- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: intercept-dhcp コマンド~ issuer-name コマンド
- intercept-dhcp
- interface
- interface(vpn ロードバランシング)
- interface-policy
- internal-password
- interval maximum
- invalid-ack
- ip address
- ip address dhcp
- ip address pppoe
- ip-address-privacy
- ip audit attack
- ip audit info
- ip audit interface
- ip audit name
- ip audit signature
- ip-comp
- ip local pool
- ip-phone-bypass
- ips
- ipsec-udp
- ipsec-udp-port
- ip verify reverse-path
- ipv6 access-list
- ipv6 access-list webtype
- ipv6 address
- ipv6 enable
- ipv6 enforce-eui64
- ipv6 icmp
- ipv6 local pool
- ipv6 nd dad attempts
- ipv6 nd ns-interval
- ipv6 nd prefix
- ipv6 nd ra-interval
- ipv6 nd ra-lifetime
- ipv6 nd reachable-time
- ipv6 nd suppress-ra
- ipv6 neighbor
- ipv6 route
- ipv6-address-pool(トンネル グループ一般属性モード)
- ipv6-address-pools
- ipv6-vpn-filter
- isakmp am-disable
- isakmp disconnect-notify
- isakmp enable
- isakmp identity
- isakmp ikev1-user-authentication
- isakmp ipsec-over-tcp
- isakmp keepalive
- isakmp nat-traversal
- isakmp policy authentication
- isakmp policy encryption
- isakmp policy group
- isakmp policy hash
- isakmp policy lifetime
- isakmp reload-wait
- issuer
- issuer-name
intercept-dhcp コマンド~ issuer-name コマンド
intercept-dhcp
DHCP 代行受信をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで intercept-dhcp enable コマンドを使用します。DHCP 代行受信をディセーブルにするには、 intercept-dhcp disable コマンドを使用します。実行コンフィギュレーションから intercept-dhcp 属性を削除し、ユーザがデフォルトまたはその他のグループ ポリシーから DHCP 代行受信コンフィギュレーションを継承できるようにするには、 no intercept-dhcp コマンドを使用します。
intercept-dhcp netmask { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スプリット トンネル オプションが 255 バイトを超えていると、Microsoft XP で異常が発生し、ドメイン名が破損します。この問題を回避するには、セキュリティ アプライアンスで送信ルートの数を 27 ~ 40 に制限します。ルートの数はルートのクラスによって異なります。
DHCP 代行受信によって Microsoft XP クライアントは、セキュリティ アプライアンスでスプリット トンネリングを使用できるようになります。セキュリティ アプライアンスは、Microsoft Windows XP クライアント DHCP Inform メッセージに直接応答して、クライアントにトンネル IP アドレス用のサブネット マスク、ドメイン名、およびクラスレス スタティック ルートを提供します。Windows クライアントが XP 以前である場合は、DHCP 代行受信により、ドメイン名およびサブネット マスクが提供されます。これは、DHCP サーバを使用するのが効果的でない環境で役立ちます。
例
次に、FirstGroup というグループ ポリシーに DHCP 代行受信を設定する例を示します。
interface
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで interface コマンドを使用します。インターフェイス コンフィギュレーション モードでは、インターフェイスのタイプおよびセキュリティ コンテキスト モードに応じて、ハードウェアの設定(物理インターフェイスの場合)、名前の割り当て、VLAN の割り当て、IP アドレスの割り当てをはじめ、数多くの設定を行うことができます。
マルチ コンテキスト モードでは、 allocate-interface コマンドを使用してマッピング名が割り当てられた場合、そのマッピング名の指定が必要になることがあります。
すべてのモデルで、物理インターフェイスのパラメータを設定できます。
ASA 5505 適応型セキュリティ アプライアンスなど組み込みスイッチを搭載したモデルを除くすべてのモデルで、論理冗長インターフェイスを作成できます。
ASA 5505 適応型セキュリティ アプライアンスなど組み込みスイッチを搭載したモデルを除くすべてのモデルで、VLAN に割り当てられる論理サブインターフェイスを作成できます。組み込みスイッチを搭載したモデルには、VLAN インターフェイスに割り当てることができるスイッチ ポート(このコマンドで物理インターフェイスと呼んでいるもの)を備えているものがあります。この場合、VLAN のサブインターフェイスを作成するのではなく、物理インターフェイスから独立した VLAN インターフェイスを作成します。その後、VLAN インターフェイスに 1 つ以上の物理インターフェイスを割り当てることができます。
冗長インターフェイス、サブインターフェイス、または VLAN インターフェイスを削除するには、このコマンドの no 形式を使用します。物理インターフェイスまたはマッピングされているインターフェイスは削除できません。
冗長インターフェイスの場合(組み込みスイッチを搭載したモデルには使用不可):
サブインターフェイスの場合(組み込みスイッチを搭載したモデルには使用不可):
interface { physical_interface | redundant number } . subinterface
no interface { physical_interface | redundant number } . subinterface
VLAN インターフェイスの場合(組み込みスイッチを搭載したモデルが対象):
マルチ コンテキスト モードの場合(マッピング名が割り当てられているとき):
構文の説明
デフォルト
デフォルトでは、セキュリティ アプライアンスはすべての物理インターフェイスを対象に interface コマンドを自動的に生成します。
マルチ コンテキスト モードでは、セキュリティ アプライアンスは allocate-interface コマンドを使用して、コンテキストに割り当てられているすべてのインターフェイスを対象に interface コマンドを自動的に生成します。
インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。
マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。
シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。
•
冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。
• サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、サブインターフェイスの新しい命名規則に対応し、インターフェイス コンフィギュレーション モードでは引数が独立したコマンドとなるように変更されました。 |
|
interface vlan コマンドが、ASA 5505 適応型セキュリティ アプライアンスでの組み込みスイッチをサポートするために追加されました。 |
|
使用上のガイドライン
イネーブルになっているインターフェイスでトラフィックを通過させるには、インターフェイス コンフィギュレーション モード コマンドである nameif を設定し、ルーテッド モードの場合には ip address も設定します。サブインターフェイスの場合は、 vlan コマンドも設定します。スイッチ物理インターフェイスの場合、 switchport access vlan コマンドを使用して、物理インターフェイスを VLAN インターフェイスに割り当てます。
インターフェイス設定を変更し、既存接続のタイムアウトを待たずに新しいセキュリティ情報を使用する場合は、 clear local-host コマンドを使用して接続をクリアできます。
デフォルトのセキュリティ レベルは 0 です。インターフェイスに「inside」という名前を付け、 security-level コマンドを使用してセキュリティ レベルを明示的に設定しないと、セキュリティ アプライアンスはセキュリティ レベルを 100 に設定します。
• 各コンテキスト内からコンテキスト インターフェイスを設定します。
• システム コンフィギュレーションでコンテキストにすでに割り当てたコンテキスト インターフェイスを設定します。それ以外のインターフェイスは使用できません。
• システム コンフィギュレーションでイーサネット設定、冗長インターフェイス、およびサブインターフェイスを設定します。それ以外のコンフィギュレーションは使用できません。フェールオーバー インターフェイスは例外で、システム コンフィギュレーションに設定されます。このコマンドでフェールオーバー インターフェイスを設定しないでください。
トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスの場合、Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を管理トラフィック用に 3 つめのインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。
• 最大サブインターフェイス:プラットフォームに許可するサブインターフェイスの数を決定するには、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』でライセンス情報を参照してください。
• 物理インターフェイスでのタグなしパケットの阻止:サブインターフェイスを使用する場合は、物理インターフェイスでは一般にトラフィックを通過させないようにします。物理インターフェイスではタグなしパケットが通過してしまうためです。この特性は、冗長インターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。サブインターフェイスでトラフィックを通過させるには物理的インターフェイスまたは冗長インターフェイスをイネーブルにする必要があるため、 nameif コマンドを除外して物理インターフェイスまたは冗長インターフェイスでトラフィックを通過させないようにします。物理インターフェイスまたは冗長インターフェイスでタグなしパケットを通過させる場合は、通常どおり nameif コマンドを設定できます。
– フェールオーバーまたはステート リンク用に冗長インターフェイスを使用する場合は、プライマリ ユニットに加えてセカンダリ ユニット上の基本的なコンフィギュレーションの一部として冗長インターフェイスを設定する必要があります。
– フェールオーバーまたはステート リンク用に冗長インターフェイスを使用する場合は、2 つのユニット間にスイッチまたはハブを配置する必要があります。両ユニットは直接接続できません。スイッチやハブがなくても、プライマリ ユニット上のアクティブ ポートをセカンダリ ユニット上のスタンバイ ポートに直接接続できる場合もあります。
– monitor-interface コマンドを使用して、フェールオーバーの冗長インターフェイスをモニタできます。その際、論理冗長インターフェイス名を参照してください。
– アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーをモニタしているときには、冗長インターフェイスで障害が発生しているように見えません。冗長インターフェイスで障害が発生しているように見えるのは、両方の物理インターフェイスで障害が発生したときだけです。
• 冗長インターフェイスの MAC アドレス:冗長インターフェイスは、最初に追加した物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、メンバー インターフェイスの MAC アドレスとは関係なく使用される MAC アドレスを冗長インターフェイスに割り当てることができます( mac-address コマンドまたは mac-address auto コマンドを参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合は、同じ MAC アドレスが維持されるため、トラフィックが妨げられることはありません。
• 物理インターフェイスのガイドライン:メンバー インターフェイスを追加するときには、次のガイドラインに従ってください。
– 両方のメンバ インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。
– 名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。この場合、まず no nameif コマンドを使用して名前を削除する必要があります。
– 冗長インターフェイス ペアの一部である物理インターフェイスに使用できるコンフィギュレーションのみが物理パラメータ( speed コマンド、 duplex コマンド、 description コマンド、 shutdown コマンドなど)です。また、 default や help などの実行時コマンドを入力することもできます。
– アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。
組み込みスイッチを搭載したモデルの場合、物理インターフェイス専用の物理パラメータおよびスイッチ パラメータ(VLAN 割り当てを含む)を設定します。VLAN インターフェイスにはその他のすべてのパラメータを設定します。
トランスペアレント ファイアウォール モードの ASA 5505 適応型セキュリティ アプライアンスの場合、基本ライセンスで 2 つのアクティブ VLAN と Security Plus ライセンスで 3 つのアクティブ VLAN を設定でき、そのうちの 1 つをフェールオーバー用にする必要があります。ルーテッド モードでは、基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 5 つのアクティブ VLAN を設定できます。アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。VLAN は、アクティブ VLAN の数を制限してライセンスに準拠している限り、必要な数だけ設定できます。基本ライセンスの場合、3 つめの VLAN は他の 1 つの VLAN にのみトラフィックを開始するように設定できます。3 つめの VLAN を制限するには、 no forward interface コマンドを使用します。Security Plus ライセンスでは、通常のトラフィック用に 3 つの VLAN インターフェイス、フェールオーバー用に 1 つの VLAN インターフェイス、および ISP へのバックアップ リンクとして 1 つの VLAN インターフェイスを設定できます。ただし、フェールオーバー VLAN インターフェイスは、 interface vlan コマンドでは設定されません。フェールオーバー VLAN ID に物理インターフェイスを割り当てた後、 failover lan コマンドを使用して VLAN インターフェイスを作成し、設定します。ISP へのバックアップ リンクを識別するには、プライマリ VLAN コンフィギュレーションで backup interface コマンドを使用します。このインターフェイスは、プライマリ インターフェイスで障害が発生しない限り、トラフィックを通過させません。詳細については、 backup interface コマンドを参照してください。
ASA 5510 以降の適応型セキュリティ アプライアンスには、Management 0/0 という専用の管理インターフェイスが含まれ、セキュリティ アプライアンスへのトラフィックをサポートするようになっています。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の場合、管理専用モードをディセーブルにできるため、このインターフェイスは他のインターフェイスと同じくトラフィックを通過させることができます。
トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスの場合、Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を管理トラフィック用に 3 つめのインターフェイスとして使用できます。この場合モードは設定不可となり、常に管理専用にする必要があります。
例
次に、シングル モードで物理インターフェイスのパラメータを設定する例を示します。
次に、シングル モードでサブインターフェイスのパラメータを設定する例を示します。
次に、システム コンフィギュレーション用にマルチ コンテキスト モードでインターフェイス パラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。
次に、コンテキスト コンフィギュレーション用にマルチ コンテキスト モードでパラメータを設定する例を示します。
次の例では、3 つの VLAN インターフェイスを設定します。3 つめのホーム インターフェイスは、トラフィックをワーク インターフェイスに転送できません。
次に、 failover lan コマンドを使用して別途設定されるフェールオーバー インターフェイスを含め、5 つの VLAN インターフェイスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
interface(vpn ロードバランシング)
VPN ロード バランシングの仮想クラスタで VPN ロード バランシング用にデフォルト以外のパブリック インターフェイスまたはプライベート インターフェイスを指定するには、VPN ロード バランシング モードで interface コマンドを使用します。このインターフェイス指定を削除し、デフォルトのインターフェイスに戻すには、このコマンドの no 形式を使用します。
interface { lbprivate | lbpublic} interface-name ]
no interface { lbprivate | lbpublic }
構文の説明
VPN ロード バランシング クラスタのパブリック インターフェイスまたはプライベート インターフェイスとして設定されるインターフェイスの名前。 |
|
デフォルト
interface コマンドを省略した場合、 lbprivate インターフェイスはデフォルトで inside に設定され、 lbpublic インターフェイスはデフォルトで outside に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始しておく必要があります。
また、あらかじめ interface 、 ip address 、 nameif の各コマンドを使用して、このコマンドで指定するインターフェイスを設定し、名前を割り当てておく必要があります。
例
次に、 vpn load-balancing コマンド シーケンスの一例を示します。この中の interface コマンドでは、クラスタのプライベート インターフェイスをデフォルト(inside)に戻す「test」インターフェイスとして、クラスタのパブリック インターフェイスを指定しています。
関連コマンド
|
|
|
|---|---|
interface-policy
モニタリングでインターフェイスの障害を検出する際にフェールオーバーのポリシーを指定するには、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
パーセンテージとして使用するときには 1 ~ 100 の数値を指定し、そうでなければインターフェイスの最大数として 1 を指定します。 |
|
デフォルト
ユニットに failover interface-policy コマンドが設定されている場合は、 interface-policy フェールオーバー グループ コマンドのデフォルトが設定値であると見なされます。そうでない場合、 num は 1 となります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
num 引数とオプションの % キーワードの間にはスペースを挿入しません。
障害が発生したインターフェイスの数が設定したポリシーを満たし、他のセキュリティ アプライアンスが正しく機能している場合、セキュリティ アプライアンスが自らを障害発生としてマークし、フェールオーバーが発生することがあります(アクティブなセキュリティ アプライアンスで障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。
例
次の部分的な例では、フェールオーバー グループで可能な設定を示します。
関連コマンド
|
|
|
|---|---|
internal-password
クライアントレス SSL VPN ポータル ページで追加パスワード フィールドを表示するには、webvpn コンフィギュレーション モードで internal-password コマンドを使用します。この追加パスワードは、セキュリティ アプライアンスが SSO を許可しているファイル サーバに対してユーザを認証するのに使用されます。
内部パスワードの使用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
イネーブルにした場合、エンド ユーザはクライアントレス SSL VPN セッションにログインするときに 2 つめのパスワードを入力します。クライアントレス SSL VPN サーバは、HTTPS を使用して、ユーザ名やパスワードなどの SSO 認証要求を認証サーバに送信します。認証サーバが認証要求を承認すると、SSO 認証クッキーがクライアントレス SSL VPN サーバに返されます。このクッキーは、ユーザに代わってセキュリティ アプライアンスに保持され、ユーザを認証して SSO サーバによって保護されたドメイン内の Web サイトを保護するのに使用されます。
内部パスワード機能は、内部パスワードを SSL VPN パスワードとは異なるものにする場合に便利です。特に、セキュリティ アプライアンスへの認証にワンタイム パスワードを使用し、内部サイトの認証に別のパスワードを使用できます。
例
hostname(config)# webvpn
hostname(config-webvpn)# internal password enable
関連コマンド
|
|
|
|---|---|
webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSLVPN 接続の属性を設定できます。 |
interval maximum
DDNS 更新方式による更新試行の最大間隔を設定するには、DDNS 更新方式モードで interval コマンドを使用します。実行コンフィギュレーションから DDNS 更新方式の間隔を削除するには、このコマンドの no 形式を使用します。
interval maximum days hours minutes seconds
no interval maximum days hours minutes seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、3 分 15 秒ごとに更新を試行する方式を ddns-2 という名前で設定する例を示します。
関連コマンド
|
|
|
|---|---|
Dynamic DNS(DDNS; ダイナミック DNS)アップデート方式を、セキュリティ アプライアンスのインターフェイスまたは DDNS アップデート ホスト名に関連付けます。 |
|
invalid-ack
ACK が無効になっているパケットに対するアクションを設定するには、tcp-map コンフィギュレーション モードで invalid-ack コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. invalid-ack :tcp-map コンフィギュレーション モードでは、 invalid-ack コマンドをはじめ多数のコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. set connection advanced-options :作成した TCP マップを指定します。
4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
次のような場合に無効な ACK が検出される可能性があります。
• TCP 接続が SYN-ACK-received ステータスでは、受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号と同じでない場合、その ACK は無効です。
• 受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号より大きい場合は常に、その ACK は無効です。
(注) 無効な ACK を含む TCP パケットは、WAAS 接続で自動的に許可されます。
例
次に、ACK が無効になっているパケットを許可するようにセキュリティ アプライアンスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip address
インターフェイス(ルーテッド モード)または管理アドレス(トランスペアレント モード)の IP アドレスを設定するには、 ip address コマンドを使用します。ルーテッド モードの場合は、インターフェイス コンフィギュレーション モードでこのコマンドを入力します。トランスペアレント モードの場合は、グローバル コンフィギュレーション モードでこのコマンドを入力します。IP アドレスを削除するには、このコマンドの no 形式を使用します。このコマンドはこの他、フェールオーバーのスタンバイ アドレスを設定します。
ip address ip_address [ mask ] [ standby ip_address ]
構文の説明
(任意)IP アドレスのサブネット マスク。マスクを設定しない場合、セキュリティ アプライアンスでは IP アドレス クラスのデフォルト マスクが使用されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ルーテッド モードの場合、このコマンドは、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
シングル コンテキスト ルーテッド ファイアウォール モードでは、各インターフェイス アドレスはそれぞれ固有のサブネットに存在する必要があります。マルチ コンテキスト モードでは、このインターフェイスが共有インターフェイスにある場合、各 IP アドレスはそれぞれ固有であるものの、同じサブネットに存在する必要があります。インターフェイスが固有のものである場合、この IP アドレスを必要に応じて他のコンテキストで使用できます。
トランスペアレント ファイアウォールは、IP ルーティングに参加しません。セキュリティ アプライアンスに必要な唯一の IP コンフィギュレーションは、管理 IP アドレスを設定することです。このアドレスが必要になるのは、セキュリティ アプライアンスがシステム メッセージや AAA サーバとの通信などセキュリティ アプライアンスで発信されるトラフィックの送信元アドレスとしてこのアドレスを使用するためです。このアドレスは、リモート管理アクセスにも使用できます。このアドレスは、上流のルータおよび下流のルータと同じサブネットに存在する必要があります。マルチ コンテキスト モードの場合、各コンテキスト内の管理 IP アドレスを設定します。
例
次に、2 つのインターフェイスの IP アドレスおよびスタンバイ アドレスを設定する例を示します。
次に、トランスペアレント ファイアウォールの管理アドレスおよびスタンバイ アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip address dhcp
DHCP を使用してインターフェイスの IP アドレスを取得するには、インターフェイス コンフィギュレーション モードで ip address dhcp コマンドを使用します。このインターフェイスの DHCP クライアントをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、グローバル コンフィギュレーション コマンドからインターフェイス コンフィギュレーション モード コマンドに変更されました。このコマンドは、外部インターフェイスだけでなく、任意のインターフェイスもイネーブルにできます。 |
使用上のガイドライン
DHCP リースをリセットし、新規リースを要求するには、このコマンドを再入力します。
ip address dhcp コマンドを入力する前に、 no shutdown コマンドを使用してインターフェイスをイネーブルにしなかった場合、DHCP 要求が送信されないことがあります。
(注) セキュリティ アプライアンスは、タイムアウトが 32 秒未満のリースを拒否します。
例
次に、gigabitethernet0/1 インターフェイスで DHCP をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip address pppoe
PPPoE をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip address pppoe コマンドを使用します。PPPoE をディセーブルにするには、このコマンドの no 形式を使用します。
ip address [ ip_address [ mask ]] p ppoe [ setroute ]
no ip address [ ip_address [ mask ]] p ppoe
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
PPPoE は、イーサネットと PPP という広く受け入れられている 2 つの標準を結合して、IP アドレスをクライアント システムに割り当てる認証方式を提供します。ISP は、既存のリモート アクセス インフラストラクチャを使用して高速ブロードバンド アクセスをサポートするためと、顧客の使い勝手向上のために、PPPoE を配置します。
PPPoE を使用して IP アドレスを設定する前に、 vpdn コマンドでユーザ名、パスワード、および認証プロトコルを設定します。複数のインターフェイスでこのコマンドをイネーブルにした場合(たとえば、ISP へのバックアップ リンク用)は、pppoe client vpdn group コマンドを使用して、必要に応じて各インターフェイスをそれぞれ異なる VPDN グループに割り当てることができます。
最大伝送単位(MTU)サイズは、自動的に 1492 バイトに設定されます。これは、イーサネット フレーム内で PPPoE 伝送を許可する正しい値です。
PPPoE セッションをリセットして再起動するには、このコマンドを再入力します。
このコマンドは、 ip address コマンドまたは ip address dhcp コマンドと同時には設定できません。
例
次に、GigabitEthernet 0/1 インターフェイスで PPPoE をイネーブルにする例を示します。
次に、PPPoE インターフェイスの IP アドレスを手動で設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip-address-privacy
IP アドレスのプライバシーをイネーブルにするには、パラメータ コンフィギュレーション モードで ip-address-privacy コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP を経由する IP アドレスのプライバシーをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip audit attack
攻撃シグニチャに一致するパケットに対してデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit attack コマンドを使用します。デフォルト アクションを復元(して接続をリセット)するには、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。
ip audit attack [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次に、攻撃シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルト アクションを設定する例を示します。内部インターフェイスの監査ポリシーはアラームだけを生成するようにこのデフォルトを上書きしますが、外部インターフェイスの監査ポリシーは ip audit attack コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit info
情報シグニチャに一致するパケットに対してデフォルト アクションを設定するには、グローバル コンフィギュレーション モードで ip audit info コマンドを使用します。デフォルト アクションを復元(してアラームを生成)するには、このコマンドの no 形式を使用します。アクションは複数指定することも、まったく指定しないこともできます。
ip audit info [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
(任意)一連のデフォルト アクションを定義することを指定します。このキーワードの後に何もアクションを指定しない場合、セキュリティ アプライアンスはアクションを実行しません。 action キーワードを入力しない場合、セキュリティ アプライアンスではキーワードが入力されたものと見なして、 action キーワードをコンフィギュレーションに記述します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドで設定するアクションは、 ip audit name コマンドを使用して監査ポリシーを設定すると上書きできます。 ip audit name コマンドでアクションを指定しない場合は、このコマンドで設定するアクションが使用されます。
例
次に、情報シグニチャに一致するパケットに対してアラームを生成し、リセットするデフォルト アクションを設定する例を示します。内部インターフェイスの監査ポリシーはアラームを生成し、ドロップするようにこのデフォルトを上書きしますが、外部インターフェイスの監査ポリシーは ip audit info コマンドで設定されたデフォルト設定を使用します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit interface
監査ポリシーをインターフェイスに割り当てるには、グローバル コンフィギュレーション モードで ip audit interface コマンドを使用します。インターフェイスからポリシーを削除するには、このコマンドの no 形式を使用します。
ip audit interface interface_name policy_name
no ip audit interface interface_name policy_name
構文の説明
ip audit name コマンドで追加したポリシーの名前。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、監査ポリシーを内部インターフェイスおよび外部インターフェイスに適用する例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip audit name
パケットが定義済みの攻撃シグニチャまたは情報シグニチャに一致したときに実行するアクションを識別する名前付き監査ポリシーを作成するには、グローバル コンフィギュレーション モードで ip audit name コマンドを使用します。シグニチャは、既知の攻撃パターンに一致するアクティビティです。たとえば、DoS 攻撃に一致するシグニチャがあります。ポリシーを削除するには、このコマンドの no 形式を使用します。
ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
no ip audit name name { info | attack } [ action [ alarm ] [ drop ] [ reset ]]
構文の説明
デフォルト
ip audit attack コマンドおよび ip audit info コマンドを使用してデフォルト アクションを変更しなかった場合、攻撃シグニチャおよび情報シグニチャのデフォルト アクションはアラームを生成することです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ポリシーを適用するには、 ip audit interface コマンドを使用して、そのポリシーをインターフェイスに割り当てます。各インターフェイスに info ポリシーおよび attack ポリシーを割り当てることができます。
シグニチャのリストについては、 ip audit signature コマンドを参照してください。
トラフィックがシグニチャに一致し、そのトラフィックに対してアクションを実行する場合は、 shun コマンドを使用して、問題のホストからの新規接続を拒否し、既存の接続からのパケットの受信を禁止します。
例
次に、内部インターフェイスには攻撃シグニチャおよび情報シグニチャに関するアラームを生成する監査ポリシーを設定し、外部インターフェイスには攻撃に備えて接続をリセットする監査ポリシーを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip audit signature
監査ポリシーに対してシグニチャをディセーブルにするには、グローバル コンフィギュレーション モードで ip audit signature コマンドを使用します。シグニチャを再びイネーブルにするには、このコマンドの no 形式を使用します。正規のトラフィックが頻繁にシグニチャに一致する場合には、シグニチャをディセーブルにしてみてください。リスクが伴うことを承知でシグニチャをディセーブルにすると、多数のアラームを回避できます。
ip audit signature signature_number disable
no ip audit signature signature_number
構文の説明
ディセーブルにするシグニチャ番号を指定します。サポートされているシグニチャのリストについては、 表 16-1 を参照してください。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
表 16-1 に、サポートされているシグニチャおよびメッセージ番号の一覧を示します。
例
次に、シグニチャ 6100 をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
パケットが攻撃シグニチャまたは情報シグニチャに一致した場合に実行するアクションを指定する、名前付き監査ポリシーを作成します。 |
|
ip-comp
LZS IP 圧縮をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-comp enable コマンドを使用します。IP 圧縮をディセーブルにするには、 ip-comp disable コマンドを使用します。
実行コンフィギュレーションから ip-comp 属性を削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーの値を継承できます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
データ圧縮をイネーブルにすると、モデムで接続するリモート ダイヤルイン ユーザのデータ伝送レートが向上する場合があります。
例
次に、「FirstGroup」というグループ ポリシーの IP 圧縮をイネーブルにする例を示します。
ip local pool
VPN リモート アクセス トンネルに使用される IP アドレス プールを設定するには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。
ip local pool poolname first-address--last-address [ mask mask ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPN クライアントに割り当てられた IP アドレスが標準以外のネットワークに属しているときには、マスク値を指定する必要があります。デフォルト マスクを使用した場合には、データが誤ってルーティングされることがあります。典型的な例が、IP ローカル プールに 10.10.10.0/255.255.255.0 アドレスが含まれている場合で、これはデフォルトではクラス A ネットワークです。この結果、VPN クライアントが異なるインターフェイス経由で 10 ネットワーク内の別のサブネットにアクセスする必要がある場合には、ある種のルーティング問題が発生することがあります。たとえば、アドレス 10.10.100.1/255.255.255.0 のプリンタがインターフェイス 2 を介して使用できるようになっているものの、10.10.10.0 ネットワークが VPN トンネルを経由するためインターフェイス 1 で使用できるようになっている場合、VPN クライアントはプリンタ宛てのデータのルーティング先を正確に把握できなくなります。10.10.10.0 と 10.10.100.0 のサブネットは両方とも、10.0.0.0 クラス A ネットワークに分類されるため、プリンタ データが VPN トンネル経由で送信される可能性があります。
例
次に、firstpool という名前で IP アドレス プールを設定する例を示します。開始アドレスは 10.20.30.40 で、最終アドレスは 10.20.30.50 です。ネットワーク マスクは 255.255.255.0 です。
関連コマンド
|
|
|
|---|---|
IP プール コンフィギュレーションを表示します。特定の IP アドレス プールを指定するには、その名前をコマンドに含めます。 |
ip-phone-bypass
IP Phone Bypass をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ip-phone-bypass enable コマンドを使用します。IP Phone Bypass をディセーブルにするには、 ip-phone-bypass disable コマンドを使用します。実行コンフィギュレーションから IP phone Bypass 属性を削除するには、このコマンドの no 形式を使用します。このオプションにより、別のグループ ポリシーから IP Phone Bypass の値を継承できます。
IP Phone Bypass を使用すると、ハードウェア クライアントの背後にある IP フォンが、ユーザ認証プロセスなしで接続できます。イネーブルの場合、セキュア ユニット認証は有効のままになります。
ip-phone-bypass { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、IP Phone Bypass をイネーブルにする例を示します (FirstGroup というグループ ポリシーに対して)。
関連コマンド
|
|
|
|---|---|
ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
ips
ASA 5500 シリーズ適応型セキュリティ アプライアンスは、AIP SSM をサポートします。これは、プロアクティブでフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワーク ウイルスなど悪意のあるトラフィックを停止し、ネットワークに影響が及ばないようにします。インスペクションのために適応型セキュリティ アプライアンスから AIP SSM にトラフィックを迂回させるには、クラス コンフィギュレーション モードで ips コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。
ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
no ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
適応型セキュリティ アプライアンスに ips コマンドを設定する前または後に、AIP SSM にセキュリティ ポリシーを設定します。適応型セキュリティ アプライアンスから AIP SSM へのセッションを確立できるか( session コマンド)、または管理インターフェイスで SSH または Telnet を使用して直接 AIP SSM に接続できます。または、ASDM を使用する方法もあります。AIP SSM の設定の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。
ips コマンドを設定するには、先に class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。
AIP SSM は、適応型セキュリティ アプライアンスとは別のアプリケーションを実行します。ただし、アプリケーションは適応型セキュリティ アプライアンスのトラフィック フローに統合されています。AIP SSM には、管理インターフェイス以外に外部インターフェイス自体は含まれていません。適応型セキュリティ アプライアンスでトラフィック クラスに対して ips コマンドを適用すると、トラフィックは次のように適応型セキュリティ アプライアンスおよび AIP SSM を経由します。
1. トラフィックが適応型セキュリティ アプライアンスに入ります。
3. トラフィックがバックプレーン経由で AIP SSM に送信されます( inline キーワードを使用します。トラフィックのコピーを AIP SSM に送信するだけの場合の詳細については、 promiscuous キーワードを参照してください)。
4. AIP SSM が、セキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。
5. 有効なトラフィックがバックプレーン経由で適応型セキュリティ アプライアンスに返送されます。AIP SSM が、セキュリティ ポリシーに従ってトラフィックをブロックすることがあり、そのトラフィックは渡されません。
例
次に、無差別モードですべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生した場合にはすべての IP トラフィックをブロックする例を示します。
次に、インライン モードで 10.1.1.0 ネットワークおよび 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを AIP SSM に迂回させ、何らかの理由で AIP SSM カードで障害が発生してもすべてのトラフィックを許可する例を示します。my-ips-class トラフィックにはセンサー 1 が使用され、my-ips-class2 トラフィックにはセンサー 2 が使用されます。
関連コマンド
|
|
|
|---|---|
ipsec-udp
IPSec over UDP をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで ipsec-udp enable コマンドを使用します。IPSec over UDP をディセーブルにするには、 ipsec-udp disable コマンドを使用します。実行コンフィギュレーションから IPSec over UDP 属性を削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーから IPSec over UDP の値を継承できるようになります。
IPSec through NAT とも呼ばれる IPSec over UDP を使用すると、Cisco VPN Client またはハードウェア クライアントは NAT を実行しているセキュリティ アプライアンスに UDP 経由で接続できます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPSec over UDP を使用するには、 ipsec-udp-port コマンドも設定する必要があります。
さらに、IPSec over UDP を使用するように Cisco VPN Client を設定する必要があります(デフォルトで使用するように設定されています)。VPN 3002 では、IPSec over UDP を使用するためのコンフィギュレーションが必要ありません。
IPSec over UDP は独自仕様で、リモート アクセス接続にだけ適用され、モード コンフィギュレーションが必要です。つまり、セキュリティ アプライアンスは SA のネゴシエーション中にクライアントとコンフィギュレーション パラメータを交換します。
例
次に、FirstGroup というグループ ポリシーの IPSec over UDP を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipsec-udp-port
IPSec over UDP の UDP ポート番号を設定するには、グループ ポリシー コンフィギュレーション モードで ipsec-udp-port コマンドを使用します。UDP ポートをディセーブルにするには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーから IPSec over UDP ポートの値を継承できるようになります。
IPSec ネゴシエーションでは、 セキュリティ アプライアンスは設定されたポートで待ち受け、他のフィルタ ルールによって UDP トラフィックがドロップされた場合でも、そのポート宛てに UDP トラフィックを転送します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能をイネーブルにすると、複数のグループ ポリシーを設定し、各グループ ポリシーでそれぞれ別のポート番号を使用できます。
例
次に、FirstGroup というグループ ポリシーの IPSec UDP ポートをポート 4025 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
Cisco VPN Client またはハードウェア クライアントは、NAT を実行しているセキュリティ アプライアンスに UDP 経由で接続できるようにします。 |
ip verify reverse-path
ユニキャスト RPF をイネーブルにするには、グローバル コンフィギュレーション モードで ip verify reverse-path コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。Unicast RPF は、ルーティング テーブルに従い、すべてのパケットが正しい発信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。
ip verify reverse-path interface interface_name
no ip verify reverse-path interface interface_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常、セキュリティ アプライアンスは、パケットの転送先を判定するときに宛先アドレスだけを調べます。Unicast RPF は、送信元アドレスも調べるようにセキュリティ アプライアンスに指示します。そのため、逆経路転送(Reverse Path Forwarding)と呼ばれます。セキュリティ アプライアンスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをセキュリティ アプライアンスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、セキュリティ アプライアンスはデフォルト ルートを使用して Unicast RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、セキュリティ アプライアンスはデフォルト ルートを使用して、外部インターフェイスを発信元インターフェイスとして正しく識別します。
ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、セキュリティ アプライアンスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、セキュリティ アプライアンスはパケットをドロップします。
• ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
• UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。
例
次に、外部インターフェイスでユニキャスト RPF をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 access-list
IPv6 アクセス リストを設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リストには、セキュリティ アプライアンスが通過を許可またはブロックするトラフィックを定義します。
ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]
no ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]
ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]
no ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 access-list コマンドを使用すると、IPv6 アドレスにポートまたはプロトコルへのアクセスを許可するのか拒否するのかを指定できます。各コマンドは ACE と呼ばれます。同じアクセス リスト名を持つ 1 つまたは複数の ACE はアクセス リストと呼ばれます。 access-group コマンドを使用して、インターフェイスにアクセス リストを適用します。
セキュリティ アプライアンスは、アクセス リストを使用して明示的にアクセスを許可しない限り、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部インターフェイスから外部インターフェイスへのパケットは、明示的にアクセスを拒否しない限り、デフォルトですべて許可されます。
ipv6 access-list コマンドは、IPv6 固有である点を除いて、 access-list コマンドに似ています。アクセス リストの詳細については、 access-list extended コマンドを参照してください。
ipv6 access-list icmp コマンドは、セキュリティ アプライアンスを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および終端が許可される ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。
例
次に、ホストが TCP を使用して 3001:1::203:A0FF:FED6:162D サーバにアクセスできるようにする例を示します。
次の例では、eq とポートを使用して、FTP へのアクセスだけを拒否します。
次の例では、lt を使用して、2025 より小さいすべてのポートへのアクセスを許可します。これにより、予約済みポート(1 ~ 1024)へのアクセスが許可されます。
関連コマンド
|
|
|
|---|---|
ipv6 access-list webtype
クライアントレス SSL VPN に対するフィルタリングをサポートする設定に追加できる IPv6 アクセス リストを作成するには、グローバル コンフィギュレーション モードで access-list webtype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用し、構文ストリング全体をコンフィギュレーションにあるとおりに指定します。
ipv6 access-list id webtype { deny | permit } url [ url_string | any ]
no ipv6 access-list id webtype { deny | permit } url [ url_string | any ]
構文の説明
デフォルト
• 特にアクセスを許可しない限り、適応型セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについてシステム ログ メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
次のワイルドカード文字を使用すると、Webtype アクセス リスト エントリに複数のワイルドカードを定義できます。
• 0 個以上の任意の数の文字に一致させるには、アスタリスク「*」を入力します。
例
この項の例では、IPv6 Webtype アクセス リストでのワイルドカードの使用方法を示します。
• 次に、http://www.cisco.com/ や http://wwz.caco.com/ などの URL に一致させる例を示します。
• 次に、http://www.cisco.com や ftp://wwz.carrier.com などの URL に一致させる例を示します。
• 次の例は、http://www.cisco.com:80 や https://www.cisco.com:81 などの URL に一致します。
上記の例に示した range 演算子「[]」は、文字 0 または 1 が出現可能であることを指定します。
• 次に、http://www.google.com や http://www.boogie.com などの URL に一致させる例を示します。
上記の例に示した range 演算子「[]」は、a ~ z の範囲内の任意の 1 文字が出現可能であることを指定します。
• 次の例は、http://www.cisco.com/anything/crazy/url/ddtscgiz などの URL に一致します。
(注) 任意の http URL に一致させるには、http://* を入力するというこれまでの方法ではなく、http://*/* を入力する必要があります。
関連コマンド
|
|
|
|---|---|
アクセス リストをコンフィギュレーションに追加し、適応型セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
ipv6 address
IPv6 をイネーブルにし、インターフェイス上で IPv6 アドレスを設定するには、インターフェイス コンフィギュレーション モードで ipv6 address コマンドを使用します。IPv6 アドレスを削除するには、このコマンドの no 形式を使用します。
ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }
no ipv6 address { autoconfig | ipv6-prefix / prefix-length [ eui-64 ] | ipv6-address link-local }
構文の説明
アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス(IPv6 アドレスのネットワーク部分)を構成しているかを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスに IPv6 アドレスを設定すると、そのインターフェイスで IPv6 がイネーブルになります。IPv6 アドレスを指定した後で ipv6 enable コマンドを使用する必要はありません。
ipv6 address autoconfig コマンドは、ステートレス自動設定を使用してインターフェイスで IPv6 アドレスの自動設定をイネーブルにするために使用されます。アドレスは、ルータ アドバタイズメント メッセージで受信したプレフィックスに基づいて設定されます。リンクローカル アドレスが設定されていなければ、アドレスはこのインターフェイス用に自動的に生成されます。別のホストがリンクローカル アドレスを使用している場合には、エラー メッセージが表示されます。
ipv6 address eui-64 コマンドは、インターフェイスの IPv6 アドレスを設定するために使用されます。任意の eui-64 を指定した場合、アドレスの下位 64 ビットに EUI-64 インターフェイス ID が使用されます。 prefix-length 引数に指定されている値が 64 ビットを超えている場合は、プレフィックス ビットがインターフェイス ID よりも優先されます。指定したアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。
Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク層(MAC)アドレスから導出されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。
ipv6 address link-local コマンドは、インターフェイスの IPv6 リンクローカル アドレスを設定するために使用されます。このコマンドに指定された ipv6-address は、インターフェイス用に自動的に生成されるリンクローカル アドレスを上書きします。リンクローカル アドレスは、リンクローカル プレフィックス FE80::/64 と修正 EUI-64 形式のインターフェイス ID で形成されます。MAC アドレスが 00E0.B601.3B7A のインターフェイスの場合、リンクローカル アドレスは FE80::2E0:B6FF:FE01:3B7A になります。指定したアドレスを別のホストが使用している場合は、エラー メッセージが表示されます。
例
次に、選択したインターフェイスのグローバル アドレスとして 3FFE:C00:0:1::576/64 を割り当てる例を示します。
次に、選択したインターフェイスに自動的に IPv6 アドレスを割り当てる例を示します。
次の例では、選択したインターフェイスに IPv6 アドレス 3FFE:C00:0:1::/64 を割り当て、アドバイザーの下位 64 ビットに EUI-64 インターフェイス ID を指定します。
次に、選択したインターフェイスのリンクレベル アドレスとして FE80::260:3EFF:FE11:6670 を割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 enable
明示的な IPv6 アドレスが設定されていないインターフェイス上で IPv6 処理をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 enable コマンドを使用します。明示的な IPv6 アドレスでまだ設定されていないインターフェイスで IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 enable コマンドは、インターフェイスに IPv6 リンクローカル ユニキャスト アドレスを自動的に設定し、さらにインターフェイスを IPv6 処理用にイネーブルにします。
明示的な IPv6 アドレスで設定されているインターフェイスで no ipv6 enable コマンドを実行しても、IPv6 処理はディセーブルになりません。
例
次に、選択したインターフェイスで IPv6 処理をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 enforce-eui64
ローカル リンク上の IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用するには、グローバル コンフィギュレーション モードで ipv6 enforce-eui64 コマンドを使用します。Modified EUI-64 アドレス形式の適用をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
Modified EUI-64 アドレス形式の適用をイネーブルにするインターフェイスの名前を nameif コマンドで指定されているとおりに指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドがインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。
アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。
48 ビット リンク層(MAC)アドレスから Modified EUI-64 形式のインターフェイス ID を取得するには、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)との間に 16 進数 FFFE を挿入します。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。
例
次に、内部インターフェイスで受信した IPv6 アドレスに対して Modified EUI-64 形式の適用をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 icmp
インターフェイスの ICMP アクセス ルールを設定するには、グローバル コンフィギュレーション モードで ipv6 icmp コマンドを使用します。ICMP アクセス ルールを削除するには、このコマンドの no 形式を使用します。
ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
no ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] if-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 の ICMP は、IPv4 の ICMP と同じ働きをします。ICMPv6 によって、ICMP 宛先到達不能メッセージなどのエラー メッセージや、ICMP エコー要求および応答メッセージのような情報メッセージが生成されます。さらに、IPv6 の ICMP パケットは IPv6 ネイバー探索プロセスおよびパス MTU ディスカバリに使用されます。
インターフェイスに対して定義されている ICMP ルールがない場合、すべての IPv6 ICMP トラフィックが許可されます。
インターフェイスに対して定義されている ICMP ルールが複数ある場合は、最初に一致したルールから順に処理され、その後暗黙のすべて拒否ルールが続きます。たとえば、最初に一致したルールが許可ルールである場合、ICMP パケットは処理されます。最初に一致したルールが拒否ルールである場合、または ICMP パケットがそのインターフェイスのどのルールにも一致しなかった場合、セキュリティ アプライアンスは ICMP パケットを廃棄し、syslog メッセージを生成します。
そのため、ICMP ルールを入力する順序が重要になります。特定のネットワークからの ICMP トラフィックをすべて拒否するルールを入力し、その後にそのネットワーク上の特定のホストからの ICMP トラフィックを許可するルールが続く場合、ホストのルールはいっさい処理されません。ICMP トラフィックは、ネットワークのルールによってブロックされます。ただし、ホストのルールを先に入力し、その後にネットワークのルールを続けた場合、そのホストからの ICMP トラフィックは許可され、そのネットワークからのそれ以外の ICMP トラフィックはブロックされます。
ipv6 icmp コマンドは、セキュリティ アプライアンス インターフェイスで終了する ICMP トラフィックのアクセス ルールを設定します。パススルー ICMP トラフィックのアクセス ルールを設定するには、 ipv6 access-list コマンドを参照してください。
例
次に、外部インターフェイスですべての ping 要求を拒否し、(パス MTU ディスカバリをサポートするため)すべての Packet Too Big メッセージを許可する例を示します。
次に、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 local pool
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プールを設定するには、グローバル コンフィギュレーション モードで ipv6 local pool コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
no ipv6 local pool pool_name ipv6_address/prefix_length number_of_addresses
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 ローカル プールを割り当てるには、トンネル グループで ipv6-local-pool コマンドを使用するか、またはグループ ポリシーで ipv6-address-pools (末尾の「s」に注意)コマンドを使用します。グループ ポリシーの ipv6-address-pools 設定は、トンネル グループの ipv6-address-pool 設定を上書きします。
例
次に、設定一般コンフィギュレーション モードを開始し、アドレスをリモート クライアントに割り当てるために使用される IPv6 アドレス プールを firstipv6pool という名前で設定する例を示します。
hostname(config)# ipv6 local pool firstipv6pool 2001:DB8::1001/32 100
関連コマンド
|
|
|
|---|---|
ipv6 nd dad attempts
重複アドレス検出時にインターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd dad attempts コマンドを使用します。送信する重複アドレス検出メッセージの数をデフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd dad [ attempts value ]
構文の説明
0 ~ 600 までの数字。0 を入力すると、指定したインターフェイスでの重複アドレス検出がディセーブルになります。1 を入力すると、後続の送信なしの単一の送信が設定されます。デフォルト値は 1 メッセージです。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。ネイバー送信要求メッセージの送信頻度を設定するには、 ipv6 nd ns-interval コマンドを使用します。
重複アドレス検出は、管理上ダウンしているインターフェイスでは停止します。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。
インターフェイスが管理上アップ状態に戻ると、そのインターフェイスで重複アドレス検出が自動的に再起動されます。管理上アップ状態に戻っているインターフェイスでは、インターフェイス上のすべてのユニキャスト IPv6 アドレスを対象に重複アドレス検出が再起動されます。
(注) インターフェイスのリンクローカル アドレスで重複アドレス検出が実行されている間、他の IPv6 アドレスの状態は仮承諾に設定されたままとなります。リンクローカル アドレスで重複アドレス検出が完了すると、残りの IPv6 アドレスで重複アドレス検出が実行されます。
重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。
重複アドレスがインターフェイスのグローバル アドレスである場合、そのアドレスは使用されず、次のようなエラー メッセージが発行されます。
アドレスの状態が DUPLICATE に設定されている間、重複アドレスに関連付けられたコンフィギュレーション コマンドはすべて設定済みのままとなります。
インターフェイスのリンクローカル アドレスが変更された場合、新しいリンクローカル アドレスで重複アドレス検出が実行され、インターフェイスに関連付けられた他のすべての IPv6 アドレスが再生成されます(重複アドレス検出は新規のリンクローカル アドレスでのみ実行されます)。
例
次に、重複アドレス検出がインターフェイスの仮承諾のユニキャスト IPv6 アドレスで実行された場合に、5 つ連続して送信されるネイバー送信要求メッセージを設定する例を示します。
次に、選択したインターフェイスで重複アドレス検出をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ns-interval
インターフェイスで IPv6 ネイバー送信要求メッセージが再送信される時間間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ns-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ns-interval [ value ]
構文の説明
IPv6 ネイバー送信要求メッセージが送信される時間間隔(ミリ秒単位)。有効な値の範囲は、1000 ~ 3600000 ミリ秒です。デフォルト値は 1000 ミリ秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、GigabitEthernet 0/0 の IPv6 ネイバー送信要求送信間隔を 9000 ミリ秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd prefix
IPv6 ルータ アドバタイズメントにどの IPv6 プレフィックスを含めるかを設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd prefix コマンドを使用します。プレフィックスを削除するには、このコマンドの no 形式を使用します。
ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
no ipv6 nd prefix ipv6-prefix / prefix-length | default [[ valid-lifetime preferred-lifetime ] | [ at valid-date preferred-date ] | infinite | no-advertise | off-link | no-autoconfig ]
構文の説明
デフォルト
IPv6 ルータ アドバタイズメントを発信するインターフェイスに設定されているすべてのプレフィックスが、有効ライフタイム 2592000 秒(30 日)および優先ライフタイム 604800 秒(7 日)でアドバタイズされます。どちらのライフタイムにも「onlink」フラグと「autoconfig」フラグが設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、プレフィックスをアドバタイズするかどうかなど、プレフィックスごとに個々のパラメータを制御できます。
デフォルトでは、 ipv6 address コマンドを使用してインターフェイスにアドレスとして設定されるプレフィックスは、ルータ アドバタイズメントでアドバタイズされます。 ipv6 nd prefix コマンドを使用してアドバタイズメント用にプレフィックスを設定した場合は、そのプレフィックスだけがアドバタイズされます。
default キーワードを使用すると、すべてのプレフィックスのデフォルト パラメータを設定できます。
プレフィックスの有効期限を指定するための日付を設定できます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。有効期限に達すると、プレフィックスはアドバタイズされなくなります。
onlink が「on」(デフォルト)である場合、指定されたプレフィックスがそのリンクに割り当てられます。指定されたプレフィックスを含むそのようなアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。
autoconfig が「on」(デフォルト)である場合、ローカル リンク上のホストに対して、指定されたプレフィックスが IPv6 自動設定に使用できることを示します。
例
次に、有効ライフタイムを 1000 秒、優先ライフタイムを 900 秒にして、指定したインターフェイスから送信されるルータ アドバタイズメントに IPv6 プレフィックス 2001:200::/35 を含める例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-interval
インターフェイス上で IPv6 ルータ アドバタイズメントの送信間隔を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-interval コマンドを使用します。デフォルトの間隔に戻すには、このコマンドの no 形式を使用します。
ipv6 nd ra-interval [ msec ] value
no ipv6 nd ra-interval [[ msec ] value ]
構文の説明
(任意)指定される値がミリ秒単位であることを示します。このキーワードが指定されていない場合、指定される値は秒単位となります。 |
|
IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は、3 ~ 1800 秒であるか、 msec キーワードが指定されている場合には 500 ~ 1800000 ミリ秒です。デフォルトは 200 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 nd ra-lifetime コマンドを使用してセキュリティ アプライアンスがデフォルト ルータとして設定されている場合、送信間隔は IPv6 ルータ アドバタイズメントのライフタイム以下にする必要があります。他の IPv6 ノードとの同期を防止するには、実際に使用される値を指定値の 20 % 以内でランダムに調整します。
例
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントの間隔を 201 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd ra-lifetime
インターフェイス上で IPv6 ルータ アドバタイズメントに「ルータ ライフタイム」値を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd ra-lifetime コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd ra-lifetime [ seconds ]
構文の説明
セキュリティ アプライアンスがこのインターフェイスでデフォルト ルータであることの有効性。有効な値の範囲は、0 ~ 9000 秒です。デフォルトは 1,800 秒です。0 は、セキュリティ アプライアンスを、選択したインターフェイス上のデフォルト ルータと見なしてはならないことを示します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
「ルータ ライフタイム」値は、インターフェイスから送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。値は、セキュリティ アプライアンスがこのインターフェイス上でデフォルト ルータとして有効であることを示します。
値をゼロ以外の値に設定すると、セキュリティ アプライアンスがこのインターフェイス上でデフォルト ルータであると見なされます。「ルータ ライフタイム」値をゼロ以外の値にする場合、ルータ アドバタイズメント間隔を下回る値にはしないでください。
値を 0 に設定すると、セキュリティ アプライアンスがこのインターフェイス上でデフォルト ルータであると見なされません。
例
次に、選択したインターフェイス上で IPv6 ルータ アドバタイズメントのライフタイムを 1801 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
インターフェイスで IPv6 Router Advertisement(RA; ルータ アドバタイズメント)メッセージが送信される時間間隔を設定します。 |
|
ipv6 nd reachable-time
到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を設定するには、インターフェイス コンフィギュレーション モードで ipv6 nd reachable-time コマンドを使用します。デフォルトの時間に戻すには、このコマンドの no 形式を使用します。
no ipv6 nd reachable-time [ value ]
構文の説明
リモート IPv6 ノードが到達可能であると見なされる時間(ミリ秒単位)。有効な値の範囲は、0 ~ 3600000 ミリ秒です。デフォルト値は 0 です value に 0 を使用すると、到達可能時間が未定のまま送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間を設定すると、使用不可能なネイバーの検出がイネーブルになります。設定時間を短くすると、使用不可能なネイバーをさらに迅速に検出できます。ただし、時間を短くすると、すべての IPv6 ネットワーク デバイスで IPv6 ネットワーク帯域幅および処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
このコマンドが 0 に設定されている際の実際の値を含め、セキュリティ アプライアンスで使用されている到達可能時間を参照するには、 show ipv6 interface コマンドを使用して、使用されている ND 到達可能時間など IPv6 インターフェイスに関する情報を表示します。
例
次に、選択したインターフェイスで IPv6 到達可能時間を 1700000 ミリ秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 nd suppress-ra
LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を抑制するには、インターフェイス コンフィギュレーション モードで ipv6 nd suppress-ra コマンドを使用します。LAN インターフェイスで IPv6 ルータ アドバタイズメントの送信を再びイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
IPv6 ユニキャスト ルーティングがイネーブルになっている場合、ルータ アドバタイズメントは LAN インターフェイスで自動的に送信されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
LAN 以外のインターフェイス タイプ(たとえばシリアル インターフェイスやトンネル インターフェイス)で IPv6 ルータ アドバタイズメントの送信をイネーブルにするには、 no ipv6 nd suppress-ra コマンドを使用します。
例
次に、選択したインターフェイスで IPv6 ルータ アドバタイズメントを抑制する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 neighbor
IPv6 ネイバー探索キャッシュにスタティック エントリを設定するには、グローバル コンフィギュレーション モードで ipv6 neighbor コマンドを使用します。ネイバー探索キャッシュからスタティック エントリを削除するには、このコマンドの no 形式を使用します。
ipv6 neighbor ipv6_address if_name mac_address
no ipv6 neighbor ipv6_address if_name [ mac_address ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ipv6 neighbor コマンドは、 arp コマンドに似ています。IPv6 ネイバー探索プロセスによる学習を通して、指定された IPv6 アドレスのエントリがネイバー探索キャッシュにすでに存在する場合、エントリは自動的にスタティック エントリに変換されます。これらのエントリは、 copy コマンドを使用してコンフィギュレーションを格納すると、コンフィギュレーションに格納されます。
IPv6 ネイバー探索キャッシュのスタティック エントリを表示するには、 show ipv6 neighbor コマンドを使用します。
clear ipv6 neighbors コマンドは、スタティック エントリを除いて IPv6 ネイバー探索キャッシュのすべてのエントリを削除します。 no ipv6 neighbor コマンドは、ネイバー探索キャッシュから指定のスタティック エントリを削除します。ダイナミック エントリ(IPv6 ネイバー探索プロセスから学習したエントリ)はキャッシュから削除されません。 no ipv6 enable コマンドを使用してインターフェイスで IPv6 をディセーブルにすると、スタティック エントリを除いて、そのインターフェイス用に設定されたすべての IPv6 ネイバー探索キャッシュ エントリが削除されます(エントリの状態が INCMP [Incomplete] に変更されます)。
例
次に、IPv6 アドレスを 3001:1::45A、MAC アドレスを 0002.7D1A.9472 にして、内部ホスト用のスタティック エントリをネイバー探索キャッシュに追加する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 route
IPv6 ルートを IPv6 ルーティング テーブルに追加するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。IPv6 デフォルト ルートを削除するには、このコマンドの no 形式を使用します。
ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
no ipv6 route if_name ipv6-prefix / prefix-length ipv6-address [ administrative-distance | tunneled ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 ルーティング テーブルの内容を表示するには、 show ipv6 route コマンドを使用します。
トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、セキュリティ アプライアンスに着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。
tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。
• トンネル ルートの出力インターフェイスで、ユニキャスト RPF( ip verify reverse-path )をイネーブルにしないでください。トンネル ルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。
• トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションでエラーが発生します。
• VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、トンネル ルートでは使用しないでください。これらのインスペクション エンジンは、トンネル ルートを無視します。
tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。
例
次に、アドミニストレーティブ ディスタンスを 110 にして、ネットワーク 7fff::0/32 のパケットを 3FFE:1100:0:CC00::1 にある内部インターフェイス上のネットワーキング デバイスにルーティングする例を示します。
関連コマンド
|
|
|
|---|---|
IPv6 ルーティング テーブル アップデートおよびルート キャッシュ アップデートのデバッグ メッセージを表示します。 |
|
ipv6-address-pool(トンネル グループ一般属性モード)
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定するには、トンネル グループ一般属性コンフィギュレーション モードで ipv6-address-pool コマンドを使用します。IPv6 アドレス プールを削除するには、このコマンドの no 形式を使用します。
ipv6-address-pool [( interface_name )] ipv6_address_pool1 [... ipv6_ address_pool6 ]
no ipv6-address-pool [( interface_name )] ipv6_ address_pool1 [... ipv6_ address_pool6 ]
構文の説明
ipv6 local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
これらのコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスが指定されていない場合、コマンドは明示的に参照されていないインターフェイスすべてに対してデフォルトを指定します。
グループ ポリシーの ipv6-address-pools コマンドの IPv6 アドレス プール設定は、トンネル グループの ipv6-address-pool コマンドの IPv6 アドレス プール設定を上書きします。
プールの指定順序は重要です。セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
例
次に、設定トンネル一般コンフィギュレーション モードを開始し、IPSec リモート アクセス トンネル グループ テスト用に、アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを指定する例を示します。
関連コマンド
|
|
|
|---|---|
グループ ポリシーの IPv6 アドレス プール設定を設定します。これらの設定は、トンネル グループの IPv6 アドレス プール設定を上書きします。 |
|
ipv6-address-pools
アドレスをリモート クライアントに割り当てるための IPv6 アドレス プール リストを最大 6 つ指定するには、グループ ポリシー属性コンフィギュレーション モードで ipv6- address-pools コマンドを使用します。グループ ポリシーから属性を削除し、別のグループ ポリシー ソースからの継承をイネーブルにするには、このコマンドの no 形式を使用します。
ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
no ipv6- address-pools value ipv6_ address_pool1 [... ipv6_ address_pool6 ]
構文の説明
ipv6 local pool コマンドで設定した最大 6 つの IPv6 アドレス プールの名前を指定します。各 IPv6 アドレス プール名を区切るには、スペースを使用します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IPv6 アドレス プールを設定するには、 ipv6 local pool コマンドを使用します。
ipv6-address-pools コマンドにプールを指定する順序は重要です。セキュリティ アプライアンスでは、このコマンドでプールを指定した順序に従って、それらのプールからアドレスが割り当てられます。
ipv6- address-pools none コマンドは、この属性が DefaultGrpPolicy など他のポリシーから継承されることをディセーブルにします。 no ipv6-address-pools none コマンドは、コンフィギュレーションから ipv6--address-pools none コマンドを削除して、デフォルト値に戻します。これにより、継承が許可されます。
例
次に、設定一般コンフィギュレーション モードを開始し、アドレスをリモート クライアントに割り当てるために使用される IPv6 アドレス プールを firstipv6pool という名前で設定し、そのプールを GroupPolicy1 に関連付ける例を示します。
関連コマンド
|
|
|
|---|---|
ipv6-vpn-filter
VPN 接続に使用する ACL の名前を指定するには、グループ ポリシー モードまたはユーザ名モードで ipv6-vpn-filter コマンドを使用します。 ipv6-vpn-filter none コマンドの発行によって作成されるヌル値を含め、ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値の継承を防止するには、 ipv6-vpn-filter none コマンドを使用します。
このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 ipv6-vpn-filter コマンドを使用して、その ACL を適用します。
ipv6-vpn-filter { value IPV6-ACL-NAME | none }
構文の説明
アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クライアントレス SSL VPN は、 ipv6-vpn-filter コマンドに定義されている ACL を使用しません。
例
次に、FirstGroup というグループ ポリシーの ipv6_acl_vpn というアクセス リストを呼び出すフィルタを設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipv6-vpn-filter value ipv6_acl_vpn
関連コマンド
|
|
|
|---|---|
isakmp am-disable
アグレッシブ モードの着信接続をディセーブルにするには、グローバル コンフィギュレーション モードで isakmp am-disable コマンドを使用します。アグレッシブ モードの着信接続をイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp am-disable コマンドは、それに置き換わるものです。 |
例
次に、グローバル コンフィギュレーション モードでの入力で、アグレッシブ モードの着信接続をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
isakmp disconnect-notify
ピアへの切断通知をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp disconnect-notify コマンドを使用します。切断通知をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp disconnect-notify コマンドは、それに置き換わるものです。 |
例
次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp enable
IPSec ピアがセキュリティ アプライアンスと通信しているインターフェイスで ISAKMP ネゴシエーションをイネーブルにするには、グローバル コンフィギュレーション モードで isakmp enable コマンドを使用します。インターフェイスで ISAKMP をディセーブルにするには、このコマンドの no 形式を使用します。
no isakmp enable interface-name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、内部インターフェイス上で ISAKMP をディセーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
isakmp identity
ピアに送信されるフェーズ 2 ID を設定するには、グローバル コンフィギュレーション モードで isakmp identity コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
isakmp identity {address | hostname | key-id key-id-string | auto }
no isakmp identity {address | hostname | key-id key-id-string | auto }
構文の説明
接続タイプによって ISKMP ネゴシエーションを決定します。事前共有キーの場合は IP アドレス、証明書認証の場合は証明書 DN となります。 |
|
ISAKMP の識別情報を交換するホストの完全修飾ドメイン名を使用します(デフォルト)。この名前は、ホスト名とドメイン名で構成されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPSec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp ikev1-user-authentication
IKE 時にハイブリッド認証を設定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで isakmp ikev1-user-authentication コマンドを使用します。ハイブリッド認証をディセーブルにするには、このコマンドの no 形式を使用します。
isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }
no isakmp ikev1-user-authentication [ interface ] { none | xauth | hybrid }
構文の説明
デフォルト
デフォルトの認証方式は XAUTH、つまり拡張ユーザ認証です。デフォルトの interface は、すべてのインターフェイスです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ アプライアンス認証にデジタル証明書を使用し、リモート VPN ユーザ認証に RADIUS、TACACS+、SecurID などの別の従来の方式を使用する必要がある場合に使用します。このコマンドは、IKE のフェーズ 1 をハイブリッド認証と呼ばれる次の 2 つの手順に分けます。
1. セキュリティ アプライアンスは、標準の公開キー技術を使用して、リモート VPN ユーザに対して認証します。これにより、単方向に認証する IKE セキュリティ アソシエーションが確立されます。
2. 次に、XAUTH 交換がリモート VPN ユーザを認証します。この拡張認証では、サポートされている従来のいずれかの認証方式を使用できます。
(注) 認証タイプをハイブリッドに設定するには、事前に認証サーバを設定し、事前共有キーを作成し、トラストポイントを設定する必要があります。
任意の interface パラメータを省略すると、コマンドはすべてのインターフェイスに適用され、インターフェイスごとのコマンドが指定されていないときにはバックアップとなります。トンネル グループに指定されている isakmp ikev1-user-authentication コマンドが 2 つある場合、1 つは interface パラメータを使用し、もう 1 つは使用しません。インターフェイスを指定している方が、その特定のインターフェイスでは優先されます。
例
次に、example-group というトンネル グループの内部インターフェイスでハイブリッド XAUTH をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
isakmp ipsec-over-tcp
IPSec over TCP をイネーブルにするには、グローバル コンフィギュレーション モードで isakmp ipsec-over-tcp コマンドを使用します。IPSec over TCP をディセーブルにするには、このコマンドの no 形式を使用します。
isakmp ipsec-over-tcp [ port port1...port10 ]
no isakmp ipsec-over-tcp [ port port1...port10 ]
構文の説明
(任意)デバイスが IPSec over TCP 接続を受け入れるポートを指定します。最大 10 のポートを指定できます。ポート番号には 1 ~ 65535 の範囲の数値を指定できます。デフォルトのポート番号は 10000 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp ipsec-over-tcp コマンドは、それに置き換わるものです。 |
例
次の例では、グローバル コンフィギュレーション モードで、IPSec over TCP をポート 45 でイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp keepalive
IKE DPD を設定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで isakmp keepalive コマンドを使用します。あらゆるトンネル グループで、IKE キープアライブがデフォルトでイネーブルであり、しきい値と再試行値がデフォルト値になっています。キープアライブ パラメータをデフォルトのしきい値と再試行値でイネーブルの状態に戻すには、このコマンドの no 形式を使用します。
isakmp keepalive [ threshold seconds ] [ retry seconds ] [ disable ]
構文の説明
キープアライブ応答を受信しなかったことを受けて再試行する間隔を秒単位で指定します。指定できる範囲は 2 ~ 10 秒です。デフォルトは 2 秒です。 |
|
キープアライブ モニタリングを開始せずにピアがアイドル状態でいられる秒数を指定します。範囲は 10 ~ 3600 秒です。デフォルトは、LAN-to-LAN グループでは 10 秒、リモート アクセス グループでは 300 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この属性は、IPSec リモート アクセス タイプおよび IPSec LAN-to-LAN トンネル グループ タイプにのみ適用できます。
例
次に、設定 ipsec コンフィギュレーション モードを開始し、IP アドレスが 209.165.200.225 の IPSec LAN-to-LAN トンネル グループに対して、IKE DPD を設定し、しきい値を 15 にし、再試行間隔を 10 に指定する例を示します。
関連コマンド
|
|
|
|---|---|
isakmp nat-traversal
NAT トラバーサルをグローバルにイネーブルにするには、ISAKMP がグローバル コンフィギュレーション モードでイネーブルになっていることを確認し( isakmp enable コマンドでイネーブルにできます)、次に isakmp nat-traversal コマンドを使用します。NAT トラバーサルをイネーブルにした場合、このコマンドの no 形式でディセーブルにできます。
isakmp nat-traversal natkeepalive
no isakmp nat-traversal natkeepalive
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp nat-traversal コマンドは、それに置き換わるものです。 |
使用上のガイドライン
ポート アドレス変換(PAT)を含めネットワーク アドレス変換(NAT)は、IPSec が使用されているものの、IPSec パケットの NAT デバイス通過を阻害する非互換性がいくつもあるネットワークの多くで使用されています。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。
セキュリティ アプライアンスは IETF のドラフト「UDP Encapsulation of IPsec Packets」のバージョン 2 およびバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に従って NAT トラバーサルをサポートし、NAT トラバーサルはダイナミック クリプト マップとスタティック クリプト マップの両方に対応しています。
このコマンドは、セキュリティ アプライアンス上で NAT-T をグローバルにイネーブルにします。クリプト マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。
例
次の例では、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、30 秒間隔で NAT Traversal をイネーブルにします。
関連コマンド
|
|
|
|---|---|
isakmp policy authentication
IKE ポリシー内に認証方式を指定するには、グローバル コンフィギュレーション モードで isakmp policy authentication コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。ISAKMP 認証方式を削除するには、関連する clear configure コマンドを使用します。
isakmp policy priority authentication { crack | pre-share | rsa-sig }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RSA シグニチャを指定した場合、Certification Authority(CA; 認証局)から証明書を取得するように、セキュリティ アプライアンスとそのピアを設定する必要があります。事前共有キーを指定する場合は、セキュリティ アプライアンスとそのピアに、事前共有キーを別々に設定する必要があります。
例
次に、グローバル コンフィギュレーション モードを開始し、 isakmp policy authentication コマンドを使用する例を示します。この例では、使用する RSA シグニチャの認証方式を IKE ポリシー内にプライオリティ番号 40 で設定します。
関連コマンド
|
|
|
|---|---|
isakmp policy encryption
使用する暗号化アルゴリズムを IKE ポリシー内に指定するには、グローバル コンフィギュレーション モードで isakmp policy encryption コマンドを使用します。暗号化アルゴリズムをデフォルト値の des にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }
no isakmp policy priority encryption { aes | aes-192| aes-256 | des | 3des }
構文の説明
Internet Key Exchange(IKE; インターネット キー交換)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp policy encryption コマンドは、それに置き換わるものです。 |
例
次に、グローバル コンフィギュレーション モードを開始し、 isakmp policy encryption コマンドを使用する例を示します。使用するアルゴリズムとして 128 ビット キー AES 暗号化を IKE ポリシー内にプライオリティ番号 25 で設定します。
次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
isakmp policy group
IKE ポリシーの Diffie-Hellman グループを指定するには、グローバル コンフィギュレーション モードで isakmp policy group コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。Diffie-Hellman グループ識別子をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority group { 1 | 2 | 5 }
no isakmp policy priority group
構文の説明
IKE ポリシーで、768 ビットの Diffie-Hellman グループを使用することを指定します。768 ビットは、デフォルト値です。 |
|
Internet Key Exchange(IKE; インターネット キー交換)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp policy group コマンドは、それに置き換わるものです。 |
|
group 7 コマンド オプションは廃止されました。グループ 7 を設定しようとするとエラー メッセージが生成され、代わりにグループ 5 が使用されます。 |
使用上のガイドライン
グループ オプションには、768 ビット(DH グループ 1)、1024 ビット(DH グループ 2)、および 1536 ビット(DH グループ 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。
(注) Cisco VPN Client バージョン 3.x 以降で DH グループ 2 を設定するには、isakmp policy が必要です (DH グループ 1 を設定した場合、Cisco VPN Client は接続できません)。
AES は、VPN-3DES のライセンスがあるセキュリティ アプライアンスに限りサポートされます。AES では大きなキー サイズが提供されるため、ISAKMP ネゴシエーションでは Diffie-Hellman(DH)グループ 1 やグループ 2 ではなく、グループ 5 を使用する必要があります。このためには、isakmp policy priority group 5 コマンドを使用します。
例
次に、グローバル コンフィギュレーション モードを開始し、 isakmp policy group コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーに対し、グループ 2、1024 ビットの Diffie Hellman を使用するように設定しています。
関連コマンド
|
|
|
|---|---|
isakmp policy hash
IKE ポリシーのハッシュ アルゴリズムを指定するには、グローバル コンフィギュレーション モードで isakmp policy hash コマンドを使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。
ハッシュ アルゴリズムをデフォルト値の SHA-1 にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority hash { md5 | sha }
no isakmp policy priority hash
構文の説明
Internet Key Exchange(IKE; インターネット キー交換)ポリシーを一意に指定し、ポリシーにプライオリティを割り当てます。1 ~ 65,534 の整数を使用します。1 はプライオリティが最も高く、65,534 が最も低くなります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp policy hash コマンドは、それに置き換わるものです。 |
使用上のガイドライン
ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。
例
次に、グローバル コンフィギュレーション モードを開始し、 isakmp policy hash コマンドを使用する例を示します。この例では、MD5 ハッシュ アルゴリズムを IKE ポリシー内でプライオリティ番号 40 で使用することを指定します。
関連コマンド
|
|
|
|---|---|
isakmp policy lifetime
期限切れになるまでの IKE セキュリティ アソシエーションのライフタイムを指定するには、グローバル コンフィギュレーション モードで isakmp policy lifetime コマンドを使用します。セキュリティ アソシエーションのライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、このコマンドの no 形式を使用します。
isakmp policy priority lifetime seconds
no isakmp policy priority lifetime
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp policy lifetime コマンドは、それに置き換わるものです。 |
使用上のガイドライン
IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPSec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。
ライフタイムを長くするほど、セキュリティ アプライアンスで以降の IPSec セキュリティ アソシエーションを設定する時間が節約されます。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く(約 2 ~ 3 分ごとに)しなくてもセキュリティは保証されます。デフォルト値の採用を推奨しますが、ピアがライフタイムを提示しない場合には、無限のライフタイムを指定できます。
(注) IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。
次に、グローバル コンフィギュレーション モードを開始し、isakmp policy lifetime コマンドを使用する例を示します。この例では、IKE ポリシー内にプライオリティ番号 40 で IKE セキュリティ アソシエーションのライフタイムを 50,400 秒(14 時間)に設定します。
例
次に、グローバル コンフィギュレーション モードを開始し、IKE ポリシー内にプライオリティ番号 40 で IKE セキュリティ アソシエーションのライフタイムを 50,4000 秒(14 時間)を設定する例を示します。
次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。
関連コマンド
isakmp reload-wait
すべてのアクティブなセッションが自主的に終了するまで待機してからセキュリティ アプライアンスをリブートできるようにするには、グローバル コンフィギュレーション モードで isakmp reload-wait コマンドを使用します。アクティブなセッションが終了するのを待たずにセキュリティ アプライアンスをリブートするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。 crypto isakmp reload-wait コマンドは、それに置き換わるものです。 |
例
次の例では、グローバル コンフィギュレーション モードで、すべてのアクティブなセッションが終了するまで待機してからセキュリティ アプライアンスをリブートするように設定します。
関連コマンド
|
|
|
|---|---|
issuer
アサーションを SAML-type SSO サーバに送信するセキュリティ デバイスを指定するには、その特定の SAML タイプの webvpn-sso-saml コンフィギュレーション モードで issuer コマンドを使用します。発行者名を削除するには、このコマンドの no 形式を使用します。
構文の説明
セキュリティ デバイス名を指定します。通常は、デバイスのホスト名です。識別情報は、英数字で 65 文字未満にする必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。
例
次に、asa1.mycompany.com というセキュリティ デバイスの発行者名を指定する例を示します。
関連コマンド
|
|
|
|---|---|
セキュリティ デバイスが SAML-type SSO サーバ アサーション コンシューマ サービスに問い合わせる際に使用する URL を指定します。 |
|
issuer-name
すべての発行済み証明書の発行者名 DN を指定するには、ローカル Certificate Authority(CA; 認証局)サーバ コンフィギュレーション モードで issuer-name コマンドを使用します。認証局の証明書からサブジェクト DN を削除するには、このコマンドの no 形式を使用します。
構文の説明
自己署名 CA 証明書のサブジェクト名 DN でもある証明書の認定者名を指定します。属性と値のペアを区切るには、カンマを使用します。カンマを含む値は、引用符で囲んでください。発行者名は、英数字で 500 文字未満にする必要があります。 |
デフォルト
デフォルトの発行者名は cn= hostame.domain-name で、たとえば cn=asa.example.com となります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドでは、このローカル CA サーバが作成する証明書に表示される発行者名を指定します。この任意のコマンドは、発行者名をデフォルトの CA 名とは異なるものにする場合に使用します。
(注) この発行者名コンフィギュレーションは、いったん CA サーバをイネーブルにし、no shutdown コマンドを発行して証明書を生成すると変更できなくなります。
例
hostname(config-ca-server)# issuer-name cn=asa-ca.example.com,ou=Eng,o=Example,c="cisco systems, inc.”
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
フィードバック