Cisco Secure Firewall ASA シリーズコマンドリファレンス、S コマンド

subject-name（クリプト CA 証明書マップ）

IPsec ピア証明書のサブジェクト DN にルールエントリが適用されることを指定するには、クリプト CA 証明書マップコンフィギュレーションモードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。

subject-name [ attr tag eq | ne | co | nc string ]

no subject-name [ attr tag eq | ne | co | nc string ]

構文の説明


attr `tag`	証明書 DN の指定された属性値のみがルールエントリストリングと比較されることを指定します。タグ値は次のとおりです。 DNQ = DN 修飾子GENQ = 世代修飾子I = イニシャルGN = 名N = 名前SN = 姓IP = IP アドレスSER = シリアル番号UNAME = 非構造化名EA = 電子メールアドレスT = 役職O = 組織名L = 地名SP = 州または都道府県C = 国または地域OU = 組織ユニットCN = 通常名
co	ルールエントリストリングが DN ストリングまたは指定された属性のサブストリングである必要があることを指定します。
eq	DN ストリングまたは指定された属性がルールストリング全体と一致する必要があることを指定します。
nc	ルールエントリストリングが DN ストリングまたは指定された属性のサブストリングでないことが必要であることを指定します。
ne	DN ストリングまたは指定された属性がルールストリング全体と一致しないことが必要であることを指定します。
`string`	照合される値を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA 証明書マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

例

次に、証明書マップ 1 に対して CA 証明書マップコンフィギュレーションモードを開始して、証明書サブジェクト名の組織属性が Central と等しくなる必要があることを指定するルールエントリを作成する例を示します。


ciscoasa(config)# crypto ca certificate map 1
ciscoasa(ca-certificate-map)# subject-name attr o eq central
ciscoasa(ca-certificate-map)# exit

コマンド	説明
crypto ca certificate map	CA 証明書マップコンフィギュレーションモードを開始します。
issuer-name	ルールエントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。
tunnel-group-map	crypto ca certificate map コマンドを使用して作成された証明書マップトンネルをトンネルグループに関連付けます。

subject-name（暗号 CA トラストポイント）

指定したサブジェクト DN を登録時に証明書に含めるには、クリプト CA トラストポイントコンフィギュレーションモードで subject-name コマンドを使用します。これは、証明書を使用する人またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

subject-name X.500_name

no subject-name

構文の説明


`X.500_name`	X.500 認定者名を定義します。属性と値のペアを区切るには、カンマを使用します。カンマやスペースを含む値は、引用符で囲みます。たとえば、 cn=crl,ou=certs,o="cisco systems, inc.",c=US です。最大長は 500 文字です。

コマンドデフォルト

デフォルト設定では、サブジェクト名は含まれません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

例

次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモードを開始して、URL https//:frog.example.com での自動登録を設定し、サブジェクト DN OU certs をトラストポイント central の登録要求に含める例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment url http://frog.example.com/ 
ciscoasa(ca-trustpoint)# subject-name ou=certs
ciscoasa(ca-trustpoint)#

コマンド	説明
crypto ca trustpoint	トラストポイントコンフィギュレーションモードを開始します。
default enrollment	登録パラメータをデフォルト値に戻します。
enrollment url	CA に対する登録用の URL を指定します。

subject-name-default

ローカル CA サーバーが発行するすべてのユーザー証明書でユーザー名に追加される一般的なサブジェクト名認定者名（DN）を指定するには、CA サーバーコンフィギュレーションモードで subject-name-default コマンドを使用します。サブジェクト名 DN をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

subject-name-default dn

no subject-name-default

構文の説明


`dn`	ローカル CA サーバーが発行するすべてのユーザー証明書でユーザー名に含める一般的なサブジェクト名 DN を指定します。サポートされている DN 属性は、cn（一般名）、ou（組織ユニット）、ol（組織の地名）、st（州）、ea（電子メールアドレス）、c（会社）、t（タイトル）、および sn（姓名の姓）です。属性と値のペアを区切るには、カンマを使用します。カンマを含む値は、引用符で囲んでください。`dn` に使用できる文字数は最大 500 文字です。

コマンドデフォルト

このコマンドは、デフォルトのコンフィギュレーションの一部ではありません。このコマンドでは、証明書のデフォルトの DN を指定します。ユーザー入力に DN がある場合、このコマンドは ASA によって無視されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
CA サーバーコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

subject-name-default コマンドでは、発行される証明書のサブジェクト名を構成するユーザー名で使用される、共通の一般的な DN を指定します。この目的には、dn 値は cn=username で十分です。このコマンドによって、ユーザーごとに個別にサブジェクト名 DN を定義する必要がなくなります。crypto ca server user-db add dn dn コマンドを使用してユーザーが追加される場合、DN フィールドは任意です。

ASA では、このコマンドは、ユーザー入力で DN が指定されない場合に、証明書を発行するときにのみ使用されます。

例

次に、DN を指定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# subject-name-default cn=cisco,cn=example_corp,ou=eng,st=ma, c="cisco systems, inc.”
ciscoasa
(config-ca-server)
#

コマンド	説明
crypto ca server	CA サーバーコンフィギュレーションモードの CLI コマンドセットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。
issuer-name	認証局証明書のサブジェクト名 DN を指定します。
keysize	ユーザー証明書登録で生成される公開キーと秘密キーのサイズを指定します。
lifetime	CA 証明書、発行済みの証明書、または CRL のライフタイムを指定します。

subnet

ネットワークオブジェクトまたはネットワークサービスオブジェクトのネットワークを設定するには、オブジェクトコンフィギュレーションモードで subnet コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。

subnet { IPv4_address IPv4_mask | IPv6_address/IPv6_prefix } [ service ]

no subnet { IPv4_address IPv4_mask | IPv6_address/IPv6_prefix } [ service ]

構文の説明


IPv4_address IPv4_mask	IPv4 ネットワークアドレスとサブネットマスクを、スペースで区切って指定します。
IPv6_address/ IPv6_prefix	IPv6 ネットワークアドレスとプレフィックス長を、/ 記号で区切って指定します。スペースは使用しません。
`service`	（オプション：ネットワークサービスオブジェクトのみ）一致する接続の範囲を制限する場合にのみ、サービスを指定します。デフォルトでは、解決済みの IP アドレスへのすべての接続がオブジェクトと一致します。 `protocol` [`operator` `port`] 引数の説明 `protocol` は、tcp、udp、ip など、接続で使用されるプロトコルです。プロトコルのリストを確認するには ? を使用します。（TCP/UDP のみ）`operator` は次のいずれかです。 eq は、指定したポート番号と等しいポートを意味します。 lt は、指定したポート番号より小さい任意のポートを意味します。 gt は、指定したポート番号より大きい任意のポートを意味します。 range は、指定した 2 つのポートの間の任意のポートを意味します。（TCP/UDP のみ）`port` は 1 ～ 65535 のポート番号か www などのニーモニックです。ニーモニックを確認するには ? を使用します。範囲の場合は 2 つのポートを指定する必要があります。最初のポートを 2 番目のポートよりも小さい番号にします。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
オブジェクトネットワークコンフィギュレーションまたはネットワークサービスコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.3(1)	このコマンドが追加されました。
9.17(1)	ネットワークサービスオブジェクトのサポートと `service` キーワードが追加されました。

使用上のガイドライン

既存のオブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。

例

次に、サブネットネットワークオブジェクトを作成する例を示します。


ciscoasa(config)# object network OBJECT_SUBNET
ciscoasa(config-network-object)# subnet 10.1.1.0 255.255.255.0

次に、HTTPS トラフィックのサブネットネットワークサービスオブジェクトを作成する例を示します。


ciscoasa(config)# object network-service partner-web
ciscoasa(config-ns)# subnet 10.100.10.0 255.255.255.0 tcp eq 443

コマンド	説明
clear configure object	作成されたすべてのオブジェクトをクリアします。
description	ネットワークオブジェクトに説明を追加します。
fqdn	完全修飾ドメイン名のネットワークオブジェクトを指定します。
host	ホストネットワークオブジェクトを指定します。
nat	ネットワークオブジェクトの NAT をイネーブルにします。
object network	ネットワークオブジェクトを作成します。
object network-service	ネットワークサービスオブジェクトを作成します。
object-group network	ネットワークオブジェクトグループを作成します。
object-group network-service	ネットワークサービスオブジェクトグループを作成します。
range	ネットワークオブジェクトのアドレス範囲を指定します。
show running-config object network	ネットワークオブジェクトコンフィギュレーションを表示します。

summary-address（インターフェイス）

特定のインターフェイスの EIGRP のサマリーを設定するには、インターフェイスコンフィギュレーションモードで summary-address コマンドを使用します。サマリーアドレスを削除するには、このコマンドの no 形式を使用します。

summary-address as-number addr mask [ admin-distance ]

no summary-address as-number addr mask

構文の説明


`as-number`	自律システム番号。これは、EIGRP ルーティングプロセスの自律システム番号と同じである必要があります。
`addr`	サマリー IP アドレス。
`mask`	IP アドレスに適用されるサブネットマスク。
`admin-distance`	（任意）集約ルートのアドミニストレーティブディスタンス。有効な値は、0 ～ 255 です。指定されていない場合、デフォルト値は 5 です。

コマンドデフォルト

デフォルトの設定は次のとおりです。

EIGRP は、単一のホストルートの場合でも、ルートをネットワークレベルに自動的に集約します。
EIGRP 集約ルートのアドミニストレーティブディスタンスは 5 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードはサポートされます。

使用上のガイドライン

デフォルトでは、EIGRP はサブネットルートをネットワークレベルに集約します。自動ルート集約をディセーブルにするには、no auto-summary コマンドを使用します。summary-address コマンドを使用すると、サブネットルート集約をインターフェイス単位で手動で定義できます。

例

次の例では、tag を 3 に設定してルート集約を設定しています。


ciscoasa(config-if)# summary-address 1.1.0.0 255.255.0.0 
ciscoasa(config-if)#

次の例に、no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、summary-address コマンドから削除されます。


ciscoasa(config-if)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-if)#

次の例では、設定から summary-address コマンドを削除します。


ciscoasa(config-if)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-if)#

コマンド	説明
auto-summary	EIGRP ルーティングプロセスのサマリーアドレスを自動的に作成します。

summary-prefix（IPv6 ルータ OSPF）

IPv6 サマリープレフィックスを設定するには、IPv6 ルータ OSPF コンフィギュレーションモードで summary-prefix コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

summary-prefix prefix [ not-advertise ][ tag tag_value ]

no summary-prefix prefix [ not-advertise ][ tag tag_value ]

構文の説明


not-advertise	（オプション）指定されたプレフィックスとマスクのペアに一致するルートを抑制します。このキーワードは OSPFv3 だけに適用されます。
`prefix`	宛先の IPv6 プレフィックスを指定します。
tag `tag_value`	（オプション）ルートマップを使用して再配布を制御する match 値として使用できるタグ値を指定します。このキーワードは OSPFv3 だけに適用されます。

コマンドデフォルト

デフォルトの設定は次のとおりです。

tag_value は 0 です。
指定されたプレフィックスとマスクのペアに一致するルートは抑制されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
IPv6 ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用して、IPv6 サマリープレフィックスを設定します。

例

次の例では、サマリープレフィックス FECO:: /24 が、アドレス FECO::/1 ～ FECO::/24 を含んでいます。アドレス FECO:: /24 のみが外部 LSA でアドバタイズされます。


ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-router)# router-id 172.16.3.3
ciscoasa(config-router)# summary-prefix FECO::/24
ciscoasa(config-router)# redistribute static

コマンド	説明
ipv6 router ospf	OSPFv3 のルータコンフィギュレーションモードを開始します。
redistribute	ある OSPFv3 ルーティングドメインから別の OSPFv3 ルーティングドメインへ IPv6 ルートを再配布します。

summary-address（ルータ ISIS）

IS-IS の集約アドレスを作成するには、ルータ ISIS コンフィギュレーションモードで summary-address コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

summary-address address mask [ level-1 | level-1-2 | level-2 ][ tag tag-number ][ metric metric-value ]

no summary-address address mask [ level-1 | level-1-2 | level-2 ][ tag tag-number ][ metric metric-value ]

構文の説明


level-1	（オプション）設定済みアドレスとマスク値を使用して、レベル 1 に再配布されたルートのみが集約されます。
level-1-2	（オプション）ルートをレベル 1 およびレベル 2 IS-IS に再配布するとき、およびレベル 2 IS-IS がレベル 1 をエリアで到達可能なものとしてアドバタイズしたときにサマリールートが適用されます。
level-2	（オプション）設定済みアドレスとマスク値を使用して、レベル 1 ルーティングが学習したルートはレベル 2 バックボーンに集約されます。レベル 2 の IS-IS に再配布されたルートもサマライズされます。
address	アドレスの範囲を表すために指定するサマリーアドレス。
mask	サマリールートに使用される IP サブネットマスク。
tag tag-number	（オプション）サマリールートにタグを付けるために使用される整数を指定します。
metric metric-value	（オプション）サマリールートに適用されるメトリック値を指定します。

コマンドデフォルト

すべてのルートは個別にアドバタイズされます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(1)	このコマンドが追加されました。

使用上のガイドライン

複数のアドレスグループを特定のレベルに集約できます。他のルーティングプロトコルから学習したルートも集約できます。サマリーのアドバタイズに使用されるメトリックは、具体的なルートすべての中で最小のメトリックです。このコマンドは、ルーティングテーブルの容量縮小に有効です。

リンクステートパケット（LSP）とリンクステートデータベース（LSDB）のサイズも小さくします。また、要約アドバタイズメントは多くの特定ルートによって異なるので、ネットワークの安定にも役立ちます。たいていの場合、1 つのルートフラップが原因で要約アドバタイズメントはフラップしません。

サマリーアドレスを使用する場合の欠点は、他のルートには、個々の宛先すべてに最適なルーティングテーブルを計算するための情報が少なくなることです。

例

次に、IS-IS に Routing Information Protocol（RIP）ルートを再配布する例を示します。RIP ネットワークでは、10.1.1、10.1.2、10.1.3、10.1.4 のような IP ルートがあります次に、10.1.0.0 のみを IS-IS レベル 1 リンクステートプロトコルデータユニット（PDU）にアドバタイズする例を示します。サマリーアドレスに 100 のタグが付けられ、110 のメトリック値が指定されます。


ciscoasa(config)# router isis
ciscoasa(config-router)# net 01.0000.0000.0001.00
ciscoasa(config-router)# redistribute rip level-1 metric 40
ciscoasa(config-router)# summary-address 10.1.0.0 255.255.0.0 tag 100 metric 110

コマンド	説明
advertise passive-only	パッシブインターフェイスをアドバタイズするように ASA を設定します。
area-password	IS-IS エリア認証パスワードを設定します。
authentication key	IS-IS の認証をグローバルで有効にします。
authentication mode	グローバルな IS-IS インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
authentication send-only	グローバルな IS-IS インスタンスでは、送信される（受信ではなく）IS-IS パケットでのみ認証が実行されるように設定します。
clear isis	IS-IS データ構造をクリアします。
default-information originate	IS-IS ルーティングドメインへのデフォルトルートを生成します。
distance	IS-IS プロトコルにより発見されたルートに割り当てられるアドミニストレーティブディスタンスを定義します。
domain-password	IS-IS ドメイン認証パスワードを設定します。
fast-flood	IS-IS LSP がフルになるように設定します。
hello padding	IS-IS hello をフル MTU サイズに設定します。
hostname dynamic	IS-IS ダイナミックホスト名機能を有効にします。
ignore-lsp-errors	内部チェックサムエラーのある IS-IS LSP を受信した場合に LSP をパージするのではなく無視するように ASA を設定します。
isis adjacency-filter	IS-IS 隣接関係の確立をフィルタ処理します。
isis advertise-prefix	IS-IS インターフェイスで、LSP アドバタイズメントを使用して接続中のネットワークの IS-IS プレフィックスをアドバタイズします。
isis authentication key	インターフェイスに対する認証を有効にします。
isis authentication mode	インターフェイスごとに、インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
isis authentication send-only	送信される（受信ではなく）IS-IS パケットに対してのみ認証を実行するように、インターフェイスごとの IS-IS インスタンスを設定します。
isis circuit-type	IS-IS で使用される隣接関係のタイプを設定します。
isis csnp-interval	ブロードキャストインターフェイス上で定期的に CSNP パケットが送信される間隔を設定します。
isis hello-interval	IS-IS が連続して hello パケットを送信する時間の長さを指定します。
isis hello-multiplier	ネイバーが見落とすことができる IS-IS hello パケット数の最大値を指定します。見落とされたパケット数がこの値を超えると、ASA は隣接がダウンしていると宣言します。
isis hello padding	IS-IS hello をインターフェイスごとのフル MTU サイズに設定します。
isis lsp-interval	インターフェイスごとの連続する IS-IS LSP 送信間の遅延時間を設定します。
isis metric	IS-IS メトリックの値を設定します。
isis password	インターフェイスの認証パスワードを設定します。
isis priority	インターフェイスでの指定された ASA のプライオリティを設定します。
isis protocol shutdown	インターフェイスごとに IS-IS プロトコルを無効にします。
isis retransmit-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis retransmit-throttle-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis tag	IP プレフィックスが LSP に挿入されたときに、インターフェイスに設定された IP アドレスにタグを設定します。
is-type	IS-IS ルーティングプロセスのルーティングレベルを割り当てます。
log-adjacency-changes	NLSP IS-IS 隣接関係がステートを変更（アップまたはダウン）する際に、ASA がログメッセージを生成できるようにします。
lsp-full suppress	PDU がフルになったときに、抑制されるルートを設定します。
lsp-gen-interval	LSP 生成の IS-IS スロットリングをカスタマイズします。
lsp-refresh-interval	LSP の更新間隔を設定します。
max-area-addresses	IS-IS エリアの追加の手動アドレスを設定します。
max-lsp-lifetime	LSP が更新されずに ASA のデータベース内で保持される最大時間を設定します。
maximum-paths	IS-IS のマルチパスロードシェアリングを設定します。
metric	すべての IS-IS インターフェイスのメトリック値をグローバルに変更します。
metric-style	新規スタイル、長さ、および値オブジェクト（TLV）を生成し、TLV のみを受け入れるように、IS-IS を稼働している ASA を設定します。
net	ルーティングプロセスの NET を指定します。
passive-interface	パッシブインターフェイスを設定します。
prc-interval	PRC の IS-IS スロットリングをカスタマイズします。
protocol shutdown	インターフェイス上で隣接関係を形成して LSP データベースをクリアすることができないように、IS-IS プロトコルをグローバルで無効にします。
redistribute isis	特にレベル 1 からレベル 2 へ、またはレベル 2 からレベル 1 へ、IS-IS ルートを再配布します。
route priority high	IS-IS IP プレフィックスにハイプライオリティを割り当てます。
router isis	IS-IS ルーティングをイネーブルにします。
set-attached-bit	レベル 1 とレベル 2 間のルータが Attach ビットを設定する必要がある場合の制約を指定します。
set-overload-bit	SPF 計算の中間ホップとして使用できないことを他のルータに通知するように ASA を設定します。
show clns	CLNS 固有の情報を表示します。
show isis	IS-IS の情報を表示します。
show route isis	IS-IS ルートを表示します。
spf-interval	SPF 計算の IS-IS スロットリングをカスタマイズします。
summary-address	IS-IS の集約アドレスを作成します。

summary-address（ルータ OSPF）

OSPF の集約アドレスを作成するには、ルータ OSPF コンフィギュレーションモードで summary-address コマンドを使用します。サマリーアドレスまたは特定のサマリーアドレスオプションを削除するには、このコマンドの no 形式を使用します。

summary-address addr mask [ not-advertise ][ tag tag_value ]

no summary-address addr mask [ not-advertise ][ tag tag_value ]

構文の説明


`addr`	アドレス範囲に対して指定されるサマリーアドレスの値。
`mask`	集約ルートに対して使用される IP サブネットマスク。
not-advertise	（任意）指定されたプレフィックス/マスクペアと一致するルートを抑制します。
tag `tag_value`	（任意）各外部ルートに付けられた 32 ビットの 10 進値。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効値の範囲は、0 ～ 4294967295 です。

コマンドデフォルト

デフォルトの設定は次のとおりです。

tag_value は 0 です。
指定されたプレフィックス/マスクペアと一致するルートは抑制されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

他のルーティングプロトコルから学習したルートをサマライズできます。このコマンドを OSPF に対して使用すると、OSPF 自律システム境界ルータ（ASBR）により、このアドレスの対象となる再配布されるすべてのルートの集約として、1 つの外部ルートがアドバタイズされます。このコマンドでは、OSPF に再配布されている、他のルーティングプロトコルからのルートのみが集約されます。OSPF エリア間のルート集約には area range コマンドを使用します。

summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を、任意のキーワードまたは引数を指定しないで使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、このコマンドの no 形式を使用して、削除するオプションを指定します。詳細については、「例」を参照してください。

例

次の例では、tag を 3 に設定してルート集約を設定しています。


ciscoasa(config-router)# summary-address 1.1.0.0 255.255.0.0 tag 3
ciscoasa(config-router)#

次の例に、no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、summary-address コマンドから削除されます。


ciscoasa(config-router)# no summary-address 1.1.0.0 255.255.0.0 tag 3
ciscoasa(config-router)#

次の例では、設定から summary-address コマンドを削除します。


ciscoasa(config-router)# no summary-address 1.1.0.0 255.255.0.0
ciscoasa(config-router)#

コマンド	説明
area range	エリア境界でルートを統合および集約します。
router ospf	ルータコンフィギュレーションモードを開始します。
show ospf summary-address	各 OSPF ルーティングプロセスのサマリーアドレス設定を表示します。

sunrpc-server

SunRPC サービステーブルのエントリを作成するには、グローバルコンフィギュレーションモードで sunrpc-server コマンドを使用します。SunRPC サービステーブルのエントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

sunrpc-server ifc_name ip_addr mask service service_type protocol [ tcp | udp ] port port [ -port ] timeout hh:mm:ss

no sunrpc-server ifc_name ip_addr mask service service_type protocol [ tcp | udp ] port port [ -port ] timeout hh:mm:ss

no sunrpc-server service_type server ip_addr

構文の説明


`ifc_name`	サーバーインターフェイス名。
ip_addr	SunRPC サーバーの IP アドレス。
mask	ネットワークマスク。
port port [- port ]	SunRPC プロトコルのポート範囲を指定します。
port- port	（任意）SunRPC プロトコルのポート範囲を指定します。
protocol tcp	SunRPC トランスポートプロトコルを指定します。
protocol udp	SunRPC トランスポートプロトコルを指定します。
service	サービスを指定します。
service_type	sunrpcinfo コマンドで指定した SunRPC サービスプログラム番号を設定します。
timeout hh:mm:ss	SunRPC サービストラフィックへのアクセスが終了するまでのタイムアウトアイドル時間を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

SunRPC サービステーブルは、timeout で指定された時間、確立された SunRPC セッションに基づいて、SunRPC トラフィックが ASA を通過するのを許可するために使用します。

例

次に、SunRPC サービステーブルを作成する例を示します。


ciscoasa(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100003 protocol TCP port 111 timeout 0:11:00
ciscoasa(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100005 protocol TCP port 111 timeout 0:11:00

コマンド	説明
clear configure sunrpc-server	ASA からの Sun リモートプロセッサコールサービスをクリアします。
show running-config sunrpc-server	SunRPC コンフィギュレーションに関する情報を表示します。

support-user-cert-validation

現在のトラストポイントが、リモートユーザー証明書を発行した CA に対して認証されている場合に、このトラストポイントに基づいてリモート証明書を検証するには、クリプト CA トラストポイントコンフィギュレーションモードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

support-user-cert-validation

no support-user-cert-validation

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルト設定では、ユーザー証明書の検証がサポートされています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クリプト CA トラストポイントコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザーが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

例

次に、トラストポイント central のクリプト CA トラストポイントコンフィギュレーションモードを開始して、トラストポイント central でユーザー検証を受け入れることができるようにする例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# support-user-cert-validation
ciscoasa(ca-trustpoint)#

コマンド	説明
crypto ca trustpoint	トラストポイントコンフィギュレーションモードを開始します。
default enrollment	登録パラメータをデフォルト値に戻します。

sw-module module password-reset

ソフトウェアモジュールのパスワードをデフォルト値にリセットするには、特権 EXEC モードで sw-module module password-reset コマンドを使用します。

sw-module module id password-reset

構文の説明


id	cxsc または ips のいずれかのモジュール ID を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。

使用上のガイドライン

パスワードをリセットした後は、モジュールアプリケーションを使用してパスワードを独自の値に変更する必要があります。モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中はサービスを使用できません。リブートには数分を要する場合があります。show module コマンドを実行すると、モジュールの状態をモニターできます。

コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラーメッセージが表示されます。

このコマンドは、モジュールがアップ状態である場合にのみ有効です。

デフォルトのパスワードはモジュールによって異なります。

ASA IPS：ユーザー cisco のデフォルトのパスワードは、cisco です。
ASA CX：ユーザー admin のデフォルトのパスワードは、Admin123 です。

例

次に、IPS モジュール上のパスワードをリセットする例を示します。


ciscoasa# sw-module module ips password-reset
Reset the password on module ips? [confirm] y

コマンド	説明
sw-module module recover	ディスクから回復イメージをロードして、モジュールを回復します。
sw-module module reload	モジュールソフトウェアをリロードします。
sw-module module reset	モジュールをシャットダウンし、リロードします。
sw-module module shutdown	コンフィギュレーションデータを失わずに電源を切る準備をして、モジュールソフトウェアをシャットダウンします。
show module	モジュール情報を表示します。

sw-module module recover

ソフトウェアモジュールのリカバリ用ソフトウェアイメージをディスクからロードする場合、またはイメージの場所を設定する場合は、特権 EXEC モードで sw-module module recover コマンドを使用します。たとえば、モジュールが現在のイメージをロードできない場合などに、このコマンドを使用してモジュールを回復することが必要になることがあります。

sw-module module ID recover { boot | stop | configure image path }

構文の説明


id	次のいずれかのモジュール ID を指定します。 sfr ：ASA FirePOWER モジュール。 ips ：IPS モジュール cxsc ：ASA CX モジュール
boot	このモジュールの回復を開始し、configure 設定に従って回復イメージをダウンロードします。ダウンロード後、モジュールは新しいイメージからリブートします。
configure image `path`	ローカルディスク上の新しいイメージの場所を設定します（例：disk0:image2）。
stop	リカバリアクションを停止し、モジュールのイメージファイルを削除します。このコマンドは、sw-module module id recover boot コマンドを使用して回復を開始してから 30 秒以内に入力する必要があります。この期間が経過した後で stop コマンドを入力すると、モジュールが無応答になるなど、予期しない結果になることがあります。すでにモジュールが無応答になっている場合、リブートしたり新しいイメージを適用したりするには、停止する必要が生じることがあります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。
9.2(1)	sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドを使用して、ソフトウェアモジュールをインストールします。このモジュールは、デバイスで設定されていない新しいモジュールである場合と、障害が発生したために再インストールが必要となった既存のモジュールである場合があります。

イメージをインストールする場合は、次のコマンドシーケンスを使用します。

sw-module module id configure image path（ソフトウェアモジュールイメージの disk0 上の場所を指定）。
sw-module module id boot （該当イメージをブート）。

イメージのブートは、モジュールがアップ、ダウン、無応答、または回復のいずれかの状態である場合にのみ可能です。ステート情報については、 show module コマンドを参照してください。モジュールがアップ状態でない場合、ASA は強制的にモジュールをシャットダウンします。強制シャットダウンでは、すべてのコンフィギュレーションを含む、古いモジュールディスクイメージが破壊されます。このため、ディザスタリカバリメカニズムとしてのみ使用してください。

show module id recover コマンドを使用してリカバリコンフィギュレーションを表示できます。

（注）

IPS モジュールの場合、モジュールソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。モジュールのインストールおよび初期設定を完了する方法については、各ソフトウェアモジュールの CLI コンフィギュレーションガイドを参照してください。

例

次に、disk0:image2 からイメージをダウンロードするようにモジュールを設定する例を示します。


ciscoasa# sw-module module ips recover configure image disk0:image2

次に、モジュールを回復する例を示します。


ciscoasa# sw-module module ips recover boot
The module in slot ips will be recovered.  This may
erase all configuration and all data on that device and
attempt to download a new image for it.
Recover module in slot ips? [confirm]

コマンド	説明
debug module-boot	モジュールのブートプロセスに関するデバッグメッセージを表示します。
sw-module module reset	モジュールをシャットダウンし、リセットを実行します。
sw-module module reload	モジュールソフトウェアをリロードします。
sw-module module shutdown	コンフィギュレーションデータを失わずに電源を切る準備をして、モジュールソフトウェアをシャットダウンします。
show module	モジュール情報を表示します。

sw-module module reload

ソフトウェアモジュールのモジュールソフトウェアをリロードするには、特権 EXEC モードで sw-module module reload コマンドを使用します。

sw-module module id reload

構文の説明


id	次のいずれかのモジュール ID を指定します。 sfr ：ASA FirePOWER モジュール。 ips ：IPS モジュール cxsc ：ASA CX モジュール

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。
9.2(1)	sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドは、モジュールをリロードする前にリセットを実行する sw-module module reset コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ状態にある場合だけ有効です。ステート情報については、 show module コマンドを参照してください。

例

次に、IPS モジュールをリロードする例を示します。


ciscoasa# sw-module module ips reload
Reload module in slot ips? [confirm] y
Reload issued for module in slot ips
%XXX-5-505002: Module in slot ips is reloading.  Please wait...
%XXX-5-505006: Module in slot ips is Up.

sw-module module reset

モジュールをリセットしてからモジュールソフトウェアをリロードするには、特権 EXEC モードで sw-module module reset コマンドを使用します。

sw-module module id reset

構文の説明


id	次のいずれかのモジュール ID を指定します。 sfr ：ASA FirePOWER モジュール。 ips ：IPS モジュール cxsc ：ASA CX モジュール

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。
9.2(1)	sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

モジュールがアップ状態の場合、sw-module module reset コマンドによって、リセットの前にソフトウェアをシャットダウンするように要求されます。

sw-module module recover コマンドを使用してモジュールを回復できます。モジュールが回復状態になっているときに sw-module module reset コマンドを入力しても、モジュールは回復プロセスを中断しません。sw-module module reset コマンドによって、モジュールのリセットが実行され、リセット後にモジュールの回復が続行します。モジュールがハングした場合は、回復中にモジュールをリセットできます。ハードウェアリセットによって、問題が解決することもあります。

このコマンドは、ソフトウェアのリロードのみを行いリセットは行わない sw-module module reload コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ、ダウン、無応答、または回復のいずれかの場合にのみ有効です。ステート情報については、show module コマンドを参照してください。

例

次に、アップ状態の IPS モジュールをリセットする例を示します。


ciscoasa# sw-module module ips reset
The module in slot ips should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot ips? [confirm] y
Reset issued for module in slot ips
%XXX-5-505001: Module in slot ips is shutting down.  Please wait...
%XXX-5-505004: Module in slot ips shutdown is complete.
%XXX-5-505003: Module in slot ips is resetting.  Please wait...
%XXX-5-505006: Module in slot ips is Up.

sw-module module shutdown

モジュールソフトウェアをシャットダウンするには、特権 EXEC モードで sw-module module shutdown コマンドを使用します。

sw-module module id shutdown

構文の説明


id	次のいずれかのモジュール ID を指定します。 sfr ：ASA FirePOWER モジュール。 ips ：IPS モジュール cxsc ：ASA CX モジュール

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。
9.2(1)	sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

モジュールソフトウェアをシャットダウンするのは、コンフィギュレーションデータを失うことなく安全にモジュールの電源をオフにできるように準備するためです。

このコマンドは、モジュールステータスがアップまたは無応答である場合にのみ有効です。ステート情報については、show module コマンドを参照してください。

例

次に、IPS モジュールをシャットダウンする例を示します。


ciscoasa# sw-module module ips shutdown
Shutdown module in slot ips? [confirm] y
Shutdown issued for module in slot ips
ciscoasa#
%XXX-5-505001: Module in slot ips is shutting down.  Please wait...
%XXX-5-505004: Module in slot ips shutdown is complete.

sw-module module uninstall

ソフトウェアモジュールイメージおよび関連するコンフィギュレーションをアンインストールするには、特権 EXEC モードで sw-module module uninstall コマンドを使用します。

sw-module module id uninstall

構文の説明


id	次のいずれかのモジュール ID を指定します。 sfr ：ASA FirePOWER モジュール。 ips ：IPS モジュール cxsc ：ASA CX モジュール

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.6(1)	このコマンドが追加されました。
9.1(1)	cxsc キーワードを使用する ASA CX ソフトウェアモジュールのサポートが追加されました。
9.2(1)	sfr キーワードを使用する ASA FirePOWER モジュールのサポートが追加されました。

使用上のガイドライン

このコマンドは、ソフトウェアモジュールイメージおよび関連するコンフィギュレーションを永続的にアンインストールします。

例

次に、IPS モジュールイメージおよびコンフィギュレーションをアンインストールする例を示します。


ciscoasa# sw-module module ips uninstall
Module ips will be uninstalled. This will completely remove the
disk image associated with the sw-module including any configuration
that existed within it.
Uninstall module <id>? [confirm]

switchport access vlan

アクセスモードのスイッチポートに VLAN を設定するには、インターフェイスコンフィギュレーションモードで switchport access vlan コマンドを使用します。デフォルトの VLAN 1 に戻すには、このコマンドの no 形式を使用します。

switchport access vlan number

no switchport access vlan number

（注）

Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明


vlan number	このスイッチポートを割り当てる VLAN ID を指定します。VLAN ID は、1 ～ 4070（Firepower 1010）または 4090（ASA 5505）の範囲で指定します。

コマンドデフォルト

Firepower 1010：デフォルトでは、イーサネット 0/1 ～ 0/7 が VLAN 1 に割り当てられ、イーサネット 0/0 が VLAN 2 に割り当てられます。

Firepower 1010：デフォルトでは、イーサネット 1/2 ～ 1/8 のスイッチポートがアクセスモードとなり、VLAN 1 に割り当てられます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
9.13(1)	Firepower 1010 のサポートが追加されました。

使用上のガイドライン

アクセスポートは、タグなしのトラフィックのみを受け入れます。ASA は、指定した VLAN を使用してスイッチポートに入るトラフィックにタグを付け、同じ VLAN 上の他のアクセスポートまたはトランクポートにトラフィックを転送できるようにします。VLAN タグは、別のアクセスポートを出力すると削除されますが、トランクポートを出力しても保持されます。

（注）

ASA は、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。

ASA 5505

トランスペアレントファイアウォールモードでは、ASA 5505 基本ライセンスはアクティブ VLAN を 2 つ、Security Plus ライセンスは 3 つ設定できます。そのうちの 1 つは、フェールオーバー用です。

ルーテッドモードでは、ASA 5505 の基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 20 のアクティブ VLAN を設定できます。

アクティブな VLAN とは、nameif コマンドが設定された VLAN のことです。

例

次に、5 つの ASA 5505 物理インターフェイスを 3 つの VLAN インターフェイスに割り当てる例を示します。


ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown
...

switchport

インターフェイスをスイッチポートモードに設定するには、インターフェイスコンフィギュレーションモードで switchport コマンドを使用します。インターフェイスをファイアウォールモードに設定するには、このコマンドの no 形式を使用します。

switchport

no switchport

（注）

Firepower 1010 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

イーサネット 1/2 ～ 1/8 では、このコマンドがデフォルトで有効になっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.13(1)	コマンドが追加されました。

使用上のガイドライン

各インターフェイスは、ファイアウォールインターフェイスまたはスイッチポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォールインターフェイスで、残りのイーサネットインターフェイスはスイッチポートとして設定されます。

管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。

このインターフェイスがすでにスイッチポートモードの場合、switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。

例

次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。


ciscoasa(config)# interface ethernet1/3
ciscoasa(config-if)# no switchport
ciscoasa(config-if)# interface ethernet1/3
ciscoasa(config-if)# no switchport
ciscoasa(config-if)#

switchport mode

スイッチポートの VLAN をアクセスモード（デフォルト）またはトランクモードのいずれかに設定するには、インターフェイスコンフィギュレーションモードで switchport mode コマンドを使用します。デフォルトのアクセスモードに戻すには、このコマンドの no 形式を使用します。

switchport mode { access | trunk }

no switchport mode { access | trunk }

（注）

Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明


access	スイッチポートをアクセスモードに設定します。このモードでは、スイッチポートで 1 つの VLAN のみのトラフィックを渡すことができます。タグなしパケットのみが許可されます。パケットがタグ付きでスイッチポートに入ると、パケットはドロップされます。パケットは、802.1Q VLAN タグなしでスイッチポートから出ます。
trunk	スイッチポートをトランクモードに設定します。そのため、複数の VLAN のトラフィックを渡すことができます。タグ付きのパケットとタグなしパケットの両方が許可されます。パケットは、802.1Q VLAN タグ付きでスイッチポートから出ます。パケットがタグなしでスイッチポートに入ると、ネイティブ VLAN に割り当てられます。

コマンドデフォルト

デフォルトでは、モードはアクセスです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
7.2(2)	1 つのトランクに制限されず、複数のトランクポートを設定できるようになりました。
9.13(1)	Firepower 1010 のサポートが追加されました。

使用上のガイドライン

モードをアクセスモードに設定した後、switchport vlan access コマンドを使用して VLAN を識別します。

モードをトランクモードに設定した後、switchport trunk allowed vlan コマンドを使用して、複数の VLAN をトランクに割り当てます。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。ASA 5505 でトランクモードが使用できるのは、Security Plus ライセンスだけです。

例

次に、VLAN 100 に割り当てられたアクセスモードのスイッチポートおよび VLAN 200 および 300 に割り当てられたトランクモードのスイッチポートを設定する例を示します。


ciscoasa(config-if)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allowed vlan 200,300
ciscoasa(config-if)# no shutdown
...

switchport monitor

SPAN スイッチポートモニタリングをイネーブルにするには、インターフェイスコンフィギュレーションモードで switchport monitor コマンドを使用します。このコマンドを入力する対象のポート（宛先ポートと呼ばれる）では、指定した送信元ポートで送受信されるすべてのパケットのコピーを受信します。SPAN 機能を使用すると、トラフィックをモニターできるように、スニファを宛先ポートに接続できます。このコマンドを複数回入力して、複数の送信元ポートを指定できます。SPAN をイネーブルにすることができるのは、1 つの宛先ポートのみです。送信元ポートのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。

switchport monitor source_port [ tx | rx | both ]

no switchport monitor source_port [ tx | rx | both ]

（注）

ASA 5505 でのみサポートされています。

構文の説明


both	（任意）送信トラフィックと受信トラフィックの両方をモニターすることを指定します。both がデフォルトです。
rx	（任意）受信トラフィックのみをモニターすることを指定します。
source_port	モニターするポートを指定します。任意のイーサネットポートおよび VLAN インターフェイス間でトラフィックを渡す Internal-Data0/1 バックプレーンポートを指定できます。Internal-Data0/1 ポートはギガビットイーサネットポートであるため、ファストイーサネット宛先ポートをトラフィックによって過負荷にする場合があります。Internal-Data0/1 ポートは注意してモニターしてください。
tx	（任意）送信トラフィックのみをモニターすることを指定します。

コマンドデフォルト

モニターするトラフィックのデフォルトのタイプは both です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

SPAN をイネーブルにしない場合、スニファをスイッチポートの 1 つに接続すると、そのポートで送受信されるトラフィックのみがキャプチャされます。複数のポートで送受信されるトラフィックをキャプチャするには、SPAN をイネーブルにし、モニターするポートを指定する必要があります。

ネットワークループになる可能性があるため、SPAN 宛先ポートを別のスイッチに接続するときは注意してください。

例

次に、イーサネット 0/0 ポートとイーサネット 0/2 ポートをモニターする宛先ポートとして、イーサネット 0/1 ポートを設定する例を示します。


ciscoasa(config)# interface ethernet 0/1
ciscoasa(config-if)# switchport monitor ethernet 0/0
ciscoasa(config-if)# switchport monitor ethernet 0/2

switchport protected

スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信しないようにするには、インターフェイスコンフィギュレーションモードで switchport protected コマンドを入力します。この機能により、あるスイッチポートが侵害された場合に、VLAN 上の他のスイッチポートに対して強固なセキュリティを提供します。保護されたモードをディセーブルにするには、このコマンドの no 形式を使用します。

switchport protected

no switchport protected

（注）

Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトでは、インターフェイスは保護されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
9.13(1)	Firepower 1010 のサポートが追加されました。

使用上のガイドライン

スイッチポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに switchport protected コマンドを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

保護されていないポートとの通信は、このコマンドによって制限されません。

例

次に、7 つのスイッチポートを設定する例を示します。イーサネット 0/4、0/5、および 0/6 は DMZ ネットワークに割り当てられ、相互から保護されます。


ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 200
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/5
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/6
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# switchport protected
ciscoasa(config-if)# no shutdown
...

switchport trunk

VLAN をトランクポートに割り当てるには、インターフェイスコンフィギュレーションモードで switchport trunk コマンドを使用します。VLAN をトランクから削除するには、このコマンドの no 形式を使用します。

switchport trunk { allowed vlans vlan_range | native vlan vlan }

no switchport trunk { allowed vlans vlan_range | native vlan vlan }

（注）

Firepower 1010 および ASA 5505 でのみサポートされています。

構文の説明


allowed vlans vlan_range	トランクポートに割り当てることができる 1 つ以上の VLAN を指定します。VLAN ID は、1 ～ 4070（Firepower 1010）または 4090（ASA 5505）の範囲で指定します。 vlan_range は、次のいずれかの方法で指定できます。単一の番号（n）範囲（n-x）番号および範囲は、カンマで区切ります。たとえば、次のように指定します。 5,7-10,13,45-100 カンマの代わりにスペースを入力できますが、コマンドはカンマ付きでコンフィギュレーションに保存されます。このコマンドにネイティブ VLAN を含めても無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。また、まだネイティブ VLAN タグが付いているトラフィックを受信しません。
native vlan vlan	ネイティブ VLAN をトランクに割り当てます。トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォールインターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランクポートに同じネイティブ VLAN を設定してください。各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

コマンドデフォルト

デフォルトでは、VLAN はトランクに割り当てられていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
7.2(2)	このコマンドは、スイッチポートごとに 4 つ以上の VLAN を許可するように変更されました。また、1 つのみに制限されず、複数のトランクポートを設定できるようになりました。このコマンドで、VLAN ID を区切るためにスペースではなくカンマも使用されます。
7.2(4)/8.0(4)	native vlan キーワードを使用するネイティブ VLAN サポートが追加されました。
9.13(1)	Firepower 1010 のサポートが追加されました。

使用上のガイドライン

スイッチポートで複数の VLAN を渡すトランクポートを作成する場合は、switchport mode trunk コマンドを使用してモードをトランクモードに設定してから、switchport trunk コマンドを使用して VLAN をトランクに割り当てます。このスイッチポートに少なくとも 1 つの VLAN を割り当てるまで、このスイッチポートでトラフィックを渡すことはできません。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。

ASA 5505

トランクモードが使用できるのは Security Plus ライセンスだけです。

（注）

このコマンドにはバージョン 7.2(1) との下位互換性はありません。VLAN を区切るカンマは 7.2(1) では認識されません。ダウングレードする場合は、VLAN をスペースで区切り、3 つの VLAN という制限を超えないようにしてください。

例

次に、7 つの VLAN インターフェイスを設定する例を示します。failover lan コマンドを使用して設定するフェールオーバーインターフェイスが含まれています。VLAN 200、201、および 202 は、イーサネット 0/1 でトランキングされています。


ciscoasa(config)# interface vlan 100
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 200
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.2.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 201
ciscoasa(config-if)# nameif dept1
ciscoasa(config-if)# security-level 90
ciscoasa(config-if)# ip address 10.2.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 202
ciscoasa(config-if)# nameif dept2
ciscoasa(config-if)# security-level 90
ciscoasa(config-if)# ip address 10.2.3.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 300
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.3.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface vlan 400
ciscoasa(config-if)# nameif backup-isp
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# ip address 10.1.2.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# failover lan faillink vlan500
ciscoasa(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 
255.255.255.0
ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# switchport access vlan 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# switchport mode trunk
ciscoasa(config-if)# switchport trunk allowed vlan 200-202
ciscoasa(config-if)# switchport trunk native vlan 5
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/2
ciscoasa(config-if)# switchport access vlan 300
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/3
ciscoasa(config-if)# switchport access vlan 400
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface ethernet 0/4
ciscoasa(config-if)# switchport access vlan 500
ciscoasa(config-if)# no shutdown

synack-data

データが含まれる TCP SYNACK パケットのアクションを設定するには、tcp マップコンフィギュレーションモードで synack-data コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

synack-data { allow | drop }

no synack-data

構文の説明


allow	データが含まれる TCP SYNACK パケットを許可します。
drop	データが含まれる TCP SYNACK パケットをドロップします。

コマンドデフォルト

デフォルトアクションでは、データが含まれる TCP SYNACK パケットをドロップします。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
TCP マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(4)/8.0(4)	このコマンドが追加されました。

使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラポリシーフレームワークを次のように使用します。

tcp-map ：TCP 正規化アクションを指定します。
1. synack-data ：tcp マップコンフィギュレーションモードでは、 synack-data コマンドおよびその他数多くのコマンドを入力できます。
class-map ：TCP 正規化を実行するトラフィックを指定します。
policy-map ：各クラスマップに関連付けるアクションを指定します。
1. class ：アクションを実行するクラスマップを指定します。
2. set connection advanced-options ：作成した TCP マップを指定します。
service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

例

次に、データが含まれる TCP SYNACK パケットを許可するように ASA を設定する例を示します。


ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# synack-data allow
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match any
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)#

synchronization

BGP と内部ゲートウェイプロトコル（IGP）システム間の同期をイネーブルにするには、アドレスファミリコンフィギュレーションモードで synchronization コマンドを使用します。Cisco IOS ソフトウェアが IGP を待機せずにネットワークルートをアドバタイズできるようにするには、このコマンドの no 形式を使用します。

synchronization

no synchronization

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
アドレスファミリコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.2(1)	このコマンドが追加されました。

使用上のガイドライン

通常、ルートがローカルであるか IGP に存在する場合を除き、BGP スピーカーは外部ネイバーにルートをアドバタイズしません。デフォルトでは BGP と IGP 間の同期はオフになっており、Cisco IOS ソフトウェアが IGP を待機せずにネットワークルートをアドバタイズできるようになっています。この機能により、自律システム内のルータおよびアクセスサーバーは、BGP が他の自律システムでルートを使用可能にする前にルートを確保できるようになります。

自律システム内のルータが BGP を実行していない場合は、synchronization コマンドを使用します。

例

次に、アドレスファミリコンフィギュレーションモードで同期をイネーブルにする例を示します。ルータは、ルートを外部にアドバタイズする前に、IGP 内のネットワークルートを検証します。


ciscoasa(config)# router bgp 65120
ciscoasa(config-router)# address-family ipv4 unicast
ciscoasa(config-router-af)# synchronization

syn-data

データが含まれる SYN パケットを許可またはドロップするには、tcp マップコンフィギュレーションモードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

syn-data { allow | drop }

no syn-data { allow | drop }

構文の説明


allow	データが含まれる SYN パケットを許可します。
drop	データが含まれる SYN パケットをドロップします。

コマンドデフォルト

デフォルトでは、SYN データが含まれるパケットは許可されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
TCP マップコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

tcp-map コマンドはモジュラポリシーフレームワークインフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップコンフィギュレーションモードを開始します。tcp マップコンフィギュレーションモードで syn-data コマンドを使用して、SYN パケット内にデータが含まれるパケットをドロップします。

TCP の仕様によると、TCP 実装は SYN パケット内に含まれているデータを受け入れる必要があります。これは微妙であいまいな点であるため、一部の実装ではこのことが正しく処理されない場合があります。不適切なエンドシステム実装などの挿入攻撃に対する脆弱性を回避するために、SYN パケット内にデータが含まれるパケットをドロップすることを選択できます。

例

次に、データが含まれる SYN パケットをすべての TCP フローでドロップする例を示します。


ciscoasa(config)# access-list TCP extended permit tcp any any
ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# syn-data drop
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match access-list TCP
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global
ciscoasa(config)#

sysopt connection permit-vpn

VPN トンネルを介して ASA に入り復号化されるトラフィックに対して、グローバルコンフィギュレーションモードで sysopt connection permit-vpn コマンドを使用して、トラフィックがインターフェイスアクセスリストをバイパスできるようにします。グループポリシーおよびユーザー単位の認可アクセスリストは、引き続きトラフィックに適用されます。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection permit-vpn

no sysopt connection permit-vpn

outputclass="syntax">

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能は、デフォルトでイネーブルにされています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、デフォルトでイネーブルになりました。また、インターフェイスアクセスリストのみがバイパスされます。グループポリシーまたはユーザー単位のアクセスリストは有効なままです。
7.1(1)	このコマンドは、sysopt connection permit-ipsec から変更されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

デフォルトでは、ASA によって、VPN トラフィックが ASA のインターフェイスで終端することが許可されています。IKE または ESP（またはその他のタイプの VPN パケット）をインターフェイスアクセスリストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイスアクセスリストも必要ありません。VPN トンネルは VPN セキュリティメカニズムを使用して正常に終端されたので、この機能によって、構成が簡略化され、セキュリティリスクを負うことなく、デバイスのパフォーマンスが最大化されます。（グループポリシーおよびユーザー単位の認可アクセスリストは、引き続きトラフィックに適用されます）。

no sysopt connection permit-vpn コマンドを入力して、インターフェイスアクセスリストをローカル IP アドレスに適用できます。アクセスリストを作成してインターフェイスに適用するには、access-list コマンドおよび access-group コマンドを参照してください。アクセスリストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。

（注）

ルートベースの VPN の場合、このコマンドは無視されます。ルートベースの VPN トラフィックを許可するには、アクセス制御ルールを設定する必要があります。

例

次に、復号化された VPN トラフィックがインターフェイスアクセスリストに従うようにする例を示します。


ciscoasa(config)# no
 sysopt connection permit-vpn

sysopt connection preserve-vpn-flows

トンネルのドロップおよび回復後のタイムアウト期間内に、ステートフル（TCP）トンネル IPSec LAN-to-LAN トラフィックを保持して再開するには、sysopt connection preserve-vpn-flows コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection preserve-vpn-flows

no sysopt connection preserve-vpn-flows

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(4)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

永続的 IPSec トンネルフロー機能がイネーブルの場合、タイムアウトウィンドウ内にトンネルが再作成される限り、セキュリティアプライアンスで元のフロー内の状態情報にアクセスできるため、データは正常に流れ続けます。

このコマンドでは、ネットワーク拡張モードを含め、IPSec LAN-to-LAN トンネルのみがサポートされます。AnyConnect/SSL VPN または IPSec リモートアクセストンネルはサポートされません。

例

次に、トンネルがドロップされ、タイムアウト期間内に再確立された後、トンネルの状態情報が保持されてトンネル IPSec LAN-to-LAN VPN トラフィックが再開されることを指定する例を示します。

ciscoasa(config)# no sysopt connection preserve-vpn-flows

この機能がイネーブルかどうかを確認するには、sysopt に対して show run all コマンドを入力します。

ciscoasa(config)# show run all sysopt

結果の例は次のとおりです。説明のために、これ以降のすべての例では、preserve-vpn-flows の項目は太字になっています。


	no sysopt connection timewait
	sysopt connection tcpmss 1380
	sysopt connection tcpmss minimum 0
	no sysopt nodnsalias inbound
	no sysopt nodnsalias outbound
	no sysopt radius ignore-secret
	sysopt connection permit-vpn
	no sysopt connection reclassify-vpn
	no sysopt connection preserve-vpn-flows
	hostname(config)#

sysopt connection reclassify-vpn

既存の VPN フローを再分類するには、グローバルコンフィギュレーションモードで sysopt connection reclassify-vpn コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt connection reclassify-vpn

no sysopt connection reclassify-vpn

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能は、デフォルトでイネーブルにされています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

VPN トンネルの新しい IPsec フェーズ 2 セキュリティアソシエーション（SA）が起動すると、このコマンドは新しい SA に一致する既存のフローを破棄し、暗号化が必要な既存のフローが破棄され、再作成され、暗号化されるようにします。

コマンドが無効になっている場合、暗号化が必要な既存の接続を再確立して新しい VPN トンネルを通過させるには、暗号化を必要とする既存の接続を手動でクリアする必要があります（たとえば、clear conn addr xxxx port xx を使用）。

このコマンドは、LAN-to-LAN およびダイナミック VPN についてのみ適用されます。このコマンドは EZVPN または VPN クライアント接続には影響しません。

例

次に、VPN 再分類をイネーブルにする例を示します。


ciscoasa(config)# sysopt connection reclassify-vpn

sysopt connection tcp-max-unprocessed-seg

TCP 未処理セグメントの最大数を設定するには、グローバルコンフィギュレーションモードで sysopt connection tcp-max-unprocessed-seg コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcp-max-unprocessed-seg segments

no sysopt connection tcp-max-unprocessed-seg segments

構文の説明


`segments`	TCP 未処理セグメントの最大数を 6 ～ 24 に設定します。

コマンドデフォルト

コマンドのデフォルトはありませんが、未処理セグメントのデフォルト数は 6 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.19(1)	このコマンドが追加されました。また、リリース 9.12 以降のポイントリリースでも使用できます。

使用上のガイドライン

SIP 電話機が Call Manager に接続していないことを確認したら、このコマンドを使用して未処理の TCP セグメントの最大数を増やすことができます。デフォルトは 6 であるため、より大きな数値を試してください。

例

次に、未処理セグメントの最大数を 24 に設定する例を示します。


ciscoasa(config)# sysopt connection tcp-max-unprocessed-seg 24

sysopt connection tcpmss

通過トラフィックの最大 TCP セグメントサイズが設定した値を超えないようにし、指定したサイズ未満にならないようにするには、グローバルコンフィギュレーションモードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcpmss [ minimum ] bytes

no sysopt connection tcpmss [ minimum ][ bytes ]

構文の説明


`bytes`	最大 TCP セグメントサイズをバイト単位で設定します（48 ～任意の最大値）。デフォルト値は 1380 バイトです。この機能をディセーブルにするには、`bytes` を 0 に設定します。 minimum キーワードの場合、`bytes` は許可される最も小さい最大値を表します。
minimum	最大セグメントサイズを上書きし、`bytes` 未満にならないようにします（48 ～ 65535 バイト）。この機能は、デフォルトでディセーブルです（0 に設定）。

コマンドデフォルト

デフォルトでは、ASA の最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU のデフォルトの 1500 バイト内にも収まっています。

minimum 機能は、デフォルトでディセーブルです（0 に設定）。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

最大セグメントサイズ（TCP MSS）とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイハンドシェイク中に、クライアントとサーバーは TCP MSS 値を交換します。

通過トラフィックの TCP MSS を ASA に設定できます。デフォルトでは、最大 TCP MSS は 1380 バイトに設定されます。この設定は、ASA が IPsec VPN カプセル化のパケットサイズを追加する必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、ASA の最大 TCP MSS を無効にする必要があります。

最大 TCP MSS を設定している場合、接続のいずれかのエンドポイントが ASA に設定された値を超える TCP MSS を要求すると、ASA は要求パケット内の TCP MSS を ASA の最大サイズで上書きします。ホストまたはサーバーが TCP MSS を要求しない場合、ASA は RFC 793 のデフォルト値 536 バイト（IPv4）または 1220 バイト（IPv6）を想定しますが、パケットは変更しません。たとえば、MTU をデフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。ASA の最大 TCP MSS が 1380（デフォルト）の場合は、ASA は TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバーは、1380 バイトのペイロードを含むパケットを送信します。ASA は、最大 120 バイトのヘッダーをパケットに追加しても、1500 バイトの MTU サイズに適応することができます。

TCP の最小 MSS も設定できます。ホストまたはサーバーが非常に小さい TCP MSS を要求した場合、ASA は値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。

SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。ASA は MTU を使用して、TCP MSS を導き出します。MTU - 40（IPv4）または MTU - 60（IPv6）となります。

デフォルトでは TCP MSS は、ASA が IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。ASA が IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。

MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして ASA を使用しない場合は、TCP MSS 設定を変更する必要があります。次のガイドラインを参照してください。

通常のトラフィック：TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。一般に接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
IPv4 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボフレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
IPv6 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 140 に設定します。

例

下記の例では、ジャンボフレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、非 VPN トラフィックの TCP MSS をディセーブルにします（TCP MSS を 0 に設定、すなわち無制限とすることによって行います）。


ciscoasa(config)# jumbo frame-reservation
ciscoasa(config)# mtu inside 9198
ciscoasa(config)# mtu outside 9198
ciscoasa(config)# sysopt connection tcpmss 0

下記の例では、ジャンボフレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、VPN トラフィックの TCP MSS を 9078 に変更します（MTU から 120 を差し引きます）。


ciscoasa(config)# jumbo frame-reservation
ciscoasa(config)# mtu inside 9198
ciscoasa(config)# mtu outside 9198
ciscoasa(config)# sysopt connection tcpmss 9078

sysopt connection timewait

各 TCP 接続において、最後の通常の TCP クローズダウンシーケンスの後に、少なくとも 15 秒の短い TIME_WAIT 状態が強制的に維持されるようにするには、グローバルコンフィギュレーションモードで sysopt connection timewait コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。エンドホストアプリケーションのデフォルト TCP 終了シーケンスが同時クローズである場合に、この機能を使用することを推奨します。

sysopt connection timewait

no sysopt connection timewait

（注）

FIN_WAIT2 状態で受信した RST パケット（通常の TCP クローズダウンシーケンスではなく）は、15 秒の遅延もトリガーします。ASA では、接続の最後のパケット（FIN/ACK または RST）を受信した後、接続を 15 秒間保持します。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ASA のデフォルトの動作では、シャットダウンシーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK の後で接続が解放されます。この即時解放ヒューリスティックにより、ASA では、標準クローズシーケンスと呼ばれる最も一般的なクロージングシーケンスに基づいて、高い接続レートを維持できます。ただし、一方の端が閉じ、もう一方の端が確認応答してから独自のクロージングシーケンスを開始する標準クローズシーケンスとは異なり、同時クローズでは、トランザクションの両端がクロージングシーケンスを開始します（RFC 793 を参照）。したがって、同時クローズでは、即時解放によって接続の一方の側で CLOSING 状態が保持されます。多くのソケットを CLOSING 状態にすると、エンドホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレームクライアントはこの動作を示し、メインフレームサーバーのパフォーマンスを低下させることが知られています。sysopt connection timewait コマンドを使用すると、同時クローズダウンシーケンスが完了するためのウィンドウが作成されます。

例

次に、timewait 機能をイネーブルにする例を示します。


ciscoasa(config)# sysopt connection timewait

sysopt noproxyarp

インターフェイスで NAT グローバルアドレスまたは VPN クライアントアドレスに対するプロキシ ARP をディセーブルにするには、グローバルコンフィギュレーションモードで sysopt noproxyarp コマンドを使用します。プロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。

sysopt noproxyarp interface_name

no sysopt noproxyarp interface_name

構文の説明


`interface_name`	プロキシ ARP をディセーブルにするインターフェイス名。

コマンドデフォルト

プロキシ ARP は、デフォルトでイネーブルに設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(3)	このコマンドは、VPN クライアントアドレスが内部ネットワークと重複するときに、VPN プロキシ ARP に影響を及ぼすように拡張されました。

使用上のガイドライン

既存のネットワークと重なる VPN クライアントアドレスプールがある場合、ASA は、デフォルトにより、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの VPN クライアントのリターントラフィックは、その誤ったインターフェイスに送信され、破棄されます。この場合、プロキシ ARP が不要なインターフェイスに対して sysopt noproxyarp コマンドを入力する必要があります。

まれに、NAT グローバルアドレスに対してプロキシ ARP をディセーブルにする場合があります。

あるホストから同じイーサネットネットワーク上の別のデバイスに IP トラフィックを送信する場合、そのホストは送信先のデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。

プロキシ ARP は、デバイスが IP アドレスを所有していなくても、その固有の MAC アドレスで ARP 要求に応答する場合に使用します。NAT を設定し、ASA のインターフェイスと同じネットワーク上にあるグローバルアドレスを指定すると、ASA によってプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、ASA でプロキシ ARP が使用されている場合、ASA の MAC アドレスが宛先グローバルアドレスに割り当てられていると主張することです。

例

次に、内部インターフェイスでプロキシ ARP をディセーブルにする例を示します。


ciscoasa(config)# sysopt noproxyarp inside

sysopt radius ignore-secret

RADIUS アカウンティング応答内の認証キーを無視するには、グローバルコンフィギュレーションモードで sysopt radius ignore-secret コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。一部の RADIUS サーバーとの互換性のために、このキーを無視する必要がある場合があります。

sysopt radius ignore-secret

no sysopt radius ignore-secret

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

一部の RADIUS サーバーでは、アカウンティング確認応答内のオーセンティケータハッシュにこのキーが含まれていません。この使用上の注意により、ASA でアカウンティング要求を継続的に再送信する場合があります。sysopt radius ignore-secret コマンドを使用して、これらの確認応答内のキーを無視し、再送信の問題を回避します（ここで示すキーは、aaa-server host コマンドで設定するものと同じです）。

例

次に、アカウンティング応答内の認証キーを無視する例を示します。


ciscoasa(config)# sysopt radius ignore-secret

sysopt traffic detailed-statistics

変更されたトラフィックシステムオプションについて秒単位でプロトコルごとの詳細な統計情報を計算するには、グローバルコンフィギュレーションモードで sysopt traffic detailed-statistics コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

sysopt traffic detailed-statistics

no sysopt traffic detailed-statistics

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

この機能はデフォルトで無効に設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

sysopt traffic detailed-statistics コマンドを使用して、変更されたトラフィックシステムオプションについて秒単位でプロトコルごとに詳細な統計情報を計算できます。

例

次に、変更されたトラフィックシステムオプションの詳細な統計情報を表示する例を示します。


ciscoasa(config)# sysopt traffic detailed-statistics

コマンド	説明
interface	インターフェイスを設定し、インターフェイスコンフィギュレーションモードを開始します。
show running-config interface	実行コンフィギュレーションのインターフェイスコンフィギュレーションを表示します。
switchport	インターフェイスをスイッチポートモードに設定します。
switchport mode	VLAN モードをアクセスまたはトランクに設定します。
switchport protected	セキュリティを高めるため、スイッチポートが同一 VLAN 上の別のスイッチポートと通信しないようにします。
switchport trunk allowed vlan	VLAN をトランクポートに割り当てます。

コマンド	説明
forward interface	1 つの VLAN から別の VLAN への転送を無効にします。
interface vlan	Firepower 1010 スイッチポートで使用する VLAN インターフェイスを作成します。
switchport	インターフェイスをスイッチポートモードに設定します。
switchport access vlan	アクセスモードのスイッチポートで VLAN を特定します。
switchport mode	スイッチポートをアクセスモードまたはトランクモードに設定します。
switchport trunk allowed vlan	トランクモードのスイッチポートで VLAN を特定します。

コマンド	説明
class-map	サービスポリシーに対してトラフィックを指定します。
policy-map	サービスポリシー内でトラフィックに適用するアクションを指定します。
set connection advanced-options	TCP 正規化をイネーブルにします。
service-policy	サービスポリシーをインターフェイスに適用します。
show running-config tcp-map	TCP マップコンフィギュレーションを表示します。
tcp-map	TCP マップを作成して、TCP マップコンフィギュレーションモードにアクセスできるようにします。

コマンド	説明
class	トラフィック分類に使用するクラスマップを指定します。
policy-map	ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のアクションのアソシエーションです。
set connection	接続値を設定します。
tcp-map	TCP マップを作成して、TCP マップコンフィギュレーションモードにアクセスできるようにします。

コマンド	説明
clear configure sysopt	sysopt コマンドコンフィギュレーションをクリアします。
show running-config sysopt	sysopt コマンドコンフィギュレーションを表示します。
sysopt connection tcpmss	TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。
sysopt connection timewait	最後の標準 TCP クローズダウンシーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。

コマンド	説明
alias	外部アドレスを変換し、変換に合わせて DNS レコードを変更します。
clear configure sysopt	sysopt コマンドコンフィギュレーションをクリアします。
show running-config sysopt	sysopt コマンドコンフィギュレーションを表示します。
sysopt nodnsalias	alias コマンドを使用するときに、DNS A レコードアドレスの変更をディセーブルにします。

コマンド	説明
aaa-server host	AAA サーバーを指定します。
clear configure sysopt	sysopt コマンドコンフィギュレーションをクリアします。
show running-config sysopt	sysopt コマンドコンフィギュレーションを表示します。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、S コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： su ～ sz

su ～ sz

subject-name（クリプト CA 証明書マップ）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

例

関連コマンド

subject-name（暗号 CA トラストポイント）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

例

関連コマンド

subject-name-default

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

subnet

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

summary-address（インターフェイス）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

summary-prefix（IPv6 ルータ OSPF）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

summary-address（ルータ ISIS）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

summary-address（ルータ OSPF）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

sunrpc-server

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

support-user-cert-validation

構文の説明

コマンド デフォルト

コマンド モード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード