- このマニュアルについて
- コマンドライン インターフェイスの使用
- aaa accounting コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear conn コマンド~ clear xlate コマンド
- client access rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- database path コマンド~ debug xml コマンド
- default(crl configure)コマンド~ dynamic-access-policy-record コマンド
- deigrp log-neighbor-changes コマンド~ functions(removed)コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド ~ import webvpn webcontent コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- intercept-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac policy コマンド~ override-svc-download コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show xlate コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- undebug コマンド~ zonelabs integrity ssl-client-authentication コマンド
Cisco Security Appliance コマンド リファレンス Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 8.0(5)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: shun コマンド~ sysopt radius ignore-secret コマンド
- shun
- shutdown
- shutdown(ca-server モード)
- sla monitor
- sla monitor schedule
- smart-tunnel auto-signon enable
- smart-tunnel auto-signon list
- smart-tunnel auto-start
- smart-tunnel disable
- smart-tunnel enable
- smart-tunnel list
- smartcard-removal-disconnect
- smtp from-address
- smtp subject
- smtps
- smtp-server
- snmp-map
- snmp-server community
- snmp-server contact
- snmp-server enable
- snmp-server enable traps
- snmp-server group
- snmp-server host
- snmp-server listen-port
- snmp-server location
- snmp-server user
- software-version
- speed
- split-dns
- split-horizon
- split-tunnel-network-list
- split-tunnel-policy
- spoof-server
- sq-period
- ssh
- ssh disconnect
- ssh scopy enable
- ssh timeout
- ssh version
- ssl certificate-authentication
- ssl client-version
- ssl encryption
- ssl server-version
- ssl trust-point
- sso-server
- sso-server value(グループ ポリシー webvpn)
- sso-server value(ユーザ名 webvpn)
- start-url
- state-checking
- static
- strict-header-validation
- strict-http
- strip-group
- strip-realm
- storage-key
- storage-objects
- subject-name(クリプト CA 証明書マップ)
- subject-name(クリプト CA トラスト ポイント)
- subject-name-default
- summary-address(OSPF)
- summary-address(EIGRP)
- sunrpc-server
- support-user-cert-validation
- svc ask
- svc compression
- svc dpd-interval
- svc dtls enable
- svc enable
- svc image
- svc keepalive
- svc keep-installer
- svc modules
- svc mtu
- svc profiles(グループ ポリシーまたはユーザ名属性)
- svc profiles(webvpn)
- svc rekey
- switchport access vlan
- switchport mode
- switchport monitor
- switchport protected
- switchport trunk
- synack-data
- syn-data
- sysopt connection permit-vpn
- sysopt connection preserve-vpn-flows
- sysopt connection reclassify-vpn
- sysopt connection tcpmss
- sysopt connection timewait
- sysopt nodnsalias
- sysopt noproxyarp
- sysopt radius ignore-secret
shun コマンド~ sysopt radius ignore-secret コマンド
shun
攻撃元ホストからの接続をブロックするには、特権 EXEC モードで shun コマンドを使用します。shun をディセーブルにするには、このコマンドの no 形式を使用します。
shun source_ip [ dest_ip source_port dest_port [ protocol ]] [ vlan vlan_id ]
no shun source_ip [ vlan vlan_id ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
shun コマンドを使用すると、攻撃元ホストからの接続をブロックできます。送信元 IP アドレスからの今後のすべての接続は、手動または Cisco IPS センサーによってブロッキング機能が削除されるまで、ドロップされ、ログに記録されます。shun コマンドのブロッキング機能は、指定したホスト アドレスとの接続が現在アクティブかどうかに関係なく適用されます。
宛先アドレス、送信元ポート、宛先ポート、およびプロトコルを指定すると、一致する接続がドロップされ、かつ、その送信元 IP アドレスからの今後のすべての接続に shun が適用されます。この場合、これらの特定の接続パラメータと一致する接続だけでなく、今後のすべての接続が回避されます。
shun コマンドは、送信元 IP アドレスごとに 1 つのみ使用できます。
shun コマンドは攻撃をダイナミックにブロックするために使用されるため、セキュリティ アプライアンス コンフィギュレーションには表示されません。
インターフェイス コンフィギュレーションが削除されると、そのインターフェイスに付加されているすべての shun も削除されます。新しいインターフェイスを追加するか、または同じインターフェイスを(同じ名前を使用して)置き換える場合、IPS センサーでそのインターフェイスをモニタするには、そのインターフェイスを IPS センサーに追加する必要があります。
例
次に、攻撃ホスト(10.1.1.27)が攻撃対象(10.2.2.89)に TCP で接続する例を示します。この接続は、セキュリティ アプライアンス接続テーブル内で次のように記載されています。
このコマンドにより、現在の接続はセキュリティ アプライアンス接続テーブルから削除され、10.1.1.27 からの今後のすべてのパケットはセキュリティ アプライアンスを通過できなくなります。
関連コマンド
|
|
|
|---|---|
shutdown
インターフェイスをディセーブルにするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。インターフェイスをイネーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
すべての物理インターフェイスは、デフォルトではシャットダウンされます。セキュリティ コンテキスト内の割り当て済みのインターフェイスは、コンフィギュレーション内でシャットダウンされません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
使用上のガイドライン
インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。
マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。
シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。
•
冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。
• サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。
(注) このコマンドでは、ソフトウェア インターフェイスのみがディセーブルになります。物理リンクはアップのまま維持され、対応するインターフェイスが shutdown コマンドを使用して設定された場合でも、直接接続されたデバイスはアップであると認識されます。
例
次に、メイン インターフェイスをイネーブルにする例を示します。
次に、サブインターフェイスをシャットダウンする例を示します。
関連コマンド
|
|
|
|---|---|
shutdown(ca-server モード)
ローカル Certificate Authority(CA; 認証局)サーバをディセーブルにし、ユーザが登録インターフェイスにアクセスできないようにするには、CA サーバ コンフィギュレーション モードで shutdown コマンドを使用します。CA サーバをイネーブルにし、コンフィギュレーションをロックして変更できないようにし、登録インターフェイスにアクセスできるようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CA サーバ モードのこのコマンドは、インターフェイス モードの shutdown コマンドと類似しています。セットアップ時に、ローカル CA サーバはデフォルトでシャットダウンされるため、 no shutdown コマンドを使用してイネーブルにする必要があります。 no shutdown コマンドを初めて使用するときは、CA サーバをイネーブルにし、CA サーバ証明書とキー ペアを生成します。
(注) no shutdown コマンドを発行することによって、CA コンフィギュレーションをロックして CA 証明書を生成した後は、CA コンフィギュレーションを変更できません。
no shutdown コマンドで CA サーバをイネーブルにして現在のコンフィギュレーションをロックするには、生成される CA 証明書とキー ペアが含まれる PKCS12 ファイルを符号化してアーカイブするために、7 文字のパスワードが必要です。このファイルは、以前に指定した database path コマンドで識別されるストレージに格納されます。
例
次に、ローカル CA サーバをディセーブルにし、登録インターフェイスにアクセスできないようにする例を示します。
hostname(config-ca-server)# shutdown
hostname(config-ca-server)#
次に、ローカル CA サーバをイネーブルにし、登録インターフェイスにアクセスできるようにする例を示します。
hostname(config-ca-server)# no shutdown
hostname(config-ca-server)#
hostname(config-ca-server)# no shutdown
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
sla monitor
SLA 動作を作成するには、グローバル コンフィギュレーション モードで sla monitor コマンドを使用します。SLA 動作を削除するには、このコマンドの no 形式を使用します。
構文の説明
設定する SLA の ID を指定します。SLA が存在しない場合は、作成されます。有効な値は 1 ~ 2147483647 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
sla monitor コマンドによって、SLA 動作が作成され、SLA モニタ コンフィギュレーション モードが開始されます。このコマンドを入力すると、コマンド プロンプトは hostname(config-sla-monitor)# に変わり、SLA モニタ コンフィギュレーション モードになったことが示されます。SLA 動作がすでに存在し、それに対してタイプがすでに定義されている場合、プロンプトは hostname(config-sla-monitor-echo)# と表示されます。最大 2000 個の SLA 動作を作成できます。任意の時点でデバッグできるのは 32 個の SLA 動作のみです。
no sla monitor コマンドによって、指定した SLA 動作およびその動作を設定するために使用されたコマンドが削除されます。
SLA 動作を設定した後、 sla monitor schedule コマンドで動作をスケジューリングする必要があります。スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。
動作の現在のコンフィギュレーション設定を表示するには、 show sla monitor configuration コマンドを使用します。SLA 動作の動作統計情報を表示するには、 show sla monitor operation-state コマンドを使用します。コンフィギュレーション内の SLA コマンドを表示するには、 show running-config sla monitor コマンドを使用します。
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。
関連コマンド
|
|
|
|---|---|
sla monitor schedule
SLA 動作をスケジューリングするには、グローバル コンフィギュレーション モードで sla monitor schedule コマンドを使用します。SLA 動作のスケジュールを削除し、動作を保留状態にするには、このコマンドの no 形式を使用します。
sla monitor schedule sla-id [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ ageout seconds ] [ recurring ]
no sla monitor schedule sla-id
構文の説明
デフォルト
• SLA 動作は、スケジューリングされた時間になるまで pending 状態です。つまり、動作はイネーブルですが、データはアクティブに収集されていません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SLA 動作がアクティブ状態の場合、ただちに情報の収集が開始されます。次のタイム ラインは、動作のエージング アウト プロセスを示しています。
• W は、SLA 動作が sla monitor コマンドで設定された時刻です。
• X は、SLA 動作の開始時刻です。これは、動作が「アクティブ」になったときです。
• Y は、 sla monitor schedule コマンドで設定された有効期間の終了です( life の秒数は 0 までカウント減少されました)。
エージング アウト プロセスが使用される場合、エージング アウト プロセスは、W でカウントダウンを開始し、X と Y の間は中断され、Y で設定されたサイズにリセットされてカウントダウンを再開します。SLA 動作がエージング アウトすると、SLA 動作のコンフィギュレーションは実行コンフィギュレーションから削除されます。動作は、実行される前にエージング アウトする可能性があります(つまり、Z が X の前に発生する可能性があります)。このような状況が発生しないようにするには、動作のコンフィギュレーション時刻と開始時刻(X と W)の差を、エージング アウトの秒数よりも小さくする必要があります。
recurring キーワードは、単一の SLA 動作のスケジューリングに対してのみサポートされています。1 つの sla monitor schedule コマンドを使用して複数の SLA 動作をスケジューリングすることはできません。定期的な SLA 動作の life 値は、1 日未満にする必要があります。定期的な動作の ageout 値を「なし」(値 0 で指定)にするか、 life 値と ageout 値の合計を 1 日よりも大きくする必要があります。recurring オプションを指定しないと、動作は既存の通常のスケジューリング モードで開始されます。
スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。
例
次に、4 月 5 日午後 3 時にデータの収集をアクティブに開始するようにスケジューリングされた SLA 動作 25 の例を 示します。この動作は、非アクティブになって 12 時間後にエージング アウトします。この SLA 動作がエージング アウトすると、SLA 動作のすべてのコンフィギュレーション情報は実行コンフィギュレーションから削除されます。
次に、5 分間の遅延の後にデータの収集を開始するようにスケジューリングされた SLA 動作 1 の例を示します。デフォルトの有効期間である 1 時間が適用されます。
次に、ただちにデータの収集を開始するようにスケジューリングされた SLA 動作 3 の例を示します。この例は、無期限に実行されるようにスケジューリングされています。
次に、毎日午前 1 時 30 分にデータの収集を自動的に開始するようにスケジューリングされた SLA 動作 15 の例を示します。
関連コマンド
|
|
|
|---|---|
smart-tunnel auto-signon enable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル自動サインオンをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel auto-signon enable コマンドを使用します。
[ no ] smart-tunnel auto-signon enable list [ domain domain ]
グループ ポリシーまたはユーザ名から smart-tunnel auto-signon enable コマンドを削除し、デフォルトのグループ ポリシーから継承するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
smart-tunnel auto-signon list コマンドを使用して、最初にサーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名に割り当てることができるリストは 1 つだけです。
例
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証中に CISCO という名前のドメインをユーザ名に追加します。
次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル自動サインオン リスト コマンドを継承します。
関連コマンド
|
|
|
|---|---|
プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。 |
smart-tunnel auto-signon list
スマート トンネル接続でクレデンシャルの送信を自動化する対象のサーバのリストを作成するには、webvpn コンフィギュレーション モードで smart-tunnel auto-signon list コマンドを使用します。
[ no ] smart-tunnel auto-signon list [ use-domain ] { ip ip-address [ netmask ] | host hostname-mask }
リストに追加する各サーバに対してこのコマンドを使用します。リストからエントリを削除するには、このコマンドの no 形式を使用します。リストと、セキュリティ アプライアンス コンフィギュレーションに表示されている IP アドレスまたはホスト名を指定します。スマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。
サーバのリスト全体をセキュリティ アプライアンス コンフィギュレーションから削除するには、このコマンドの no 形式を使用して、リストのみを指定します。
no smart-tunnel auto-signon list
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
スマート トンネル自動サインオン リストの入力に続き、グループ ポリシー webvpn モードまたはユーザ名 webvpn モードで smart-tunnel auto-signon enable list コマンドを使用してリストを割り当てます。
例
次のコマンドでは、サブネット内のすべてのホストを追加し、認証で必要な場合に Windows ドメインをユーザ名に追加します。
前述のコマンドでは、削除されるエントリがリストの唯一のエントリである場合、HR という名前のリストも削除されます。唯一のエントリではない場合は、次のコマンドによってリスト全体がセキュリティ アプライアンス コンフィギュレーションから削除されます。
次のコマンドでは、ドメイン内のすべてのホストを intranet という名前のスマート トンネル自動サインオン リストに追加します。
関連コマンド
smart-tunnel auto-start
クライアントレス(ブラウザベース)SSL VPN セッションでユーザがログインしたときにスマート トンネル アクセスを自動的に開始するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel auto-start コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。
構文の説明
list は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 SSL VPN コンフィギュレーション内にすでに存在するスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドでは、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。
例
次のコマンドでは、apps1 という名前のアプリケーションのリストについて、スマート トンネル アクセスを開始します。
次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル コマンドを継承します。
関連コマンド
smart-tunnel disable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル アクセスを禁止するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel disable コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除して、デフォルトのグループ ポリシーから [ no ] smart-tunnel コマンドを継承するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトではスマート トンネルはイネーブルではないため、 smart-tunnel disable コマンドは(デフォルトの)グループ ポリシーまたはユーザ名コンフィギュレーションに、対象のポリシーまたはユーザ名に適用しない smart-tunnel auto-start または smart-tunnel enable コマンドが含まれている場合にのみ必要です。
例
次のコマンドでは、スマート トンネル アクセスを禁止します。
関連コマンド
smart-tunnel enable
クライアントレス(ブラウザベース)SSL VPN セッションでスマート トンネル アクセスをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 smart-tunnel enable コマンドを使用します。
グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。
構文の説明
list は、セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。 SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
smart-tunnel enable コマンドによって、スマート トンネル アクセスに適格なアプリケーションのリストがグループ ポリシーまたはユーザ名に割り当てられます。ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。または、 smart-tunnel auto-start コマンドを使用して、ユーザがログインしたときに自動的にスマート トンネル アクセスを開始できます。
いずれのコマンドでも、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。
例
次のコマンドでは、apps1 という名前のスマート トンネル リストをイネーブルにします。
次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル リストを継承します。
関連コマンド
|
|
|
|---|---|
クライアントレス SSL VPN コンフィギュレーションを、すべてのスマート トンネル リスト エントリを含めて表示します。 |
|
プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。 |
smart-tunnel list
プライベート サイトに接続する場合にクライアントレス(ブラウザベース)SSL VPN セッションを使用できるアプリケーションのリストに入力するには、webvpn コンフィギュレーション モードで smart-tunnel list コマンドを使用します。
[ no ] smart-tunnel list list application path [ platform OS ] [ hash ]
アプリケーションをリストから削除するには、このコマンドの no 形式を使用して、エントリを指定します。アプリケーションのリスト全体をセキュリティ アプライアンス コンフィギュレーションから削除するには、このコマンドの no 形式を使用して、リストだけを指定します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
複数のスマート トンネル リストをセキュリティ アプライアンスで設定できますが、複数のスマート トンネル リストを特定のグループ ポリシーまたはユーザ名に割り当てることはできません。スマート トンネル リストに入力するには、アプリケーションごとに smart-tunnel list コマンドを 1 回入力します。同じ list ストリングを入力しますが、OS で一意の application および path を指定します。リストでサポートする各 OS について、コマンドを 1 回入力します。
OS がエントリで指定されたものと一致しない場合、セッションでリスト エントリは無視されます。アプリケーションのパスが存在しない場合も、エントリは無視されます。
SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。
path はコンピュータ上のものと一致する必要がありますが、完全である必要はありません。たとえば、実行ファイルとその拡張子だけで path を構成できます。
• スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、または Windows 2000、あるいは Mac OS 10.4 または 10.5 が実行されている必要があります。
• スマート トンネルまたはポート フォワーディングを使用する Microsoft Windows Vista のユーザは、ASA の URL を [Trusted Site] ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動して、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。
• ブラウザで Java、Microsoft ActiveX、またはその両方をイネーブルにする必要があります。
• Mac OS のスマート トンネル サポートには、Safari 3.1.1 以降が必要です。
Microsoft Windows では、Winsock 2、TCP ベースのアプリケーションのみがスマート トンネル アクセスに適格です。
Mac OS では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できます。次のタイプのアプリケーションは、スマート トンネルで使用できません。
• dlopen または dlsym を使用して libsocket コールを特定するアプリケーション
• libsocket コールを特定するためにスタティックにリンクされたアプリケーション
• 2 レベルのネーム スペースを使用する Mac OS アプリケーション
• Mac OS のコンソールベースのアプリケーション(Telnet、SSH、cURL など)
• PowerPC MAC オペレーティング システムはスマート トンネルではサポートされません。
Mac OS では、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できます。この要件には、Firefox のスマート トンネル サポートが含まれています。スマート トンネルの最初の使用中に Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。
• リモート コンピュータがセキュリティ アプライアンスにアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。この設定では、スマート トンネルは基本認証だけをサポートします。
• セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。スマート トンネル機能もポート フォワーディングも MAPI をサポートしていません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。
• スマート トンネル自動サインオン機能では、Microsoft Windows OS 上の Microsoft WININET ライブラリを使用して HTTP または HTTPS 通信を行うアプリケーションのみがサポートされます。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
• グループ ポリシーまたはローカル ユーザ ポリシーでは、スマート トンネル アクセスに適格なアプリケーションのリスト 1 つと、スマート トンネル自動サインオン サーバのリスト 1 つだけがサポートされます。
• ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。
(注) スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、path 値が最新でないことを示している場合があります。たとえば、アプリケーションおよび次のアップグレードを作成する会社が買収されると、アプリケーションのデフォルトのパスは通常は変更されます。
ハッシュを入力すると、 path で指定したストリングと一致する不適格なファイルがクライアントレス SSL VPN によって認定されないことが、ある程度保証されます。チェックサムはアプリケーションの各バージョンまたはパッチによって異なるため、入力する hash が一致するのは、リモート ホスト上の 1 つのバージョンまたはパッチのみです。アプリケーションの複数のバージョンに対して hash を指定するには、各バージョンに対して smart-tunnel list コマンドを 1 回入力します。このとき、各コマンドでは、同じ list ストリングを入力しますが、一意の application ストリングと一意の hash 値を指定します。
(注) hash 値を入力し、スマート トンネル アクセスでアプリケーションの今後のバージョンまたはパッチをサポートする場合は、今後もスマート トンネル リストを維持する必要があります。スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、hash 値を含むアプリケーション リストが最新でないことを示している場合があります。この問題は hash を入力しないことによって回避できます。
スマート トンネル リストのコンフィギュレーションに続き、 smart-tunnel auto-start または smart-tunnel enable コマンドを使用して、グループ ポリシーまたはユーザ名にリストを割り当てます。
例
次のコマンドでは、connect.exe という名前の Microsoft Windows アプリケーションを apps1 という名前のスマート トンネル リストに追加します。
次のコマンドでは、Windows アプリケーション msimn.exe を追加し、リモート ホスト上のアプリケーションのハッシュが、スマート トンネル アクセスを許可するために入力された最後のストリングと一致することを要求します。
次のコマンドでは、Mac OS ブラウザ Safari にスマート トンネル サポートを提供します。
関連コマンド
|
|
|
|---|---|
ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。 |
smartcard-removal-disconnect
スマート カードがユーザのコンピュータから取り外された場合に IPSec クライアント セッションを切断または保持するには、グループ ポリシー コンフィギュレーション モードで smartcard-removal-disconnect コマンドを使用します。
smartcard-removal-disconnect { enable | disable }
グループ ポリシーから smartcard-removal-disconnect コマンドを削除し、デフォルトのグループ ポリシーから設定を継承するには、このコマンドの no 形式を使用します。
no smartcard-removal-disconnect
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、認証に使用されるスマート カードが取り外された場合に IPSec クライアント セッションは切断されます。接続中にスマート カードをコンピュータに入れたままにする必要がないようにする場合は、 smartcard-removal-disconnect disable コマンドを入力します。
例
次のコマンドでは、スマート カードがユーザのコンピュータから取り外されてもクライアント セッションが続行するようにします。
次のコマンドでは、スマート カードがユーザのコンピュータから取り外された場合にクライアント セッションが終了されるようにします。
smtp from-address
ローカル CA サーバが生成するすべての電子メール(ワンタイム パスワードの配布など)の送信者フィールドで使用する電子メール アドレスを指定するには、CA サーバ コンフィギュレーション モードで smtp from-address コマンドを使用します。電子メール アドレスをデフォルトにリセットするには、このコマンドの no 形式を使用します。
smtp from-address e-mail_address
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドに ca-admin@asa1-ca.example.com が含まれるように指定する例を示します。
hostname(config-ca-server)# smtp from-address ca-admin@asa1-ca.example.com
hostname(config-ca-server)#
次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドをデフォルトのアドレス admin@asa1-ca.example.com にリセットする例を示します。
hostname(config-ca-server)# smtp from-address admin@asa1-ca.example.com
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
smtp subject
ローカル Certificate Authority(CA; 認証局)サーバが生成するすべての電子メール(ワンタイム パスワードの配布など)の件名フィールドに表示するテキストをカスタマイズするには、CA サーバ コンフィギュレーション モードで smtp subject コマンドを使用します。テキストをデフォルトにリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、CA サーバからの、すべての電子メールの件名フィールドにテキスト Action: Enroll for a certificate を表示するように指定する例を示します。
hostname(config-ca-server)# smtp subject Action: Enroll for a certificate
hostname(config-ca-server)#
次に、CA サーバからの、すべての電子メールの件名フィールドのテキストをデフォルトのテキスト「Certificate Enrollment Invitation」にリセットする例を示します。
hostname(config-ca-server)# no smtp subject
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
smtps
SMTPS コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで smtps コマンドを使用します。SMTPS コマンド モードで入力されたコマンドを削除するには、このコマンドの no 形式を使用します。SMTPS は、SSL 接続での電子メールの送信を可能にする TCP/IP プロトコルです。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SMTPS コンフィギュレーション モードを開始する例を示します。
hostname(config)# smtps
関連コマンド
|
|
|
|---|---|
smtp-server
SMTP サーバを設定するには、グローバル コンフィギュレーション モードで smtp-server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。
セキュリティ アプライアンスには、内部 SMTP クライアントが含まれており、特定のイベントが発生したことを外部エンティティに通知するためにイベント システムで使用できます。これらのイベント通知を受信し、指定された電子メール アドレスに転送するように SMTP サーバを設定できます。SMTP 機能がアクティブになるのは、セキュリティ アプライアンス で電子メール イベントがイネーブルな場合だけです。
smtp-server { primary_server } [ backup_server ]
構文の説明
プライマリ SMTP サーバを使用できない場合にイベント メッセージをリレーするバックアップ SMTP サーバを識別します。IP アドレスまたは DNS 名を使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SMTP サーバを IP アドレス 10.1.1.24 を使用して設定し、バックアップ SMTP サーバを IP アドレス 10.1.1.34 を使用して設定する例を示します。
hostname(config)# smtp-server 10.1.1.24 10.1.1.34
snmp-map
SNMP インスペクションのパラメータを定義するための特定のマップを指定するには、グローバル コンフィギュレーション モードで snmp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
snmp-map コマンドを使用して、SNMP インスペクションのパラメータを定義するために使用する特定のマップを指定します。このコマンドを入力すると、SNMP マップ コンフィギュレーション モードが開始され、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。SNMP マップの定義後、inspect snmp コマンドを使用してマップをイネーブルにします。次に、 class-map 、 policy-map 、 service-policy の各コマンドを使用して、トラフィックのクラス定義、inspect コマンドのクラスへの適用、1 つ以上のインターフェイスへのポリシー適用を定義します。
例
次に、SNMP トラフィックを指定し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server community
SNMP コミュニティ ストリングを設定するには、グローバル コンフィギュレーション モードで snmp-server community コマンドを使用します。コミュニティ ストリングを削除するには、このコマンドの no 形式を使用します。
no snmp-server community [ text ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理されるネットワーク ノード間の共有秘密です。セキュリティ アプライアンスは、キーを使用して、着信 SNMP 要求が有効であるかどうかを判断します。たとえば、サイトにコミュニティ ストリングを指定してから、ルータ、セキュリティ アプライアンス、および管理ステーションに同じストリングを設定できます。セキュリティ アプライアンスはこのストリングを使用し、無効なコミュニティ ストリングを持つ要求には応答しません。
例
次の例では、コミュニティ ストリングを wallawallabingbang に設定します。
関連コマンド
|
|
|
|---|---|
snmp-server contact
SNMP サーバのコンタクト名を設定するには、グローバル コンフィギュレーション モードで snmp-server contact コマンドを使用します。SNMP のコンタクト名を削除するには、このコマンドの no 形式を使用します。
no snmp-server contact [ text ]
構文の説明
コンタクト担当者またはセキュリティ アプライアンス システム管理者の名前を指定します。名前は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、SNMP サーバの連絡先を Pat Johnson と設定します。
関連コマンド
|
|
|
|---|---|
snmp-server enable
セキュリティ アプライアンスで SNMP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable コマンドを使用します。SNMP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、SNMP トラップやその他の設定を行ったり、これらを再設定しなくても、SNMP を簡単にイネーブルまたはディセーブルにすることができます。
例
次の例では、SNMP をイネーブルにし、SNMP のホストとトラップを設定してから、トラップをシステム メッセージとして送信しています。
関連コマンド
|
|
|
|---|---|
snmp-server enable traps
セキュリティ アプライアンスの NMS へのトラップ送信をイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable traps コマンドを使用します。トラップをディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ]]
no snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ]]
構文の説明
SNMP トラップを有効にします。デフォルトでは、すべての SNMP トラップはイネーブルになっています。 snmp のトラップは次のとおりです。 |
|
デフォルト
デフォルトのコンフィギュレーションでは、すべての snmp トラップがイネーブルです( snmp-server enable traps snmp authentication linkup linkdown coldstart )。これらのトラップをディセーブルにするには、 snmp キーワードを指定してこのコマンドの no 形式を使用します。ただし、 clear configure snmp-server コマンドを使用すると、SNMP トラップのデフォルトのイネーブル状態に戻ります。
このコマンドを入力し、トラップ タイプを指定しない場合、デフォルトは syslog です (デフォルトの snmp トラップは syslog トラップとともに引き続きイネーブルのままです)。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
機能タイプごとにこのコマンドを入力して、個々のトラップまたはトラップのセットをイネーブルにするか、 all キーワードを入力してすべてのトラップをイネーブルにします。
NMS にトラップを送信するには、 logging history コマンドを入力し、 logging enable コマンドを使用してロギングをイネーブルにします。
例
次の例では、SNMP をイネーブルにし、SNMP のホストとトラップを設定してから、トラップをシステム メッセージとして送信しています。
関連コマンド
|
|
|
|---|---|
snmp-server group
新しい SNMP グループを設定するには、グローバル コンフィギュレーション モードで snmp-server group コマンドを使用します。指定した SNMP グループを削除するには、このコマンドの no 形式を使用します。
snmp-server group group-name { v3 { auth | noauth | priv }}
no snmp-server group group-name { v3 { auth | noauth | priv }}
構文の説明
グループが SNMP バージョン 3 セキュリティ モデルを使用することを指定します。このセキュリティ モデルは、サポートされているものの中で最もセキュアです。このバージョンでは、認証特性を明示的に設定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。バージョン 3 およびセキュリティ レベルも指定する必要があります。コミュニティ ストリングが内部的に設定されている場合、「public」という名前の 2 つのグループが自動的に作成されます。1 つはバージョン 1 セキュリティ モデル用、もう 1 つはバージョン 2c セキュリティ モデル用です。コミュニティ ストリングを削除すると、設定された両方のグループが自動的に削除されます。
(注) 特定のグループに属すように設定されるユーザは、グループと同じセキュリティ モデルを持つ必要があります。
例
次の例に、セキュリティ アプライアンスが SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する方法について示します。これには、グループ、ユーザ、ホストの作成が含まれます。
関連コマンド
|
|
|
|---|---|
snmp-server host
セキュリティ アプライアンスで SNMP を使用可能な NMS を指定するには、グローバル コンフィギュレーション モードで snmp-server host コマンドを使用します。NMS をディセーブルにするには、このコマンドの no 形式を使用します。
snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username }] [ udp-port port ]
no snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username }] [ udp-port port ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 32 個の NMS を指定できます。現在使用中のポートで snmp-server host コマンドを設定すると、次のメッセージが表示されます。
警告 The UDP port port is in use by another feature.SNMP requests to the device will fail until the snmp-server listen-port command is configured to use a different port.
既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。
例
バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定し、SNMP ホストを設定する必要があります。ユーザ名はデバイス上で設定済みである必要があります。デバイスがフェールオーバー ペアのスタンバイ ユニットとして設定される場合、SNMP エンジン ID とユーザ コンフィギュレーションはアクティブ ユニットから複製されます。このアクションによって、SNMP バージョン 3 クエリーの観点から、トランスペアレントなスイッチオーバーが可能になります。スイッチオーバー イベントに対応するために NMS でのコンフィギュレーション変更は必要ありません。
暗号化されたコミュニティ ストリングを使用した後は、暗号化された形式だけがすべてのシステム(CLI、ASDM、CSM など)に表示されます。クリア テキストのパスワードは表示されません。
暗号化されたコミュニティ ストリングは常にセキュリティ アプライアンスによって生成されます。通常は、クリア テキストの形式で入力します。
セキュリティ アプライアンスの起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。
(注) セキュリティ アプライアンス ソフトウェアをバージョン 8.0(5) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。
次に、境界インターフェイスに接続された 10.1.2.42 をホストに設定する例を示します。
次の例に、セキュリティ アプライアンスが SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する方法について示します。これには、グループ、ユーザ、ホストの作成が含まれます。
次に、暗号化されたコミュニティ ストリングを使用するようにホストを設定する例を示します。
次に、暗号化されていないコミュニティ ストリングを使用するようにホストを設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server listen-port
SNMP 要求のリスニング ポートを設定するには、グローバル コンフィギュレーション モードで snmp-server listen-port コマンドを使用します。デフォルトのポートに戻すには、このコマンドの no 形式を使用します。
no snmp-server listen-port lport
構文の説明
着信要求が受け入れられるポート。デフォルト ポートは 161 です 1 。 |
| 1.snmp-server listen-port コマンドは管理コンテキストでのみ使用でき、システム コンテキストでは使用できません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
現在使用中のポートで snmp-server listen-port コマンドを設定すると、次のメッセージが表示されます。
警告 The UDP port port is in use by another feature.SNMP requests to the device will fail until the snmp-server listen-port command is configured to use a different port.
既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。
例
次に、リスニング ポートを 192 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server location
SNMP のセキュリティ アプライアンスの場所を設定するには、グローバル コンフィギュレーション モードで snmp-server location コマンドを使用します。場所を削除するには、このコマンドの no 形式を使用します。
no snmp-server location [ text ]
構文の説明
セキュリティ アプライアンスの場所を指定します。 location text は大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SNMP のセキュリティ アプライアンスの場所を Building 42、Sector 54 として設定する例を示します。
関連コマンド
|
|
|
|---|---|
snmp-server user
新しい SNMP ユーザを設定するには、グローバル コンフィギュレーション モードで snmp-server user コマンドを使用します。指定した SNMP ユーザを削除するには、このコマンドの no 形式を使用します。
snmp-server user username group-name { v3 [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]
no snmp-server user username group-name { v3 [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SNMP ユーザは、SNMP グループの一部である必要があります。バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。
(注) パスワードを忘れた場合は、回復できないため、ユーザを再設定する必要があります。
snmp-server user のコンフィギュレーションがコンソールに表示されるか、ファイル(スタートアップ コンフィギュレーション ファイルなど)に書き込まれる場合、ローカライズされた認証およびプライバシー ダイジェストが常にプレーン テキストのパスワードの代わりに表示されます。この使用法は、RFC 3414、11.2 項によって要求されています。
(注) 3DES または AES アルゴリズムを使用してユーザを設定するには、3DES または AES 機能のライセンスが必要です。
セキュリティ アプライアンスの起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。
例
次に、セキュリティ アプライアンスで SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する例を示します。
関連コマンド
|
|
|
|---|---|
software-version
サーバまたはエンドポイントのソフトウェア バージョンを表示するサーバおよびユーザ エージェント ヘッダー フィールドを識別するには、パラメータ コンフィギュレーション モードで software-version コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
software-version action {mask | log} [log}
no software-version action {mask | log} [log}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップでソフトウェア バージョンを識別する例を示します。
関連コマンド
|
|
|
|---|---|
speed
銅線(RJ-45)イーサネット インターフェイスの速度を設定するには、インターフェイス コンフィギュレーション モードで speed コマンドを使用します。速度設定をデフォルトに戻すには、このコマンドの no 形式を使用します。
speed { auto | 10 | 100 | 1000 | nonegotiate }
no speed [ auto | 10 | 100 | 1000 | nonegotiate ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
使用上のガイドライン
ネットワークで自動検出がサポートされていない場合は、速度を特定の値に設定します。
ASA 5500 シリーズの適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。
PoE ポートで速度を auto 以外に設定する場合(可能な場合)、IEEE 802.3af をサポートしない Cisco IP Phone およびシスコ ワイヤレス アクセス ポイントは検出されず、電力は供給されません。
例
次に、速度を 1000BASE-T に設定する例を示します。
関連コマンド
|
|
|
|---|---|
split-dns
スプリット トンネルを介して解決されるドメインのリストを入力するには、グループ ポリシー コンフィギュレーション モードで split-dns コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ドメインのリストをすべて削除するには、 no split-dns コマンドを引数なしで使用します。これにより、 split-dns none コマンドを発行して作成されたヌル リストを含め、設定されているスプリット トンネリング ドメインのリストはすべて削除されます。
スプリット トンネリング ドメインのリストがない場合、ユーザはデフォルトのグループ ポリシー内に存在するリストを継承します。このようなスプリット トンネリング ドメインのリストをユーザが継承しないようにするには、 split-dns none コマンドを使用します。
split-dns { value domain-name1 domain-name2 domain-nameN | none }
no split-dns [ domain-name domain-name2 domain-nameN ]
構文の説明
スプリット DNS リストがないことを指定します。スプリット DNS リストをヌル値で設定して、スプリット DNS リストを拒否します。デフォルトのグループ ポリシーまたは指定したグループ ポリシーのスプリット DNS リストを継承しません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ドメインのリスト内の各エントリを区切るには、単一のスペースを使用します。エントリ数に制限はありませんが、ストリング全体の長さは 255 文字以下にします。英数字、ハイフン(-)、およびピリオド(.)のみを使用できます。
no split-dns コマンドを引数なしで使用すると、 split-dns none コマンドを発行して作成したヌル値を含め、現在の値はすべて削除されます。
AnyConnect VPN Client と SSL VPN Client はいずれもスプリット DNS をサポートしていません。
例
次に、FirstGroup という名前のグループ ポリシーに対してスプリット トンネリングを介して解決されるドメイン Domain1、Domain2、Domain3、および Domain4 を設定する例を示します。
関連コマンド
split-horizon
EIGRP スプリット ホライズンを再度イネーブルにするには、インターフェイス コンフィギュレーション モードで split-horizon コマンドを使用します。EIGRP スプリット ホライズンをディセーブルにするには、このコマンドの no 形式を使用します。
no split-horizon eigrp as-number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
X.25 パケットスイッチド ネットワーク上のリンクを含むネットワークでは、 neighbor コマンドを使用してスプリット ホライズン機能を無効にすることができます。代わりに、コンフィギュレーションで no split-horizon eigrp コマンドを明示的に指定することもできます。ただし、その場合、そのネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対して、同様にスプリット ホライズンをディセーブルにする必要があります。
通常、スプリット ホライズンのデフォルトの状態は、ルートを適切にアドバタイズするために変更することがアプリケーションにおいて必要となる場合を除き、変更しないことを推奨します。シリアル インターフェイスでスプリット ホライズンがディセーブルであり、そのインターフェイスがパケットスイッチド ネットワークに接続されている場合、そのネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対して、スプリット ホライズンをディセーブルにする必要があります。
例
次に、インターフェイス Ethernet0/0 で EIGRP スプリット ホライズンをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
split-tunnel-network-list
スプリット トンネリングのネットワーク リストを作成するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用します。ネットワーク リストを削除するには、このコマンドの no 形式を使用します。
スプリット トンネリング ネットワーク リストをすべて削除するには、 no split-tunnel-network-list コマンドを引数なしで使用します。これにより、 split-tunnel-network-list none コマンドを発行して作成されたヌル リストを含め、設定されているネットワーク リストはすべて削除されます。
スプリット トンネリング ネットワーク リストがない場合、ユーザはデフォルトのグループ ポリシーまたは指定したグループ ポリシー内に存在するネットワーク リストを継承します。このようなネットワーク リストをユーザが継承しないようにするには、 split-tunnel-network-list none コマンドを使用します。
スプリット トンネリング ネットワーク リストによって、トラフィックがトンネルを通過する必要があるネットワークと、トンネリングを必要としないネットワークが区別されます。
split-tunnel-network-list {value access-list name | none}
no split-tunnel-network-list value [ access-list name ]
構文の説明
スプリット トンネリングのネットワーク リストがないことを指定します。セキュリティ アプライアンスによって、すべてのトラフィックがトンネリングされます。 スプリット トンネリング ネットワーク リストをヌル値で設定して、スプリット トンネリングを拒否します。デフォルトのグループ ポリシーまたは指定したグループ ポリシーのデフォルトのスプリット トンネリング ネットワーク リストを継承しません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、ネットワーク リストに基づいてスプリット トンネリングの判断が行われます。ネットワーク リストは、プライベート ネットワーク上のアドレスのリストで構成される標準 ACL です。
no split-tunnel-network-list コマンドを引数なしで使用すると、 split-tunnel-network-list none コマンドを発行して作成したヌル値を含め、現在のネットワーク リストはすべて削除されます。
例
次に、FirstGroup という名前のグループ ポリシーに対して FirstList という名前のネットワーク リストを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ドメイン フィールドの除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。 |
|
IPSec クライアントが条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。 |
split-tunnel-policy
スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを使用します。実行コンフィギュレーションから split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーのスプリット トンネリングの値を継承できます。
スプリット トンネリングを使用すると、リモート アクセス IPSec クライアントが、条件に応じて、パケットを暗号化された形式で IPSec トンネルを介して誘導したり、クリアテキスト形式でネットワーク インターフェイスに誘導したりできるようになります。スプリット トンネリングをイネーブルにすると、宛先が IPSec トンネルの反対側ではないパケットでは、暗号化、トンネルを介した送信、復号化、および最終的な宛先へのルーティングは必要なくなります。
この コマンドでは、このスプリット トンネリング ポリシーが特定のネットワークに適用されます。
split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スプリット トンネリングは、本来は、セキュリティ機能ではなくトラフィック管理機能です。最適なセキュリティを確保するには、スプリット トンネリングをイネーブルにしないことを推奨します。
例
次に、FirstGroup という名前のグループ ポリシーに対して、指定したネットワークのみをトンネリングするスプリット トンネリング ポリシーを設定する例を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified
関連コマンド
|
|
|
|---|---|
ドメイン フィールドの除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。 |
|
トンネリングが必要なネットワークと不要なネットワークを区別するために、セキュリティ アプライアンスが使用するアクセス リストを指定します。 |
spoof-server
HTTP プロトコル インスペクションのために、サーバ ヘッダー フィールドをストリングに置き換えるには、パラメータ コンフィギュレーション モードで spoof-server コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、HTTP インスペクション ポリシー マップでサーバ ヘッダー フィールドをあるストリングに置き換える例を示します。
関連コマンド
|
|
|
|---|---|
sq-period
NAC フレームワーク セッションで正常に完了したポスチャ検証と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで sq-period コマンドを使用します。このコマンドを NAC ポリシーから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。 |
|
使用上のガイドライン
セキュリティ アプライアンスでは、正常に実行された各ポスチャ検証とステータス クエリー応答の後に、ステータス クエリー タイマーを起動します。このタイマーが切れると、ホスト ポスチャの変化を調べるクエリー( ステータス クエリー と呼ばれる)がトリガーされます。
例
次に、ステータス クエリー タイマーの値を 1800 秒に変更する例を示します。
次に、NAC フレームワーク ポリシーからステータス クエリー タイマーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。 |
|
ssh
セキュリティ アプライアンスに SSH アクセスを追加するには、グローバル コンフィギュレーション モードで ssh コマンドを使用します。セキュリティ アプライアンスへの SSH アクセスをディセーブルにするには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。
ssh { ip_address mask | ipv6_address / prefix } interface
no ssh { ip_address mask | ipv6_address / prefix } interface
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ssh ip_address コマンドでは、セキュリティ アプライアンスへの SSH 接続を開始することを認可されるホストまたはネットワークを指定します。複数の ssh コマンドをコンフィギュレーションに含めることができます。このコマンドの no 形式によって、特定の SSH コマンドをコンフィギュレーションから削除します。すべての SSH コマンドを削除するには、 clear configure ssh コマンドを使用します。
セキュリティ アプライアンスへの SSH の使用を開始する前に、 crypto key generate rsa コマンドを使用してデフォルトの RSA キーを生成する必要があります。
セキュリティ アプライアンスでは、次のセキュリティ アルゴリズムと暗号がサポートされています。
• データ暗号化のための 3DES 暗号および AES 暗号
• パケットの完全性のための HMAC-SHA アルゴリズムおよび HMAC-MD5 アルゴリズム
• キー交換のための Diffie-Hellman Group 1 アルゴリズム
例
次に、IP アドレス 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるように内部インターフェイスを設定する例を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
SSH バージョン 1 と SSH バージョン 2 のいずれかを使用するよう、セキュリティ アプライアンスを制限します。 |
ssh disconnect
アクティブな SSH セッションを切断するには、特権 EXEC モードで ssh disconnect コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セッション ID を指定する必要があります。切断する SSH セッションの ID を取得するには、 show ssh sessions コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
ssh scopy enable
セキュリティ アプライアンスで Secure Copy(SCP; セキュア コピー)をイネーブルにするには、グローバル コンフィギュレーション モードで ssh scopy enable コマンドを使用します。SCP をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SCP はサーバのみの実装です。SCP のための接続を受け入れて終了できますが、開始することはできません。セキュリティ アプライアンスには、次の制約事項があります。
• SCP のこの実装にはディレクトリ サポートはないため、セキュリティ アプライアンスの内部ファイルへのリモート クライアント アクセスは制限されます。
• SSH バージョン 2 接続をサポートするには、セキュリティ アプライアンスのライセンスに VPN-3DES-AES 機能が必要です。
ファイル転送を開始する前に、セキュリティ アプライアンスでは使用可能なフラッシュ メモリをチェックします。使用可能なスペースが十分ではない場合、セキュリティ アプライアンスは SCP 接続を終了します。フラッシュ メモリ内のファイルを上書きする場合でも、セキュリティ アプライアンスにコピーされるファイル用に十分な空きスペースが必要です。SCP プロセスでは、ファイルはまず一時ファイルにコピーされ、置き換えられるファイルに一時ファイルがコピーされます。コピーされるファイルと上書きされるファイルを保持する十分なスペースがフラッシュ内にない場合、セキュリティ アプライアンスは SCP 接続を終了します。
例
次の例は、IP アドレスが 10.1.1.1 である管理コンソールからの SSH バージョン 2 接続を受け入れるように内部インターフェイスを設定する方法を示しています。アイドル セッション タイムアウトを 60 分に設定し、SCP をイネーブルにしています。
関連コマンド
|
|
|
|---|---|
SSH バージョン 1 と SSH バージョン 2 のいずれかを使用するよう、セキュリティ アプライアンスを制限します。 |
ssh timeout
デフォルトの SSH セッション アイドル タイムアウト値を変更するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ssh timeout コマンドでは、セッションが切断される前にアイドルである時間を分単位で指定します。デフォルトの時間は、5 分です。
例
次に、IP アドレス 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続のみを受け入れるように、内部インターフェイスを設定する例を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
ssh version
セキュリティ アプライアンスが受け入れる SSH のバージョンを制限するには、グローバル コンフィギュレーション モードで ssh version コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。デフォルト値では、セキュリティ アプライアンスへの SSH バージョン 1 接続と SSH バージョン 2 接続が許可されます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 および 2 によって、セキュリティ アプライアンスでの使用をいずれのバージョンの SSH に限定するかを指定します。このコマンドの no 形式を使用すると、セキュリティ アプライアンスはデフォルトの状態、つまり、互換モード(両方のバージョンが使用可能)に戻ります。
例
次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。
関連コマンド
|
|
|
|---|---|
ssl certificate-authentication
クライアント証明書の認証をイネーブルにするには、グローバル コンフィギュレーション モードで ssl certificate-authentication コマンドを使用します。ssl 証明書の認証をディセーブルにするには、このコマンドの no 形式を使用します。
ssl certificate-authentication interface interface-name port port-number
no ssl certificate-authentication interface interface-name port port-numbe r
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、SSL 証明書認証機能を使用するようにセキュリティ アプライアンスを設定する例を示します。
hostname(config)# ssl certificate-authentication interface inside port 330
関連コマンド
|
|
|
|---|---|
ssl client-version
セキュリティ アプライアンスがクライアントとして動作する場合の SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl client-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no バージョンを使用します。このコマンドを使用すると、セキュリティ アプライアンスによって送信される SSL/TLS のバージョンを限定できます。
ssl client-version [ any | sslv3-only | tlsv1-only ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP ポート フォワーディングは、WebVPN ユーザが次の SSL バージョンで接続している場合、動作しません。
問題は、ポート フォワーディング アプリケーションを起動すると、JAVA ではクライアントの Hello パケットで SSLv3 のみがネゴシエートされることです。
例
次に、SSL クライアントとして動作する場合に TLSv1 のみを使用して通信するようにセキュリティ アプライアンスを設定する例を示します。
hostname(config)# ssl client-version tlsv1-only
関連コマンド
|
|
|
|---|---|
ssl encryption
SSL/TLS プロトコルで使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで ssl encryption コマンドを使用します。このコマンドを再度発行すると、前の設定は上書きされます。アルゴリズムの使用の優先順位は、アルゴリズムの順序によって決まります。環境のニーズに合わせてアルゴリズムを追加または削除できます。デフォルト(暗号化アルゴリズムの完全なセット)に戻すには、このコマンドの no 形式を使用します。
ssl encryption [ 3des-sha1 ] [ des-sha1 ] [ rc4-md5 ] [ aes128-sha1 ] [ aes256-sha1 ] [ possibly others ]
構文の説明
デフォルト
デフォルトでは、すべてのアルゴリズムを次の順序で使用できます。
[ ssl encryption ] [ rc4-sha1 ] [ aes128-sha1 ] [ aes256-sha1 ] [ 3des-sha1 ]
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、3des-sha1 および des-sha1 暗号化アルゴリズムを使用するようにセキュリティ アプライアンスを設定する例を示します。
hostname(config)# ssl encryption 3des-sha1 des-sha1
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl server-version
サーバとして動作するときにセキュリティ アプライアンスが使用する SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl server-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no バージョンを使用します。このコマンドを使用すると、セキュリティ アプライアンスによって受け入れられる SSL/TLS のバージョンを限定できます。
ssl server-version [ any | sslv3 | tlsv1 | sslv3-only | tlsv1-only ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP ポート フォワーディングは、WebVPN ユーザが次の SSL バージョンで接続している場合、動作しません。
電子メール プロキシを設定する場合、SSL バージョンを TLSv1 Only に設定しないでください。Outlook および Outlook Express では TLS はサポートされません。
例
次に、SSL サーバとして動作する場合に TLSv1 のみを使用して通信するようにセキュリティ アプライアンスを設定する例を示します。
hostname(config)# ssl server-version tlsv1-only
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
ssl trust-point
インターフェイスの SSL 証明書を表す証明書トラストポイントを指定するには、グローバル コンフィギュレーション モードで ssl trust-point コマンドを interface 引数を指定して使用します。インターフェイスを指定しない場合は、トラストポイントが設定されていないすべてのインターフェイス用のフォールバック トラストポイントが作成されます。インターフェイスを指定しない SSL トラストポイントをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。インターフェイスを指定するエントリを削除するには、このコマンドの no ssl trust-point { trustpoint [interface] } 形式を使用します。
ssl trust-point { trustpoint [interface] }
構文の説明
crypto ca trustpoint { name } コマンドで設定された CA トラストポイントの name 。 |
デフォルト
デフォルトでは、トラストポイント アソシエーションはありません。セキュリティ アプライアンスでは、デフォルトの自己生成 RSA キー ペア証明書が使用されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するときは、次のガイドラインに従ってください。
• trustpoint の値は、 crypto ca trustpoint {name } コマンドで設定された CA トラストポイントの name である必要があります。
• interface の値は、あらかじめ設定されたインターフェイスの nameif 名である必要があります。
• トラストポイントを削除すると、そのトラストポイントを参照する ssl trust-point エントリも削除されます。
• ssl trustpoint エントリは、インターフェイスごとに 1 つと、インターフェイスを指定しないもの 1 つを保持できます。
このコンフィギュレーションには、次の SSL トラストポイントが含まれています。
例
次に、内部インターフェイス用の FirstTrust という名前の ssl トラストポイントと、インターフェイスが関連付けられない DefaultTrust という名前のトラストポイントを設定する例を示します。
hostname(config)# ssl trust-point FirstTrust inside
hostname(config)# ssl trust-point DefaultTrust
次に、このコマンドの no 形式を使用して、インターフェイスが関連付けられていないトラストポイントを削除する例を示します。
hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
hostname(config)# show running-configuration ssl
次に、インターフェイスが関連付けられているトラストポイントを削除する例を示します。
hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
hostname(config)# no ssl trust-point FirstTrust inside
hostname(config)# show running-configuration ssl
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。 |
|
sso-server
セキュリティ アプライアンスのユーザ認証のために Single Sign-On(SSO; シングル サインオン)サーバを作成する場合、webvpn コンフィギュレーション モードで sso-server コマンドを使用します。このコマンドでは、SSO サーバ タイプを指定する必要があります。
SSO サーバを削除するには、このコマンドの no 形式を使用します。
sso-server name type [siteminder | saml-v1.1-post ]
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 sso-server コマンドを使用すると、SSO サーバを作成できます。
認証では、セキュリティ アプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します。セキュリティ アプライアンスは現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。現在、type オプションで使用できる引数は siteminder または saml-V1.1-post に限定されています。
例
次に、webvpn コンフィギュレーション モードで、「example1」という名前の SiteMinder-type の SSO サーバを作成する例を示します。
次に、webvpn コンフィギュレーション モードで、「example2」という名前の SAML、バージョン 1.1、POST-type の SSO サーバを作成する例を示します。
関連コマンド
|
|
|
|---|---|
sso-server value(グループ ポリシー webvpn)
SSO サーバをグループ ポリシーに割り当てるには、グループ ポリシー コンフィギュレーション モードで使用可能な webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。
割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。
デフォルト ポリシーが継承されないようにするには、 sso-server none コマンドを使用します。
sso-server {value name | none}
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ ポリシー webvpn モードで sso-server value コマンドを入力すると、SSO サーバをグループ ポリシーに割り当てることができます。
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
(注) SSO サーバをユーザ ポリシーに割り当てるには、同じコマンド sso-server value をユーザ名 webvpn コンフィギュレーション モードで入力します。
例
次に、グループ ポリシー my-sso-grp-pol を作成し、example という名前の SSO サーバに割り当てるサンプル コマンドを示します。
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンスが、SiteMinder-type の SSO 認証を要求する SSO サーバの URL を指定します。 |
sso-server value(ユーザ名 webvpn)
SSO サーバをユーザ ポリシーに割り当てるには、ユーザ名コンフィギュレーション モードで使用可能な webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。
ユーザの SSO サーバ割り当てを削除するには、このコマンドの no 形式を使用します。
ユーザ ポリシーがグループ ポリシーから不要な SSO サーバ割り当てを継承している場合は、 sso-server none コマンドを使用して割り当てを削除します。
sso-server {value name | none}
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。セキュリティ アプライアンスは、現在、SiteMinder-type の SSO サーバと SAML POST-type の SSO サーバをサポートしています。
sso-server value コマンドを入力すると、SSO サーバをユーザ ポリシーに割り当てることができます。
(注) SSO サーバをグループ ポリシーに割り当てるには、同じコマンド sso-server value をグループ webvpn コンフィギュレーション モードで入力します。
例
次に、my-sso-server という名前の SSO サーバを Anyuser という名前の WebVPN ユーザのユーザ ポリシーに割り当てるサンプル コマンドを示します。
関連コマンド
|
|
|
|---|---|
start-url
オプションの事前ログイン クッキーの取得先 URL を入力するには、AAA サーバ ホスト コンフィギュレーション モードで start-url コマンドを入力します。これは HTTP フォームのコマンドを使用した SSO です。
(注) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。
構文の説明
構文の説明構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、シングル サインオン認証要求を認証 Web サーバに送信できます。認証 Web サーバは、Set-Cookie ヘッダーをログイン ページのコンテンツとともに送信することによって、事前ログイン シーケンスを実行できます。このことは、認証 Web サーバのログイン ページにブラウザで直接接続することによって検出できます。ログイン ページがロードされるときに Web サーバによってクッキーが設定され、このクッキーがその後のログイン セッションに関連する場合、 start-url コマンドを使用してクッキーの取得先 URL を入力する必要があります。実際のログイン シーケンスは、事前ログイン クッキー シーケンスの後で、認証 Web サーバへのフォーム送信により開始されます。
(注) start-url コマンドは、事前ログイン クッキー交換が存在する場合にのみ必要です。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、事前ログイン クッキーを取得するための URL https://example.com/east/Area.do?Page-Grp1 を指定する例を示します。
関連コマンド
|
|
|
|---|---|
state-checking
H.323 の状態チェックを実行するには、パラメータ コンフィギュレーション モードで state-checking コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no state-checking [h225 | ras]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 コールで RAS の状態チェックを実行する例を示します。
関連コマンド
|
|
|
|---|---|
static
実際の IP アドレスをマッピング先の IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換ルールを設定するには、グローバル コンフィギュレーション モードで static コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq [ nailed ]]
no static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq [ nailed ]]
static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq [ nailed ]]
no static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq [ nailed ]]
構文の説明
デフォルト
tcp_max_conns 、 emb_limit 、および udp_max_conns のデフォルト値は 0(無制限)です。この値は、最大使用可能値です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタティック NAT では、実アドレスからマッピング先のアドレスへの固定変換が作成されます。ダイナミック NAT および PAT では、各ホストは、後続の変換ごとに異なるアドレスまたはポートを使用します。スタティック NAT では連続する各接続においてマッピング先のアドレスは同じであり、固定の変換ルールが存在するため、スタティック NAT では、宛先ネットワーク上のホストは変換されたホストへのトラフィックを開始できます(それを許可するアクセス リストがある場合)。
(注) スタティック ポリシー NAT の場合、変換の取り消しにおいて、static コマンド内の ACL は使用されません。パケット内の宛先アドレスがスタティック ルールのマッピング先のアドレスと一致する場合は、アドレスを未変換の状態に戻すのに、スタティック ルールが使用されます。
ダイナミック NAT と、スタティック NAT のアドレス範囲との主な違いは、スタティック NAT では、変換されたホストへの接続をリモート ホストが開始できるが(それを許可するアクセス リストがある場合)、ダイナミック NAT ではできないことです。また、スタティック NAT では、実アドレスと同じ数のマッピング先のアドレスが必要です。
スタティック ポリシー NAT では一致するポートの使用がサポートされていますが、NAT ではサポートされていません。
スタティック PAT はスタティック NAT と同じですが、実アドレスとマッピング先のアドレスに対してプロトコル(TCP または UDP)およびポートを指定できる点が異なります。
この機能を使用すると、複数の異なる static ステートメントで同じマッピング先のアドレスを指定できます。ただし、ステートメントごとにポートが異なる必要があります(複数のスタティック NAT ステートメントに対して同じマッピング先のアドレスを使用することはできません)。
スタティック PAT を使用しない限り、同じ 2 つのインターフェイス間の、複数の static コマンドで、同じ実アドレスまたはマッピング先のアドレスを使用することはできません。同じマッピングされているインターフェイスに対して、 global コマンドでも定義されているマッピング先のアドレスを static コマンドで使用しないでください。
セカンダリ チャネルのアプリケーション インスペクションを必要とするアプリケーション(FTP、VoIP など)に対してポリシー NAT のポートを指定すると、セキュリティ アプライアンスは自動的にセカンダリ ポートを変換します。
変換のためのネットワークを指定すると(10.1.1.0 255.255.255.0 など)、セキュリティ アプライアンスは .0 と .255 のアドレスを変換します。これらのアドレスへのアクセスを禁止する場合は、アクセスを拒否するようにアクセス リストを設定する必要があります。
static コマンド ステートメントを変更または削除した後は、 clear xlate コマンドを使用して変換をクリアします。
また、 set connection コマンドを使用して、最大接続数、最大初期接続数、および TCP シーケンスのランダム化を設定できます。両方の方法を使用して同じトラフィックにこれらの設定を行う場合は、セキュリティ アプライアンスは低い方の制限を使用します。TCP シーケンスのランダム化がいずれかの方法を使用してディセーブルになっている場合、セキュリティ アプライアンスは TCP シーケンスのランダム化をディセーブルにします。
接続属性( dns 、 norandomseq 、 nailed 、 tcp 、および udp )には、ホスト単位の制限があります。ポリシー NAT(アクセス リストを使用)や 3 つ以上のインターフェイスがある NAT などの場合、複数の nat コマンドと static コマンドから接続属性の値を生成できます。そのような場合、最初のパケットと一致するルールの値が、優先される値です。たとえば、次のコンフィギュレーションでは、TCP 接続制限 100 および 200 を適用できます。
ホスト 192.168.1.1 からの最初のパケットが dmz インターフェイス向けである場合、その後の すべて の TCP セッションで TCP 接続制限は 100 です。
例
たとえば、次のポリシー スタティック NAT の例は、宛先アドレスに応じて 2 つのマッピング先のアドレスに変換される単一の実アドレスを示しています。
次のコマンドでは、内部 IP アドレス(10.1.1.3)を外部 IP アドレス(209.165.201.12)にマッピングします。
次のコマンドでは、外部アドレス(209.165.201.15)を内部アドレス(10.1.1.6)にマッピングします。
次のコマンドでは、サブネット全体をスタティックにマッピングします。
次に、限定された数のユーザが Intel Internet Phone、CU-SeeMe、CU-SeeMe Pro、MeetingPoint、または Microsoft NetMeeting を使用して H.323 経由でコール インできるようにする例を示します。 static コマンドでは、アドレス 209.165.201.0 ~ 209.165.201.30 をローカル アドレス 10.1.1.0 ~ 10.1.1.30 にマッピングします(209.165.201.1 が 10.1.1.1 にマッピング、209.165.201.10 が 10.1.1.10 にマッピングなど)。
次の例は、Mail Guard をディセーブルにするために使用するコマンドを示しています。
この例では、static コマンドによって、外部ホストが dmz1 インターフェイス上にある 10.1.1.1 メール サーバ ホストにアクセスできるようにするグローバル アドレスを設定できます。DNS の MX レコードを 209.165.201.1 アドレスを指定するように設定し、メールがこのアドレスに送信されるようにする必要があります。access-list コマンドにより、外部ユーザは SMTP ポート(25)を通じてグローバル アドレスにアクセスできます。no fixup protocol コマンドにより、Mail Guard はディセーブルになります。
たとえば、10.1.3.0 ネットワーク上のホストからセキュリティ アプライアンス外のインターフェイス(10.1.2.14)に向かって開始される Telnet トラフィックの場合、次のコマンドを入力することによって、10.1.1.15 にある内部ホストにトラフィックをリダイレクトできます。
10.1.3.0 ネットワーク上のホストからセキュリティ アプライアンス外のインターフェイス(10.1.2.14)に向かって開始される HTTP トラフィックの場合、次のように入力することによって、10.1.1.15 にある内部ホストにトラフィックをリダイレクトできます。
Telnet トラフィックをセキュリティ アプライアンス外部インターフェイス(10.1.2.14)から内部ホスト 10.1.1.15 にリダイレクトするには、次のコマンドを入力します。
ただし、上記の実際の Telnet サーバが接続を開始できるようにするには、変換を追加する必要があります。たとえば、その他のすべてのタイプのトラフィックを変換するには、次のコマンドを入力します。元の static コマンドは、Telnet からサーバへの変換を行います。一方、 nat コマンドと global コマンドは、サーバからの発信接続のための PAT を指定します。
すべての内部トラフィックについて個別の変換も保持し、内部ホストが Telnet サーバとは異なるマッピング先のアドレスを使用する場合でも、Telnet サーバから開始されるトラフィックが、サーバへの Telnet トラフィックを許可する static ステートメントと同じマッピング先のアドレスを使用するように設定できます。Telnet サーバ専用の、より排他的な nat ステートメントを作成する必要があります。 nat ステートメントは最も一致しているものが読み取られるため、より排他的な nat ステートメントは一般的なステートメントよりも前に一致します。次に、Telnet の static ステートメント、Telnet サーバから開始されるトラフィック用の、より排他的な nat ステートメント、および異なるマッピング先のアドレスを使用する他の内部ホスト用のステートメントの例を示します。
well-known ポート(80)を別のポート(8080)に変換するには、次のコマンドを入力します。
関連コマンド
|
|
|
|---|---|
strict-header-validation
RFC 3261 に従って、SIP メッセージのヘッダー フィールドの厳密な検証をイネーブルにするには、パラメータ コンフィギュレーション モードで strict-header-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
strict-header-validation action {drop | drop-connection | reset | log} [log}
no strict-header-validation action {drop | drop-connection | reset | log} [log}
構文の説明
違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで SIP ヘッダー フィールドの厳密な検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
strict-http
HTTP に準拠していないトラフィックの転送を許可するには、HTTP マップ コンフィギュレーション モードで strict-http コマンドを使用します。このモードには http-map コマンドを使用してアクセスできます。この機能をデフォルトの動作にリセットするには、このコマンドの no 形式を使用します。
strict-http action { allow | reset | drop } [ log ]
no strict-http action { allow | reset | drop } [ log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
厳密な HTTP インスペクションをディセーブルにすることはできませんが、 strict-http action allow コマンドを使用すると、HTTP に準拠していないトラフィックの転送がセキュリティ アプライアンスで許可されます。このコマンドによって、デフォルトの動作(HTTP に準拠していないトラフィックの転送を拒否する)が上書きされます。
例
次に、HTTP に準拠していないトラフィックの転送を許可する例を示します。
関連コマンド
|
|
|
|---|---|
strip-group
このコマンドは、user@realm の形式で受信されるユーザ名にのみ適用されます。レルムは、「@」デリミタを使用してユーザ名に追加される管理ドメインです(juser@abc など)。
グループ除去処理をイネーブルまたはディセーブルにするには、トンネル グループ一般属性モードで strip-group コマンドを使用します。セキュリティ アプライアンスでは、VPN クライアントによって提示されるユーザ名からグループ名を取得して、IPSec 接続のトンネル グループを選択します。グループ除去処理をイネーブルにすると、セキュリティ アプライアンスでは、ユーザ名のユーザ部分のみを認可/認証のために送信します。それ以外の場合(ディセーブルの場合)、セキュリティ アプライアンスではレルムを含むユーザ名全体を送信します。
グループ除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この属性は、IPSec リモート アクセス トンネル タイプだけに適用できます。
(注) MSCHAPv2 の制限により、MSCHAPv2 を PPP 認証に使用すると、トンネル グループのスイッチングを実行できません。MSCHAPv2 中のハッシュ計算はユーザ名の文字列にバインドされます(ユーザ + 区切り + グループなど)。
例
次に、IPSec リモート アクセス タイプの「remotegrp」という名前のリモート アクセス トンネル グループを設定し、一般コンフィギュレーション モードを開始し、「remotegrp」という名前のトンネル グループをデフォルトのグループ ポリシーとして設定して、そのトンネル グループに対してグループ除去をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定します。 |
|
strip-realm
レルム除去処理をイネーブルまたはディセーブルにするには、トンネル グループ一般属性コンフィギュレーション モードで strip-realm コマンドを使用します。レルム除去処理によって、ユーザ名を認証サーバまたは認可サーバに送信するときに、ユーザ名からレルムが削除されます。レルムは、@ デリミタを使用してユーザ名に追加される管理ドメインです(username@realm など)。このコマンドをイネーブルにすると、セキュリティ アプライアンスでは、ユーザ名のユーザ部分のみを認可/認証のために送信します。それ以外の場合、セキュリティ アプライアンスではユーザ名全体を送信します。
レルム除去処理をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、IPSec リモート アクセス タイプの「remotegrp」という名前のリモート アクセス トンネル グループを設定し、一般コンフィギュレーション モードを開始し、「remotegrp」という名前のトンネル グループをデフォルトのグループ ポリシーとして設定して、そのトンネル グループに対してレルム除去をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
storage-key
セッション間に保管されるデータを保護するストレージ キーを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-key コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
storage- key { none | value < string >}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ストレージ キーの値にはスペース以外の任意の文字を使用できますが、標準的な英数字セット(0 ~ 9 および a ~ z)のみを使用することを推奨します。
例
次に、ストレージ キーを値 abc123 に設定する例を示します。
hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# storage-key value abc123
関連コマンド
|
|
|
|---|---|
storage-objects
セッション間に保管されるデータについて使用するストレージ オブジェクトを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-objects コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
storage- objects { none | value < string >}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ストレージ オブジェクト名にはスペースおよびカンマ以外の任意の文字を使用できますが、標準的な英数字セット(0 ~ 9 および a ~ z)のみを使用することを推奨します。ストリング内でストレージ オブジェクトの名前を区切るには、カンマをスペースなしで使用します。
例
次に、ストレージ オブジェクト名を cookies および xyz456 に設定する例を示します。
hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# storage-object value cookies,xyz456
関連コマンド
|
|
|
|---|---|
subject-name(クリプト CA 証明書マップ)
IPSec ピア証明書のサブジェクト DN にルール エントリが適用されることを指定するには、クリプト CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。
subject-name [ attr tag ] eq | ne |co | nc string ]
no subject-name [ attr tag ] eq | ne |co | nc string ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、証明書マップ 1 に対して CA 証明書マップ モードを開始し、証明書サブジェクト名の組織属性が Central と等しくなる必要があることを指定するルール エントリを作成する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。 |
subject-name(クリプト CA トラスト ポイント)
指定したサブジェクト DN を登録時に証明書に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。これは、証明書を使用する人またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
X.500 認定者名を定義します。属性と値のペアを区切るには、カンマを使用します。カンマやスペースを含む値は、引用符で囲みます。たとえば、 cn=crl,ou=certs,o="cisco systems, inc.",c=US です。最大長は 500 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始し、URL https//:frog.phoobin.com での自動登録を設定し、サブジェクト DN OU certs をトラストポイント central の登録要求に含める例を示します。
関連コマンド
|
|
|
|---|---|
subject-name-default
ローカル CA サーバが発行するすべてのユーザ証明書でユーザ名に追加される一般的なサブジェクト名 DN を指定するには、CA サーバ コンフィギュレーション モードで subject-name-default コマンドを使用します。サブジェクト名 DN をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
このコマンドは、デフォルトのコンフィギュレーションの一部ではありません。このコマンドでは、証明書のデフォルトの DN を指定します。ユーザ入力に DN がある場合、このコマンドはセキュリティ アプライアンスによって無視されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
subject-name-default コマンドでは、発行される証明書のサブジェクト名を構成するユーザ名で使用される、共通の一般的な認定者名を指定します。この目的には、 dn 値は cn=username で十分です。このコマンドによって、ユーザごとに個別にサブジェクト名 DN を定義する必要がなくなります。
セキュリティ アプライアンスでは、このコマンドは、ユーザ入力で DN が指定されない場合に、証明書を発行するときにのみ使用されます。 crypto ca server user-db add dn dn コマンドを使用してユーザが追加される場合、DN フィールドは任意です。
例
hostname(config-ca-server)# subject-name-default cn=cisco,cn=example_corp,ou=eng,st=ma, c="cisco systems, inc.”
hostname(config-ca-server)#
関連コマンド
|
|
|
|---|---|
CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。 |
|
summary-address(OSPF)
OSPF の集約アドレスを作成するには、ルータ コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスまたは特定のサマリー アドレス オプションを削除するには、このコマンドの no 形式を使用します。
summary-address addr mask [ not-advertise ] [ tag tag_value ]
no summary-address addr mask [ not-advertise ] [ tag tag_value ]
構文の説明
(任意)各外部ルートに付けられた 32 ビットの 10 進値。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効値の範囲は、0 ~ 4294967295 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
他のルーティング プロトコルから学習したルートをサマライズできます。このコマンドを OSPF に対して使用すると、OSPF Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)により、このアドレスの対象となる再配布されるすべてのルートの集約として、1 つの外部ルートがアドバタイズされます。このコマンドでは、OSPF に再配布されている、他のルーティング プロトコルからのルートのみが集約されます。OSPF エリア間のルート集約には area range コマンドを使用します。
summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を、任意のキーワードまたは引数を指定しないで使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、このコマンドの no 形式を使用して、削除するオプションを指定します。詳細については、「例」を参照してください。
例
次の例では、 tag を 3 に設定してルート集約を設定しています。
次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。
次の例では、コンフィギュレーションから summary-address コマンドを削除しています。
関連コマンド
|
|
|
|---|---|
summary-address(EIGRP)
特定のインターフェイスの EIGRP のサマリーを設定するには、インターフェイス コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスを削除するには、このコマンドの no 形式を使用します。
summary-address as-number addr mask [ admin-distance ]
no summary-address as-number addr mask
構文の説明
(任意)集約ルートのアドミニストレーティブ ディスタンス。有効な値は、0 ~ 255 です。指定されていない場合、デフォルト値は 5 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。自動ルート集約をディセーブルにするには、 no auto-summary コマンドを使用します。 summary-address コマンドを使用すると、サブネット ルート集約をインターフェイス単位で手動で定義できます。
例
次の例では、 tag を 3 に設定してルート集約を設定しています。
次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。
次の例では、コンフィギュレーションから summary-address コマンドを削除しています。
関連コマンド
|
|
|
|---|---|
sunrpc-server
SunRPC サービス テーブルのエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。SunRPC サービス テーブルのエントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port ] timeout hh:mm:ss
no sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port] timeout hh:mm:ss
no sunrpc-server active service service_type server ip_addr
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SunRPC サービス テーブルは、timeout で指定された時間、確立された SunRPC セッションに基づいて、SunRPC トラフィックがセキュリティ アプライアンスを通過するのを許可するために使用します。
例
次に、SunRPC サービス テーブルを作成する例を示します。
関連コマンド
|
|
|
|---|---|
support-user-cert-validation
現在のトラストポイントが、リモート ユーザ証明書を発行した CA に対して認証されている場合に、このトラストポイントに基づいてリモート証明書を検証するには、クリプト CA トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no support-user-cert-validation
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスでは、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central でユーザ検証を受け入れることができるようにする例を示します。
関連コマンド
|
|
|
|---|---|
svc ask
セキュリティ アプライアンスがリモート SSL VPN クライアント ユーザに対してクライアントのダウンロードを促せるようにするには、グループ ポリシー WebVPN またはユーザ名 webvpn コンフィギュレーション モードから svc ask コマンドを使用します。
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
svc ask {none | enable [default {webvpn | svc} timeout value ]}
no svc ask none [default {webvpn | svc}]
構文の説明
デフォルト
このコマンドのデフォルトは、 svc ask none default webvpn です。セキュリティ アプライアンスによって、クライアントレス接続のポータル ページがただちに表示されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
図 31-1 に、 default svc timeout value または default webvpn timeout value が設定された場合にリモート ユーザに表示されるプロンプトを示します。
図 31-1 SSL VPN Client のダウンロードに関してリモート ユーザに表示されるプロンプト
例
次に、セキュリティ アプライアンスを設定して、リモート ユーザにクライアントのダウンロードを要求するか、ポータル ページに移動して、 ユーザの応答を 10 秒 待機してからクライアントをダウンロードするように設定する例を示します。
関連コマンド
|
|
|
リモート PC へのダウンロードのためにセキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。 |
svc compression
特定のグループまたはユーザについて、SSL VPN 接続での http データの圧縮をイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、svc compression コマンドを使用します。
コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
svc compression {deflate | none}
no svc compression {deflate | none}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSL VPN 接続の場合、webvpn コンフィギュレーション モードで設定された compression コマンドによって、グループ ポリシー webvpn モードおよびユーザ名 webvpn モードで設定された svc compression コマンドは上書きされます。
例
次の例では、グループ ポリシー sales に対して SVC 圧縮はディセーブルです。
関連コマンド
|
|
|
svc dpd-interval
Dead Peer Detection(DPD; デッド ピア検出)をセキュリティ アプライアンスでイネーブルにし、リモート クライアントとセキュリティ アプライアンスのいずれかで SSL VPN 接続を介した DPD を実行する頻度を設定するには、グループ ポリシーまたはユーザ名 webvpn モードで svc dpd-interval コマンドを使用します。
svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }
no svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }
コンフィギュレーションからこのコマンドを削除し、値を継承するには、コマンドの no 形式を使用します。
構文の説明
デフォルト
デフォルトでは、DPD はイネーブルであり、セキュリティ アプライアンス(ゲートウェイ)とクライアントの両方で 30 秒に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
デフォルト設定が、ディセーブルから、セキュリティ アプライアンス(ゲートウェイ)とクライアントの両方で 30 秒に変更されました。 |
例
次の例では、ユーザは、既存のグループ ポリシー sales について、セキュリティ アプライアンス(ゲートウェイ)で実行される DPD の頻度を 3000 秒に設定し、クライアントで実行される DPD の頻度を 1000 秒に設定します。
関連コマンド
|
|
|
リモート コンピュータ上のクライアントからセキュリティ アプライアンスにキープアライブ メッセージが SSL VPN 接続で送信される頻度を指定します。 |
|
クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続のためにリモート PC 上にインストールされたままになります。 |
|
svc dtls enable
Cisco AnyConnect VPN Client との SSL VPN 接続を確立している特定のグループまたはユーザのインターフェイスで Datagram Transport Layer Security(DTLS)接続をイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名属性 webvpn コンフィギュレーション モードで dtls enable コマンドを使用します。
コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DTLS をイネーブルにすると、SSL VPN 接続を確立している AnyConnect クライアントで、2 つの同時トンネル(SSL トンネルと DTLS トンネル)を使用できます。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。
DTLS をイネーブルにしない場合、SSL VPN 接続を確立する AnyConnect クライアント ユーザは SSL トンネル経由でだけ接続できます。
このコマンドでは、特定のグループまたはユーザについて DTLS をイネーブルにします。すべての AnyConnect クライアント ユーザについて DTLS をイネーブルにするには、webvpn コンフィギュレーション モードで dtls enable コマンドを使用します。
例
次に、グループ ポリシー sales のグループ ポリシー webvpn コンフィギュレーション モードを開始し、DTLS をイネーブルにする例を示します。
関連コマンド
|
|
|
svc enable
セキュリティ アプライアンスがリモート コンピュータに SSL VPN クライアントをダウンロードできるようにするには、webvpn コンフィギュレーション モードで svc enable コマンドを使用します。
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、ユーザはセキュリティ アプライアンスによってクライアントをダウンロードできるようにします。
関連コマンド
svc image
リモート PC へのダウンロード用にセキュリティ アプライアンスによってキャッシュ メモリに展開されている SSL VPN クライアント パッケージ ファイルを指定するには、webvpn コンフィギュレーション モードで svc image コマンドを使用します。
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
svc image filename order [regex expression ]
no svc image filename order [regex expression ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パッケージ ファイルの番号付けにより、セキュリティ アプライアンスが、オペレーティング システムと一致するまで、パッケージ ファイルの一部をリモート PC にダウンロードする順序が確立されます。最も番号の小さいパッケージ ファイルが最初にダウンロードされます。したがって、リモート PC で最も一般的に使用されるオペレーティング システムと一致するパッケージ ファイルに、最も小さい番号を割り当てる必要があります。
デフォルトの順序は 1 です。 order 引数を指定しない場合は、 svc image コマンドを入力するたびに、以前に番号 1 と見なされたイメージに上書きします。
クライアント パッケージ ファイルごとに任意の順序で svc image コマンドを入力できます。たとえば、2 番め( order 2)にダウンロードされるパッケージ ファイルを指定してから、最初( order 1)にダウンロードされるパッケージ ファイルを指定する svc image コマンドを入力できます。
モバイル ユーザの場合、 regex keyword を使用して、モバイル デバイスの接続時間を短縮できます。ブラウザがセキュリティ アプライアンスに接続するとき、User-Agent ストリングが HTTP ヘッダーに含められます。セキュリティ アプライアンスによってストリングが受信され、そのストリングがあるイメージ用に設定された式と一致すると、そのイメージがただちにダウンロードされます。この場合、他のクライアント イメージはテストされません。
セキュリティ アプライアンスでは、SSL VPN クライアントと Cisco Secure Desktop(CSD)の両方のパッケージ ファイルがキャッシュ メモリに展開されます。セキュリティ アプライアンスでパッケージ ファイルを正常に展開するには、パッケージ ファイルのイメージとファイルを保管するのに十分なキャッシュ メモリが必要です。
パッケージの展開に十分なキャッシュ メモリがないことをセキュリティ アプライアンスが検出した場合、コンソールにエラー メッセージが表示されます。次に、 svc image コマンドを使用してパッケージ ファイルをインストールしようとした後でレポートされるエラー メッセージの例を示します。
パッケージ ファイルをインストールしようとしたときにこのエラーが発生した場合は、グローバル コンフィギュレーション モードで dir cache:/ コマンドを使用して、残っているキャッシュ メモリの量と以前にインストールしたパッケージのサイズを調べます。それに応じて、webvpn コンフィギュレーション モードで cache-fs limit コマンドを使用して、キャッシュ サイズの制限を調整します。
例
次の例では、show webvpn svc コマンドの出力により、windows.pkg ファイルの順序番号が 1 であり、windows2.pkg ファイルの順序番号が 15 であることが示されます。リモート コンピュータによって接続が確立されるときに、windows.pkg ファイルが最初にダウンロードされます。このファイルがオペレーティング システムと一致しない場合、windows2.pkg ファイルがダウンロードされます。
次に、ユーザは svc image コマンドを使用してパッケージ ファイルの順序を変更します。windows2.pkg ファイルをリモート PC にダウンロードされる最初のファイルとし、windows.pkg ファイルを 2 番めにダウンロードされるようにします。
show webvpn svc コマンドを再入力すると、ファイルの新しい順序が表示されます。
次に、CSD イメージ(sdesktop 内に存在)と SSL VPN クライアント イメージ(stc 内に存在)によって約 5.44 MB のキャッシュ メモリが使用されている例を示します。十分なキャッシュ メモリを作成するために、ユーザがキャッシュ サイズの制限を 6 MB に設定しています。
関連コマンド
|
|
|
セキュリティ アプライアンスにインストールされ、リモート PC へのダウンロード用にキャッシュ メモリにロードされた SSL VPN クライアントの情報を表示します。 |
|
svc keepalive
SSL VPN 接続でリモート クライアントからセキュリティ アプライアンスに送信されるキープアライブ メッセージの頻度を設定するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 svc keepalive コマンドを使用します。
コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。
svc keepalive {none | seconds }
no svc keepalive {none | seconds }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
従来の Cisco SSL VPN Client(SVC)と Cisco AnyConnect VPN Client の両方で、セキュリティ アプライアンスへの SSL VPN 接続を確立するときにキープアライブ メッセージを送信できます。
接続をアイドル状態で維持できる時間がデバイスによって制限されている場合も、プロキシ、ファイアウォール、または NAT デバイスを経由した SSL VPN 接続が確実に開いたままで保たれるように、キープアライブ メッセージの頻度を調整できます( seconds で指定)。
また、頻度を調整すると、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケット ベース アプリケーションをアクティブに実行していない場合でも、クライアントは切断および再接続されません。
(注) キープアライブはデフォルトでイネーブルになっています。キープアライブをディセーブルにすると、フェールオーバー イベントの際に、SSL VPN クライアント セッションはスタンバイ デバイスに引き継がれません。
例
次の例では、ユーザは、 sales という名前の既存のグループ ポリシーについて、セキュリティ アプライアンスを設定し、クライアントがキープアライブ メッセージを 300 秒(5 分)の頻度で送信できるようにします。
関連コマンド
|
|
|
セキュリティ アプライアンスで Dead Peer Detection(DPD; デッド ピア検出)をイネーブルにし、クライアントまたはセキュリティ アプライアンスによって DPD が実行される頻度を設定します。 |
|
クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続のためにリモート PC 上にインストールされたままになります。 |
|
svc keep-installer
リモート PC への SSL VPN クライアントの永続インストールをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、svc keep-installer コマンドを使用します。
コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。
svc keep-installer { installed | none }
no svc keep-installer { installed | none }
構文の説明
クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続に備えてリモート PC にインストールされたままとなります。 |
|
デフォルト
デフォルトでは、クライアントの永続インストールがイネーブルです。セッションの終了時に、クライアントはリモート コンピュータ上に残ります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ユーザはグループ ポリシー webvpn コンフィギュレーション モードを開始し、セッションの終了時にクライアントを削除するようにグループ ポリシーを設定します。
関連コマンド
|
|
|
セキュリティ アプライアンスにインストールされ、リモート PC へのダウンロード用にキャッシュ メモリにロードされた SSL VPN クライアントの情報を表示します。 |
|
リモート PC へのダウンロードのためにセキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。 |
svc modules
オプション機能のために AnyConnect SSL VPN Client で必要となるオプション モジュールの名前を指定するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 svc modules コマンドを使用します。
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
svc modules { none | value string }
no svc modules { none | value string }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ダウンロード時間を最小にするために、クライアントでは、サポートする各機能に必要なモジュールのダウンロード(セキュリティ アプライアンスから)のみを要求します。 svc modules コマンドにより、セキュリティ アプライアンスでこれらのモジュールをダウンロードできます。 none を選択すると、セキュリティ アプライアンスによって基本的なファイルがダウンロードされ、オプションのモジュールはダウンロードされません。
vpngina ストリングを使用して、Start Before Logon(SBL)機能をイネーブルにします。このストリングにより、セキュリティ アプライアンスでは AnyConnect クライアント VPN 接続用の Graphical Identification and Authentication(GINA)をダウンロードできます。
すべてのクライアント機能に入力する値の一覧については、Cisco AnyConnect VPN Client のリリース ノートを参照してください。
例
次の例では、ユーザはグループ ポリシー telecommuters でグループ ポリシー属性モードを開始し、そのグループ ポリシーで webvpn コンフィギュレーション モードを開始し、ストリング vpngina を指定します。
関連コマンド
|
|
|
セキュリティ アプライアンスのキャッシュ メモリにロードされていてダウンロード可能な SSL VPN クライアントについての情報を表示します。 |
|
リモート PC へのダウンロード用にセキュリティ アプライアンスによってキャッシュ メモリに展開されている SSL VPN クライアント パッケージ ファイルを指定します。 |
svc mtu
Cisco AnyConnect VPN Client によって確立された SSL VPN 接続の MTU サイズを調整するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで、 svc mtu コマンドを使用します。
コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、AnyConnect クライアントのみに影響します。Cisco SSL VPN Client(SVC)は、異なる MTU サイズに調整できません。
デフォルトのグループ ポリシーでのこのコマンドのデフォルトは、 no svc mtu です。MTU サイズは、接続で使用されているインターフェイスの MTU に基づき、IP/UDP/DTLS のオーバーヘッドを差し引いて、自動的に調整されます。
このコマンドは、SSL のみで確立された AnyConnect クライアント接続と、DTLS を使用する SSL で確立された AnyConnect クライアント接続に影響します。
例
次に、グループ ポリシー telecommuters について、MTU サイズを 500 バイトに設定する例を示します。
関連コマンド
|
|
|
クライアントの自動アンインストール機能をディセーブルにします。初期ダウンロード後、接続が終了した後もクライアントはリモート PC 上に残ります。 |
|
svc profiles(グループ ポリシーまたはユーザ名属性)
Cisco AnyConnect VPN Client ユーザにダウンロードされるプロファイル パッケージを指定するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名属性 webvpn コンフィギュレーション モードで、 svc profile コマンドを使用します。
コンフィギュレーションからこのコマンドを削除し、値を継承するには、コマンドの no 形式を使用します。
svc profiles { value profile | none }
no svc profiles { value profile | none }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドをグループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名属性 webvpn コンフィギュレーション モードで入力すると、セキュリティ アプライアンスによってグループ ポリシーまたはユーザ名に基づいてプロファイルをユーザにダウンロードできます。プロファイルを すべての ユーザにダウンロードするには、このコマンドを webvpn コンフィギュレーション モードで使用します。
プロファイルは設定パラメータのグループであり、クライアントによって、ホスト コンピュータの名前やアドレスを含めて、クライアント ユーザ インターフェイスに表示される接続エントリの設定に使用されます。AnyConnect ユーザ インターフェイスを使用して、プロファイルを作成および保存できます。また、テキスト エディタでこのファイルを編集し、ユーザ インターフェイスからは設定できないパラメータの詳細を設定することもできます。
クライアント インストールには、編集可能なプロファイル テンプレート(AnyConnectProfile.tmpl)が含まれており、別のプロファイル ファイルを作成するための基本として使用できます。プロファイルの編集について詳しくは、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。
例
次の例では、ユーザは使用可能なプロファイルを表示する svc profiles value コマンドを照会します。
ユーザはその後、プロファイル sales を使用するようグループ ポリシーを設定しています。
関連コマンド
|
|
|
リモート PC へのダウンロードのためにセキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。 |
svc profiles(webvpn)
セキュリティ アプライアンスによってキャッシュ メモリにロードされて、Cisco AnyConnect VPN Client ユーザのグループ ポリシーおよびユーザ属性で使用可能となるプロファイル パッケージとして、ファイルを指定するには、webvpn コンフィギュレーション モードで svc profile コマンドを使用します。
コンフィギュレーションからこのコマンドを削除し、セキュリティ アプライアンスによってパッケージ ファイルがキャッシュ メモリからアンロードされるようにするには、このコマンドの no 形式を使用します。
no svc profiles { profile path}
構文の説明
デフォルト
デフォルトは none です。プロファイル パッケージはセキュリティ アプライアンスによってキャッシュ メモリにロードされません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プロファイルは設定パラメータのグループであり、AnyConnect クライアントによって、ホスト コンピュータの名前やアドレスを含めて、ユーザ インターフェイスに表示される接続エントリの設定に使用されます。クライアント ユーザ インターフェイスを使用して、プロファイルを作成および保存できます。
また、テキスト エディタでこのファイルを編集し、ユーザ インターフェイスからは設定できないパラメータの詳細を設定することもできます。クライアント インストールには、編集可能なプロファイル テンプレート(AnyConnectProfile.tmpl)が含まれており、別のプロファイル ファイルを作成するための基本として使用できます。プロファイルの編集について詳しくは、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。
新しいプロファイルを作成してフラッシュ メモリにアップロードした後、webvpn コンフィギュレーション モードで svc profiles コマンドを使用して、セキュリティ アプライアンスに対して XML ファイルをプロファイルとして指定します。このコマンドによって、ファイルはセキュリティ アプライアンス上のキャッシュ メモリにロードされます。次に、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名属性コンフィギュレーション モードで svc profiles コマンドを使用して、グループまたはユーザのプロファイルを指定できます。
例
次の例では、ユーザはまずクライアントのインストールに付属する AnyConnectProfile.tmpl ファイルから 2 つの新規プロファイル ファイル(sales_hosts.xml と engineering_hosts.xml)を作成し、セキュリティ アプライアンスのフラッシュ メモリにアップロードしています。
さらに、ユーザはそれらのファイルを AnyConnect のプロファイルとしてセキュリティ アプライアンスに指定し、 sales と engineering という名前を指定しています。
dir cache:stc/profiles コマンドを入力すると、キャッシュ メモリにロードされたプロファイルが表示されます。
これで、これらをグループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名属性コンフィギュレーション モードでの svc profiles コマンドで使用できます。
関連コマンド
|
|
|
リモート PC へのダウンロード用にセキュリティ アプライアンスによってキャッシュ メモリに展開されている SSL VPN パッケージ ファイルを指定します。 |
svc rekey
SSL VPN 接続でリモート クライアントがキーの再生成を実行できるようにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで svc rekey コマンドを使用します。
コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。
svc rekey { method { ssl | new-tunnel } | time minutes | none }
no svc rekey { method { ssl | new-tunnel } | time minutes | none }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
従来の Cisco SSL VPN Client(SVC)と Cisco AnyConnect VPN クライアントは、両方ともセキュリティ アプライアンスへの SSL VPN 接続上でキーの再作成を実行できます。
例
次の例では、ユーザは、グループ ポリシー sales に属するリモート クライアントがキーの再生成時に SSL と再ネゴシエートし、セッションの開始後 30 分でキーの再生成が発生することを指定します。
関連コマンド
switchport access vlan
ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチを搭載したモデルの場合、インターフェイス コンフィギュレーション モードで switchport access vlan コマンドを使用して、スイッチ ポートを VLAN に割り当てます。
no switchport access vlan number
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トランスペアレント ファイアウォール モードでは、ASA 5505 適応型セキュリティ アプライアンスの Base ライセンスで 2 つのアクティブ VLAN、Security Plus ライセンスで 3 つのアクティブ VLAN を設定でき、そのうちの 1 つはフェールオーバー用である必要があります。
ルーテッド モードでは、ASA 5505 適応型セキュリティ アプライアンスの Base ライセンスで最大 3 つのアクティブ VLAN、Security Plus ライセンスで最大 20 のアクティブ VLAN を設定できます。
アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。
switchport access vlan コマンドを使用して、1 つ以上の物理インターフェイスを各 VLAN に割り当てることができます。デフォルトでは、インターフェイスの VLAN モードはアクセス ポートになります(インターフェイスに関連付けられた 1 つの VLAN)。インターフェイスで複数の VLAN を渡すトランク ポートを作成する場合は、 switchport mode access trunk コマンドを使用してモードをトランク モードに変更してから、 switchport trunk allowed vlan コマンドを使用します。
例
次に、5 つの物理インターフェイスを 3 つの VLAN インターフェイスに割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
switchport mode
ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチを搭載したモデルの場合、インターフェイス コンフィギュレーション モードで switchport mode コマンドを使用して、VLAN モードをアクセス(デフォルト)またはトランクに設定します。
switchport mode { access | trunk }
no switchport mode { access | trunk }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、スイッチ ポートの VLAN モードはアクセス ポートになります(スイッチ ポートに関連付けられた 1 つの VLAN)。アクセス モードでは、 switchport access vlan コマンドを使用してスイッチ ポートを VLAN に割り当てます。スイッチ ポートで複数の VLAN を渡すトランク ポートを作成する場合は、モードをトランク モードに設定してから、 switchport trunk allowed vlan コマンドを使用して複数の VLAN をトランクに割り当てます。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。トランク モードが使用できるのは Security Plus ライセンスだけです。
モードをアクセス モードに設定しない限り、 switchport vlan access コマンドは有効になりません。モードをトランク モードに設定しない限り、 switchport trunk allowed vlan コマンドは有効になりません。
例
次に、VLAN 100 に割り当てられたアクセス モードのスイッチ ポートおよび VLAN 200 および 300 に割り当てられたトランク モードのスイッチ ポートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport monitor
ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチを搭載したモデルの場合、インターフェイス コンフィギュレーション モードで switchport monitor コマンドを使用して、SPAN(スイッチ ポート モニタリングとも呼ばれる)をイネーブルにします。このコマンドを入力する対象のポート(宛先ポートと呼ばれる)では、指定した送信元ポートで送受信されるすべてのパケットのコピーを受信します。SPAN 機能を使用すると、トラフィックをモニタできるように、スニファを宛先ポートに接続できます。このコマンドを複数回入力して、複数の送信元ポートを指定できます。SPAN をイネーブルにすることができるのは、1 つの宛先ポートのみです。送信元ポートのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
switchport monitor source_port [ tx | rx | both ]
no switchport monitor source_port [ tx | rx | both ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SPAN をイネーブルにしない場合、スニファをスイッチ ポートの 1 つに接続すると、そのポートで送受信されるトラフィックのみがキャプチャされます。複数のポートで送受信されるトラフィックをキャプチャするには、SPAN をイネーブルにし、モニタするポートを指定する必要があります。
例
次に、イーサネット 0/0 ポートとイーサネット 0/2 ポートをモニタする宛先ポートとして、イーサネット 0/1 ポートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
switchport protected
ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチを搭載したモデルの場合、インターフェイス コンフィギュレーション モードで switchport protected コマンドを使用して、スイッチ ポートが同じ VLAN 上の他の保護されたスイッチ ポートと通信しないようにします。この機能により、あるスイッチ ポートが侵害された場合に、VLAN 上の他のスイッチ ポートに対して強固なセキュリティを提供します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに switchport protected コマンドを適用すると、Web サーバを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバすべてと通信でき、その逆も可能ですが、Web サーバは相互に通信できません。
例
次に、7 つのスイッチ ポートを設定する例を示します。イーサネット 0/4、0/5、および 0/6 は DMZ ネットワークに割り当てられ、相互から保護されます。
関連コマンド
|
|
|
|---|---|
switchport trunk
ASA 5505 適応型セキュリティ アプライアンスなど、組み込みスイッチを搭載したモデルの場合、インターフェイス コンフィギュレーション モードで switchport trunk コマンドを使用して、VLAN をトランク ポートに割り当てます。VLAN をトランクから削除するには、このコマンドの no 形式を使用します。
switchport trunk {allowed vlans vlan_range | native vlan v lan }
no switchport trunk {allowed vlans vlan_range | native vlan v lan }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、スイッチ ポートごとに 4 つ以上の VLAN を許可するように変更されました。また、1 つのみに制限されず、複数のトランク ポートを設定できるようになりました。このコマンドで、VLAN ID を区切るためにスペースではなくカンマも使用されます。 |
|
使用上のガイドライン
スイッチ ポートで複数の VLAN を渡すトランク ポートを作成する場合は、 switchport mode trunk コマンドを使用してモードをトランク モードに設定してから、 switchport trunk コマンドを使用して VLAN をトランクに割り当てます。このスイッチ ポートに少なくとも 1 つの VLAN を割り当てるまで、このスイッチ ポートでトラフィックを渡すことはできません。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。トランク モードが使用できるのは Security Plus ライセンスだけです。 switchport mode trunk コマンドを使用してモードをトランク モードに設定しない限り、 switchport trunk コマンドは有効になりません。
(注) このコマンドにはバージョン 7.2(1) との下位互換性はありません。VLAN を区切るカンマは 7.2(1) では認識されません。ダウングレードする場合は、VLAN をスペースで区切り、3 つの VLAN という制限を超えないようにしてください。
例
次に、7 つの VLAN インターフェイスを設定する例を示します。 failover lan コマンドを使用して設定するフェールオーバー インターフェイスが含まれています。VLAN 200、201、および 202 は、イーサネット 0/1 でトランキングされています。
関連コマンド
|
|
|
|---|---|
synack-data
データが含まれる TCP SYNACK パケットのアクションを設定するには、tcp マップ コンフィギュレーション モードで synack-data コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. synack-data :tcp マップ コンフィギュレーション モードでは、 synack-data などの数多くのコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
例
次に、データが含まれる TCP SYNACK パケットを許可するようにセキュリティ アプライアンスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
syn-data
データが含まれる SYN パケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで syn-data コマンドを使用して、SYN パケット内にデータが含まれるパケットをドロップします。
TCP の仕様によると、TCP 実装は SYN パケット内に含まれているデータを受け入れる必要があります。これは微妙であいまいな点であるため、一部の実装ではこのことが正しく処理されない場合があります。不適切なエンドシステム実装などの挿入攻撃に対する脆弱性を回避するために、SYN パケット内にデータが含まれるパケットをドロップすることを選択できます。
例
次に、データが含まれる SYN パケットをすべての TCP フローでドロップする例を示します。
関連コマンド
|
|
|
|---|---|
sysopt connection permit-vpn
VPN トンネルを介してセキュリティ アプライアンスに入り復号化されるトラフィックに対して、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを使用して、トラフィックがインターフェイス アクセス リストをバイパスできるようにします。グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
no sysopt connection permit-vpn
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、デフォルトでイネーブルになりました。また、インターフェイス アクセス リストのみがバイパスされます。グループ ポリシーまたはユーザ単位のアクセス リストは有効なままです。 |
|
使用上のガイドライン
デフォルトでは、セキュリティ アプライアンスによって、VPN トラフィックがセキュリティ アプライアンスのインターフェイスで終端することが許可されています。IKE または ESP(またはその他のタイプの VPN パケット)をインターフェイス アクセス リストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、コンフィギュレーションが簡略化され、セキュリティ アプライアンスのパフォーマンスはセキュリティ リスクを負うことなく最大化されます (グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます)。
no sysopt connection permit-vpn コマンドを入力して、インターフェイス アクセス リストをローカル IP アドレスに適用できます。アクセス リストを作成してインターフェイスに適用するには、 access-list コマンドおよび access-group コマンドを参照してください。アクセス リストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。
例
次に、復号化された VPN トラフィックがインターフェイス アクセス リストに従うようにする例を示します。
関連コマンド
|
|
|
|---|---|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection preserve-vpn-flows
トンネルのドロップおよび回復後のタイムアウト期間内に、ステートフル(TCP)トンネル IPSec LAN-to-LAN トラフィックを保持して再開するには、 sysopt connection preserve-vpn-flows コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt connection preserve-vpn-flows
no sysopt connection preserve-vpn-flows
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
永続的 IPSec トンネル フロー機能がイネーブルの場合、タイムアウト ウィンドウ内にトンネルが再作成される限り、セキュリティ アプライアンスで元のフロー内の状態情報にアクセスできるため、データは正常に流れ続けます。
このコマンドでは、ネットワーク拡張モードを含め、IPSec LAN-to-LAN トンネルのみがサポートされます。AnyConnect/SSL VPN または IPSec リモートアクセス トンネルはサポートされません。
例
次に、トンネルがドロップされ、タイムアウト期間内に再確立された後、トンネルの状態情報が保持されてトンネル IPSec LAN-to-LAN VPN トラフィックが再開されることを指定する例を示します。
hostname(config)# no sysopt connection preserve-vpn-flows
この機能がイネーブルかどうかを確認するには、sysopt に対して show run all コマンドを入力します。
hostname(config)# show run all sysopt
結果の例は次のとおりです。説明のために、これ以降のすべての例では、preserve-vpn-flows の項目は太字になっています。
sysopt connection reclassify-vpn
既存の VPN フローを再分類するには、グローバル コンフィギュレーション モードで sysopt connection reclassify-vpn コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
sysopt connection reclassify-vpn
no sysopt connection reclassify-vpn
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPN トンネルがアップになると、このコマンドによって既存の VPN フローは再分類され、暗号化が必要なフローは分解されて再作成されます。
このコマンドは、LAN-to-LAN およびダイナミック VPN についてのみ適用されます。このコマンドは EZVPN または VPN クライアント接続には影響しません。
例
関連コマンド
|
|
|
|---|---|
インターフェイスのアクセス リストをチェックすることなく、IPSec トンネルから受信するすべてのパケットを許可します。 |
|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection tcpmss
最大 TCP セグメント サイズが設定した値を超えないようにし、指定したサイズ未満にならないようにするには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
sysopt connection tcpmss [ minimum ] bytes
no sysopt connection tcpmss [ minimum ] [ bytes ]
構文の説明
最大 TCP セグメント サイズをバイト単位で設定します(48 ~任意の最大値)。デフォルト値は 1380 バイトです。この機能をディセーブルにするには、 bytes を 0 に設定します。 |
|
最大セグメント サイズを上書きし、 bytes 未満にならないようにします(48 ~ 65535 バイト)。この機能は、デフォルトでディセーブルです(0 に設定)。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストとサーバが最初に接続を確立するときに、両方で最大セグメント サイズを設定できます。いずれかの最大が sysopt connection tcpmss コマンドで設定した値を超えている場合、セキュリティ アプライアンスによって最大は上書きされ、設定した値が挿入されます。いずれかの最大が sysopt connection tcpmss minimum コマンドで設定した値よりも小さい場合、セキュリティ アプライアンスによって最大は上書きされ、設定した「minimum」値が挿入されます(minimum 値は、実際には許可される最も小さい最大です)。たとえば、最大サイズを 1200 バイト、最小サイズを 400 バイトに設定した場合、ホストによって最大サイズ 1300 バイトが要求されると、セキュリティ アプライアンスによってパケットは 1200 バイト(最大)を要求するように変更されます。別のホストによって最大値 300 バイトが要求されると、セキュリティ アプライアンスによってパケットは 400 バイト(最小)を要求するように変更されます。
デフォルトの 1380 バイトでは、ヘッダー情報用の余地があるため、パケット サイズの合計は 1500 バイト(イーサネットのデフォルト MTU)を超えません。次の計算を参照してください。
1380 データ + 20 TCP + 20 IP + 24 AH + 24 ESP_CIPHER + 12 ESP_AUTH + 20 IP = 1500 バイト
ホストまたはサーバによって最大セグメント サイズが要求されない場合、セキュリティ アプライアンスでは RFC 793 のデフォルト値である 536 バイトが有効と見なされます。
1380 よりも大きい最大サイズを設定した場合、MTU サイズ(デフォルトでは 1500 バイト)によっては、パケットがフラグメント化される場合があります。フラグメントの数が多くなると、セキュリティ アプライアンスが Frag Guard 機能を使用する場合にパフォーマンスに影響を及ぼすことがあります。最小サイズを設定すると、TCP サーバから多数の小さい TCP データ パケットがクライアントに送信されることによってサーバおよびネットワークのパフォーマンスに影響を及ぼすことを防止できます。
(注) この機能の通常の使用には推奨されませんが、syslog IPFRAG メッセージ 209001 および 209002 が発生した場合は、bytes 値を大きくすることができます。
例
次に、最大サイズを 1200 に、最小サイズを 400 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。 |
sysopt connection timewait
各 TCP 接続において、最後の通常の TCP クローズ ダウン シーケンスの後に、少なくとも 15 秒の短い TIME_WAIT 状態が強制的に維持されるようにするには、グローバル コンフィギュレーション モードで sysopt connection timewait コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズである場合に、この機能を使用することを推奨します。
(注) RST パケット(通常の TCP クローズ ダウン シーケンスではない)でも、15 秒の遅延がトリガーされます。セキュリティ アプライアンスでは、接続の最後のパケット(FIN/ACK または RST)を受信した後、接続を 15 秒間保持します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスのデフォルトの動作では、シャットダウン シーケンスが追跡され、2 つの FIN と最後の FIN セグメントの ACK の後で接続が解放されます。この即時解放ヒューリスティックにより、セキュリティ アプライアンスでは、標準クローズ シーケンスと呼ばれる最も一般的なクロージング シーケンスに基づいて、高い接続レートを維持できます。ただし、一方の端が閉じ、もう一方の端が確認応答してから独自のクロージング シーケンスを開始する標準クローズ シーケンスとは異なり、同時クローズでは、トランザクションの両端がクロージング シーケンスを開始します(RFC 793 を参照)。したがって、同時クローズでは、即時解放によって接続の一方の側で CLOSING 状態が保持されます。多くのソケットを CLOSING 状態にすると、エンド ホストのパフォーマンスが低下する可能性があります。たとえば、一部の WinSock メインフレーム クライアントはこの動作を示し、メインフレーム サーバのパフォーマンスを低下させることが知られています。 sysopt connection timewait コマンドを使用すると、同時クローズ ダウン シーケンスが完了するためのウィンドウが作成されます。
例
次に、timewait 機能をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。 |
sysopt nodnsalias
alias コマンドを使用するときに DNS A レコード アドレスを変更する DNS インスペクションをディセーブルにするには、グローバル コンフィギュレーション モードで sysopt nodnsalias コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 alias コマンドで NAT のみを実行し、DNS パケットの変更が不要な場合に、DNS アプリケーション インスペクションをディセーブルにします。
sysopt nodnsalias { inbound | outbound }
no sysopt nodnsalias { inbound | outbound }
構文の説明
セキュリティの低いインターフェイスから alias コマンドで指定されるセキュリティの高いインターフェイスへのパケットの DNS レコードの変更をディセーブルにします。 |
|
alias コマンドで指定されるセキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのパケットの DNS レコードの変更をディセーブルにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
alias コマンドによって、NAT および DNS A レコード アドレスの変更が実行されます。DNS レコードの変更をディセーブルにする場合があります。
例
次に、着信パケットの DNS アドレスの変更をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
sysopt noproxyarp
インターフェイスで NAT グローバル アドレスまたは VPN クライアント アドレスに対するプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。プロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。
sysopt noproxyarp interface_name
no sysopt noproxyarp interface_name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、VPN クライアント アドレスが内部ネットワークと重複するときに、VPN プロキシ ARP に影響を及ぼすように拡張されました。 |
使用上のガイドライン
既存のネットワークと重なる VPN クライアント アドレス プールがある場合、セキュリティ アプライアンスは、デフォルトにより、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの VPN クライアントのリターン トラフィックは、その誤ったインターフェイスに送信され、破棄されます。この場合、プロキシ ARP が不要なインターフェイスに対して sysopt noproxyarp コマンドを入力する必要があります。
まれに、NAT グローバル アドレスに対してプロキシ ARP をディセーブルにする場合があります。
ホストによって IP トラフィックが同じイーサネット ネットワーク上の別のデバイスに送信される場合、ホストではそのデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。
プロキシ ARP は、デバイスが IP アドレスを所有していなくても、その固有の MAC アドレスで ARP 要求に応答する場合に使用します。NAT を設定し、セキュリティ アプライアンスのインターフェイスと同じネットワーク上にあるグローバル アドレスを指定すると、セキュリティ アプライアンスによってプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、セキュリティ アプライアンスでプロキシ ARP が使用されている場合、セキュリティ アプライアンスの MAC アドレスが宛先グローバル アドレスに割り当てられていると主張することです。
例
次に、内部インターフェイスでプロキシ ARP をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
sysopt radius ignore-secret
RADIUS アカウンティング応答内の認証キーを無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。一部の RADIUS サーバとの互換性のために、このキーを無視する必要がある場合があります。
no sysopt radius ignore-secret
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
一部の RADIUS サーバでは、アカウンティング確認応答内のオーセンティケータ ハッシュにこのキーが含まれていません。この使用上の注意により、セキュリティ アプライアンスでアカウンティング要求を継続的に再送信する場合があります。 sysopt radius ignore-secret コマンドを使用して、これらの確認応答内のキーを無視し、再送信の問題を回避します (ここで示すキーは、 aaa-server host コマンドで設定するものと同じです)。
例
次に、アカウンティング応答内の認証キーを無視する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック