Cisco Secure Firewall ASA シリーズコマンドリファレンス、A ～ H コマンド

client（CTL プロバイダー）

証明書信頼リストプロバイダーへの接続が許可されるクライアントを指定するか、またはクライアント認証用のユーザー名とパスワードを指定するには、CTL プロバイダーコンフィギュレーションモードで client コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

client { [ interface if_name ] ipv4_addr | username user_name password password [ encrypted ] }

no client { [ interface if_name ] ipv4_addr | username user_name password password [ encrypted ] }

構文の説明


encrypted	パスワードの暗号化を指定します。
interface `if_name`	接続が許可されるインターフェイスを指定します。
`ipv4_addr`	クライアントの IP アドレスを指定します。
password `password`	クライアント認証用のパスワードを指定します。
username `user_name`	クライアント認証用のユーザー名を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ctl プロバイダーコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

CTL プロバイダーへの接続を許可されるクライアントを指定し、クライアント認証用のユーザー名とパスワードを設定するには、CTL プロバイダーコンフィギュレーションモードで client コマンドを使用します。複数のコマンドを発行して、複数のクライアントを定義できます。ユーザー名とパスワードは、CallManager クラスタ用の CCM 管理者のユーザー名およびパスワードと一致する必要があります。

例

次の例は、CTL プロバイダーインスタンスを作成する方法を示しています。


ciscoasa(config)# ctl-provider my_ctl
 
ciscoasa(config-ctl-provider)# client interface inside 172.23.45.1
 
ciscoasa(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
 
ciscoasa(config-ctl-provider)# export certificate ccm_proxy
 
ciscoasa(config-ctl-provider)# ctl install

コマンド	説明
ctl	CTL クライアントの CTL ファイルを解析し、トラストポイントをインストールします。
ctl-provider	CTL プロバイダーコンフィギュレーションモードで CTL プロバイダーインスタンスを設定します。
export	クライアントにエクスポートする証明書を指定します。
service	CTL プロバイダーがリッスンするポートを指定します。
tls-proxy	TLS プロキシインスタンスを定義し、最大セッション数を設定します。

client（TLS プロキシ）

TLS プロキシのトラストポイント、キーペア、および暗号スイートを設定するには、TLS プロキシコンフィギュレーションモードで client コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

client { cipher-suite cipher_list | ldc { issuer ca_tp_name | key-pair key_label } | trust-point proxy_trustpoint | clear-text }

no client { cipher-suite cipher_list | ldc { issuer ca_tp_name | key-pair key_label } | trust-point proxy_trustpoint | clear-text }

構文の説明


cipher-suite `cipher_list`	暗号スイートを指定します。プラットフォームで使用可能なオプションを表示するには、暗号化リストに ? と入力します。
clear-text	ASA と TLS サーバー間の通信がクリアテキストで行われることを指定します（暗号化なし）。
ldc issuer `ca_tp_name`	クライアントのローカルダイナミック証明書を発行するローカル CA トラストポイントを指定します。
ldc keypair `key_label`	クライアントのローカルダイナミック証明書で使用する RSA キーペアを指定します。
trust-point `proxy_trustpoint`	ローカルダイナミック証明書の発行ではなく、スタティック証明書を使用するトラストポイントを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
TLS プロキシコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
8.0(4)	trust-point キーワードが追加されました。
9.6(1)	clear-text キーワードが追加されました。

使用上のガイドライン

いくつかのプロトコル検査エンジンでは、検査に必要である暗号化されたトラフィックの復号に TLS プロキシを使用します。検査の後、トラフィックはこのプロキシにより再度暗号化して宛先へ送信されます。

TLS プロキシで TLS クライアントロールとして動作する場合、ASA の TLS ハンドシェイクパラメータを制御するには、TLS プロキシコンフィギュレーションモードで client コマンドを使用します。

クライアントトラストポイントには次のオプションがあります。

ローカルダイナミック証明書の発行者を識別するには、client ldc コマンドを使用します。クライアントごとに一意の証明書が必要な場合は、このオプションを使用します。たとえば、SIP/SCCP インスペクション時の Cisco IP Phone の場合などです。クライアントの（crypto ca trustpoint コマンドで定義された）ダイナミック証明書を発行するローカル CA を識別するには、ldc issuer コマンドを使用します。トラストポイントには、proxy-ldc-issuer コマンドが設定されているか、デフォルトのローカル CA サーバー（LOCAL-CA-SERVER）が必要です。

crypto key generate コマンドで生成されたキーペアを識別するには、ldc key-pair コマンドを使用します。

スタティック証明書を使用するトラストポイントを識別するには、client trust-point コマンドを使用します。たとえば、SIP/SCCP インスペクション時の Cisco Unified Presence Server（CUPS）の場合です。この証明書は ASA が所有する必要があります（アイデンティティ証明書）。証明書には、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。
TLS サーバーとの非暗号化通信を使用するには、client clear-text コマンドを使用します。このオプションは、ASA および TLS サーバーが同じであるデータセンターに配置されており、通信の安全性を確信できる場合に使用できます。この設定は、Diameter インスペクションを目的としています。

また、client cipher-suite を使用して TLS プロキシに別の暗号スイートを設定することもできます。TLS プロキシで使用できる暗号方式を定義しないと、プロキシは ssl encryption コマンドによって定義された暗号スイートを使用します。このコマンドが定義されていない場合は、使用可能なすべての暗号方式が使用されます。ASA で一般に使用可能なものとは異なるスイートを使用する場合にのみ、このコマンドを指定します。このコマンドでは、2 つの TLS セッション間で異なる暗号方式を設定できます。CallManager サーバーでは、AES 暗号を使用する必要があります。

例

次に、ローカルダイナミック証明書の発行者を使用して TLS プロキシを作成する例を示します。


ciscoasa(config)# tls-proxy my_proxy
ciscoasa(config-tlsp)# server trust-point ccm_proxy
ciscoasa(config-tlsp)# client ldc issuer ldc_server
ciscoasa(config-tlsp)# client ldc keypair phone_common

次に、トラストポイントとスタティック証明書を使用して TLS プロキシを作成する例を示します。


ciscoasa(config)# tls-proxy my_proxy
ciscoasa(config-tlsp)# server trust-point ccm_proxy
ciscoasa(config-tlsp)# client trust-point ent_y_proxy

次に、ASA と Diameter サーバー間でクリアテキスト通信を使用する Diameter インスペクション用の TLS プロキシを作成する例を示します。


ciscoasa(config)# tls-proxy diameter-tls-offload-proxy
 
ciscoasa(config-tlsp)# server trust-point tls-proxy-server-tp
 
ciscoasa(config-tlsp)# client clear-text

コマンド	説明
ctl-provider	CTL プロバイダーインスタンスを定義し、CTL プロバイダーコンフィギュレーションモードを開始します。
server trust-point	TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を指定します。
show tls-proxy	TLS プロキシを表示します。
tls-proxy	TLS プロキシインスタンスを定義し、最大セッション数を設定します。

client-access-rule

ASA を通して IPsec 経由で接続できるリモートアクセスクライアントのタイプとバージョンを制限するルールを設定するには、グループポリシーコンフィギュレーションモードで client-access-rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

client-access-rule e プライオリティ { permit | deny } type type version version | none

no client-access-rule e プライオリティ [ { permit | deny } type type version version ]

構文の説明


deny	特定のタイプとバージョンのデバイスの接続を拒否します。
none	クライアントアクセスルールを許可しません。client-access-rule をヌル値に設定します。これにより制限が許可されなくなります。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。
permit	特定のタイプとバージョンのデバイスの接続を許可します。
priority	ルールのプライオリティを決定します。最小の整数値を持つルールは、プライオリティが最も高くなります。したがって、クライアントのタイプとバージョン（またはこのいずれか）に一致する最も小さい整数のルールが、適用されるルールとなります。値の小さいプライオリティルールに矛盾がある場合、ASA はそのルールを無視します。
type `type`	VPN 3002 などの自由形式のストリングを使用して、デバイスタイプを指定します。文字列は、* 文字をワイルドカードとして使用できる点を除き、show vpn-sessiondb remote コマンド出力で表示される値と完全に一致する必要があります。
version version	7.0 などの自由形式の文字列を使用して、デバイスバージョンを指定します。文字列は、* 文字をワイルドカードとして使用できる点を除き、show vpn-sessiondb remote コマンド出力で表示される値と完全に一致する必要があります。

コマンドデフォルト

デフォルトでは、アクセスルールはありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

すべてのルールを削除するには、priority 引数だけを指定して no client-access-rule command コマンドを使用します。これにより、client-access-rule none コマンドを発行して作成されたヌルルールを含む、設定済みのすべてのルールが削除されます。

クライアントアクセスルールがない場合、ユーザーはデフォルトのグループポリシー内に存在するすべてのルールを継承します。ユーザーがクライアントアクセスルールを継承しないようにするには、client-access-rule none コマンドを使用します。これにより、すべてのクライアントタイプおよびバージョンが接続できるようになります。

次の注意に従ってルールを作成します。

ルールを定義しない場合、ASA はすべての接続タイプを許可します。
クライアントがいずれのルールにも一致しない場合、ASA は接続を拒否します。つまり、拒否ルールを定義する場合は、許可ルールも 1 つ以上定義する必要があります。許可ルールを定義しないと、ASA はすべての接続を拒否します。
ソフトウェアクライアントとハードウェアクライアントの両方について、タイプおよびバージョンが show vpn-sessiondb remote コマンド出力で表示される値と完全に一致する必要があります。
* 文字はワイルドカードであり、各ルールで複数回使用できます。たとえば、 client-access-rul e 3 deny type * version 3.* では、バージョン 3.x のソフトウェアを実行しているすべてのクライアントタイプを拒否する、プライオリティ 3 のクライアントアクセスルールが作成されます。
1 つのグループポリシーにつき最大 25 のルールを作成できます。
ルールセット全体に対して 255 文字の制限があります。
クライアントのタイプとバージョンを送信しないクライアントに対して n/a を使用できます。

例

次に、FirstGroup という名前のグループポリシーのクライアントアクセスルールを作成する例を示します。これらのルールは、ソフトウェアバージョン 4.1 を実行している VPN クライアントを許可する一方で、すべての VPN 3002 ハードウェアクライアントを拒否します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# client-access-rule 1 d t VPN3002 v *
ciscoasa(config-group-policy)# client-access-rule 2 p * v 4.1

client-bypass-protocol

ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定するには、グループポリシーコンフィギュレーションモードで client-bypass-protocol コマンドを使用します。クライアントバイパスプロトコル設定をクリアするには、このコマンドの no 形式を使用します。

client-bypass-protocol { enable | disable }

no client-bypass-protocol { enable | disable }

構文の説明


enable	クライアントバイパスプロトコルがイネーブルの場合、ASA が IP アドレスのタイプを割り当てなかった IP トラフィックは、クライアントの通常の非 VPN ゲートウェイを通じて、クライアントからクリアテキストとして送信されます。
disable	クライアントバイパスプロトコルがディセーブルの場合、ASA が IP アドレスのタイプを割り当てなかった IPv6 トラフィックはドロップされます。

コマンドデフォルト

クライアントバイパスプロトコルは、DfltGrpPolicy でデフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

Client Bypass Protocol 機能を使用すると、ASA が IPv6 トラフィックだけを予期しているときの IPv4 トラフィックの管理方法や、IPv4 トラフィックだけを予期しているときの IPv6 トラフィックの管理方法を設定することができます。

セキュアクライアントが ASA に VPN 接続するときに、ASA は IPv4 と IPv6 の一方または両方のアドレスを割り当てます。ASA がセキュアクライアント接続に IPv4 アドレスまたは IPv6 アドレスだけを割り当てた場合に、ASA が IP アドレスを割り当てなかったネットワークトラフィックについて、クライアントプロトコルバイパスによってそのトラフィックをドロップさせるか、または ASA をバイパスしてクライアントからの暗号化なし、つまり「クリアテキスト」としての送信を許可するかを設定できるようになりました。

たとえば、ASA がセキュアクライアント接続に IPv4 アドレスのみを割り当て、エンドポイントがデュアルスタックされているとします。このエンドポイントが IPv6 アドレスへの到達を試みたときに、クライアントバイパスプロトコル機能がディセーブルの場合は、IPv6 トラフィックがドロップされますが、クライアントバイパスプロトコルがイネーブルの場合は、IPv6 トラフィックはクライアントからクリアテキストとして送信されます。

例

次に、クライアントバイパスプロトコルをイネーブルにする例を示します。


hostname(config-group-policy)# client-bypass-protocol enable
hostname(config-group-policy)#

次に、クライアントバイパスプロトコルをデイセーブルにする例を示します。


hostname(config-group-policy)# client-bypass-protocol disable
hostname(config-group-policy)#

次に、クライアントバイパスプロトコル設定をクリアする例を示します。


hostname(config-group-policy)# no client-bypass-protocol enable
hostname(config-group-policy)#

client-firewall

IKE トンネルのネゴシエーション時に ASA が VPN クライアントにプッシュするパーソナルファイアウォールポリシーを設定するには、グループポリシーコンフィギュレーションモードで client-firewall コマンドを使用します。ファイアウォールポリシーを削除するには、このコマンドの no 形式を使用します。

client-firewall none

no client-firewall { opt req } custom vendor-id num product-id num policy { AYT | CPP acl-in acl acl-out acl ] [ description string ]

client-firewall { opt | req } zonelabs-integrity

（注）

ファイアウォールのタイプを zonelabs-integrity にする場合は、引数を指定しないでください。ポリシーは、Zone Labs Integrity サーバーによって決められます。

client-firewall { opt | req } zonelabs-zonealarm policy { AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } zonelabs-zonealarmorpro policy { AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } zonelabs-zonealarmpro policy { AYT | CPP acl-in acl acl-out acl }

client-firewall { opt | req } cisco-integrated acl-in acl acl-out acl }

client-firewall { opt | req } sygate-personal

client-firewall { opt | req } sygate-personal-pro

client-firewall { opt | req } sygate-personal-agent

client-firewall { opt | req } networkice-blackice

client-firewall { opt | req } cisco-security-agent

構文の説明


acl-in `acl`	クライアントが着信トラフィックに使用するポリシーを指定します。
acl-out `acl`	クライアントが発信トラフィックに使用するポリシーを指定します。
AYT	クライアント PC のファイアウォールアプリケーションがファイアウォールポリシーを制御することを指定します。ASA はファイアウォールが実行されていることを確認します。「Are You There?」という確認メッセージが表示されます。応答がない場合は、ASA によってトンネルが切断されます。
cisco-integrated	Cisco Integrated ファイアウォールタイプを指定します。
cisco-security-agent	Cisco Intrusion Prevention Security Agent ファイアウォールタイプを指定します。
CPP	VPN クライアントファイアウォールポリシーのソースとしてプッシュされるポリシーを指定します。
custom	カスタムファイアウォールタイプを指定します。
description `string`	ファイアウォールの説明を示します。
networkice-blackice	Network ICE Black ICE ファイアウォールタイプを指定します。
none	クライアントファイアウォールポリシーがないことを指定します。ファイアウォールポリシーをヌル値に設定します。これによりファイアウォールポリシーが禁止されます。デフォルトのグループポリシーまたは指定されているグループポリシーからファイアウォールポリシーを継承しないようにします。
opt	オプションのファイアウォールタイプを指定します。
product-id	ファイアウォール製品を指定します。
req	必要なファイアウォールタイプを指定します。
sygate-personal	Sygate Personal ファイアウォールタイプを指定します。
sygate-personal-pro	Sygate Personal Pro ファイアウォールタイプを指定します。
sygate-security-agent	Sygate Security Agent ファイアウォールタイプを指定します。
vendor-id	ファイアウォールのベンダーを指定します。
zonelabs-integrity	Zone Labs Integrity サーバーファイアウォールタイプを指定します。
zonelabs-zonealarm	Zone Labs Zone Alarm ファイアウォールタイプを指定します。
zonelabs-zonealarmorpro policy	Zone Labs Zone Alarm または Pro ファイアウォールタイプを指定します。
zonelabs-zonealarmpro policy	Zone Labs Zone Alarm Pro ファイアウォールタイプを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グループポリシーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.2(1)	zonelabs-integrity ファイアウォールタイプが追加されました。

使用上のガイドライン

設定できるのは、このコマンドの 1 つのインスタンスのみです。

すべてのファイアウォールポリシーを削除するには、引数を指定せずに no client-firewall コマンドを入力します。このコマンドは、 client-firewall none コマンドを発行して作成したヌルポリシーを含め、すべての設定済みファイアウォールポリシーを削除します。

ファイアウォールポリシーがなくなると、ユーザーはデフォルトまたはその他のグループポリシー内に存在するファイアウォールポリシーを継承します。ユーザーがそれらのファイアウォールポリシーを継承しないようにするには、 client-firewall none コマンドを使用します。

例

次に、FirstGroup という名前のグループポリシーについて、Cisco Intrusion Prevention Security Agent を必要とするクライアントファイアウォールポリシーを設定する例を示します。


ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# client-firewall
             req cisco-security-agent

client-types（クリプト CA トラストポイント）

ユーザー接続に関連付けられた証明書の検証にこのトラストポイントを使用できるクライアント接続タイプを指定するには、クリプト CA トラストポイントコンフィギュレーションモードで client-types コマンドを使用します。

[ no ] client-types { ssl | ipsec }

構文の説明


ipsec	トラストポイントと関連付けられている認証局（CA）証明書およびポリシーを IPsec 接続の検証に使用できることを指定します。
ssl	トラストポイントと関連付けられている認証局（CA）証明書およびポリシーを SSL 接続の検証に使用できることを指定します。

コマンドデフォルト

デフォルトの値や動作はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション					—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

同じ CA 証明書に関連付けられているトラストポイントが複数ある場合、特定のクライアントタイプに設定できるのは 1 つのトラストポイントだけです。ただし、1 つのトラストポイントを 1 つのクライアントタイプに設定し、別のトラストポイントを別のクライアントタイプに設定することができます。

同じ CA 証明書に関連付けられているトラストポイントがあり、これがすでに 1 つのクライアントタイプに設定されている場合は、この同じクライアントタイプ設定に新しいトラストポイントを設定することはできません。このコマンドの no 形式を使用して設定をクリアして、トラストポイントがいずれのクライアント検証にも使用できないようにすることができます。

リモートアクセス VPN では、導入要件に応じて、セキュアソケットレイヤ（SSL）VPN、IP Security（IPsec）、またはこの両方を使用して、事実上すべてのネットワークアプリケーションまたはリソースにアクセスを許可できます。

例

次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモードを開始して、このトラストポイントを SSL トラストポイントとして指定する例を示します。


hostname(config)# crypto ca trustpoint central
hostname(config-ca-trustpoint)# client-types ssl
hostname(config-ca-trustpoint)#

次に、トラストポイント checkin 1 のクリプト CA トラストポイントコンフィギュレーションモードを開始して、このトラストポイントを IPsec トラストポイントとして指定する例を示します。


hostname(config)# crypto ca trustpoint checkin1
hostname(config-ca-trustpoint)# client-types ipsec
hostname(config-ca-trustpoint)#

コマンド	説明
crypto ca trustpoint	トラストポイントコンフィギュレーションモードを開始します。
`id-usage`	トラストポイントの登録された ID の使用方法を指定します。
ssl trust-point	インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

client-update

すべてのトンネルグループまたは特定のトンネルグループで、アクティブなすべてのリモート VPN ソフトウェアクライアントとハードウェアクライアント、および Auto Update クライアントとして設定されている ASA 用のクライアント更新を発行するには、特権 EXEC モードで client-update コマンドを使用します。

クライアント更新のパラメータをグローバルレベル（VPN ソフトウェアクライアントとハードウェアクライアント、および Auto Update クライアントとして設定されている ASA を含む）で設定および変更するには、グローバルコンフィギュレーションモードで client-update コマンドを使用します。

VPN ソフトウェアクライアントとハードウェアクライアント用のクライアントアップデートトンネルグループ IPsec 属性パラメータを設定および変更するには、トンネルグループ ipsec 属性コンフィギュレーションモードで client-update コマンドを使用します。

クライアント更新をディセーブルにするには、このコマンドの no 形式を使用します。

グローバルコンフィギュレーションモードのコマンドは、次のとおりです。

client-update { enable | component { asdm | image } | device_id dev_string | family family_name | type type } url url-string rev-nums rev-nums }

no client-update { enable | component { asdm | image } | device_id dev_string | family family_name | type type } url url-string rev-nums rev-nums }

トンネルグループ ipsec 属性コンフィギュレーションモードのコマンドは、次のとおりです。

client-update type type url url-string rev-nums rev-nums

no client-update type type url url-string rev-nums rev-nums

特権 EXEC モードのコマンドは、次のとおりです。

client-update { all | tunnel-group }

no client-update tunnel-group

構文の説明


all	（特権 EXEC モードでのみ使用可能）すべてのトンネルグループのすべてのアクティブリモートクライアントにアクションを適用します。キーワード all をこのコマンドの no 形式で使用することはできません。
component {asdm \| image }	Auto Update クライアントとして設定されている ASA のソフトウェアコンポーネント。
device-id `dev_string`	固有のストリングで自身を識別するように Auto Update クライアントが設定されている場合は、クライアントが使用するのと同じストリングを指定します。最大で 63 文字です。
enable	（グローバルコンフィギュレーションモードでのみ使用可能）リモートクライアントのソフトウェア更新をイネーブルにします。
family `family_name`	デバイスファミリで自身を識別するように Auto Update クライアントが設定されている場合は、クライアントが使用するのと同じデバイスファミリを指定します。これは、asa、pix、または最大 7 文字のテキストストリングです。
rev-nums `rev-nums`	（特権 EXEC モードでは使用不可）このクライアントのソフトウェアまたはファームウェアイメージを指定します。Windows、WIN9X、WinNT、および VPN3002 の各クライアントは、任意の順番で 4 つまで、カンマで区切って指定できます。ASA の場合、1 つだけが許可されます。ストリングの最大長は 127 文字です。
`tunnel-group`	（特権 EXEC モードでのみ使用可能）リモートクライアントアップデートの有効なトンネルグループの名前を指定します。
type `type`	（特権 EXEC モードでは使用不可）クライアントアップデートを通知するために、リモート PC のオペレーティングシステム、または Auto Update クライアントとして設定されている ASA のタイプを指定します。リストは次のとおりです。 asa5505：Cisco 5505 適応型セキュリティアプライアンス asa5510：Cisco 5510 適応型セキュリティアプライアンス asa5520：Cisco 5520 適応型セキュリティアプライアンス asa5540：Cisco 5540 適応型セキュリティアプライアンス linux：Linux クライアント mac：MAC OS X クライアント pix-515：Cisco PIX 515 Firewall pix-515e：Cisco PIX 515E Firewall pix-525：Cisco PIX 525 Firewall pix-535：Cisco PIX 535 Firewall Windows：Windows ベースのすべてのプラットフォーム WIN9X：Windows 95、Windows 98、および Windows ME プラットフォーム WinNT：Windows NT 4.0、Windows 2000、および Windows XP プラットフォーム vpn3002：VPN 3002 ハードウェアクライアント最大 15 文字のテキストストリング
url `url-string`	（特権 EXEC モードでは使用不可）ソフトウェア/ファームウェアイメージの URL を指定します。この URL は、クライアントに適合するファイルを指している必要があります。ストリングの最大長は 255 文字です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	—	対応	—	—
グローバルコンフィギュレーション	対応	—	対応	—	—
トンネルグループ ipsec 属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.1(1)	トンネルグループ ipsec 属性コンフィギュレーションモードが追加されました。
7.2(1)	Auto Update サーバーとして設定された ASA をサポートするために、component 、device-id 、および family キーワードとその引数が追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

トンネルグループ ipsec 属性コンフィギュレーションモードでは、この属性を IPsec リモートアクセストンネルグループタイプのみに適用できます。

client-update コマンドを使用すると、更新のイネーブル化、更新の適用先となるクライアントのタイプとリビジョン番号の指定、更新の取得元となる URL または IP アドレスの指定を実行できます。また、Windows クライアントの場合は、VPN クライアントバージョンを更新する必要があることを任意でユーザーに通知できます。リビジョン番号のリストにあるソフトウェアバージョンをすでに実行しているクライアントの場合は、ソフトウェアを更新する必要はありません。リストにあるソフトウェアバージョンを実行していないクライアントの場合は、ソフトウェアを更新する必要があります。

Windows クライアントに対しては、更新を実行するメカニズムをユーザーに提供できます。VPN 3002 ハードウェアクライアントユーザーの場合、アップデートは通知せずに自動的に行われます。クライアントのタイプが別の ASA である場合は、この ASA が Auto Update サーバーとして機能します。

（注）

すべての Windows クライアントと Auto Update クライアントで、URL のプレフィックスとして、「http://」または「https://」プロトコルを使用する必要があります。VPN 3002 ハードウェアクライアントの場合、代わりに「tftp://」にプロトコルを指定する必要があります。

また、Windows クライアントと VPN3002 ハードウェアクライアントでは、特定のタイプのすべてのクライアントではなく、個々のトンネルグループだけのクライアントアップデートを設定することもできます。

（注）

URL の末尾にアプリケーション名を含めることで（例：https://support/updates/vpnclient.exe）、アプリケーションを自動的に起動するようにブラウザを設定できます。

クライアントアップデートをイネーブルにした後に、特定の IPsec リモートアクセストンネルグループの一連のクライアントアップデートのパラメータを定義できます。これを行うには、トンネルグループ ipsec 属性モードで、トンネルグループの名前とタイプ、および更新されたイメージの取得元となる URL または IP アドレスを指定します。また、リビジョン番号も指定する必要があります。ユーザーのクライアントリビジョン番号が、指定したリビジョン番号のいずれかと一致する場合、そのクライアントを更新する必要はありません。たとえば、すべての Windows クライアント用のクライアントアップデートを発行する必要はありません。

任意で、古い Windows クライアントを使用しているアクティブユーザーに、VPN クライアントの更新が必要であることを知らせる通知を送信できます。これらのユーザーに対しては、ダイアログボックスが表示されます。ユーザーはこのダイアログボックスからブラウザを起動して、URL で指定されているサイトから、更新されたソフトウェアをダウンロードできます。このメッセージで設定可能な部分は URL だけですアクティブでないユーザーは、次回のログイン時に通知メッセージを受け取ります。この通知は、すべてのトンネルグループのすべてのアクティブクライアントに送信するか、または特定のトンネルグループのクライアントに送信できます。

ユーザーのクライアントリビジョン番号が、指定したリビジョン番号のいずれかと一致する場合、そのクライアントを更新する必要はありません。また、ユーザーは通知メッセージを受信しません。VPN 3002 クライアントはユーザーの介入なしで更新され、ユーザーは通知メッセージを受信しません。

（注）

クライアント更新のタイプを windows （Windows ベースのすべてのプラットフォーム）に指定し、その後、同じエンティティに win9x または winnt のクライアント更新タイプを入力する必要が生じた場合は、まずこのコマンドの no 形式で windows クライアントタイプを削除してから、新しい client-update コマンドを使用して新しいクライアントタイプを指定します。

例

次に、グローバルコンフィギュレーションモードで、すべてのトンネルグループのすべてのアクティブリモートクライアントに対してクライアント更新をイネーブルにする例を示します。


ciscoasa(config)# client-update enable
ciscoasa#

次の例は、Windows（Win9x、WinNT）だけに適用されます。グローバルコンフィギュレーションモードで、リビジョン番号 4.7、およびアップデートを取得するための URL（https://support/updates）を含む、すべての Windows ベースのクライアントのクライアントアップデートパラメータを設定します。


ciscoasa(config)# client-update type windows url https://support/updates/ rev-nums 4.7
ciscoasa(config)#

次の例は、VPN 3002 ハードウェアクライアントだけに適用されます。トンネルグループ ipsec 属性コンフィギュレーションモードを開始すると、IPsec リモートアクセストンネルグループ「salesgrp」用のクライアントアップデートパラメータが設定されます。リビジョン番号 4.7 を指定し、TFTP プロトコルを使用して、更新されたソフトウェアを IP アドレス 192.168.1.1 のサイトから取得します。


ciscoasa(config)# tunnel-group salesgrp type ipsec-ra
ciscoasa(config)# tunnel-group salesgrp ipsec-attributes
ciscoasa(config-tunnel-ipsec)# client-update type vpn3002 
url tftp:192.168.1.1 rev-nums 4.7
ciscoasa(config-tunnel-ipsec)#

次に、Auto Update クライアントとして設定されている Cisco 5520 ASA であるクライアントのクライアントアップデートを発行する例を示します。


ciscoasa(config)# client-update type asa5520 component asdm url
http://192.168.1.114/aus/asdm501.bin rev-nums 7.2(1)

次に、特権 EXEC モードで、クライアントソフトウェアを更新する必要があるトンネルグループ「remotegrp」内の、接続中のすべてのリモートクライアントにクライアントアップデート通知を送信する例を示します。他のグループのクライアントは、アップデート通知を受け取りません。


ciscoasa# client-update remotegrp
ciscoasa# 
The following example, entered in privileged EXEC mode, notifies all active clients on all tunnel groups:
ciscoasa# client-update all
ciscoasa#

コマンド	説明
clear configure client-update	クライアントアップデートコンフィギュレーション全体をクリアします。
`show` `running-config` `client-update`	現在のクライアントアップデートコンフィギュレーションを表示します。
tunnel-group ipsec-attributes	このグループのトンネルグループ ipsec 属性を設定します。

clock set

ASA のクロックを手動で設定するには、特権 EXEC モードで clock set コマンドを使用します。

clock set hh :mm: ss { month day | day month } year

構文の説明


`day`	1 ～ 31 の日付を設定します。標準の日付形式に応じて、月日を april 1 または 1 april のように入力できます。
`hh` : `mm` : `ss`	時、分、秒を 24 時間形式で設定します。たとえば、午後 8 時 54 分は 20:54:00 のように設定します。
`month`	月を設定します。標準の日付形式に応じて、月日を april 1 または 1 april のように入力できます。
`year`	たとえば、2004 など、4 桁で年を設定します。年の範囲は 1993 ～ 2035 です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

clock コンフィギュレーションコマンドを入力していない場合、clock set コマンドのデフォルトの時間帯は UTC です。clock timezone コマンドを使用して、 clock set コマンドの入力後に時間帯を変更した場合、時間は自動的に新しい時間帯に調整されます。ただし、clock timezone コマンドを使用して時間帯を設定した後に clock set コマンドを入力した場合は、UTC ではなく、新しい時間帯に応じた時間を入力します。同様に、clock set コマンドの後に clock summer-time コマンドを入力した場合、時間は夏時間に調整されます。 clock summer-time コマンドの後に clock set コマンドを入力した場合は、夏時間の正しい時間を入力します。

このコマンドはハードウェアチップ内の時間を設定しますが、コンフィギュレーションファイル内の時間は保存しません。この時間はリブート後も保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、clock set コマンドの新しい時刻を設定する必要があります。

例

次に、時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定し、MDT の現在の時間を 2004 年 7 月 27 日の午後 1 時 15 分に設定する例を示します。


ciscoasa(config)# clock timezone MST -7
ciscoasa(config)# clock summer-time MDT recurring
ciscoasa(config)# exit
ciscoasa# clock set 13:15:0 jul 27 2004
ciscoasa# show clock
13:15:00.652 MDT Tue Jul 27 2004

次に、クロックを UTC 時間帯で 2004 年 7 月 27 日の 8 時 15 分に設定し、その後時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定する例を示します。終了時刻（MDT の 1 時 15 分）は前の例と同じです。


ciscoasa# clock set 20:15:0 jul 27 2004
ciscoasa# configure terminal
ciscoasa(config)# clock timezone MST -7
ciscoasa(config)# clock summer-time MDT recurring
ciscoasa# show clock
13:15:00.652 MDT Tue Jul 27 2004

コマンド	説明
clock summer-time	夏時間を表示する日付の範囲を設定します。
clock timezone	時間帯を設定します。
show clock	現在時刻を表示します。

clock summer-time

ASA の時間の表示に夏時間の日付範囲を設定するには、グローバルコンフィギュレーションモードで clock summer-time コマンドを使用します。夏時間の日付をディセーブルにするには、このコマンドの no 形式を使用します。

clock summer-time ゾーン recurring [ week weekday month hh: mm week weekday month hh: mm ] [ offset ]

no clock summer-time [ ゾーン recurring [ week weekday month hh: mm week weekday month hh: mm ] [ offset ]

clock summer-time ゾーン date { day month | month day } year hh: mm { day month | month day } year hh: mm [ offset ]

no clock summer-time [ ゾーン date { day month | month day } year hh: mm { day month | month day } year hh: mm [ offset ] ]

（注）

このコマンドは、アプライアンスモードの Firepower 1000 または Firepower 2100 ではサポートされていません。

構文の説明


date	夏時間の開始日と終了日を、特定の年の特定の日付として指定します。このキーワードを使用する場合は、日付を毎年リセットする必要があります。
`day`	1 ～ 31 の日付を設定します。標準の日付形式に応じて、月日を April 1 または 1 April のように入力できます。
`hh:mm`	時間と分を 24 時間形式で設定します。
`month`	月をストリングで設定します。date コマンドでは、標準の日付形式に応じて、月日を April 1 または 1 April のように入力できます。
`offset`	（任意）夏時間の時間を変更する分数を設定します。デフォルト値は 60 分です。
recurring	夏時間の開始日と終了日を、年の特定の日付ではなく、月の日時の形式で指定します。このキーワードを使用すると、定期的な日付範囲を設定できるため、毎年変更する必要がありません。日付を指定しない場合、ASA は、米国のデフォルトの日付範囲（3 月の第 2 日曜日の午前 2 時～ 11 月の第 1 日曜日の午前 2 時）を使用します。
`week`	（任意）週を 1 ～ 4 の整数で指定するか、first や last の語で指定します。たとえば、日付が 5 週目に当たる場合は、last を指定します。
`weekday`	（任意）Monday 、Tuesday 、Wednesday などの曜日を指定します。
`year`	たとえば、2004 など、4 桁で年を設定します。年の範囲は 1993 ～ 2035 です。
`zone`	太平洋夏時間の時間帯をストリング（PDT など）で指定します。このコマンドで設定した日付範囲に従って ASA が夏時間を表示する場合、時間帯はここで設定した値に変更されます。基本の時間帯を UTC 以外の時間帯に設定するには、clock timezone コマンドを参照してください。

コマンドデフォルト

デフォルトのオフセットは 60 分です

デフォルトの定期的な日付範囲は、3 月の第 2 日曜日の午前 2 時～ 11 月の第 1 日曜日の午前 2 時です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.0(2)	デフォルトの定期的な日付範囲が、3 月の第 2 日曜日の午前 2 時～ 11 月の第 1 日曜日の午前 2 時に変更されました。

使用上のガイドライン

南半球の場合、ASA は、開始月が終了月よりも後に来る（10 月～ 3 月など）ことを受け入れます。

例

次に、オーストラリアの夏時間の日付範囲を設定する例を示します。


ciscoasa(config)# clock summer-time PDT recurring last Sunday October 2:00 last Sunday March 2:00

国によっては、夏時間が特定の日付に開始されます。次に、夏時間を 2008 年 4 月 1 日午前 3 時に開始し、2008 年 10 月 1 日午前 4 時に終了するように設定する例を示します。


ciscoasa(config)# clock summer-time UTC date 1 April 2008 3:00 1 October 2008 4:00

コマンド	説明
clock set	ASA のクロックを手動で設定します。
clock timezone	時間帯を設定します。
ntp server	NTP サーバーを指定します。
show clock	現在時刻を表示します。

clock timezone

ASA のクロックの時間帯を設定するには、グローバルコンフィギュレーションモードで clock timezone コマンドを使用します。時間帯をデフォルトの UTC に戻すには、このコマンドの no 形式を使用します。

アプライアンスモードの Firepower 1000 および 2100 の場合：

clock timezone ゾーン

no clock timezone [ ゾーン ]

他のすべてのモデルの場合：

clock timezone zone [ - ] hours [ minutes ]

no clock timezone [ zone [ - ] hours [ minutes ] ]

構文の説明


[- ]`hours`	UTC からのオフセットの時間数を設定します。たとえば、PST は -8 時間です。
`minutes`	（任意）UTC からのオフセットの分数を設定します。
`zone`	太平洋標準時間の時間帯を文字列（PST など）で指定します。アプライアンスモードの Firepower 1000 および 2100 では、clock timezone ? コマンドを入力し、使用可能なタイムゾーン名のリストを表示します。

コマンドデフォルト

デフォルトの時間帯は UTC です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.13(1)	このコマンドは、アプライアンスモードの Firepower 1000 および 2100 に対して更新されました。

使用上のガイドライン

夏時間を設定するには、clock summer-time コマンド（Firepower 1000 または 2100 ではサポート対象外）を参照してください。

clock set コマンド、または NTP サーバーから生成された時間は、時間を UTC で設定します。このコマンドを使用して、時間帯を UTC のオフセットとして設定する必要があります。

例

アプライアンスモードの Firepower 1000 および 2100 の場合、タイムゾーンを山地標準時に設定する例を次に示します。


ciscoasa(config)# clock timezone ?
Available timezones:
CET
CST6CDT
Cuba
EET
Egypt
Eire
EST
EST5EDT
Factory
GB
GB-Eire
GMT
GMT0
GMT-0
GMT+0
Greenwich
Hongkong
HST
Iceland
Iran
Israel
Jamaica
Japan
[...]
ciscoasa(config)# clock timezone US/?
 
configure mode commands/options:
  US/Alaska          US/Aleutian    US/Arizona    US/Central
  US/East-Indiana    US/Eastern     US/Hawaii     US/Indiana-Starke
  US/Michigan        US/Mountain    US/Pacific 
ciscoasa(config)# clock timezone US/Mountain

次に、時間帯を太平洋標準時間（UTC から -8 時間）に設定する例を示します。


ciscoasa(config)# clock timezone PST -8

コマンド	説明
clock set	ASA のクロックを手動で設定します。
clock summer-time	夏時間を表示する日付の範囲を設定します。
ntp server	NTP サーバーを指定します。
show clock	現在時刻を表示します。

clu-keepalive-interval

フローオーナーからディレクタおよびバックアップオーナーへのフロー状態更新メッセージ（clu_keepalive および clu_update メッセージ）のキープアライブ間隔を設定するには、クラスタグループコンフィギュレーションモードで clu-keepalive-interval コマンドを使用します。デフォルト設定を使用するには、このコマンドの no 形式を使用します。

clu-keepalive-interval seconds

no clu-keepalive-interval

構文の説明


`seconds`	15 ～ 55。デフォルトは 15 です。

コマンドデフォルト

デフォルトは 15 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタグループコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.20(1)	このコマンドが追加されました。

使用上のガイドライン

フローオーナーは、キープアライブ（clu_keepalive メッセージ）と更新（clu_update メッセージ）をディレクタおよびバックアップオーナーに送信して、フローの状態を更新します。キープアライブ間隔を設定できるようになりました。デフォルトは 15 秒で、15 ～ 55 秒の範囲で間隔を設定できます。クラスタ制御リンクのトラフィック量を減らすために長い間隔を設定できます。

このコマンドは、ブートストラップ設定の一部ではなく、制御ノードからデータノードに複製されます。

例

次に、キープアライブ間隔を 30 秒に設定する例を示します。


ciscoasa(config)# cluster group cluster1
ciscoasa(cfg-cluster)# clu-keepalive-interval 30

コマンド	説明
clacp system-mac	スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバースイッチとの間で EtherChannel のネゴシエーションを行います。
cluster group	クラスタに名前を付け、クラスタコンフィギュレーションモードを開始します。
cluster-interface	クラスタ制御リンクインターフェイスを指定します。
cluster interface-mode	クラスタインターフェイスモードを設定します。
conn-rebalance	接続の再分散をイネーブルにします。
console-replicate	スレーブユニットからマスターユニットへのコンソール複製をイネーブルにします。
enable (cluster group)	クラスタリングをイネーブルにします。
health-check	クラスタのヘルスチェック機能（ユニットのヘルスモニタリングおよびインターフェイスのヘルスモニタリングを含む）をイネーブルにします。
key	クラスタ制御リンクの制御トラフィックの認証キーを設定します。
local-unit	クラスタメンバーに名前を付けます。
mtu cluster-interface	クラスタ制御リンクインターフェイスの最大伝送ユニットを指定します。
priority (cluster group)	マスターユニット選定のこのユニットのプライオリティを設定します。

cluster-ctl-file（廃止）

フラッシュメモリに格納されている既存の CTL ファイルから、すでに作成されているトラストポイントを使用するには、CTL ファイルコンフィギュレーションモードで cluster-ctl-file コマンドを使用します。CTL ファイルのコンフィギュレーションを削除して、新しい CTL ファイルを作成できるようにするには、このコマンドの no 形式を使用します。

cluster-ctl-filefilename_path

no cluster-ctl-file filename_path

構文の説明


`filename_path`	ディスクまたはフラッシュメモリに格納されている CTL ファイルのパスおよびファイル名を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ctl ファイルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(4)	コマンドが追加されました。
9.4(1)	このコマンドは、すべての phone-proxy モードコマンドとともに廃止されました。

使用上のガイドライン

このコマンドが設定されている場合、電話プロキシは、フラッシュメモリに格納されている CTL ファイルを解析し、その CTL ファイルからのトラストポイントをインストールし、フラッシュのそのファイルを使用して新しい CTL ファイルを作成します。

例

次に、フラッシュメモリに格納されている CTL ファイルからトラストポイントをインストールするために、CTL ファイルを解析する例を示します。


ciscoasa(config-ctl-file)# cluster-ctl-file disk0:/old_ctlfile.tlv

コマンド	説明
ctl-file (global)	電話プロキシコンフィギュレーション用に作成する CTL ファイル、またはフラッシュメモリから解析するための CTL ファイルを指定します。
ctl-file (phone-proxy)	Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。
phone-proxy	Phone Proxy インスタンスを設定します。

cluster encryption

仮想ロードバランシングクラスタ上で交換されるメッセージの暗号化をイネーブルにするには、VPN ロードバランシングコンフィギュレーションモードで cluster encryption コマンドを使用します。暗号化をディセーブルにするには、このコマンドの no 形式を使用します。

clusterencryption

noclusterencryption

（注）

VPN ロードバランシングには、アクティブな 3DES または AES ライセンスが必要です。ASA では、ロードバランシングをイネーブルにする前に、このクリプトライセンスが存在するかをチェックします。アクティブな 3DES または AES ライセンスを検出できない場合、ASA は、ロードバランシングのイネーブル化を回避し、さらにライセンスがこの使用を許可していない限り、ロードバランシングシステムによる 3DES の内部コンフィギュレーションを回避します。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

暗号化は、デフォルトではディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
VPN ロードバランシングコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、仮想ロードバランシングクラスタ上で交換されるメッセージの暗号化のオンとオフを切り替えます。

cluster encryption コマンドを設定する前に、まず vpn load-balancing コマンドを使用して VPN ロードバランシングコンフィギュレーションモードを開始する必要があります。また、クラスタの暗号化をイネーブルにする前に、cluster key コマンドを使用してクラスタ共有秘密キーを設定する必要があります。

（注）

暗号化を使用する場合は、最初にコマンド isakmp enable inside を設定する必要があります。ここで、inside は、ロードバランシングの内部インターフェイスを示します。ISAKMP がロードバランシング内部インターフェイスでイネーブルになっていない場合、クラスタの暗号化を設定しようとするとエラーメッセージが表示されます。

例

次に、仮想ロードバランシングクラスタの暗号化をイネーブルにする cluster encryption コマンドを含む VPN ロードバランシングコマンドシーケンスの例を示します。


ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# cluster key 123456789
ciscoasa(config-load-balancing)# cluster encryption
ciscoasa(config-load-balancing)# participate

cluster exec

クラスタ内のすべてのユニット、または特定のメンバーに対してコマンドを実行するには、特権 EXEC モードで cluster exec コマンドを使用します。

cluster exec [ unit unit_name ] command

構文の説明


unit unit_name	（オプション）特定のユニットに対してコマンドを実行します。メンバー名を表示するには、cluster exec unit ? コマンドを入力するか（現在のユニットを除くすべての名前を表示する場合）、 show cluster info コマンドを入力します。
command	実行するコマンドを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

show コマンドをすべてのメンバーに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。capture や copy などのその他のコマンドも、クラスタ全体での実行を活用できます。

例

同じキャプチャファイルをクラスタ内のすべてのユニットから同時に TFTP サーバーにコピーするには、マスターユニットで次のコマンドを入力します。


ciscoasa# cluster exec copy /pcap capture: tftp://10.1.1.56/capture1.pcap

複数の PCAP ファイル（各ユニットから 1 つずつ）が TFTP サーバーにコピーされます。宛先のキャプチャファイル名には自動的にユニット名が付加され、capture1_asa1.pcap、capture1_asa2.pcap などとなります。この例では、asa1 および asa2 がクラスタユニット名です。

次の例では、cluster exec show port-channel summary コマンドの出力に、クラスタの各メンバーの EtherChannel 情報が表示されています。


ciscoasa# cluster exec show port-channel summary
primary(LOCAL):***********************************************************
 Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster  Ports
------+-------------+-----------+-----------------------------------------------
1         Po1              LACP      	Yes  Gi0/0(P)
2         Po2              LACP      	Yes  Gi0/1(P)
 secondary:******************************************************************
 Number of channel-groups in use: 2
Group  Port-channel  Protocol  Span-cluster   Ports
------+-------------+-----------+-----------------------------------------------
1         Po1              LACP      	Yes   Gi0/0(P)
2         Po2              LACP      	Yes   Gi0/1(P)

cluster flow-mobility lisp

トラフィッククラスのフローモビリティをイネーブルにするには、クラスコンフィギュレーションモードで cluster flow-mobility lisp コマンドを使用します。クラスコンフィギュレーションモードにアクセスするには、policy-map コマンドを入力します。フローモビリティをディセーブルにするには、このコマンドの no 形式を使用します。

cluster flow-mobility lisp

no cluster flow-mobility lisp

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.5(2)	このコマンドが追加されました。

使用上のガイドライン

フローモビリティは、ビジネスクリティカルなトラフィックに対してイネーブルにする必要があります。たとえば、フローモビリティを HTTPS トラフィックのみ、または特定のサーバーへのトラフィックのみに制限できます。

クラスタフローモビリティの LISP インスペクションについて

ASA は、場所の変更について LISP トラフィックを検査し、シームレスなクラスタリング操作のためにこの情報を使用します。LISP の統合により、ASA クラスタメンバーは、最初のホップルータと ETR または ITR との間で渡される LISP トラフィックを検査し、その後、フローの所有者を新しいサイトへ変更できます。

クラスタフローモビリティには複数の相互に関連する設定が含まれています。

（オプション）ホストまたはサーバーの IP アドレスに基づく検査される EID の限定：最初のホップルータは、ASA クラスタが関与していないホストまたはネットワークに関する EID 通知メッセージを送信することがあるため、EID をクラスタに関連するサーバーまたはネットワークのみに限定することができます。たとえば、クラスタが 2 つのサイトのみに関連しているが、LISP は 3 つのサイトで稼働している場合は、クラスタに関連する 2 つのサイトの EID のみを含めます。policy-map type inspect lisp 、allowed-eid, および validate-key コマンドを参照してください。
LISP トラフィックのインスペクション：ASA は、最初のホップルータと ITR または ETR 間で送信された EID 通知メッセージに関して LISP トラフィックを検査します。ASA は EID とサイト ID を相関付ける EID テーブルを維持します。たとえば、最初のホップルータの送信元 IP アドレスと ITR または ETR の宛先アドレスをもつ LISP トラフィックを検査する必要があります。inspect lisp コマンドを参照してください。
指定されたトラフィックでのフローモビリティを有効にするサービスポリシー：ビジネスクリティカルなトラフィックでフローモビリティを有効にする必要があります。たとえば、フローモビリティを、HTTPS トラフィックのみに制限したり、特定のサーバとの間でやり取りされるトラフィックのみに制限したりできます。cluster flow-mobility lisp コマンドを参照してください。
サイト ID：ASA は各クラスタユニットのサイト ID を使用して、新しい所有者を判別します。site-id コマンドを参照してください。
フローモビリティを有効にするクラスタレベルの設定：クラスタレベルでもフローモビリティを有効にする必要があります。このオン/オフの切り替えを使用することで、特定のクラスのトラフィックまたはアプリケーションに対してフローモビリティを簡単に有効または無効にできます。flow-mobility lisp コマンドを参照してください。

例

次に、HTTPS を使用して 10.10.10.0/24 のサーバーに送信されるすべての内部トラフィックに対してフローモビリティをイネーブルにする例を示します。


ciscoasa(config)# access-list IMPORTANT-FLOWS extended permit tcp any 10.10.10.0 255.255.255.0 eq https
ciscoasa(config)# class-map IMPORTANT-FLOWS-MAP
ciscoasa(config)# match access-list IMPORTANT-FLOWS
ciscoasa(config-cmap)# policy-map INSIDE_POLICY
ciscoasa(config-pmap)# class IMPORTANT-FLOWS-MAP
ciscoasa(config-pmap-c)# cluster flow-mobility lisp

cluster group

クラスタブートストラップのパラメータやその他のクラスタ設定を設定するには、グローバルコンフィギュレーションモードで cluster group コマンドを使用します。クラスタ設定をクリアするには、このコマンドの no 形式を使用します。

cluster group name

no cluster group name

構文の説明


`name`	1 ～ 38 文字の ASCII 文字列としてクラスタ名を指定します。クラスタグループはユニットあたり 1 つしか設定できません。クラスタのすべてのメンバが同じ名前を使用する必要があります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

クラスタ内の各ユニットがクラスタに参加するには、ブートストラップコンフィギュレーションが必要です。一般的には、クラスタに参加するように最初に設定したユニットがマスターユニットとなります。クラスタリングをイネーブルにした後で、選定期間が経過すると、クラスタのマスターユニットが選定されます。最初はクラスタ内のユニットが 1 つだけであるため、そのユニットがマスターユニットになります。それ以降クラスタに追加されるユニットは、スレーブユニットとなります。

クラスタリングを設定する前に、cluster interface-mode コマンドを使用してクラスタインターフェイスモードを設定する必要があります。

クラスタリングをイネーブルまたはディセーブルにするには、コンソールポートまたは ASDM を使用する必要があります。Telnet または SSH を使用することはできません。

例

次の例では、管理インターフェイスを設定し、クラスタ制御リンク用のデバイスローカル EtherChannel を設定し、ヘルスチェックをディセーブルにし（一時的に）、その後で、「unit1」という名前の ASA のクラスタリングをイネーブルにします。これは最初にクラスタに追加されるユニットであるため、マスターユニットになります。


ip local pool mgmt 10.1.1.2-10.1.1.9
ipv6 local pool mgmtipv6 2001:DB8::1002/32 8
interface management 0/0
nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
security-level 100
management-only
no shutdown
interface tengigabitethernet 0/6
channel-group 1 mode active
no shutdown
interface tengigabitethernet 0/7
channel-group 1 mode active
no shutdown
cluster group pod1
local-unit unit1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
no health-check
enable noconfirm

次の例には、スレーブユニット unit2 のコンフィギュレーションが含まれています。


interface tengigabitethernet 0/6
channel-group 1 mode active
no shutdown
interface tengigabitethernet 0/7
channel-group 1 mode active
no shutdown
cluster group pod1
local-unit unit2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
no health-check
enable as-slave

cluster-interface

クラスタ制御リンクの物理インターフェイスおよび IP アドレスを指定するには、クラスタグループコンフィギュレーションモードで cluster-interface コマンドを使用します。クラスタインターフェイスを削除するには、このコマンドの no 形式を使用します。

cluster-interfaceinterface_idipip_addressmask

no cluster-interface [ interface_id ip ip_address mask ]

構文の説明


interface_id	ハードウェアプラットフォームの場合：物理インターフェイス、EtherChannel、または冗長インターフェイスを指定します。サブインターフェイスと管理インターフェイスは許可されません。 ASA 仮想の場合：VNI インターフェイスを指定します。このインターフェイスには nameif を設定できません。IPS モジュール搭載 ASA 5585-X では、IPS モジュールインターフェイスをクラスタ制御リンクに使用することはできません。
ip ip_address mask	IP アドレスには IPv4 アドレスを指定します。IPv6 は、このインターフェイスではサポートされません。ユニットごとに、同じネットワークにある別の IP アドレスを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタグループコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。
9.17(1)	ASA 仮想用に VNI インターフェイスのサポートが追加されました。

使用上のガイドライン

クラスタに参加する前に、クラスタ制御リンクインターフェイスをイネーブルにする必要があります。

ASA 仮想の場合：ユニットごとに 1 つのインターフェイスをクラスタ制御リンク専用の VXLAN（VTEP）インターフェイスにする必要があります。

ハードウェアプラットフォームの場合：十分な数のインターフェイスがある場合は、複数のクラスタ制御リンクインターフェイスを結合して 1 つの EtherChannel とすることを推奨します。この EtherChannel は ASA に対してローカルであり、スパンド EtherChannel ではありません。クラスタ制御リンクには、10 ギガビットイーサネットインターフェイスを使用することを推奨します。クラスタ制御リンクでの不要なトラフィックを削減できるように、EtherChannel メンバーインターフェイスに対しては On モードを使用することを推奨します。クラスタ制御リンクは LACP トラフィックのオーバーヘッドを必要としません。これは隔離された、安定したネットワークであるからです。

クラスタ制御リンクインターフェイスコンフィギュレーションは、制御ノードからデータノードには複製されませんが、同じコンフィギュレーションを各ノードで使用する必要があります。このコンフィギュレーションは複製されないため、クラスタ制御リンクインターフェイスの設定は各ノードで個別に行う必要があります。

クラスタ制御リンクの詳細については、設定ガイドを参照してください。

例

次に、Port-channel 2 という EtherChannel を、TenGigabitEthernet 0/6 および TenGigabitEthernet 0/7 のために作成し、このポートチャネルをクラスタ制御リンクとして割り当てる例を示します。ポートチャネルインターフェイスは、チャネルグループにインターフェイスを割り当てたときに自動的に作成されます。


interface tengigabitethernet 0/6
channel-group 2 mode on
no shutdown
interface tengigabitethernet 0/7
channel-group 2 mode on
no shutdown
cluster group cluster1
cluster-interface port-channel2 ip 10.1.1.1 255.255.255.0

cluster interface-mode

各クラスタユニットでクラスタインターフェイスモードを指定するには、グローバルコンフィギュレーションモードで cluster interface-mode コマンドを使用します。クラスタインターフェイスモードを無効にするには、このコマンドの no 形式を入力します。

cluster interface-mode { individual | spanned } [ check-details | force ]

no cluster-interface [ interface_id ip ip_address mask ]

構文の説明


individual	モードを個別インターフェイスモードに設定します（ルーテッドモード。ASA ハードウェアモデルのみ）。
spanned	モードをスパンド EtherChannel モードに設定します。
check-details	互換性のない設定を表示し、強制的にインターフェイスモードにして後で設定を修正できるようにします。このコマンドではモードは変更されません。
force	互換性のない設定の検査は行わずにモードを変更します。コンフィギュレーションの問題がある場合は、モードを変更した後に手動で解決する必要があります。インターフェイスコンフィギュレーションの修正ができるのはモードの設定後に限られるので、force オプションを使用することを推奨します。このようにすれば、最低でも、既存のコンフィギュレーションの状態から開始できます。さらにガイダンスが必要な場合は、モードを設定した後で check-details オプションを再実行します。 force オプションを指定しないと、互換性のないコンフィギュレーションがある場合は、コンフィギュレーションをクリアしてリロードするように求められるので、コンソールポートに接続して管理アクセスを再設定する必要があります。コンフィギュレーションに互換性の問題がない場合は（まれなケース）、モードが変更され、コンフィギュレーションは維持されます。コンフィギュレーションをクリアしたくない場合は、n を入力してコマンドを終了します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

クラスタリング用に設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのいずれか一方のみです。1 つのクラスタ内でインターフェイスタイプを混在させることはできません。モードを設定していない場合は、クラスタリングをイネーブルにできません。モードを設定した後、クラスタリングを有効にしていない場合でも、インターフェイスはクラスタリングインターフェイスの要件に準拠する必要があります。

次のガイドラインを参照してください。

モードの設定は、クラスタに追加する各 ASA で個別に行う必要があります。
管理専用インターフェイスはいつでも、個別インターフェイス（推奨）として設定できます（スパンド EtherChannel モードのときでも）。管理インターフェイスは、個別インターフェイスとすることができます（トランスペアレントファイアウォールモードのときでも）。
スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミックルーティングをイネーブルにできません。スタティックルートを使用する必要があります。
マルチコンテキストモードでは、すべてのコンテキストに対して 1 つのインターフェイスタイプを選択する必要があります。たとえば、トランスペアレントモードとルーテッドモードのコンテキストが混在している場合は、すべてのコンテキストにスパンド EtherChannel モードを使用する必要があります。これが、トランスペアレントモードで許可される唯一のインターフェイスタイプであるからです。

例

次に、スパンド EtherChannel モードの現在のインターフェイスの互換性をチェックする例を示します。


ciscoasa(config)# cluster interface-mode spanned check-details
ERROR: Please modify the following configuration elements that are incompatible with 'spanned' interface-mode.
 - Interface vni1 is not a span-cluster port-channel interface, vni1(vni1) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/0 is not a span-cluster port-channel interface, Gi0/0(inside) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/1 is not a span-cluster port-channel interface, Gi0/1(test) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/1 is not a span-cluster port-channel interface, Gi0/1.1(vlan100) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/2 is not a span-cluster port-channel interface, Gi0/2(outside) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/5 is not a span-cluster port-channel interface, Gi0/5(bgmember1) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface Gi0/5 is not a span-cluster port-channel interface, Gi0/5.2(vlan200) cannot be used as data interface when cluster interface-mode is 'spanned'.
 - Interface BV1 is not a span-cluster port-channel interface, BV1(bvi1) cannot be used as data interface when cluster interface-mode is 'spanned'.
ciscoasa(config)#

次に、モードをスパンド EtherChannel モードに設定し、互換性のない設定をクリアしない例を示します。

ciscoasa(config)# cluster interface-mode spanned force

cluster ip address

仮想ロードバランシングクラスタの IP アドレスを設定するには、VPN ロードバランシングコンフィギュレーションモードで cluster ip address コマンドを使用します。IP アドレスの指定を削除するには、このコマンドの no 形式を使用します。

cluster ip address ip-address

no cluster ip address [ ip-address ]

構文の説明


`ip-address`	仮想ロードバランシングクラスタに割り当てる IP アドレス。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
VPN ロードバランシングコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

最初に、vpn load-balancing コマンドを使用して VPN ロードバランシングコンフィギュレーションモードを開始し、仮想クラスタ IP アドレスが指すインターフェイスを設定する必要があります。

このクラスタ IP アドレスは、仮想クラスタを設定するインターフェイスと同じサブネット上にある必要があります。

このコマンドの no 形式では、任意の ip-address 値を指定した場合、no cluster ip address コマンドを実行するには、その値が既存のクラスタの IP アドレスと一致する必要があります。

例

次に、仮想ロードバランシングクラスタの IP アドレスを 209.165.202.224 に設定する cluster ip address コマンドを含む VPN ロードバランシングコマンドシーケンスの例を示します。


ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# participate

cluster key

仮想ロードバランシングクラスタ上で交換される IPsec サイト間トンネルの共有秘密を設定するには、VPN ロードバランシングコンフィギュレーションモードで cluster key コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

cluster key [ 0 | 8 ] shared-secret

no cluster key [ 0 | 8 ] [ shared-secret ]

構文の説明


`[` 0 `\|` 8`]`	パスワードが暗号化されていない場合は 0、パスワードがすでに暗号化されている場合（たとえば、別のユニットの設定からコピーした場合）は 8 を指定します。
`shared-secret`	VPN ロードバランシングクラスタの共有秘密を定義する 3 ～ 17 文字の文字列。ストリングに特殊文字を含めることはできますが、スペースを含めることはできません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
VPN ロードバランシングコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.3(1)	0 および 8 キーワードを使用した暗号化パスワードのサポートが追加されました。

使用上のガイドライン

まず、vpn load-balancing コマンドを使用して、VPN ロードバランシングコンフィギュレーションモードを開始する必要があります。クラスタの暗号化には、cluster key コマンドで定義された共有秘密も使用されます。

共有秘密を設定するには、クラスタの暗号化をイネーブルにする前に cluster key コマンドを使用する必要があります。

このコマンドの no cluster key 形式で shared-secret の値を指定した場合、共有秘密の値は既存のコンフィギュレーションと一致する必要があります。

例

次に、仮想ロードバランシングクラスタの共有秘密を 123456789 に設定する cluster key コマンドを含む VPN ロードバランシングコマンドシーケンスの例を示します。


ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# cluster key 123456789
ciscoasa(config-load-balancing)# cluster encryption
ciscoasa(config-load-balancing)# participate

cluster control-node

現在のノードをクラスタの制御ノードにするか、別のノードを制御ノードとして設定するには、特権 EXEC モードで cluster control-node コマンドを使用します。

cluster control-node [ unit unit_name ]

注意	制御ノードを変更する最良の方法は、制御ノードでクラスタリングを無効にし（no enable (cluster group) コマンドを参照）、新しい制御ノードが選択されるのを待ってから、クラスタリングを再度有効にする方法です。制御ノードにする特定のユニットを指定する必要がある場合は、cluster control-node unit コマンドを使用します。ただし、中央集中型機能の場合は、このコマンドを使用して制御ノードを強制的に変更するとすべての接続がドロップされるため、新しい制御ノード上で接続を再確立する必要があります。

構文の説明


unit unit_name	（任意）新しい制御ノードになるローカルユニット名を指定します。ノード名を表示するには、cluster control-node unit ? コマンドを入力するか（現在のユニットを除くすべての名前を表示する場合）、show cluster info コマンドを入力します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。
9.19(1)	このコマンドは、cluster master から cluster control-node に変更されました。

使用上のガイドライン

メインクラスタ IP アドレスへの再接続が必要になります。

例

次に、制御ノードとして asa2 を設定する例を示します。


ciscoasa# cluster control-node unit asa2

cluster-member-limit

クラスタメンバーの最大数を設定するには、クラスタグループコンフィギュレーションモードで cluster-member-limit コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

cluster-member-limit number

no cluster-member-limit

構文の説明


`number`	クラスタメンバの最大数を 2 〜 16 に設定します。デフォルトは 16 です。

コマンドデフォルト

デフォルトは 16 メンバです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.16(1)	このコマンドが追加されました。

使用上のガイドライン

クラスタが最大の 16 ユニットよりも少ないことがわかっている場合は、実際の計画ユニット数を設定することを推奨します。最大ユニット数を設定すると、クラスタのリソース管理が向上します。たとえば、ポートアドレス変換（PAT）を使用する場合、制御ユニットは計画されたメンバー数にポートブロックを割り当てることができ、使用する予定のない追加のユニット用にポートを予約する必要がなくなります。

例

次に、最大クラスタメンバを 6 に設定する例を示します。


ciscoasa(config)# cluster group pod1
ciscoasa(cfg-cluster)# cluster-member-limit 6

cluster-mode（廃止）

クラスタのセキュリティモードを指定するには、電話プロキシコンフィギュレーションモードで cluster-mode コマンドを使用します。クラスタのセキュリティモードをデフォルトモードに設定するには、このコマンドの no 形式を使用します。

cluster-mode [ mixed | nonsecure ]

no cluster-mode [ mixed | nonsecure ]

構文の説明


mixed	電話プロキシ機能の設定時に、クラスタモードを混合モードとすることを指定します。
nonsecure	電話プロキシ機能の設定時に、クラスタモードを非セキュアモードとすることを指定します。

コマンドデフォルト

デフォルトのクラスタモードは非セキュアです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Phone-Proxy コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(4)	コマンドが追加されました。
9.4(1)	このコマンドは、すべての phone-proxy モードコマンドとともに廃止されました。

使用上のガイドライン

電話プロキシを混合モードクラスタ（セキュアモードと非セキュアモードの両方）で実行するように設定する場合は、一部の電話が認証または暗号化モードで設定されている場合に備えて LDC 発行元も設定する必要があります。


hostname(config)# crypto key generate rsa label ldc_signer_key modulus 1024
hostname(config)# crypto key generate rsa label phone_common modulus 1024
hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point internal_PP_myctl
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common

例

次に、電話プロキシのセキュリティモードを混合モードに設定する例を示します（IP 電話はセキュアモードと非セキュアモードで動作します）。


ciscoasa
(config-phone-proxy)# cluster-mode mixed

cluster port

仮想ロードバランシングクラスタの UDP ポートを設定するには、VPN ロードバランシングコンフィギュレーションモードで cluster port コマンドを使用します。ポートの指定を削除するには、このコマンドの no 形式を使用します。

cluster port port

no cluster port [ port ]

構文の説明


`port`	仮想ロードバランシングクラスタに割り当てる UDP ポート。

コマンドデフォルト

デフォルトのクラスタポートは 9023 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
VPN ロードバランシングコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

まず、vpn load-balancing コマンドを使用して、VPN ロードバランシングコンフィギュレーションモードを開始する必要があります。

任意の有効な UDP ポート番号を指定できます。範囲は 1 ～ 65535 です。

このコマンドの no cluster port 形式で port の値を指定した場合、指定したポート番号は既存の設定済みポート番号と一致する必要があります。

例

次に、仮想ロードバランシングクラスタの UDP ポートを 9023 に設定する例を示します。


ciscoasa(config)# interface GigabitEthernet 0/1
ciscoasa(config-if)# ip address 209.165.202.159 255.255.255.0
ciscoasa(config)# nameif test
ciscoasa(config)# interface GigabitEthernet 0/2
ciscoasa(config-if)# ip address 209.165.201.30 255.255.255.0
ciscoasa(config)# nameif foo
ciscoasa(config)# vpn load-balancing
ciscoasa(config-load-balancing)# interface lbpublic test
ciscoasa(config-load-balancing)# interface lbprivate foo
ciscoasa(config-load-balancing)# cluster ip address 209.165.202.224
ciscoasa(config-load-balancing)# cluster port 9023
ciscoasa(config-load-balancing)# participate

cluster redistribute vpn-sessiondb

分散型 VPN クラスタ上でアクティブなセッションを再分散するには、特権 EXEC モードで次のコマンドを使用します。

cluster redistribute vpn-sessiondb

構文の説明

このコマンドには、引数はありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ctl プロバイダーコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.9(1)	コマンドが追加されました。

使用上のガイドライン

このコマンドはバックグラウンドで実行され、CLI に戻ります。操作の完了時に、ユーザーに向けてコンソールメッセージが表示されることはありません。

進行状況をモニターするには、show cluster vpn-sessiondb distribution コマンドを使用するか、syslogs を有効にします。

ASR 操作は、VPN セッションのオーケストレータであるマスターノードで実行する必要があります。オーケストレータは、どのセッションがどこへ移動するかを計算します。オーケストレータ自体も、アクティブなセッションを自身から他のノードに移動させることができます。

この操作中のクラスタへの負荷を軽減してタイムリーな応答時間を確保するには、一度に最大 100 セッションを移動させることが要求されます。計算された移動が 1 ノードに対して 1000 セッションの場合、その計算には 10 件の個別の要求があると考えられます。

オーケストレータは、すべてのセッションが移動した時点で、あるいはオーナーメンバーが要求された数のセッションを移動させることができない場合に、ノードに対する移動要求が完了したものとみなします。

再分散操作は、ノードが移動要求に応答できない場合や、クラスタトポロジの変更（メンバーの参加/脱退）があった場合などに中断されます。

再分散操作はベストエフォート型の操作です。操作の完了後に分散が完璧な状態になるという保証はありません。ノード上のセッション数が平均を 20% も上回るまたは下回る場合もあります。

例

たとえば、cluster vpn-sessiondb distribution コマンドの実行結果が次のとおりであったとします。


Member 0 (unit-1-1): active: 229; backups at: 1(120), 2(109)
Member 1 (unit-1-3): active: 224; backups at: 0(117), 2(107)
Member 2 (unit-1-2): active: 0
After the ASR operation, the result looks like:
Member 0 (unit-1-1): active: 151; backups at: 1(120), 2(31)
Member 1 (unit-1-3): active: 151; backups at: 0(117), 2(34)
Member 2 (unit-1-2): active: 151; backups at: 0(72), 1(79)


Example of a successful initiation: 
ciscoasa/master# cluster redistribute vpn-sessiondb
Session redistribution initiated.
Use 'show cluster vpn-sessiondb distribution' to view distribution.
Initiation when redistribution is already in progress: 
ciscoasa/master# cluster redistribute vpn-sessiondb 
Redistribution already in progress
Use 'show cluster vpn-sessiondb distribution' to view distribution.
When executed on a slave node
 
ciscoasa/slave# cluster redistribute vpn-sessiondb 
ERROR: This command is only allowed on the cluster master

cluster remove unit

ASA クラスタからユニットを削除するには、特権 EXEC モードで cluster remove unit コマンドを使用します。

cluster remove unit unit_name

構文の説明


unit_name	クラスタから削除するローカルユニット名を指定します。メンバー名を表示するには、cluster remove unit ? または show cluster info コマンドを入力します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

ブートストラップコンフィギュレーションは変更されず、マスターユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。マスターユニットを削除するためにスレーブユニットでこのコマンドを入力した場合は、新しいマスターユニットが選定されます。

例

次に、ユニット名を確認してから、asa2 をクラスタから削除する例を示します。


ciscoasa(config)# cluster remove unit ?
Current active units in the cluster:
asa2
ciscoasa(config)# cluster remove unit asa2
WARNING: Clustering will be disabled on unit asa2. To bring it back
to the cluster please logon to that unit and re-enable clustering

cluster replication delay

TCP 接続のクラスタレプリケーション遅延をイネーブルにするには、クラスタグループコンフィギュレーションモードで cluster replication delay コマンドを使用します。遅延をディセーブルにするには、このコマンドの no 形式を使用します。

cluster replication delay seconds { http | match tcp { host ip_address | ip_address mask | any | any4 | any6 } [ { eq | lt | gt } port ] { host ip_address | ip_address mask | any | any4 | any6 } [ { eq | lt | gt } port ] }

no cluster replication delay seconds { http | match tcp { host ip_address | ip_address mask | any | any4 | any6 } [ { eq | lt | gt } port ] { host ip_address | ip_address mask | any | any4 | any6 } [ { eq | lt | gt } port ] }

構文の説明


`seconds`	遅延を 1 ～ 15 秒で設定します。
http	すべての HTTP トラフィックの遅延を設定します。http 遅延はデフォルトで 5 秒間有効になります。

コマンドデフォルト

http 遅延はデフォルトで 5 秒間有効になります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.4(1.152)	このコマンドが追加されました。

使用上のガイドライン

この機能で、ディレクタ/バックアップフロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。

例

次に、FTP 遅延を 15 秒に設定し、HTTP 遅延を 15 秒に設定する例を示します。


ciscoasa(config)# cluster replication delay 15 match tcp any any eq ftp
ciscoasa(config)# cluster replication delay 15 http

cn-id

参照 ID オブジェクトで cn-id を設定するには、ca-reference-identity モードで cn-id コマンドを使用します。cn-id を削除するには、このコマンドの no 形式を使用します。最初に、crypto ca reference-identity コマンドを入力して参照 ID オブジェクトを設定することで、ca-reference-identity モードにアクセスできます。

cn-idvalue

no cn-id value

構文の説明


`value`	各参照 ID の値。
cn-id	一般名（CN）。この値は、ドメイン名の全体的な形式に一致します。CN 値は自由形式のテキストにすることはできません。CN-ID 参照 ID では、アプリケーションサービスは特定されません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ca-reference-identity	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

参照 ID が作成されると、4 つの ID タイプと関連付けられた値を参照 ID に追加、または参照 ID から削除することができます。

参照 ID cn-id および dns-id には、アプリケーションサービスを特定する情報を含めることはできず、DNS ドメイン名を特定する情報を含める必要があります。

例

次に、syslog サーバーの参照 ID を作成する例を示します。


ciscoasa(config)# crypto ca reference-identity syslogServer
ciscoasa(config-ca-ref-identity)# dns-id syslog1-bxb.cisco.com
ciscoasa(config-ca-ref-identity)# cn-id syslog1-bxb.cisco.com

command-alias

コマンドのエイリアスを作成するには、グローバルコンフィギュレーションモードで command-alias コマンドを使用します。エイリアスを削除するには、このコマンドの no 形式を使用します。

command-alias mode command_alias original_command

no command-alias mode command_alias original_command

構文の説明


`command_alias`	既存のコマンドに付ける新しい名前を指定します。
`mode`	exec （ユーザー EXEC モードおよび特権 EXEC モード）、configure 、interface など、コマンドエイリアスを作成するコマンドモードを指定します。
`original_command`	コマンドエイリアスを作成する既存のコマンドまたはキーワードがあるコマンドを指定します。

コマンドデフォルト

デフォルトでは、次のユーザー EXEC モードエイリアスが設定されます。

h 向け help
lo 向け logout
p 向け ping
s 向け show

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

コマンドエイリアスを入力すると、元のコマンドが呼び出されます。たとえば、コマンドエイリアスを作成して、長いコマンドのショートカットにすることができます。

任意のコマンドの最初の部分のエイリアスを作成し、さらに通常どおり追加のキーワードと引数を入力できます。

CLI ヘルプを使用する場合、コマンドエイリアスはアスタリスク（*）で示され、次の形式で表示されます。


*command-alias=original-command

たとえば、 lo コマンドエイリアスは、次のように、「lo」で始まる他の特権 EXEC モードのコマンドとともに表示されます。


ciscoasa# lo?
*lo=logout login  logout

同じエイリアスをさまざまなモードで使用できます。たとえば、次のように、特権 EXEC モードおよびコンフィギュレーションモードで、「happy」を異なる複数のコマンドのエイリアスとして使用できます。


ciscoasa(config)# happy?
configure mode commands/options:
*happy="username employee1 password test"
exec mode commands/options:
*happy=enable

コマンドだけを表示し、エイリアスを省略するには、入力行の先頭にスペースを入力します。また、コマンドエイリアスを回避するには、コマンドを入力する前にスペースを使用します。次に、happy? コマンドの前にスペースがあるため、「happy」というエイリアスが表示されない例を示します。


ciscoasa(config)# alias exec test enable
ciscoasa(config)# exit
ciscoasa#   happy?
ERROR: % Unrecognized command

コマンドの場合と同様に、CLI ヘルプを使用して、コマンドエイリアスの後に続く引数およびキーワードを表示できます。

完全なコマンドエイリアスを入力する必要があります。短縮されたエイリアスは使用できません。次の例では、パーサーは、hap コマンドが「happy」というエイリアスを示しているとは認識しません。


ciscoasa# hap
% Ambiguous command: "hap"

例

次に、copy running-config startup-config コマンドに対して「save 」という名前のコマンドエイリアスを作成する例を示します。


ciscoasa(config)# command-alias exec save copy running-config startup-config
ciscoasa(config)# exit
ciscoasa# save
Source filename [running-config]?
Cryptochecksum: 50d131d9 8626c515 0c698f7f 613ae54e
2209 bytes copied in 0.210 secs
ciscoasa#

command-queue

応答を待つ間キューに入れられる MGCP コマンドの最大数を指定するには、MGCP マップコンフィギュレーションモードで command-queue コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

command-queuelimit

no command-queue limit

構文の説明


`limit`	キューに入れるコマンドの最大数（1 ～ 2147483647）を指定します。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

MGCP コマンドキューのデフォルトは 200 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
MGCP マップコンフィギュレーション					—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

応答を待つ間キューに入れられる MGCP コマンドの最大数を指定するには command-queue コマンドを使用します。許可されている値の範囲は、1 ～ 4294967295 です。デフォルトは 200 です。制限値に達した状態で新しいコマンドが着信すると、最も長時間キューに入っているコマンドが削除されます。

例

次に、MGCP コマンドのキューを 150 コマンドに制限する例を示します。


ciscoasa(config)# mgcp-map mgcp_policy
ciscoasa(config-mgcp-map)#command-queue 150

commercial-security

IP オプションインスペクションが設定されたパケットヘッダーで商用セキュリティ（CIPSO）オプションが発生したときに実行するアクションを定義するには、パラメータコンフィギュレーションモードで commercial-security コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

commercial-security action { allow | clear }

no commercial-security action { allow clear }

構文の説明


allow	商用セキュリティ IP オプションを含むパケットを許可します。
clear	商用セキュリティオプションをパケットヘッダーから削除して、パケットを許可します。

コマンドデフォルト

デフォルトで、IP オプションインスペクションは、商用セキュリティ IP オプションを含むパケットをドロップします。

IP オプションインスペクションポリシーマップで default コマンドを使用すると、デフォルト値を変更できます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
パラメータコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.5(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IP オプションインスペクションポリシーマップで設定できます。

IP オプションインスペクションを設定して、特定の IP オプションを持つどの IP パケットが ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

例

次に、IP オプションインスペクションのアクションをポリシーマップで設定する例を示します。


ciscoasa(config)# policy-map type inspect ip-options ip-options_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# commercial-security action allow
ciscoasa(config-pmap-p)# router-alert action allow

community-list

Border Gateway Protocol（BGP）コミュニティリストを作成または設定し、そのリストへのアクセスを制御するには、グローバルコンフィギュレーションモードで community-list コマンドを使用します。コミュニティリストを削除するには、このコマンドの no 形式を使用します。

StandardCommunityLists

community-list { standard | standard list-name } { deny | permit } [ community-number ] [ AA:NN ] [ internet ] [ local-AS ] [ no-advertise ] [ no-export ]

no community-list { standard | standard list-name }

ExpandedCommunityLists

community-list { expanded | expanded list-name } { deny | permit } regexp

no community-list { expanded | expanded list-name }

構文の説明

standard

コミュニティの 1 つ以上の許可または拒否グループを識別する 1 ～ 99 までの番号を使用して、標準コミュニティリストを設定します。

standard list-name

標準コミュニティリストを設定します。

permit

一致した条件へのアクセスを許可します。

deny

一致した条件へのアクセスを拒否します。

community-number

（オプション）1 ～ 4294967200 までの 32 ビットの番号としてコミュニティを指定します。1 つのコミュニティ、または複数のコミュニティをそれぞれスペースで区切って入力できます。

AA:NN

（任意）4 バイトの新コミュニティ形式で入力する自律システム番号およびネットワーク番号。この値は、コロンで区切られた 2 バイトの数 2 つで設定されます。2 バイトの数ごとに 1 ～ 65535 の数を入力できます。1 つのコミュニティ、または複数のコミュニティをそれぞれスペースで区切って入力できます。

internet

（任意）インターネットコミュニティを指定します。このコミュニティのルートは、すべてのピア（内部および外部）にアドバタイズされます。

no-export

（任意）no-export コミュニティを指定します。このコミュニティのあるルートは、同じ自律システム内のピアへのみ、または連合内の他のサブ自律システムへのみアドバタイズされます。これらのルートは外部ピアにはアドバタイズされません。

local-AS

（任意）local-as コミュニティを指定します。コミュニティのあるルートは、ローカル自律システムの一部であるピアへのみ、または連合のサブ自律システム内のピアへのみアドバタイズされます。これらのルートは、外部ピアや、連合内の他のサブ自律システムにはアドバタイズされません。

no-advertise

（任意）no-advertise コミュニティを指定します。このコミュニティのあるルートはピア（内部または外部）にはアドバタイズされません。

Expanded

コミュニティの 1 つ以上の許可または拒否グループを識別する 100 ～ 500 までの拡張コミュニティリスト番号を設定します。

expanded list-name

拡張コミュニティリストを設定します。

regexp

入力文字列との照合パターンの指定に使用される正規表現を設定します。

（注）

正規表現を使用できるのは拡張コミュニティリストだけです。

コマンドデフォルト

BGP コミュニティの交換はデフォルトではイネーブルになりません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.2(1)	このコマンドが追加されました。

使用上のガイドライン

BGP コミュニティフィルタリングを設定するには、community-list コマンドを使用します。BGP コミュニティ値は 32 ビット数値（古い形式）または 4 バイト数値（新しい形式）として設定されます。新しいコミュニティ形式は、bgp-community new-format コマンドをグローバルコンフィギュレーションモードで入力した場合に、イネーブルになります。新しいコミュニティ形式は、4 バイト値で構成されます。

先頭の 2 バイトは自律システム番号を表し、末尾の 2 バイトはユーザー定義のネットワーク番号を表します。名前付きおよび番号付きコミュニティリストがサポートされます。BGP ピア間の BGP コミュニティ属性交換は、neighbor send-community コマンドが、指定されたネイバー用に設定されている場合にイネーブルになります。BGP コミュニティ属性は、RFC 1997 および RFC 1998 に定義されています。

BGP コミュニティの交換はデフォルトではイネーブルになりません。これは、neighbor send-community コマンドを使用してネイバー単位でイネーブルになります。このコマンドまたは set community コマンドで他のコミュニティ値が設定されるまで、デフォルトではすべてのルータまたはプレフィックスにインターネットコミュニティが適用されます。

特定のコミュニティセットと照合するように許容値が設定されている場合は、デフォルトで、コミュニティリストが他のすべてのコミュニティ値に対して暗黙拒否に設定されます。

標準コミュニティリスト

標準コミュニティリストは、既知のコミュニティや特定のコミュニティ番号の設定に使用されます。標準コミュニティリストでは、最大 16 のコミュニティを設定できます。16 を超えるコミュニティを設定しようとすると、制限数を超えた後続のコミュニティは処理されないか、または実行コンフィギュレーションファイルに保存されます。

拡張コミュニティリスト

拡張コミュニティリストは正規表現によるフィルタコミュニティに使用されます。正規表現は、コミュニティ属性の照合パターンの設定に使用されます。* または + の文字を使用した照合の順序は、最長のコンストラクトが最初になります。入れ子のコンストラクトは外側から内側へと照合されます。連結コンストラクトは左側から順に照合されます。ある正規表現が、1 つの入力ストリングの異なる 2 つの部分と一致する可能性がある場合、早く入力された部分が最初に一致します。正規表現の設定の詳細については、『Cisco IOS Terminal Services Configuration Guide』の付録「Regular Expressions」を参照してください。

コミュニティリストの処理

同じコミュニティリスト文に複数の値を設定すると、論理 AND 条件が作成されます。AND 条件を満たすためにはすべてのコミュニティ値が一致しなければなりません。別のコミュニティリスト文に複数の値を設定すると、論理 OR 条件が作成されます。条件に一致する最初のリストが処理されます。

例

次の例では、標準コミュニティリストが、自律システム 50000 のネットワーク 10 からのルートを許可するように設定されます。


ciscoasa(config)#  community-list 1 permit 50000:10

次の例では、同じ自律システムのピアか、同じ連合内のサブ自律システムのピアからのルートのみを許可するように、標準コミュニティリストが設定されます。


ciscoasa(config)#  community-list 1 permit no-export

次の例では、標準コミュニティリストが、自律システム 65534 内のネットワーク 40 からのコミュニティと自律システム 65412 内のネットワーク 60 からのコミュニティを搬送するルートを拒否するように設定されます。この例は、論理 AND 条件を示しています。すべてのコミュニティ値が一致しないとリストが処理されません。


ciscoasa(config)#  community-list 2 deny 65534:40 65412:60

次の例では、名前付き標準コミュニティリストが、ローカル自律システム内のすべてのルートを許可する、または、自律システム 40000 内のネットワーク 20 からのルートを許可するように設定されます。この例は、論理 OR 条件を示しています。最初の一致が処理されます。


ciscoasa(config)#  community-list standard RED permit local-AS 
ciscoasa(config)#  community-list standard RED permit 40000:20

次の例では、プライベート自律システムからのコミュニティを持つルートを拒否するような拡張コミュニティリストが設定されます。


ciscoasa(config)#  community-list 500 deny _64[6-9][0-9][0-9]_|_65[0-9][0-9][0-9]_

次の例では、自律システム 50000 のネットワーク 1 から 99 からのルートを拒否するような名前方式の拡張コミュニティリストが設定されます。


ciscoasa(config)#  community-list expanded BLUE deny 50000:[0-9][0-9]_

compatible rfc1583

RFC 1583 に従った集約ルートコストの計算に使用した方式に戻すには、ルータコンフィギュレーションモードで compatible rfc1583 コマンドを使用します。RFC 1583 互換性をディセーブルにするには、このコマンドの no 形式を使用します。

compatible rfc1583

no compatible rfc1583

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ctl プロバイダーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

コンフィギュレーションには、このコマンドの no 形式だけが記述されます。

例

次に、RFC 1583 互換のルート集約コスト計算をディセーブルにする例を示します。


ciscoasa(config-router)# no compatible rfc1583
ciscoasa(config-router)#

compression

anyconnect-ssl 接続および WebVPN 接続で圧縮を有効にするには、グローバルコンフィギュレーションモードで compression コマンドを使用します。設定からコマンドを削除するには、コマンドの no 形式を使用します。

compression { all | anyconnect-ssl | http-comp }

no compression { all | anyconnect-ssl | http-comp }


all	使用可能なすべての圧縮技術をイネーブルにすることを指定します。
anyconnect-ssl	anyconnect-ssl 接続での圧縮を指定します。
http-comp	WebVPN 接続に対する圧縮を指定します。

コマンドデフォルト

デフォルトは all です。使用可能なボックス全体の圧縮技術がすべて有効になっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

グローバルコンフィギュレーションモードで設定した compression コマンドにより、グループポリシー webvpn モードおよびユーザー名 webvpn コンフィギュレーションモードで設定した compression anyconnect-ssl コマンドは上書きされます。

たとえば、グループポリシー webvpn コンフィギュレーションモードで特定のグループに対する anyconnect-ssl compression コマンドを入力し、次にグローバルコンフィギュレーションモードで no compression コマンドを入力した場合、そのグループに対して設定した anyconnect-ssl compression コマンドの設定は上書きされます。

逆に、グローバルコンフィギュレーションモードで compression コマンドを使用して圧縮をオンに戻した場合は、グループ設定が有効となり、圧縮動作は最終的にグループ設定によって決定されます。

no compression コマンドを使用して圧縮をディセーブルにした場合、新しい接続だけが影響を受けます。アクティブな接続は影響を受けません。

例

次に、anyconnect-ssl 接続で圧縮をオンにする例を示します。


hostname(config)# compression anyconnect-ssl

次に、anyconnect-ssl 接続および WebVPN 接続で圧縮を無効にする例を示します。


hostname(config)# no
 compression anyconnect-ssl http-comp

config-register

次回をリロードするときに使用されるコンフィギュレーションレジスタ値を設定するには、グローバルコンフィギュレーションモードで config-register コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。

config-register hex_value

no config-register

構文の説明


`hex_value`	コンフィギュレーションレジスタ値を 0x0 ～ 0xFFFFFFFF の 16 進数値に設定します。この数は 32 ビットを表し、各 16 進文字は 4 ビットを表します。それぞれのビットが異なる特性を制御します。ただし、ビット 32 ～ 20 は将来の使用のために予約されており、ユーザーが設定できないか、または現在 ASA で使用されていません。したがって、これらのビットを表す 3 つの文字は常に 0 に設定されているため、無視できます。関連するビットは、5 桁の 16 進文字（0xnnnnn）で表されます。文字の前の 0 は含める必要はありません。後続の 0 は含める必要があります。たとえば、0x2001 は 0x02001 と同じですが、0x10000 の 0 はすべて必要です。関連するビットに使用できる値の詳細については、<xref> を参照してください。

コマンドデフォルト

デフォルト値は 0x1 であり、ローカルイメージおよびスタートアップコンフィギュレーションからブートします。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ctl プロバイダーコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、ASA 5500 シリーズでのみサポートされます。コンフィギュレーションレジスタ値は、ブート元のイメージおよび他のブートパラメータを決定します。

5 つの文字には、右から左への方向で 0 ～ 4 の番号が付けられます。これは、16 進数および 2 進数の場合には標準的です。各文字に対して 1 つの値を選択したり、必要に応じて値を組み合わせて一致させたりすることができます。たとえば、文字番号 3 に対して 0 または 2 を選択できます。他の値との競合が生じる場合、一部の値が優先されます。たとえば、ASA を TFTP サーバーとローカルイメージの両方からブートするように設定する 0x2011 を設定した場合、ASA は TFTP サーバーからブートします。この値は、TFTP のブートが失敗した場合、ASA が直接 ROMMON でブートすることも定めているため、デフォルトイメージからブートすることを指定したアクションは無視されます。

0 の値は、他に指定されていなければ、アクションを実行しないことを意味します。

<xref> に、各 16 進文字に関連付けられたアクションを示します。各文字に対して 1 つの値を選択します。

表 1.
プレフィックス	16 進数文字番号 4、3、2、1、および 0
0x	0	0	0 ¹	0 ²	0
	1 起動中に 10 秒の ROMMON のカウントダウンをディセーブルにします。通常は、カウントダウン中に Escape キーを押して ROMMON を開始できます。	2 TFTP サーバーからブートするように ASA を設定している場合、ブートが失敗すると、この値は直接 ROMMON でブートします。		1 ROMMON ブートパラメータ（存在する場合は、 boot `system tftp` コマンドと同じ）で指定されたように TFTP サーバーイメージからブートします。この値は、文字 1 に設定された値よりも優先されます。	1 最初の boot `system` `local_flash` コマンドで指定されたイメージをブートします。そのイメージがロードされない場合、ASA は、正常にブートするまで後続の boot `system` コマンドで指定された各イメージのブートを試行します。
				4 ³ スタートアップコンフィギュレーションを無視してデフォルトのコンフィギュレーションをロードします。	2, 4, 6, 8 特定の boot `system` `local_flash` コマンドで指定されたイメージをブートします。値 3 を指定すると最初の boot system コマンドで指定されたイメージが、値 5 を指定すると 2 つめのイメージが起動されます。以降同様に起動されます。イメージが正常にブートしない場合、ASA は他の boot `system` コマンドイメージに戻ることを試行しません（この点が値 1 と値 3 の使用における違いです）。ただし、ASA には、ブートが失敗した場合に内部フラッシュメモリのルートディレクトリ内で検出された任意のイメージからブートを試行するフェールセーフ機能があります。フェールセーフ機能を有効にしない場合は、ルート以外のディレクトリにイメージを保存します。
				5 上記の両方のアクションを実行します。	3, 5, 7, 9 ROMMON で、 boot コマンドを引数なしで入力した場合、ASA は特定の boot system local_flash コマンドで指定されたイメージをブートします。値 3 を指定すると最初の boot system コマンドで指定されたイメージが、値 5 を指定すると 2 つめのイメージが起動されます。以降同様に起動されます。この値はイメージを自動的にブートしません。

¹ 将来的な使用のために予約されています。

² 文字番号 0 および 1 が、イメージを自動的にブートするように設定されていない場合、ASA は直接 ROMMON でブートします。

³ service password-recovery コマンドを使用してパスワード回復をディセーブルにした場合は、スタートアップコンフィギュレーションを無視するようにコンフィギュレーションレジスタを設定することはできません。

コンフィギュレーションレジスタ値はスタンバイユニットに複製されませんが、アクティブユニットにコンフィギュレーションレジスタを設定すると、次の警告が表示されます。


WARNING The configuration register is not synchronized with the standby, their values may not match.

confreg コマンドを使用して、コンフィギュレーションレジスタ値を ROMMON で設定することもできます。

例

次に、デフォルトイメージからブートするようにコンフィギュレーションレジスタを設定する例を示します。


ciscoasa(config)# config-register 0x1

config-replicate-parallel

スレーブユニットでの設定変更を順番にではなく並列に同期するには、クラスタコンフィギュレーションモードで config-replicate-parallel コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

config-replicate-parallel

no config-replicate-parallel

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタ構成	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.14(1)	コマンドが追加されました。

使用上のガイドライン

設定の並列同期は、順次同期よりもパフォーマンスが向上します。

例

次の例では、並列同期をディセーブルにします。


ciscoasa(config)# cluster cluster1
ciscoasa(cfg-cluster)# no config-replicate-parallel

configure factory-default

コンフィギュレーションを出荷時のデフォルトに戻すには、グローバルコンフィギュレーションモードで configure factory-default コマンドを使用します。

configure factory-default [ ip_address [ mask ] ]

構文の説明


`ip_address`	デフォルトのアドレス 192.168.1.1 を使用する代わりに、管理インターフェイスまたは内部インターフェイスの IP アドレスを設定します。各モデルで設定されるインターフェイスの詳細については、「使用上のガイドライン」を参照してください。
`mask`	インターフェイスのサブネットマスクを設定します。マスクを設定しない場合、ASA は IP アドレスクラスに適したマスクを使用します。

コマンドデフォルト

デフォルトの IP アドレスとマスクは 192.168.1.1 および 255.255.255.0 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	出荷時のデフォルトのコンフィギュレーションが ASA 5505 に追加されました。

使用上のガイドライン

工場出荷時のデフォルト設定とは、シスコが新しい ASA に適用したコンフィギュレーションです。このコマンドは、PIX 525 および PIX 535 の ASA を除くすべてのプラットフォームでサポートされています。

PIX 515/515E および ASA 5510 以上の ASA では、出荷時のデフォルトのコンフィギュレーションによって、管理インターフェイスが自動的に設定されるため、ASDM を使用してそのインターフェイスに接続し、残りの設定を実行できます。ASA 5505 では、出荷時のデフォルトのコンフィギュレーションによって、ASA をネットワークですぐに使用できるように、インターフェイスと NAT が自動的に設定されます。

このコマンドは、ルーテッドファイアウォールモードでのみ使用可能です。トランスペアレントモードはインターフェイスの IP アドレスをサポートしていません。インターフェイス IP アドレスの設定は、このコマンドが行うアクションの 1 つです。また、このコマンドはシングルコンテキストモードでのみ使用できます。コンフィギュレーションをクリアされた ASA には、このコマンドを使用して自動的に設定される定義済みのコンテキストはありません。

このコマンドは現在の実行コンフィギュレーションをクリアしてから、複数のコマンドを設定します。

configure factory-default コマンドで IP アドレスを設定した場合、http コマンドは、ユーザーが指定したサブネットを使用します。同様に、dhcpd address コマンドの範囲は、指定したサブネット内のアドレスで構成されます。

出荷時のデフォルトのコンフィギュレーションに戻した後に、write memory コマンドを使用してこのコンフィギュレーションを内部フラッシュメモリに保存します。write memory コマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップコンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

（注）

このコマンドは、boot system コマンド（存在する場合）も、他のコンフィギュレーションとともにクリアします。boot system コマンドは、外部フラッシュメモリカードのイメージを含む、特定のイメージからの起動を可能にします。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュメモリの最初のイメージからブートします。内部フラッシュメモリにイメージがない場合、ASA はブートしません。

完全なコンフィギュレーションに有用な追加の設定を行うには、setup コマンドを参照してください。

ASA 5505 のコンフィギュレーション

ASA 5505 の工場出荷時のデフォルト設定は、次のとおりです。

イーサネット 0/1 ～ 0/7 スイッチポートを含む内部 VLAN 1 インターフェイス。configure factory-default コマンドで IP アドレスを設定していない場合、VLAN 1 の IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
イーサネット 0/0 スイッチポートを含む外部 VLAN 2 インターフェイス。VLAN 2 は、DHCP を使用してその IP アドレスを取得します。
デフォルトのルートも DHCP から取得されます。
すべての内部 IP アドレスが、外部にアクセスするときにインターフェイス PAT によって変換されます。
デフォルトでは、内部ユーザーはアクセスリストを使用して外部にアクセスでき、外部ユーザーは内部にアクセスできません。
ASA で DHCP サーバーがイネーブルになっているため、VLAN 1 インターフェイスに接続している PC は、192.168.1.2 ～ 192.168.1.254 のアドレスを受け取ります。
ASDM 用に HTTP サーバーがイネーブルにされており、192.168.1.0 ネットワーク上のユーザーからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。


interface Ethernet 0/0
   switchport access vlan 2
   no shutdown
interface Ethernet 0/1
   switchport access vlan 1
   no shutdown
interface Ethernet 0/2
   switchport access vlan 1
   no shutdown
interface Ethernet 0/3
   switchport access vlan 1
   no shutdown
interface Ethernet 0/4
   switchport access vlan 1
   no shutdown
interface Ethernet 0/5
   switchport access vlan 1
   no shutdown
interface Ethernet 0/6
   switchport access vlan 1
   no shutdown
interface Ethernet 0/7
   switchport access vlan 1
   no shutdown
interface vlan2
   nameif outside
   no shutdown
   ip address dhcp setroute
interface vlan1
   nameif inside
   ip address 192.168.1.1 255.255.255.0
   security-level 100
   no shutdown
global (outside) 1 interface
nat (inside) 1 0 0
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational

ASA 5510 以降のコンフィギュレーション

ASA 5510 以降の工場出荷時のデフォルト設定は、次のとおりです。

管理用 Management 0/0 インターフェイス。configure factory-default コマンドで IP アドレスを設定していない場合、IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
ASA では DHCP サーバーがイネーブルにされているため、このインターフェイスに接続する PC には、192.168.1.2 ～ 192.168.1.254 の間のアドレスが割り当てられます。
ASDM 用に HTTP サーバーがイネーブルにされており、192.168.1.0 ネットワーク上のユーザーからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。


interface management 0/0
   ip address 192.168.1.1 255.255.255.0
   nameif management
   security-level 100
   no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management

PIX 515/515E セキュリティアプライアンスのコンフィギュレーション

PIX 515/515E セキュリティアプライアンスの出荷時のデフォルトのコンフィギュレーションによって、次のように設定されます。

内部 Ethernet1 インターフェイス。configure factory-default コマンドで IP アドレスを設定していない場合、IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
PIX セキュリティアプライアンスで DHCP サーバーがイネーブルになっているため、このインターフェイスに接続する PC には、192.168.1.2 ～ 192.168.1.254 の間のアドレスが割り当てられます。
ASDM 用に HTTP サーバーがイネーブルにされており、192.168.1.0 ネットワーク上のユーザーからアクセスできます。

このコンフィギュレーションは次のコマンドで構成されています。


interface ethernet 1
   ip address 192.168.1.1 255.255.255.0
   nameif management
   security-level 100
   no shutdown
asdm logging informational 100
asdm history enable
http server enable
http 192.168.1.0 255.255.255.0 management
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable management

例

次に、コンフィギュレーションを出荷時のデフォルトにリセットし、IP アドレス 10.1.1.1 をインターフェイスに割り当て、次に新しいコンフィギュレーションをスタートアップコンフィギュレーションとして保存する例を示します。


ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0
Based on the inside IP address and mask, the DHCP address
pool size is reduced to 253 from the platform limit 256
WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.
Begin to apply factory-default configuration:
Clear all configuration
...
ciscoasa(config)# 
ciscoasa(config)# copy running-config startup-config

configure http

HTTP(S) サーバーから実行コンフィギュレーションにコンフィギュレーションファイルをマージするには、グローバルコンフィギュレーションモードで configure http コマンドを使用します。

configure [ interface name ] http [ s ] :// [ user [ : password ] @ ] server [ : port ] / [ path / ] ] filename

構文の説明


: password	（任意）HTTP(S) 認証の場合、パスワードを指定します。
: `port`	（任意）ポートを指定します。HTTP の場合、デフォルトは 80 です。HTTPS の場合、デフォルトは 443 です。
@	（任意）名前とパスワードの両方またはいずれかを入力する場合は、サーバーの IP アドレスの前にアットマーク（@）を付けます。
`filename`	コンフィギュレーションファイル名を指定します。
http [s ]	HTTP または HTTPS を指定します。
interface name	（任意）コンフィギュレーションファイルをコピーするインターフェイス名を指定します。インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。
`path`	（任意）ファイル名へのパスを指定します。
`server`	サーバーの IP アドレスまたは名前を指定します。IPv6 サーバーアドレスでポートを指定する場合は、IP アドレス内のコロンがポート番号の前のコロンと間違われないように、IP アドレスをカッコで囲む必要があります。たとえば、アドレスとポートを次のように入力します。 `[fe80::2e0:b6ff:fe01:3b7a]:8080`
`user`	（任意）HTTP(S) 認証の場合、ユーザー名を指定します。

コマンドデフォルト

HTTP の場合、デフォルトポートは 80 です。HTTPS の場合、デフォルトポートは 443 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.5(1)	interface name 引数が追加されました。

使用上のガイドライン

このコマンドは IPv4 および IPv6 のアドレスをサポートします。マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。

このコマンドは、 http running-config コマンドと同じです。マルチコンテキストモードの場合、このコマンドはシステム実行スペースでのみ使用できるため、configure http コマンドはコンテキスト内で使用するための代替です。

インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。管理専用インターフェイスを経由するデフォルトルートがある場合は、すべての configure トラフィックがそのルートに一致するため、データルーティングテーブルが確認されることはありません。このシナリオでは、データインターフェイスからコピーする必要がある場合にそのインターフェイスを指定します。

例

次に、コンフィギュレーションファイルを HTTPS サーバーから実行コンフィギュレーションにコピーする例を示します。


ciscoasa(config)# configure https://user1:pa$$w0rd@10.1.1.1/configs/newconfig.cfg

configure memory

スタートアップコンフィギュレーションを実行コンフィギュレーションとマージするには、グローバルコンフィギュレーションモードで configure memory コマンドを使用します。

configure memory

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。

コンフィギュレーションをマージしない場合は、ASA を経由する通信を妨げる実行コンフィギュレーションをクリアしてから、configure memory コマンドを入力して新しいコンフィギュレーションをロードできます。

このコマンドは、copy startup-config running-config コマンドと同等です。

マルチコンテキストモードの場合、コンテキストのスタートアップコンフィギュレーションは、config-url コマンドで指定した場所にあります。

例

次に、スタートアップコンフィギュレーションを実行コンフィギュレーションにコピーする例を示します。


ciscoasa(config)# configure memory

configure net

TFTP サーバーから実行コンフィギュレーションにコンフィギュレーションファイルをマージするには、グローバルコンフィギュレーションモードで configure net マンドを使用します。

configure net [ interface name ] [ server : [ filename ] | : filename ]

構文の説明


: `filename`	パスとファイル名を指定します。 tftp-server コマンドを使用してすでにファイル名を設定してある場合、この引数はオプションです。このコマンドでファイル名を指定し、 tftp-server コマンドで名前を指定する場合、ASA は tftp-server コマンドファイル名をディレクトリとして扱い、 configure net コマンドファイル名をそのディレクトリに属するファイルとして追加します。 tftp-server コマンドの値を上書きするには、パスとファイル名の前にスラッシュを入力します。スラッシュは、パスが tftpboot ディレクトリに対する相対パスではなく、絶対パスであることを示します。このファイル用に生成される URL には、ファイル名パスの前にダブルスラッシュ（//）が含まれます。必要なファイルが tftpboot ディレクトリにある場合は、ファイル名パスに tftpboot ディレクトリへのパスを含めることができます。 tftp-server コマンドを使用して TFTP サーバーのアドレスを指定した場合は、コロン（:）の後にファイル名だけを入力できます。
interface name	（任意）コンフィギュレーションファイルをコピーするインターフェイス名を指定します。インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。
`サーバー` :	TFTP サーバーの IP アドレスまたは名前を設定します。tftp-server コマンドで設定したアドレスがある場合でも、このアドレスが優先されます。IPv6 サーバーアドレスの場合、IP アドレス内のコロンがファイル名の前のコロンと間違われないように、IP アドレスをカッコで囲む必要があります。たとえば、アドレスを次のように入力します。 [fe80::2e0:b6ff:fe01:3b7a] デフォルトのゲートウェイインターフェイスは最もセキュリティレベルの高いインターフェイスですが、tftp-server コマンドを使用して別のインターフェイス名を設定することもできます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.5(1)	interface name 引数が追加されました。

使用上のガイドライン

このコマンドは IPv4 および IPv6 のアドレスをサポートします。マージでは、新しいコンフィギュレーションから実行コンフィギュレーションにすべてのコマンドが追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、複数インスタンスが許可されるコマンドの場合は、新しいコマンドが実行コンフィギュレーションの既存のコマンドに追加されます。単一インスタンスだけが許可されるコマンドの場合は、新しいコマンドで実行コンフィギュレーション内のコマンドが上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。

このコマンドは、copy tftp running-config コマンドと同じです。マルチコンテキストモードの場合、このコマンドはシステム実行スペースでのみ使用できるため、configure net コマンドはコンテキスト内で使用するための代替です。

インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。管理専用インターフェイスを経由するデフォルトルートがある場合は、すべての configure トラフィックがそのルートに一致するため、データルーティングテーブルが確認されることはありません。このシナリオでは、データインターフェイスからコピーする必要がある場合にそのインターフェイスを指定します。

例

次に、tftp-server コマンドにサーバーとファイル名を設定してから、configure net コマンドを使用してサーバーを上書きする例を示します。同じファイル名が使用されています。


ciscoasa(config)# tftp-server inside 10.1.1.1 configs/config1
ciscoasa(config)# configure net 10.2.2.2:

次に、サーバーおよびファイル名を上書きする例を示します。ファイル名へのデフォルトパスは /tftpboot/configs/config1 です。ファイル名をスラッシュ（/）で始めない場合、パスの /tftpboot/ 部分がデフォルトで含まれます。このパスを上書きし、ファイルも tftpboot にある場合は、tftpboot パスを configure net コマンドに含めます。


ciscoasa(config)# tftp-server inside 10.1.1.1 configs/config1
ciscoasa(config)# configure net 10.2.2.2:/tftpboot/oldconfigs/config1

次に、サーバーだけを tftp-server コマンドに設定する例を示します。configure net コマンドはファイル名だけを指定します。


ciscoasa(config)# tftp-server inside 10.1.1.1
ciscoasa(config)# configure net :configs/config1

configure session

ACL やオブジェクトを隔離して編集できるコンフィギュレーションセッションを作成または開くには、特権 EXEC モードで configure session コマンドを使用します。

configure session session_name

構文の説明


`session_name`	コンフィギュレーションセッションの名前。セッションがすでに存在する場合は、そのセッションを開きます。そうでない場合は、新しいセッションを作成します。現在のセッションのリストを表示するには、show configuration session コマンドを使用します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.3(2)	このコマンドが追加されました。

使用上のガイドライン

アクセスルールまたは他の目的に使用する ACL を編集すると、その変更はすぐに実装され、トラフィックに影響を与えます。新しいルールがアクティブになるのはルールのコンパイルが完了した後のみとし、そのコンパイルは各 ACE を編集した後に発生することを、トランザクションコミットモデルによって保証するために、アクセスルールを使用できます。

ACL 編集の影響をさらに分離するには、「コンフィギュレーションセッション」で変更を行うことができます。このセッションは、変更内容を明示的にコミットする前に、複数の ACE やオブジェクトを編集できる隔離されたモードです。このため、デバイスの動作を変更する前に、目的のすべての変更が完了したことを確認できます。

新しいセッションを作成するか、または既存のセッションを開くには、configure session コマンドを使用します。他のユーザーが編集のためにセッションをすでに開いている場合は、そのセッションを開くことはできません。セッションが実際には編集されていないと判断した場合は、clear session session_name access コマンドを使用してアクセスフラグをリセットしてから、そのセッションを開くことができます。

一度に最大 3 つのセッションを定義できます。

1 つのセッション内で、次のコマンドを使用できます。

コンフィギュレーションコマンド：コミットされていないセッションでは、任意のパラメータを指定して次の基本コマンドを使用できます。
- access-list
- object
- object-group
セッション管理コマンド：使用できるコマンドは、そのセッションを以前コミットしたかどうかによって異なります。使用できる可能性があるコマンドは次のとおりです。
- exit ：セッションを単に終了し、変更のコミットや廃棄は行わないため、後で戻ることができます。
- commit [noconfirm [revert-save | config-save ]]：（コミットされていないセッションのみ）変更を保存します。セッションを保存するかどうか尋ねられます。リバートセッションを保存（revert-save ）しておくと、revert コマンドで変更を元に戻すことができます。また、コンフィギュレーションセッションを保存（config-save ）しておくと、そのセッションで変更したすべての内容を、必要に応じて再度コミットできます。リバートセッションまたはコンフィギュレーションセッションを保存した場合は、変更はコミットされますが、セッションはアクティブのままになります。セッションを開いて、変更を元に戻したり同じ変更を再コミットしたりできます。noconfirm オプションと任意の適切な save オプションを指定すると、プロンプトが表示されないようにすることができます。
- abort ：（コミットされていないセッションのみ）変更を破棄し、セッションを削除します。セッションを保持する場合は、セッションを終了して clear session session_name configuration コマンドを使用します。このコマンドは、セッションを削除せずに空にします。
- revert ：（コミットされたセッションのみ）変更を元に戻し、セッションをコミットする前のコンフィギュレーションに戻して、そのセッションを削除します。
- show configuration session [session_name ]：セッションで行った変更を表示します。

例

次に、my-session を開く例を示します。


ciscoasa# configure session my-session access 
ciscoasa(config-s)#

configure terminal

実行コンフィギュレーションをコマンドラインで設定するには、特権 EXEC モードで configure terminal コマンドを使用します。

configure terminal

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、コンフィギュレーションを変更するコマンドを入力できるグローバルコンフィギュレーションモードを開始します。

例

次に、グローバルコンフィギュレーションモードを開始する例を示します。


ciscoasa# configure terminal
ciscoasa(config)#

config-url

システムがコンテキストコンフィギュレーションをダウンロードする URL を指定するには、コンテキストコンフィギュレーションモードで config-url コマンドを使用します。

config-urlurl

構文の説明


`url`	コンテキストコンフィギュレーションの URL を設定します。すべてのリモート URL は、管理コンテキストからアクセスできる必要があります。次の URL 構文を参照してください。 disk0:/ [`path` / ]`filename` ASA 5500 シリーズでは、この URL は内部フラッシュメモリを示します。disk0 コマンドの代わりに flash コマンドを使用することもできます。これらはエイリアス化されます。 disk1:/ [`path` / ]`filename` ASA 5500 シリーズでは、この URL は外部フラッシュメモリを示します。 flash:/ [`path` / ]`filename` この URL は、内部フラッシュメモリを指定します。 ftp:// [`user` [: `password` ]@ ]`server` [:`port` ]/ [`path` / ]`filename` [;type= `xx` ] 次のキーワードの 1 つを type として指定できます。 ap ：ASCII 受動モード an ：ASCII 通常モード ip ：（デフォルト）バイナリ受動モード in ：バイナリ通常モード http [s ]:// [`user` [: `password` ]@ ]`server` [:`port` ]/ [`path` / ]`filename` tftp:// [`user` [: `password` ]@ ]`server` [:`port` ]/ [`path` / ]`filename` [;int= `interface_name` ] サーバーアドレスへのルートを上書きする場合は、インターフェイス名を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
コンテキストコンフィギュレーション	対応	対応	—	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

コンテキスト URL を追加すると、システムはただちにコンテキストをロードし、実行中になります。

（注）

config-url コマンドを入力する前に、allocate-interface コマンドを入力します。ASA は、コンテキストコンフィギュレーションをロードする前に、コンテキストにインターフェイスを割り当てる必要があります。コンテキストコンフィギュレーションには、インターフェイス（interface 、nat 、global など）を示すコマンドが含まれている場合があります。config-url コマンドを先に入力した場合、ASA はただちにコンテキストコンフィギュレーションをロードします。インターフェイスを示すコマンドがコンテキストに含まれている場合、それらのコマンドは失敗します。

ファイル名にファイル拡張子は必要ありませんが、「.cfg」を使用することを推奨します。

管理コンテキストファイルは内部フラッシュメモリに保存する必要があります。

HTTP または HTTPS サーバーからコンテキストコンフィギュレーションをダウンロードした場合、copy running-config startup-config コマンドを使用してこれらのサーバーに変更内容を戻して保存することはできません。ただし、copy tftp コマンドを使用して実行コンフィギュレーションを TFTP サーバーにコピーできます。

システムは、サーバーが利用できない、またはファイルがまだ存在しないためにコンテキストコンフィギュレーションファイルを取得できない場合、コマンドラインインターフェイスですぐに設定できるブランクのコンテキストを作成します。

URL を変更するには、新しい URL で config-url コマンドを再入力します。

ASA は、新しいコンフィギュレーションを現在の実行コンフィギュレーションにマージします。同じ URL を再入力した場合でも、保存されたコンフィギュレーションが実行コンフィギュレーションにマージされます。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。実行コンフィギュレーションが空白の場合（たとえば、サーバーが使用不可でコンフィギュレーションがダウンロードされなかった場合）は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションをクリアしてから、新しい URL からコンフィギュレーションをリロードすることができます。

例

次の例では、管理コンテキストを「administrator」と設定し、「administrator」というコンテキストを内部フラッシュメモリに作成してから、2 つのコンテキストを FTP サーバーから追加します。


ciscoasa(config)# admin-context administrator
ciscoasa(config)# context
 administrator
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.1
ciscoasa(config-ctx)# config-url
 flash:/admin.cfg
ciscoasa(config-ctx)# context
 test
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115
int3-int8
ciscoasa(config-ctx)# config-url
 ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
ciscoasa(config-ctx)# context
 sample
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235
int3-int8
ciscoasa(config-ctx)# config-url
 ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg

connect fxos

Firepower 1000 または 2100 で ASA CLI から FXOS に接続するには、特権 EXEC モードで connect fxos コマンドを入力します。

connect fxos [ admin ]

構文の説明


admin	（オプション）アプライアンスモードの Firepower 1000 または Firepower 2100 では、管理者レベルのアクセスに admin を指定します。このオプションを指定しないと、ユーザーのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーションコマンドは使用できないことに注意してください。このキーワードは、プラットフォームモードの Firepower 2100 では使用できません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが追加されました。
9.13(1)	admin キーワードが追加されました。

使用上のガイドライン

Firepower 1000 and 2100 in Appliance Mode

Firepower 1000 および 2100 アプライアンスモードのコンソールポートは、ASA CLI に接続します（FXOS CLI に接続する Firepower 2100 プラットフォームモードのコンソールとは異なります）。ASA CLI から、トラブルシューティングのために Telnet を使用して FXOS CLI に接続できます。

ユーザーはクレデンシャルの入力を求められません。現在の ASA ユーザー名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、exit と入力するか、Ctrl-Shift-6 を押し、x と入力します。

FXOS 内では、 scope security/show audit-logs コマンドを使用してユーザーアクティビティを表示できます。

Firepower 2100 in Platform Mode

ASA への接続に SSH または Telnet を使用している場合は、このコマンドを使用して FXOS CLI に接続します。FXOS への認証を求められます。デフォルトのユーザー名：admin およびパスワード：Admin123 を使用します。ASA CLI に戻るには、exit と入力するか、Ctrl-Shift-6 を押し、x と入力します。

初期接続が（コンソールポートなどでの）FXOS への接続である場合は、connect asa コマンドを使用すると、ASA CLI に接続できます。当初の接続 CLI に戻るには、connect コマンドは使用できません。接続を終了させる必要があります。

例

次に、アプライアンスモードの Firepower 1000 または 2100 で FXOS CLI に接続する例を示します。


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#

次に、プラットフォームモードの Firepower 2100 で FXOS CLI に接続する例を示します。


ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
FXOS 2.2(2.32) kp2110
kp2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software
[...]
kp2110#
kp2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#

conn data-rate

負荷の大きいデータを渡すデバイス上の接続を表示するには、特権 EXEC モードで conn data-rate コマンドを使用します。このコマンドには、フローごとのデータレートが既存の接続情報とともに表示されます。データレート別に接続の収集を無効にするには、このコマンドの no 形式を使用します。

conn data-rate

no conn data-rate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
9.14(1)	このコマンドが追加されました。

使用上のガイドライン

conn data-rate コマンドは、デバイスの全体的な負荷の最も大きな部分を占めている可能性のある接続やユーザーを特定する際に特に役立ちます。

イネーブルにすると、conn data-rate 機能によってすべての接続に対し次の 2 つの統計情報が追跡されます。

接続の順方向および逆方向の現在の（1 秒）データレート。
接続の順方向および逆方向の最大（1 秒）データレート。

例

次の例では、接続データレート収集をイネーブルにする方法について示します。


ciscoasa(config)#conn data-rate
ciscoasa(config)#

conn-rebalance

クラスタのメンバー間の接続再分散をイネーブルにするには、クラスタグループコンフィギュレーションモードで conn-rebalance コマンドを使用します。接続再分散をディセーブルにするには、このコマンドの no 形式を使用します。

conn-rebalance [ frequency seconds ]

no conn-rebalance [ frequency seconds ]

構文の説明


frequency seconds	（任意）負荷情報を交換する間隔を 1 ～ 360 秒の範囲内で指定します。デフォルトは 5 秒です。

コマンドデフォルト

接続再分散は、デフォルトではディセーブルです。

イネーブルの場合、デフォルトの頻度は、5 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタグループコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

アップストリームまたはダウンストリームルータによるロードバランシングの結果として、フロー分散に偏りが生じた場合は、新しいフローを過負荷のユニットから他のユニットにリダイレクトするように設定できます。既存のフローは他のユニットには移動されません。有効化されている場合は、ASA は負荷情報を定期的に交換し、新しい接続の負荷を高負荷のデバイスから低負荷のデバイスに移動します。

このコマンドは、ブートストラップコンフィギュレーションの一部ではなく、マスターユニットからスレーブユニットに複製されます。

例

次に、接続再分散の頻度を 60 秒に設定する例を示します。


ciscoasa(cfg-cluster)# conn-rebalance frequency 60

console-replicate

ASA クラスタ内でスレーブユニットからマスターユニットへのコンソール複製をイネーブルにするには、クラスタグループコンフィギュレーションモードで console-replicate コマンドを使用します。コンソール複製をディセーブルにするには、このコマンドの no 形式を使用します。

console-replicate

noconsole-replicate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

コンソール複製はデフォルトでディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタグループコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

ASA は、特定の重大イベントが発生したときに、メッセージを直接コンソールに出力します。コンソール複製をイネーブルにすると、スレーブユニットからマスターユニットにコンソールメッセージが送信されるので、モニターが必要になるのはクラスタのコンソールポート 1 つだけとなります。

このコマンドは、ブートストラップコンフィギュレーションの一部ではなく、マスターユニットからスレーブユニットに複製されます。

例

次に、コンソール複製をイネーブルにする例を示します。


ciscoasa(config)# cluster group cluster1
ciscoasa(cfg-cluster)# console-replicate

console timeout

認証済みシリアルコンソールセッション（aaa authentication serial console ）に対する非アクティブタイムアウトを設定して、タイムアウト後にユーザーがコンソールからログアウトされるようにするには、または認証済みイネーブルセッション（aaa authentication enable console ）に対する非アクティブタイムアウトを設定して、タイムアウト後にユーザーが特権 EXEC モードを終了し、ユーザー EXEC モードに戻るようにするには、グローバルコンフィギュレーションモードで console timeout コマンドを使用します。認証済みシリアルコンソールセッションに対する非アクティブタイムアウトをディセーブルにするには、このコマンドの no 形式を使用します。

console timeout [ number ]

no console timeout [ number ]

構文の説明


`number`	コンソールセッションが終了するまでのアイドル時間を分単位（0 ～ 60）で指定します。0 はコンソールがタイムアウトしないことを意味します。

コマンドデフォルト

デフォルトのタイムアウトは 0 であり、コンソールセッションがタイムアウトしないことを示します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ctl プロバイダーコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

console timeout コマンドは、認証済みのシリアル接続またはイネーブル接続だけに適用されます。このコマンドは、Telnet、SSH、または HTTP のタイムアウトを変更しません。これらのアクセス方式では、独自のタイムアウト値が維持されます。このコマンドは、認証されていないコンソール接続には影響しません。

no console timeout コマンドは、コンソールタイムアウト値をデフォルトのタイムアウトである 0 にリセットします。この値は、コンソールがタイムアウトしないことを意味します。

例

次に、コンソールタイムアウトを 15 分に設定する例を示します。


ciscoasa(config)# console timeout 15

content-length

HTTP メッセージ本文の長さに基づいて HTTP トラフィックを制限するには、HTTP マップコンフィギュレーションモードで content-length コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]

no content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]

構文の説明


action	メッセージがこのインスペクションに合格しなかったときに実行するアクションを指定します。
allow	メッセージを許可します。
bytes	バイト数を指定します。許容される範囲は、min オプションでは 1 ～ 65535、max オプションでは 1 ～ 50000000 です。
drop	接続を閉じます。
log	（任意）syslog を生成します。
max	（任意）許容される内容の最大長を指定します。
min	（任意）許容される内容の最小長を指定します。
reset	TCP リセットメッセージをクライアントおよびサーバーに送信します。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
HTTP マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

content-length コマンドをイネーブルにすると、ASA は、設定された範囲内のメッセージだけを許可し、範囲外の場合は指定されたアクションを実行します。ASA に TCP 接続をリセットさせて、Syslog エントリを作成させるには、action キーワードを使用します。

例

次に、HTTP トラフィックを 100 バイト以上 2000 バイト以下のメッセージに制限する例を示します。メッセージがこの範囲外の場合、ASA は TCP 接続をリセットし、syslog エントリを作成します。


ciscoasa(config)# http-map inbound_http
ciscoasa(config-http-map)# content-length min 100 max 2000 action reset log
ciscoasa(config-http-map)# exit

context

システムコンフィギュレーションにセキュリティコンテキストを作成し、コンテキストコンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで context コマンドを使用します。コンテキストを削除するには、このコマンドの no 形式を使用します。

contextname

no context name [ noconfirm ]

構文の説明


`name`	名前を最大 32 文字のストリングで設定します。この名前では大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。「System」および「Null」（大文字と小文字の両方）は予約されている名前であり、使用できません。
noconfirm	（任意）確認を求めるプロンプトを表示せずにコンテキストを削除します。このオプションは自動スクリプトで役立ちます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	—	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

コンテキストコンフィギュレーションモードでは、コンテキストで使用できる、コンフィギュレーションファイルの URL とインターフェイスを指定できます。管理コンテキストがない場合（たとえば、コンフィギュレーションをクリアした場合）、追加する最初のコンテキストは管理コンテキストである必要があります。管理コンテキストを追加するには、admin-context コマンドを参照してください。管理コンテキストを指定した後、context コマンドを入力して管理コンテキストを設定します。

コンテキストは、システムコンフィギュレーションを編集することによってのみ削除できます。現在の管理コンテキストはこのコマンドの no 形式を使用して削除することはできません。 clear configure context コマンドを使用してすべてのコンテキストを削除した場合にのみ削除できます。

例

次の例では、管理コンテキストを「administrator」と設定し、「administrator」というコンテキストを内部フラッシュメモリに作成してから、2 つのコンテキストを FTP サーバーから追加します。


ciscoasa(config)# admin-context administrator
ciscoasa(config)# context
 administrator
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.1
ciscoasa(config-ctx)# config-url
 flash:/admin.cfg
ciscoasa(config-ctx)# context
 test
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115
int3-int8
ciscoasa(config-ctx)# config-url
 ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
ciscoasa(config-ctx)# context
 sample
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
ciscoasa(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235
int3-int8
ciscoasa(config-ctx)# config-url
 ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg

copy

ファイルを ASA フラッシュメモリとの間でコピーするには、特権 EXEC モードで copy コマンドを使用します。

copy [ /noconfirm | /noverify ] [ interface_name ] [ /pcap ] { url | running-config | startup-config }{ running-config | startup-config | url }

構文の説明


/noconfirm	（オプション）確認のプロンプトを表示しないでファイルをコピーします。
interface_name	（任意）ファイルをコピーするインターフェイス名を指定します。インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。
/pcap	（オプション）capture コマンドの未加工のパケットキャプチャダンプを指定します。
/noverify	（オプション）開発キー署名済みイメージをコピーするときに署名検証をスキップします。
running-config	システムメモリに格納されている実行コンフィギュレーションを指定します。
startup-config	フラッシュメモリに格納されているスタートアップコンフィギュレーションを指定します。シングルモードのスタートアップコンフィギュレーション、またはマルチコンテキストモードのシステムのスタートアップコンフィギュレーションは、フラッシュメモリ内の非表示のファイルです。スタートアップコンフィギュレーションの場所は、コンテキスト内から config-url コマンドで指定します。たとえば、config-url コマンドで HTTP サーバーを指定し、copy startup-config running-config コマンドを入力した場合、ASA は管理コンテキストインターフェイスを使用して、HTTP サーバーからスタートアップコンフィギュレーションをコピーします。
`url`	ローカルロケーションとリモートロケーション間でコピーするコピー元ファイルまたは宛先ファイルを指定します。（リモートサーバーから別のリモートサーバーにコピーできません）。コンテキスト内では、コンテキストインターフェイスを使用して、実行コンフィギュレーションまたはスタートアップコンフィギュレーションを TFTP サーバーまたは FTP サーバーにコピーできますが、サーバーから実行コンフィギュレーションまたはスタートアップコンフィギュレーションにコピーすることはできません。その他のオプションについては、startup-config キーワードを参照してください。TFTP サーバーから実行コンテキストコンフィギュレーションにダウンロードするには、 configure net コマンドを使用します。一部の URL は、送信元または宛先としてのみ使用できます。正確な使い方については、CLI ヘルプを参照してください。このコマンドでは、次の URL 構文を使用します。 cache: /[[`path` / ]`filename` ]：ファイルシステム内のキャッシュメモリを示します。 capture: /[[context_name/ ]`buffer_name` ]]：キャプチャバッファ内の出力を示します。 cluster_trace: ：クラスタファイルトレースシステムを示します。 cluster:/ [[`path` / ]`filename` ]：クラスタファイルシステムを示します。 disk`n`:/ [[`path` / ]`filename` ]—disk0: は内部メモリです。その他のドライブ番号は、USB ドライブ、SSD、SD カードなどの外部ストレージを表します。 smb: /[[`path` / ]`filename` ]：UNIX サーバーのローカルファイルシステムを示します。サーバーメッセージブロックファイルシステムプロトコルは、データをパッケージ化し、他のシステムと情報を交換するために、LAN マネージャおよび類似のネットワークシステムで使用されます。 ftp:// [[`user` [: `password` ]@ ]`server` [:`port` ]/ [`path` / ]`filename` [;type= `xx` ]]：e type は次のいずれかのキーワードになります。ap （ASCII パッシブモード）、 an （ASCII 通常モード）、ip （デフォルト：バイナリパッシブモード）、in （バイナリ通常モード）。 http [s ]:// [[`user` [: `password` ]@ ]`server` [: `port` ]/ [`path` / ]`filename` ] scp:// [[user [: password ]@ ]server [/ path ]/ filename [;int= interface_name ]]：;int= interface オプションを指定すると、ルートルックアップがバイパスされ、常に指定したインターフェイスを使用してセキュアコピー（SCP）サーバーに接続するようになります。 system:/ [[`path` / ]`filename` ]：システムメモリを表します。 system:text ：主要な ASA プロセスを分析用に ASA からコピーできるテキストとして表します。 tftp:// [[`user` [: `password` ]@ ]`server` [: `port` ]/ [`path` / ]`filename` [;int= `interface_name` ]] パス名にスペースを含めることはできません。パス名がスペースを含む場合は、 copy tftp コマンドではなく tftp-server コマンドでパスを設定します。;int= interface オプションを指定すると、ルートルックアップをバイパスし、常に指定したインターフェイスを使用して TFTP サーバーに接続するようになります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応 ⁴	対応

⁴ コンテキスト内では、実行コンフィギュレーションまたはスタートアップコンフィギュレーションのみを外部 URL にコピーできます。

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.2(1)	DNS 名のサポートが追加されました。
8.0(2)	smb オプションが追加されました。
9.1(5)	scp オプションが追加されました。
9.3(2)	/noverify オプションが追加されました。
9.5(1)	interface_name 引数が追加されました。
9.6(2)	system:text キーワードが追加されました。
9.16	FTP URL にパスワードを含めても、無視されます。プロンプトが表示されたら、パスワードを入力する必要があります。
9.17(1)	CiscoSSH スタック（ssh stack ciscossh コマンド）を使用する場合、SCP で copy を使用するには、ssh コマンドを使用して SCP サーバーの IP アドレスへの SSH アクセスを許可する必要があります。

使用上のガイドライン

コンフィギュレーションを実行コンフィギュレーションにコピーするには、2 つのコンフィギュレーションをマージします。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。
RSA キーを NVRAM に保存できない場合は、次のエラーメッセージが表示されます。
```
ERROR: NV RAM does not have enough space to save keypair keypair name
```

クラスタ全体のキャプチャを実行後、マスターユニットで次のコマンドを入力して、クラスタ内のすべてのユニットから同じキャプチャファイルを TFTP サーバーに同時にコピーできます。


hostname (config-cluster)# cluster exec copy
 /pcap capture
: 
cap_name
tftp://
location/path/filename
.pcap

複数の PCAP ファイル（各ユニットから 1 つずつ）が TFTP サーバーにコピーされます。宛先のキャプチャファイル名には自動的にユニット名が付加され、filename_A.pcap、filename_B.pcap などとなります。ここで、A および B はクラスタユニット名です。

（注）

ファイル名の末尾にユニット名を追加すると、別の宛先名が生成されます。

パケットキャプチャをディスクにコピーすることもできます。ただし、コピー操作が成功するためには、キャプチャ名を 63 文字未満にしてください。

インターフェイスを指定しなかった場合、ASA は管理専用ルーティングテーブルを確認し、一致するものが見つからなければ、データのルーティングテーブルを確認します。管理専用インターフェイスを経由するデフォルトルートがある場合は、すべての copy トラフィックがそのルートに一致するため、データルーティングテーブルが確認されることはありません。このシナリオでは、データインターフェイスからコピーする必要がある場合にそのインターフェイスを指定します。
CiscoSSH スタック（ssh stack ciscossh コマンド）を使用する場合、SCP で copy を使用するには、ssh コマンドを使用して SCP サーバーの IP アドレスへの SSH アクセスを許可する必要があります。
FTP 転送の場合、9.16 以降の一部の古いポイントリリースでは、パスワードを URL に含めても無視されます。コマンドによってプロンプトが表示されたら、常に FTP パスワードを入力する必要があります。

例

次に、システム実行スペースでファイルをディスクから TFTP サーバーにコピーする例を示します。


ciscoasa(config)# copy disk0:my_context/my_context.cfg
tftp://10.7.0.80/my_context/my_context.cfg

次に、ファイルをディスク上のある場所からディスク上の別の場所にコピーする例を示します。宛先ファイルの名前は、コピー元のファイルの名前にすることも、別の名前にすることもできます。


ciscoasa(config)# copy disk0:my_context.cfg disk:my_context/my_context.cfg

次に、ASDM ファイルを TFTP サーバーから内部フラッシュメモリにコピーする例を示します。


ciscoasa(config)# copy tftp://10.7.0.80/asdm700.bin disk0:asdm700.bin

次に、コンテキスト内の実行コンフィギュレーションを TFTP サーバーにコピーする例を示します。


ciscoasa(config)# copy running-config tftp://10.7.0.80/my_context/my_context.cfg

copy コマンドでは、IP アドレス（上の例の場合）だけでなく、次に示すように DNS 名もサポートされています。


ciscoasa(config)# copy running-config tftp://www.example.com/my_context/my_context.cfg

次に、フルパスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトの例を示します。


ciscoasa(config)# copy capture:abc tftp
Address or name of remote host [209.165.200.224]? 
Source file name [username/cdisk]? 
copying capture to tftp://209.165.200.224/username/cdisk:
[yes|no|again]? y 
!!!!!!!!!!!!!

次のようにフルパスを指定できます。


ciscoasa(config)# copy capture:abc tftp:209.165.200.224/tftpboot/abc.cap

TFTP サーバーをすでに設定している場合は、次のようにファイルの位置や名前を省略できます。


ciscoasa
(co
nfig)# tftp-server outside 209.165.200.224 tftp/cdisk
ciscoasa
(config)# 
copy capture:abc tftp:/tftp/abc.cap

次に、開発キー署名済みイメージを検証せずにコピーする例を示します。


ciscoasa(config)# copy /noverify lfbff.SSA exa_lfbff.SSA
Source filename [lfbff.SSA]?
Destination filename [exa_lfbff.SSA]?
Copy in progress...CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
Writing file disk0:/exa_lfbff.SSA...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Digital Signature was not verified
124125968 bytes copied in 61.740 secs (2034851 bytes/sec)

cpu hog granular-detection

リアルタイムの占有検出を行い、短期間での CPU 占有しきい値を設定するには、特権 EXEC モードで cpu hog granular-detection コマンドを使用します。

cpu hog granular-detection [ count number ] [ threshold value ]

構文の説明


count number	実行されるコード実行割り込みの数を指定します。有効な値は、1 ～ 10000000 です。デフォルト値および推奨値は 1000 です。
threshold value	範囲は 1 ～ 100 です。設定されていない場合はデフォルトが使用されます。デフォルトはプラットフォームによって異なります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC

コマンド履歴


リリース	変更内容
9.2(1)	このコマンドが追加されました。

使用上のガイドライン

cpu hog granular-detection コマンドでは、現在のコード実行に 10 ミリ秒ごとに割り込み、割り込みの総数がカウントされます。割り込みによって CPU 占有がチェックされます。存在する場合は、ログに記録されます。このコマンドによって、データパスでの CPU 占有検出の精度が低下します。

各スケジューラベースの占有は、最大 5 つの割り込みベースの占有エントリに関連付けられます。各エントリには最大 3 つのトレースバックが含まれる場合があります。割り込みベースの占有は上書きできません。空き領域がない場合は、新しい占有が廃棄されます。スケジューラベースの占有は、LRU ポリシーに従って引き続き再利用され、関連付けられている割り込みベースの占有はそのときにクリアされます。

（注）

UDP パケットが小さい ASA 5585-X では、パフォーマンスが影響を受ける可能性があります。

例

次に、CPU 占有検出をトリガーする例を示します。


ciscoasa# cpu hog granular-detection count 1000 threshold 10
Average time spent on 1000 detections is 10 seconds, and it may take longer 
under heavy traffic.
Please leave time for it to finish and use show process cpu-hog to check results.

cpu profile activate

CPU プロファイリングを開始するには、特権 EXEC モードで cpu profile activate コマンドを使用します。

cpu profile-activate n-samples [ sample-process process-name ] [ trigger-cpu-usage cpu % [ process-name ] ]

構文の説明


`n-samples`	サンプル数 n を保存するためのメモリを割り当てます。有効値は 1 ～ 100,000 です。
sample-process process-name	特定のプロセスのみをサンプリングします。
trigger cpu-usage cpu %	グローバルな CPU 使用率である 5 秒を超えるまでプロファイラを開始しないようにし、CPU 使用率がこの値を下回った場合はプロファイラを停止します。
trigger cpu-usage cpu % process-name	CPU 使用率が 5 秒のプロセスをトリガーとして使用します。

コマンドデフォルト

n-samples のデフォルト値は 1000 です。

cpu % のデフォルト値は 0 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.1(2)	sample-process process-name、 trigger cpu-usage cpu %、および trigger cpu-usage cpu % process-name オプションが追加されました。出力形式が更新されました。

使用上のガイドライン

CPU プロファイラは、CPU 使用率が高いプロセスの特定に役立ちます。CPU のプロファイリングでは、タイマー割り込みが発生したときに CPU で動作していたプロセスのアドレスをキャプチャします。このプロファイリングは、CPU の負荷に関係なく、10 ミリ秒ごとに発生します。たとえば、5000 のサンプルを取得する場合、プロファイリングが完了するまで正確に 50 秒かかります。CPU プロファイラが使用する CPU 時間が比較的少ない場合は、サンプルの収集に時間がかかります。CPU プロファイルレコードは、別のバッファでサンプリングされます。

show cpu profile コマンドを cpu profile activate コマンドとともに使用して、ユーザーが収集できる情報、および TAC が CPU の問題のトラブルシューティングに使用できる情報を表示します。show cpu profile dump コマンドの出力は、16 進形式で表示されます。

CPU プロファイラが開始条件の発生を待機している場合、show cpu profile コマンドは次の出力を表示します。


CPU profiling started: 12:45:57.209 UTC Wed Nov 14 2012 
CPU Profiling waiting on starting condition.
Core 0: 0 out of 10 samples collected. 
Core 1: 0 out of 10 samples collected. 
Core 2: 0 out of 10 samples collected. 
Core 3: 0 out of 10 samples collected. 
CP 
0 out of 10 samples collected.

例

次の例では、プロファイラをアクティブ化して、1000 個のサンプルを格納するように指示します。


hostname# cpu profile activate 
Activated CPU profiling for 1000 samples. 
Use "show cpu profile" to display the progress or "show cpu profile dump"
to interrupt profiling and display the incomplete results.

次に、プロファイリングのステータス（進行中および完了済み）を表示する例を示します。


hostname# show cpu profile
CPU profiling started: 13:45:10.400 PST Fri Nov 16 2012 
CPU profiling currently in progress: 
Core 0: 209 out of 1000 samples collected. 
Use "show cpu profile dump" to see the results after it is complete
or to interrupt profiling and display the incomplete results. 
hostname# show cpu profile dump
Cisco Adaptive Security Appliance Software Version 9.1(2)
Hardware:   ASA5555
CPU profiling started: 09:13:32.079 UTC Wed Jan 30 2013
No CPU profiling process specified.
No CPU profiling trigger specified.
cores: 2
Process virtual address map:
---------------------------
...
---------------------------
End of process map
Samples for core 0 - stopped
{0x00000000007eadb6,0x000000000211ee7e} ...

coredump enable

コアダンプ機能をイネーブルにするには、coredump enable コマンドを入力します。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

coredump enable [ filesystem disk n : [ size [ default | size ] ]

no coredump enable [ filesystem disk n : [ size [ default | size ] ]

構文の説明


default	ASA で必要な値が計算されるため、このデフォルト値の使用が推奨されることを指定します。
filesystem disk `n` :	コアダンプファイルが保存されるディスクを指定します。
size	ASA のフラッシュ上のコアダンプファイルシステムイメージに割り当てる合計サイズを定義します。コアダンプを設定するとき、十分な領域が使用可能でない場合は、エラーメッセージが表示されます。size オプションをコンテナとして考えると役立ちます。つまり、生成されたコアダンプではこのサイズを超えてディスク領域を消費できません。
`size`	ASA がデフォルト値を上書きし、コアダンプファイルシステムの指定された値（MB 単位）を割り当てることを指定します（領域が使用可能な場合）。

コマンドデフォルト

デフォルトでは、コアダンプはイネーブルではありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

（注）

4100/9300 プラットフォームで動作している ASA の場合は、ブートストラップ CLI モードを使用してコアダンプを処理します。

コマンド履歴


リリース	変更内容
8.2(1)	このコマンドが追加されました。

使用上のガイドライン

この機能をイネーブルにすると、重要なトラブルシューティング情報が提供されます。この機能をディセーブルにすると、システムのクラッシュ時にすべてのコンポーネントのコアダンプファイルが生成されなくなります。また、この機能をディセーブルにしても、前のコアダンプファイルシステムイメージやコアダンプファイルシステムイメージの内容は削除されません。コアダンプをイネーブルにすると、コアダンプファイルシステムの作成を許可するように求めるプロンプトが表示されます。このプロンプトは確認であり、作成されるコアダンプファイルシステムのサイズ（MB 単位）が含まれます。コアダンプをイネーブルまたはディセーブルにした後に、コンフィギュレーションを保存することが重要です。

コアダンプを有効にする前に、ASA デバイスで現在使用可能なディスク領域を認識しておく必要があります。ASA に十分なディスク領域がある場合にのみ、コアダンプを有効にします。コアダンプに割り当てられているディスク領域の容量は、現在 ASA プラットフォームとその標準メモリの次のような構成に基づいています。

ASA5505、ASA5510、ASA552 の場合は 60 MB
ASA5540 の場合は 100 MB
ASA5550、ASA5580 の場合は 200 MB
ASA5585 の場合は 300 MB

デフォルトのコアダンプが大きすぎて使用可能なフラッシュメモリに保存できない場合、ASA はエラーをスローします。

コアダンプをイネーブルにすると、次のファイル要素が作成されます。これらのファイル要素を明示的に操作しないでください。

coredumpfsys：コアダンプイメージが含まれるディレクトリ
coredumpfsysimage.bin：コアダンプの管理に使用されるコアダンプファイルシステムイメージ
coredumpinfo：コアダンプログが含まれるディレクトリ

（注）

コアダンプをディセーブルにしても、crashinfo ファイルの生成には影響がありません。

ASA でのアプリケーション/システムクラッシュをトラブルシューティングするために、コアダンプ機能を有効にするよう Cisco TAC から要請される場合があります。

（注）

後続のコアダンプで、現在のコアダンプを格納するために前のコアダンプが削除される場合があるため、コアダンプファイルを必ずアーカイブしてください。コアダンプファイルは、設定されたファイルシステム（たとえば、「disk0:/coredumpfsys」や「disk1:/coredumpfsys」）に配置され、ASA から削除できます。

コアダンプをイネーブルにするには、次の手順を実行します。

/ ルートディレクトリになっていることを確認します。コンソールのディレクトリの場所を確認するには、pwd コマンドを入力します。
必要に応じて、cd disk0: / または cd disk1:/ コマンドを入力して、ディレクトリを変更します。
coredump enable コマンドを入力します。

coredump コマンドを使用して ASA 上のクラッシュをトラブルシューティングするときに、クラッシュ後にコアダンプファイルが保存されないことがあります。このことは、コアダンプ機能がイネーブルになっており、かつ事前に割り当てられたディスク領域を使用してコアダンプファイルシステムが作成されている場合に発生する可能性があります。この状態は、通常、数週間ビジーな状態が継続した ASA で大量の RAM が割り当てられ、その後に発生したクラッシュをトラブルシューティングする場合に発生します。

show coredump コマンドの出力に、次のような内容が示されます。


Coredump Aborted as the complete coredump could not be written to flash
   Filesystem full on 'disk0', current coredump size <size> bytes too big
   for allocated filesystem

この問題の発生を抑制するには、フルメモリを格納できるだけの十分な容量があるコアダンプファイルシステムカードを使用し、対応する領域をコアダンプファイルシステムに割り当てる必要があります。

例

次の例の各 ! は、書き込まれる 1 MB のコアダンプファイルシステムを表しています。

次に、デフォルト値および disk0: を使用して、コアダンプファイルシステムを作成する例を示します。


hostname(config)# coredump enable
Warning: Enabling coredump on an ASA5505 platform will delay the
reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Proceed with coredump filesystem allocation of 60 MB on 'disk0:'
(Note this may take a while) [confirm]
Making coredump file system
image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

次に、disk1: 上に 120 MB のコアダンプファイルシステムを作成して、ファイルシステムおよびサイズを指定する例を示します。


hostname(config)# coredump enable filesystem disk1: size 120
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Proceed with coredump filesystem allocation of 120 MB
on 'disk1:' (Note this may take a while) ? [confirm]
Making coredump file system image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

次に、コアダンプファイルシステムのサイズを 120 MB から 100 MB に変更する例を示します。

（注）

120 MB のコアダンプファイルシステムの内容は保持されないため、変更する前に、前のコアダンプを必ずアーカイブしてください。


hostname(config)# coredump enable filesystem disk1: size 100
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Proceeding with resizing to 100 MB results in
deletion of current 120 MB coredump filesystem and
its contents on 'disk1:', proceed ? [confirm]
Making coredump file system
image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!

次に、disk0: 上で最初にコアダンプをイネーブルにし、次に disk1: 上でイネーブルにする例を示します。default キーワードを使用していることにも注意してください。

（注）

2 つのアクティブなコアダンプファイルシステムは許可されないため、先に進む前に、前のコアダンプファイルシステムを削除する必要があります。


hostname(config)# coredump enable filesystem disk1: size default
WARNING: Enabling coredump on an ASA5540 platform will delay
the reload of the system in the event of software forced reload.
The exact time depends on the size of the coredump generated.
Coredump is currently configured on 'disk0:', upon successful
configuration on 'disk1:', the coredump filesystem will be
deleted on 'disk0:', proceed ? [confirm]
Proceed with coredump filesystem allocation of 100 MB
on 'disk1:' (Note this may take a while) ? [confirm]
Making coredump file system
image!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!

次に、コアダンプファイルシステムをディセーブルにする例を示します。ただし、現在のコアダンプファイルシステムイメージおよびその内容は影響を受けません。


hostname(config)# no coredump enable

コアダンプを再度イネーブルにするには、コアダンプファイルシステムを設定するために最初に使用したコマンドを再入力します。

次に、コアダンプをディセーブルにし、再度イネーブルにする例を示します。

デフォルト値を使用する場合：


hostname(config)# coredump enable 
hostname(config)# no coredump enable 
hostname(config)# coredump enable

明示的な値の使用。


hostname(config)# coredump enable filesystem disk1: size 200
hostname(config)# no coredump enable 
hostname(config)# coredump enable filesystem disk1: size 200

crashinfo console disable

コンソールへのクラッシュ情報の出力を抑制するには、グローバルコンフィギュレーションモードで crashinfo console disable コマンドを使用します。

crashinfo console disable

no crashinfo console disable

構文の説明


disable	クラッシュが発生した場合にコンソール出力を抑制します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(4)	このコマンドが追加されました。
	このコマンドは廃止されているため、実行中のソフトウェアバージョンでは使用できない場合があります。

使用上のガイドライン

このコマンドを使用すると、コンソールへのクラッシュ情報の出力を抑制できます。クラッシュ情報には、デバイスに接続しているすべてのユーザーに表示するのは適切でない機密情報が含まれている場合があります。このコマンドとともに、クラッシュ情報がフラッシュに書き込まれていることも確認する必要があります。これはデバイスのリブート後に確認できます。このコマンドは、クラッシュ情報および checkheaps の出力に影響を与えます。この出力はフラッシュに保存され、トラブルシューティングに十分に役立ちます。

例

次に、コンソールへのクラッシュ情報の出力を抑制する例を示します。


hostname(config)# crashinfo console disable

crashinfo force

ASA を強制的にクラッシュするには、特権 EXEC モードで crashinfo force コマンドを使用します。

crashinfo force [ page-fault | watchdog | dump [ process name ] ]

構文の説明


page-fault	（任意）ページフォールトを利用して、ASA を強制的にクラッシュさせます。
watchdog	（任意）ウォッチドッグを利用して、ASA を強制的にクラッシュさせます。
dump	（任意）主要な ASA プロセス（「lina）」コアダンプを収集し、システムをクラッシュします。
process `name`	（任意）指定されたプロセスコアダンプを収集し、システムをクラッシュします。使用可能なプロセスを表示するには、show kernel process コマンドを使用します。特定のプロセスが強制終了不能なプロセスである場合、ASA は適切なエラーメッセージを発行し、そのプロセスを強制終了しません。

コマンドデフォルト

デフォルトでは、ASA はフラッシュメモリにクラッシュ情報ファイルを保存します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

crashinfo force コマンドを使用して、クラッシュ出力の生成をテストできます。クラッシュ出力では、本物のクラッシュを、crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドによって発生したクラッシュと区別できません。これは、これらのコマンドによって実際にクラッシュが発生しているためです。ASA は、クラッシュのダンプが完了するとリロードします。

注意	注意：実稼働環境では crashinfo force コマンドを使用しないでください。crashinfo force コマンドは ASA をクラッシュさせて、強制的にリロードを実行します。

例

次に、crashinfo force page-fault コマンドを入力したときに表示される警告の例を示します。


ciscoasa# crashinfo force page-fault
WARNING: This command will force the XXX to crash and reboot.
Do you wish to proceed? [confirm]:

キーボードの Return キーまたは Enter キーを押して復帰改行を入力するか、"Y" または "y" を入力すると、ASA がクラッシュしてリロードが実行されます。これらのすべての応答は、確認として解釈されます。その他の文字はすべて no と解釈され、ASA はコマンドラインプロンプトに戻ります。

crashinfo save disable

フラッシュメモリへのクラッシュ情報の書き込みをディセーブルにするには、グローバルコンフィギュレーションモードで crashinfo save コマンドを使用します。フラッシュメモリへのクラッシュ情報の書き込みを許可し、デフォルトの動作に戻すには、このコマンドの no 形式を使用します。

crashinfo save disable

no crashinfo save disable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトでは、ASA はフラッシュメモリにクラッシュ情報ファイルを保存します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	crashinfo save enable コマンドが廃止されました。代わりに no crashinfo save disable コマンドを使用します。
	このコマンドは廃止されているため、実行中のソフトウェアバージョンでは使用できない場合があります。

使用上のガイドライン

クラッシュ情報は、まずフラッシュメモリに書き込まれ、次にコンソールに書き込まれます。

（注）

ASA が起動中にクラッシュした場合、クラッシュ情報ファイルは保存されません。ASA は、完全に初期化され、動作を開始した後に、クラッシュ情報をフラッシュメモリに保存できます。

フラッシュメモリへのクラッシュ情報の保存をもう一度イネーブルにするには、no crashinfo save disable コマンドを使用します。

例

次に、フラッシュメモリへのクラッシュ情報の書き込みをディセーブルにする例を示します。


ciscoasa(config)# crashinfo save disable

crashinfo test

フラッシュメモリのファイルにクラッシュ情報を保存する ASA の機能をテストするには、特権 EXEC モードで crashinfo test コマンドを使用します。

crashinfo test

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.7(1)	ユーザーが使用可能なクラッシュ情報ファイルが新しい形式で表示されるように、出力が更新されました。

使用上のガイドライン

ユーザーが使用可能なクラッシュ情報ファイルは、crashinfo-test_YYYYMMDD_HHMMSS_UTC 形式で保存されます。コマンド出力には、実際のクラッシュ情報は表示されません。フラッシュメモリ内に以前のクラッシュ情報ファイルがすでに存在する場合、そのファイルは上書きされます。

（注）

crashinfo test コマンドを入力しても ASA はクラッシュしません。

例

次に、クラッシュ情報ファイルテストの出力例を示します。


ciscoasa# crashinfo test

crl（廃止）

CRL コンフィギュレーションオプションを指定するには、クリプト CA トラストポイントコンフィギュレーションモードで crl コマンドを使用します。

crl { required | optional | nocheck }

構文の説明


nocheck	CRL チェックを実行しないように ASA に指示します。
optional	必須の CRL が使用できない場合にも、ASA はピア証明書を受け入れることができます。
required	ピア証明書の検証に必要な CRL が使用可能である必要があります。

コマンドデフォルト

デフォルト値は nocheck です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.2(1)	このコマンドは廃止されました。次の形式の revocation-check コマンドに置き換わりました。 revocation-check crl none 置換 crl optional revocation-check crl 置換 crl required revocation-check none 置換 crl nocheck
9.13(1)	このコマンドは削除されました。

例

次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモードを開始して、このトラストポイントに対してピア証明書を検証する場合に CRL を必須とする例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# crl required
ciscoasa(ca-trustpoint)#

crl cache-time

ASA によってリフレッシュされる前に trustpool CRL を CRL キャッシュ内に残す時間（分）を設定するには、CA trustpool コンフィギュレーションモードで crl cache-time コマンドを使用します。デフォルト値の 60 分をそのまま使用するには、このコマンドの no 形式を使用します。

crl cache-time

no crl cache-time

構文の説明


cache-time	分単位の値（1 ～ 1440）。

コマンドデフォルト

デフォルト値は 60 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ca trustpool コンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、トラストポイントコンフィギュレーションモードでサポートされているこのコマンドのバージョンと整合性があります。

例


ciscoasa(ca-trustpool)# crl
 cache-time
 30

crl configure

CRL コンフィギュレーションモードを開始するには、クリプト CA トラストポイントコンフィギュレーションモードで crl configure コマンドを使用します。

crl configure

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

例

次に、トラストポイント central の CRL コンフィギュレーションモードを開始する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# crl configure
ciscoasa(ca-crl)#

crl enforcenextupdate

CRL の NextUpdate フィールドの処理方法を指定するには、CA trustpool コンフィギュレーションモードで crl enforcenextupdate コマンドを使用します。イネーブルの場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。この制限を適用しないようにするには、このコマンドの no 形式を使用します。

crl enforcenextupdate

no crl enforcenextupdate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトではイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Ca trustpool コンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

イネーブルの場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。このコマンドは、トラストポイントコンフィギュレーションモードでサポートされているこのコマンドのバージョンと整合性があります。

コマンド	説明
allowed-eids	IP アドレスに基づいて検査される EID を限定します。
clear cluster info flow-mobility counters	フローモビリティカウンタをクリアします。
clear lisp eid	ASA EID テーブルから EID を削除します。
cluster flow-mobility lisp	サービスポリシーのフローモビリティを有効にします。
flow-mobility lisp	クラスタのフローモビリティを有効にします。
inspect lisp	LISP トラフィックを検査します。
policy-map type inspect lisp	LISP 検査をカスタマイズします。
site-id	クラスタシャーシのサイト ID を設定します。
show asp table classify domain inspect-lisp	LISP 検査用の ASP テーブルを表示します。
show cluster info flow-mobility counters	フローモビリティカウンタを表示します。
show conn	LISP フローモビリティの対象となるトラフィックを表示します。
show lisp eid	ASA EID テーブルを表示します。
show service-policy	サービスポリシーを表示します。
validate-key	LISP メッセージを検証するための事前共有キーを入力します。

コマンド	説明
cluster key	クラスタの共有秘密キーを指定します。
vpn load-balancing	VPN ロードバランシングコンフィギュレーションモードを開始します。

コマンド	説明
cluster group	クラスタグループコンフィギュレーションモードを開始します。
show cluster info	クラスタ情報を表示します。

コマンド	説明
clacp system-mac	スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバースイッチとの間で EtherChannel のネゴシエーションを行います。
cluster group	クラスタに名前を付け、クラスタコンフィギュレーションモードを開始します。
cluster-interface	クラスタ制御リンクインターフェイスを指定します。
cluster interface-mode	クラスタインターフェイスモードを設定します。
conn-rebalance	接続の再分散をイネーブルにします。
console-replicate	スレーブユニットからマスターユニットへのコンソール複製をイネーブルにします。
enable (cluster group)	クラスタリングをイネーブルにします。
health-check	クラスタのヘルスチェック機能（ユニットのヘルスモニタリングおよびインターフェイスのヘルスモニタリングを含む）をイネーブルにします。
key	クラスタ制御リンクの制御トラフィックの認証キーを設定します。
local-unit	クラスタメンバーに名前を付けます。
mtu cluster-interface	クラスタ制御リンクインターフェイスの最大伝送ユニットを指定します。
priority (cluster group)	マスターユニット選定のこのユニットのプライオリティを設定します。

コマンド	説明
interface	デバイスのインターフェイスを設定します。
nameif	インターフェイスに名前を割り当てます。
vpn load-balancing	VPN ロードバランシングコンフィギュレーションモードを開始します。

コマンド	説明
cluster exec	すべてのクラスタメンバーにコマンドを送信します。
cluster group	クラスタを設定します。
cluster remove unit	ユニットをクラスタから削除します。

コマンド	説明
crypto ca reference-identity	参照 ID オブジェクトを設定します。
dns-id	参照 ID オブジェクトの DNS ドメイン名 ID を設定します。
srv-id	参照 ID オブジェクトで SRV-ID 識別子を設定します。
uri-id	参照 ID オブジェクトの URI ID を設定します。
logging host	セキュアな接続のために参照 ID オブジェクトを使用できるロギングサーバーを設定します。
call-home profile destination address http	安全な接続のために参照 ID オブジェクトを使用できる Smart Call Home サーバーを設定します。

コマンド	説明
clear configure command-alias	デフォルト以外のすべてのコマンドエイリアスをクリアします。
show running-config command-alias	設定されているデフォルト以外のすべてのコマンドエイリアスを表示します。

コマンド	説明
debug mgcp	MGCP のデバッグ情報の表示をイネーブルにします。
mgcp-map	MGCP マップを定義し、MGCP マップコンフィギュレーションモードをイネーブルにします。
show mgcp	MGCP のコンフィギュレーションおよびセッションの情報を表示します。
timeout	アイドルタイムアウトを設定します。タイムアウト後に、MGCP メディア接続または MGCP PAT xlate 接続が閉じられます。

コマンド	説明
class	ポリシーマップのクラスマップ名を指定します。
class-map type inspect	アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します。
policy-map	レイヤ 3/4 のポリシーマップを作成します。
show running-config policy-map	現在のポリシーマップコンフィギュレーションをすべて表示します。

コマンド	説明
bgp-community-new format	コミュニティを AA:NN（自律システム:コミュニティ番号/4 バイトの番号）形式で表示するように BGP を設定します。
neighbor send-community	コミュニティ属性が BGP ネイバーに送信されるように指定します。
set community	BGP コミュニティ属性を設定します。

コマンド	説明
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

コマンド	説明
show webvpn anyconnect-ssl	anyconnect-ssl インストールに関する情報を表示します。
anyconnect-ssl enable	特定のグループまたはユーザーに対して anyconnect-ssl を有効または必須にします。
anyconnect-ssl compression	特定のグループまたはユーザーに対して anyconnect-ssl 接続を介する HTTP データの圧縮を有効にします。

コマンド	説明
boot	ブートイメージおよびスタートアップコンフィギュレーションを設定します。
service password-recovery	パスワードの回復をイネーブルまたはディセーブルにします。

コマンド	説明
boot system	ブート元のソフトウェアイメージを設定します。
clear configure	実行コンフィギュレーションをクリアします。
copy running-config startup-config	実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。
setup	ASA の基本設定を設定するよう要求します。
show running-config	実行コンフィギュレーションを表示します。

コマンド	説明
configure http	指定した HTTP(S) URL のコンフィギュレーションファイルを実行コンフィギュレーションにマージします。
configure memory	スタートアップコンフィギュレーションを実行コンフィギュレーションとマージします。
show running-config	実行コンフィギュレーションを表示します。
tftp-server	他のコマンドで使用するためのデフォルトの TFTP サーバーおよびパスを設定します。
write net	実行コンフィギュレーションを TFTP サーバーにコピーします。

コマンド	説明
clear configuration session	コンフィギュレーションセッションとその内容を削除します。
clear session	コンフィギュレーションセッションの内容をクリアするか、そのアクセスフラグをリセットします。
forward-reference	ACE のオブジェクトや ACL、またはアクセスグループが存在する前に、それらを参照できます。
show configuration session	現在の各セッションで行われた変更を表示します。

コマンド	説明
allocate-interface	コンテキストにインターフェイスを割り当てます。
context	システムコンフィギュレーションにセキュリティコンテキストを作成し、コンテキストコンフィギュレーションモードを開始します。
show context	コンテキストのリスト（システム実行スペース）または現在のコンテキストに関する情報を表示します。

コマンド	説明
fxos permit	ASA データインターフェイスでの FXOS 管理アクセスを許可します。
fxos port	FXOS 管理アクセスポートを設定します。
ip-client	FXOS 管理トラフィックを ASA データインターフェイスに出力することを許可します。

コマンド	説明
show conn data-rate	接続データレートトラッキングの現在の状態を表示します。
show conn detail	データレート値によってフィルタ処理された接続を表示します。
clear conn data-rate	現在の最大データレート値をクリアします。

コマンド	説明
clear configure console	デフォルトのコンソール接続設定に戻します。
clear configure timeout	コンフィギュレーションのアイドル時間継続時間をデフォルトに戻します。
show running-config console timeout	ASA に対するコンソール接続のアイドルタイムアウトを表示します。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、A ～ H コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： clf - crx

clf - crx

client（CTL プロバイダー）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

client（TLS プロキシ）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

client-access-rule

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

client-bypass-protocol

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

client-firewall

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

client-types（クリプト CA トラストポイント）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

client-update

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

clock set

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

clock summer-time

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

clock timezone

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンド	説明
class-map	セキュリティアクションを適用するトラフィッククラスを定義します。
http-map	拡張 HTTP インスペクションを設定するための HTTP マップを定義します。
debug appfw	拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。
inspect http	アプリケーションインスペクション用に特定の HTTP マップを適用します。
policy-map	特定のセキュリティアクションにクラスマップを関連付けます。

コマンド	説明
allocate-interface	コンテキストにインターフェイスを割り当てます。
changeto	コンテキストとシステム実行スペースの間を切り替えます。
config-url	コンテキストコンフィギュレーションの場所を指定します。
join-failover-group	コンテキストをフェールオーバーグループに割り当てます。
show context	コンテキスト情報を表示します。

コマンド	説明
configure net	ファイルを TFTP サーバーから実行コンフィギュレーションにコピーします。
copy capture	キャプチャファイルを TFTP サーバーにコピーします。
tftp-server	デフォルトの TFTP サーバーを設定します。
write memory	実行中の設定をスタートアップコンフィギュレーションに保存します。
write net	実行コンフィギュレーションを TFTP サーバーにコピーします。

コマンド	説明
show process cpu-hog	CPU を占有しているプロセスを表示します。
clear process cpu-hog	CPU を占有しているプロセスをクリアします。

コマンド	説明
show cpu profile	CPU プロファイリングの進行状況を表示します。
show cpu profile dump	プロファイリングに関して、完了していない結果または完了した結果を表示します。

コマンド	説明
clear configure coredump	コアダンプファイルシステムとその内容をシステムから削除します。コアダンプログもクリアします。
clear coredump	コアダンプファイルシステムに現在保存されているコアダンプをすべて削除し、コアダンプログをクリアします。
show coredump filesystem	コアダンプファイルシステムのファイルを表示し、その使用率を示します。
show coredump log	コアダンプログを表示します。

コマンド	説明
clear configure fips	NVRAM に保存されているシステムまたはモジュールの FIPS コンフィギュレーション情報をクリアします。
fips enable	システムまたはモジュールで FIPS 準拠を強制するためのポリシーチェックをイネーブルまたはディセーブルにします。
fips self-test poweron	電源投入時自己診断テストを実行します。
show crashinfo console	フラッシュへのクラッシュ情報出力の読み取り、書き込み、および設定を行います。
show running-config fips	ASA で実行されている FIPS コンフィギュレーションを表示します。

clear crashinfo	クラッシュ情報ファイルの内容をクリアします。
crashinfo save disable	クラッシュ情報のフラッシュメモリへの書き込みをディセーブルにします。
crashinfo test	ASA でフラッシュメモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。
show crashinfo	クラッシュ情報ファイルの内容を表示します。

clear crashinfo	クラッシュファイルの内容をクリアします。
crashinfo force	ASA を強制的にクラッシュさせます。
crashinfo test	ASA でフラッシュメモリ内のファイルにクラッシュ情報を保存できるかどうかをテストします。
show crashinfo	クラッシュファイルの内容を表示します。

clear crashinfo	すべてのクラッシュ情報ファイル、クラッシュファイルの内容を削除します。
crashinfo force	ASA を強制的にクラッシュさせます。
crashinfo save disable	クラッシュ情報のフラッシュメモリへの書き込みをディセーブルにします。
show crashinfo	最新のクラッシュ情報ファイルの内容を表示します。
show crashinfo files	最後の 5 つのクラッシュ情報ファイルを日付とタイムスタンプに基づいて表示します。