- このマニュアルについて
- コマンドライン インターフェイスの 使用方法
- aaa accounting command コマンド~ accounting-server-group コマンド
- acl-netmask-convert コマンド~ auto-update timeout コマンド
- backup interface コマンド~ browse-networks コマンド
- cache コマンド~ clear compression コマンド
- clear configure コマンド~ clear configure zonelabs-integrity コマンド
- clear console-output コマンド~ clear xlate コマンド
- client-access-rule コマンド~ crl configure コマンド
- crypto ca authenticate コマンド~ customization コマンド
- ddns コマンド~ debug xdmcp コマンド
- default コマンド~ duplex コマンド
- email コマンド~ functions コマンド
- gateway コマンド~ hw-module module shutdown コマンド
- icmp コマンド~ imap4s コマンド
- inspect ctiqbe コマンド~ inspect xdmcp コマンド
- interface-dhcp コマンド~ issuer-name コマンド
- java-trustpoint コマンド~ kill コマンド
- l2tp tunnel hello コマンド~ log-adj-changes コマンド
- logging asdm コマンド~ logout message コマンド
- mac address コマンド~ multicast-routing コマンド
- nac コマンド~ override-account-disable コマンド
- packet-tracer コマンド~ pwd コマンド
- queue-limit コマンド~ rtp-conformance コマンド
- same-security-traffic コマンド~ show asdm sessions コマンド
- show asp drop コマンド~ show curpriv コマンド
- show ddns update interface コマンド ~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show route コマンド
- show running-config コマンド~ show running-config isakmp コマンド
- show running-config ldap コマンド~ show running-config wccp コマンド
- show service-policy コマンド~ show webvpn svc コマンド
- shun コマンド~ sysopt radius ignore-secret コマンド
- tcp-map コマンド~ type echo コマンド
- urgent-flag コマンド~ zonelabs integrity ssl-client-authentication コマンド
- 索引
Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: client-access-rule コマンド~ crl configure コマンド
- client-access-rule
- client-firewall
- client-update
- clock set
- clock summer-time
- clock timezone
- cluster encryption
- cluster ip address
- cluster key
- cluster port
- command-alias
- command-queue
- compatible rfc1583
- compression
- config-register
- configure factory-default
- configure http
- configure memory
- configure net
- configure terminal
- config-url
- console timeout
- content-length
- content-type-verification
- context
- copy
- copy capture
- cpu profile activate
- crashinfo console disable
- crashinfo force
- crashinfo save disable
- crashinfo test
- crl
- crl configure
client-access-rule コマンド~ crl configure コマンド
client-access-rule
リモートアクセス クライアントのタイプを制限する規則およびセキュリティ アプライアンスを通して IPSec 経由で接続できるバージョンを設定するには、グループ ポリシー コンフィギュレーション モードで client-access-rule コマンドを使用します。規則を削除するには、このコマンドの no 形式を使用します。
すべての規則を削除するには、 no client-access-rule コマンドの priority 引数だけを指定して使用します。この指定により、 client-access-rule none コマンドを入力して作成されたヌル規則を含む、設定されたすべての規則が削除されます。
クライアントのアクセス規則がない場合、ユーザはデフォルトのグループ ポリシー内に存在するすべての規則を継承します。ユーザがクライアントのアクセス規則を継承しないようにするには、 client-access-rule none コマンドを使用します。クライアントのアクセス規則を継承しない場合、すべてのクライアント タイプおよびバージョンに接続できます。
client-access-rul e priority {permit | deny} type type version version | none
no client-access-rul e priority [ {permit | deny} type type version version ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
•
規則を定義しない場合、セキュリティ アプライアンスはすべての接続タイプを許可します。
• クライアントが規則のいずれにも一致しない場合、セキュリティ アプライアンスは接続を拒否します。つまり deny 規則を定義する場合は、少なくとも 1 つの permit 規則も定義する必要があります。permit 規則を定義しないと、セキュリティ アプライアンスはすべての接続を拒否します。
• ソフトウェア クライアントとハードウェア クライアントのどちらも、タイプおよびバージョンが show vpn-sessiondb remote 表示の外観と完全に一致する必要があります。
• * 記号はワイルドカードで、各規則内で複数回使用できます。たとえば、 client-access-rul e 3
deny type * version 3.* は、リリース バージョン 3.x ソフトウェアを実行しているすべてのクライアント タイプを拒否する優先順位 3 のクライアントのアクセス規則を作成します。
例
次の例では、FirstGroup という名前のグループ ポリシーのクライアントのアクセス規則を作成する方法を示します。これらの規則は、ソフトウェア バージョン 4.1 を実行している VPN クライアントを許可する一方、すべての VPN 3002 ハードウェア クライアントを拒否します。
client-firewall
セキュリティ アプライアンスが IKE トンネルのネゴシエーション中に VPN クライアントにプッシュするパーソナル ファイアウォール ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで client-firewall コマンドを使用します。ファイアウォール ポリシーを削除するには、このコマンドの no 形式を使用します。
すべてのファイアウォール ポリシーを削除するには、引数を指定せずに no client-firewall コマンドを使用します。 client-firewall none コマンドを発行して作成したヌル ポリシーを含む、すべての設定済みファイアウォール ポリシーが削除されます。
ファイアウォール ポリシーがなくなると、ユーザはデフォルトまたはその他のグループ ポリシー内に存在するファイアウォール ポリシーを継承します。ユーザがそれらのファイアウォール ポリシーを継承しないようにするには、 client-firewall none コマンドを使用します。
client-firewall { opt | req } custom vendor-id num product-id num policy {AYT | CPP acl-in acl acl-out acl } [description string ]
client-firewall { opt | req } zonelabs-integrity
(注) ファイアウォールのタイプを zonelabs-integrity にする場合は、引数を指定しないでください。ポリシーは、Zone Labs Integrity サーバによって決められます。
client-firewall { opt | req } zonelabs-zonealarm policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } zonelabs-zonealarmorpro policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } zonelabs-zonealarmpro policy {AYT | CPP acl-in acl acl-out acl }
client-firewall { opt | req } cisco-integrated acl-in acl acl-out acl }
client-firewall { opt | req } sygate-personal
client-firewall { opt | req } sygate-personal-pro
client-firewall { opt | req } sygate-personal-agent
client-firewall { opt | req } networkice-blackice
client-firewall { opt | req } cisco-security-agent
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループ ポリシーの Cisco Intrusion Prevention Security Agent を必要とするクライアント ファイアウォール ポリシーを設定する方法を示します。
client-update
全トンネル グループまたは特定のトンネル グループのアクティブなすべてのリモート VPN ソフトウェアとハードウェア クライアント、および Auto Update クライアントとして設定されているセキュリティ アプライアンス用のクライアント アップデートを発行するには、特権 EXEC モードで client-update コマンドを使用します。
クライアント アップデートのパラメータをグローバル レベル(VPN ソフトウェアとハードウェア クライアント、および Auto Update クライアントとして設定されているセキュリティ アプライアンスを含む)で設定および変更するには、グローバル コンフィギュレーション モードで client-update コマンドを使用します。
VPN ソフトウェアとハードウェア クライアント用のクライアント アップデート トンネル グループ IPSec アトリビュート パラメータを設定および変更するには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで client-update コマンドを使用します。
クライアントがリビジョン番号のリストにあるソフトウェア バージョンをすでに実行している場合は、ソフトウェアをアップデートする必要はありません。クライアントがリストにあるソフトウェア バージョンを実行していない場合は、アップデートする必要があります。
クライアント アップデートをディセーブルにするには、このコマンドの no 形式を使用します。
グローバル コンフィギュレーション モードのコマンドは、次のとおりです。
client-update { enable | component { asdm | image } | device-id dev_string | family family_name | type type } url url-string rev-nums rev-nums }
no client-update { enable | component { asdm | image } | device-id dev_string | family family_name | type type } url url-string rev-nums rev-nums }
トンネル グループ IPSec アトリビュート モードのコマンドは、次のとおりです。
client-update type type url url-string rev-nums rev-nums
no client-update type type url url-string rev-nums rev-nums
client-update { all | tunnel-group }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
Auto Update サーバとして設定されたセキュリティ アプライアンスをサポートするために、 component 、 device-id 、および family キーワードとその引数が追加されました。 |
使用上のガイドライン
トンネル グループ ipsec アトリビュート コンフィギュレーション モードでは、このアトリビュートを IPSec リモートアクセス トンネル グループ タイプだけに適用できます。
client-update コマンドでは、アップデートのイネーブル化、アップデート適用先のクライアントのタイプとリビジョン番号の指定、アップデート取得先の URL または IP アドレスの指定が可能です。また、Windows クライアントの場合は、オプションで、VPN クライアント バージョンをアップデートする必要があることをユーザに通知できます。Windows クライアントに対しては、アップデートを実行するメカニズムをユーザに提供できます。VPN 3002 ハードウェア クライアント ユーザに対しては、アップデートは通知なしで自動的に実行されます。クライアントのタイプが別のセキュリティ アプライアンスの場合は、このセキュリティ アプライアンスが Auto Update サーバとして機能します。
クライアント アップデート メカニズムを設定するには、次の手順を実行します。
ステップ 1 グローバル コンフィギュレーション モードで、次のコマンドを入力してクライアント アップデートをイネーブルにします。
ステップ 2 グローバル コンフィギュレーション モードで、特定のタイプのすべてのクライアントに適用するクライアント アップデート用のパラメータを設定します。つまり、クライアントのタイプと、最新イメージの取得先 URL または IP アドレスを指定します。Auto Update クライアントの場合は、ソフトウェア コンポーネントのタイプ(ASDM またはブート イメージ)を指定します。また、リビジョン番号も指定する必要があります。ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合は、そのクライアントをアップデートする必要はありません。このコマンドは、セキュリティ アプライアンス全体にわたって、指定したタイプのすべてのクライアントに適用されるクライアント アップデート パラメータを設定します。次の例を参考にしてください。
VPN 3002 ハードウェア クライアントのトンネル グループの設定については、「例」の項を参照してください。
(注) すべての Windows クライアントと Auto Update クライアントで、URL のプレフィックスとして、「http://」または「https://」プロトコルを使用する必要があります。VPN3002 ハードウェア クライアントに対しては、代わりにプロトコル「tftp://」を指定する必要があります。
Windows クライアントと VPN3002 ハードウェア クライアントでは、特定のタイプの全クライアントではなく、個々のトンネル グループだけのクライアント アップデートを設定することもできます(ステップ 3 を参照)。
(注) ブラウザが自動的に起動されるように設定することができます。それには、URL の末尾にアプリケーション名を含めます(例:https://support/updates/vpnclient.exe)。
ステップ 3 クライアント アップデートをイネーブルにした後は、特定の ipsec-ra トンネル グループの一連のクライアント アップデート パラメータを定義できます。これを行うには、トンネル グループ ipsec アトリビュート モードで、トンネル グループの名前とタイプ、および最新イメージの取得先 URL または IP アドレスを指定します。また、リビジョン番号も指定する必要があります。ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合は、そのクライアントをアップデートする必要はありません。たとえば、すべての Windows クライアント用のクライアント アップデートを発行する必要はありません。
VPN 3002 ハードウェア クライアントのトンネル グループの設定については、「例」の項を参照してください。VPN 3002 クライアントは、ユーザの介入なしでアップデートされ、ユーザへの通知メッセージは送信されません。
ステップ 4 オプションで、古い Windows クライアントを使用しているアクティブ ユーザに、VPN クライアントをアップデートする必要があることを知らせる通知を送信できます。これらのユーザには、ポップアップ ウィンドウが表示されます。ユーザはこのポップアップ ウィンドウからブラウザを起動して、URL で指定されているサイトから最新のソフトウェアをダウンロードできます。このメッセージで設定可能な部分は URL だけです(ステップ 2 または 3 を参照)。アクティブでないユーザは、次回ログイン時に通知メッセージを受信します。この通知は、すべてのトンネル グループのすべてのアクティブ クライアントに送信することも、特定のトンネル グループのクライアントに送信することもできます。たとえば、すべてのトンネル グループのすべてのアクティブ クライアントに通知する場合は、次のコマンドを特権 EXEC モードで入力します。
ユーザのクライアント リビジョン番号が、指定したリビジョン番号のいずれかと一致する場合は、そのクライアントをアップデートする必要はありません。また、ユーザへの通知メッセージは送信されません。VPN 3002 クライアントは、ユーザの介入なしでアップデートされ、ユーザへの通知メッセージは送信されません。
(注) クライアント アップデートのタイプを windows(Windows ベースの全プラットフォーム)に指定し、その後、同じエンティティに win9x タイプまたは winnt タイプを入力しなければならなくなった場合は、まずこのコマンドの no 形式で windows クライアント タイプを削除してから、新しい client-update コマンドを入力して新しいタイプのクライアントを指定してください。
例
グローバル コンフィギュレーション モードで入力した次の例では、すべてのトンネル グループのすべてのアクティブ リモート クライアントに対してクライアント アップデートをイネーブルにしています。
次の例は、Windows(win9x、winnt、または windows)にだけ適用されます。グローバル コンフィギュレーション モードで入力したこの例では、すべての Windows ベース クライアントのクライアント アップデート パラメータを設定します。リビジョン番号 4.7、および更新を取得する URL(https://support/updates)を指定します。
次の例は、VPN 3002 ハードウェア クライアントだけに適用されます。トンネル グループ ipsec アトリビュート コンフィギュレーション モードで入力されたこの例では、IPSec リモートアクセス トンネル グループ「salesgrp」のクライアント アップデート パラメータを設定します。リビジョン番号 4.7 を指定し、IP アドレス 192.168.1.1 を持つサイトからの最新ソフトウェアの取得に TFTP プロトコルを使用します。
次の例は、Auto Update クライアントとして設定されている Cisco 5520 Adaptive Security Appliance のクライアント アップデートを発行する方法を示します。
特権 EXEC モードで入力した次の例では、「remotegrp」という名前のトンネル グループに属する、クライアント ソフトウェアをアップデートする必要のある接続中のすべてのリモート クライアントにクライアント アップデート通知を送信します。他のグループのクライアントには、アップデート通知は送信されません。
関連コマンド
|
|
|
|---|---|
clock set
セキュリティ アプライアンスのクロックを手動で設定するには、特権 EXEC モードで clock set コマンドを使用します。
clock set hh : mm : ss { month day | day month } year
シンタックスの説明
1 ~ 31 の日を設定します。たとえば、標準の日付形式に応じて、月日を april 1 や 1 april のように入力できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
clock コンフィギュレーション コマンドを入力していない場合、 clock set コマンドのデフォルトの時間帯は UTC です。 clock timezone コマンドを使用して clock set コマンドを入力した後に時間帯を変更した場合、時間は自動的に新しい時間帯に調整されます。ただし、 clock timezone コマンドを使用して時間帯を確立した後に clock set コマンドを入力した場合は、UTC ではなく新しい時間帯に応じた時間を入力します。同様に、 clock set コマンドの後に clock summer-time コマンドを入力した場合、時間は夏時間に調整されます。 clock summer-time コマンドの後に clock set コマンドを入力した場合は、夏時間の正しい時間を入力します。
このコマンドはハードウェア チップ内の時間を設定しますが、コンフィギュレーション ファイル内の時間は保存しません。この時間はリブート後も保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、 clock set コマンドに新しい時間を設定する必要があります。
例
次の例では、時間帯を MST に設定し、夏時間を米国のデフォルト期間に設定し、MDT の現在の時間を西暦 2004 年 7 月 27 日の午後 1 時 15 分に設定します。
次の例では、クロックを UTC 時間帯で西暦 2004 年 7 月 27 日の 8 時 15 分に設定し、次に時間帯を MST に、夏時間を米国のデフォルト期間に設定します。終了時間(MDT の 1 時 15 分)は上記の例と同じです。
関連コマンド
|
|
|
|---|---|
clock summer-time
セキュリティ アプライアンスの時間の表示用に夏時間の日付範囲を設定するには、グローバル コンフィギュレーション モードで clock summer-time コマンドを使用します。夏時間の日付をディセーブルにするには、このコマンドの no 形式を使用します。
clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]
no clock summer-time [ zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]]
clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]
no clock summer-time [ zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
南半球の場合、セキュリティ アプライアンスは、たとえば 10 月から 3 月のように、開始月が終了月よりも後に来ることを受け入れます。
例
国によっては、夏時間は特定の日付に開始されます。次の例では、夏時間を西暦 2004 年 4 月 1 日午前 3 時に開始し、西暦 2004 年 10 月 1 日午前 4 時に終了するように設定します。
関連コマンド
|
|
|
|---|---|
clock timezone
セキュリティ アプライアンスのクロックの時間帯を設定するには、グローバル コンフィギュレーション モードで clock timezone コマンドを使用します。時間帯を UTC のデフォルトに戻すには、このコマンドの no 形式を使用します。 clock set コマンドまたは NTP サーバから生成された時間は、時間を UTC で設定します。このコマンドを使用して、時間帯を UTC のオフセットとして設定する必要があります。
clock timezone zone [ - ] hours [ minutes ]
no clock timezone [ zone [ - ] hours [ minutes ]]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、時間帯を UTC から -8 時間の太平洋標準時間に設定します。
関連コマンド
|
|
|
|---|---|
cluster encryption
仮想ロードバランシング クラスタ上で交換されるメッセージの暗号化をイネーブルにするには、VPN ロードバランシング モードで cluster encryption コマンドを使用します。暗号化をディセーブルにするには、このコマンドの no 形式を使用します。
(注) VPN ロードバランシングには、アクティブな 3DES または AES ライセンスが必要です。セキュリティ アプライアンスは、ロードバランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。有効な 3DES ライセンスまたは AES ライセンスが検出されなかった場合、セキュリティ アプライアンスはロードバランシングをイネーブルにしません。また、ライセンスで許可されていない限り、ロードバランシング システムが 3DES の内部設定を行わないようにします。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、仮想ロードバランシング クラスタ上で交換されるメッセージの暗号化のオンとオフを切り替えます。
cluster encryption コマンドを設定する前に、まず vpn load-balancing コマンドを使用して VPN ロードバランシング モードに入る必要があります。また、クラスタの暗号化をイネーブルにする前に、 cluster key コマンドを使用してクラスタ共有秘密鍵も設定する必要があります。
(注) 暗号化を使用する場合は、最初にコマンド isakmp enable inside を設定する必要があります。ここで、inside は、ロードバランシングの内部インターフェイスです。ロードバランシングの内部インターフェイスで isakmp がイネーブルでない場合は、クラスタの暗号化を設定しようとすると、エラー メッセージが表示されます。
例
次に、仮想ロードバランシング クラスタの暗号化をイネーブルにする cluster encryption コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster ip address
仮想ロードバランシング クラスタの IP アドレスを設定するには、VPN ロードバランシング モードで cluster ip address コマンドを使用します。IP アドレスの指定を削除するには、このコマンドの no 形式を使用します。
no cluster ip address [ ip-address ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して VPN ロードバランシング モードに入り、仮想クラスタ IP アドレスが指すインターフェイスを設定する必要があります。
cluster ip address は、仮想クラスタを設定しているインターフェイスと同じサブネット上にある必要があります。
このコマンドの no 形式では、オプションの ip-address 値を指定した場合、その値は no cluster ip address コマンドが完了される前に、既存のクラスタの IP アドレスと一致する必要があります。
例
次に、仮想ロードバランシング クラスタの IP アドレスを 209.165.202.224 に設定する cluster ip address コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster key
仮想ロードバランシング クラスタ上で交換される IPSec サイトツーサイト トンネルの共有秘密を設定するには、VPN ロードバランシング モードで cluster key コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no cluster key [ shared-secret ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。クラスタの暗号化には、 cluster key コマンドで定義されたシークレットも使用されます。
共有秘密を設定するには、クラスタの暗号化をイネーブルにする前に cluster key コマンドを使用する必要があります。
このコマンドの no cluster key 形式で shared-secret の値を指定した場合、共有秘密の値は既存のコンフィギュレーションと一致する必要があります。
例
次に、仮想ロードバランシング クラスタの共有秘密を 123456789 に設定する cluster key コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
cluster port
仮想ロードバランシング クラスタの UDP ポートを設定するには、VPN ロードバランシング モードで cluster port コマンドを使用します。ポートの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
まず、 vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入る必要があります。
任意の有効な UDP ポート番号を指定できます。範囲は 1 ~ 65535 です。
このコマンドの no cluster port 形式で port の値を指定した場合、指定したポート番号は既存の設定済みのポート番号と一致する必要があります。
例
次に、仮想ロードバランシング クラスタの UDP ポートを 9023 に設定する cluster port address コマンドを含む VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
command-alias
コマンドのエイリアスを作成するには、グローバル コンフィギュレーション モードで command-alias コマンドを使用します。エイリアスを削除するには、このコマンドの no 形式を使用します。コマンド エイリアスを入力すると、元のコマンドが実行されます。たとえば、コマンド エイリアスを作成して、長いコマンドのショートカットにすることもできます。
command-alias mode command_alias original_command
no command-alias mode command_alias original_command
シンタックスの説明
たとえば、 exec (ユーザおよび特権 EXEC モードの場合)、 configure 、 interface などの、コマンド エイリアスを作成するコマンド モードを指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
任意のコマンドの最初の部分のエイリアスを作成し、さらに通常どおりキーワードと引数を入力できます。
CLI ヘルプを使用する場合、コマンド エイリアスはアスタリスク(*)で示され、次の形式で表示されます。
たとえば、 lo コマンド エイリアスは、次のように、「lo」で始まる他の特権 EXEC モードのコマンドと共に表示されます。
同じエイリアスを別のモードで使用できます。たとえば、次のように、「happy」を特権 EXEC モードとコンフィギュレーション モードで異なるコマンドのエイリアスに使用できます。
コマンドだけを表示し、エイリアスを省略するには、入力行の先頭にスペースを入力します。また、コマンド エイリアスを避けるには、コマンドを入力する前にスペースを使用します。次の例では、happy? コマンドの前にスペースがあるため、エイリアス happy は表示されません。
コマンドと同様に、CLI ヘルプを使用して、コマンド エイリアスの後に続く引数およびキーワードを表示できます。
完全なコマンド エイリアスを入力する必要があります。短縮されたエイリアスは使用できません。次の例では、パーサーはコマンド hap を、エイリアス happy を示しているとは認識しません。
例
次の例では、 copy running-config startup-config コマンドに対して「 save 」という名前のコマンド エイリアスを作成する方法を示します。
関連コマンド
|
|
|
|---|---|
command-queue
応答を待つキューに入る MGCP コマンドの最大数を指定するには、MGCP マップ コンフィギュレーション モードで command-queue コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
応答を待つキューに入る MGCP コマンドの最大数を指定するには、 command-queue コマンドを使用します。許容値の範囲は、1 ~ 4,294,967,295 です。デフォルトは 200 です。限度に到達していて新しいコマンドが着信すると、最も長時間キューに入っているコマンドが削除されます。
例
次の例では、MGCP コマンド キューを 150 コマンドに制限します。
関連コマンド
|
|
|
|---|---|
MGCP メディア接続または MGCP PAT xlate 接続のアイドル タイムアウトを設定します。このタイムアウト後、その接続が終了します。 |
compatible rfc1583
RFC 1583 単位のサマリー ルート コスト計算で使用した方式に戻すには、ルータ コンフィギュレーション モードで compatible rfc1583 コマンドを使用します。RFC 1583 互換性をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、RFC 1583 互換ルート サマリー コスト計算をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
compression
SVC 接続および WebVPN 接続に対して圧縮をイネーブルにするには、グローバル コンフィギュレーション モードで compression コマンドを使用します。
compression { all | svc | http-comp }
[ no ] compression { all | svc | http-comp }
このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SVC 接続の場合、グローバル コンフィギュレーション モードで設定した compression コマンドによって、グループ ポリシー webvpn モードおよびユーザ名 webvpn モードで設定した svc compression コマンドは上書きされます。
たとえば、グループ ポリシー webvpn モードで特定のグループに対する svc compression コマンドを入力し、グローバル コンフィギュレーション モードで no compression コマンドを入力した場合、そのグループに対して設定した svc compression コマンドの設定は上書きされます。
逆に、グローバル コンフィギュレーション モードで compression コマンドを使用して圧縮をオンに戻した場合は、グループ設定が有効となり、圧縮動作は最終的にグループ設定によって決定されます。
no compression コマンドを使用して圧縮をディセーブルにした場合、新しい接続だけが影響を受けます。アクティブな接続は影響を受けません。
例
次の例では、SVC 接続および WebVPN 接続に対して圧縮をディセーブルにしています。
関連コマンド
|
|
|
config-register
次にセキュリティ アプライアンスをリロードするときに使用されるコンフィギュレーション レジスタ値を設定するには、グローバル コンフィギュレーション モードで config-register コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、ASA 5500 適応型セキュリティ アプライアンスでのみサポートされています。コンフィギュレーション レジスタ値は、ブート イメージおよび他のブート パラメータを決定します。
シンタックスの説明
コンフィギュレーション レジスタ値を 0x0 ~ 0xFFFFFFFF の 16 進数値に設定します。この数は 32 ビットを表し、各 16 進文字は 4 ビットを表します。各ビットは異なる特性を制御します。ただし、ビット 32 ~ 20 は、将来の使用のために予約され、ユーザが設定できないか、または現在セキュリティ アプライアンスで使用されていません。したがって、それらのビットを表す 3 つの文字は常に 0 に設定されているため、無視できます。関連するビットは 5 桁の 16 進文字(0x nnnnn )で表されます。 文字の前の 0 は含める必要はありません。後続の 0 は含める必要があります。たとえば、0x2001 は 0x02001 と同じですが、0x10000 の 0 はすべて必要です。関連するビットに使用できる値の詳細については、 表8-1 を参照してください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
5 つの文字には、右から左へ 0 ~ 4 の番号が付けられています。これは、16 進数および 2 進数の規格です。各文字に対して 1 つの値を選択し、必要に応じて値を組み合せたり一致させたりできます。たとえば、文字番号 3 に対して 0 または 2 を選択できます。値によっては、他の値と競合した場合に優先するものがあります。たとえば、セキュリティ アプライアンスを TFTP サーバとローカル イメージの両方からブートするよう設定する 0x2011 を設定する場合、セキュリティ アプライアンスは TFTP サーバからブートします。この値は TFTP のブートが失敗した場合、セキュリティ アプライアンスが直接 ROMMON でブートすることも定めているため、デフォルト イメージからブートすることを指定したアクションは無視されます。
0 の値は、他に指定されていなければ、アクションを実行しないことを意味します。
表8-1 に、各 16 進文字に関連付けられたアクションを一覧表示します。各文字に対して 1 つの値を選択します。
|
|
|
||||
|---|---|---|---|---|---|
| 0 1 |
0 2 |
02 |
|||
| 起動中に |
セキュリティ アプライアンスを |
ROMMON ブート パラメータ(存在する場合は、 boot system tftp コマンドと同じ)で指定されたように TFTP サーバ イメージからブートします。この値は、文字 1 に設定された値に優先します。 |
最初の boot system local_flash コマンドで指定されたイメージをブートします。そのイメージが読み込まれない場合、セキュリティ アプライアンスは、正常にブートするまで後続の boot system コマンドで指定された各イメージのブートを試行します。 |
||
| 特定の boot system local_flash コマンドで指定されたイメージをブートします。値が 3 であると最初の boot system コマンドで指定されたイメージがブートされ、値が 5 であると 2 番目のイメージがブートされます(以降同様)。 イメージが正常にブートしない場合、セキュリティ アプライアンスは他の |
|||||
| 4 3 |
ROMMON から、引数なしで boot コマンドを入力した場合、セキュリティ アプライアンスは特定の boot system local_flash コマンドで指定されたイメージをブートします。値が 3 であると最初の boot system コマンドで指定されたイメージがブートされ、値が 5 であると 2 番目のイメージがブートされます(以降同様)。この値はイメージを自動的にブートしません。 |
||||
| 2.文字番号 0 および 1 がイメージを自動的にブートするように設定されていない場合は、セキュリティ アプライアンスが直接 ROMMON でブートします。 3.service password-recovery コマンドを使用してパスワードを回復できなくした場合は、スタートアップ コンフィギュレーションを無視するようにコンフィギュレーション レジスタを設定できません。 |
コンフィギュレーション レジスタ値はスタンバイ装置に複製されませんが、アクティブ装置にコンフィギュレーション レジスタを設定すると、次の警告が表示されます。
また、 confreg コマンドを使用して、コンフィギュレーション レジスタ値を ROMMON で設定することもできます。
例
次の例では、デフォルト イメージからブートするようにコンフィギュレーション レジスタを設定します。
関連コマンド
|
|
|
|---|---|
configure factory-default
コンフィギュレーションを工場出荷時のデフォルトに戻すには、グローバル コンフィギュレーション モードで configure factory-default コマンドを使用します。工場出荷時のデフォルトは、シスコが新しいセキュリティ アプライアンスに適用しているコンフィギュレーションです。このコマンドは、PIX 525 と PIX 535 セキュリティ アプライアンスを除くすべてのプラットフォームでサポートされています。
configure factory-default [ ip_address [ mask ]]
シンタックスの説明
デフォルトのアドレス 192.168.1.1 を使用する代わりに、管理インターフェイスまたは内部インターフェイスの IP アドレスを設定します。各モデルで設定されるインターフェイスについては、「使用上のガイドライン」を参照してください。 |
|
インターフェイスのサブネット マスクを設定します。マスクを設定しない場合、セキュリティ アプライアンスは IP アドレス クラスに適したマスクを使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ASA 5505 適応型セキュリティ アプライアンスの工場出荷時にデフォルト コンフィギュレーションが追加されるようになりました。 |
使用上のガイドライン
PIX 515/515E、および ASA 5510 以上のセキュリティ アプライアンスでは、工場出荷時のデフォルト コンフィギュレーションによって、管理用のインターフェイスが自動的に設定されます。そのため、ASDM を使用してインターフェイスに接続し、残りの設定を行えます。ASA 5505 適応型セキュリティ アプライアンスでは、工場出荷時のデフォルト コンフィギュレーションによって、セキュリティ アプライアンスをネットワークですぐに使用できるように、インターフェイスと NAT が自動的に設定されます。
このコマンドは、ルーテッド ファイアウォール モードでのみ使用可能です。透過モードはインターフェイスの IP アドレスをサポートしていません。インターフェイス IP アドレスの設定は、このコマンドが行うアクションの 1 つです。また、このコマンドはシングル コンテキスト モードでのみ使用できます。コンフィギュレーションを消去されたセキュリティ アプライアンスには、このコマンドを使用して自動的に設定される定義済みのコンテキストはありません。
このコマンドは現在の実行コンフィギュレーションを消去してから、複数のコマンドを設定します。
configure factory-default コマンドで IP アドレスを設定した場合、 http コマンドは指定したサブネットを使用します。同様に、 dhcpd address コマンドの範囲は指定したサブネット内のアドレスで構成されます。
工場出荷時のデフォルト コンフィギュレーションに戻した後で、内蔵フラッシュ メモリに保存するには、 write memory コマンドを使用します。 write memory コマンドは、前に boot config コマンドでデフォルトの場所を設定していても、コンフィギュレーションを消去したときにこのパスも消去されているので、スタートアップ コンフィギュレーション用のデフォルトの場所に実行コンフィギュレーションを保存します。
(注) このコマンドは、boot system コマンド(存在する場合)も、他のコンフィギュレーションと共に消去します。boot system コマンドを使用すると、外部フラッシュ メモリ カードのイメージを含む特定のイメージからブートできます。工場出荷時のコンフィギュレーションに戻した後、次にセキュリティ アプライアンスをリロードするとき、セキュリティ アプライアンスは内蔵フラッシュ メモリの最初のイメージからブートします。内蔵フラッシュ メモリにイメージがない場合はブートしません。
完全なコンフィギュレーションに有効な追加の設定を行うには、 setup コマンドを参照してください。
ASA 5505 適応型セキュリティ アプライアンスのコンフィギュレーション
ASA 5505 適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションによって、次のように設定されます。
• イーサネット 0/1 ~ 0/7 スイッチ ポートを含む内部 VLAN 1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合は、IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
• イーサネット 0/0 スイッチ ポートを含む外部 VLAN 2 インターフェイス。VLAN 2 は、DHCP を使用してその IP アドレスを割り当てます。
• デフォルトのルートも DHCP によって割り当てられる。
• すべての内部 IP アドレスが、外部にアクセスするときにインターフェイスの PAT によって変換される。
• デフォルトでは、内部のユーザの外部へのアクセスはアクセス リストによって制御され、外部のユーザは内部にアクセスできない。
• セキュリティ アプライアンスで DHCP サーバがイネーブルになっているため、VLAN 1 インターフェイスに接続している PC は、192.168.1.2 ~ 192.168.1.254 のアドレスを受け取る。
• HTTP サーバは ASDM 用にイネーブルになっており、192.168.1.0 ネットワーク上のユーザがアクセスできる。
このコンフィギュレーションは、次のコマンドで構成されています。
ASA 5510 以上の適応型セキュリティ アプライアンスのコンフィギュレーション
ASA 5510 以上の適応型セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションによって、次のように設定されます。
• 管理用 Management 0/0 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
• セキュリティ アプライアンスで DHCP サーバがイネーブルになっているため、インターフェイスに接続している PC は、192.168.1.2 ~ 192.168.1.254 のアドレスを受け取る。
• HTTP サーバは ASDM 用にイネーブルになっており、192.168.1.0 ネットワーク上のユーザがアクセスできる。
このコンフィギュレーションは、次のコマンドで構成されています。
PIX 515/515E セキュリティ アプライアンスのコンフィギュレーション
PIX 515/515E セキュリティ アプライアンスの工場出荷時のデフォルト コンフィギュレーションによって、次のように設定されます。
• 内部 Ethernet1 インターフェイス。 configure factory-default コマンドで IP アドレスを設定しなかった場合、IP アドレスとマスクは、それぞれ 192.168.1.1 と 255.255.255.0 になります。
• セキュリティ アプライアンスで DHCP サーバがイネーブルになっているため、インターフェイスに接続している PC は、192.168.1.2 ~ 192.168.1.254 のアドレスを受け取る。
• HTTP サーバは ASDM 用にイネーブルになっており、192.168.1.0 ネットワーク上のユーザがアクセスできる。
このコンフィギュレーションは、次のコマンドで構成されています。
例
次の例では、コンフィギュレーションを工場出荷時のデフォルトにリセットし、IP アドレス 10.1.1.1 をインターフェイスに割り当て、次に新しいコンフィギュレーションをスタートアップ コンフィギュレーションとして保存します。
関連コマンド
|
|
|
|---|---|
configure http
HTTP(S)サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure http コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
configure http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy http running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドを使用できるのはシステム実行スペースに限られるため、 configure http コマンドはコンテキスト内で使用するための代替です。
例
次の例では、コンフィギュレーション ファイルを HTTPS サーバから実行コンフィギュレーションにコピーします。
関連コマンド
|
|
|
|---|---|
configure memory
スタートアップ コンフィギュレーションを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure memory コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
コンフィギュレーションをマージしない場合は、セキュリティ アプライアンスを経由する通信を妨げる実行コンフィギュレーションを消去してから、 configure memory コマンドを入力して新しいコンフィギュレーションを読み込むことができます。
このコマンドは copy startup-config running-config コマンドと同じです。
マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは config-url コマンドで指定した場所にあります。
例
次の例では、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。
関連コマンド
|
|
|
|---|---|
configure net
TFTP サーバからのコンフィギュレーション ファイルを実行コンフィギュレーションとマージするには、グローバル コンフィギュレーション モードで configure net コマンドを使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
configure net [ server : [ filename ] | : filename ]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
マージでは、新しいコンフィギュレーションのすべてのコマンドが実行コンフィギュレーションに追加され、競合するすべてのコマンドが新しいバージョンで上書きされます。たとえば、コマンドが複数のインスタンスを許可している場合は、新しいコマンドが実行コンフィギュレーション内の既存のコマンドに追加されます。コマンドが 1 つのインスタンスしか許可していない場合は、実行コンフィギュレーション内のコマンドが新しいコマンドで上書きされます。実行コンフィギュレーション内に存在するが、新しいコンフィギュレーションには設定されていないコマンドは、マージによって削除されません。
このコマンドは、 copy tftp running-config コマンドと同じです。マルチ コンテキスト モードの場合、このコマンドを使用できるのはシステム実行スペースに限られるため、 configure net コマンドはコンテキスト内で使用するための代替です。
例
次の例では tftp-server コマンドにサーバとファイル名を設定した後、 configure net コマンドを使用してサーバを上書きします。同じファイル名が使用されています。
次の例では、サーバとファイル名を上書きします。ファイル名へのデフォルト パスは
/tftpboot/configs/config1 です。ファイル名をスラッシュ(/)で始めない場合、パスの /tftpboot/ の部分はデフォルトで含まれます。このパスを上書きし、ファイルも tftpboot にある場合は、tftpboot パスを configure net コマンドに含めます。
次の例では、サーバだけを tftp-server コマンドに設定します。 configure net コマンドはファイル名だけを指定します。
関連コマンド
|
|
|
|---|---|
configure terminal
実行コンフィギュレーションをコマンドラインで設定するには、特権 EXEC モードで configure terminal コマンドを使用します。このコマンドは、コンフィギュレーションを変更するコマンドを入力できるグローバル コンフィギュレーション モードに入ります。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、グローバル コンフィギュレーション モードに入ります。
関連コマンド
|
|
|
|---|---|
config-url
システムがコンテキスト コンフィギュレーションをダウンロードする URL を指定するには、コンテキスト コンフィギュレーション モードで config-url コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンテキスト URL を追加すると、システムはただちにコンテキストを読み込み実行中になります。
(注) config-url コマンドを入力する前に、allocate-interface コマンドを入力します。セキュリティ アプライアンスは、コンテキスト コンフィギュレーションを読み込む前に、コンテキストにインターフェイスを割り当てる必要があります。コンテキスト コンフィギュレーションには、インターフェイス(interface、nat、global など)を示すコマンドが含まれている場合があります。最初に config-url コマンドを入力した場合、セキュリティ アプライアンスはただちにコンテキスト コンフィギュレーションを読み込みます。コンテキストにインターフェイスを示すコマンドが含まれていない場合、それらのコマンドは失敗します。
ファイル名にファイル拡張子は必要ありませんが、「.cfg」を使用することを推奨します。
管理コンテキスト ファイルは、内蔵フラッシュ メモリに保存する必要があります。
HTTP または HTTPS サーバからコンテキスト コンフィギュレーションをダウンロードした場合、 copy running-config startup-config コマンドを使用して変更内容をそれらのサーバに保存することはできません。ただし、 copy tftp コマンドを使用して実行コンフィギュレーションを TFTP サーバにコピーできます。
サーバが利用できない、またはファイルがまだ存在しないためにシステムがコンテキスト コンフィギュレーション ファイルを取得できない場合、システムは、コマンドライン インターフェイスでただちに設定できるブランクのコンテキストを作成します。
URL を変更するには、新しい URL で config-url コマンドを再入力します。
セキュリティ アプライアンスは、新しいコンフィギュレーションを現在の実行コンフィギュレーションとマージします。同じ URL を再入力しても、保存されたコンフィギュレーションが実行コンフィギュレーションとマージされます。マージにより、新しいコンフィギュレーションのすべての新しいコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同じ場合、変更は行われません。コマンドが競合する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの効果はコマンドによって異なります。エラーが発生したり、予期しない結果が生じたりすることがあります。実行コンフィギュレーションがブランクの場合(たとえば、サーバが利用不可能でコンフィギュレーションがダウンロードされなかった場合)は、新しいコンフィギュレーションが使用されます。コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションを消去してから、新しい URL からコンフィギュレーションをリロードすることができます。
例
次の例では、管理コンテキストを「administrator」と設定し、内蔵フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
console timeout
セキュリティ アプライアンスへのコンソール接続のアイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで console timeout コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
console timeout コマンドは、セキュリティ アプライアンスへの認証済みのすべてのイネーブル モード ユーザ セッションとコンフィギュレーション モード ユーザ セッションにタイムアウト値を設定します。 console timeout コマンドによって、Telnet タイムアウトや SSH タイムアウトが変更されることはありません。これらのアクセス方式については、それぞれ独自のタイムアウト値が保持されています。
no console timeout コマンドは、コンソール タイムアウト値をデフォルトのタイムアウトの 0 にリセットします。この値は、コンソールがタイムアウトしないことを意味します。
例
次の例では、コンソール タイムアウトを 15 分に設定する方法を示します。
関連コマンド
|
|
|
|---|---|
content-length
HTTP メッセージ本文の長さに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで content-length コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。
content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
no content-length { min bytes [ max bytes ] | max bytes ] } action { allow | reset | drop } [ log ]
シンタックスの説明
バイト数を指定します。許容される範囲は、 min オプションでは 1 ~ 65,535、 max オプションでは 1 ~ 50,000,000 です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
content-length コマンドをイネーブルにすると、セキュリティ アプライアンスは設定された範囲内のメッセージだけを許可し、許可しない場合は指定されたアクションを実行します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリを作成するようにするには、 action キーワードを使用します。
例
次の例では、HTTP トラフィックを 100 バイト以上 2,000 バイト以下のメッセージに制限しています。メッセージがこの範囲外の場合、セキュリティ アプライアンスは TCP 接続をリセットし、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
content-type-verification
HTTP メッセージのコンテキスト タイプに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで content-type-verification コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
content-type-verification [ match-req-rsp ] action { allow | reset | drop } [ log ]
no content-type-verification [ match-req-rsp ] action { allow | reset | drop } [ log ]
シンタックスの説明
(オプション)HTTP 応答の content-type フィールドが、対応する HTTP 要求メッセージの accept フィールドに一致するかどうかを確認します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
• ヘッダーの content-type の値が、サポートされているコンテンツ タイプの内部リストにあることを確認します。
• ヘッダーの content-type が、データ内の実際のコンテンツまたはメッセージのエンティティ本体の部分と一致していることを確認します。
• match-req-rsp キーワードは、HTTP 応答の content-type フィールドが、対応する HTTP 要求メッセージの accept フィールドに一致することを確認する追加のチェックをイネーブルにします。
メッセージが上記のいずれかのチェックに合格しなかった場合、セキュリティ アプライアンスは設定されたアクションを実行します。
次に、サポートされているコンテンツ タイプのリストを示します。
このリストの一部のコンテンツ タイプは、対応する正規表現(マジック ナンバー)がないためにメッセージの本体部分で確認できない場合があります。その場合、HTTP メッセージが許可されます。
例
次の例では、HTTP メッセージのコンテンツ タイプに基づいて HTTP トラフィックを制限します。サポートされていないコンテンツ タイプがメッセージに含まれている場合、セキュリティ アプライアンスは TCP 接続を制限し、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
context
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで context コマンドを使用します。コンテキストを削除するには、このコマンドの no 形式を使用します。コンテキスト コンフィギュレーション モードでは、コンテキストで使用できるコンフィギュレーション ファイルの URL とインターフェイスを指定できます。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
管理コンテキストがない場合(たとえば、コンフィギュレーションを消去した場合)、追加する最初のコンテキストは管理コンテキストである必要があります。管理コンテキストを追加するには、 admin-context コマンドを参照してください。管理コンテキストを指定した後、 context コマンドを入力して管理コンテキストを設定します。
コンテキストは、システム コンフィギュレーションを編集することによってのみ削除できます。現在の管理コンテキストはこのコマンドの no 形式を使用して削除できません。 clear configure context コマンドを使用してすべてのコンテキストを削除した場合のみ削除できます。
例
次の例では、管理コンテキストを「administrator」と設定し、内蔵フラッシュ メモリに「administrator」という名前のコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加しています。
関連コマンド
|
|
|
|---|---|
copy
ファイルをある場所から別の場所にコピーするには、 copy コマンドを使用します。
copy [ /noconfirm | /pcap ] { url | running-config | startup-config } { running-config | startup-config | url }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンフィギュレーションを実行コンフィギュレーションにコピーすると、2 つのコンフィギュレーションがマージされます。マージにより、新しいコンフィギュレーションのすべての新しいコマンドが実行コンフィギュレーションに追加されます。コンフィギュレーションが同じ場合、変更は行われません。コマンドが競合する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの効果はコマンドによって異なります。エラーが発生したり、予期しない結果が生じたりすることがあります。
例
次の例では、システム実行スペースでファイルをディスクから TFTP サーバにコピーする方法を示します。
次に、ファイルをディスク上のある場所からディスク上の別の場所にコピーする方法を示します。宛先ファイルの名前は、コピー元のファイルの名前にすることも、別の名前することもできます。
次の例では、ASDM ファイルを TFTP サーバから内蔵フラッシュ メモリにコピーする方法を示しています。
次の例では、コンテキスト内の実行コンフィギュレーションを TFTP サーバにコピーする方法を示しています。
copy コマンドでは、IP アドレス(上の例を参照)だけでなく、DNS 名も指定できます。
関連コマンド
|
|
|
|---|---|
copy capture
キャプチャ ファイルをサーバにコピーするには、グローバル コンフィギュレーション モードで copy capture コマンドを使用します。
copy [ /noconfirm ] [ /pcap ] capture: [ context_name / ] buffer_name url
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、フルパスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトを示します。
TFTP サーバを設定している場合は、次のようにファイルの位置や名前を省略できます。
hostname(config)# tftp-server outside 171.68.11.129 tftp/cdisk
hostname(config)# copy capture:abc tftp:/tftp/abc.cap
関連コマンド
|
|
|
|---|---|
cpu profile activate
CPU プロファイル収集情報を開始するには、特権 EXEC モードで cpu profile activate コマンドを使用します。
cpu profile activate n-samples
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show cpu profile コマンドを cpu profile activate コマンドと組み合せて使用すると、TAC が CPU 問題のトラブルシューティングを支援するために収集および使用できる情報が表示されます。 show cpu profile コマンドによって表示される情報は 16 進形式です。
例
次の例では、プロファイラを有効にし、5000 個のサンプルを格納するように指示します。
show cpu profile コマンドを使用して、結果を確認します。
(注) cpu profile activate コマンドの実行中に show cpu profile コマンドを実行すると、進行状況が表示されます。
処理が完了すると、 show cpu profile コマンド出力によって結果が表示されます。この情報をコピーし、TAC に提出します。TAC がこの情報をデコードします。
関連コマンド
|
|
|
|---|---|
crashinfo console disable
フラッシュに対するクラッシュ書き込みの読み取り、書き込み、および設定を行うには、crashinfo console disable コマンドを使用します。
[no] crashinfo console disable
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、crashinfo がコンソールに出力されないようにすることができます。crashinfo には、装置に接続されたすべてのユーザに対して表示されるのにふさわしくない機密情報が含まれている場合があります。このコマンドと共に、crashinfo がフラッシュに書き込まれていることも確認する必要があります。これは装置のリブート後に確認できます。このコマンドは、crashinfo および checkheaps の出力に影響を与えます。この出力はフラッシュに保存され、トラブルシューティングに十分に役立ちます。
例
関連コマンド
|
|
|
|---|---|
crashinfo force
セキュリティ アプライアンスを強制的にクラッシュさせるには、特権 EXEC モードで crashinfo force コマンドを使用します。
crashinfo force [page-fault | watchdog]
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crashinfo force コマンドを使用して、クラッシュ出力の生成をテストできます。クラッシュ出力では、本物のクラッシュと crashinfo force page-fault コマンドまたは crashinfo force watchdog コマンドによって発生したクラッシュは区別できません。これは、コマンドによって実際にクラッシュが発生しているためです。セキュリティ アプライアンスは、クラッシュのダンプが完了するとリロードします。
例
次の例では、 crashinfo force page-fault コマンドを入力したときに表示される警告を示します。
キーボードの Return キーまたは Enter キーを押して復帰改行を入力するか、 Y キーまたは y キーを押すと、セキュリティ アプライアンスがクラッシュしてリロードが実行されます。これらの応答は、いずれも操作に同意したものと解釈されます。その他の文字はすべて no と解釈され、セキュリティ アプライアンスはコマンドライン プロンプトに戻ります。
関連コマンド
crashinfo save disable
フラッシュ メモリへのクラッシュ情報の書き込みをディセーブルにするには、グローバル コンフィギュレーション モードで crashinfo save コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
crashinfo save enable コマンドは廃止され、有効なオプションではなくなりました。代わりに、 no crashinfo save disable コマンドを使用します。 |
使用上のガイドライン
クラッシュ情報は、まずフラッシュ メモリに書き込まれ、次にコンソールに書き込まれます。
(注) セキュリティ アプライアンスが起動中にクラッシュした場合、クラッシュ情報ファイルは保存されません。クラッシュ情報をフラッシュ メモリに保存するには、セキュリティ アプライアンスは完全に初期化されて、動作を開始している必要があります。
クラッシュ情報のフラッシュ メモリへの保存をもう一度イネーブルにするには、no crashinfo save disable コマンドを使用します。
例
関連コマンド
crashinfo test
セキュリティ アプライアンスの機能をテストして、フラッシュ メモリ内のファイルにクラッシュ情報を保存するには、グローバル コンフィギュレーション モードで crashinfo test コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラッシュ メモリ内に以前のクラッシュ情報ファイルがすでに存在する場合、そのファイルは上書きされます。
(注) crashinfo test コマンドを入力してもセキュリティ アプライアンスはクラッシュしません。
例
次の例では、クラッシュ情報ファイル テストの出力を示します。
関連コマンド
crl
CRL コンフィギュレーション オプションを指定するには、暗号 CA トラストポイント コンフィギュレーション モードで crl コマンドを使用します。
crl { required | optional | nocheck }
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは廃止されました。新しい revocation-check コマンドは、次のとおりです。 • |
例
次の例では、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードに入り、CRL がトラストポイント central の検証されるピア証明書に対して使用できることを要求します。
関連コマンド
|
|
|
|---|---|
crl configure
CRL 設定コンフィギュレーション モードに入るには、暗号 CA トラストポイント コンフィギュレーション モードで crl configure コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、トラストポイント central 内の crl コンフィギュレーション モードに入ります。
関連コマンド
|
|
|
|---|---|
フィードバック