの ppp アトリビュート コンフィギュレーション モードで authentication pap コマンドを使用します。このプロトコルは、認証中にクリアテキストのユーザ名とパスワードを渡すので安全ではありません。
コマンドをデフォルト設定(CHAP および MS-CHAP を許可)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次のコマンドは、config-ppp コンフィギュレーション モードで入力しています。この例では、pppremotegrps というトンネル グループの PPP 接続の PAP による認証を許可しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネル グループに関連付けます。 |
authentication-port
特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ ホスト モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、認証機能の割り当て先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定するものです。
シンタックスの説明
デフォルト
デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS 認証のデフォルト ポート番号(1645)が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとにサーバ ポートを指定できるようになりました。 |
使用上のガイドライン
RADIUS 認証サーバが 1645 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、セキュリティ アプライアンスに適切なポートを設定する必要があります。
例
次の例では、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。
aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 1.2.3.4
timeout 9
retry-interval 7
authentication-port 1650
exit
関連コマンド
authentication-server-group
ユーザの認証で使用する AAA サーバ グループを指定するには、トンネル グループ一般アトリビュート モードで authentication-server-group コマンドを使用します。このアトリビュートをデフォルトに戻すには、このコマンドの no 形式を使用します。
authentication-server-group [( interface_name )] server_group [ LOCAL | NONE ]
no authentication-server-group [( interface_name )] server_group
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート モードに移動しました。 |
使用上のガイドライン
認証サーバを設定するには、 aaa-server コマンドを使用します。サーバ グループ名の最大長は 16 文字です。
このコマンドを入力する前に、AAA サーバ グループを設定しておく必要があります。
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。すべてのタイプのトンネル グループに、このアトリビュートを適用できるようになりました。
例
次のコマンドは、config-general コンフィギュレーション モードで入力しています。この例では、「remotegrp」という IPSec リモートアクセス トンネル グループ用に「aaa-server456」という認証サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
authentication-server-group(webvpn)
WebVPN またはいずれかの電子メール プロキシで使用する認証サーバ グループを指定するには、 authentication-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。コンフィギュレーションから認証サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。
authentication-server-group group_tag
no authentication-server-group
シンタックスの説明
設定済みの認証サーバまたはサーバ グループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
AAA 認証を設定する場合は、このアトリビュートも設定する必要があります。設定しないと、認証が必ず失敗します。
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、「WEBVPNAUTH」という名前の認証サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、「IMAP4SSVRS」という名前の認証サーバ グループを使用するように IMAP4S 電子メール プロキシを設定する方法を示しています。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
authorization-dn-attributes(トンネル グループ一般アトリビュート モード)
サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで authorization-dn-attributes コマンドを使用します。これらのアトリビュートをデフォルト値に戻すには、このコマンドの no 形式を使用します。
authorization-dn-attributes { primary-attr [ secondary-attr ] | use-entire-name }
no authorization-dn-attributes
シンタックスの説明
(オプション)プライマリ アトリビュートが存在しない場合に、証明書から認可クエリー用の名前を生成するときに使用する追加のアトリビュートを指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
プライマリ アトリビュートとセカンダリ アトリビュートには、次のようなものがあります。
|
|
|
|---|---|
Country(国または地域):国または地域を示す 2 文字の短縮形。このコードは、ISO 3166 の国または地域の短縮形に準拠しています。 |
|
例
config-ipsec コンフィギュレーション モードに入る次の例では、「remotegrp」という名前のリモートアクセス トンネル グループ(ipsec_ra)を作成し、IPSec グループ アトリビュートを指定して、通常名が認可用のユーザ名として使用されるように定義しています。
関連コマンド
|
|
|
|---|---|
authorization-dn-attributes(webvpn)
認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定するには、 authorization-dn-attributes コマンドを使用します。
WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。このアトリビュートをコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。
authorization-dn-attributes { primary-attr } [ secondary-attr ] | use-entire-name}
no authorization-dn-attributes
シンタックスの説明
(オプション)デジタル証明書から認可クエリー用の名前を生成するときにプライマリ アトリビュートと共に使用する追加のアトリビュートを指定します。 |
|
セキュリティ アプライアンスがサブジェクト DN 全体を使用して、デジタル証明書から認可クエリー用の名前を生成するように指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
|
|
|
|---|---|
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、WebVPN ユーザが電子メール アドレス(プライマリ アトリビュート)および組織ユニット(セカンダリ アトリビュート)に基づいて認可されるように指定する方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
authorization-required(トンネル グループ一般アトリビュート モード)
ユーザが接続前に正常に認可されることを必須とするには、トンネル グループ一般アトリビュート コンフィギュレーション モードで authorization-required コマンドを使用します。このアトリビュートをデフォルトに戻すには、このコマンドの no 形式を使用します。
デフォルト
シンタックスの説明
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
グローバル コンフィギュレーション モードに入る次の例では、「remotegrp」という名前のリモートアクセス トンネル グループを介して接続するユーザが、完全な DN に基づく認可を受けることを必須としています。最初のコマンドでは、「remotegrp」という名前のリモート グループのトンネル グループ タイプを ipsec_ra(IPSec リモートアクセス)と設定しています。2 番目のコマンドで、指定したトンネル グループのトンネル グループ一般アトリビュート コンフィギュレーション モードに入り、最後のコマンドで、指定したトンネル グループで認可が必要となるように指定しています。
関連コマンド
|
|
|
|---|---|
authorization-required(webvpn)
WebVPN ユーザまたは電子メール プロキシ ユーザが接続前に正常に認可されることを必須とするには、 authorization-required コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、WebVPN ユーザが認可を受けることを必須とする方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定します。 |
authorization-server-group(トンネル グループ一般アトリビュート モード)
ユーザ認可で使用する AAA サーバ グループ(およびオプションでインターフェイス)を指定するには、トンネル グループ一般アトリビュート モードで authorization-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
authorization-server-group [( interface-id )] server_group
no authorization-server-group [( interface-id )]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。このコマンドは、すべてのトンネル グループ アトリビュート タイプに使用できるようになりました。 |
|
使用上のガイドライン
VPN 認可が LOCAL と定義されている場合は、デフォルト グループ ポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。
認可サーバ グループを設定するには aaa-server コマンドを使用し、設定済みの aaa サーバ グループにサーバを追加するには aaa-server-host コマンドを使用します。
例
config-general コンフィギュレーション モードに入る次の例では、「remotegrp」という名前の IPSec リモートアクセス トンネル グループに「aaa-server78」という名前の認可サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
authorization-server-group(webvpn)
WebVPN またはいずれかの電子メール プロキシで使用する認可サーバ グループを指定するには、 authorization-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは該当する電子メール プロキシ モードで使用します。コンフィギュレーションから認可サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、認可を使用して、ユーザがネットワーク リソースに対して許可されるアクセス レベルを確認します。
authorization-server-group group_tag
シンタックスの説明
設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに置き換えられました。 |
使用上のガイドライン
リリース 7.1(1) では、このコマンドを webvpn コンフィギュレーション モードで入力すると、トンネル グループ一般アトリビュート モードの同等のコマンドに変換されます。
例
次の例は、「WebVPNpermit」という名前の認可サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、「POP3Spermit」という名前の認可サーバ グループを使用するように POP3S 電子メール プロキシを設定する方法を示しています。
hostname(config)# pop3s
関連コマンド
|
|
|
|---|---|
auth-prompt
セキュリティ アプライアンスを介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。
auth-prompt prompt [ prompt | accept | reject ] string
no auth-prompt prompt [ prompt | accept | reject ]
シンタックスの説明
235 文字または 31 単語(どちらか最初に達した方)までの英数字で構成される文字列。特殊文字、スペース、および句読点を使用できます。文字列を終了するには、疑問符を入力するか、Enter キーを押します。疑問符は文字列に含まれます。 |
デフォルト
• FTP ユーザには FTP authentication が表示される。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auth-prompt コマンドを使用すると、TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要である場合に、セキュリティ アプライアンスを介した HTTP アクセス、FTP アクセス、および Telnet アクセスに対して表示される AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。
ユーザ認証が Telnet から発生する場合は、accept オプションと reject オプションを使用すると、認証試行が AAA サーバで受け入れられたか拒否されたかを示す異なるステータス プロンプトを表示できます。
AAA サーバがユーザを認証すると、セキュリティ アプライアンスはユーザに auth-prompt accept テキストを表示します(指定されている場合)。認証に失敗すると、reject テキストを表示します(指定されている場合)。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストだけが表示されます。accept テキストも reject テキストも表示されません。
(注) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Netscape Navigator では認証プロンプトに最大 120 文字、Telnet および FTP では最大 235 文字表示されます。
例
次の例では、認証プロンプトを「Please enter your username and password」という文字列に設定しています。
コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。
Telnet ユーザに対しては、セキュリティ アプライアンスが認証試行を受け入れたときに表示するメッセージと、拒否したときに表示するメッセージを別々に指定することもできます。次に例を示します。
次の例では、認証が成功したときの認証プロンプトを「You're OK.」という文字列に設定しています。
関連コマンド
|
|
|
auto-signon
WebVPN ユーザ ログイン クレデンシャルを内部サーバに自動的に渡すようにセキュリティ アプライアンスを設定するには、webvpn コンフィギュレーション モード、webvpn グループ コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードのいずれかのモードで auto-signon コマンドを使用します。認証方式は、NTLM(NTLMv1)認証、HTTP Basic 認証、またはその両方が可能です。特定のサーバに対する auto-signon をディセーブルにするには、このコマンドの no 形式を元の ip 、 uri 、および auth-type 引数と共に使用します。すべてのサーバに対する auto-signon をディセーブルにするには、このコマンドの no 形式を引数なしで指定します。
auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ntlm | all }
no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ntlm | all }]
シンタックスの説明
シンタックスの説明シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auto-signon コマンドは、WebVPN ユーザのためのシングル サインオン方式です。このコマンドは、WebVPN ログイン クレデンシャル(ユーザ名とパスワード)を NTLM 認証、HTTP Basic 認証、またはその両方を使用する認証用の内部サーバに渡します。複数の auto-signon コマンドを入力でき、その際にはコマンドは入力順序に従って(最初に入力したコマンドが先に)処理されます。
auto-signon 機能は、webvpn コンフィギュレーション モード、webvpn グループ コンフィギュレーション モード、または webvpn ユーザ名コンフィギュレーション モードの 3 つのモードで使用できます。一般的な優先動作は、ユーザ名がグループに優先する場合、およびグループがグローバルに優先する場合に適用されます。どのモードを選択するかは、必要な認証範囲によって異なります。次の表を参照してください。
|
|
|
|---|---|
例
次のコマンド例では、すべての WebVPN ユーザに対して、NTLM 認証を使用する auto-signon を設定しています。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。
次のコマンド例では、すべての WebVPN ユーザに対して、HTTP Basic 認証を使用する auto-signon を設定しています。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。
次のコマンド例では、WebVPN ユーザ ExamplePolicy グループに対して、HTTP Basic 認証または NTLM 認証を使用する auto-signon を設定しています。認証先のサーバは、URI マスク https://*.example.com/* で定義されています。
次のコマンド例では、Anyuser という名前のユーザに対して、HTTP Basic 認証を使用する auto-signon を設定しています。認証先のサーバの IP アドレスの範囲は、10.1.1.0 ~ 10.1.1.255 です。
関連コマンド
|
|
|
|---|---|
auto-summary
RIP の経路集約を再度イネーブルにするには、ルータ コンフィギュレーション モードで
auto-summary コマンドを使用します。RIP の経路集約をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
経路集約によって、ルーティング テーブル内のルーティング情報の量が少なくなります。
RIP バージョン 1 は、常に自動集約を使用します。RIP バージョン 1 の自動集約機能をディセーブルにすることはできません。
RIP バージョン 2 を使用している場合は、 no auto-summary コマンドを指定して、自動集約をオフにすることができます。接続が切断されているサブネット間でルーティングする必要がある場合は、自動集約をディセーブルにします。自動集約をディセーブルにすると、サブネットがアドバタイズされます。
例
関連コマンド
|
|
|
|---|---|
auto-update device-id
Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。
auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
シンタックスの説明
コマンド履歴
|
|
|
|---|---|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次の例では、デバイス ID をシリアル番号に設定しています。
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update poll-at
セキュリティ アプライアンスで Auto Update Server をポーリングする特定の日時を設定するには、グローバル コンフィギュレーション モードで auto-update poll-at コマンドを使用します。
auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]
no auto-update poll-at days-of-the-week time [ randomize minutes ] [ retry_count [ retry_period ]]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auto-update poll-at コマンドは、アップデートがあるかどうかを確認するためにポーリングするタイミングを指定します。 randomize オプションをイネーブルにすると、 time で指定した開始時刻以後、指定した時間(分単位)内の任意の時刻にポーリングされます。 auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。
例
次の例では、セキュリティ アプライアンスで毎週金曜日と土曜日の午後 10 時から 11 時の間、任意の時刻に Auto Update Server をポーリングするように設定しています。また、接続できなかった場合は、10 分間隔で 2 回再試行します。
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update poll-period
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。このパラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。
auto-update poll-period poll_period [ retry_count [ retry_period ]]
no auto-update poll-period poll_period [ retry_count [ retry_period ]]
シンタックスの説明
Auto Update Server をポーリングする頻度を分単位で指定します(1 ~ 35791)。デフォルトは 720 分(12 時間)です。 |
|
Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。 |
|
デフォルト
デフォルトのポーリング間隔は 720 分(12 時間)です。
Auto Update Server への最初の接続試行が失敗した後に再接続を試行する回数は、デフォルトでは 0 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auto-update poll-at コマンドと auto-update poll-period コマンドは、互いに排他的です。設定できるのは、いずれか一方だけです。
例
次の例では、ポーリング間隔を 360 分に、リトライ回数を 1 回に、リトライ間隔を 3 分に設定しています。
関連コマンド
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update server
Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティング システム、および ASDM のアップデートがないか調べます。
auto-update server url [ source interface ] [ verify-certificate ]
no auto-update server url [ source interface ] [ verify-certificate ]
シンタックスの説明
Auto Update Server の場所を、シンタックス |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
自動アップデート用に複数のサーバを設定できます。アップデートがあるかどうかをチェックするときは、まず 1 台目のサーバに接続しようとし、接続できなかった場合は、2 台目のサーバとの接続を試みます。この要領で、すべてのサーバとの接続が試みられます。どのサーバとも接続できないと、auto-update poll-period コマンドで再試行するように設定している場合は、最初のサーバに戻って再試行されます。
自動アップデート機能を正しく動作させるには、 boot system configuration コマンドを使用して、有効なブート イメージを指定する必要があります。同様に、ASDM ソフトウェア イメージを自動アップデートするには、 asdm image コマンドを使用する必要があります。
source interface 引数に指定したインターフェイスが、 management-access コマンドで指定したインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネル経由で送信されます。
例
次の例では、Auto Update Server の URL を設定し、インターフェイス outside を指定しています。
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update timeout
Auto Update Server へのアクセスに関するタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを使用します。このタイムアウト期間内に Auto Update Server にアクセスしないと、セキュリティ アプライアンスは、セキュリティ アプライアンスを通過するすべてのトラフィックを停止させます。タイムアウトを設定することで、セキュリティ アプライアンスのイメージとコンフィギュレーションを常に最新の状態に保つことができます。タイムアウトを削除するには、このコマンドの no 形式を使用します。
no auto-update timeout [ period ]
シンタックスの説明
タイムアウト期間を分単位で指定します(1 ~ 35791)。デフォルトは 0 で、タイムアウトはありません。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
フィードバック