- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- urgent-flag
- uri-non-sip
- url
- url-block
- url-cache
- url-list
- url-list(webvpn)
- url-server
- user-authentication
- user-authentication-idle-timeout
- username
- username attributes
- username-prompt
- user-parameter
- validate-attribute
- verify
- version
- virtual http
- virtual telnet
- vlan
- vpdn group
- vpdn username
- vpn-access-hours
- vpn-addr-assign
- vpn-filter
- vpn-framed-ip-address
- vpn-framed-ip-netmask
- vpn-group-policy
- vpn-idle-timeout
- vpn load-balancing
- vpn-nac-exempt
- vpn-sessiondb logoff
- vpn-sessiondb max-session-limit
- vpn-sessiondb max-webvpn-session-limit
- vpn-session-timeout
- vpn-simultaneous-logins
- vpn-tunnel-protocol
- vpnclient connect
- vpnclient disconnect
- vpnclient enable
- vpnclient ipsec-over-tcp
- vpnclient mac-exempt
- vpnclient management
- vpnclient mode
- vpnclient nem-st-autoconnect
- vpnclient server-certificate
- vpnclient server
- vpnclient trustpoint
- vpnclient username
- vpnclient vpngroup
- wccp
- wccp redirect
- web-agent-url
- web-applications
- web-bookmarks
- webvpn(グループ ポリシー モードおよびユーザ名モード)
- who
- window-variation
- wins-server
- write erase
- write memory
- write net
- write standby
- write terminal
- zonelabs-integrity fail-close
- zonelabs-integrity fail-open
- zonelabs-integrity fail-timeout
- zonelabs-integrity interface
- zonelabs-integrity port
- zonelabs-integrity server-address
- zonelabs-integrity ssl-certificate-port
- zonelabs-integrity ssl-client-authentication
urgent-flag コマンド~ zonelabs integrity ssl-client-authentication
コマンド
urgent-flag
TCP ノーマライザを通して URG ポインタを許可または消去するには、tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no urgent-flag {allow | clear}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用して、緊急フラグを許可します。
URG フラグは、ストリーム内の他のデータよりも高い優先順位の情報を含むパケットを示すために使用されます。TCP RFC は、URG フラグの正確な解釈を明確化していません。したがって、エンド システムは緊急オフセットをさまざまな方法で処理します。このため、エンド システムが攻撃を受け易くなります。デフォルトの動作は、URG フラグとオフセットを消去します。
例
関連コマンド
|
|
|
|---|---|
uri-non-sip
Alert-Info ヘッダー フィールドと Call-Info ヘッダー フィールドにある SIP 以外の URI を識別するには、パラメータ コンフィギュレーション モードで uri-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
uri-non-sip action {mask | log} [log}
no uri-non-sip action {mask | log} [log}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、SIP 検査ポリシー マップの Alert-Info ヘッダー フィールドと Call-Info ヘッダー フィールドにある SIP 以外の URI を識別する方法を示します。
関連コマンド
|
|
|
|---|---|
url
CRL を検索するためのスタティック URL のリストを維持するには、crl 設定コンフィギュレーション モードで url コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。既存の URL を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
リスト内の各 URL のランクを決定する 1 ~ 5 の値を指定します。セキュリティ アプライアンスは、インデックス 1 から URL を試行します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
既存の URL は上書きできません。既存の URL を置き換えるには、まずそれを削除して、このコマンドの no 形式を使用します。
例
次の例では、ca-crl コンフィギュレーション モードに入り、CRL 検索用の URL のリストを作成し、維持するためにインデックス 3 を設定して、CRL の検索元となる URL https://foobin.com を設定します。
関連コマンド
|
|
|
|---|---|
url-block
フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答に使用される URL バッファを管理するには、 url-block コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
no url-block block block_buffer
url-block mempool-size memory_pool_size
no url-block mempool-size memory_pool_size
url-block url-size long_url_size
no url-block url-size long_url_size
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Websense フィルタリング サーバの場合、url-block url-size コマンドを使用すると、最大 4 KB の長さの URL のフィルタリングが可能です。Secure Computing の場合は、url-block url-size コマンドを使用して最大 3 KB の長さの URL をフィルタリングできます。Websense フィルタリング サーバおよび N2H2 フィルタリング サーバの両方の場合、url-block block コマンドは、URL フィルタリング サーバからの応答を待つ間の Web クライアント要求に応じて Web サーバから受信したパケットをセキュリティ アプライアンスにバッファします。この処理により、デフォルトのセキュリティ アプライアンスの動作と比較して、Web クライアントのパフォーマンスが改善されます。デフォルトの動作はパケットをドロップし、接続が許可された場合は Web サーバにパケットの再転送を要求します。
url-block block コマンドを使用し、フィルタリング サーバが接続を許可した場合、セキュリティ アプライアンスは、HTTP 応答バッファから Web クライアントにブロックを送信して、バッファからブロックを削除します。フィルタリング サーバが接続を拒否した場合、セキュリティ アプライアンスは拒否メッセージを Web クライアントに送信して、HTTP 応答バッファからブロックを削除します。
url-block block コマンドを使用して、フィルタリング サーバからフィルタリングの決定を待っている間に Web サーバの応答のバッファリングに使用するブロックの数を指定します。
url-block url-mempool-size コマンドと共に url-block url-size コマンドを使用して、フィルタリングする URL の最大長と、URL のバッファに割り当てる最大メモリを指定します。これらのコマンドを使用して、1,159 バイトより長く 4,096 バイト以下の URL を Websense サーバまたは Secure Computing サーバに渡します。 url-block url-size コマンドは、1,159 バイトより長い URL をバッファに保存した後、その URL を Websense サーバまたは Secure Computing サーバに渡します(TCP パケット ストリームを使用して)。その結果、サーバがその URL へのアクセスを許可または拒否できます。
例
次の例では、1,550 バイトのブロックを 56 個、URL フィルタリング サーバからの応答のバッファリングに割り当てます。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
url-cache
N2H2 サーバまたは Websense サーバから受信した URL 応答の URL キャッシングをイネーブルにして、キャッシュのサイズを設定するには、グローバル コンフィギュレーション モードで url-cache コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
url-cache { dst | src_dst } kbytes [kb]
no url-cache { dst | src_dst } kbytes [kb]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
url-cache コマンドには、URL サーバから応答をキャッシュするコンフィギュレーション オプションが用意されています。
url-cache コマンドは、URL キャッシュをイネーブルにし、キャッシュ サイズを設定し、キャッシュの統計情報を表示する場合に使用します。
キャッシュによって URL アクセス特権が、セキュリティ アプライアンス上のメモリに保存されます。ホストが接続を要求すると、セキュリティ アプライアンスは要求を N2H2 または Websense サーバに転送するのではなく、まず一致するアクセス特権を URL キャッシュ内で探します。キャッシュをディセーブルにするには、 no url-cache コマンドを使用します。
(注) N2H2 サーバまたは Websense サーバで設定を変更した場合は、no url-cache コマンドでキャッシュをディセーブルにした後、url-cache コマンドで再度イネーブルにします。
URL キャッシュを使用しても、Websense プロトコル Version 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル Version 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティの要求に合致する使用状況プロファイルを取得した後、 url-cache をイネーブルにしてスループットを向上させます。Websense プロトコル Version 4 および N2H2 URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログがアップデートされます。
例
次の例では、送信元アドレスと宛先アドレスに基づいて、すべての発信 HTTP 接続をキャッシュします。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。 |
|
url-list
WebVPN ユーザがアクセスする URL のセットを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。複数の URL でリストを設定するには、各 URL に対して 1 回、同じリスト名でこのコマンドを複数回使用します。設定済みリスト全体を削除するには、 no url-list listname コマンドを使用します。設定済みの URL を削除するには、 no url-list listname url コマンドを使用します。
複数のリストを設定するには、このコマンドを複数回使用して、各リストに固有の listname を割り当てます。
url-list { listname displayname url }
シンタックスの説明
WebVPN エンド ユーザ インターフェイスに表示されるテキストを入力して、URL を識別します。最大 64 文字です。リストごとに固有の名前でなければなりません。スペースを使用できます。 |
|
WebVPN ユーザがアクセスできる URL のセットをグループ化します。最大 64 文字です。最大 64 文字です。セミコロン(;)、アンパサンド(&)、小なり(<)記号は使用できません。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードで url-list コマンドを使用して、URL のリストを 1 つ以上作成します。特定のグループ ポリシーまたはユーザがリスト内の URL にアクセスできるようにするには、WebVPN モードで、ここで作成した listname を url-list コマンドと共に使用します。
例
次の例は、www.cisco.com、www.example.com、および www.example.org にアクセスする Marketing URLs という URL リストを作成する方法を示しています。次の表に、各 URL の設定で使用する値を示します。
|
|
|
|
hostname(config)# url-list Marketing URLs Cisco Systems http://www.cisco.com
hostname(config)# url-list Marketing URLs Example Company, Inc. http://www.example.com
hostname(config)# url-list Marketing URLs Example Organization http://www.example.org
関連コマンド
url-list(webvpn)
WebVPN サーバのリストと URL を特定のユーザまたはグループ ポリシーに適用するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで url-list コマンドを使用します。 url-list none コマンドを使用して作成したヌル値を含むリストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを使用します。コマンドを 2 回使用すると、先行する設定値が上書きされます。
url-list { value name | none } [ index ]
シンタックスの説明
URL リストにヌル値を設定します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーからリストを継承しないようにします。 |
|
URL の設定済みリストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンドを 2 回使用すると、先行する設定値が上書きされます。
WebVPN モードで url-list コマンドを使用して、ユーザまたはグループ ポリシー用の WebVPN ホームページに表示する URL リストを識別する前に、リストを作成する必要があります。グローバル コンフィギュレーション モードで url-list コマンドを使用して、1 つ以上のリストを作成します。
例
次の例では、FirstGroupURLs という URL リストを FirstGroup というグループ ポリシーに適用し、このリストを 1 番目の URL リストに指定しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
url-server
filter コマンドで使用する N2H2 または Websense サーバを指定するには、グローバル コンフィギュレーション モードで url-server コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
url-server [< ( if_name )>] vendor {smartfilter | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]
no url-server [< ( if_name )>] vendor {smartfilter | n2h2} host <local_ip> [port <number>] [timeout <seconds>] [protocol {TCP [connections <number>]} | UDP]
url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP | connections num_conns ] | version ]
no url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ] | version ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
url-server コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。ただし、URL サーバ数の上限は、シングル コンテキスト モードでは 16、マルチ コンテキスト モードですが、一度に使用できるアプリケーションは、N2H2 または Websense のどちらか 1 つだけです。さらに、セキュリティ アプライアンス上でコンフィギュレーションを変更しても、アプリケーション サーバ上のコンフィギュレーションはアップデートされないため、ベンダーの指示に従って別途アップデートする必要があります。
HTTPS および FTP に対して filter コマンドを実行するには、事前に url-server コマンドを設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連する filter コマンドもすべて削除されます。
サーバを指示した後、 filter url コマンドを使用して、URL フィルタリング サービスをイネーブルにします。
サーバの統計情報(到達できないサーバも含む)を表示するには、 show url-server statistics コマンドを使用します。
ステップ 1
ベンダー固有の url-server コマンドを適切な形式で使用して、URL フィルタリング アプリケーション サーバを指示します。
ステップ 2 filter コマンドで、URL フィルタリングをイネーブルにします。
ステップ 3 (オプション) url-cache コマンドを使用して、URL キャッシュをイネーブルにし、認識される応答時間を改善します。
ステップ 4 (オプション) url-block コマンドを使用して、長い URL および HTTP のバッファリングのサポートをイネーブルにします。
ステップ 5 show url-block block statistics 、 show url-cache statistics 、または show url-server statistics の各コマンドを使用して、実行情報を表示します。
N2H2 によるフィルタリングの詳細については、次の N2H2 の Web サイトを参照してください。
Websense フィルタリングの詳細については、次の Web サイトを参照してください。
例
次の例では、N2H2 を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。
次の例では、Websense を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバから受信した URL 応答に使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
user-authentication
ユーザ認証をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで user-authentication enable コマンドを使用します。ユーザ認証をディセーブルにするには、 user-authentication disable コマンドを使用します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、ユーザ認証の値を別のグループ ポリシーから継承できます。
イネーブルの場合、ユーザ認証ではハードウェア クライアントの背後にいる個々のユーザが、トンネルを越えてネットワークへのアクセスを取得するように認証する必要があります。
user-authentication { enable | disable }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プライマリ セキュリティ アプライアンスでのユーザ認証が必要な場合は、バックアップ サーバでも同様に設定されていることを確認します。
例
次の例は、「FirstGroup」というグループ ポリシーのユーザ認証をイネーブルにする方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable
関連コマンド
user-authentication-idle-timeout
ハードウェア クライアントの背後にいる個々のユーザに対してアイドル タイムアウトを設定するには、グループ ポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを使用します。アイドル タイムアウト値を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、アイドル タイムアウト値を別のグループ ポリシーから継承できます。アイドル タイムアウト値を継承しないようにするには、 user-authentication-idle-timeout none コマンドを使用します。
アイドル タイムアウト期間中にハードウェア クライアントの背後にいるユーザによる通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。
user-authentication-idle-timeout { minutes | none }
no user-authentication-idle-timeout
シンタックスの説明
無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーからユーザ認証のアイドル タイムアウト値を継承しないようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、「FirstGroup」というグループ ポリシーに 45 分のアイドル タイムアウト値を設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45
関連コマンド
|
|
|
|---|---|
ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
username
セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、削除するユーザ名で、このコマンドの no 形式を使用します。すべてのユーザ名を削除するには、ユーザ名を付加せずに、このコマンドの no 形式を使用します。
username name { nopassword | password password [ mschap | encrypted | nt-encrypted ]} [ privilege priv_level ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
login コマンドを入力したときに、このデータベースが認証用に使われます。
CLI にアクセスできるユーザや特権 EXEC モードに入れないユーザをローカル データベースに追加する場合は、コマンド認可を設定する必要があります( aaa authorization command コマンドを参照)。コマンド認可を設定しないと、ユーザの特権レベルが 2(デフォルト)以上であれば、CLI で自分のパスワードを使って特権 EXEC モード(およびすべてのコマンド)にアクセスできるようになります。または、AAA 認証を使用して、ユーザが login コマンドを使えないようにするか、全ローカル ユーザの特権レベルを 1 に設定して、どのユーザが enable パスワードで特権 EXEC モードにアクセスできるかを制御します。
デフォルトでは、このコマンドを使用して追加した VPN ユーザには、アトリビュートまたはグループ ポリシーのアソシエーションはありません。 username attributes コマンドを使用して、すべての値を明示的に設定する必要があります。
例
次の例では、12345678 というパスワードと、特権レベル 12 を持つ anyuser というユーザを設定する方法を示します。
hostname(config)# username anyuser password 12345678 privilege 12
関連コマンド
|
|
|
|---|---|
config-group-webvpn モードに入ります。このモードで、指定したグループに対する WebVPN アトリビュートを設定できます。 |
username attributes
ユーザ名アトリビュート モードに入るには、ユーザ名コンフィギュレーション モードで username attributes コマンドを使用します。特定のユーザのすべてのアトリビュートを削除するには、このコマンドの no 形式を使用して、ユーザ名を付加します。すべてのユーザのアトリビュートを削除するには、ユーザ名を付加せずに、このコマンドの no 形式を使用します。アトリビュート モードを使用すると、指定したユーザに対してアトリビュート値ペアを設定できます。
no username [ name ] attributes
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。ユーザ名アトリビュートは、 username コマンドまたは username attributes コマンドのいずれかを使用して設定します。
ユーザ名コンフィギュレーション モードのコマンドのシンタックスには、共通する次の特性があります。
• no 形式は、実行コンフィギュレーションからアトリビュートを削除します。
• none キーワードも、実行コンフィギュレーションからアトリビュートを削除します。ただし、アトリビュートにヌル値を設定することにより削除され、継承しないようにします。
• ブール アトリビュートには、イネーブルまたはディセーブルになっている設定のための明示的なシンタックスがあります。
username attributes コマンドでユーザ名コンフィギュレーション モードに入ると、次のアトリビュートを設定できます。
|
|
|
|---|---|
ユーザ名に対する webvpn モード アトリビュートは、ユーザ名の webvpn コンフィギュレーション モードで username attributes コマンドを入力してから webvpn コマンドを入力して設定します。詳細については、 webvpn コマンド(グループ ポリシー アトリビュートおよびユーザ名アトリビュート モード)の説明を参照してください。
例
次の例では、「anyuser」という名前のユーザのユーザ名アトリビュート コンフィギュレーション モードに入る方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)#
関連コマンド
|
|
|
|---|---|
指定されたグループの WebVPN アトリビュートを設定するユーザ名の webvpn コンフィギュレーション モードに入ります。 |
username-prompt
WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページ ログイン ボックスのユーザ名プロンプトをカスタマイズするには、webvpn カスタマイゼーション モードで username-prompt コマンドを使用します。
username-prompt { text | style } value
[ no ] username-prompt { text | style } value
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
ユーザ名プロンプトのデフォルトのテキストは「USERNAME」です。
ユーザ名プロンプトのデフォルトのスタイルは color:black;font-weight:bold;text-align:right です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。
例
次の例では、テキストを「Corporate Username:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更しています。
関連コマンド
|
|
|
user-parameter
SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定するには、AAA サーバ ホスト コンフィギュレーション モードで user-parameter コマンドを使用します。これは HTTP Forms コマンドを使用した SSO です。
(注) HTTP プロトコルで SSO を適切に設定するには、認証と HTTP プロトコル交換についての十分な実用知識が必要です。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、シングル サインオン認証要求を SSO サーバに送信します。要求されたコマンド user-parameter は、この HTTP POST 要求が SSO 認証用のユーザ名パラメータを含める必要があることを指定します。
(注) ログイン時に、ユーザは実際の名前の値を入力します。この値は HTTP POST 要求に入力されて、認証 web サーバに渡されます。
例
AAA サーバ ホスト コンフィギュレーション モードで入力された次の例では、ユーザ名パラメータの userid が SSO 認証で使用される HTTP POST 要求に含まれることを指定します。
関連コマンド
|
|
|
|---|---|
validate-attribute
RADIUS アカウンティングを使用する際に RADIUS アトリビュートを検証するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで、 validate attribute コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。
このオプションは、デフォルトではディセーブルになっています。
validate-attribute [ attribute_number ]
no validate-attribute [ attribute_number ]
シンタックスの説明
RADIUS アカウンティングで検証する RADIUS アトリビュート。有効な範囲は 1 ~ 191 です。ベンダー固有のアトリビュートはサポートされていません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを設定すると、セキュリティ アプライアンスでは、Framed IP アトリビュートに加えて RADIUS アトリビュートも照合します。このコマンドは、インスタンスを複数設定することができます。
例
次の例では、ユーザ名 RADIUS アトリビュートの RADIUS アカウンティングをイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
verify
ファイルのチェックサムを検証するには、特権 EXEC モードで verify コマンドを使用します。
verify /md5 path [ md5-value ]
シンタックスの説明
デフォルト
現在のフラッシュ デバイスが、デフォルトのファイル システムです。
(注) /md5 オプションを指定する場合に、ftp、http、tftp などのネットワークのファイルをソースとして指定できます。/md5 オプションを指定せずに verify コマンドを使用すると、フラッシュ メモリにあるローカル イメージしか検証できません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
verify コマンドを使用して、ファイルを使う前にそのチェックサムを検証します。
ディスクで配布されるソフトウェア イメージごとに、イメージ全体用のチェックサムが 1 つあります。このチェックサムは、イメージをフラッシュ メモリにコピーした場合にだけ表示されます。あるディスクから別のディスクにコピーした場合には表示されません。
新しいイメージをロードまたは複製する前に、そのチェックサムと MD5 情報を記録しておき、イメージをフラッシュ メモリやサーバにコピーしたときにチェックサムを検証できるようにしてください。Cisco.com には、イメージのさまざまな情報が掲載されています。
フラッシュ メモリの内容を表示する場合は、 show flash コマンドを使用します。表示される内容に、個々のファイルのチェックサムは含まれていません。イメージをフラッシュ メモリにコピーした後で、そのチェックサムを再度計算して検証するには、 verify コマンドを使用します。ただし、 verify コマンドは、ファイルがファイル システムに保存されている場合にのみ、整合性のチェックを行うことに注意してください。そのため、壊れたイメージがセキュリティ アプライアンスに転送され、検出されずにファイル システムに保存されている可能性があります。セキュリティ アプライアンスに壊れたイメージが転送された場合、ソフトウェアは、イメージが壊れていることを検出できず、ファイルの検証が問題なく完了します。
Message Digest 5(MD5)ハッシュ アルゴリズムを使ってファイルを検証する場合は、 verify コマンドと共に /md5 オプションを使用します。MD5(RFC 1321 で規定)は、128 ビットの固有のメッセージ ダイジェストを作成してデータの整合性を検証するアルゴリズムです。 verify コマンドの /md5 オプションは、セキュリティ アプライアンスのソフトウェア イメージの MD5 チェックサムの値を、その既知の MD5 チェックサム値と比較することにより、イメージの整合性を確認します。Cisco.com では、ローカル システム イメージ値との比較用に、すべてのセキュリティ アプライアンスのソフトウェア イメージの MD5 値を取得できます。
MD5 による整合性の確認を行うには、 /md5 キーワードを使用して verify コマンドを発行します。たとえば、 verify /md5 flash:cdisk.bin コマンドを発行すると、ソフトウェア イメージの MD5 値が計算されて表示されます。この値を、Cisco.com で入手できるこのイメージの値と比較します。
または、先に Cisco.com から MD5 値を取得しておき、その値をコマンドのシンタックスで指定できます。たとえば、 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 コマンドを発行すると、MD5 値が一致するかどうかを示すメッセージが表示されます。MD5 値が一致しないというのは、イメージが壊れているか、入力された MD5 値が間違っているという意味です。
例
次の例では、cdisk.bin というイメージ ファイルを検証します。ただし、わかりやすいように、テキストの一部が省略されています。
関連コマンド
|
|
|
|---|---|
version
セキュリティ アプライアンスでグローバルに使用する RIP のバージョンを指定するには、ルータ コンフィギュレーション モードで version コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
セキュリティ アプライアンスは、バージョン 1 と 2 の両方のパケットを受け取れますが、バージョン 1 のパケットしか送信しません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドと rip receive version コマンドを指定します。
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用することで、RIP アップデートを認証できます。
例
次の例では、すべてのインターフェイスで RIP バージョン 2 のパケットを送受信するようにセキュリティ アプライアンスを設定します。
関連コマンド
|
|
|
|---|---|
virtual http
仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。
virtual http ip_address [ warning ]
no virtual http ip_address [ warning ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
セキュリティ アプライアンスで HTTP 認証を使用する場合( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、セキュリティ アプライアンスではデフォルトで基本 HTTP 認証が使用されます。セキュリティ アプライアンスが Web ページ( aaa authentication listener コマンドに redirect キーワードを指定してセキュリティ アプライアンス自身によって生成された Web ページ)に HTTP 接続をリダイレクトするように、認証方式を変更できます。
ただし、基本 HTTP 認証を使用し続ける場合、HTTP 認証をカスケードするときに virtual http コマンドが必要になることがあります。
セキュリティ アプライアンスに加えて宛先 HTTP サーバでも認証が必要な場合、 virtual http コマンドを使用すると、セキュリティ アプライアンス(AAA サーバ経由)と宛先 HTTP サーバで別々に認証することができます。仮想 HTTP を使用しない場合は、セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。AAA サーバおよび HTTP サーバのユーザ名およびパスワードが同じでない場合、HTTP 認証は失敗します。
このコマンドは、セキュリティ アプライアンス上の仮想 HTTP サーバへの AAA 認証を必要とするすべての HTTP 接続をリダイレクトします。セキュリティ アプライアンスは、AAA サーバのユーザ名およびパスワードを要求します。AAA サーバがユーザを認証すると、セキュリティ アプライアンスは HTTP 接続を元のサーバにリダイレクトしますが、AAA サーバのユーザ名およびパスワードは含まれません。HTTP パケットにユーザ名およびパスワードが含まれていないため、HTTP サーバは個々のユーザに HTTP サーバのユーザ名およびパスワードを要求します。
(注) virtual http コマンドを使用する場合は、timeout uauth コマンドの継続時間を 0 秒に設定しないでください。このように設定すると、実際の Web サーバへの HTTP 接続ができなくなります。
例
次の例は、AAA 認証と共に仮想 HTTP 認証をイネーブルにする方法を示しています。
関連コマンド
|
|
|
virtual http コマンドをイネーブルにすると、ブラウザ キャッシュにあるユーザ名およびパスワードを使用して仮想サーバに再接続できます。 |
|
セキュリティ アプライアンス上に仮想 Telnet サーバを設定することで、認証が必要な他のタイプの接続を開始する前にセキュリティ アプライアンスでユーザを認証できるようにします。 |
virtual telnet
セキュリティ アプライアンスで仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。セキュリティ アプライアンスで認証プロンプトが表示されない別のタイプのトラフィックを認証する必要がある場合は、仮想 Telnet サーバでユーザを認証しなければならないことがあります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
任意のプロトコルまたはサービス( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)に対してネットワーク アクセス認証を設定できますが、直接 HTTP、Telnet、または FTP だけで認証することもできます。ユーザは認証を必要とする別のトラフィックが許可される前に、これらのサービスの 1 つで先に認証する必要があります。セキュリティ アプライアンスを通して HTTP、Telnet、または FTP を許可せずに、別のタイプのトラフィックを認証する場合は、セキュリティ アプライアンスで設定された所定の IP アドレスにユーザが Telnet 接続し、セキュリティ アプライアンスが Telnet プロンプトを表示するように、仮想 Telnet を設定できます。
権限のないユーザが仮想 Telnet IP アドレスに接続したとき、ユーザ名とパスワードが要求され、AAA サーバによって認証されます。認証されると、「Authentication Successful.」というメッセージが表示されます。その後、ユーザは認証を必要とするその他のサービスに正常にアクセスできるようになります。
例
次の例では、他のサービスに対する AAA 認証と共に仮想 Telnet をイネーブルにする方法を示します。
関連コマンド
vlan
VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスには、トラフィックを渡す VLAN ID が必要です。VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス(たとえば複数のセキュリティ コンテキスト)にトラフィックを別に保存できます。
シンタックスの説明
1 ~ 4094 の整数を指定します。一部の VLAN ID には、接続されたスイッチで予約されているものもあります。詳細については、スイッチのマニュアルを参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
1 つの VLAN だけを、物理インターフェイスではなく、サブインターフェイスに割り当てることができます。各サブインターフェイスは、トラフィックを通過する前に VLAN ID を持つ必要があります。VLAN ID を変更するには、 no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を使用して vlan コマンドを入力すると、セキュリティ アプライアンスは古い ID を変更します。
サブインターフェイスをイネーブルにするために、 no shutdown コマンドで物理インターフェイスをイネーブルにする必要があります。サブインターフェイスをイネーブルにする場合、物理インターフェイスはタグの付かないパケットを通過させるため、一般的には物理インターフェイスがトラフィックを通過させないようにします。したがって、インターフェイスを停止することで物理インターフェイスを介してトラフィックが通過しないようにすることはできません。代わりに、 nameif コマンドを省略することで、物理インターフェイスがトラフィックを通過させないことを確認します。物理インターフェイスがタグの付かないパケットを通過させるようにする場合は、通常通り nameif コマンドを設定できます。
サブインターフェイスの最大数は、プラットフォームによって変わります。プラットフォームごとのサブインターフェイスの最大数については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
例
次の例では、サブインターフェイスに VLAN 101 を割り当てます。
関連コマンド
|
|
|
|---|---|
vpdn group
VPDN グループを作成または編集し、PPPoE クライアントを設定するには、グローバル コンフィギュレーション モードで vpdn group コマンドを使用します。グループ ポリシーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpdn group group_name { localname username | request dialout pppoe | ppp authentication { chap | mschap | pap }}
no vpdn group group_name { localname name | request dialout pppoe | ppp authentication { chap | mschap | pap }}
(注) PPPoE は、セキュリティ アプライアンスでフェールオーバーを設定している場合、およびマルチ コンテキスト モードや透過モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングルモードかつルーテッド モードの場合のみです。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Virtual Private Dial-up Networking(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)は、遠く離れたダイヤルイン ユーザとプライベート ネットワークを結ぶときに使用するポイントツーポイント接続です。セキュリティ アプライアンスの VDPN は、レイヤ 2 トンネリング技術である PPPoE を使用して、リモート ユーザがパブリック ネットワークを経由してプライベート ネットワークにダイヤルアップ接続できるようにします。
PPPoE とは、Point-to-Point Protocol(PPP)over Ethernet の略です。PPP は、IP、IPX、ARA などのネットワーク レイヤ プロトコルと併用できるように設計されています。また、CHAP と PAP がセキュリティ メカニズムとして組み込まれています。
PPPoE 接続のセッション情報を表示するには、 show vpdn session pppoe コマンドを使用します。 clear configure vpdn group コマンドは、コンフィギュレーションからすべての vpdn group コマンドを削除して、アクティブな L2TP トンネルと PPPoE トンネルを停止します。 clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。
PPPoE は、PPP をカプセル化するので、PPP が認証を行うことと、VPN トンネル内で動作するクライアントのセッションで ECP と CCP が機能することが必要です。また、PPPoE では、PPP によって IP アドレスが割り当てられるので、DHCP を使用することはできません。
(注) PPPoE 用の VPDN グループを設定しないと、PPPoE では接続を確立できません。
PPPoE 用の VPDN グループを定義するには、まず vpdn group group_name request dialout pppoe コマンドを使用します。次に、インターフェイス コンフィギュレーション モードで pppoe client vpdn group コマンドを使用して、VPDN グループを特定のインターフェイスの PPPoE クライアントに関連付けます。
利用している ISP が認証を必要とする場合は、 vpdn group group_name ppp authentication { chap | mschap | pap } コマンドで、ISP で使用されている認証プロトコルを選択します。
ISP が割り当てたユーザ名を VPDN グループと関連付けるには、 vpdn group group_name localname username コマンドを使用します。
PPPoE 接続用のユーザ名とパスワードのペアを作成するには、 vpdn username username password password コマンドを使用します。PPPoE 用に設定した VPDN グループのユーザ名と同じものを指定してください。
(注) ISP が CHAP または MS-CHAP を使用している場合は、ユーザ名のことをリモート システム名、パスワードのことを CHAP シークレットということがあります。
PPPoE クライアントの機能は、デフォルトでオフになっています。そのため、VPDN を設定したら、 ip address if_name pppoe [ setroute ] コマンドで、PPPoE をイネーブルにしてください。setroute オプションは、デフォルトのルートがない場合に、デフォルト ルートを作成します。
PPPoE を設定するとすぐに、セキュリティ アプライアンスが、通信する PPPoE アクセス コンセントレータを探します。PPPoE 接続が正常、異常を問わず切断されると、セキュリティ アプライアンスは、通信する新しいアクセス コンセントレータを見つけようとします。
いったん PPPoE セッションを開始したら、次の ip address コマンドは使用しないでください。使用すると、PPPoE セッションが終了されます。
• ip address outside pppoe :新しい PPPoE セッションを開始しようとします。
• ip address outside dhcp :インターフェイスが DHCP コンフィギュレーションを取得するまでディセーブルになります。
• ip address outside address netmask :インターフェイスを、通常どおり初期化されたインターフェイスとして起動します。
例
次の例では、 telecommuters という VPDN グループを作成し、PPPoE クライアントを設定します。
関連コマンド
|
|
|
|---|---|
vpdn username
PPPoE 接続用のユーザ名とパスワードのペアを作成するには、グローバル コンフィギュレーション モードで vpdn username コマンドを使用します。
vpdn username username password password [ store-local ]
no vpdn username username password password [ store-local ]
(注) PPPoE は、セキュリティ アプライアンスでフェールオーバーを設定している場合、およびマルチ コンテキスト モードや透過モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングルモードかつルーテッド モードの場合のみです。
シンタックスの説明
ユーザ名とパスワードをセキュリティ アプライアンスの NVRAM の特別な場所に保存します。Auto Update Server がセキュリティ アプライアンスにコンフィギュレーションを消去するコマンドを送信した後で接続が中断した場合に、セキュリティ アプライアンスが NVRAM のこの場所からユーザ名とパスワードを読み取って、アクセス コンセントレータとの認証をやり直します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPDN のユーザ名は、 vpdn group group_name localname username コマンドで指定した VPDN グループのユーザ名と同じでなければなりません。
clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。
例
次の例では、 bob_smith というユーザ名と telecommuter 9/8 というパスワードを作成します。
関連コマンド
|
|
|
|---|---|
vpn-access-hours
設定済みの時間範囲ポリシーをグループ ポリシーに関連付けるには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、時間範囲値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを使用します。
vpn-access hours value { time-range } | none
シンタックスの説明
VPN アクセス時間にヌル値を設定することで、時間範囲ポリシーを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、824 と呼ばれる時間範囲ポリシーに FirstGroup という名前のグループ ポリシーを関連付ける方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours 824
関連コマンド
|
|
|
|---|---|
vpn-addr-assign
IP アドレスをリモートアクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。設定されている Vpn アドレスの割り当て方法をセキュリティ アプライアンスからすべて削除するには、引数なしで、このコマンドの no 形式を使用します。
vpn-addr-assign { aaa | dhcp | local }
no vpn-addr-assign [ aaa | dhcp | local ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスの範囲を定義する必要があります。
ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。 vpn-framed-ip-address コマンドおよび vpn-framed-netmask コマンドを使用して、個々のユーザに IP アドレスとネットマスクを割り当てます。
例
次の例では、アドレスの割り当て方法として DHCP を設定する方法を示します。
hostname(config)# vpn-addr-assign dhcp
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンス DHCP サーバがグループ ポリシーのユーザにアドレスを割り当てるときに使用する必要がある IP アドレスの範囲を指定します。 |
|
vpn-filter
VPN 接続に使用する ACL の名前を指定するには、グループ ポリシーまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-filter none コマンドを使用します。
ACL を設定して、このユーザまたはグループ ポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。 vpn-filter コマンドを使用して、これらの ACL を適用します。
vpn-filter { value ACL name | none }
シンタックスの説明
アクセス リストがないことを指定します。ヌル値を設定して、アクセス リストを拒否します。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループ ポリシーの acl_vpn と呼ばれるアクセス リスト名を実行するフィルタを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter value acl_vpn
関連コマンド
|
|
|
|---|---|
vpn-framed-ip-address
特定のユーザに割り当てる IP アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ip-address { ip_address }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、anyuser という名前のユーザに 10.92.166.7 という IP アドレスを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7
関連コマンド
|
|
|
|---|---|
vpn-framed-ip-netmask
特定のユーザに割り当てるサブネット マスクを指定するには、ユーザ名モードで
vpn - framed-ip-netmask コマンドを使用します。サブネットマスクを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ip-netmask { netmask }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、anyuser という名前のユーザに 255.255.255. 254 というサブネット マスクを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
(注) RADIUS がサブネット マスクだけを返す場合、認証は独自のサブネット ネットマスクを持つローカル プールからの IP アドレスを使用します。RADIUS からのマスクは使用しません。これを防止するには、RADIUS からネットマスクと IP アドレスの両方を返します。
関連コマンド
|
|
|
|---|---|
vpn-group-policy
ユーザに設定済みのグループ ポリシーからアトリビュートを継承させるには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。ユーザ コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、ユーザがユーザ名レベルで設定していないアトリビュートを継承できます。
vpn-group-policy {group-policy name}
no vpn-group-policy {group-policy name}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アトリビュートをユーザ名モードで利用できる場合、ユーザ名モードで設定することにより、特定のユーザに対するグループ ポリシーのアトリビュートの値を上書きできます。
例
次の例では、FirstGroup という名前のグループ ポリシーからアトリビュートを使用するように anyuser という名前のユーザを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup
関連コマンド
|
|
|
|---|---|
vpn-idle-timeout
ユーザのタイムアウト期間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。
このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-idle-timeout none コマンドを使用します。
vpn-idle-timeout { minutes | none}
シンタックスの説明
無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、「FirstGroup」という名前のグループ ポリシーに対して 15 分の VPN アイドル タイムアウトを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 30
関連コマンド
VPN 接続に許可されている最大時間を設定します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。 |
vpn load-balancing
VPN ロードバランシングおよび関連機能を設定できる VPN ロードバランシング モードに入るには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。
(注) ASA Models 5540 および 5520 だけが、VPN ロードバランシングをサポートします。VPN ロードバランシングには、有効な 3DES ライセンスまたは AES ライセンスも必要です。セキュリティ アプライアンスは、ロードバランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。有効な 3DES ライセンスまたは AES ライセンスが検出されなかった場合、セキュリティ アプライアンスはロードバランシングをイネーブルにしません。また、ライセンスで許可されていない限り、ロードバランシング システムが 3DES の内部設定を行わないようにします。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入ります。次のコマンドは、VPN ロードバランシング モードで使用できます。
例
次に vpn load-balancing コマンドの例を示します。プロンプト内の変化に注意してください。
次に、クラスタのパブリック インターフェイスを「test」として、クラスタのプライベート インターフェイスを「foo」として指定するインターフェイス コマンドを含む、VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
vpn-nac-exempt
ポスチャ確認を免除するリモート コンピュータのタイプのリストにエントリを追加するには、グループ ポリシー コンフィギュレーション モードで vpn-nac-exempt コマンドを使用します。
vpn-nac-exempt os " os name " [ filter { acl-name | none }] [ disable ]
継承をディセーブルにし、すべてのホストをポスチャ確認の対象にするには、 vpn-nac-exempt のすぐ後ろに none キーワードを入力します。
免除リストからエントリを削除するには、このコマンドの no 形式を使用し、削除するエントリのオペレーティング システム(および ACL)を指定します。
no vpn-nac-exempt [os " os name "] [ filter { acl-name | none }] [ disable ]
このグループ ポリシーの免除リストにある全エントリを削除し、デフォルトのグループ ポリシーの免除リストを継承するには、キーワードを指定せずにこのコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ポスチャ確認を免除するリモート ホストのオペレーティング システム(および ACL)ごとに vpn-nac-exempt を 1 回入力します。
例
次の例では、Windows XP を実行しているすべてのホストを、ポスチャ確認を免除するコンピュータのリストに追加します。
次の例では、Windows 98 を実行しているホストをすべて免除し、これらのホストからのトラフィックに acl-1 という ACL を適用します。
次の例では、上と同じエントリを免除リストに追加していますが、ディセーブルにしています。
次の例では、同じエントリを、ディセーブルかどうかにかかわらず、免除リストから削除しています。
次の例では、継承をディセーブルにして、すべてのホストをポスチャ確認の対象にしています。
次の例では、免除リストからすべてのエントリを削除しています。
関連コマンド
|
|
|
|---|---|
NAC メッセージをデバッグするための EAP over UDP(EAPoUDP)イベントのロギングをイネーブルにします。 |
|
vpn-sessiondb logoff
すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff コマンドを使用します。
vpn-sessiondb logoff { remote | l2l | webvpn | email-proxy | protocol protocol-name | name username | ipaddress IPaddr | tunnel-group groupname | index indexnumber | all }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべてのリモートアクセス セッションをログオフする方法を示します。
次の例では、すべての IPSec セッションをログオフする方法を示します。
vpn-sessiondb max-session-limit
VPN セッションをセキュリティ アプライアンスが許可しているよりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-session-limit コマンドを使用します。セッションの制限値を削除するには、このコマンドの no 形式を使用します。現在の設定を上書きするには、このコマンドを再度使用します。
vpn-sessiondb max-session-limit { session-limit }
no vpn-sessiondb max-session-limit
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、VPN セッションの最大制限値である 450 に設定する方法を示します。
関連コマンド
|
|
|
|---|---|
vpn-sessiondb max-webvpn-session-limit
WebVPN セッションをセキュリティ アプライアンスが許可しているよりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-webvpn-session-limit コマンドを使用します。セッションの制限値を削除するには、このコマンドの no 形式を使用します。現在の設定を上書きするには、このコマンドを再度使用します。
vpn-sessiondb max-webvpn-session-limit { session-limit }
no vpn-sessiondb max-webvpn-session-limit
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、WebVPN セッションの最大制限値である 75 に設定する方法を示します。
関連コマンド
|
|
|
|---|---|
vpn-session-timeout
VPN 接続に許可される最大時間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。
このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループ ポリシーから継承できます。値を継承しないようにするには、 vpn-session-timeout none コマンドを使用します。
vpn-session-timeout { minutes | none}
シンタックスの説明
無制限のセッション タイムアウト期間を許容します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、FirstGroup という名前のグループ ポリシーに対して 180 分の VPN セッション タイムアウトを設定する方法を示します。
関連コマンド
ユーザ タイムアウト期間を設定します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。 |
vpn-simultaneous-logins
ユーザに許容される同時ログイン数を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループ ポリシーから継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。
vpn-simultaneous-logins { integer }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループ ポリシーに対して最大 4 つの同時ログインを許可する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
vpn-tunnel-protocol
VPN トンネルのタイプ(IPSec、L2TP over IPSec、または WebVPN)を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpn-tunnel-protocol {webvpn | l2tp-ipsec | IPSec}
no vpn-tunnel-protocol [webvpn | l2tp-ipsec | IPSec]
シンタックスの説明
2 つのピア間(リモートアクセス クライアントまたはその他のセキュアなゲートウェイ)で IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を管理するセキュリティ結合を作成します。 |
|
HTTPS 対応の Web ブラウザを経由してリモート ユーザに VPN サービスを提供します。クライアントは不要です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して 1 つ以上のトンネリング モードを設定します。VPN トンネルを越えて接続するには、ユーザに対して少なくとも 1 つのトンネリング モードを設定する必要があります。
例
次の例では、「FirstGroup」という名前のグループ ポリシーに対して WebVPN および IPSec トンネリング モードを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol webvpn
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
vpnclient connect
設定済みサーバへの Easy VPN Remote 接続の確立を試行するには、グローバル コンフィギュレーション モードで vpnclient connect コマンドを使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、設定済み EasyVPN サーバへの Easy VPN Remote 接続の確立を試行する方法を示しています。
hostname(config)# vpnclient connect
hostname(config)#
vpnclient disconnect
Easy VPN Remote 接続を切断するには、グローバル コンフィギュレーション モードで vpnclient disconnect コマンドを使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、Easy VPN Remote 接続を切断する方法を示しています。
hostname(config)# vpnclient disconnect
hostname(config)#
vpnclient enable
Easy VPN Remote 機能をイネーブルにするには、グローバル コンフィギュレーション モードで vpnclient enable コマンドを使用します。Easy VPN Remote 機能をディセーブルにするには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
vpnclient enable コマンドを入力すると、ASA 5505 は Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれる)として機能します。no vpnclient enable コマンドを入力すると、Easy VPN サーバ(「ヘッドエンド」とも呼ばれる)として機能します。クライアントまたはサーバとしてのみ機能します。
例
次の例は、Easy VPN Remote 機能をイネーブルにする方法を示しています。
hostname(config)# vpnclient enable
hostname(config)#
次の例は、Easy VPN Remote 機能をディセーブルにする方法を示しています。
hostname(config)# no vpnclient enable
hostname(config)#
vpnclient ipsec-over-tcp
TCP カプセル化 IPSec を使用するように、Easy VPN ハードウェア クライアントとして稼働している ASA 5505 を設定するには、グローバル コンフィギュレーション モードで vpnclient ipsec-over-tcp コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient ipsec-over-tcp [ port tcp_port ]
シンタックスの説明
( port キーワードを指定した場合は必須)TCP カプセル化 IPSec トンネルに使用する TCP ポート番号を指定します。 |
デフォルト
このコマンドでポート番号が指定されていない場合、Easy VPN Remote 接続ではポート 10000 が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN ハードウェア クライアント(「Easy VPN Remote」とも呼ばれる)として稼働している ASA 5505 のみに適用されます。
デフォルトでは、Easy VPN クライアントおよびサーバは、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)パケットをカプセル化します。特定のファイアウォール規則が設定されているような環境や、NAT デバイスおよび PAT デバイスでは、UDP が禁止されています。そのような環境で標準の Encapsulating Security Protocol(ESP、プロトコル 50)または Internet Key Exchange(IKE; インターネット キー エクスチェンジ、UDP 500)を使用するには、TCP パケット内の IPSec をカプセル化してセキュアなトンネリングをイネーブルにするように、クライアントとサーバを設定する必要があります。ただし、UDP が許可されている環境では、IPSec over TCP を設定すると、不要なオーバーヘッドが発生します。
TCP カプセル化 IPSec を使用するように ASA 5505 を設定する場合は、次のコマンドを入力して、大きいパケットを外部インターフェイスに送信するようにします。
このコマンドは、カプセル化されたヘッダーから Don't Fragment(DF)ビットを消去します。DF ビットとは、パケットのフラグメント化が可能かどうかを判断する、IP ヘッダー内のビットです。このコマンドにより、Easy VPN ハードウェア クライアントは、MTU サイズよりも大きいパケットを送信できます。
例
次の例では、デフォルト ポート 10000 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、外部インターフェイスを介して大きいパケットを送信できるようにする方法を示しています。
hostname(config)# vpnclient ipsec-over-tcp
hostname(config)#
次の例では、ポート 10501 を使用して TCP カプセル化 IPSec を使用するように Easy VPN ハードウェア クライアントを設定し、外部インターフェイスを介して大きいパケットを送信できるようにする方法を示しています。
hostname(config)# vpnclient ipsec-over-tcp port 10501
hostname(config)#
vpnclient mac-exempt
Easy VPN Remote 接続の背後にあるデバイスに対して個々のユーザ認証要件を免除するには、グローバル コンフィギュレーション モードで vpnclient mac-exempt コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient mac-exempt mac_addr_1 mac_mask_1 [ mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA モデル 5505 のみに適用されます。
Cisco IP Phone、無線アクセス ポイント、プリンタなどのデバイスは認証を実行できないため、個々の装置認証がイネーブルになっている場合でも認証しません。個々のユーザ認証がイネーブルになっている場合は、このコマンドを使用して、これらのデバイスの認証を免除できます。デバイスに対する個々のユーザ認証の免除は、「デバイス パススルー」とも呼ばれます。
このコマンドでは、MAC アドレスと MAC マスクは、3 桁の 16 進数をピリオドで区切って指定します。たとえば、MAC マスク ffff.ffff.ffff は、指定された MAC アドレスに対応します。すべてゼロの MAC マスクは対応する MAC アドレスがないことを示します。また、ffff.ff00.0000 という MAC マスクは同じメーカーで製造されたすべてのデバイスに対応します。
例
Cisco IP Phone のメーカー ID は 00036b です。したがって、次のコマンドでは、すべての Cisco IP Phone(今後追加する Cisco IP Phone も含む)が免除されます。
hostname(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
hostname(config)#
次の例では、特定の Cisco IP Phone が免除されるため、セキュリティは向上しますが、柔軟性は低下します。
hostname(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
hostname(config)#
vpnclient management
管理アクセス用に Easy VPN ハードウェア クライアントへの IPSec トンネルを生成するには、グローバル コンフィギュレーション モードで vpnclient management コマンドを使用します。
vpnclient management tunnel ip_addr_1 ip_mask_1 [ ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n ]
このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。この形式では、 split-tunnel-policy コマンドと split-tunnel-network-list コマンドに従って、管理専用の IPSec トンネルが設定されます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼働している ASA 5505 のみに適用されます。次の各コマンドが ASA 5505 コンフィギュレーションに含まれていることを前提としています。
vpnclient server コマンド(ピアを指定する)
vpnclient mode コマンド(クライアント モード(PAT)またはネットワーク拡張モードを指定する)
• vpnclient vpngroup コマンド(Easy VPN サーバで認証に使用するトンネル グループと IKE 事前共有キーを指定する)
• vpnclient trustpoint コマンド(認証に使用する RSA 証明書を識別するトラストポイントを指定する)
vpnclient enable コマンド(ASA 5505 を Easy VPN クライアントとしてイネーブルにする)
(注) NAT デバイス上でスタティック NAT マッピングを追加しないと、NAT デバイスの背後にある ASA 5505 のパブリック アドレスにはアクセスできません。
例
次の例は、ASA 5505 の外部インターフェイスからホスト(IP アドレス/マスクが 192.168.10.10 255.255.255.0 というの組み合せのホスト)への IPSec トンネルを生成する方法を示しています。
hostname(config)# vpnclient management tunnel 192.168.10.0 255.255.255.0
hostname(config)#
次の例は、IPSec を使用せずに、ASA 5505 の外部インターフェイスへの管理アクセスを可能にする方法を示しています。
vpnclient mode
クライアント モードまたはネットワーク拡張モードの Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient mode コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient mode { client-mode | network-extension-mode }
シンタックスの説明
Network Extension Mode(NEM; ネットワーク拡張モード)を使用するように Easy VPN Remote 接続を設定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼働している ASA 5505 のみに適用されます。Easy VPN クライアントは、クライアント モードまたは NEM のいずれかの動作モードをサポートします。動作モードは、企業ネットワークからトンネル経由で内部ホスト(Easy VPN クライアントから見た場合の内部ホスト)にアクセスできるかどうかによって決まります。Easy VPN クライアントにはデフォルトのモードがないので、接続を行う前に必ず動作モードを指定します。
• クライアント モードでは、Easy VPN クライアントは内部ホストからのすべての VPN トラフィックに対して Port Address Translation(PAT; ポート アドレス変換)を実行します。このモードでは、ハードウェア クライアント(デフォルトの RFC 1918 アドレスが割り当てられている)の内部アドレスまたは内部ホストに対する IP アドレス管理は必要ありません。PAT により、企業ネットワークから内部ホストにアクセスすることはできません。
• NEM では、内部ネットワークおよび内部インターフェイス上のすべてのノードに、企業ネットワークでルーティング可能なアドレスが割り当てられます。企業ネットワークからトンネル経由で内部ホストにアクセスできます。内部ネットワーク上のホストには、アクセス可能なサブネットからの IP アドレスが(スタティックに、または DHCP によって)割り当てられます。ネットワーク拡張モードでは、PAT は VPN トラフィックに適用されません。
(注) Easy VPN ハードウェア クライアントが NEM を使用し、セカンダリ サーバに接続している場合は、各ヘッドエンド デバイスで crypto map set reverse-route コマンドを使用して、Reverse Route Injection(RRI; 逆ルート注入)によるリモート ネットワークのダイナミックな通知を設定します。
例
次の例は、クライアント モードで Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient mode client-mode
hostname(config)#
次の例は、NEM で Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient mode network-extension-mode
hostname(config)#
vpnclient nem-st-autoconnect
NEM およびスプリット トンネリングが設定されている場合、IPSec データ トンネルを自動的に開始するように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient nem-st-autoconnect コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
no vpnclient nem-st-autoconnect
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼働している ASA 5505 のみに適用されます。
vpnclient nem-st-autoconnect コマンドを入力する前に、ハードウェア クライアントのネットワーク拡張モードがイネーブルになっていることを確認します。ネットワーク拡張モードにより、ハードウェア クライアントは、VPN トンネルを介したリモート プライベート ネットワークに対して、ルーティング可能なネットワークを 1 つ提示できます。IPSec は、ハードウェア クライアントの背後にあるプライベート ネットワークからセキュリティ アプライアンスの背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、セキュリティ アプライアンスの背後にある装置は、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワークに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要があります。トンネルがアップの状態になった後は、どちらの側からもデータ交換を開始できます。
(注) また、ネットワーク拡張モードをイネーブルにするように Easy VPN サーバを設定する必要があります。そのためには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。
ネットワーク拡張モードでは、スプリット トンネリングが設定されている場合を除き、IPSec データ トンネルが自動的に開始されて持続します。
例
次の例は、スプリット トンネリングが設定されたネットワーク拡張モードで自動的に接続するように Easy VPN Remote 接続を設定する方法を示しています。グループ ポリシー FirstGroup のネットワーク拡張モードはイネーブルになっています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# nem enable
hostname(config)# vpnclient nem-st-autoconnect
hostname(config)#
関連コマンド
|
|
|
|---|---|
vpnclient server-certificate
証明書マップで指定された特定の証明書を持つ Easy VPN サーバへの接続のみを受け入れるように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient server-certificate コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient server-certificate certmap_name
no vpnclient server-certificate
シンタックスの説明
受け入れ可能な Easy VPN サーバ証明書を特定するための証明書マップの名前を指定します。最大長は 64 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA モデル 5505 のみに適用されます。
このコマンドを使用して、Easy VPN サーバ証明書のフィルタリングをイネーブルにします。証明書マップ自体は、crypto ca certificate map コマンドおよび crypto ca certificate chain コマンドを使用して定義します。
例
次の例は、homeservers という名前の証明書マップを持つ Easy VPN サーバへの接続のみをサポートするように Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient server-certificate homeservers
hostname(config)#
関連コマンド
|
|
|
|---|---|
vpnclient server
Easy VPN Remote 接続でプライマリおよびセカンダリ IPSec サーバを設定するには、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient server ip_primary_address [ ip_secondary_address_1 ... ipsecondary_address_10 ]
シンタックスの説明
プライマリ Easy VPN(IPSec)サーバの IP アドレスまたは DSN 名。すべての ASA または VPN 3000 コンセントレータ シリーズが Easy VPN サーバとして機能できます。 |
|
(オプション)最大 10 台のバックアップ Easy VPN サーバの IP アドレスまたは DNS 名のリスト。スペースを使用して、リスト内の項目を区切ります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA モデル 5505 のみに適用されます。
接続を確立する前に、サーバを設定しておく必要があります。 vpnclient server コマンドは、IPv4 アドレス、名前データベース、または DNS 名をサポートし、この順序でアドレスを解決します。
例
次の例では、名前 headend-1 をアドレス 10.10.10.10 に関連付け、 vpnclient server コマンドを使用して headend-dns.domain.com(プライマリ)、headend-1(セカンダリ)、および 192.168.10.10(セカンダリ)の 3 台のサーバを指定しています。
hostname(config)# names
次の例は、VPN クライアントに対し、IP アドレスが 10.10.10.15 のプライマリ IPSec サーバ、IP アドレスが 10.10.10.30 および 192.168.10.45 のセカンダリ サーバを設定する方法を示しています。
hostname(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
hostname(config)#
vpnclient trustpoint
Easy VPN Remote 接続で使用する RSA ID 証明書を設定するには、グローバル コンフィギュレーション モードで vpnclient trustpoint コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient trustpoint trustpoint_name [ chain ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA モデル 5505 のみに適用されます。また、このコマンドが適用されるのは、デジタル証明書を使用している場合だけです。
crypto ca trustpoint コマンドを使用してトラストポイントを定義します。トラストポイントは、CA によって発行された証明書に基づいて CA の識別情報を表し、また、装置の識別情報を表すことがあります。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。このパラメータでは、セキュリティ アプライアンスが CA 証明書を取得する方法、セキュリティ アプライアンスが CA から証明書を取得する方法、および CA によって発行されるユーザ証明書の認証ポリシーを指定します。
例
次の例は、central という名前の ID 証明書を使用し、証明書チェーン全体を送信するように Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient trustpoint central chain
hostname(config)#
関連コマンド
|
|
|
|---|---|
vpnclient username
Easy VPN Remote 接続用の VPN ユーザ名およびパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient username コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient username xauth_username password xauth password
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ASA モデル 5505 のみに適用されます。
XAUTH ユーザ名およびパスワードのパラメータは、セキュアな装置認証がディセーブルになっていて、サーバが XAUTH クレデンシャルを要求する場合に使用されます。セキュアな装置認証がイネーブルになっている場合、これらのパラメータは無視され、セキュリティ アプライアンスはユーザにユーザ名およびパスワードを要求します。
例
次の例は、XAUTH ユーザ名 testuser とパスワード ppurkm1 を使用するように Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient username testuser password ppurkm1
hostname(config)#
vpnclient vpngroup
Easy VPN Remote 接続用の VPN トンネル グループ名およびパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient vpngroup コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpnclient vpngroup group_name password preshared_key
シンタックスの説明
Easy VPN サーバ上で設定されている VPN トンネル グループの名前を指定します。最大長は 64 文字で、スペースは使用できません。 |
|
デフォルト
Easy VPN クライアントとして稼働している ASA 5505 のコンフィギュレーションでトンネル グループが指定されていない場合、クライアントは RSA 証明書の使用を試行します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN クライアント(「Easy VPN Remote」とも呼ばれる)として稼働している ASA 5505 のみに適用されます。
例
次の例は、VPN トンネル グループ名 TestGroup1 とパスワード my_key123 を使用するように、VPN トンネル グループとの Easy VPN Remote 接続を設定する方法を示しています。
hostname(config)# vpnclient vpngroup TestGroup1 password my_key123
hostname(config)#
関連コマンド
|
|
|
|---|---|
wccp
容量を割り当て、指定した Web Cache Communication Protocol(WCCP)サービスのサポートをイネーブルにして、サービス グループに参加できるようにするには、グローバル コンフィギュレーション モードで wccp コマンドを使用します。サービス グループをディセーブルにして、容量の割り当てを解除するには、このコマンドの no 形式を使用します。
wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password]
no wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password [0 | 7]]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、WCCP のサービス グループへの参加をイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
wccp redirect
Web Cache Communication Protocol(WCCP)を使用して、インターフェイスの入り口でパケットのリダイレクトをイネーブルにするには、 wccp redirect コマンドを使用します。WCCP のリダイレクションをディセーブルにするには、このコマンドの no 形式を使用します。
wccp interface interface_name service redirect in
no wccp interface interface_name service redirect in
シンタックスの説明
サービス グループを指定します。 web-cache キーワードか、サービスの ID 番号(0 ~ 99)を指定できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、Web キャッシュ サービスの内部インターフェイスで WCCP リダイレクションをイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
web-agent-url
セキュリティ アプライアンスが SSO 認証要求を行う SSO サーバの URL を指定するには、
webvpn-sso-siteminder コンフィギュレーション モードで web-agent-url コマンドを使用します。これは CA SiteMinder コマンドによる SSO です。
SSO サーバの認証 URL を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
WebVPN だけで使用できるシングル サインオンのサポートは、ユーザが、異なるサーバ上の異なるセキュア サービスにユーザ名とパスワードを複数回入力することなくアクセスできるようにします。SSO サーバには、認証要求を処理する URL があります。
この URL に認証を送信するようにセキュリティ アプライアンスを設定するには、 web-agent-url コマンドを使用します。認証 URL を設定する前に、 sso-server コマンドを使用して SSO サーバを作成する必要があります。
例
webvpn-sso-siteminder コンフィギュレーション モードで入力された次の例では、認証 URL に http://www.example.com/webvpn を指定しています。
関連コマンド
|
|
|
|---|---|
web-applications
認証された WebVPN ユーザに対して表示される WebVPN ホームページの Web Application ボックスをカスタマイズするには、webvpn カスタマイゼーション モードで web-applications コマンドを使用します。
web-applications { title | message | dropdown } { text | style } value
[ no ] web-applications { title | message | dropdown } { text | style } value
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのタイトルのテキストは「Web Application」です。
デフォルトのタイトルのスタイルは background-color:#99CCCC;color:black;font-weight:bold;text-transform です。
uppercase
デフォルトのメッセージのテキストは「Enter Web Address(URL)」です。
デフォルトのメッセージのスタイルは
background-color:#99CCCC;color:maroon;font-size:smaller です。
デフォルトのドロップダウンのテキストは「Web Bookmarks」です。
デフォルトのドロップダウンのスタイルは
border:1px solid black;font-weight:bold;color:black;font-size:80% です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。
例
次の例では、タイトルを「Applications」に変更し、テキストの色を青に変更しています。
関連コマンド
|
|
|
web-bookmarks
認証された WebVPN ユーザに表示される WebVPN ホームページの Web Bookmarks のタイトルまたはリンクをカスタマイズするには、webvpn カスタマイゼーション モードで web-bookmarks コマンドを使用します。
web-bookmarks { link {style value } | title {style value | text value }}
[ no ] web-bookmarks { link {style value } | title {style value | text value }}
このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
シンタックスの説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのリンクのスタイルは color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。
デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
• カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
• RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。
• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。
例
次の例では、Web Bookmarks のタイトルを「Corporate Web Bookmarks」に変更します。
関連コマンド
|
|
|
webvpn(グループ ポリシー モードおよびユーザ名モード)
この WebVPN モードに入るには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで webvpn コマンドを使用します。WebVPN モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定するユーザ名またはグループ ポリシーに適用されます。
グループ ポリシーおよびユーザ名に対する webvpn コマンドにより、WebVPN を超えたファイル、MAPI プロキシ、URL および TCP アプリケーションへのアクセスが定義されます。また、ACL およびフィルタリングするトラフィックのタイプも識別されます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードから入って WebVPN モードを使用すると、WebVPN のグローバル設定値を設定できます。グループ ポリシー アトリビュート コンフィギュレーション モード、またはユーザ名アトリビュート コンフィギュレーション モードの webvpn コマンドは、webvpn コマンドで指定された設定を親コマンドで指定されたグループまたはユーザに適用します。つまり、この項で説明したように、グループ ポリシー モードまたはユーザ名モードから入って WebVPN モードを使用すると、特定のユーザ ポリシーまたはグループ ポリシーの WebVPN コンフィギュレーションをカスタマイズできます。
特定のグループ ポリシーに対してグループ ポリシー アトリビュート モードで適用した webvpn アトリビュートは、デフォルトのグループ ポリシーで指定された webvpn アトリビュートを上書きします。ユーザ名アトリビュート モードで特定のユーザに対して適用した webvpn アトリビュートは、デフォルト グループ ポリシーおよび、当該ユーザが所属するグループ ポリシーの両方で webvpn アトリビュートを上書きします。基本的に、これらのコマンドを使用すると、デフォルトのグループまたは特定のグループ ポリシーから継承される設定を微調整できます。WebVPN 設定の詳細については、グローバル コンフィギュレーション モードの webvpn コマンドの説明を参照してください。
次の表は、webvpn グループ ポリシー アトリビュート モードおよびユーザ名アトリビュート モードで設定できるアトリビュートを示しています。詳細については、個々のコマンドの説明を参照してください。
例
次の例は、「FirstGroup」というグループ ポリシーで WebVPN モードに入る方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
次の例は、「test」というユーザ名で WebVPN モードに入る方法を示します。
hostname(config)# group-policy test attributes
hostname(config-username)# webvpn
関連コマンド
config-group-policy モードに入ります。このモードでは、指定したグループ ポリシーのアトリビュートと値を設定したり、グループの webvpn アトリビュートを設定する webvpn モードに入ったりできます。 |
|
config-group-webvpn モードに入ります。このモードで、指定したグループに対する WebVPN アトリビュートを設定できます。 |
who
セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。
シンタックスの説明
(オプション)リストを 1 つの内部 IP アドレスまたはネットワーク アドレス(IPv4 または IPv6)に制限するために指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
who コマンドを使用すると、現在セキュリティ アプライアンスにログインしている各 Telnet クライアントの TTY_ID および IP アドレスを表示できます。
例
次の例では、クライアントが Telnet セッションを通してセキュリティ アプライアンスにログインした場合の who コマンドの出力を示します。
関連コマンド
|
|
|
|---|---|
window-variation
さまざまなウィンドウ サイズの接続をドロップするには、tcp マップ コンフィギュレーション モードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
window variation {allow-connection | drop-connection}
no window variation {allow-connection | drop-connection}
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで window-variation コマンドを使用して、縮小されたウィンドウ サイズの接続をすべてドロップします。
ウィンドウ サイズ メカニズムを使用すると、TCP は大きなウィンドウをアドバタイズした後、多すぎるデータを受信することなく、小さなウィンドウにアドバタイズできます。TCP の仕様では、「ウィンドウの縮小」は推奨されていません。この状態が検出されると、接続をドロップできます。
例
次の例では、さまざまなウィンドウ サイズの接続をすべてドロップする方法を示します。
関連コマンド
|
|
|
|---|---|
wins-server
プライマリおよびセカンダリ WINS サーバの IP アドレスを設定するには、グループ ポリシー コンフィギュレーション モードで wins-server コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、WINS サーバを別のグループ ポリシーから継承できます。サーバを継承しないようにするには、 wins-server none コマンドを使用します。
wins-server value { ip_address } [ ip_address ] | none
シンタックスの説明
WINS サーバにヌル値を設定して、WINS サーバを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
wins-server コマンドを発行するたびに、既存の設定を上書きします。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番目のコマンドが最初のコマンドを上書きします。したがって、y.y.y.y は唯一の WINS サーバになります。サーバを複数設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを含めます。
例
次の例では、FirstGroup という名前のグループ ポリシーに対して IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 で WINS サーバを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45
write erase
スタートアップ コンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションはそのまま残ります。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ コンテキスト内ではサポートされません。コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで識別します。コンテキストのコンフィギュレーションを削除する場合は、リモート サーバ(指定されている場合)からファイルを手作業で削除するか、システム実行スペースで delete コマンドを使用してフラッシュ メモリからファイルを消去します。
例
次の例では、スタートアップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
write memory
スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存するには、特権 EXEC モードで write memory コマンドを使用します。
write memory [ all [ /noconfirm ]]
シンタックスの説明
マルチ コンテキスト モードのシステム実行スペースで、すべてのコンテキスト コンフィギュレーションとシステム コンフィギュレーションを保存します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。変更をスタートアップ コンフィギュレーションに保存する場合は、リブートの間だけ保存されます。これは起動時に実行中のメモリにロードされるコンフィギュレーションです。シングル コンテキスト モード、およびマルチ コンテキスト モードのシステムのスタートアップ コンフィギュレーションの場所は、 boot config コマンドを使用して、デフォルトの場所(隠しファイル)から別の場所に変更できます。マルチ コンテキスト モードの場合は、コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定した場所にあります。
マルチ コンテキスト モードでは、各コンテキストで write memory コマンドを入力して、現在のコンテキストのコンフィギュレーションを保存できます。すべてのコンテキストのコンフィギュレーションを保存するには、システム実行スペースで write memory all コマンドを入力します。コンテキストのスタートアップ コンフィギュレーションは外部サーバ上に配置できます。この場合、セキュリティ アプライアンスは、コンフィギュレーションをサーバに戻して保存できない HTTP と HTTPS の URL を除き、 config-url コマンドで指定したサーバにコンフィギュレーションを戻して保存します。 write memory all コマンドで各コンテキストを保存すると、次のメッセージが表示されます。
エラーが発生して、コンテキストを保存できないことがあります。次に、そのエラーについて説明します。
• メモリが不足しているためコンテキストを保存できない場合は、次のメッセージが表示されます。
• リモートの宛先に到達できないためコンテキストを保存できない場合は、次のメッセージが表示されます。
• コンテキストがロックされているため保存できない場合は、次のメッセージが表示されます。
コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存しているか、コンテキストを削除している場合だけです。
• スタートアップ コンフィギュレーションが読み取り専用(HTTP サーバの場合など)のため保存できない場合は、他のメッセージの最後に次のメッセージが表示されます。
• フラッシュ メモリのセクターが壊れているためコンテキストを保存できない場合は、次のメッセージが表示されます。
システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドも管理コンテキスト インターフェイスを使用します。ただし、 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。
write memory コマンドは、 copy running-config startup-config コマンドと同じです。
例
次の例では、スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存します。
関連コマンド
|
|
|
|---|---|
write net
TFTP サーバに実行コンフィギュレーションを保存するには、特権 EXEC モードで write net コマンドを使用します。
write net [ server : [ filename ] | : filename ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。
マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションのみ保存されます。1 回のコマンドですべてのコンテキストを保存することはできません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。ただし、システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドは管理コンテキスト インターフェイスを使用して、スタートアップ コンフィギュレーションに保存します。
例
次の例では、 tftp-server コマンドに TFTP サーバとファイル名を設定しています。
次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドは入力されません。
次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドはディレクトリ名を示し、サーバ アドレスは上書きされます。
関連コマンド
|
|
|
|---|---|
write standby
フェールオーバー スタンバイ装置にセキュリティ アプライアンスまたはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Standby フェールオーバーの場合、 write standby コマンドは、アクティブなフェールオーバー装置の RAM に保存されているコンフィギュレーションを、スタンバイ装置の RAM に書き込みます。プライマリ装置とセカンダリ装置のコンフィギュレーションの情報が異なる場合は、 write standby コマンドを使用します。このコマンドをアクティブ装置に入力します。
Active/Active フェールオーバーの場合、 write standby コマンドは次のように動作します。
• システム実行スペースで write standby コマンドを入力すると、システム コンフィギュレーションおよびセキュリティ アプライアンス上のセキュリティ コンテキストのすべてのコンフィギュレーションはピア装置に書き込まれます。これは、スタンバイ状態にあるセキュリティ コンテキストのコンフィギュレーション情報を含みます。アクティブ状態のフェールオーバー グループ 1 を持つ装置のシステム実行スペースに、このコマンドを入力する必要があります。
• セキュリティ コンテキストに write standby コマンドを入力する場合、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストに、このコマンドを入力する必要があります。
(注) write standby コマンドはコンフィギュレーションをピア装置の実行コンフィギュレーションに複製します。コンフィギュレーションはスタートアップ コンフィギュレーションには保存されません。コンフィギュレーションの変更をスタートアップ コンフィギュレーションに保存するには、write standby コマンドを入力したのと同じ装置で copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製され、コンフィギュレーションはスタートアップ コンフィギュレーションに保存されます。
例
次の例では、現在の実行コンフィギュレーションをスタンバイ装置に書き込みます。
関連コマンド
|
|
|
|---|---|
write terminal
端末に実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、端末に実行コンフィギュレーションを書き込みます。
関連コマンド
|
|
|
|---|---|
zonelabs-integrity fail-close
セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバに接続できなかった場合に、VPN クライアントへの接続を閉じるようにセキュリティ アプライアンスを設定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-close コマンドを使用します。Zone Labs に接続できなかった場合に VPN 接続を開いたままにするデフォルト設定に戻すには、このコマンドの no 形式を使用します。
no zonelabs-integrity fail-close
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバがセキュリティ アプライアンスに応答しない場合でも、セキュリティ アプライアンスはプライベート ネットワークに向かう VPN クライアント接続を必要に応じて確立します。また、既存の開いた接続も維持します。これにより、ファイアウォール サーバに障害が発生しても、企業の VPN 接続が中断されないようにします。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態で維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。
Zone Labs Integrity ファイアウォール サーバに接続できなくなってもクライアントの VPN 接続を維持するデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドを使用します。
例
次の例では、Zone Labs Integrity ファイアウォール サーバが応答しない場合や、サーバとの接続が中断した場合に、VPN クライアントの接続を閉じるようにセキュリティ アプライアンスを設定します。
関連コマンド
zonelabs-integrity fail-open
セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバの接続が中断した後も、リモート VPN クライアントからセキュリティ アプライアンスへの接続を開いたままにするには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-open コマンドを使用します。Zone Labs サーバとの接続が中断した場合に、VPN クライアントの接続を閉じる場合は、このコマンドの no 形式を使用します。
no zonelabs-integrity fail-open
シンタックスの説明
デフォルト
デフォルトでは、セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバに接続できない場合や接続が中断した場合でも、リモート VPN 接続が開いたままになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバがセキュリティ アプライアンスに応答しない場合でも、セキュリティ アプライアンスはプライベート ネットワークに向かう VPN クライアント接続を必要に応じて確立します。また、既存の開いた接続も維持します。これにより、ファイアウォール サーバに障害が発生しても、企業の VPN 接続が中断されないようにします。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態で維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。Zone Labs Integrity ファイアウォール サーバに接続できなくなってもクライアントの VPN 接続を維持するデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドか、 no zonelabs-integrity fail-open コマンドを使用します。
例
次の例では、Zone Labs Integrity ファイアウォール サーバに接続できなくなっても VPN クライアントの接続が開いたままになるデフォルト状態に戻します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、セキュリティ アプライアンスで VPN クライアント接続を閉じることを指定します。 |
|
応答しない Zone Labs Integrity ファイウォール サーバをセキュリティ アプライアンスが到達不能と見なすまでの秒数を指定します。 |
zonelabs-integrity fail-timeout
セキュリティ アプライアンスが応答しない Zone Labs Integrity ファイアウォール サーバを到達不能と見なすまでの時間(秒単位)を指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-timeout コマンドを使用します。デフォルトのタイムアウト値 10 秒に戻すには、引数を指定せずにこのコマンドの no 形式を使用します。
zonelabs-integrity fail-timeout timeout
no zonelabs-integrity fail-timeout
シンタックスの説明
セキュリティ アプライアンスが、応答しない Zone Labs Integrity ファイウォール サーバを到達不能と見なすまでの秒数を指定します。5 ~ 20 秒に指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが指定した秒数待っても Zone Labs サーバから応答がないと、サーバを到達不能と見なします。VPN クライアントへの接続は、デフォルトまたは zonelabs-integrity fail-open コマンドの設定に従って開いたままになります。ただし、 zonelabs-integrity fail-close コマンドを発行している場合は、セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバを到達不能と見なした時点で、VPN クライアントの接続が閉じられます。
例
次の例では、12 秒経過すると、アクティブな Zone Labs Intergity ファイアウォール サーバを到達不能と見なすようにセキュリティ アプライアンスを設定します。
関連コマンド
zonelabs-integrity interface
Zone Labs Integrity ファイアウォール サーバと通信するセキュリティ アプライアンスのインターフェイスを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity interface コマンドを使用します。Zone Labs Integrity ファイアウォール サーバとのインターフェイスをデフォルトのインターフェイスなしに戻すには、このコマンドの no 形式を使用します。
zonelabs-integrity interface interface
no zonelabs-integrity interface
シンタックスの説明
Zone Labs Integrity ファイアウォール サーバと通信するセキュリティ アプライアンスのインターフェイスを指定します。 nameif コマンドで作成したインターフェイスの名前をよく使用します。 |
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール サーバとのインターフェイスは設定されていません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、IP アドレスが 10.0.0.5 ~ 10.0.0.7 の Zone Labs Intergity ファイアウォール サーバを 3 台設定します。さらに、ポート 300 で、また inside というインターフェイスで、サーバからの通信をリッスンするようにセキュリティ アプライアンスを設定します。
関連コマンド
zonelabs-integrity port
セキュリティ アプライアンスが Zone Labs Integrity ファイアウォール サーバとの通信に使用するポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity port コマンドを使用します。デフォルト ポート 5054 に戻すには、このコマンドの no 形式を使用します。
zonelabs-integrity port port_number
no zonelabs-integrity port port_number
シンタックスの説明
セキュリティ アプライアンスの Zone Labs Integrity ファイアウォール サーバ用のポートを指定します。 |
|
Zone Labs Integrity ファイアウォール サーバ用のポートの番号。10 ~ 10000 の範囲になります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、 zonelabs-integrity port コマンドと zonelabs-integrity interface コマンドで設定したポートとインターフェイスで、Zone Labs Integrity ファイアウォール サーバからの接続をリッスンします。
(注) セキュリティ アプライアンスの現在のリリースでは、ユーザ インターフェイスで Integrity サーバを 5 台まで設定できますが、同時にサポートできる Integrity サーバは 1 台です。アクティブなサーバに障害が発生した場合は、セキュリティ アプライアンス上で別の Integrity サーバを設定してから、クライアント VPN セッションを再確立してください。
例
次の例では、IP アドレスが 10.0.0.5 の Zone Labs Integrity ファイアウォール サーバを設定します。さらに、デフォルト ポート 5054 ではなくポート 300 で、アクティブな Zone Labs サーバをリッスンするようにセキュリティ アプライアンスを設定します。
関連コマンド
zonelabs-integrity server-address
セキュリティ アプライアンスのコンフィギュレーションに Zone Labs Integrity ファイアウォール サーバを追加するには、グローバル コンフィギュレーション モードで zonelabs-integrity server-address コマンドを使用します。Zone Labs Integrity ファイアウォール サーバの IP アドレスまたはホスト名を指定します。
実行コンフィギュレーションから Zone Labs Integrity ファイアウォール サーバを削除するには、引数を指定せずにこのコマンドの no 形式を使用します。
zonelabs-integrity server-address { hostname1 | ip-address 1 }
no zonelabs-integrity server-address
(注) セキュリティ アプライアンスのユーザ インターフェイスは、複数の Zone Labs Integrity ファイアウォール サーバを含むコンフィギュレーションをサポートしているように見えますが、現在のリリースでは一度に 1 台のサーバにしか接続できません。
シンタックスの説明
Zone Labs Integrity ファイアウォール サーバのホスト名を指定します。ホスト名の指定方法については、 name コマンドを参照してください。 |
|
コマンドのデフォルト設定
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このリリースでは、Zone Labs Integrity ファイアウォール サーバを 1 台だけ設定できます。設定したサーバに障害が発生した場合は、別のサーバを設定してからクライアントの VPN セッションを確立し直してください。
ホスト名でサーバを指定するには、まず name コマンドを使用して、Zone Labs サーバの名前を指定する必要があります。このとき、 name コマンドを使用する前に names コマンドを使用してコマンドをイネーブルにします。
(注) セキュリティ アプライアンスの現在のリリースでは、ユーザ インターフェイスで Integrity サーバを 5 台まで設定できますが、同時にサポートできる Integrity サーバは 1 台です。アクティブなサーバに障害が発生した場合は、セキュリティ アプライアンス上で別の Integrity サーバを設定してから、クライアント VPN セッションを再確立してください。
例
次の例は、IP アドレス 10.0.0.5 に ZL-Integrity-Svr というサーバ名を割り当ててから、この名前を使用して Zone Labs Intergity ファイアウォール サーバを設定しています。
関連コマンド
zonelabs-integrity ssl-certificate-port
Zone Labs Integrity ファイアウォール サーバが、SSL 証明書を取得するときに接続するセキュリティ アプライアンスのポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-certificate-port コマンドを使用します。デフォルトのポート番号(80)に戻すには、引数を指定せずにこのコマンドの no 形式を使用します。
zonelabs-integrity ssl-certificate-port cert-port-number
no zonelabs-integrity ssl-certificate-port
シンタックスの説明
Zone Labs Integrity ファイアウォール サーバが SSL 証明書を要求するときに接続するセキュリティ アプライアンスのポートの番号を指定します。 |
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール サーバがセキュリティ アプライアンスのポート 80 で SSL 証明書を要求するように設定されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの SSL 接続では、セキュリティ アプライアンスが SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始するときは、SSL サーバ(セキュリティ アプライアンス)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。 zonelabs-integrity ssl-certificate-port コマンドで、Zone Labs サーバが SSL サーバ証明書を要求するときに接続するポートを指定します。
例
次の例では、セキュリティ アプライアンスのポート 30 で、Zone Labs Integrity サーバからの SSL 証明書要求を受信するように設定します。
関連コマンド
zonelabs-integrity ssl-client-authentication
Zone Labs Integrity ファイアウォール サーバの SSL 証明書をセキュリティ アプライアンスで認証できるようにするには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-client-authentication コマンドを enable 引数を指定して使用します。Zone Labs の SSL 証明書の認証をディセーブルにするには、 disable 引数を使用するか、引数を指定せずにこのコマンドの no 形式を使用します。
zonelabs-integrity ssl-client-authentication { enable | disable }
no zonelabs-integrity ssl-client-authentication
シンタックスの説明
セキュリティ アプライアンスで Zone Labs Integrity ファイアウォール サーバの SSL 証明書を認証することを指定します。 |
|
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール サーバの SSL 証明書のセキュリティ アプライアンスによる認証は、ディセーブルです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスと Zone Labs Integrity ファイアウォール サーバとの SSL 接続では、セキュリティ アプライアンスが SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始するときは、SSL サーバ(セキュリティ アプライアンス)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。ただし、クライアント証明書の認証はオプションです。Zone Lab サーバ(SSL クライアント)証明書のセキュリティ アプライアンス認証をイネーブルまたはディセーブルにするには、 zonelabs-integrity ssl-client-authentication コマンドを使用します。
例
次の例では、Zone Labs Integrity ファイアウォール サーバの SSL 証明書を認証するようにセキュリティ アプライアンスを設定します。
フィードバック