Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: A ~ B のコマンド
- aaa accounting
- aaa accounting command
- aaa accounting console
- aaa accounting match
- aaa authentication
- aaa authentication console
- aaa authentication match
- aaa authentication secure-http-client
- aaa authorization
- aaa authorization command
- aaa authorization match
- aaa local authentication attempts max-fail
- aaa mac-exempt
- aaa proxy-limit
- aaa-server host
- aaa-server protocol
- absolute
- access-group
- access-list alert-interval
- access-list commit
- access-list deny-flow-max
- access-list ethertype
- access-list extended
- access-list remark
- access-list standard
- accounting-mode
- accounting-port
- accounting-server-group
- accounting-server-group (webvpn)
- acl-netmask-convert
- activation-key
- address-pool
- admin-context
- alias
- allocate-interface
- area
- area authentication
- area default-cost
- area filter-list prefix
- area nssa
- area range
- area stub
- area virtual-link
- arp
- arp timeout
- arp-inspection
- asdm disconnect
- asdm disconnect log_session
- asdm group
- asdm history enable
- asdm image
- asdm location
- asr-group
- authentication
- authentication-port
- authentication-server-group
- authentication-server-group (webvpn)
- authorization-dn-attributes
- authorization-dn-attributes (webvpn)
- authorization-required
- authorization-required (webvpn)
- authorization-server-group
- authorization-server-group (webvpn)
- auth-prompt
- auto-update device-id
- auto-update poll-period
- auto-update server
- auto-update timeout
- backup-servers
- banner
- banner (group-policy)
- blocks
- boot
A ~ B のコマンド
aaa accounting
aaa-server host コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブル化、ディセーブル化、または表示するには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { include | exclude } service interface-name local-ip local-mask foreign-ip foreign-mask server-tag
no aaa accounting { include | exclude } service interface-name local-ip local-mask foreign-ip foreign-mask server-tag
aaa accounting { include | exclude } service interface-name server-tag
no aaa accounting { include | exclude } service interface-name server-tag
シンタックスの説明
デフォルト
protocol/port 形式では、たとえば TCP プロトコル は 6 と表示され、UDP プロトコルは 17 と表示されます。ポートは、TCP または UDP の宛先ポートです。ポート値を 0 にすると、すべてのポートを指定します。TCP および UDP 以外のプロトコルの場合、port は適用できないため、使用しないでください。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ユーザ アカウンティング サービスは、ユーザがアクセスしたネットワーク サービスのレコードを保持します。これらのレコードは、指定した AAA サーバ(複数可)に記録されます。同時アカウンティングをイネーブルにしない限り、アカウンティング情報は、サーバ グループ内のアクティブなサーバだけに送信されます。
このコマンドを使用するには、事前に aaa-server コマンドを使用して AAA サーバを指定しておく必要があります。
アクセスリストで指定したトラフィックのアカウンティングをイネーブルにするには、
aaa accounting match コマンドを使用します。
(注) include 文によって指定されていないトラフィックは処理されません。
発信接続については、まず nat コマンドを使用して、セキュリティ アプライアンスにアクセスできる IP アドレスを定義します。着信接続については、まず static コマンド文と access-list extended コマンド文を使用して、外部ネットワークからセキュリティ アプライアンス経由でどの内部 IP アドレスにアクセスできるかを定義します。
あらゆるホストからの受信接続を許可する場合は、ローカル IP アドレスとネットマスクを 0.0.0.0 0.0.0.0 または 0 0 と記述します。外部ホストの IP アドレスとネットマスクについても、表記は同じです。すべての外部ホストを指定するには、0.0.0.0 0.0.0.0 と記述します。
例
次の例では、すべての接続でアカウンティングをイネーブルにしています。
この例では、IP アドレス 192.168.10.10 の認証サーバが内部インターフェイス上にあること、および TACACS+ サーバ グループに含まれていることを指定しています。その次の 3 つのコマンド文で指定しているのは、外部ホスト宛ての発信接続を開始するユーザ全員を TACACS+ で認証すること、正常に認証されたユーザに対してはどのサービスの使用も認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、セキュリティ アプライアンスのシリアル コンソールにアクセスするには、TACACS+ サーバから認証を受ける必要があることを指定しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定したサーバ上のユーザ アカウンティングをイネーブルにするために一致する必要のある特定のアクセスリストの使用をイネーブルまたはディセーブルにします。 |
|
aaa accounting command
管理者によって入力された各コマンドをセキュリティ アプライアンスがアカウンティング サーバに送信するようにコマンド アカウンティングを設定するには、グローバル コンフィギュレーション モードで aaa accounting command コマンドを使用します。AAA 特権コマンド アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。 aaa accounting command コマンドでは、アカウンティング レコードが生成されるコマンドに関連付けられている必要のある最低レベルを指定します。
aaa accounting command [ privilege level ] server-tag
no aaa accounting command [ privilege level ] server-tag
シンタックスの説明
アカウンティング レコードが生成されるコマンドに関連付けられている必要のある最低レベル。デフォルトの特権レベルは、0 です。 |
デフォルト
デフォルトの特権レベルは、0 です。デフォルトでは、管理者アクセス権の AAA 特権コマンド アカウンティングはディセーブルになっています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa accounting command コマンドを設定すると、管理者(ユーザ)によって入力された各コマンドが記録され、アカウンティング サーバ(複数可)に送信されます。オプションで指定できる privilege は、アカウンティング レコードが生成されるコマンドに関連付けられている必要のある最低の特権レベルを示します。
このコマンドを適用する先のサーバ名またはグループ名(事前に aaa-server コマンドで指定したもの)を指定する必要があります。
例
次の例では、特権レベル 6 以上のすべてのコマンドに対してアカウンティング レコードが生成され、そのレコードが adminserver という名前のグループのサーバに送信されるよう指定しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。 |
|
aaa accounting console
管理者アクセス権の AAA アカウンティングのサポートをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting console コマンドを使用します。管理者アクセス権の AAA アカウンティングのサポートをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting { http | serial| telnet | ssh | enable } console server-tag
no aaa accounting { http | serial | telnet | ssh | enable } console server-tag
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、すべての HTTP トランザクションに対してアカウンティング レコードが生成され、そのレコードが adminserver という名前のサーバに送信されるよう指定しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブルまたはディセーブルにします。 |
|
管理者(ユーザ)によって入力された、各コマンドまたは指定した特権レベル以上のコマンドを記録し、アカウンティング サーバ(複数可)に送信するよう指定します。 |
|
aaa accounting match
アクセスリストで指定したトラフィックのアカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting match コマンドを使用します。アクセスリストで指定したトラフィックのアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。 aaa accounting match コマンドでは、照合用のアクセスリスト名、およびインターフェイス名とサーバ タグを指定します。
aaa accounting match acl-name interface-name server-tag
no aaa accounting match acl-name interface-name server-tag
シンタックスの説明
トラフィックを照合する ACL の名前を指定します。この ACL に一致したトラフィックについて、セキュリティ アプライアンスがアカウンティングを実行します。 acl-name 引数は、 access-list コマンドで作成した ACL の名前である必要があります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa accounting match コマンドでは、ACL を指定する必要があります。この ACL で許可されたトラフィックについて、セキュリティ アプライアンスがアカウンティング データを AAA サーバに送信します。セキュリティ アプライアンスは、ACL で許可されたトラフィックのアカウンティングを実行し、ACL で拒否されたトラフィックのアカウンティングを実行しません。
このコマンドを使用するには、事前に aaa-server protocol コマンドを使用して AAA サーバ グループ タグを作成しておく必要があります。
ユーザ アカウンティング サービスは、ユーザがアクセスしたネットワーク サービスのレコードを保持します。これらのレコードは、指定した AAA サーバに記録されます。同時アカウンティングをイネーブルにしない限り、アカウンティング情報は、サーバ グループ内のアクティブなサーバだけに送信されます。詳細については、 accounting-mode コマンドを参照してください。
例
次の例では、acl2 という名前の ACL に一致するトラフィックのアカウンティングをイネーブルにしてから、 show access-list コマンドで ACL を表示しています。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上の TACACS+ または RADIUS のユーザ アカウンティングをイネーブル化、ディセーブル化、または表示します。 |
|
aaa authentication
セキュリティ アプライアンス経由のトラフィックをユーザ認証の対象にするか、対象から除外するかを指定するには、グローバル コンフィギュレーション モードで aaa authentication コマンドを include キーワードまたは exclude キーワードとともに使用します。ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。
認証では、有効なユーザ名とパスワードを要求することによってアクセスを制御できます。セキュリティ アプライアンスでは、次の項目の認証を設定できます。
•
次のセッションを含む、セキュリティ アプライアンスへのすべての管理接続
• セキュリティ アプライアンス経由のネットワーク アクセス
各認証サーバには、1 つのユーザ プールがあります。同じサーバで複数の認証規則および認証タイプを使用する場合、ユーザに必要な認証は、セッションが期限切れになるまでは、すべての規則とタイプに対して 1 回だけです。たとえば、セキュリティ アプライアンスに Telnet と FTP の認証を設定した場合、Telnet の認証に成功したユーザは、そのセッションの継続中、FTP の認証を受ける必要がありません。
aaa authentication include | exclude authentication-service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag
no aaa authentication include | exclude authentication-service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag
aaa authentication { ftp | telnet | http | https } challenge disable
no aaa authentication { ftp | telnet | http | https } challenge disable
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラフィックを認証の対象にするか、対象から除外するには、 aaa authentication コマンドを使用する前に、 aaa-server コマンドで認証サーバを指定しておく必要があります。ローカル IP アドレスと外部 IP アドレスの組み合せごとに、着信接続用の 1 つの aaa authentication コマンドと、発信接続用のもう 1 つの aaa authentication コマンドを指定できます。 aaa-server authentication コマンドで指定した IP アドレスのセッションでは、FTP、Telnet、HTTP、または HTTPS を介した接続が開始されると、ユーザ名とパスワードが要求されます。このユーザ名とパスワードが、指定した認証サーバで確認されると、セキュリティ アプライアンスは、認証ホストとクライアント アドレスの間で発生する以降のトラフィックを許可します。
アクセスの要求元および送信者を指定するには、 interface-name 変数、 local-ip 変数、および foreign-ip 変数を使用します。 local-ip アドレスは、常に、セキュリティ レベルの最も高いインターフェイス上にあります。 foreign-ip アドレスは、常に、セキュリティ レベルの最も低いインターフェイス上にあります。
(注) 同じセキュリティ レベルのインターフェイス間で aaa authentication コマンドを使用することはできません。この場合は、aaa authentication match コマンドを使用する必要があります。
ローカル IP アドレスおよび外部 IP アドレスのマスクには、IP アドレスが 0.0.0.0 の場合の短縮表現として 0 を使用できます。ホストに対しては 255.255.255.255 を使用します。
ユーザがシステムにアクセスできるかどうか、どのサービスにアクセスできるか、およびどの IP アドレスにアクセスできるかは、認証サーバが決定します。セキュリティ アプライアンスは FTP、HTTP、HTTPS、および Telnet を代行処理して、クレデンシャル プロンプトを表示します。
(注) カットスルー プロキシを設定する場合は、nat コマンドまたは static コマンドで norandomseq オプションを使用しているときでも、TCP セッション(TELNET、FTP、HTTP、または HTTPS)のシーケンス番号がランダム化されます。この現象は、AAA サーバが TCP セッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。
管理者を認証するように AAA サーバ(TACACS+、RADIUS、または LOCAL)を設定するには、アクセス認証サービスのオプションのいずれかを選択します。つまり、シリアル コンソール アクセスの場合は serial 、Telnet アクセスの場合は telnet 、SSH アクセスの場合は ssh 、HTTP アクセスの場合は http 、イネーブル モード アクセスの場合は enable を選択します。
カットスルー プロキシ認証と装置にアクセスする場合の認証では、サーバ グループ タグ LOCAL を使用することで、ローカルのセキュリティ アプライアンス ユーザ認証データベースも使用できます。 server-tag に LOCAL を指定する場合、ローカル ユーザ クレデンシャル データベースが空のときは次の警告メッセージが表示されます。
逆に、コマンド内に LOCAL があるときにローカル データベースが空になった場合は、次の警告メッセージが表示されます。
カットスルー認証サービスのオプションは、 telnet 、 ftp 、 http 、 https 、 icmp/ type 、 proto 、 tcp/ port 、および udp/ port です。変数 proto には、サポートされている任意の IP プロトコル値または IP プロトコル名を指定できます。たとえば、 ip や igmp を指定します。対話型のユーザ認証は、Telnet トラフィック、FTP トラフィック、HTTP トラフィック、HTTPS トラフィックでだけトリガーします。
セキュリティ アプライアンスが AAA 用にサポートしている認証ポートは、固定値です。
このため、スタティック PAT を使用して、認証の対象となるサービスのポートを再割り当てしないでください。認証するポートが既知の 3 ポートのいずれでもない場合、セキュリティ アプライアンスはサービスを認証せずに接続を拒否します。
ICMP メッセージ タイプ番号を type に入力すると、特定の ICMP メッセージ タイプを認証の対象にしたり、対象から除外したりできます。たとえば icmp/8 と入力すると、タイプ 8(エコー要求)ICMP メッセージが認証の対象または除外対象になります。
tcp/0 オプションを指定すると、すべての TCP トラフィックが認証の対象になります。TCP トラフィックには、FTP、HTTP、HTTPS、および Telnet が含まれます。特定の port を指定すると、これに一致する宛先ポートが指定されたトラフィックだけが認証の対象または除外対象になります。FTP、Telnet、HTTP、および HTTPS は、それぞれ tcp/21 、 tcp/23 、 tcp/80 、および tcp/443 と等しくなります。
ip を指定すると、 include または exclude のどちらを指定したかに応じて、すべての IP トラフィックが認証の対象または除外対象になります。すべての IP トラフィックを認証の対象にすると、次の処理が実行されます。
• ユーザを(送信元 IP に基づいて)認証する前は、FTP 要求、Telnet 要求、HTTP 要求、または HTTPS 要求を受信すると認証処理が発生し、他の IP 要求はすべて拒否される。
• FTP 認証、Telnet 認証、HTTP 認証、HTTPS 認証、または仮想 Telnet 認証( virtual コマンドを参照)でユーザを認証すると、 uauth がタイムアウトするまで、どのトラフィックに対しても認証処理が発生しなくなる。
aaa authentication コマンドは、次の機能をイネーブルまたはディセーブルにします。
• LOCAL サーバ、TACACS+ サーバ、または RADIUS サーバが提供するユーザ認証サービス。これらのサービスは、最初に aaa-server コマンドで指定する必要があります。FTP、Telnet、HTTP、または HTTPS を介して接続を開始するユーザは、ユーザ名とパスワードを入力するように求められます。このユーザ名とパスワードが、指定した認証サーバによって確認された場合、セキュリティ アプライアンスのカットスルー プロキシ機能により、送信元と宛先の間で発生する以降の FTP トラフィック、Telnet トラフィック、HTTP トラフィック、または HTTPS トラフィックが許可されます。
• Telnet、SSH、HTTP、またはシリアル コンソールを介してセキュリティ アプライアンス コンソールにアクセスするための、管理認証サービス。Telnet でアクセスする場合は、先に telnet コマンドを使用する必要があります。SSH でアクセスする場合は、先に ssh コマンドを使用する必要があります。
ユーザに表示される AAA クレデンシャル要求プロンプトは、認証を受けてセキュリティ アプライアンスにアクセスできるサービス(Telnet、FTP、HTTP、および HTTPS)でそれぞれ異なります。
(注) HTTP または HTTPS で、Web サーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するには virtual コマンドを使用します。
インターフェイス名は aaa authentication コマンドで指定できます。たとえば、 aaa authentication include tcp outside 0 0 server-tag と指定した場合、セキュリティ アプライアンスは外部インターフェイスから送信される TCP 接続を認証します。
(注) HTTP 認証または HTTPS 認証の場合、セキュリティ アプライアンスの uauth タイマーが非常に小さな値に設定されている場合でも、一度認証されたユーザの再認証が必要になることはありません。これは、ブラウザが「Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Netscape Navigator または Internet Explorer のインスタンスをすべて終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
最大 15 個のシングルモード サーバ グループまたは 4 個のマルチモード サーバ グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。サーバは、aaa-server コマンドで設定した TACACS+ サーバまたは RADIUS サーバです。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
セキュリティ アプライアンスで使用できる認証タイプは、ネットワークごとに 1 つだけです。たとえば、あるネットワークが認証に TACACS+ を使用してセキュリティ アプライアンス経由で接続している場合、セキュリティ アプライアンス経由で接続している別のネットワークでは RADIUS を使用して認証できます。しかし、1 つのネットワークで TACACS+ と RADIUS の両方を使用して認証することはできません。
(注) 認可サーバによって VPN アトリビュートが適用される場合、セキュリティ アプライアンスは、RADIUS 認証サーバによって適用される VPN アトリビュートを適用しません。これは、認証後に認可が行われるためです。たとえば、RADIUS 認証と LDAP 認可にアトリビュート値ペア「tunnel-group=VPN」が定義されている場合、LDAP サーバに設定されているすべての VPN リモートアクセス アトリビュートが VPN リモートアクセス トンネルに適用されます。RADIUS 認証サーバによって定義されているアトリビュートは無視されます。この動作は、トンネルグループ、webvpn、pop、imap、および smtps の認証パラメータおよび認可パラメータに影響を及ぼします。
例
次の例は、aaa authentication コマンドの使用方法を示しています。
次の例では、ローカル IP アドレスが 192.168.0.0(ネットマスク 255.255.0.0)で、リモート(外部)IP アドレスが任意のホストである、外部インターフェイス上の TCP トラフィックを、「tacacs+」という名前のサーバによる認証の対象としています。2 番目のコマンドラインでは、ローカル アドレスが 192.168.38.0 で、リモート(外部)IP アドレスが任意のホストである、外部インターフェイス上の Telnet トラフィックを認証の対象外としています。
次の例は、interface-name パラメータの使用方法を示しています。セキュリティ アプライアンスには、内部ネットワーク 192.168.1.0、外部ネットワーク 209.165.201.0 (サブネット マスク
255.255.255.224)、および境界ネットワーク 209.165.202.128(サブネット マスク 255.255.255.224)が接続されています。
次の例では、内部ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。
次の例では、IP アドレス 10.0.0.1 ~ 10.0.0.254 が外部インターフェイス経由で接続を確立するときに、セキュリティ アプライアンスによる認証を受ける必要があるように指定しています。この例では、最初の aaa authentication コマンドで、すべての FTP セッション、HTTP セッション、および Telnet セッションの認証を要求しています。2 番目の aaa authentication コマンドでは、10.0.0.42 が認証を受けなくても発信接続を開始できるようにしています。この例では、 tacacs+ という名前のサーバ グループを使用します。
次の例では、ネットワーク アドレス 209.165.201.0(サブネット マスク 255.255.255.224)を指定して、209.165.201.1 ~ 209.165.201.30 の範囲にある TCP IP アドレスへの着信アクセスを許可します。 access-list コマンドですべてのサービスを許可し、a aa authentication コマンドで HTTP に対する認証を要求します。認証サーバは、内部インターフェイス上の IP アドレス 10.16.1.20 にあります。
関連コマンド
aaa authentication console
次のいずれかを行う場合は、グローバル コンフィギュレーション モードで aaa authentication console コマンドを使用します。
• SSH 接続、HTTP 接続、または Telnet 接続を介して、あるいはセキュリティ アプライアンスの Console コネクタからセキュリティ アプライアンス コンソールにアクセスするときの認証サービスをイネーブルにする。
• 指定したサーバ グループのリストまたはローカル データベースへのフォールバックをサポートするように管理認証を設定する。
この認証サービスをディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication { serial | enable | telnet | ssh | http } console server-tag [ LOCAL ]
no aaa authentication { serial | enable | telnet | ssh | http } console server-tag [ LOCAL ]
シンタックスの説明
デフォルト
デフォルトでは、ローカル データベースへのフォールバックはディセーブルになっています。
aaa authentication http console server-tag コマンド文を定義していない場合は、ユーザ名とセキュリティ アプライアンスのイネーブル パスワード(password コマンドで設定)を入力しなくても、ASDM を通じてセキュリティ アプライアンスにアクセスできます。aaa コマンドを定義した場合でも、HTTP 認証要求がタイムアウトしたとき(AAA サーバがダウンしているか、到達不能になっていると考えられます)は、デフォルトの管理者ユーザ名とイネーブル パスワードを使用してセキュリティ アプライアンスにアクセスできます。デフォルトでは、イネーブル パスワードは設定されていません。
help aaa コマンドを使用すると、 aaa authentication コマンドのシンタックスと使用方法の要約が表示されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication console コマンドは、特権モードに入るときの認証をイネーブルまたはディセーブルにするか、指定した接続タイプでセキュリティ アプライアンスにアクセスするときに認証確認を要求できるようにします。あるいは、管理認証のフォールバックをサポートします。
Telnet でアクセスする場合は、先に telnet コマンドを使用する必要があります。SSH でアクセスする場合は、先に ssh コマンドを使用する必要があります。
serial キーワードを併用すると、コンフィギュレーションに対してシリアル コンソールから行われた変更の内容を syslog サーバに記録できます。
aaa authentication console コマンドを使用する場合は、サーバ グループ プロトコルとして LOCAL を指定しない限り、事前に aaa-server コマンドを使用して認証サーバを指定しておく必要があります。 aaa authentication console コマンドでは、RADIUS グループと TACACS+ グループをサポートしています。
「デフォルト」に記載されている場合を除き、HTTP 認証を使用する場合、
aaa authentication http console コマンドを指定すると、セキュリティ アプライアンスは HTTP サーバの認証確認を要求します。
認証を必要とするアクションが管理者から要求されると、セキュリティ アプライアンスは、指定したサーバ グループのサーバとの認証セッションを開始します。システムが、このグループのどのサーバとも通信できない場合。
指定したサーバ グループ内のすべてのサーバが利用できない場合にローカル ユーザ データベースにフォールバックするよう管理認証を設定するには、 LOCAL オプションを指定して aaa authentication コマンドを使用します。この機能は、デフォルトではディセーブルになっています。
HTTP 認証で要求できるユーザ名の最大長は、30 文字です。パスワードの最大長は 16 文字です。
次の表に示すように、セキュリティ アプライアンス コンソールに認証を受けてアクセスするときのプロンプトのアクションは、 aaa authentication { serial | enable | telnet | ssh | http} console server-tag コマンドでどのオプションを選択したかによって異なります。
|
|
|
|---|---|
セキュリティ アプライアンス コンソールには、任意の内部インターフェイスおよび IPSec 設定済みの外部インターフェイスから Telnet アクセスできます。アクセス前に telnet コマンドを使用する必要があります。また、セキュリティ アプライアンス コンソールへの SSH アクセスについても、IPSec を設定していない任意のインターフェイスから実行できます。アクセス前に ssh コマンドを使用する必要があります。
ssh オプションには、SSH ユーザ認証に使用する AAA サーバのグループを指定します。認証プロトコルおよび AAA サーバの IP アドレスは、aaa-server コマンド文で指定します。
Telnet モデルの場合と同様に、 aaa authentication ssh console server-tag コマンド文を定義していない場合は、ユーザ名 pix とセキュリティ アプライアンスの Telnet パスワード(passwd コマンドで設定)を使用してセキュリティ アプライアンス コンソールにアクセスできます。aaa コマンドを定義した場合でも、SSH 認証要求がタイムアウトしたとき(AAA サーバがダウンしているか、到達不能になっていると考えられます)は、管理者ユーザ名とイネーブル パスワード(enable password コマンドで設定)を使用してセキュリティ アプライアンスにアクセスできます。デフォルトでは、Telnet パスワードは cisco で、イネーブル パスワードは設定されていません。
ユーザに表示される AAA クレデンシャル要求プロンプトは、認証を受けてセキュリティ アプライアンスにアクセスできるサービス(Telnet、FTP、HTTP、および HTTPS)でそれぞれ異なります。
• Telnet ユーザには、セキュリティ アプライアンスが生成するプロンプトが表示されます。このプロンプトは、auth-prompt コマンドで変更できます。セキュリティ アプライアンスは、ユーザに対して 4 回までのログイン試行を許可し、それでもユーザ名とパスワードが違う場合は接続をドロップします。
• FTP ユーザは、FTP プログラムからプロンプトを受け取ります。ユーザの入力したパスワードが誤っている場合は、ただちに接続がドロップされます。認証データベース上のユーザ名およびパスワードが、FTP を使用してアクセスする宛先リモート ホスト上のユーザ名およびパスワードと異なっている場合は、ユーザ名とパスワードを次の形式で入力します。
セキュリティ アプライアンスをデイジーチェーン接続している場合、Telnet 認証は装置が 1 台のときと同様に機能します。ただし、FTP ユーザと HTTP ユーザは、ユーザ名またはパスワードごとに @ を追加して、各デイジーチェーン システムのユーザ名とパスワードを入力する必要があります。ユーザは、デイジーチェーン接続されている装置の台数、およびパスワードの長さに応じて、63 文字までのパスワード制限を超えて入力できます。
FTP GUI の一部には、チャレンジ値を表示しないものがあります。
• aaa authentication secure-http-client が設定されていない場合、HTTP ユーザには、ブラウザ自身によって生成されたポップアップ ウィンドウが表示されます。
aaa authentication secure-http-client が設定されている場合、ユーザ名とパスワードを収集するためのフォームがブラウザにロードされます。どちらの場合でも、ユーザの入力したパスワードが誤っている場合は、ユーザは再入力を求められます。Web サーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するには virtual コマンドを使用します。
セキュリティ アプライアンスは、認証中に 7 ビット文字だけを受け入れます。認証後は、必要に応じて、クライアントとサーバで 8 ビット文字を使用してネゴシエートできます。認証中、セキュリティ アプライアンスは、Go-Ahead、Echo、および NVT(ネットワーク仮想端末)だけをネゴシエートします。
「基本テキスト認証」または「NT チャレンジ」をイネーブルにした Microsoft IIS を実行しているサイトに対して HTTP 認証を使用すると、ユーザは Microsoft IIS サーバからアクセスを拒否されます。これは、ブラウザによって、「Authorization: Basic=Uuhjksdkfhk==」という文字列が HTTP GET コマンドに付加されるためです。この文字列には、セキュリティ アプライアンスの認証クレデンシャルが含まれています。
Windows NT の Microsoft IIS サーバは、このクレデンシャルに応答して、Windows NT ユーザがサーバ上のアクセス制限付きページにアクセスしようとしていると仮定します。セキュリティ アプライアンスのユーザ名およびパスワードが、Microsoft IIS サーバ上の有効な Windows NT ユーザ名およびパスワードとまったく同じものである場合を除いて、この HTTP GET コマンドは拒否されます。
この問題を解決するために、セキュリティ アプライアンスには virtual http コマンドが用意されています。このコマンドは、ブラウザの初期接続を他の IP アドレスにリダイレクトしてユーザを認証した後で、ユーザが要求した元の URL にブラウザをリダイレクトします。
認証が終了した後は、セキュリティ アプライアンスの uauth タイムアウトが非常に小さな値に設定されている場合でも、ユーザ側で再認証が必要になることはありません。これは、ブラウザが「Authorization: Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザが Netscape Navigator または Internet Explorer のインスタンスをすべて終了し、再起動したときだけです。キャッシュをフラッシュしても意味がありません。
ユーザがインターネットを繰り返しブラウズするとき、ブラウザは
「Authorization: Basic=Uuhjksdkfhk==」文字列を毎回再送信して、ユーザを透過的に再認証します。
CU-SeeMe、Intel インターネット電話、MeetingPoint、MS NetMeeting などのマルチメディア アプリケーションは、内部から外部への H.323 セッションを確立する前に、バックグラウンドで HTTP サービスを起動します。
Netscape Navigator などのネットワーク ブラウザは、認証中にチャレンジ値を表示しません。このため、ネットワーク ブラウザから使用できるのはパスワード認証だけです。
(注) これらのアプリケーションの動作を妨げないようにするには、チャレンジされる全ポートを含めた包括的な送信 aaa コマンド文(any オプションを使用するものなど)を入力しないようにします。HTTP のチャレンジに使用するポートとアドレスは必要な分だけ設定し、ユーザ認証タイムアウトを設定するときは、大きめの値にします。マルチメディア プログラムの動作が妨げられると、内部からの送信セッションが確立した後に、PC 上でマルチメディア プログラムにエラーが発生したり、PC に障害が発生したりする可能性があります。
最大 15 個のシングルモード グループまたは 4 個のマルチモード グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。サーバは、TACACS+ サーバまたは RADIUS サーバです。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
TACACS+ サーバでは、aaa-server コマンド用のキーを指定していない場合は暗号化が使用できません。
セキュリティ アプライアンスが表示するタイムアウト メッセージは、RADIUS と TACACS+ のどちらの場合でも同じです。次のいずれかが発生した場合に、メッセージ「aaa server host machine not responding」を表示します。
例
次の例は、 aaa authentication console コマンドの使用方法を示しています。
次の例は、サーバ タグ「radius」の RADIUS サーバへの Telnet 接続に対して aaa authentication console コマンドを使用する方法を示しています。
次の例では、サーバ グループ「AuthIn」を管理認証用に指定しています。
次の例は、aaa authentication console コマンドを使用して、グループ「srvgrp1」内のすべてのサーバが利用できない場合に LOCAL ユーザ データベースにフォールバックするようにする方法を示しています。
hostname(config)# aaa-server svrgrp1 protocol tacacs
関連コマンド
|
|
|
aaa authentication match
aaa-server コマンドで指定したサーバ上の LOCAL、TACACS+、または RADIUS のユーザ認証、あるいは ASDM ユーザ認証をイネーブルにするために一致する必要のある特定のアクセスリストの使用をイネーブルにするには、グローバル コンフィギュレーション モードで
aaa authentication match コマンドを使用します。特定のアクセスリストと一致する必要がないようにするには、このコマンドの no 形式を使用します。 aaa authentication match コマンドでは、照合用のアクセスリストの名前(事前に access-list コマンドで定義したもの)を指定して、一致した場合に認証を提供します。
aaa authentication match acl-name interface-name server-tag
no aaa authentication match acl-name interface-name server-tag
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication match コマンドを使用する場合は、事前に aaa-server コマンドを使用して認証サーバを指定し( LOCAL を指定する場合を除く)、 access-list コマンドを使用して名前付きアクセスリストを定義しておく必要があります。トラフィックの選別基準として送信元ポートを使用する access-list コマンド文は使用しないでください。 aaa authentication match コマンドの一致条件で、送信元ポートはサポートされていません。
アクセスの要求元を定義するには、 interface-name 変数を使用します。
カットスルー プロキシでは、サーバ グループ タグ LOCAL を指定することで、ローカルのユーザ認証データベースも使用できます。server-tag に LOCAL を指定する場合、ローカル ユーザ クレデンシャル データベースが空のときは次の警告メッセージが表示されます。
逆に、コマンド内に LOCAL があるときにローカル データベースが空になった場合は、次の警告メッセージが表示されます。
例
次の一連の例は、 aaa authentication match コマンドの使用方法を示しています。
aaa コマンド内のリストでは、access-list コマンド文を参照している部分が指定した順に処理されます。ここで、次のコマンドを入力するとします。
セキュリティ アプライアンスは、 mylist 内の access-list コマンド文グループにトラフィックが一致しているかどうかをまず検索し、次に yourlist 内の access-list コマンド文グループに一致しているかどうかを検索します。
関連コマンド
|
|
|
aaa authentication secure-http-client
SSL をイネーブルにして、HTTP クライアントとセキュリティ アプライアンスの間でのユーザ名とパスワードの交換を保護するには、グローバル コンフィギュレーション モードで
aaa authentication secure-http-client コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 aaa authentication secure-http-client コマンドは、ユーザの HTTP ベース Web 要求がセキュリティ アプライアンスを通過することを許可する前に、セキュリティ アプライアンスに対してセキュアなユーザ認証方式を提供します。
aaa authentication secure-http-client
no aaa authentication secure-http-client
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authentication secure-http-client コマンドは、(SSL を介して)HTTP クライアント認証を保護します。このコマンドは、HTTP カットスルー プロキシ認証に使用されます。
次に、 aaa authentication secure-http-client コマンドの制限事項を示します。
• 実行時、許可される HTTPS 認証プロセスは最大で 16 個です。16 個の HTTPS 認証プロセスがすべて実行中である場合、認証を要求する 17 番目の新しい HTTPS 接続は許可されません。
• uauth timeout 0 が設定されている( uauth timeout が 0 に設定されている)場合は、HTTPS 認証が機能しません。HTTPS 認証を受けた後、ブラウザが複数の TCP 接続を開始して Web ページのロードを試みると、最初の接続はそのまま許可されますが、後続の接続に対しては認証が発生します。その結果、ユーザが認証ページに正しいユーザ名とパスワードを毎回入力しても、繰り返し認証ページが表示されます。この現象を回避するには、 timeout uauth 0:0:1 コマンドを使用して、 uauth timeout を 1 秒に設定します。ただし、この回避策ではウィンドウが 1 秒間開かれるため、このウィンドウを利用して、同じ送信元 IP アドレスからアクセスしてくる未認証のユーザがファイアウォールを通過する可能性があります。
• HTTPS 認証は SSL ポート 443 で発生するため、HTTP クライアントから HTTP サーバに向かうポート 443 上のトラフィックをブロックするように access-list コマンド文を設定しないでください。また、ポート 80 上の Web トラフィックに対してスタティック PAT を設定する場合は、SSL ポートに対してもスタティック PAT を設定する必要があります。次の例では、1 行目で Web トラフィックに対してスタティック PAT を設定しているため、2 行目を追加して、HTTPS 認証コンフィギュレーションをサポートする必要があります。
• aaa authentication secure-http-client が設定されていない場合、HTTP ユーザには、ブラウザ自身によって生成されたポップアップ ウィンドウが表示されます。
aaa authentication secure-http-client が設定されている場合、ユーザ名とパスワードを収集するためのフォームがブラウザにロードされます。どちらの場合でも、ユーザの入力したパスワードが誤っている場合は、ユーザは再入力を求められます。Web サーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するには virtual コマンドを使用します。
ヒント help aaa コマンドを使用すると、aaa authentication コマンドのシンタックスと使用方法の要約が表示されます。
例
次の例では、HTTP トラフィックがセキュアに認証されるように設定しています。
「...」は、 authen_service if_name local_ip local_mask [ foreign_ip foreign_mask ] server_tag に適切な値を指定することを表します。
次のコマンドでは、HTTPS トラフィックがセキュアに認証されるように設定しています。
「...」は、 authentication -service interface-name local-ip local-mask [ foreign-ip foreign-mask ] server-tag に適切な値を指定することを表します。
(注) HTTPS トラフィックの場合は、aaa authentication secure-https-client コマンドは不要です。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上の LOCAL、TACACS+、または RADIUS のユーザ認証をイネーブルにします。 |
|
aaa authorization
指定したホスト上でサービスに対するユーザ認可をイネーブルまたはディセーブルにするには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。指定したホストのユーザ認可サービスをディセーブルにするには、このコマンドの no 形式を使用します。ユーザがどのサービスへのアクセスを認可されるかは、認証サーバが決定します。
aaa authorization { include | exclude } service interface-name local-ip local-mask foreign-ip foreign-mask server-tag
no aaa authorization { include | exclude } service interface-name local-ip local-mask foreign-ip foreign-mask server-tag
シンタックスの説明
デフォルト
「すべてのホスト」を指定するには、IP アドレスを 0 にします。ローカル IP アドレスを 0 に設定すると、認可を受けるホストを認可サーバ側で決定できます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このリリースで、このコマンドが変更されました。 exclude パラメータにより、ユーザが、特定のホスト(複数可)宛てのポートを指定して除外できるようになりました。 |
使用上のガイドライン
コマンド認可とともに使用する場合を除いて、 aaa authorization コマンドでは事前に
aaa authentication コマンドでの設定が必要です。ただし、 aaa authentication コマンドは
aaa authorization コマンドを使用する必要はありません。
セキュリティ アプライアンスは、認証が別のプロトコルで行われる場合に限り、 aaa authorization コマンドでの RADIUS 認可をサポートしています。RADIUS サーバは、認証要求への応答とともに認可情報を返します。 aaa authentication コマンドの説明を参照してください。 aaa authorization コマンドは、LOCAL サーバ(コマンド認可の場合だけ)に加えて、RADIUS または TACACS+ サーバで許可されます。RADIUS サーバでダイナミック ACL を設定して、認可を提供できます(その認可がセキュリティ アプライアンスに設定されていない場合でも)。
VPN 認可が LOCAL と定義されている場合は、デフォルト グループポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。これは、 tunnel-group コマンドおよび webvpn コマンド内の設定に影響を及ぼします。
ヒント help aaa コマンドを使用すると、aaa authentication コマンドのシンタックスと使用方法の要約が表示されます。
IP アドレスごとに、1 つの aaa authorization コマンドが許可されます。 aaa authorization で複数のサービスを認可するには、サービス タイプに any パラメータを使用します。
最初の認可試行が失敗し、2 番目の試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージを示しています。
Unable to connect to remote host: Connection timed out
ユーザ認可サービスは、ユーザがどのネットワーク サービスにアクセスできるかを制御します。認証が完了した後、アクセスの制限されているサービスにユーザがアクセスを試行すると、セキュリティ アプライアンスは指定された AAA サーバを使用してユーザのアクセス権を確認します。
(注) RADIUS 認可は、access-list deny-flow-max コマンド文とともに使用する場合、また RADIUS サーバを acl=acl-name ベンダー固有識別子を使用して設定する場合にサポートされます。詳細については、access-list deny-flow-port コマンドのページおよび authentication-port コマンドのページを参照してください。
外部(宛先)IP アドレスを指定する場合、すべてのホストを指定するには 0 を使用します。宛先マスクとローカル マスクには、必ず特定のマスク値を指定します。IP アドレスが 0 の場合はマスク 0 を使用し、ホストにはマスク 255.255.255.255 を使用します。
指定しないサービスは、暗黙的に認可されます。 aaa authentication コマンド内で指定したサービスは、認可を必要とするサービスには影響しません。
protocol/port を使用する場合は、次の値を指定できます。
• protocol:プロトコル(例:6 は TCP、17 は UDP、1 は ICMP)。
• port:TCP または UDP の宛先ポートまたは宛先ポート範囲。port には、ICMP タイプも入力できます。8 が ICMP の echo または ping を表します。ポート値を 0 にすると、すべてのポートを指定します。ポート範囲を指定できるのは、TCP プロトコルと UDP プロトコルだけです。ICMP の場合は指定できません。TCP、UDP、および ICMP 以外のプロトコルの場合は、port パラメータを使用しないでください。次に、ポート指定の例を示します。
この例は、すべてのクライアントを対象として、内部インターフェイスに対する DNS lookup の認可をイネーブルにして、さらに 53 ~ 1024 のポート範囲にある他のすべてのサービスへのアクセスを認可する方法を示しています。
特定の認可規則では、それに対応する認証は必要ありません。認証が必要となるのは、FTP、HTTP、または Telnet の場合だけで、認可クレデンシャルを入力するための対話型の方法がユーザに提供されます。
(注) ポート範囲を指定すると、予期できない結果が認可サーバで生じる可能性があります。セキュリティ アプライアンスでは、サーバが文字列を解析してポート範囲に変換できることを前提としており、ポート範囲を文字列としてサーバに送信します。実際には、すべてのサーバがこのような変換を実行するとは限りません。また、ユーザに対して特定のサービスだけを認可する場合もあります。ポート範囲を指定すると、サービスを個別に認可できません。
service オプションに有効な値は、 telnet 、 ftp 、 http 、 https 、 tcp または 0 、 tcp または port 、 udp または port 、 icmp または port 、あるいは protocol [/ port ] です。対話型のユーザ認証は、Telnet トラフィック、FTP トラフィック、HTTP トラフィック、HTTPS トラフィックでだけトリガーします。
例
この例では、最初のコマンド文で tplus1 という名前のサーバ グループを作成し、このグループ用に TACACS+ プロトコルを指定しています。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。その次の 3 つのコマンド文で指定しているのは、外部インターフェイスを経由する外部ホスト宛て接続を開始するユーザ全員を tplus1 サーバ グループで認証すること、正常に認証されたユーザに対してはどのサービスの使用も認可すること、およびすべての発信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、セキュリティ アプライアンスのシリアル コンソールにアクセスするには、tplus1 サーバ グループから認証を受ける必要があることを指定しています。
次の例では、外部インターフェイスからの DNS ルックアップに対する認可をイネーブルにします。
次の例では、内部ホストから内部インターフェイスに到着する、ICMP エコー応答パケットの認可をイネーブルにします。
このように設定すると、ユーザは Telnet、HTTP、または FTP を使用して認証を受けない限り、外部ホストを ping できなくなります。
次の例では、内部ホストから内部インターフェイスに到着する ICMP エコー(ping)についてだけ認可をイネーブルにします。
関連コマンド
|
|
|
|---|---|
コマンドの実行が認可の対象となるかどうかを指定します。または、指定したサーバ グループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースにフォールバックするよう管理認可を設定します。 |
|
特定の access-list コマンド名に対して LOCAL または TACACS+ のユーザ認可サービスをイネーブルまたはディセーブルにします。 |
|
aaa authorization command
aaa authorization command コマンドは、コマンドの実行が認可の対象となるかどうかを指定します。コマンド認可をイネーブルにするには、グローバル コンフィギュレーション モードで
aaa authorization command コマンドを使用します。コマンド認可をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization command { LOCAL | server-tag }
no aaa authorization command { LOCAL | server-tag }
次のシンタックスでは、指定したサーバ グループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースにフォールバックするよう管理認可を設定します。このオプションは、デフォルトではディセーブルになっています。
aaa authorization command server-tag [LOCAL]
no aaa authorization command server-tag [LOCAL]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが変更され、指定したグループ内のすべてのサーバがディセーブルである場合にローカル ユーザ データベースにフォールバックするよう管理認可を設定できるようになりました。 |
使用上のガイドライン
aaa authorization command コマンドをコマンド認可に使用する場合は、 aaa authentication コマンドによる事前のコンフィギュレーションは必要ありません。
aaa authorization コマンドは、TACACS+ サーバおよび LOCAL サーバ(コマンド認可の場合だけ)とともに使用できますが、RADIUS サーバとは使用できません。
ヒント help aaa コマンドを使用すると、aaa authorization コマンドのシンタックスと使用方法の要約が表示されます。
例
次の例は、tplus1 という名前の TACACS+ サーバ グループによるコマンド認可をイネーブルにする方法を示しています。
次の例は、tplus1 サーバ グループ内のすべてのサーバが利用できない場合に、ローカル ユーザ データベースにフォールバックするよう管理認可を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
aaa-server コマンドで指定した LOCAL または TACACS+ サーバのユーザ認可、あるいは ASDM ユーザ認証のユーザ認可をイネーブルまたはディセーブルにします。 |
|
aaa authorization match
ユーザ認可サービスをイネーブルまたはディセーブルにするために照合する必要のある特定のアクセスリストの使用をイネーブルにするには、グローバル コンフィギュレーション モードで aaa authorization match コマンドを使用します。ユーザ認可サービスに特定のアクセスリストを使用しないようにするには、このコマンドの no 形式を使用します。ユーザがどのサービスへのアクセスを認可されるかは、認証サーバが決定します。
aaa authorization match acl-name interface-name server-tag
no aaa authorization match acl-name interface-name server-tag
シンタックスの説明
aaa-server protocol コマンドで定義した AAA サーバ グループ タグ。グループ タグ値に LOCAL を入力して、ローカルのコマンド認可特権レベルなど、ローカルのセキュリティ アプライアンス データベース AAA サービスも使用できます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa authorization match コマンドでは、事前に aaa authentication コマンドでのコンフィギュレーションが必要です。ただし、 aaa authentication コマンドでは、 aaa authorization コマンドを使用する必要はありません。
セキュリティ アプライアンスは、認証が別のプロトコルで行われる場合に限り、 aaa authorization コマンドでの RADIUS 認可をサポートしています。RADIUS サーバは、認証要求への応答とともに認可情報を返します。 aaa authentication コマンドの説明を参照してください。 aaa authorization コマンドは、LOCAL サーバ(コマンド認可の場合だけ)に加えて、RADIUS または TACACS+ サーバで許可されます。RADIUS サーバでダイナミック ACL を設定して、認可を提供できます(その認可がセキュリティ アプライアンスに設定されていない場合でも)。
ヒント help aaa コマンドを使用すると、aaa authorization match コマンドのシンタックスと使用方法の要約が表示されます。
最初の認可試行が失敗し、2 番目の試行でタイムアウトが発生した場合は、認可されなかったクライアントを service resetinbound コマンドを使用してリセットし、そのクライアントが接続の再転送を行わないようにします。次の例は、Telnet の認可タイムアウト メッセージを示しています。
Unable to connect to remote host: Connection timed out
ユーザ認可サービスは、ユーザがどのネットワーク サービスにアクセスできるかを制御します。認証が完了した後、アクセスの制限されているサービスにユーザがアクセスを試行すると、セキュリティ アプライアンスは指定された AAA サーバを使用してユーザのアクセス権を確認します。
例
次の例では、tplus1 サーバ グループを aaa コマンドで使用しています。
この例では、最初のコマンド文で、tplus1 サーバ グループを TACACS+ グループとして定義しています。2 番目のコマンドでは、IP アドレス 10.1.1.10 の認証サーバが内部インターフェイス上にあること、および tplus1 サーバ グループに含まれていることを指定しています。次の 2 つのコマンド文では、内部インターフェイスを通過する、任意の外部ホスト宛てのすべての接続が、tplus1 サーバ グループを使用して認証され、かつアカウンティング データベースに記録されるように指定しています。最後のコマンド文では、myacl 内の ACE に一致するすべての接続が tplus1 サーバ グループ内の AAA サーバによって認可されることを指定しています。
関連コマンド
aaa local authentication attempts max-fail
セキュリティ アプライアンスが所定のユーザ アカウントに対して許可するローカル ログイン試行の連続失敗回数を制限するには、グローバル コンフィギュレーション モードで aaa local authentication attempts max-fail コマンドを使用します。このコマンドは、ローカル ユーザ データベースによる認証だけに影響を及ぼします。この機能をディセーブルにして、ローカル ログイン試行が連続して何回失敗してもよいようにするには、このコマンドの no 形式を使用します。
aaa local authentication attempts max-fail number
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを省略すると、ユーザが何回でも間違ったパスワードを入力できるようになります。
間違ったパスワードによるユーザのログイン試行が設定回数に達すると、ユーザはロックアウトされ、管理者によってユーザ名がアンロックされるまで、ログインに成功しません。ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。
ユーザが正常に認証された場合、またはセキュリティ アプライアンスがリブートした場合は、失敗試行回数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。
例
次の例は、aaa local authentication attempts max-limits コマンドを使用して、許可される失敗試行の最大回数を 2 に設定する方法を示しています。
関連コマンド
|
|
|
aaa mac-exempt
認証および認可の対象から除外する定義済みの MAC アドレス リストの使用を指定するには、グローバル コンフィギュレーション モードで aaa mac-exempt コマンドを使用します。MAC アドレス リストの使用をディセーブルにするには、このコマンドの no 形式を使用します。 aaa mac-exempt コマンドは、MAC アドレスのリストを認証および認可の対象から除外します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
aaa mac-exempt コマンドを使用するには、事前に mac-list コマンドを使用して MAC アクセスリストの番号を設定しておく必要があります。認証が免除される MAC アドレスは、自動的に認可が免除されます。
例
次の例は、mac-exempt リストを指定する方法を示しています。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブル化、ディセーブル化、または表示します。 |
|
最初に一致した時点で停止する検索処理を使用して、MAC アドレスのリストを追加します。このリストは、MAC ベースの認証を実行するセキュリティ アプライアンスによって使用されます。 |
aaa proxy-limit
ユーザ 1 人あたりに許可する同時プロキシ接続の最大数を設定することで、uauth セッションの制限値を手動で設定するには、グローバル コンフィギュレーション モードで aaa proxy-limit コマンドを使用します。プロキシをディセーブルにするには、 disable パラメータを使用します。デフォルトのプロキシ制限値(16)に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
送信元アドレスがプロキシ サーバである場合は、その IP アドレスを認証の対象から除外するか、許容可能な未処理 AAA 要求の数を増やすことを検討してください。
例
次の例は、ユーザ 1 人あたりに許容可能な未処理認証要求の最大数を設定する方法を示しています。
関連コマンド
|
|
|
aaa-server コマンドで指定したサーバ上での、LOCAL、TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブル化、ディセーブル化、または表示します。 |
|
aaa-server host
AAA サーバを設定する、またはホスト固有の AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server host コマンドを使用します。 aaa-server host コマンドを使用すると、AAA サーバ ホスト モードに入ります。このモードから、ホスト固有の AAA サーバ接続データを指定および管理できます。ホストのコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag [( interface-name )] host server-ip [ key ] [ timeout seconds ]
no aaa-server server-tag [( interface-name )] host server-ip [ key ] [ timeout seconds ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 15 個のシングルモード グループまたは 4 個のマルチモード グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
AAA アカウンティングが有効になっている場合、 aaa-server protocol コマンドで同時アカウンティングを指定しない限り、アカウンティング情報はアクティブなサーバだけに送信されます。
セキュリティ アプライアンス バージョンの aaa-server コマンドは、ホストごとのサーバ ポートの指定をサポートしています。そのため、記載しているようなセマンティックの変更とともに、以前の PIX Firewall システムで使用できた次のコマンド形式が段階的に廃止されています(お勧めできません)。これは、RADIUS サーバを含むサーバ グループだけに適用されます。これらのコマンドは受け入れられますが、コンフィギュレーションに書き込まれなくなります。
• aaa-server radius-authport [ auth-port ]:このコマンドは、すべての RADIUS サーバのデフォルトの認証ポートを制御します。つまり、ホスト固有の認証ポートを指定していない場合は、このコマンドで指定した値が使用されます。このコマンドで値を指定しなかった場合は、デフォルトの Radius 認証ポート(1645)が使用されます。
• aaa-server radius-acctport [ acct-port ]:このコマンドは、上記の動作を RADIUS アカウンティング ポート(デフォルトでは 1646)に適用します。
次に、ホスト モードのコマンドをすべて示します。選択したサーバ グループの AAA サーバ タイプに適用されるコマンドだけを使用できます。詳細については、個々のコマンドの説明を参照してください。
|
|
|
|
|---|---|---|
| key 1 |
||
timeout 2 |
| 1.aaa-server コマンドで key パラメータを指定すると、そのパラメータは、ホスト モードで key コマンドを使用する場合と同じ影響を及ぼします。 2.aaa-server コマンドで timeout パラメータを指定すると、そのパラメータは、ホスト モードで timeout コマンドを使用する場合と同じ影響を及ぼします。 |
このリリースで、 aaa-server コマンドが変更されました。グループ モードに入るための aaa-server group-tag protocol と、ホスト モードに入るための aaa-server host という、2 つの別のコマンドになりました。
例
次の例では、ホスト「192.168.3.4」に対して「svrgrp1」という名前の SDI AAA サーバ グループを設定し、タイムアウト間隔を 6 秒に、リトライ間隔を 7 秒に、SDI バージョンをバージョン 5 に設定しています。
hostname(config)# aaa-server svrgrp1 protocol sdi
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 6
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# sdi-version sdi-5
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
aaa-server protocol
グループ固有で、すべてのホストに共通の AAA サーバ パラメータを設定するには、グローバル コンフィギュレーション モードで aaa-server protocol コマンドを使用して、AAA サーバ グループ モードに入ります。このモードから、グループ パラメータを設定できます。指定したグループを削除するには、このコマンドの no 形式を使用します。
aaa-server server-tag protocol server-protocol
no aaa-server server-tag protocol server-protocol
シンタックスの説明
サーバ グループの識別名。他の AAA コマンドは、 aaa-server コマンドの server-tag パラメータで定義された server-tag グループを参照します。 |
|
グループ内のサーバがサポートする AAA プロトコル。 kerberos 、 ldap 、 nt 、 radius、sdi、 または tacacs+ 。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 15 個のシングルモード グループまたは 4 個のマルチモード グループを持つことができます。各グループには、シングルモードで最大 16 台、マルチモードで最大 4 台のサーバを含めることができます。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが 1 台ずつアクセスされます。
AAA アカウンティングが有効になっている場合、同時アカウンティングを設定していない限り、アカウンティング情報はアクティブなサーバだけに送信されます。
AAA サーバ グループ モードに入るための aaa-server protocol と、AAA サーバ ホスト モードに入るための aaa-server host という 2 つのコマンドで、AAA サーバのコンフィギュレーションを制御します。さらに、 aaa-server protocol コマンドを指定して入るグループ モードでは、 accounting-mode コマンドおよび reactivation-mode コマンドによってアカウンティング モードおよびサーバ再有効化機能をサポートしています。
例
次の例は、 aaa-server protocol コマンドを使用して、TACACS+ サーバ グループのコンフィギュレーションの詳細を変更する方法を示しています。
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config)#
関連コマンド
|
|
|
アカウンティング メッセージが 1 台のサーバに送信されるか(シングルモード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定します。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
absolute
時間範囲が有効である場合に絶対時間を定義するには、時間範囲コンフィギュレーション モードで absolute コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
absolute [ end time date ] [ start time date ]
シンタックスの説明
日付を day month year 形式で指定します(たとえば、1 January 2006)。年の有効範囲は 1993 ~ 2035 です。 |
|
デフォルト
開始日時を指定しない場合、permit 文または deny 文がただちに有効になります。最遅終了時刻は 23:59 31 December 2035 です。終了日時を指定しない場合、関連付けられている permit 文または deny 文はこの時刻まで有効です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended time-range コマンドを使用して、時間範囲を ACL にバインドします。
例
次の例では、2006 年 1 月 1 日午前 8 時に ACL が有効になります。
関連コマンド
|
|
|
|---|---|
time-range コマンドの absolute キーワードおよび periodic キーワードのデフォルト設定を復元します。 |
|
access-group
アクセスリストをインターフェイスにバインドするには、グローバル コンフィギュレーション モードで access-group コマンドを使用します。アクセスリストをインターフェイスからアンバインドするには、このコマンドの no 形式を使用します。
access-group access-list { in | out } interface interface_name [ per-user-override ]
no access-group access-list { in | out } interface interface_name
シンタックスの説明
(オプション)ダウンロードしたユーザ アクセスリストが、インターフェイスに適用されているアクセスリストを上書きできるようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドは、アクセスリストをインターフェイスにバインドします。アクセスリストは、インターフェイス宛ての着信トラフィックに適用されます。 access-list コマンド文に permit オプションを入力した場合、セキュリティ アプライアンスはパケットの処理を続行します。 access-list コマンド文に deny オプションを入力した場合には、セキュリティ アプライアンスはパケットを廃棄して、次の syslog メッセージを生成します。
%hostname-4-106019: IP packet from source_addr to destination_addr , protocol protocol received from interface interface_name deny by access-group idper-user-override オプションを指定すると、ダウンロードしたアクセスリストが、インターフェイスに適用されているアクセスリストを上書きできます。 per-user-override オプション引数を指定しない場合、セキュリティ アプライアンスは既存のフィルタリング動作を維持します。 per-user-override を指定すると、セキュリティ アプライアンスは、ユーザに関連付けられているユーザごとのアクセスリスト(ダウンロードされた場合)内の permit ステータスまたは deny ステータスが、 access-group コマンドに関連付けられているアクセスリスト内の permit ステータスまたは deny ステータスを上書きできるようにします。さらに、次の規則が適用されます。
• パケットが到着した時点で、そのパケットに関連付けられているユーザごとのアクセスリストがない場合、インターフェイス アクセスリストが適用される。
• ユーザごとのアクセスリストは、 timeout コマンドの uauth オプションで指定されたタイムアウト値によって管理されるが、このタイムアウト値は、ユーザごとの AAA セッション タイムアウト値によって上書きできる。
• 既存のアクセスリスト ログ動作は同じである。たとえば、ユーザごとのアクセスリストによってユーザ トラフィックが拒否された場合、syslog メッセージ 109025 が記録されます。ユーザ トラフィックが許可された場合、syslog メッセージは生成されません。ユーザごとのアクセスリストのログ オプションは、影響を及ぼしません。
access-list コマンドは、必ず access-group コマンドとともに使用してください。
access-group コマンドは、アクセスリストをインターフェイスにバインドします。 in キーワードは、アクセスリストを、指定したインターフェイス上のトラフィックに適用します。 out キーワードは、アクセスリストを発信トラフィックに適用します。
(注) 1 つまたは複数の access-group コマンドによって参照されるアクセスリストから、すべての機能エントリ(permit 文および deny 文)を削除すると、access-group コマンドがコンフィギュレーションから自動的に削除されます。access-group コマンドは、空のアクセスリストも、コメントだけを含むアクセスリストも参照できません。
no access-group コマンドは、アクセスリストをインターフェイス interface_name からアンバインドします。
show running config access-group コマンドは、インターフェイスにバインドされている現在のアクセスリストを表示します。
clear configure access-group コマンドは、インターフェイスからすべてのアクセスリストを削除します。
例
次の例は、 access-group コマンドの使用方法を示しています。
この static コマンドでは、Web サーバ 10.1.1.3 にグローバル アドレス 209.165.201.3 を付与しています。 access-list コマンドでは、すべてのホストに対して、ポート 80 を使用してグローバル アドレスにアクセスすることを許可しています。 access-group コマンドでは、外部インターフェイスで受信するトラフィックに access-list コマンドを適用することを指定しています。
関連コマンド
|
|
|
|---|---|
access-list alert-interval
拒否フロー最大値到達メッセージ間の時間間隔を指定するには、グローバル コンフィギュレーション モードで access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
access-list alert-interval secs
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list alert-interval コマンドは、syslog メッセージ 106101 を生成する時間間隔を設定します。syslog メッセージ 106101 は、セキュリティ アプライアンスが拒否フローの最大数に達したことを警告します。拒否フローの最大数に達したとき、前回の 106101 メッセージが生成されてから secs 秒以上経過していた場合は、さらに 106101 メッセージが生成されます。
拒否フロー最大値到達メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。
例
次の例は、拒否フロー最大値到達メッセージ間の時間間隔を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list commit
手動コミット モードの場合にアクセスリストをコミットするには、グローバル コンフィギュレーション モードで access-list commit コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-list mode コマンドを手動コミットに設定した場合、セキュリティ アプライアンスがアクセスリストを使用できるようにするには、アクセスリストを手動でコミットする必要があります。
(注) 手動コミット モードは、未使用のアクセスリスト、または access-group コマンドで使用されるアクセスリストだけに影響を及ぼします。AAA、NAT、または他のコンフィギュレーション コマンドで使用されるアクセスリストは、常に自動的にコミットされます。たとえば、access-group と AAA に同じアクセスリストを使用する場合、AAA ではアクセスリストが自動的にコミットされますが、access-group では手動でコミットする必要があります。このため、access-group コマンドと他のコマンド(AAA や NAT など)で同じアクセスリストを共有する場合は、手動コミット モードを使用しないことをお勧めします。
例
次の例は、アクセスリストと他の規則をコミットする方法を示しています。
hostname(config)# access-list commit
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list deny-flow-max
作成できる同時拒否フローの最大数を指定するには、グローバル コンフィギュレーション モードで access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスが ACL 拒否フローの最大数 n に達すると、syslog メッセージ 106101 が生成されます。
例
次の例は、作成できる同時拒否フローの最大数を指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list ethertype
EtherType に基づいてトラフィックを制御するアクセスリストを設定するには、グローバル コンフィギュレーション モードで access-list ethertype コマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。
access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
no access-list id ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }
シンタックスの説明
デフォルト
• 特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
log オプション キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは、6(情報)です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、16 ビット 16 進数値で示された任意の EtherType を制御できます。EtherType ACL は、イーサネット V2 フレームをサポートしています。802.3 形式のフレームはタイプ フィールドではなく長さフィールドを使用するため、ACL によって処理されません。ブリッジ プロトコル データ ユニットだけは例外で、ACL によって処理されます。ブリッジ プロトコル データ ユニットは、SNAP 方式でカプセル化されており、セキュリティ アプライアンスは BPDU を処理するように設計されています。
EtherType はコネクションレス型であるため、両方向のトラフィックを通過させる場合は、両方のインターフェイスに ACL を適用する必要があります。
MPLS を許可する場合は、セキュリティ アプライアンスに接続されている両方の MPLS ルータが LDP セッションまたは TDP セッション用のルータ ID としてセキュリティ アプライアンス インターフェイス上の IP アドレスを使用するように設定することにより、LDP TCP 接続と TDP TCP 接続がセキュリティ アプライアンス経由で確立されるようにします(LDP および TDP では、MPLS ルータが、パケット転送用のラベル(アドレス)をネゴシエートできます)。
インターフェイスの方向ごとに、各タイプ(拡張または EtherType)の ACL を 1 つだけ適用できます。同じ ACL を複数のインターフェイスに適用することもできます。
(注) EtherType アクセスリストが deny all に設定されている場合、すべてのイーサネット フレームが廃棄されます。物理プロトコル トラフィック(オートネゴシエーションなど)だけが許可されます。
例
次の例は、EtherType アクセスリストを追加する方法を示しています。
関連コマンド
|
|
|
|---|---|
access-list extended
アクセス コントロール エントリを追加するには、グローバル コンフィギュレーション モードで access-list extended コマンドを使用します。アクセスリストは、同じアクセスリスト ID を持つ 1 つまたは複数の ACE で構成されています。アクセスリストは、ネットワーク アクセスの制御、またはさまざまな機能の動作対象となるトラフィックの指定に使用されます。ACE を削除するには、このコマンドの no 形式を使用します。アクセスリスト全体を削除するには、 clear configure access-list コマンドを使用します。
access-list id [ line line-number ] [ extended ] { deny | permit }
{ protocol | object-group protocol_obj_grp_id }
{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id ]
{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]
no access-list id [ line line-number ] [ extended ] { deny | permit } { tcp | udp }
{ src_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port ] | object-group service_obj_grp_id ]
{ dest_ip mask | interface ifc_name | object-group network_obj_grp_id }
[ operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id ]
[ log [[ level ] [ interval secs ] | disable | default ]]
[ inactive | time-range time_range_name ]
シンタックスの説明
デフォルト
• ACE ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、拒否 ACE が存在する必要があります。
• log キーワードを指定したときの syslog メッセージ 106100 のデフォルト レベルは 6(情報)で、デフォルト間隔は 300 秒です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
所定のアクセスリスト名に対して入力する各 ACE は、ACE の行番号を指定しない限り、アクセスリストの末尾に付加されます。
ACE の順序は重要です。セキュリティ アプライアンスは、パケットを転送するかドロップするかを決める場合、エントリの記載順に、パケットを各 ACE と比較してチェックします。一致が見つかると、それ以降の ACE はチェックされません。たとえば、アクセスリストの先頭に、すべてのトラフィックを明示的に許可する ACE を作成した場合、それ以降の文はチェックされません。
アクセスリストの末尾には、暗黙的な拒否があります。そのため、明示的に許可しない限り、トラフィックは通過できません。たとえば、特定のアドレスを除くすべてのユーザがセキュリティ アプライアンス経由でネットワークにアクセスできるようにする場合は、特定のアドレスを拒否してから、他のすべてのアドレスを許可する必要があります。
NAT を使用する場合、アクセスリストに指定する IP アドレスは、アクセスリストが対応付けられるインターフェイスによって異なります。インターフェイスに接続されているネットワーク上で有効なアドレスを使用する必要があります。このガイドラインは、着信アクセス グループと発信アクセス グループの両方に適用されます。使用するアドレスは、方向によってではなく、インターフェイスによって決まります。
TCP 接続および UDP 接続の場合は、確立された双方向接続のすべてのリターン トラフィックが FWSM によって許可されるため、アクセスリストでリターン トラフィックを許可する必要はありません。ただし、コネクションレス型プロトコル(ICMP など)の場合、セキュリティ アプライアンスは単方向セッションを確立するため、(送信元インターフェイスと宛先インターフェイスにアクセスリストを適用することにより)アクセスリストが両方向の ICMP を許可するようにするか、または ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションを双方向接続として扱います。
ICMP はコネクションレス型プロトコルであるため、(送信元インターフェイスと宛先インターフェイスにアクセスリストを適用することにより)アクセスリストが両方向の ICMP を許可するようにするか、または ICMP インスペクション エンジンをイネーブルにする必要があります。ICMP インスペクション エンジンは、ICMP セッションをステートフル接続として扱います。ping を制御するには、 echo-reply ( 0 )(セキュリティ アプライアンスからホストへ)または echo ( 8 )(ホストからセキュリティ アプライアンスへ)を指定します。ICMP タイプのリストについては、 表 2-1 を参照してください。
インターフェイスの方向ごとに、各タイプ(拡張または EtherType)のアクセスリストを 1 つだけ適用できます。同じアクセスリストを複数のインターフェイスに適用することもできます。アクセスリストをインターフェイスに適用する方法の詳細については、 access-group コマンドを参照してください。
(注) アクセスリストのコンフィギュレーションを変更した後、既存の接続がタイムアウトになるのを待たずに、新しいアクセスリスト情報を使用するには、clear local-host コマンドを使用して接続を消去します。
|
|
|
|---|---|
例
次のアクセスリストは、(アクセスリスト適用先のインターフェイス上の)すべてのホストがセキュリティ アプライアンスを通過できるようにしています。
次の例のアクセスリストは、192.168.1.0/24 上のホストが 209.165.201.0/27 ネットワークにアクセスできないようにしています。他のアドレスはすべて許可されます。
一部のホストだけにアクセスを許可するには、制限付きの許可 ACE を入力します。デフォルトでは、明示的に許可しない限り、他のすべてのトラフィックが拒否されます。
次のアクセスリストは、(アクセスリスト適用先のインターフェイス上の)すべてのホストがアドレス 209.165.201.29 の Web サイトにアクセスできないようにしています。他のトラフィックはすべて許可されます。
オブジェクト グループを使用する次のアクセスリストは、内部ネットワーク上の一部のホストが一部の Web サーバにアクセスできないよういしています。他のトラフィックはすべて許可されます。
あるネットワーク オブジェクト グループ(A)から別のネットワーク オブジェクト グループ(B)へのトラフィックを許可するアクセスリストを一時的にディセーブルにするには、次のように入力します。
時間ベースアクセスリストを実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended コマンドを使用して、時間範囲をアクセスリストにバインドします。次の例では、「Sales」という名前のアクセスリストを「New_York_Minute」という名前の時間範囲にバインドしています。
関連コマンド
|
|
|
|---|---|
access-list remark
access-list extended コマンドの前または後に追加するコメント テキストを指定するには、グローバル コンフィギュレーション モードで access-list remark コマンドを使用します。コメントをディセーブルにするには、このコマンドの no 形式を使用します。
access-list id [ line line-num ] remark text
no access-list id [ line line-num ] remark [ text ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 100 文字(スペースや句読点を含む)をコメント テキストとして入力できます。コメント テキストには、スペース以外の文字を少なくとも 1 つ含める必要があります。空のコメントを入力することはできません。
例
次の例は、 access-list コマンドの前または後に追加するコメント テキストを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
アクセスリストをコンフィギュレーションに追加し、セキュリティ アプライアンスを通過する IP トラフィック用のポリシーを設定します。 |
|
access-list standard
アクセスリストを追加して、OSPF 再配布のルートマップに使用できる、OSPF ルートの宛先 IP アドレスを指定するには、グローバル コンフィギュレーション モードで access-list standard コマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。
access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
no access-list id standard [ line line-num ] { deny | permit } { any | host ip_address | ip_address subnet_mask }
シンタックスの説明
デフォルト
• 特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
• ACL ロギングでは、拒否されたパケットについて syslog メッセージ 106023 が生成されます。拒否されたパケットをログに記録するには、パケットを明示的に拒否する必要があります。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
access-group コマンドとともに deny オプション キーワードを使用すると、パケットがセキュリティ アプライアンスを通過することが禁止されます。デフォルトでは、特にアクセスを許可しない限り、セキュリティ アプライアンスによって、発信元インターフェイス上のすべてのパケットが拒否されます。
TCP や UDP など、すべてのインターネット プロトコルに一致するよう protocol を指定するには、 ip キーワードを使用します。
オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。
object-group コマンドを使用して、アクセスリストをグループ化できます。
送信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合のガイドラインは、次のとおりです。
• 32 ビットの 4 分割ドット付き 10 進数形式を使用する。
• アドレスとマスクを 0.0.0.0 0.0.0.0 にする場合は、短縮形の any キーワードを使用する。このキーワードは、IPSec では使用しないことをお勧めします。
例
次の例は、ファイアウォール経由の IP トラフィックを拒否する方法を示しています。
次の例は、条件に合致している場合に、ファイアウォール経由の IP トラフィックを許可する方法を示しています。
関連コマンド
|
|
|
|---|---|
accounting-mode
アカウンティング メッセージが 1 台のサーバに送信されるか(シングルモード)、グループ内のすべてのサーバに送信されるか(同時モード)を指定するには、AAA サーバ グループ モードで accounting-mode コマンドを使用します。アカウンティング モードの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 台のサーバにアカウンティング メッセージを送信するには、 single キーワードを使用します。サーバ グループ内のすべてのサーバにアカウンティング メッセージを送信するには、 simultaneous キーワードを使用します。
このコマンドは、アカウンティング(RADIUS または TACACS+)にサーバ グループを使用する場合に限り有効です。
例
次の例は、 accounting-mode コマンドを使用して、グループ内のすべてのサーバにアカウンティング メッセージを送信する方法を示しています。
hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# accounting-mode simultaneous
hostname(config-aaa-server-group)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ グループ コンフィギュレーション モードに入って、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-port
特定のホストの RADIUS アカウンティングに使用するポート番号を指定するには、AAA サーバ ホスト モードで accounting-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、アカウンティング レコードの送信先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定します。
シンタックスの説明
デフォルト
デフォルトでは、デバイスはポート 1646 で RADIUS アカウンティングをリッスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS アカウンティングのデフォルト ポート番号(1646)が使用されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RADIUS アカウンティング サーバが 1646 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、セキュリティ アプライアンスに適切なポートを設定する必要があります。
例
次の例では、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、アカウンティング ポートを 2222 に設定しています。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# accountinq-port 2222
hostname(config-aaa-server-host)# exit
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入ります。これにより、ホストに固有の AAA サーバ パラメータを設定できます。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
accounting-server-group
アカウンティング レコード送信用の AAA サーバ グループを指定するには、トンネルグループ一般アトリビュート コンフィギュレーション モードで accounting-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
accounting-server-group server-group
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
config-general コンフィギュレーション モードに入る次の例では、IPSec LAN-to-LAN トンネルグループ xyz に aaa-server123 という名前のアカウンティング サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
accounting-server-group (webvpn)
WebVPN または電子メール プロキシで使用するアカウンティング サーバ グループを指定するには、 accounting-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。コンフィギュレーションからアカウンティング サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、アカウンティングを使用して、ユーザがアクセスするネットワーク リソースを追跡します。
accounting-server-group group tag
シンタックスの説明
設定済みのアカウンティング サーバまたはサーバ グループを指定します。アカウンティング サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、WEBVPNACCT という名前のアカウンティング サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、POP3SSVRS という名前のアカウンティング サーバ グループを使用するように POP3S 電子メール プロキシを設定する方法を示しています。
hostname(config)# pop3s
関連コマンド
|
|
|
|---|---|
acl-netmask-convert
RADIUS サーバから受信したダウンロード可能な ACL 内のネットマスクをセキュリティ アプライアンスがどのように扱うかを指定するには、AAA サーバ ホスト モードで acl-netmask-convert コマンドを使用します。このモードにアクセスするには、 aaa-server host コマンドを使用します。コマンドを削除するには、このコマンドの no 形式を使用します。
acl-netmask-convert { auto-detect | standard | wildcard }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RADIUS サーバがワイルドカード形式のネットマスクを含むダウンロード可能な ACL を提供する場合は、wildcard キーワードまたは auto-detect キーワードとともに acl-netmask-convert コマンドを使用します。セキュリティ アプライアンスは、ダウンロード可能な ACL に標準ネットマスク表現が含まれていると予想します。一方、Cisco Secure VPN 3000 シリーズ コンセントレータは、ダウンロード可能な ACL に、標準ネットマスク表現とは逆のワイルドカード ネットマスク表現が含まれていると予想します。ワイルドカード マスクでは、無視するビット位置には 1 が、一致する必要のあるビット位置には 0 が置かれます。 acl-netmask-convert コマンドを使用すると、このような違いが、RADIUS サーバ上でダウンロード可能な ACL を設定する方法に及ぼす影響を最小限に抑えることができます。
auto-detect キーワードは、RADIUS サーバがどのように設定されているかわからない場合に役立ちます。ただし、ワイルドカード ネットマスク表現に「穴」があると、その表現が正しく検出されず、変換されません。たとえば、ワイルドカード ネットマスク 0.0.255.0 は、第 3 オクテットがどのような数値であっても許可し、Cisco VPN 3000 シリーズ コンセントレータで有効に使用できますが、セキュリティ アプライアンスはこの表現をワイルドカード ネットマスクとして検出できません。
例
次の例では、ホスト「192.168.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、ダウンロード可能な ACL のネットマスク変換をイネーブルにして、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# acl-netmask-convert wildcard
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
activation-key
セキュリティ アプライアンスのアクティベーション キーを変更し、セキュリティ アプライアンス上で運用されているアクティベーション キーをセキュリティ アプライアンスのフラッシュ パーティションに隠しファイルとして保存されているアクティベーション キーと比較してチェックするには、グローバル コンフィギュレーション モードで activation-key コマンドを使用します。
activation-key [ activation-key-four-tuple | activation-key-five-tuple ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
各要素の間にスペースを 1 つ入れて、4 つの要素で構成される 16 進数文字列として
activation-key-four-tuple を入力します。または、各要素の間にスペースを 1 つ入れて、5 つの要素で構成される 16 進数文字列として、 activation-key-five-tuple を入力します。次に例を示します。
0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
例
次の例は、セキュリティ アプライアンスのアクティベーション キーを変更する方法を示しています。
関連コマンド
|
|
|
|---|---|
address-pool
リモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定するには、トンネルグループ一般アトリビュート コンフィギュレーション モードで address-pool コマンドを使用します。アドレス プールを削除するには、このコマンドの no 形式を使用します。
address-pool [( interface name )] address_pool1 [... address_pool6 ]
no address-pool [( interface name )] address_pool1 [... address_pool6 ]
シンタックスの説明
ip local pool コマンドで設定したアドレス プールの名前を指定します。最大 6 個のローカル アドレス プールを指定できます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、インターフェイスごとに 1 つずつ、複数入力できます。インターフェイスを指定しない場合、このコマンドは、明示的に参照されていないすべてのインターフェイスのデフォルトを指定します。
例
config-general コンフィギュレーション モードに入る次の例では、IPSec リモートアクセス トンネルグループ xyz のリモート クライアントにアドレスを割り当てるためのアドレス プールのリストを指定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
admin-context
システム コンフィギュレーションに管理コンテキストを設定するには、グローバル コンフィギュレーション モードで admin-context コマンドを使用します。システム コンフィギュレーションには、それ自身のネットワーク インターフェイスもネットワーク設定も含まれていません。システムは、ネットワーク リソースにアクセスする必要がある場合(セキュリティ アプライアンス ソフトウェアをダウンロードする場合や、管理者にリモート管理を許可する場合など)、管理コンテキストとして指定されているコンテキストの 1 つを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コンテキスト コンフィギュレーションが内部フラッシュ メモリに常駐する限り、任意のコンテキストを管理コンテキストとして設定できます。
clear configure context コマンドを使用してすべてのコンテキストを削除しない限り、現在の管理コンテキストを削除することはできません。
例
次の例では、「administrator」を管理コンテキストとして設定しています。
関連コマンド
|
|
|
|---|---|
alias
アドレスを手動で変換して DNS 応答を変更するには、グローバル コンフィギュレーション モードで alias コマンドを使用します。 alias コマンドを削除するには、このコマンドの no 形式を使用します。このコマンドの機能は、外部 NAT コマンド( dns キーワード付きの nat コマンドや static コマンド)に置き換えられました。 alias コマンドではなく、外部 NAT を使用することをお勧めします。
alias interface_name mapped_ip real_ip [ netmask ]
[no] alias interface_name mapped_ip real_ip [ netmask ]
シンタックスの説明
マッピング IP アドレス宛てのトラフィックの入力インターフェイス名(またはマッピング IP アドレスからのトラフィックの出力インターフェイス名)を指定します。 |
|
(オプション)両方の IP アドレスのサブネット マスクを指定します。ホスト マスクの場合は 255.255.255.255 と入力します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、宛先アドレスのアドレス変換を行う場合にも使用できます。たとえば、ホストがパケットを 209.165.201.1 に送信する場合は、 alias コマンドを使用することで、トラフィックを他のアドレス(209.165.201.30 など)にリダイレクトできます。
(注) alias コマンドを他のアドレスへの変換ではなく DNS の書き換えに使用する場合は、エイリアスがイネーブルなインターフェイス上で proxy-arp をディセーブルにします。sysopt noproxyarp コマンドを使用して、セキュリティ アプライアンスが一般的な NAT 処理のために proxy-arp によって自分自身の方にトラフィックをプルしないようにしてください。
alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。
DNS ゾーン ファイルの中に、 alias コマンドに含まれている「dnat」アドレスの A(アドレス)レコードが存在している必要があります。
alias コマンドには、2 つの使用方法があります。次に、その概要を示します。
• セキュリティ アプライアンスが mapped_ip 宛てのパケットを取得した場合、そのパケットを real_ip に送信するように alias コマンドを設定できる。
• セキュリティ アプライアンスが real_ip 宛てに DNS パケットを送信し、そのパケットがセキュリティ アプライアンスに戻ってきた場合、DNS パケットに変更を加えて、宛先ネットワーク アドレスを mapped_ip にするように alias コマンドを設定できる。
alias コマンドは、ネットワーク上の DNS サーバと自動的に対話して、エイリアスが設定された IP アドレスへのドメイン名によるアクセスを透過的に処理します。
real_ip IP アドレスと mapped_ip IP アドレスにネットワーク アドレスを使用すると、ネット エイリアスを指定できます。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1 ~ 209.165.201.30 の各 IP アドレスのエイリアスが作成されます。
static コマンドと access-list コマンドで alias コマンドの mapped_ip アドレスにアクセスするには、access-list コマンド内で、許可されるトラフィック送信元アドレスとして mapped_ip アドレスを指定します。次に例を示します。
内部アドレス 192.168.201.1 を宛先アドレス 209.165.201.1 にマッピングして、エイリアスを指定しています。
内部ネットワーク クライアント 209.165.201.2 が example.com に接続すると、内部クライアントのクエリーに対する外部 DNS サーバからの DNS 応答は、セキュリティ アプライアンスによって 192.168.201.29 へと変更されます。セキュリティ アプライアンスで 209.165.200.225 ~
209.165.200.254 をグローバル プール IP アドレスとして使用している場合、パケットはセキュリティ アプライアンスに SRC=209.165.201.2 および DST=192.168.201.29 として送信されます。セキュリティ アプライアンスは、アドレスを外部の SRC=209.165.200.254 および DST=209.165.201.29 に変換します。
例
次の例では、内部ネットワークに IP アドレス 209.165.201.29 が含まれています。このアドレスはインターネット上にあり、example.com に属しています。内部のクライアントが example.com にアクセスしても、パケットはセキュリティ アプライアンスに到達しません。クライアントは、209.165.201.29 がローカルの内部ネットワーク上にあると判断するためです。
この動作を修正するには、 alias コマンドを次のように使用します。
hostname(config)# alias (inside) 192.168.201.0 209.165.201.0 255.255.255.224
次の例では、内部の 10.1.1.11 にある Web サーバ、および 209.165.201.11 で作成された static コマンドを示しています。送信元ホストは、外部のアドレス 209.165.201.7 にあります。外部の DNS サーバには、次に示すとおり、www.example.com のレコードが登録されています。
ドメイン名 www.example.com. の末尾のピリオドは必要です。
セキュリティ アプライアンスは、内部クライアント用のネーム サーバ応答を 10.1.1.11 に変更して、Web サーバに直接接続できるようにします。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスに、またはローカル ポートをグローバル ポートにマッピングすることによって、1 対 1 のアドレス変換規則を設定します。 |
allocate-interface
セキュリティ コンテキストにインターフェイスを割り当てるには、コンテキスト コンフィギュレーション モードで allocate-interface コマンドを使用します。コンテキストからインターフェイスを削除するには、このコマンドの no 形式を使用します。
allocate-interface physical_interface [ map_name ] [ visible | invisible ]
no allocate-interface physical_interface
allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ map_name [ - map_name ]] [ visible | invisible ]
no allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ]
シンタックスの説明
デフォルト
マッピング名を設定した場合、デフォルトでは、 show interface コマンドの出力でインターフェイス ID を表示できません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを複数回入力して、異なる範囲を指定できます。マッピング名または表示の設定を変更するには、所定のインターフェイス ID でこのコマンドを再入力し、新しい値を設定します。 no allocate-interface コマンドを入力して、最初からやり直す必要はありません。 allocate-interface コマンドを削除すると、セキュリティ アプライアンスによって、コンテキスト内のインターフェイス関連のコンフィギュレーションがすべて削除されます。
透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス Management 0/0(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。
(注) 透過モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをそのインターフェイスを通してフラッドしません。
ルーテッド モードでは、必要に応じて、同じインターフェイスを複数のコンテキストに割り当てることができます。透過モードでは、インターフェイスを共有できません。
サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。
• マッピング名は、アルファベット部分と、それに続く数値部分で構成される必要がある。範囲の両端で、マッピング名のアルファベット部分が一致する必要があります。たとえば、次のような範囲を入力します。
たとえば、 gigabitethernet0/1.1-gigabitethernet0/1.5 happy1-sad5 と入力すると、コマンドが失敗します。
• マッピング名の数値部分には、サブインターフェイス範囲と同じ個数の数値が含まれる必要がある。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。
たとえば、 gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int15 と入力すると、コマンドが失敗します。
例
次の例は、gigabitethernet0/1.100、gigabitethernet0/1.200、および gigabitethernet0/2.300 ~
gigabitethernet0/1.305 をコンテキストに割り当てる方法を示しています。マッピング名は、int1 ~ int8 です。
関連コマンド
|
|
|
|---|---|
システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。 |
|
area
OSPF エリアを作成するには、ルータ コンフィギュレーション モードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
作成するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
作成するエリアには、パラメータが設定されていません。関連する area コマンドを使用して、エリア パラメータを設定します。
例
次の例は、エリア ID 1 の OSPF エリアを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
area authentication
OSPF エリアの認証をイネーブルにするには、ルータ コンフィギュレーション モードで
area authentication コマンドを使用します。エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id authentication [ message-digest ]
no area area_id authentication [ message-digest ]
シンタックスの説明
認証をイネーブルにするエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
(オプション) area_id によって指定されたエリアでの Message Digest 5(MD5)認証をイネーブルにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定した OSPF エリアが存在しない場合は、このコマンドの入力時にそのエリアが作成されます。 message-digest キーワードを付けずに area authentication コマンドを入力すると、簡易パスワード認証がイネーブルになります。 message-digest キーワードを付けると、MD5 認証がイネーブルになります。
例
次の例は、エリア 1 の MD5 認証をイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
area default-cost
スタブまたは NSSA に送信されるデフォルト サマリー ルートのコストを指定するには、ルータ コンフィギュレーション モードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。
area area_id default-cost cost
シンタックスの説明
デフォルト コストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
スタブまたは NSSA に使用されるデフォルト サマリー ルートのコストを指定します。有効な値は 0 ~ 65535 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
例
次の例は、スタブまたは NSSA に送信されるサマリー ルートのデフォルト コストを指定する方法を示しています。
関連コマンド
|
|
|
|---|---|
area filter-list prefix
ABR の OSPF エリア間のタイプ 3 LSA でアドバタイズされたプレフィックスをフィルタリングするには、ルータ コンフィギュレーション モードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。
area area_id filter-list prefix list_name { in | out }
no area area_id filter-list prefix list_name { in | out }
シンタックスの説明
フィルタリングを設定するエリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
タイプ 3 LSA だけをフィルタリングできます。プライベート ネットワークに ASBR が設定されている場合は、ASBR がタイプ 5 LSA(プライベート ネットワークを記述)を送信します。この LSA は、パブリック エリアを含む AS 全体にフラッドされます。
例
次の例では、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングします。
関連コマンド
|
|
|
|---|---|
area nssa
エリアを NSSA として設定するには、ルータ コンフィギュレーション モードで area nssa コマンドを使用します。エリアから NSSA 指定を削除するには、このコマンドの no 形式を使用します。
area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 }] [ metric value ]] [ no-summary ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
あるオプションをエリアに設定した後、別のオプションを指定すると、両方のオプションが設定されます。たとえば、次の 2 つのコマンドを別々に入力すると、コンフィギュレーション内では、両方のオプションが設定された 1 つのコマンドになります。
例
次の例は、2 つのオプションを別々に設定すると、コンフィギュレーション内でどのように 1 つのコマンドになるかを示しています。
関連コマンド
|
|
|
|---|---|
area range
エリアの境界でルートを統合および集約するには、ルータ コンフィギュレーション モードで area range コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
area area_id range address mask [ advertise | not-advertise ]
no area area_id range address mask [ advertise | not-advertise ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したエリアが以前に area コマンドで定義されていなかった場合は、このコマンドによって、指定したパラメータでそのエリアが作成されます。
area range コマンドは、ABR だけで使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つのサマリー ルートが ABR によって他のエリアにアドバタイズされます。エリアの境界でルーティング情報が凝縮されます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作は、「経路集約」と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。これにより、OSPF は、多くの異なるアドレス範囲セットのアドレスを集約できます。
no area area_id range ip_address netmask not-advertise コマンドは、 not-advertise オプション キーワードだけを削除します。
例
次の例は、ネットワーク 10.0.0.0 上のすべてのサブネット対する 1 つのサマリー ルート、およびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つのサマリー ルートが、ABR によって他のエリアにアドバタイズされるよう指定しています。
関連コマンド
|
|
|
|---|---|
area stub
エリアをスタブ エリアとして定義するには、ルータ コンフィギュレーション モードで area stub コマンドを使用します。スタブ エリア機能を削除するには、このコマンドの no 形式を使用します。
no area area_id [ no-summary ]
シンタックスの説明
スタブ エリアの ID。10 進数または IP アドレスを使用して ID を指定できます。有効な 10 進値は 0 ~ 4294967295 です。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、スタブまたは NSSA に接続されている ABR だけで使用できます。
area stub と area default-cost という 2 つのスタブ エリア ルータ コンフィギュレーション コマンドがあります。スタブ エリアに接続されているすべてのルータおよびアクセス サーバで、 area stub コマンドを使用して、エリアをスタブ エリアとして設定する必要があります。スタブ エリアに接続されている ABR だけで area default-cost コマンドを使用します。 area default-cost コマンドは、ABR によって生成されるサマリー デフォルト ルートのメトリックをスタブ エリアに提供します。
例
次の例では、指定したエリアをスタブ エリアとして設定しています。
関連コマンド
|
|
|
|---|---|
area virtual-link
OSPF 仮想リンクを定義するには、ルータ コンフィギュレーション モードで area virtual-link コマンドを使用します。オプションをリセットする、または仮想リンクを削除するには、このコマンドの no 形式を使用します。
area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]
no area area_id virtual-link router_id [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds] [ transmit-delay seconds ] [ dead-interval seconds [[ authentication-key key ] | [ message-digest-key key_id md5 key ]]
シンタックスの説明
デフォルト
• area_id :エリア ID は事前に定義されていません。
• router_id :ルータ ID は事前に定義されていません。
• hello-interval seconds :10 秒。
• retransmit-interval seconds :5 秒。
• transmit-delay seconds :1 秒。
• dead-interval seconds :40 秒。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF では、すべてのエリアがバックボーン エリアに接続されている必要があります。バックボーンへの接続が失われた場合、仮想リンクを確立することで接続を修復できます。
hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティング トラフィックが増加します。
再送間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。
指定した認証キーは、 area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にだけ使用されます。
簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらかを指定するか、または両方とも指定しないでください。 authentication-key key または message-digest-key key_id md5 key の後に指定するキーワードと引数はすべて無視されます。したがって、オプションの引数はすべて、上記のキーワードと引数の組み合せの前に指定します。
インターフェイスに認証タイプが指定されていない場合、インターフェイスはエリアに指定されている認証タイプを使用します。エリアに認証タイプが指定されていない場合、エリアのデフォルトは null 認証です。
(注) 仮想リンクを正しく設定するには、各仮想リンク ネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。
仮想リンクからオプションを削除するには、削除するオプションを付けて、このコマンドの no 形式を使用します。仮想リンクを削除するには、 no area area_id virtual-link コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
arp
ARP テーブルにスタティック ARP エントリを追加するには、グローバル コンフィギュレーション モードで arp コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。スタティック ARP エントリは MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトしないため、ネットワーク問題の解決に役立つことがあります。透過ファイアウォール モードでは、ARP 検査でスタティック ARP テーブルが使用されます( arp-inspection コマンドを参照してください)。
arp interface_name ip_address mac_address [ alias ]
no arp interface_name ip_address mac_address
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストは IP アドレスによってパケットの宛先を指定しますが、イーサネット上での実際のパケット配信は、イーサネット MAC アドレスに依存しています。ルータまたはホストは、直接接続されているネットワーク上でパケットを配信する場合、IP アドレスに関連付けられている MAC アドレスを要求する ARP 要求を送信してから、その ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータは ARP テーブルを保持しているため、配信する必要のあるパケットごとに ARP 要求を送信する必要がありません。ARP テーブルは、ネットワーク上で ARP 応答が送信されるたびに動的にアップデートされます。また、一定期間使用されなかったエントリは、タイムアウトになります。エントリが間違っている場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合)、アップデートされる前にそのエントリがタイムアウトになります。
(注) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。
例
次の例では、外部インターフェイス上で、10.1.1.1 のスタティック ARP エントリを MAC アドレス 0009.7cbe.2100 で作成しています。
関連コマンド
|
|
|
|---|---|
arp timeout
セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間を設定するには、グローバル コンフィギュレーション モードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。ARP テーブルを再構築すると、自動的に、新しいホスト情報にアップデートされ、古いホスト情報が削除されます。ホスト情報が頻繁に変更されるため、タイムアウト値を小さくする必要がある場合もあります。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ARP タイムアウトを 5,000 秒に変更します。
関連コマンド
|
|
|
|---|---|
arp-inspection
透過ファイアウォール モードで ARP 検査をイネーブルにするには、グローバル コンフィギュレーション モードで arp-inspection コマンドを使用します。ARP 検査をディセーブルにするには、このコマンドの no 形式を使用します。ARP 検査では、すべての ARP パケットがスタティック ARP エントリ( arp コマンドを参照)と比較してチェックされ、一致しないパケットがブロックされます。この機能により、ARP スプーフィングを防止できます。
arp-inspection interface_name enable [ flood | no-flood ]
no arp-inspection interface_name enable
シンタックスの説明
デフォルト
デフォルトでは、すべてのインターフェイスで ARP 検査がディセーブルになっています。すべての ARP パケットがセキュリティ アプライアンスを通過できます。ARP 検査をイネーブルにすると、デフォルトでは、まったく一致しない ARP パケットがフラッドされます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ARP 検査をイネーブルにするには、事前に arp コマンドを使用してスタティック ARP エントリを設定しておく必要があります。
ARP 検査をイネーブルにすると、セキュリティ アプライアンスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較して、次のアクションを実行します。
• IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致した場合、パケットを通過させます。
• MAC アドレス、IP アドレス、またはインターフェイス間でミスマッチがある場合、セキュリティ アプライアンスはパケットをドロップします。
• ARP パケットのエントリがスタティック ARP テーブル内のどのエントリとも一致しなかった場合、パケットをすべてのインターフェイスに転送(フラッド)するように、またはドロップするように、セキュリティ アプライアンスを設定できます。
(注) 管理専用のインターフェイス(存在する場合)では、このパラメータを flood に設定しても、パケットはフラッドされません。
ARP 検査により、悪意のあるユーザが他のホストまたはルータになりすますこと(ARP スプーフィングと呼ばれる)を防止できます。ARP スプーフィングは、「man-in-the-middle」攻撃をイネーブルにすることができます。たとえば、ホストがゲートウェイ ルータに ARP 要求を送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ところが、攻撃者はホストに、ルータの MAC アドレスではなく、攻撃者の MAC アドレスを含む別の ARP 応答を送信します。これで、攻撃者は、ルータに転送する前に、ホストのトラフィックをすべて代行受信できるようになります。
ARP 検査により、正しい MAC アドレスと、それに関連付けられている IP アドレスがスタティック ARP テーブル内にある限り、攻撃者が攻撃者の MAC アドレスで ARP 応答を送信できないことが保証されます。
(注) 透過ファイアウォール モードの場合、セキュリティ アプライアンスとの間のトラフィック(管理トラフィックなど)にはダイナミック ARP エントリが使用されます。
例
次の例では、外部インターフェイス上で ARP 検査をイネーブルにし、スタティック ARP エントリに一致しないすべての ARP パケットをドロップするようセキュリティ アプライアンスを設定しています。
関連コマンド
|
|
|
|---|---|
asdm disconnect
アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。
シンタックスの説明
終了させるアクティブな ASDM セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 pdm disconnect コマンドから asdm disconnect コマンドに変更されました。 |
使用上のガイドライン
アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm sessions コマンドを使用します。特定のセッションを終了するには、 asdm disconnect コマンドを使用します。
ASDM セッションを終了しても、残りのすべてのアクティブな ASDM セッションは、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM セッションにセッション ID 1 が割り当てられ、その後の新しいセッションには、セッション ID 3 から順番に ID が割り当てられます。
例
次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect コマンドの入力前後に、 show asdm sessions コマンドで、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm disconnect log_session
アクティブな ASDM ロギング セッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。
asdm disconnect log_session session
シンタックスの説明
終了させるアクティブな ASDM ロギング セッションのセッション ID。すべてのアクティブな ASDM セッションのセッション ID を表示するには、 show asdm log_sessions コマンドを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アクティブな ASDM ロギング セッションとそれに関連付けられているセッション ID のリストを表示するには、 show asdm log_sessions コマンドを使用します。特定のロギング セッションを終了するには、 asdm disconnect log_session コマンドを使用します。
アクティブな各 ASDM セッションは、1 つまたは複数の ASDM ロギング セッションと関連付けられています。ASDM は、ロギング セッションを使用して、セキュリティ アプライアンスから syslog メッセージを取得します。ログ セッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶことがあります。不要な ASDM セッションを終了するには、 asdm disconnect コマンドを使用します。
(注) 各 ASDM セッションは少なくとも 1 つの ASDM ロギング セッションを持っているため、show asdm sessions の出力と show asdm log_sessions の出力が同じになることがあります。
ASDM ロギング セッションを終了しても、残りのすべてのアクティブな ASDM ロギング セッションは、関連付けられている ID を保持します。たとえば、3 つのアクティブな ASDM ロギング セッションがあり、それぞれのセッション ID が 0、1、2 である場合、セッション 1 を終了しても、残りのアクティブな ASDM ロギング セッションはセッション ID 0 および 2 を保持します。この例では、次の新しい ASDM ロギング セッションにセッション ID 1 が割り当てられ、その後の新しいロギング セッションには、セッション ID 3 から順番に ID が割り当てられます。
例
次の例では、セッション ID 0 の ASDM セッションを終了しています。 asdm disconnect log_sessions コマンドの入力前後に、 show asdm log_sessions コマンドで、アクティブな ASDM セッションを表示しています。
関連コマンド
|
|
|
|---|---|
asdm group
asdm group real_grp_name real_if_name
asdm group ref_grp_name ref_if_name reference real_grp_name
シンタックスの説明
real_grp_name 引数で指定されたオブジェクト グループの変換された IP アドレスを含むオブジェクト グループの名前。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
asdm history enable
ASDM 履歴トラッキングをイネーブルにするには、グローバル コンフィギュレーション モードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 pdm history enable コマンドから asdm history enable コマンドに変更されました。 |
使用上のガイドライン
ASDM 履歴トラッキングをイネーブルにすることによって得られる情報は、ASDM 履歴バッファに格納されます。この情報を表示するには、 show asdm history コマンドを使用します。この履歴情報は、ASDM によってデバイス モニタリングに使用されます。
例
次の例では、ASDM 履歴トラッキングをイネーブルにしています。
関連コマンド
|
|
|
|---|---|
asdm image
ASDM ソフトウェア イメージを指定するには、グローバル コンフィギュレーション モードで asdm image コマンドを使用します。イメージの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
asdm image コマンドは、ASDM セッションの開始時に使用される ASDM ソフトウェア イメージを指定します。このコマンドがコンフィギュレーションに存在しない場合、ASDM セッションを開始できません。
フラッシュ メモリに複数の ASDM ソフトウェア イメージを格納できます。アクティブな ASDM セッションが存在している間に、 asdm image コマンドを使用して新しい ASDM ソフトウェア イメージを指定しても、アクティブなセッションは中断しません。アクティブな ASDM セッションは、セッション開始時の ASDM ソフトウェア イメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェア イメージを使用します。
例
次の例では、ASDM イメージを asdm.bin に設定しています。
関連コマンド
|
|
|
|---|---|
asdm location
asdm location ip_addr netmask if_name
asdm location ipv6_addr / prefix if_name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
asr-group
非対称ルーティング インターフェイス グループ ID を指定するには、インターフェイス コンフィギュレーション モードで asr-group コマンドを使用します。この ID を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Active フェールオーバーがイネーブルである場合、ロードバランシングのために、発信接続のリターン トラフィックがピア装置上のアクティブなコンテキストを介してルーティングされることがあります。このピア装置上で、発信接続のコンテキストはスタンバイ グループ内にあります。
asr-group コマンドでは、着信インターフェイスによるフローが見つからない場合、同じ asr グループのインターフェイスで着信パケットが再分類されます。再分類により、別のインターフェイスによるフローが見つかり、関連付けられているコンテキストがスタンバイ状態である場合、パケットは処理のためにアクティブな装置に転送されます。
このコマンドを有効にするには、ステートフル フェールオーバーがイネーブルである必要があります。
ASR 統計情報を表示するには、 show interface detail コマンドを使用します。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれています。
例
次の例では、選択したインターフェイスを非対称ルーティング グループ 1 に割り当てています。
関連コマンド
|
|
|
|---|---|
authentication
WebVPN または電子メール プロキシの認証方式を設定するには、 authentication コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。デフォルトの AAA に戻すには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。
authentication { aaa | certificate | mailhost | piggyback }
シンタックスの説明
リモート メール サーバを介した認証。mailhost を設定できるのは SMTPS だけです。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。 |
|
HTTPS WebVPN セッションがすでに存在する必要があります。ピギーバック認証は、電子メール プロキシだけで使用できます。 |
デフォルト
次の表は、WebVPN および電子メール プロキシのデフォルトの認証方式を示しています。
|
|
|
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。その場合、ユーザは証明書およびユーザ名とパスワードを提供する必要があります。
例
次の例は、WebVPN ユーザに対して認証のために証明書の提供を要求する方法を示しています。
hostname(config)# webvpn
authentication-port
特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバ ホスト モードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。このコマンドは、認証機能の割り当て先となる、リモート RADIUS サーバ ホストの宛先 TCP/UDP ポート番号を指定するものです。
シンタックスの説明
デフォルト
デフォルトでは、デバイスはポート 1645 で RADIUS をリスンします(RFC 2058 に準拠)。ポートを指定しない場合は、RADIUS 認証のデフォルト ポート番号(1645)が使用されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドのセマンティックが変更され、RADIUS サーバを含むサーバ グループでホストごとにサーバ ポートを指定できるようになりました。 |
使用上のガイドライン
RADIUS 認証サーバが 1645 以外のポートを使用する場合は、 aaa-server コマンドで RADIUS サービスを開始する前に、セキュリティ アプライアンスに適切なポートを設定する必要があります。
例
次の例では、ホスト「1.2.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
authentication-server-group
ユーザ認証に使用する AAA サーバ グループを指定するには、トンネルグループ一般アトリビュート モードで authentication-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
authentication-server-group [( interface name )] server group [ LOCAL | NONE ]
no authentication-server-group [( interface name )] server group
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
config-general コンフィギュレーション モードに入る次の例では、IPSec リモートアクセス トンネルグループ remotegrp に aaa-server456 という名前の認証サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
authentication-server-group (webvpn)
WebVPN またはいずれかの電子メール プロキシで使用する認証サーバ グループを指定するには、 authentication-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。コンフィギュレーションから認証サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、ユーザを認証して、ユーザのアイデンティティを確認します。
authentication-server-group group tag
no authentication-server-group
シンタックスの説明
設定済みの認証サーバまたはサーバ グループを指定します。認証サーバを設定するには、 aaa-server コマンドを使用します。グループ タグの最大長は 16 文字です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、WEBVPNAUTH という名前の認証サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、IMAP4SSVRS という名前の認証サーバ グループを使用するように IMAP4S 電子メール プロキシを設定する方法を示しています。
hostname(config)# imap4s
関連コマンド
|
|
|
|---|---|
authorization-dn-attributes
サブジェクト DN フィールドのどの部分を認可用のユーザ名として使用するかを指定するには、トンネルグループ ipsec アトリビュート コンフィギュレーション モードで authorization-dn-attributes コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
authorization-dn-attributes { primary-attr [ secondary-attr ] | use-entire-name }
no authorization-dn-attributes
シンタックスの説明
(オプション)プライマリ アトリビュートが存在しない場合に、証明書から認可クエリー用の名前を生成するときに使用する追加のアトリビュートを指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このアトリビュートは、IPSec リモートアクセス トンネル タイプだけに適用できます。
プライマリ アトリビュートとセカンダリ アトリビュートには、次のようなものがあります。
|
|
|
|---|---|
Country(国または地域):国または地域を示す 2 文字の短縮形。このコードは、ISO 3166 の国または地域の短縮形に準拠しています。 |
|
例
config-ipsec コンフィギュレーション モードに入る次の例では、remotegrp という名前のリモートアクセス トンネルグループ(ipsec_ra)を作成し、IPSec グループ アトリビュートを指定して、通常名が認可用のユーザ名として使用されるように定義しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
authorization-dn-attributes (webvpn)
認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定するには、 authorization-dn-attributes コマンドを使用します。
WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。このアトリビュートをコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。
authorization-dn-attributes { primary-attr } [ secondary-attr ] | use-entire-name}
no authorization-dn-attributes
シンタックスの説明
(オプション)デジタル証明書から認可クエリー用の名前を生成するときにプライマリ アトリビュートとともに使用する追加のアトリビュートを指定します。 |
|
セキュリティ アプライアンスがサブジェクト DN 全体を使用して、デジタル証明書から認可クエリー用の名前を生成するように指定します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
|
|
|
|---|---|
例
次の例は、WebVPN ユーザが電子メール アドレス(プライマリ アトリビュート)および組織ユニット(セカンダリ アトリビュート)に基づいて認可されるように指定する方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
authorization-required
ユーザが接続前に正常に認可されることを必須とするには、トンネルグループ ipsec アトリビュート コンフィギュレーション モードで authorization-required コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
デフォルト
シンタックスの説明
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
config-ipsec コンフィギュレーション モードに入る次の例では、remotegrp という名前のリモートアクセス トンネルグループを介して接続するユーザが、完全な DN に基づく認可を受けることを必須としています。最初のコマンドでは、remotegrp という名前のリモート グループのトンネルグループ タイプを ipsec_ra(IPSec リモートアクセス)と設定しています。2 番目のコマンドで、指定したトンネルグループの config-ipsec コンフィギュレーション モードに入り、最後のコマンドで、指定したトンネルグループで認可が必要となるように指定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
authorization-required (webvpn)
WebVPN ユーザまたは電子メール プロキシ ユーザが接続前に正常に認可されることを必須とするには、 authorization-required コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、WebVPN ユーザが認可を受けることを必須とする方法を示しています。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
認可用のユーザ名として使用するプライマリ サブジェクト DN フィールドおよびセカンダリ サブジェクト DN フィールドを指定します。 |
authorization-server-group
ユーザ認可用の AAA サーバ グループを指定するには、トンネルグループ一般アトリビュート モードで authorization-server-group コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。
authorization-server-group server group
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このアトリビュートは、IPSec リモートアクセス トンネルグループ タイプだけに適用できます。
VPN 認可が LOCAL と定義されている場合は、デフォルト グループポリシー DfltGrpPolicy に設定されているアトリビュートが適用されます。
例
config-general コンフィギュレーション モードに入る次の例では、「remotegrp」という名前の IPSec リモートアクセス トンネルグループに「aaa-server78」という名前の認可サーバ グループを設定しています。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
authorization-server-group (webvpn)
WebVPN またはいずれかの電子メール プロキシで使用する認可サーバ グループを指定するには、 authorization-server-group コマンドを使用します。WebVPN の場合、このコマンドは webvpn モードで使用します。電子メール プロキシ(IMAP4S、POP3S、SMTPS)の場合、このコマンドは適切な電子メール プロキシ モードで使用します。コンフィギュレーションから認可サーバを削除するには、このコマンドの no 形式を使用します。
セキュリティ アプライアンスは、認可を使用して、ユーザがネットワーク リソースに対して許可されるアクセス レベルを確認します。
authorization-server-group group tag
シンタックスの説明
設定済みの認可サーバまたはサーバ グループを指定します。認可サーバを設定するには、 aaa-server コマンドを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、WebVPNpermit という名前の認可サーバ グループを使用するように WebVPN サービスを設定する方法を示しています。
hostname(config)# webvpn
次の例は、POP3Spermit という名前の認可サーバ グループを使用するように POP3S 電子メール プロキシを設定する方法を示しています。
hostname(config)# pop3s
関連コマンド
|
|
|
|---|---|
auth-prompt
セキュリティ アプライアンスを介したユーザ セッションの AAA チャレンジ テキストを指定または変更するには、グローバル コンフィギュレーション モードで auth-prompt コマンドを使用します。認証チャレンジ テキストを削除するには、このコマンドの no 形式を使用します。
auth-prompt prompt [ prompt | accept | reject ] string
no auth-prompt prompt [ prompt | accept | reject ]
シンタックスの説明
235 文字または 31 単語(どちらか最初に達した方)までの英数字で構成される文字列。特殊文字、スペース、および句読点を使用できます。文字列を終了するには、疑問符を入力するか、Enter キーを押します。疑問符は文字列に含まれます。 |
デフォルト
• FTP ユーザには FTP authentication が表示される。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
auth-prompt コマンドを使用すると、TACACS+ サーバまたは RADIUS サーバからのユーザ認証が必要である場合に、セキュリティ アプライアンスを介した HTTP アクセス、FTP アクセス、および Telnet アクセスに対して表示される AAA チャレンジ テキストを指定できます。このテキストは飾りのようなもので、ユーザのログイン時に、ユーザ名プロンプトとパスワード プロンプトの上に表示されます。
ユーザ認証が Telnet から発生する場合は、accept オプションと reject オプションを使用すると、認証試行が AAA サーバで受け入れられたか拒否されたかを示す異なるステータス プロンプトを表示できます。
AAA サーバがユーザを認証すると、セキュリティ アプライアンスはユーザに auth-prompt accept テキストを表示します(指定されている場合)。認証に失敗すると、reject テキストを表示します(指定されている場合)。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジ テキストだけが表示されます。accept テキストも reject テキストも表示されません。
(注) Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Netscape Navigator では認証プロンプトに最大 120 文字、Telnet および FTP では最大 235 文字表示されます。
例
次の例では、認証プロンプトを「Please enter your username and password」という文字列に設定しています。
コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。
Telnet ユーザに対しては、セキュリティ アプライアンスが認証試行を受け入れたときに表示するメッセージと、拒否したときに表示するメッセージを別々に指定することもできます。次に例を示します。
次の例では、認証が成功したときの認証プロンプトを「You're OK.」という文字列に設定しています。
hostname(config)# auth -prompt accept You're OK.
関連コマンド
|
|
|
auto-update device-id
Auto Update Server 用のセキュリティ アプライアンス デバイス ID を設定するには、グローバル コンフィギュレーション モードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。
auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
no auto-update device-id [ hardware-serial | hostname | ipaddress [ if_name ] | mac-address [ if_name ] | string text ]
シンタックスの説明
コマンド履歴
|
|
|
|---|---|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
例
次の例では、デバイス ID をシリアル番号に設定しています。
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update poll-period
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定するには、グローバル コンフィギュレーション モードで auto-update poll-period コマンドを使用します。このパラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。
auto-update poll-period poll_period [ retry_count [ retry_period ]]
no auto-update poll-period poll_period [ retry_count [ retry_period ]]
シンタックスの説明
Auto Update Server をポーリングする頻度を分単位で指定します(1 ~ 35791)。デフォルトは 720 分(12 時間)です。 |
|
Auto Update Server への最初の接続試行が失敗した後に、再接続を何回試行するかを指定します。デフォルトは 0 です。 |
|
デフォルト
デフォルトのポーリング間隔は 720 分(12 時間)です。
Auto Update Server への最初の接続試行が失敗した後に再接続を試行する回数は、デフォルトでは 0 です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ポーリング間隔を 360 分に、リトライ回数を 1 回に、リトライ間隔を 3 分に設定しています。
関連コマンド
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update server
Auto Update Server を指定するには、グローバル コンフィギュレーション モードで auto-update server コマンドを使用します。Auto Update Server を削除するには、このコマンドの no 形式を使用します。セキュリティ アプライアンスは、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティング システム、および ASDM のアップデートがないか調べます。
auto-update server url [ source interface ] [ verify-certificate ]
no auto-update server url [ source interface ] [ verify-certificate ]
シンタックスの説明
Auto Update Server の場所を、シンタックス http [ s ] : [[ user:password@ ] location [: port ]] / pathname を使用して指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
自動アップデート機能を正しく動作させるには、 boot system configuration コマンドを使用して、有効なブート イメージを指定する必要があります。
source interface 引数に指定したインターフェイスが、 management-access コマンドで指定したインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネル経由で送信されます。
例
次の例では、Auto Update Server の URL を設定し、インターフェイス outside を指定しています。
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
このタイムアウト期間内に Auto Update Server にアクセスしない場合、セキュリティ アプライアンスを通過するトラフィックを停止します。 |
|
auto-update timeout
Auto Update Server へのアクセスに関するタイムアウト期間を設定するには、グローバル コンフィギュレーション モードで auto-update timeout コマンドを使用します。このタイムアウト期間内に
Auto Update Server にアクセスしないと、セキュリティ アプライアンスは、セキュリティ アプライアンスを通過するすべてのトラフィックを停止させます。タイムアウトを設定することで、セキュリティ アプライアンスのイメージとコンフィギュレーションを常に最新の状態に保つことができます。タイムアウトを削除するには、このコマンドの no 形式を使用します。
no auto-update timeout [ period ]
シンタックスの説明
タイムアウト期間を分単位で指定します(1 ~ 35791)。デフォルトは 0 で、タイムアウトはありません。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
セキュリティ アプライアンスが Auto Update Server からのアップデートをチェックする頻度を設定します。 |
|
backup-servers
バックアップ サーバを設定するには、グループポリシー コンフィギュレーション モードで backup-servers コマンドを使用します。バックアップ サーバを削除するには、このコマンドの no 形式を使用します。backup-servers アトリビュートを実行コンフィギュレーションから削除するには、引数を付けずにこのコマンドの no 形式を使用します。これにより、backup-servers の値を別のグループポリシーから継承できます。
IPSec バックアップ サーバにより、VPN クライアントは、プライマリ セキュリティ アプライアンスが利用できない場合に中央のサイトに接続できます。バックアップ サーバを設定すると、IPSec トンネルが確立されるときにセキュリティ アプライアンスがクライアントにサーバ リストをプッシュします。
backup-servers {server1 server2. . . . server10 | clear-client-config | keep-client-config}
no backup-servers [server1 server2. . . . server10 | clear-client-config | keep-client-config]
シンタックスの説明
デフォルト
クライアントまたはプライマリ セキュリティ アプライアンス上にバックアップ サーバを設定しない限り、バックアップ サーバは存在しません。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バックアップ サーバは、クライアントまたはプライマリ セキュリティ アプライアンス上に設定します。セキュリティ アプライアンス上にバックアップ サーバを設定すると、セキュリティ アプライアンスはバックアップ サーバ ポリシーをグループ内のクライアントにプッシュし、クライアント上にバックアップ サーバ リストが設定されている場合、そのリストを置き換えます。
(注) ホスト名を使用する場合は、バックアップ DNS サーバとバックアップ WINS サーバを、プライマリ DNS サーバとプライマリ WINS サーバとは別のネットワーク上に置くことをお勧めします。同一ネットワーク上に置くと、ハードウェア クライアントの背後のクライアントが DHCP を介してハードウェア クライアントから DNS 情報および WINS 情報を取得し、プライマリ サーバとの接続が失われ、バックアップ サーバに異なる DNS 情報および WINS 情報がある場合、DHCP リースが期限切れになるまでクライアントをアップデートできません。さらに、ホスト名を使用するときに DNS サーバが利用できないと、重大な遅延が発生することがあります。
例
次の例は、「FirstGroup」という名前のグループポリシーに IP アドレス 10.10.10.1 および 192.168.10.14 のバックアップ サーバを設定する方法を指定しています。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# backup-servers 10.10.10.1 192.168.10.14
banner
セッション バナー、ログイン バナー、または「今日のお知らせ」バナーを設定するには、グローバル コンフィギュレーション モードで banner コマンドを使用します。指定したバナー キーワード( exec 、 login 、または motd )のすべての行を削除するには、 no banner コマンドを使用します。
banner { exec | login | motd text }
[no] banner { exec | login | motd [ text ] }
シンタックスの説明
ユーザが Telnet を使用してセキュリティ アプライアンスにアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示するようにシステムを設定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
banner コマンドは、指定したキーワードに対応するバナーを表示するように設定します。 text 文字列は、最初の空白文字(スペース)の後に続く、行末(復帰または改行(LF))までのすべての文字で構成されます。テキスト内にあるスペースはそのまま表示されます。ただし、CLI ではタブを入力できません。
先にバナーを消去しない限り、後続の text エントリは既存バナーの末尾に追加されます。
(注) トークン $(domain) と $(hostname) を使用すると、それぞれセキュリティ アプライアンスのドメイン名とホスト名に置き換えられます。コンテキスト コンフィギュレーションで $(system) トークンを入力すると、コンテキストはシステム コンフィギュレーションに設定されているバナーを使用します。
バナーを複数行にするには、追加する 1 行ごとに banner コマンドを新しく入力します。入力した行は、既存バナーの末尾に追加されていきます。RAM およびフラッシュ メモリの容量による限界を除いて、バナーの長さに制限はありません。
Telnet または SSH でセキュリティ アプライアンスにアクセスする場合、バナー メッセージの処理に必要なシステム メモリが十分にないときや、TCP 書き込みエラーが発生したときは、セッションが閉じます。exec バナーと motd バナーだけが、SSH を介したセキュリティ アプライアンスへのアクセスをサポートしています。login バナーは SSH をサポートしていません。
バナーを置き換えるには、no banner コマンドを使用してから、新しい行を追加します。
no banner { exec | login | motd } コマンドは、指定したバナー キーワードのすべての行を削除します。
no banner コマンドでは、テキスト文字列の一部だけを削除できません。このため、no banner コマンドの末尾に入力した text はすべて無視されます。
例
次の例は、 exec 、 login 、および motd の各バナーを設定する方法を示しています。
次の例は、 motd バナーにもう 1 行を追加する方法を示しています。
関連コマンド
|
|
|
|---|---|
banner (group-policy)
リモート クライアントの接続時にリモート クライアント上でバナー(ウェルカム テキスト)を表示するには、グループポリシー コンフィギュレーション モードで banner コマンドを使用します。バナーを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、バナーを別のグループポリシーから継承できます。バナーを継承しないようにするには、 banner none コマンドを使用します。
banner { value banner_string | none}
(注) VPN グループポリシーで複数のバナーを設定し、いずれかのバナーを削除すると、すべてのバナーが削除されます。
シンタックスの説明
バナーにヌル値を設定して、バナーを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからバナーを継承しないようにします。 |
|
バナー テキストを設定します。文字列の最大サイズは 500 文字です。復帰を挿入するには、「\n」シーケンスを使用します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例は、「FirstGroup」という名前のグループポリシーにバナーを作成する方法を示しています。
blocks
ブロック診断( show blocks コマンドで表示)に追加のメモリを割り当てるには、特権 EXEC モードで blocks コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。割り当てられるメモリ量は最大 150 KB ですが、空きメモリの 50% を超えることはありません。オプションで、メモリ サイズを手動で指定できます。
blocks queue history enable [ memory_size ]
no blocks queue history enable [ memory_size ]
シンタックスの説明
(オプション)動的な値を適用するのではなく、ブロック診断用のメモリ サイズをバイト単位で設定します。この値が空きメモリよりも大きい場合は、エラー メッセージが表示され、値は受け入れられません。この値が空きメモリの 50% を超える場合は、警告メッセージが表示されますが、値は受け入れられます。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
現在割り当てられているメモリを表示するには、 show blocks queue history コマンドを入力します。
例
次の例では、ブロック診断用のメモリ サイズを増やしています。
次の例では、ブロック診断用のメモリ サイズを 3000 バイトに増やしています。
次の例では、ブロック診断用のメモリ サイズを 3000 バイトに増やそうとしていますが、値が空きメモリを上回っています。
次の例では、ブロック診断用のメモリ サイズを 3000 バイトに増やしていますが、値が空きメモリの 50% を超えています。
関連コマンド
|
|
|
|---|---|
boot
システムが次回のリロードで使用するシステム イメージ、およびシステムが起動時に使用するコンフィギュレーション ファイルを指定するには、特権 EXEC モードで boot コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no boot { config | system } url
シンタックスの説明
デフォルト
boot config コマンドを指定しない場合は、スタートアップ コンフィギュレーションが非表示の場所に保存され、スタートアップ コンフィギュレーションを利用するコマンド( show startup-config コマンドや copy startup-config コマンド)だけで使用されます。
boot system コマンドにデフォルトはありません。BOOT 環境変数が設定されていない場合、システムは内部フラッシュ内を検索し、起動する最初の有効なイメージを探します。有効なイメージが見つからない場合、システム イメージはロードされず、システムは ROMMON モードまたは Monitor モードに入るまでブート ループ状態になります。
最大 4 つの boot system コマンド エントリを入力し、異なるイメージを指定して、順番に起動を試みることができます。セキュリティ アプライアンスは、最初に見つけた有効なイメージを起動します。
(注) PIX プラットフォームの boot system コマンドは、TFTP ロケーションを使用したイメージのロードをサポートしていません。
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
boot config コマンドを使用する場合、現在動作中のメモリで CONFIG_FILE 環境変数を設定します。この変数は、システムが起動時にロードするコンフィギュレーション ファイルを指定します。
(注) boot system tftp: コマンドは、1 つしか設定できず、最初に設定する必要があります。no boot system コマンドを発行しない限り、後続の複数の boot system tftp: コマンドは失敗します。
このグローバル コンフィギュレーション コマンドを使用する場合、影響を受けるのは実行コンフィギュレーションだけです。この環境変数を実行コンフィギュレーションからスタートアップ コンフィギュレーションに保存するには、 write memory コマンドまたは copy コマンドを使用します。実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存すると、設定済みのファイルも実行コンフィギュレーションによって上書きされることに注意してください。そのため、この変数を変更して write memory コマンドを実行してから、新しいコンフィギュレーション ファイルを、設定した名前にコピーします。
システムは boot system コマンドを、コンフィギュレーション ファイルに入力した順に、保存および実行します。リロード時にそのコンフィギュレーションを実行するには、 write memory コマンドまたは copy コマンドを使用して、その環境変数を実行コンフィギュレーションからスタートアップ コンフィギュレーションに保存します。
ヒント ASDM イメージ ファイルは、asdm image コマンドで指定します。
例
次の例は、起動時にセキュリティ アプライアンスが configuration.txt という名前のコンフィギュレーション ファイルをロードするように指定しています。
関連コマンド
|
|
|
|---|---|
フィードバック