Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)

 

構文の説明

 

デフォルト

デフォルトでは、ワイルドカード ネットマスク表現からの変換は実行されません。

 

コマンド履歴

 

使用上のガイドライン

RADIUS サーバから提供されるダウンロード可能な ACL にワイルドカード形式のネットマスクが含まれている場合は、wildcard または auto-detect キーワードを指定して acl-netmask-convert コマンドを使用します。セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていると想定します。一方、Cisco VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に、標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていると想定します。ワイルドカード マスクでは、無視するビット位置に 1、照合するビット位置に 0 が配置されます。 acl-netmask-convert コマンドを使用すると、このような相違が RADIUS サーバ上のダウンロード可能な ACL の設定方法に与える影響を最小限に抑えることができます。

RADIUS サーバの設定方法が不明な場合は、 auto-detect キーワードが役立ちます。ただし、「穴」があるワイルドカード ネットマスク表現は、正しく検出および変換できません。たとえば、ワイルドカード ネットマスク 0.0.255.0 は、第 3 オクテットに任意の値を許可し、Cisco VPN 3000 シリーズ コンセントレータでは有効に使用できます。ただし、セキュリティ アプライアンスでは、この表現をワイルドカード ネットマスクとして検出できません。

例

次に、ホスト「192.168.3.4」に「srvgrp1」という名前の RADIUS AAA サーバを設定し、ダウンロード可能な ACL のネットマスクの変換をイネーブルにして、タイムアウトを 9 秒、再試行間隔を 7 秒、認証ポートを 1650 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は continue です。

 

コマンド履歴

 

使用上のガイドライン

選択したすべての DAP レコードでセッションにアクセス ポリシーを適用するには、 continue キーワードを使用します。選択した DAP レコードのいずれかで接続を切断するには、 terminate キーワードを使用します。

例

次に、Finance という DAP ポリシーのセッションを切断する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

Uniform Resource Identifier（URI; ユニフォーム リソース識別子）は、インターネット上のコンテンツの位置を特定するコンパクトなストリングです。これらのコンテンツには、テキスト ページ、ビデオ クリップ、サウンド クリップ、静止画、動画、プログラムなどがあります。URI の最も一般的な形式は、Web ページ アドレスです。Web ページ アドレスは、URI の特定の形式またはサブセットで、URL と呼ばれます。

セキュリティ アプライアンスの WebVPN サーバは、POST 要求を使用して、シングル サインオン認証要求を認証 Web サーバに送信できます。これを行うには、HTTP POST 要求を使用して、認証 Web サーバ上のアクション URI にユーザ名とパスワードを渡すようにセキュリティ アプライアンスを設定します。 action-uri コマンドでは、セキュリティ アプライアンスが POST 要求を送信する Web サーバ上の認証プログラムの場所と名前を指定します。

認証 Web サーバ上のアクション URI を見つけるには、ブラウザで直接 Web サーバのログイン ページに接続します。ブラウザに表示されるログイン Web ページの URL が、認証 Web サーバのアクション URI です。

入力しやすいように、URI は連続する複数の行に入力できるようになっています。各行は入力と同時にセキュリティ アプライアンスによって連結され、URI が構成されます。action-uri 行の 1 行あたりの最大文字数は 255 文字ですが、それよりも少ない文字を各行に入力できます。

（注） ストリングに疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。

例

次に、www.example.com の URI を指定する例を示します。

http://www.example.com/auth/index.html/appdir/authc/forms/MCOlogin.fcc?TYPE=33554433&REAL
MOID=06-000a1311-a828-1185-ab41-8333b16a0008&GUID=&SMAUTHREASON=0&METHOD=G
ET&SMAGENTNAME=$SM$5FZmjnk3DRNwNjk2KcqVCFbIrNT9%2bJ0H0KPshFtg6rB1UV2Pxk
HqLw%3d%3d&TARGET=https%3A%2F%2Fauth.example.com

（注） アクション URI にホスト名とプロトコルを含める必要があります。上記の例では、これらは URI の最初にある http://www.example.com に含まれています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各要素の間にスペースを 1 つ入れて、4 つの要素で構成される 16 進数文字列として activation-key-four-tuple を入力します。または、各要素の間にスペースを 1 つ入れて、5 つの要素で構成される 16 進数文字列として、 activation-key-five-tuple を入力します。次に例を示します。

先頭の 0x 指定子は任意です。すべての値が 16 進数と見なされます。

キーはコンフィギュレーション ファイルに保存されず、 シリアル番号に関連付けられます。

例

次に、セキュリティ アプライアンスのアクティベーション キーを変更する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

activex-relay enable コマンドを使用すると、ユーザは WebVPN ブラウザから ActiveX コントロールを起動できます。これらのアプリケーションでは、WebVPN セッションを使用して ActiveX コントロールをダウンロードおよびアップロードします。ActiveX リレーは、WebVPN セッションが閉じるまで有効です。

例

次のコマンドは、特定のグループ ポリシーに関連付けられている WebVPN セッションの ActiveX コントロールをイネーブルにします。

次のコマンドは、特定のユーザ名に関連付けられている WebVPN セッションの ActiveX コントロールをディセーブルにします。

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。

グループ ポリシーの address-pools コマンドによるアドレス プール設定は、トンネル グループの address-pool コマンドによるローカル プール設定を上書きします。

プールの指定順序は重要です。セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

例

次に、設定トンネル一般コンフィギュレーション モードで、IPSec リモート アクセス トンネル グループ テスト用にアドレスをリモート クライアントに割り当てるためのアドレス プールのリストを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、アドレス プールの属性は継承を許可します。

 

コマンド履歴

 

使用上のガイドライン

このコマンドによるアドレス プール設定は、グループ内のローカル プール設定を上書きします。ローカル アドレスの割り当てに使用する最大 6 個のローカル アドレス プールのリストを指定できます。

プールの指定順序は重要です。セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。

address-pools none コマンドは、この属性が他のポリシー（DefaultGrpPolicy など）から継承されないようにします。 no address pools none コマンドは、 address-pools none コマンドをコンフィギュレーションから削除して、デフォルト値（継承の許可）に戻します。

例

次に、GroupPolicy1 の設定一般コンフィギュレーション モードで、アドレスをリモート クライアントに割り当てるために使用するアドレス プールのリストとして pool_1 および pool_20 を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

マルチ コンテキスト モードの新しいセキュリティ アプライアンスの場合、管理コンテキスト名は「admin」です。

 

コマンド履歴

 

使用上のガイドライン

コンテキスト コンフィギュレーションが内部フラッシュ メモリにある限り、任意のコンテキストを管理コンテキストに設定できます。

現在の管理コンテキストを削除するには、 clear configure context コマンドを使用してすべてのコンテキストを削除する必要があります。

例

次に、管理コンテキストを「administrator」に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドの機能は、外部 NAT コマンド（ dns キーワードを指定した nat コマンドや static コマンド）に置き換えられています。 alias コマンドの代わりに、外部 NAT コマンドを使用することを推奨します。

宛先アドレスに対してアドレス変換を実行するには、このコマンドを使用します。たとえば、ホストがパケットを 209.165.201.1 に送信する場合は、 alias コマンドを使用して、トラフィックを 209.165.201.30 などの別のアドレスにリダイレクトします。

（注） alias コマンドを他のアドレスの変換ではなく DNS の書き換えに使用する場合は、エイリアス対応インターフェイスで proxy-arp をディセーブルにします。セキュリティ アプライアンスが一般的な NAT 処理のために proxy-arp でトラフィックを自身に引き寄せないようにするには、sysopt noproxyarp コマンドを使用します。

alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。

DNS ゾーン ファイルに、 alias コマンド内の「dnat」アドレスの A（アドレス）レコードが存在している必要があります。

alias コマンドには 2 つの使用方法があります。次にその概略を示します。

• セキュリティ アプライアンスが mapped_ip 宛てのパケットを取得した場合は、そのパケットを real_ip に送信するように alias コマンドを設定できます。

• セキュリティ アプライアンスがセキュリティ アプライアンスに戻された real_ip 宛ての DNS パケットを取得した場合は、DNS パケットを変更して、宛先ネットワーク アドレスを mapped_ip に変更するように alias コマンドを設定できます。

alias コマンドは、自動的にネットワーク上の DNS サーバと通信して、エイリアスが設定された IP アドレスへのドメイン名によるアクセスを透過的に処理します。

real_ip IP アドレスと mapped_ip IP アドレスにネットワーク アドレスを使用して、ネット エイリアスを指定します。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1 ～ 209.165.201.30 の各 IP アドレスのエイリアスが作成されます。

static コマンドと access-list コマンドで alias mapped_ip アドレスにアクセスするには、access-list コマンドで、許可されるトラフィックの発信元アドレスとして mapped_ip アドレスを指定します。次に例を示します。

内部アドレス 192.168.201.1 を宛先アドレス 209.165.201.1 にマッピングして、エイリアスを指定しています。

内部ネットワーク クライアント 209.165.201.2 が example.com に接続すると、内部クライアントのクエリーに対する外部 DNS サーバからの DNS 応答がセキュリティ アプライアンスによって 192.168.201.29 に変更されます。セキュリティ アプライアンスがグローバル プール IP アドレスとして 209.165.200.225 ～ 209.165.200.254 を使用する場合、パケットは SRC=209.165.201.2 および DST=192.168.201.29 でセキュリティ アプライアンスに送信されます。セキュリティ アプライアンスは、アドレスを外部の SRC=209.165.200.254 と DST=209.165.201.29 に変換します。

例

次に、内部ネットワークに IP アドレス 209.165.201.29 が含まれている例を示します。このアドレスはインターネット上にあり、example.com に属しています。内部クライアントが example.com にアクセスしようとしても、209.165.201.29 はローカルの内部ネットワーク上にあると見なされるため、パケットはセキュリティ アプライアンスに送信されません。この動作を修正するには、 alias コマンドを次のように使用します。

次に、内部の 10.1.1.11 にある Web サーバと 209.165.201.11 で作成された static コマンドの例を示します。ソース ホストは外部にあり、アドレスは 209.165.201.7 です。外部の DNS サーバには、次に示すように www.example.com のレコードがあります。

ドメイン名 www.example.com. の末尾のピリオドは 必要です。

次に、alias コマンドの使用例を示します。

セキュリティ アプライアンス は、内部クライアント用のネームサーバ応答を 10.1.1.11 に変更して、Web サーバに直接接続できるようにします。

アクセスを可能にするには、次のコマンドも必要です。

 

関連コマンド

 

構文の説明

 

デフォルト

マッピング名を設定した場合、デフォルトでは、 show interface コマンドの出力にインターフェイス ID は表示されません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを複数回入力して、異なる範囲を指定できます。マッピング名または表示設定を変更するには、特定のインターフェイス ID に対してコマンドを再入力し、新しい値を設定します。 no allocate-interface コマンドを入力して最初からやり直す必要はありません。 allocate-interface コマンドを削除すると、セキュリティ アプライアンスによって、コンテキスト内のインターフェイス関連のコンフィギュレーションがすべて削除されます。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0（物理インターフェイスまたはサブインターフェイス）を管理トラフィック用の第 3 のインターフェイスとして使用できます。

（注） トランスペアレント モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをインターフェイスにフラッディングしません。

ルーテッド モードでは、必要に応じて同じインターフェイスを複数のコンテキストに割り当てることができます。トランスペアレント モードでは、インターフェイスを共有できません。

サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。

• マッピング名は、アルファベット部分と、それに続く数値部分で構成する必要があります。マッピング名のアルファベット部分は、範囲の両端で一致している必要があります。たとえば、次のような範囲を入力します。

たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力した場合、コマンドは失敗します。

• マッピング名の数値部分には、サブインターフェイスの範囲と同じ個数の数値を含める必要があります。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。

たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力した場合、コマンドは失敗します。

例

次に、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 ～ gigabitethernet0/1.305 をコンテキストに割り当てる例を示します。マッピング名は、int1 ～ int8 です。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各コンテキストに 1 つ以上の IPS 仮想センサーを割り当てることができます。その後、 ips コマンドを使用して AIP SSM にトラフィックを送信するようにコンテキストを設定するときに、コンテキストに割り当てられているセンサーを指定できます。コンテキストに割り当てられていないセンサーは指定できません。コンテキストにセンサーが割り当てられていない場合は、AIP SSM に設定されているデフォルト センサーが使用されます。同じセンサーを複数のコンテキストに割り当てることができます。

（注） 仮想センサーを使用するためにマルチ コンテキスト モードを開始する必要はありません。シングル モードでトラフィック フローごとに異なるセンサーを使用できます。

例

次に、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当てる例を示します。両方のコンテキストで、センサー名を「ips1」と「ips2」にマッピングします。コンテキスト A では sensor1 をデフォルト センサーとして設定しますが、コンテキスト B ではデフォルトを設定しないため、AIP SSMに設定されているデフォルトが使用されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

apcf コマンドを使用すると、セキュリティ アプライアンスは、非標準の Web アプリケーションと Web リソースを WebVPN 接続で正しくレンダリングされるように処理できます。APCF プロファイルには、特定のアプリケーションに関して、いつ（事前、事後）、どこの（ヘッダー、本文、要求、応答）、どのデータを変換するかを指定するスクリプトがあります。

セキュリティ アプライアンスで複数の APCF プロファイルを使用できます。その場合、セキュリティ アプライアンスは、それらのプロファイルを古いものから新しいものの順に 1 つずつ適用します。

apcf コマンドは、Cisco TAC のサポートがある場合にのみ使用することを推奨します。

例

次に、フラッシュ メモリの /apcf にある apcf1 という名前の APCF をイネーブルにする例を示します。

次に、myserver という名前の https サーバ（ポート 1440）のパス /apcf にある apcf2.xml という名前の APCF をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

Web タイプ ACL を設定するには、グローバル コンフィギュレーション モードで access-list_webtype コマンドを使用します。

appl-acl コマンドを複数回使用して、複数の Web タイプ ACL を DAP ポリシーに適用できます。

例

次に、newacl という名前の設定済みの Web タイプ ACL をダイナミック アクセス ポリシーに適用する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

[Application Access] フィールドのデフォルトのタイトル テキストは「Application Access」です。

[Application Access] フィールドのデフォルトのタイトル スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold;text-transform:uppercase

[Application Access] フィールドのデフォルトのメッセージ テキストは「Start Application Client」です。

[Application Access] フィールドのデフォルトのメッセージ スタイルは次のとおりです。

background-color:#99CCCC;color:maroon;font-size:smaller.

[Application Access] ウィンドウのデフォルトのウィンドウ テキストは次のとおりです。

「Close this window when you finish using Application Access.Please wait for the table to be displayed before starting applications.」

[Application Access] ウィンドウのデフォルトのウィンドウ スタイルは次のとおりです。

background-color:#99CCCC;color:black;font-weight:bold

 

コマンド履歴

 

使用上のガイドライン

このコマンドには、 webvpn コマンドまたは tunnel-group webvpn-attributes コマンドを使用してアクセスします。

style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

次に、WebVPN ページに対する変更で最もよく行われるページ配色の変更に役立つヒントを紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例

次に、[Application Access] フィールドの背景色を RGB 16 進値 66FFFF（緑色の一種）にカスタマイズする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトではディセーブルになっています。[Application Access] ウィンドウにアプリケーション詳細が表示されます。

 

コマンド履歴

例

次に、アプリケーション詳細の表示をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

作成したエリアには、パラメータが設定されていません。関連する area コマンドを使用してエリア パラメータを設定します。

例

次に、エリア ID が 1 の OSPF エリアを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

エリア認証はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

指定した OSPF エリアが存在しない場合は、このコマンドを入力すると作成されます。 message-digest キーワードを指定せずに area authentication コマンドを入力した場合は、簡易パスワード認証がイネーブルになります。 message-digest キーワードを指定すると、MD5 認証がイネーブルになります。

例

次に、エリア 1 に対して MD5 認証をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

cost のデフォルト値は 1 です。

 

コマンド履歴

 

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

例

次に、スタブまたは NSSA に送信される集約ルートのデフォルト コストを指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

フィルタリングできるのはタイプ 3 LSA だけです。プライベート ネットワークに ASBR が設定されている場合、ASBR はプライベート ネットワークを記述するタイプ 5 LSA を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッディングされます。

例

次に、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• NSSA エリアは未定義です。

• metric-type は 2 です。

 

コマンド履歴

 

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

エリアに 1 つのオプションを設定し、後で別のオプションを指定した場合、両方のオプションが設定されます。たとえば、次の 2 のコマンドを別々に入力した場合、コンフィギュレーションには、両方のオプションを指定した 1 つのコマンドが設定されます。

例

次に、2 つのオプションを別々に設定すると、1 つのコマンドがコンフィギュレーションに設定される例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

アドレス範囲ステータスは advertise に設定されます。

 

コマンド履歴

 

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

area range コマンドは、ABR でのみ使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は ルート集約 と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。したがって、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。

no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードのみを削除します。

例

次に、ネットワーク 10.0.0.0 上のすべてのサブネットおよびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つの集約ルートを、ABR によって他のエリアにアドバタイズするように指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作は次のとおりです。

• スタブ エリアは定義されません。

• サマリー リンク アドバタイズメントはスタブ エリアに送信されます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、スタブまたは NSSA に接続された ABR でのみ使用されます。

スタブ エリア ルータ コンフィギュレーション コマンドには、area stub および area default-cost という 2 つのコマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続された ABR でのみ area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成される集約デフォルト ルートのメトリックをスタブ エリアに提供します。

例

次に、指定したエリアをスタブ エリアとして設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• area_id ：エリア ID は事前に定義されていません。

• router_id ：ルータ ID は事前に定義されていません。

• hello-interval seconds ：10 秒。

• retransmit-interval seconds ：5 秒。

• transmit-delay seconds ：1 秒。

• dead-interval seconds ：40 秒。

• authentication-key key ：キーは事前に定義されていません。

• message-digest-key key_id md5 key ：キーは事前に定義されていません。

 

コマンド履歴

 

使用上のガイドライン

OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。

hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。

再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。

指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にのみ使用されます。

簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらか一方を指定するか、または両方とも指定しないでください。 authentication-key key または message-digest-key key_id md5 key の後に指定したキーワードと引数は、すべて無視されます。したがって、オプションの引数は、これらのキーワードと引数の組み合わせの前に指定します。

インターフェイスに認証タイプが指定されていない場合、インターフェイスでは、エリアに指定されている認証タイプが使用されます。エリアに認証タイプが指定されていない場合、エリアのデフォルトはヌル認証です。

（注） 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。

仮想リンクからオプションを削除するには、削除するオプションを指定して、このコマンドの no 形式を使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。

例

次に、MD5 認証の仮想リンクを確立する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合（たとえば、所定の IP アドレスの MAC アドレスが変更された場合など）、エントリは更新される前にタイムアウトします。

（注） トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリがセキュリティ アプライアンスとの間のトラフィック（管理トラフィックなど）に使用されます。

例

次に、外部インターフェイス上の 10.1.1.1 と MAC アドレス 0009.7cbe.2100 のスタティック ARP エントリを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 14,400 秒（4 時間）です。

 

コマンド履歴

例

次に、ARP タイムアウトを 5,000 秒に変更する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、ARP インスペクションはすべてのインターフェイスでディセーブルになっています。すべての ARP パケットはセキュリティ アプライアンスを通過できます。ARP インスペクションをイネーブルにすると、一致しない ARP パケットはデフォルトでフラッディングされます。

 

コマンド履歴

 

使用上のガイドライン

ARP インスペクションをイネーブルにする前に、 arp コマンドを使用してスタティック ARP エントリを設定します。

ARP インスペクションをイネーブルにすると、セキュリティ アプライアンスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。

• IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。

• MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、セキュリティ アプライアンスはパケットをドロップします。

• ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送（フラッディング）するか、またはドロップするようにセキュリティ アプライアンスを設定できます。

（注） 専用の管理インターフェイス（存在する場合）は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます（ARP スプーフィングと呼ばれる）のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

（注） トランスペアレント ファイアウォール モードでは、ダイナミック ARP エントリがセキュリティ アプライアンスとの間のトラフィック（管理トラフィックなど）に使用されます。

例

次に、外部インターフェイスにおける ARP インスペクションをイネーブルにし、スタティック ARP エントリに一致しない ARP パケットをドロップするようにセキュリティ アプライアンスを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。

ASDM セッションを終了しても、残りのアクティブな ASDM セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM セッションにはセッション ID 1 が割り当てられ、その後の新しいセッションにはセッション ID 3 から順に ID が割り当てられます。

例

次に、セッション ID 0 の ASDM セッションを終了する例を示します。 asdm disconnect コマンドの入力の前後に、 show asdm sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。

それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギング セッションがあります。ASDM は、ロギング セッションを使用して、セキュリティ アプライアンスから Syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶ場合があります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。

（注） 各 ASDM セッションには少なくとも 1 つの ASDM ロギング セッションがあるため、show asdm sessions および show asdm log_sessions の出力は同じように見えることがあります。

ASDM ロギング セッションを終了しても、残りのアクティブな ASDM ロギング セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM ロギング セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM ロギング セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM ロギング セッションにはセッション ID 1 が割り当てられ、その後の新しいロギング セッションにはセッション ID 3 から順に ID が割り当てられます。

例

次に、セッション ID 0 の ASDM セッションを終了する例を示します。 asdm disconnect log_sessions コマンドの入力の前後に、 show asdm log_sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASDM 履歴トラッキングをイネーブルにすることによって取得された情報は、ASDM 履歴バッファに保存されます。この情報は、 show asdm history コマンドを使用して表示できます。履歴情報は、ASDM によってデバイス モニタリングに使用されます。

例

次に、ASDM 履歴トラッキングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。セキュリティ アプライアンスはイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。

 

コマンド履歴

 

使用上のガイドライン

フラッシュ メモリに複数の ASDM ソフトウェア イメージを保存できます。アクティブな ASDM セッションがある状態で asdm image コマンドを入力して新しい ASDM ソフトウェア イメージを指定した場合、アクティブな ASDM セッションは中断されず、そのセッションを開始した ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。 no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、セキュリティ アプライアンスから引き続き ASDM にアクセスできます。

このコマンドをスタートアップ コンフィギュレーションに含めない場合、セキュリティ アプライアンスは起動時に最初に検出した ASDM イメージを使用します。内部フラッシュ メモリのルート ディレクトリ内を検索した後で、外部フラッシュ メモリを検索します。セキュリティ アプライアンスはイメージを検出した場合は、 asdm image コマンドを実行コンフィギュレーションに挿入します。 write memory コマンドを使用して、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 asdm image コマンドをスタートアップ コンフィギュレーションに保存しない場合、リブートのたびにセキュリティ アプライアンスは ASDM イメージを検索し、 asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用する場合は、起動時にこのコマンドが自動的に追加されるため、セキュリティ アプライアンス上のコンフィギュレーションは Auto Update Server 上のコンフィギュレーションと一致しなくなります。このような不一致が発生すると、セキュリティ アプライアンスはコンフィギュレーションを Auto Update Server からダウンロードします。不要な Auto Update アクティビティを回避するには、 asdm image コマンドをスタートアップ コンフィギュレーションに保存します。

例

次に、ASDM イメージを asdm.bin に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

Active/Active フェールオーバーがイネーブルの場合、ロード バランシングにより、発信接続のリターン トラフィックがピア ユニット上のアクティブなコンテキストを介してルーティングされることがあります。このピア ユニットでは、発信接続のコンテキストはスタンバイ グループ内にあります。

asr-group コマンドを使用すると、着信インターフェイスのフローが見つからない場合に、着信パケットが同じ asr-group のインターフェイスで再分類されます。再分類により別のインターフェイスのフローが見つかり、関連付けられているコンテキストがスタンバイ状態の場合、パケットは処理のためにアクティブなユニットに転送されます。

このコマンドを有効にするには、ステートフル フェールオーバーをイネーブルにする必要があります。

ASR 統計情報は、 show interface detail コマンドを使用して表示できます。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれます。

例

次に、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てる例を示します。

コンテキスト ctx1 のコンフィギュレーション：

コンテキスト ctx2 のコンフィギュレーション：

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。

このコマンドは、SAML-type の SSO サーバのみに適用されます。

URL が HTTPS で始まる場合は、アサーション コンシューマ サービスの SSL 証明書のルート証明書をインストールする必要があります。

次に、SAML-type の SSO サーバのアサーション コンシューマ URL を指定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

 

使用上のガイドライン

通常、セキュリティ アプライアンスは AAA サーバからユーザ認可属性を取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント属性を取得します。test コマンドの場合、ユーザ認可属性とエンドポイント属性をこの属性モードで指定します。セキュリティ アプライアンスは、これらの属性を、DAP サブシステムが DAP レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに参照する属性データベースに書き込みます。

例

次の例では、認証されたユーザが SAP グループのメンバーで、エンドポイント システムにアンチウイルス ソフトウェアがインストールされている場合に、セキュリティ アプライアンスが 2 つの DAP レコードを選択することを前提としています。アンチウイルス ソフトウェアのエンドポイント ルールのエンドポイント ID は nav です。

DAP レコードには、次のポリシー属性があります。