Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.0.4
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月17日
章のタイトル: T ~ Z のコマンド
- tcp-map
- tcp-options
- telnet
- terminal
- terminal width
- test aaa-server
- text-color
- tftp-server
- timeout
- timeout (aaa-server host)
- timeout (gtp-map)
- time-range
- timers lsa-group-pacing
- timers spf
- title
- title-color
- transfer-encoding
- trust-point
- ttl-evasion-protection
- tunnel-group
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
- tunnel-group-map default-group
- tunnel-group-map enable
- tunnel-limit
- tx-ring-limit
- urgent-flag
- url
- url-block
- url-cache
- url-list
- url-list (webvpn)
- url-server
- user-authentication
- user-authentication-idle-timeout
- username
- username attributes
- username-prompt
- virtual http
- virtual telnet
- vlan
- vpn-access-hours
- vpn-addr-assign
- vpn-filter
- vpn-framed-ip-address
- vpn-framed-ip-netmask
- vpn-group-policy
- vpn-idle-timeout
- vpn load-balancing
- vpn-sessiondb logoff
- vpn-sessiondb max-session-limit
- vpn-session-timeout
- vpn-simultaneous-logins
- vpn-tunnel-protocol
- webvpn
- webvpn (group-policy, username)
- who
- window-variation
- wins-server
- write erase
- write memory
- write net
- write standby
- write terminal
T ~ Z のコマンド
tcp-map
TCP フローの検査をカスタマイズするには、グローバル コンフィギュレーション モードで tcp-map コマンドを使用します。TCP マップの指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用して、高度な TCP 接続設定を設定します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。次のコマンドを tcp マップ コンフィギュレーション モードで使用できます。
selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。 |
|
例
次の例では、 localmap という名前の TCP マップの使用を指定するための tcp-map コマンドの使用方法を示します。
関連コマンド
|
|
|
|---|---|
selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。 |
tcp-options
セキュリティ アプライアンスを通して TCP オプションを許可または消去するには、tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
tcp-options { selective-ack | timestamp | window-scale } { allow | clear }
no tcp-options { selective-ack | timestamp | window-scale } { allow | clear }
tcp-options range lower upper { allow | clear | drop }
no tcp-options range lower upper { allow | clear | drop }
シンタックスの説明
timestamp オプションを設定します。timestamp オプションをクリアにすると、PAWS および RTT がディセーブルとなります。デフォルトでは、timestamp オプションを許可します。 |
|
window scale mechanism オプションを設定します。デフォルトでは、window scale mechanism オプションを許可します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用して、selective-acknowledgement オプション、window-scale オプション、および timestamp TCP オプションを消去します。また、明確に定義されていないオプションを持つパケットも消去またはドロップできます。
例
次の例では、TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲であるすべてのパケットをドロップする方法を示します。
関連コマンド
|
|
|
|---|---|
policy-map コマンド、class コマンド、および description コマンド シンタックスのヘルプを表示します。 |
|
telnet
コンソールへの Telnet アクセスを追加して、アイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで telnet コマンドを使用します。あらかじめ設定された IP アドレスから Telnet アクセスを削除するには、このコマンドの no 形式を使用します。
telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number }}
no telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number } }
シンタックスの説明
Telnet セッションがセキュリティ アプライアンスによって停止されるまでにアイドル状態を維持する時間(分)。有効な値は 1 ~ 1,440 分です。 |
デフォルト
デフォルトでは、Telnet セッションのアイドル状態が 5 分間続くと、セキュリティ アプライアンスによって停止されます。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
変数 IPv6_address が追加されました。また、 no telnet timeout コマンドも追加されました。 |
使用上のガイドライン
telnet コマンドでは、Telnet でセキュリティ アプライアンス コンソールにアクセスできるホストを指定できます。セキュリティ アプライアンスへの Telnet 接続は、すべてのインターフェイスでイネーブルにできます。ただし、セキュリティ アプライアンスでは、外部インターフェイスへの Telnet トラフィックがすべて、必ず IPSec で保護されます。外部インターフェイスへの Telnet セッションをイネーブルにするには、まず外部インターフェイス上で、IPSec がセキュリティ アプライアンスの生成する IP トラフィックを含むように設定した後、外部インターフェイスで Telnet をイネーブルにします。
no telnet コマンドを使用すると、それまでに設定した IP アドレスから Telnet アクセスが削除されます。telnet timeout コマンドを使用すると、コンソールの Telnet セッションの最大アイドル時間を設定して、その時間が経過すると、セキュリティ アプライアンスがログオフするようにできます。no telnet コマンドは、telnet timeout コマンドと共に使用できません。
IP アドレスを入力した場合、ネットマスクも入力する必要があります。デフォルトのネットマスクはありません。内部ネットワークのサブネットワーク マスクを使用しないでください。netmask は、IP アドレスのビット マスクだけです。アクセスを IP アドレス 1 つに制限するには、255.255.255.255 のように各オクテットに 255 を使用します。
IPSec が動作中の場合に、アンセキュアなインターフェイス名(通常、外部インターフェイス)を指定できます。telnet コマンドでインターフェイス名を指定するには、少なくとも、crypto map コマンドを設定する必要があります。
passwd コマンドを使用して、コンソールへの Telnet アクセスで使用するパスワードを設定します。デフォルトは cisco です。who コマンドを使用して、現在セキュリティ アプライアンス コンソールにアクセスしている IP アドレスを表示します。kill コマンドを使用して、アクティブな Telnet コンソール セッションを終了します。
aaa コマンドを console キーワードと共に使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。
(注) aaa コマンドを設定して、セキュリティ アプライアンス Telnet コンソール アクセスに認証を要求した場合に、コンソール ログイン要求がタイムアウトしたときは、セキュリティ アプライアンス ユーザ名と enable password コマンドで設定したパスワードを入力して、シリアル コンソールからセキュリティ アプライアンスにアクセスできます。
例
次の例では、ホスト 192.168.1.3 および 192.168.1.4 が Telnet を通してセキュリティ アプライアンス コンソールへのアクセス許可を得る方法を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストがアクセスを許可されます。
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
次の例では、セッションの最大アイドル継続時間を変更する方法を示します。
次の例では、Telnet コンソール ログイン セッションを示します(パスワードは入力時には表示されません)。
no telnet コマンドを使用して個々のエントリを削除することも、すべての telnet コマンド文を clear configure telnet コマンドで削除することもできます。
関連コマンド
|
|
|
|---|---|
terminal
端末回線のパラメータを設定するには、特権 EXEC モードで terminal コマンドを使用します。
terminal { monitor | no monitor | pager lines [ lines ]}
シンタックスの説明
「 |
デフォルト
lines の引数が指定されていない場合、 terminal monitor pager のデフォルトは 24 行です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、ロギングをイネーブルにしてから、現在のセッションだけでロギングをディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
terminal width
コンソール セッション中に情報を表示する幅を設定するには、グローバル コンフィギュレーション モードで terminal width コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、端末の表示幅を 100 カラムにする方法を示します。
関連コマンド
|
|
|
|---|---|
test aaa-server
test aaa-server コマンドを使用して、セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認します。AAA サーバへの到達に失敗する場合、セキュリティ アプライアンスのコンフィギュレーションが誤っているか、他の理由(ネットワーク コンフィギュレーションまたはサーバのダウンタイムが制限されているなど)で到達不能になっている可能性があります。
test aaa-server {authentication | authorization} server-tag [host server-ip ] [username username ] [password password ]
シンタックスの説明
所定のユーザ名のパスワードを指定します。 password 引数は認証テストの場合のみ使用できます。入力されたユーザ名に対してパスワードが正しいことを確認します。正しくない場合、認証テストは失敗します。 |
|
AAA サーバ設定のテストに使用されるアカウントのユーザ名を指定します。AAA サーバ上にそのユーザ名が存在することを確認します。存在しない場合、テストは失敗します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
test aaa-server コマンドを使用して、セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認します。このコマンドを使用すると、実際のサプリカントでテストする必要がないため、セキュリティ アプライアンス上のコンフィギュレーションの確認が簡略化されます。また、認証および認可の失敗が、AAA サーバ パラメータの設定の誤り、AAA サーバへの接続の問題、またはセキュリティ アプライアンスでのその他のコンフィギュレーション エラーに起因するものかどうかを識別できます。
このコマンドを入力すると、 host および password キーワードと引数のペアを省略できます。セキュリティ アプライアンスは、これらの値を入力するようにプロンプトを表示します。認証テストを実行している場合、 password キーワードと引数のペアを省略して、セキュリティ アプライアンスがプロンプトを表示しているときにパスワードを入力できます。
例
次の例では、ホスト「192.168.3.4」の「srvgrp1」という名前の RADIUS AAA サーバに対して、タイムアウト 9 秒、リトライ間隔 7 秒、認証ポート 1650 を設定します。AAA サーバ パラメータの設定に続く test aaa-server コマンドは、認証テストがサーバに到達できずに失敗したことを示しています。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)# test aaa-server authentication svrgrp1
Server IP Address or name: 192.168.3.4
Username: bogus
Password: ******
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
ERROR: Authentication Server not responding: No error
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
text-color
ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーのテキストに色を設定するには、WebVPN モードで text-color コマンドを使用します。テキストの色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
text-color [ black | white | auto ]
シンタックスの説明
secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番目の色が黒の場合、この値は白となります。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、タイトルバーのテキストの色を黒に設定する方法を示します。
hostname(config)# webvpn
関連コマンド
|
|
|
|---|---|
WebVPN ログイン ページ、ホーム ページ、およびファイル アクセス ページの 2 番目のテキストの色を設定します。 |
tftp-server
configure net コマンドまたは write net コマンドで使用するデフォルトの TFTP サーバとパスおよびファイル名を指定するには、グローバル コンフィギュレーション モードで tftp-server コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。
tftp-server interface_name server filename
no tftp-server [ interface_name server filename ]
シンタックスの説明
ゲートウェイ インターフェイス名を指定します。最高のセキュリティ インターフェイス以外のインターフェイスを指定した場合、このインターフェイスがアンセキュアなことを示す警告メッセージが表示されます。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が簡略化されます。 configure net コマンドまたは write net コマンドを入力する場合、 tftp-server コマンドで指定した TFTP サーバを継承することも、独自の値を入力することもできます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。
例
次の例では、TFTP サーバを指定し、コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します。
関連コマンド
|
|
|
|---|---|
timeout
アイドル状態の最大継続時間を設定するには、グローバル コンフィギュレーション モードで timeout コマンドを使用します。
timeout [ xlate | conn | udp | icmp | rpc | h225 | h323 | mgcp | mgcp-pat | sip | sip_media | uauth hh : mm : ss ]
シンタックスの説明
デフォルト
•
conn hh : mm : ss は、1 時間( 01:00:00 )です。
• h225 hh : mm : ss は、1 時間( 01:00:00 )です。
• h323 hh : mm : ss は、5 分( 00:05:00 )です。
• half-closed hh : mm : ss は、10 分( 00:10:00 )です。
• icmp hh:mm:ss は、2 分( 00:00:0 2 )です。
• mgcp hh:mm:ss は、5 分( 00:05:00 )です。
• mgcp-pat hh:mm:ss は、5 分( 00:05:00 )です。
• rpc hh : mm : ss は、10 分( 00:10:00 )です。
• sip hh:mm: は、30 分( 00:30:00 )です。
• sip_media hh:mm:ss は、2 分( 00:02:00 )です。
• sunrpc hh:mm:ss は、10 分( 00:10:00 )です。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
timeout コマンドは、接続、変換 UDP、および RPC の各スロットに許容されるアイドル時間を設定します。指定されたアイドル時間内に、そのスロットが使用されていなければ、リソースがフリー プールに戻されます。TCP 接続スロットは、通常の接続終了シーケンスの約 60 秒後に解放されます。
(注) 接続に受動 FTP を使用している場合、または Web 認証に virtual コマンドを使用している場合は、timeout uauth 0:0:0 コマンドは使用しないでください。
接続タイマーは、変換タイマーに優先します。つまり、変換タイマーは、すべての接続がタイムアウトした後に初めて動作します。
conn hh : mm : ss を設定する場合、 0:0:0 を使用すると、接続がタイムアウトしません。
half-closed hh : mm : ss を設定する場合、0:0:0 を使用すると、ハーフクローズ接続がタイムアウトしません。
h255 hh : mm : ss を設定する場合、 h225 00:00:00 を使用すると、H.225 シグナリング接続が絶対に終了しません。タイムアウト値を h225 00:00:01 に設定すると、タイマーがディセーブルになり、すべてのコールがクリアされた後、TCP 接続がすぐに終了します。
uauth hh : mm : ss 時間は、 xlate キーワードより短く設定する必要があります。キャッシュをディセーブルにするには、0 に設定します。接続上で受動 FTP が使用されている場合は、0 には設定しないでください。
例
次の例では、アイドル状態の最大継続時間を設定する方法を示します。
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
関連コマンド
|
|
|
|---|---|
timeout (aaa-server host)
AAA サーバとの接続の確立を中止するまでの、ホスト固有の最大応答時間を秒単位で設定するには、AAA サーバ ホスト モードで timeout コマンドを使用します。タイムアウト値を削除して、タイムアウト時間をデフォルト値の 10 秒にリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
要求に対するタイムアウト間隔(1 ~ 60 秒)を指定します。これは、セキュリティ アプライアンスがプライマリ AAA サーバへの要求を中止するまでの時間です。スタンバイ AAA サーバが存在する場合、セキュリティ アプライアンスはバックアップ サーバに要求を送信します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、すべての AAA サーバ プロトコル タイプに有効です。
timeout コマンドを使用して、セキュリティ アプライアンスが AAA サーバへの接続を試みる時間の長さを指定します。 retry-interval コマンドを使用して、セキュリティ アプライアンスが接続を試行する間隔を指定します。
タイムアウトは、セキュリティ アプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です。リトライ間隔は、タイムアウト期間中に通信が再試行される頻度を決定します。したがって、リトライ間隔がタイムアウト値以上の場合、再試行されません。再試行する場合は、リトライ間隔をタイムアウト値よりも小さくする必要があります。
例
次の例では、ホスト 1.2.3.4 上の「svrgrp1」という名前の RADIUS AAA サーバに、タイムアウト値 30 秒、リトライ間隔 10 秒を設定します。したがって、セキュリティ アプライアンスは、30 秒後に中止するまで通信を 3 度試行します。
hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 30
hostname(config-aaa-server-host)# retry-interval 10
hostname(config-aaa-server-host)# exit
hostname(config)#
関連コマンド
|
|
|
AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
timeout (gtp-map)
GTP セッションの非アクティビティ タイマーを変更するには、GTP マップ コンフィギュレーション モードで timeout コマンドを使用します。これは、 gtp-map コマンドを使用してアクセスできます。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
timeout { gsn | pdp-context | request | signaling | tunnel } hh:mm:ss
no timeout { gsn | pdp-context | request | signaling | tunnel } hh:mm:ss
シンタックスの説明
これはタイムアウトで、hh は時間、mm は分、ss は秒を示します。値 0 は、すぐには絶対に終了しないことを意味します。 |
|
デフォルト
デフォルトは、 gsn 、 pdp-context 、および signaling に対して 30 分です。
tunnel のデフォルトは、1 分です(Delete PDP Context Request が受信されていない場合)。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パケット データ プロトコル(PDP)コンテキストは、IMSI と NSAPI の組み合せであるトンネル識別子(TID)によって識別されます。各 MS は最大 15 の NSAPI を持つことができ、様々な QoS レベルのアプリケーション要件に基づいて、それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます。
GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、パケットを外部パケット データ ネットワークとモバイル ステーション ユーザの間で転送するために必要なものです。
例
次の例では、要求キューに対して 2 分のタイムアウト値を設定します。
関連コマンド
|
|
|
|---|---|
time-range
時間範囲コンフィギュレーション モードに入り、トラフィック規則または動作に添付できる時間範囲を定義するには、グローバル コンフィギュレーション モードで time-range コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
時間範囲を作成しても、デバイスへのアクセスは制限されません。 time-range コマンドは、時間範囲だけを定義します。時間範囲を定義したら、これをトラフィック規則または動作に添付できます。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。 access-list extended time-range コマンドとともに使用して、ACL に時間範囲をバインドします。
時間範囲はセキュリティ アプライアンスのシステム クロックに依存しています。ただし、この機能は、NTP 同期化により最適に動作します。
例
次の例では、「New_York_Minute」という名前の時間範囲を作成し、時間範囲コンフィギュレーション モードに入ります。
時間範囲を作成して、時間範囲コンフィギュレーション モードに入った後、 absolute コマンドおよび periodic コマンドを使用して、時間範囲パラメータを定義できます。 time-range コマンドの absolute キーワードおよび periodic キーワードのデフォルト設定を復元するには、時間範囲コンフィギュレーション モードで default コマンドを使用します。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。 access-list extended コマンドとともに使用して、ACL に時間範囲をバインドします。次の例では、「Sales」という名前の ACL を「New_York_Minute」という名前の時間範囲にバインドします。
関連コマンド
|
|
|
|---|---|
time-range コマンドの absolute キーワードおよび periodic キーワードに対するデフォルトの設定を復元します。 |
|
timers lsa-group-pacing
OSPF link-state advertisement(LSA; リンクステート アドバタイズメント)がグループに収集されてリフレッシュ、チェックサム、またはエージングされる間隔を指定するには、ルータ コンフィギュレーション モードで timers lsa-group-pacing コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers lsa-group-pacing seconds
no timers lsa-group-pacing [ seconds ]
シンタックスの説明
OSPF リンクステート アドバタイズメント(LSA)がグループに収集されてリフレッシュ、チェックサム、またはエージングされる間隔です。有効な値は 10 ~ 1,800 秒です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF リンクステート アドバタイズメント(LSA)がグループに収集されてリフレッシュ、チェックサム、またはエージングされる間隔を変更するには、 timers lsa-group-pacing seconds コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing コマンドを使用します。
例
次の例では、LSA のグループ処理間隔に 500 秒を設定します。
関連コマンド
|
|
|
|---|---|
timers spf
最短パス優先(SPF)計算の遅延時間と保持時間を指定するには、ルータ コンフィギュレーション モードで timers spf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no timers spf [ delay holdtime ]
シンタックスの説明
OSPF によるトポロジ変更の受信と最短パス優先(SPF)計算の開始との間の遅延時間(1 ~ 65,535 秒)を指定します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間、および 2 つの連続した SPF 計算での保持時間を設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。
例
次の例では、SPF 計算の遅延時間に 10 秒、SPF 計算の保持時間に 20 秒を設定します。
関連コマンド
|
|
|
|---|---|
OSPF リンクステート アドバタイズメント(LSA)が収集されてリフレッシュ、チェックサム、またはエージングされる間隔を指定します。 |
title
ブラウザおよび WebVPN タイトルバーに表示される WebVPN ユーザ用のタイトルを設定するには、WebVPN モードで title コマンドを使用します。タイトルをコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
(オプション)ブラウザ タイトルおよび WebVPN タイトルバーの HTML 文字列を指定します。最大 255 文字です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、WebVPN タイトル「Our Company WebVPN Services」を作成する方法を示します。
title-color
ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーの色を設定するには、WebVPN モードで title-color コマンドを使用します。タイトルの色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
HTML および RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、その中の 40 色は、Macintosh と PC では別の色が表示されます。最適な表示結果を得るには、各所で公開されている HTML および RGB テーブルを確認してください。テーブルをオンラインで見つけるには、検索エンジンで RGB と入力します。
例
次の例では、RGB の色値 153, 204, 255(スカイブルー)を設定する方法を示します。
関連コマンド
|
|
|
|---|---|
ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーに 2 番目の色を設定します。 |
transfer-encoding
転送符号化タイプを指定することで HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで transfer-encoding コマンドを使用します。これは、 http-map コマンドを使用してアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
no transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
シンタックスの説明
サポートされている要求メソッドがトラフィックに含まれていて、そのメソッドが設定済みリストに記載されていない場合に、セキュリティ アプライアンスが実行するデフォルト アクションを指定します。 |
|
zlib 形式(RFC 1950)およびデフレート圧縮(RFC 1951)を使用して、メッセージ本文が転送される転送符号化タイプを識別します。 |
|
デフォルト
このコマンドは、デフォルトではディセーブルになっています。コマンドがイネーブルで、サポートされる転送符号化タイプが指定されていない場合、デフォルトのアクションは接続をロギングなしで許可します。デフォルト アクションを変更するには、 default キーワードを使用して別のデフォルト アクションを指定します。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
transfer-encoding コマンドをイネーブルにする場合、セキュリティ アプライアンスは、サポートおよび設定された各転送符号化タイプの HTTP 接続に、指定したアクションを適用します。
セキュリティ アプライアンスは、設定したリストの転送符号化タイプに一致 しない すべてのトラフィックに対して、 default アクションを適用します。事前設定済みの default アクションでは、接続をロギングなしで allow します。
たとえば、事前設定済みのデフォルトのアクションが与えられ、 drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合、セキュリティ アプライアンスは設定済みの符号化タイプを含む接続を廃棄して、各接続のログを記録し、サポートされるその他の符号化タイプに対してすべての接続を許可します。
より厳しいポリシーを設定する場合は、デフォルト アクションを drop (または reset )および log に変更します(イベントをログに記録する場合)。次に、 allow アクションを使用して、許容される符号化タイプをそれぞれ設定します。
適用する各設定に対して、 transfer-encoding コマンドを 1 度入力します。 transfer-encoding コマンドの 1 つのインスタンスはデフォルト アクションの変更に使用し、もう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用します。
このコマンドの no 形式を使用して、設定済みのアプリケーション タイプのリストからアプリケーション カテゴリを削除する場合、アプリケーション カテゴリ キーワード以降、コマンドラインに入力された文字は無視されます。
例
次の例では、事前設定済みのデフォルトを使用して、緩やかなポリシーを指定しています。サポートされているすべてのアプリケーション タイプを、個別に拒否されていない限り許可します。
この場合、GNU zip を使用した接続だけが廃棄され、イベントのログが記録されます。
次の例では、特に許可されていない任意の符号化タイプに対し、接続をリセットしてイベントをログに記録するようにデフォルト アクションを変更した厳しいポリシーを指定します。
この場合、転送符号化を使用していない接続だけが許可されます。サポートされるその他の符号化タイプの HTTP トラフィックを受信した場合、セキュリティ アプライアンスは接続をリセットして、syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
trust-point
IKE ピアに送信される証明書を識別するトラストポイントの名前を指定するには、トンネルグループ IPSec アトリビュート モードで trust-point コマンドを使用します。トラストポイント仕様を削除するには、このコマンドの no 形式を使用します。
no trust-point trust-point-name
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は config-ipsec コンフィギュレーション モードで入力され、209.165.200.225 という名前の IPSec LAN-to-LAN トンネルグループの IKE ペアに送られる証明書を識別するためのトラストポイントを設定します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
ttl-evasion-protection
Time-To-Live 回避保護をディセーブルにするには、tcp マップ コンフィギュレーション モードで
ttl-evasion-protection コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとした攻撃を防止します。
たとえば、攻撃者は非常に短い TTL を持つポリシーを通過するパケットを送信できます。TTL が 0 になると、セキュリティ アプライアンスとエンドポイントの間のルータはパケットを廃棄します。攻撃者は、この時点で長い TTL を持つ悪意のあるパケットを送信できます。セキュリティ アプライアンスはこのパケットを再送とみなし、通過させます。ただし、エンドポイントのホストでは、このパケットが攻撃者より受信した最初のパケットとなります。このような場合、攻撃者は攻撃を防ぐセキュリティがなくても成功します。この機能をイネーブルにすると、このような攻撃を防ぐことができます。
例
次の例では、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローで TTL 回避保護をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
policy-map コマンド、class コマンド、および description コマンド シンタックスのヘルプを表示します。 |
|
tunnel-group
IPSec に対する接続固有のレコードのデータベースを作成し、管理するには、グローバル コンフィギュレーション モードで tunnel-group コマンドを使用します。トンネルグループを削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
トンネルグループの名前を指定します。これには、任意の文字列を選択できます。名前が IP アドレスの場合は、通常、ピアの IP アドレスとなります。 |
|
トンネルグループのタイプを次のように指定します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
(注) tunnel-group コマンドは、透過ファイアウォール モードで使用して、LAN-to-LAN トンネルグループのコンフィギュレーションを許可できますが、リモートアクセス グループは許可できません。また、LAN-to-LAN で使用できるすべての tunnel-group コマンドは、透過ファイアウォール モードでも使用できます。
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスには、デフォルトで 2 つのトンネルグループがあります。
DefaultRAGroup は、デフォルトの IPSec リモートアクセス トンネルグループで、DefaultL2Lgroup は、デフォルトの IPSec LAN-to-LAN トンネルグループです。これらは変更できますが、削除はできません。セキュリティ アプライアンスは、トンネル ネゴシエーション中に特定のトンネルグループが識別されない場合、これらのグループを使用して、リモートアクセスおよび LAN-to-LAN トンネルグループに対してデフォルトのトンネル パラメータを設定します。
tunnel-group コマンドには、次のコマンドがあります。これらの各コマンドを使用すると、コンフィギュレーション モードのレベルでアトリビュートを設定するコンフィギュレーション モードに入ることができます。
例
次の例はグローバル コンフィギュレーション モードで入力され、IPSec LAN-to-LAN トンネルグループを設定します。名前は、LAN-to-LAN ピアの IP アドレスです。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
tunnel-group general-attributes
一般アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group general-attributes コマンドを使用します。このモードは、サポートされるすべてのトンネリング プロトコルに共通の値を設定するために使用されます。
一般アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。
tunnel-group name general-attributes
no tunnel-group name general- attributes
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
次の表は、このグループに属しているコマンドと、コマンドを設定できるトンネルグループのタイプを示しています。
|
|
|
|---|---|
例
次の例はグローバル コンフィギュレーション モードで入力され、LAN-to-LAN ピアの IP アドレスを使用して IPSec LAN-to-LAN 接続用のトンネルグループを作成してから一般コンフィギュレーション モードに入り、一般アトリビュートを設定します。トンネルグループの名前は、209.165.200.225 です。
次の例はグローバル コンフィギュレーション モードで入力され、IPSec リモートアクセス接続用の「remotegrp」という名前のトンネルグループを作成してから一般コンフィギュレーション モードに入り、「remotegrp」という名前のトンネルグループ用の一般アトリビュートを設定します。
関連コマンド
|
|
|
|---|---|
tunnel-group ipsec-attributes
ipsec アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group ipsec-attributes コマンドを使用します。このモードは、IPSec トンネリング プロトコルに限定される値を設定するために使用されます。
IPSec アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。
tunnel-group name ipsec-attributes
no tunnel-group name ipsec- attributes
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
|
|
|
|---|---|
例
次の例はグローバル コンフィギュレーションで入力され、remotegrp という名前の IPSec リモートアクセス トンネルグループ用のトンネルグループを作成してから、IPSec グループ アトリビュートを指定します。
関連コマンド
|
|
|
|---|---|
crypto ca certificate map コマンドで作成された証明書マップ エントリをトンネルグループに関連付けます。 |
tunnel-group-map default-group
tunnel-group-map コマンドは、証明書ベースの IKE セッションをトンネルグループにマップするポリシーと規則を設定します。 crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネルグループに関連付けるには、グローバル コンフィギュレーション モードで tunnel-group-map コマンドを使用します。各呼び出しが一意であり、マップ インデックスを 2 回以上参照しない限り、このコマンドを複数回実行できます。
tunnel-group-map を削除するには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] default-group tunnel-group-name
シンタックスの説明
シンタックスの説明シンタックスの説明
他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します。 tunnel-group name は、既存である必要があります。 |
|
オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。値は、1 ~ 65535 です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ca certificate map コマンドは、証明書マッピング規則の優先順位付きリストを管理します。定義できるマップは 1 つのみです。ただし、このマップで 65,535 個までの規則を保持できます。詳細については、 crypto ca certificate map コマンドのマニュアルを参照してください。
証明書からトンネルグループ名を取得する処理は、トンネルグループに関連付けられていない証明書マップのエントリを無視します(どのマップ規則もこのコマンドでは識別されません)。
例
次の例はグローバル コンフィギュレーション モードで入力され、他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネルグループを指定します。使用するトンネルグループの名前は、group1 です。
関連コマンド
|
|
|
|---|---|
tunnel-group-map enable
tunnel-group-map enable コマンドは、証明書ベースの IKE セッションをトンネルグループにマップするポリシーと規則を設定します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] enable policy
no tunnel-group-map enable [ rule-index ]
シンタックスの説明
シンタックスの説明シンタックスの説明
デフォルト
tunnel-group-map コマンドのデフォルト値は、 enable ou で、 default-group は、DefaultRAGroup に設定されています。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ca certificate map コマンドは、証明書マッピング規則の優先順位付きリストを管理します。定義できるマップは 1 つのみです。ただし、このマップで 65,535 個までの規則を保持できます。詳細については、 crypto ca certificate map コマンドのマニュアルを参照してください。
例
次の例では、フェーズ 1 IKE ID のコンテンツに基づいて、トンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。
次の例では、確立されたピアの IP アドレスに基づいて、トンネルグループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。
次の例では、サブジェクト認定者名(DN)の組織ユニット(OU)に基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします。
次の例では、確立した規則に基づいて、証明書ベースの IKE セッションのマッピングをイネーブルにします。
関連コマンド
|
|
|
|---|---|
tunnel-limit
セキュリティ アプライアンスでアクティブになることを許可されている GTP トンネルの最大数を指定するには、GTP マップ コンフィギュレーション モードで tunnel limit コマンドを使用します。これは、 gtp-map コマンドを使用してアクセスできます。トンネル制限をデフォルトに戻すには、 no を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、GTP トラフィックに最大 10,000 トンネルを指定します。
関連コマンド
|
|
|
|---|---|
tx-ring-limit
プライオリティキューの項目数を指定するには、プライオリティキュー モードで tx-ring-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
tx-ring-limit number-of-packets
no tx-ring-limit number-of-packets
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュリティ アプライアンスは、2 つのクラスのトラフィックを許可します。1 つは優先順位が高く、遅延に影響されやすいトラフィック(音声およびビデオなど)用の低遅延キューイング(LLQ)で、もう 1 つは、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)です。セキュリティ アプライアンスは、プライオリティ トラフィックを認識し、適切な Quality of Service(QoS)ポリシーを強制します。プライオリティキューのサイズと項目数を設定することで、トラフィック フローを微調整できます。
プライオリティ キューイングを有効にするには、 priority-queue コマンドを使用して、インターフェイスのプライオリティキューをあらかじめ作成しておく必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。
priority-queue コマンドを使用すると、プライオリティキュー モードに入ります。モードはプロンプトに表示されます。プライオリティキュー モードでは、いつでも送信キューに入れることができるパケットの最大数( tx-ring-limit コマンド)、およびバッファに入れることのできる両タイプ(優先またはベストエフォート)のパケット数を設定できます( queue-limit コマンド)。queue-limit の数を超えると、以後のパケットはドロップされます。
(注) インターフェイスに対してプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります。
指定する tx-ring-limit および queue-limit は、優先順位の高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両タイプのパケットの数です。このパケットの処理が終わると、ドライバは輻輳が解消するまで、インターフェイスの先頭にある、パケットをバッファしているキューの処理に戻ります。一般に、これらの 2 つのパラメータを調整することによって、低遅延トラフィックのフローを最適化できます。
キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが テール ドロップ です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。
(注) queue-limit コマンドと tx-ring-limit コマンドの値の範囲の上限は、実行時に動的に決まります。この上限値を表示するには、コマンドラインで help または ? と入力します。主な決定要素は、キューのサポートに必要となるメモリと、デバイス上で使用可能なメモリの量です。queue-limit 値の範囲は、0 ~ 2,048 パケットです。tx-ring-limit 値の範囲は、PIX プラットフォームでは 3 ~ 128 パケット、ASA プラットフォームでは 3 ~ 256 パケットです。
例
次の例では、test というインターフェイスのプライオリティキューを設定して、キューの上限を 2048 パケット、送信キューの上限を 256 パケットと指定しています。
関連コマンド
urgent-flag
TCP ノーマライザを通して URG ポインタを許可または消去するには、tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
no urgent-flag { allow | clear }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで urgent-flag コマンドを使用して、緊急フラグを許可します。
URG フラグは、ストリーム内の他のデータよりも高い優先順位の情報を含むパケットを示すために使用されます。TCP RFC は、URG フラグの正確な解釈を明確化していません。したがって、エンド システムは緊急オフセットをさまざまな方法で処理します。このため、エンド システムが攻撃を受け易くなります。デフォルトの動作は、URG フラグとオフセットを消去します。
例
関連コマンド
|
|
|
|---|---|
policy-map コマンド、class コマンド、および description コマンド シンタックスのヘルプを表示します。 |
|
url
CRL を検索するためのスタティック URL のリストを維持するには、crl 設定コンフィギュレーション モードで url コマンドを使用します。crl 設定コンフィギュレーション モードには、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。既存の URL を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
リスト内の各 URL のランクを決定する 1 ~ 5 の値を指定します。セキュリティ アプライアンスは、インデックス 1 から URL を試行します。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
既存の URL は上書きできません。既存の URL を置き換えるには、まずそれを削除して、このコマンドの no 形式を使用します。
例
次の例では、ca-crl コンフィギュレーション モードに入り、CRL 検索用の URL のリストを作成し、維持するためにインデックス 3 を設定して、CRL の検索元となる URL https://foobin.com を設定します。
関連コマンド
|
|
|
|---|---|
url-block
フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答に使用される URL バッファを管理するには、 url-block コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
url-block block block_buffer_limit
no url-block block block_buffer_limit
url-block url-mempool memory_pool_size
no url-block url-mempool memory_pool_siz
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Websense フィルタリング サーバの場合、url-block url-size コマンドを使用すると、最大 4 KB の長さの URL のフィルタリングが可能です。Websense フィルタリング サーバおよび N2H2 フィルタリング サーバの両方の場合、url-block block コマンドは、URL フィルタリング サーバからの応答を待つ間の Web クライアント要求に応じて Web サーバから受信したパケットをセキュリティ アプライアンスにバッファします。この処理により、デフォルトのセキュリティ アプライアンスの動作と比較して、Web クライアントのパフォーマンスが改善されます。デフォルトの動作はパケットを廃棄し、接続が許可された場合は Web サーバにパケットの再転送を要求します。
url-block block コマンドを使用し、フィルタリング サーバが接続を許可した場合、セキュリティ アプライアンスは、HTTP 応答バッファから Web クライアントにブロックを送信して、バッファからブロックを削除します。フィルタリング サーバが接続を拒否した場合、セキュリティ アプライアンスは拒否メッセージを Web クライアントに送信して、HTTP 応答バッファからブロックを削除します。
url-block block コマンドを使用して、フィルタリング サーバからのフィルタリング決定を待っている間に Web サーバの応答のバッファリングに使用するブロックの数を指定します。
url-block url-mempool コマンドとともに url-block url-size コマンドを使用して、Websense フィルタリング サーバによりフィルタリングされる URL の最大長と、URL バッファに割り当てる最大メモリを指定します。これらのコマンドを使用して、1,159 バイト以上 4,096 バイト以下の URL を Websense サーバに渡します。 url-block url-size コマンドは、1,159 バイトより長い URL をバッファに保存した後、その URL を Websense サーバに渡します(TCP パケット ストリームを使用して)。その結果、Websense サーバがその URL へのアクセスを許可または拒否できます。
例
次の例では、1,550 バイトのブロックを 56 個、URL フィルタリング サーバからの応答のバッファリングに割り当てます。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
url-cache
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにして、キャッシュのサイズを設定するには、グローバル コンフィギュレーション モードで url-cache コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
url-cache { dst | src_dst } kbytes [kb]
no url-cache { dst | src_dst } kbytes [kb]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
url-cache コマンドには、Web サーバからの応答が N2H2 または Websense フィルタリング サービス サーバからの応答よりも高速な場合、Web サーバからの応答をバッファリングするコンフィギュレーション オプションが用意されています。このオプションによって、Web サーバの応答が 2 回ロードされることがなくなります。
url-cache コマンドは、URL キャッシュをイネーブルにし、キャッシュ サイズを設定し、キャッシュの統計情報を表示する場合に使用します。
キャッシュによって URL アクセス特権が、セキュリティ アプライアンス上のメモリに保存されます。ホストが接続を要求すると、セキュリティ アプライアンスは要求を N2H2 または Websense サーバに転送するのではなく、まず一致するアクセス特権を URL キャッシュ内で探します。キャッシュをディセーブルにするには、 no url-cache コマンドを使用します。
(注) N2H2 サーバまたは Websense サーバで設定を変更した場合は、no url-cache コマンドでキャッシュをディセーブルにした後、url-cache コマンドで再度イネーブルにします。
URL キャッシュを使用しても、Websense プロトコル Version 1 の Websense アカウンティング ログはアップデートされません。Websense プロトコル Version 1 を使用している場合は、Websense を実行してログを記録し、Websense アカウンティング情報を表示できるようにします。セキュリティの要求に合致する使用状況プロファイルを取得した後、 url-cache をイネーブルにしてスループットを向上させます。Websense プロトコル Version 4 および N2H2 URL フィルタリングでは、 url-cache コマンドの使用時にアカウンティング ログがアップデートされます。
例
次の例では、送信元アドレスと宛先アドレスに基づいて、すべての発信 HTTP 接続をキャッシュします。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
url-list
WebVPN ユーザがアクセスする URL のセットを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。複数の URL でリストを設定するには、各 URL に対して 1 回、同じリスト名でこのコマンドを複数回使用します。設定済みリスト全体を削除するには、 no url-list listname コマンドを使用します。設定済み URL を削除するには、 no url-list listname url コマンドを使用します。
複数のリストを設定するには、このコマンドを複数回使用して、各リストに一意な listname を割り当てます。
url-list { listname displayname url }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードで url-list コマンドを使用して、URL のリストを 1 つ以上作成します。特定のグループポリシーまたはユーザがリスト内の URL にアクセスできるようにするには、ここで作成した listname とともに WebVPN モードで url-list コマンドを使用します。
例
次の例では、www.cisco.com、www.example.com、および www.example.org へのアクセスを提供する Marketing URLs という名前の URL リストを作成する方法を示します。次の表は、各アプリケーションの例で使用する値を示します。
|
|
|
|
hostname(config)# url-list Marketing URLs Cisco Systems http://www.cisco.com
hostname(config)# url-list Marketing URLs Example Company, Inc. http://www.example.com
hostname(config)# url-list Marketing URLs Example Organization http://www.example.org
関連コマンド
url-list (webvpn)
WebVPN サーバのリストと URL を特定のユーザまたはグループポリシーに適用するには、グループポリシーまたはユーザ名モードから入る WebVPN モードで url-list コマンドを使用します。 url-list none コマンドを使用して作成したヌル値を含むリストを削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。URL リストを継承しないようにするには、 url-list none コマンドを使用します。コマンドを 2 回使用すると、先行する設定値が上書きされます。
シンタックスの説明
URL の設定済みリストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。 |
|
URL リストにヌル値を設定します。デフォルトのグループポリシーまたは指定されているグループポリシーからリストを継承しないようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンドを 2 回使用すると、先行する設定値が上書きされます。
WebVPN モードで url-list コマンドを使用して、ユーザまたはグループポリシー用の WebVPN ホームページに表示する URL リストを識別する前に、リストを作成する必要があります。グローバル コンフィギュレーション モードで url-list コマンドを使用して、1 つ以上のリストを作成します。
例
次の例では、FirstGroup という名前のグループポリシーの FirstGroupURL と呼ばれる URL リストの設定方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
関連コマンド
url-server
filter コマンドで使用する N2H2 または Websense サーバを指定するには、 url-server コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
url-server ( if_name ) vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ]}]
no url-server ( if_name ) vendor n2h2 host local_ip [ port number ] [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ]}]
url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP | connections num_conns ] | version ]
no url-server ( if_name ) vendor websense host local_ip [ timeout seconds ] [ protocol { TCP | UDP [ connections num_conns ] | version ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
url-server コマンドでは、N2H2 または Websense URL フィルタリング アプリケーションを実行しているサーバを指定します。URL サーバ数の上限は 16 ですが、一度に使用できるアプリケーションは、N2H2 または Websense のどちらか 1 つだけです。さらに、セキュリティ アプライアンス上でコンフィギュレーションを変更しても、アプリケーション サーバ上のコンフィギュレーションはアップデートされないため、ベンダーの指示に従って別途アップデートする必要があります。
HTTPS および FTP に対して filter コマンドを実行するには、事前に url-server コマンドを設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連する filter コマンドもすべて削除されます。
サーバを指示した後、 filter url コマンドを使用して、URL フィルタリング サービスをイネーブルにします。
ステップ 1 ベンダー固有の url-server コマンドを適切な形式で使用して、URL フィルタリング アプリケーション サーバを指示します。
ステップ 2 filter コマンドで、URL フィルタリングをイネーブルにします。
ステップ 3 (オプション) url-cache コマンドを使用して、URL キャッシュをイネーブルにし、認識される応答時間を改善します。
ステップ 4 (オプション) url-block コマンドを使用して、長い URL および HTTP のバッファリングのサポートをイネーブルにします。
ステップ 5 show url-block block statistics 、 show url-cache statistics 、または show url-server statistics の各コマンドを使用して、実行情報を表示します。
N2H2 によるフィルタリングの詳細については、次の N2H2 の Web サイトを参照してください。
Websense フィルタリングの詳細については、次の Web サイトを参照してください。
例
次の例では、N2H2 を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。
次の例では、Websense を使用している場合に、10.0.2.54 ホストからの接続を除く、発信 HTTP 接続をすべてフィルタリングします。
関連コマンド
|
|
|
N2H2 フィルタリング サーバまたは Websense フィルタリング サーバからの応答を待っている間の URL バッファリングに使用される URL キャッシュに関する情報を表示します。 |
|
N2H2 サーバまたは Websense サーバからの応答を保留している間の URL キャッシングをイネーブルにし、キャッシュのサイズを設定します。 |
|
user-authentication
ユーザ認証をイネーブルにするには、グループポリシー コンフィギュレーション モードで
user-authentication enable コマンドを使用します。ユーザ認証をディセーブルにするには、 user-authentication disable コマンドを使用します。ユーザ認証アトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、ユーザ認証の値を別のグループポリシーから継承できます。
イネーブルの場合、ユーザ認証ではハードウェア クライアントの背後にいる個々のユーザが、トンネルを越えてネットワークへのアクセスを取得するように認証する必要があります。
user-authentication { enable | disable }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プライマリ セキュリティ アプライアンスでのユーザ認証が必要な場合は、バックアップ サーバでも同様に設定されていることを確認します。
例
次の例では、「FirstGroup」という名前のグループポリシーのユーザ認証をイネーブルにする方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication enable
関連コマンド
user-authentication-idle-timeout
ハードウェア クライアントの背後にいる個々のユーザに対してアイドル タイムアウトを設定するには、グループポリシー コンフィギュレーション モードで user-authentication-idle-timeout コマンドを使用します。アイドル タイムアウト値を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、アイドル タイムアウト値を別のグループポリシーから継承できます。アイドル タイムアウト値を継承しないようにするには、 user-authentication-idle-timeout none コマンドを使用します。
アイドル タイムアウト期間中にハードウェア クライアントの背後にいるユーザによる通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。
user-authentication-idle-timeout { minutes | none }
no user-authentication-idle-timeout
シンタックスの説明
無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーからユーザ認証のアイドル タイムアウト値を継承しないようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、「FirstGroup」という名前のグループポリシーに対して 45 分のアイドル タイムアウト値を設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# user-authentication-idle-timeout 45
関連コマンド
|
|
|
|---|---|
ハードウェア クライアントの背後にいるユーザに対して、接続前にセキュリティ アプライアンスに識別情報を示すように要求します。 |
username
セキュリティ アプライアンス データベースにユーザを追加するには、グローバル コンフィギュレーション モードで username コマンドを入力します。ユーザを削除するには、削除するユーザ名で、このコマンドの no バージョンを使用します。すべてのユーザ名を削除するには、ユーザ名を付加せずに、このコマンドの no バージョンを使用します。
username { name } { nopassword | password password [ encrypted ]} [ privilege priv_level ]}
シンタックスの説明
このユーザに対して特権レベルを設定します。範囲は 0 ~ 15 です。数値が小さくなるほど、コマンドを使用する機能と、セキュリティ アプライアンスを管理する機能が低くなります。デフォルトの特権レベルは 2 です。システム管理者の一般的な特権レベルは 15 です。 |
デフォルト
デフォルトでは、このコマンドを使用して追加した VPN ユーザには、アトリビュートまたはグループポリシーのアソシエーションはありません。すべての値を明示的に設定する必要があります。
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。
例
次の例では、暗号化されたパスワード 12345678 と特権レベル 12 を持つ anyuser という名前のユーザを設定する方法を示します。
hostname(config)# username anyuser password 12345678 encrypted privilege 12
関連コマンド
|
|
|
|---|---|
username attributes
ユーザ名アトリビュート モードに入るには、ユーザ名コンフィギュレーション モードで username attributes コマンドを使用します。特定のユーザのすべてのアトリビュートを削除するには、このコマンドの no 形式を使用して、ユーザ名を付加します。すべてのユーザのアトリビュートを削除するには、ユーザ名を付加せずに、このコマンドの no 形式を使用します。アトリビュート モードを使用すると、指定したユーザに対して AVP を設定できます。
no username [ name ] attributes
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
内部ユーザ認証データベースは、username コマンドを使用して入力されたユーザで構成されています。login コマンドは、このデータベースを認証用に使用します。
アトリビュート モードのコマンドのシンタックスには、共通する次の特性があります。
• no 形式は、実行コンフィギュレーションからアトリビュートを削除します。
• none キーワードも、実行コンフィギュレーションからアトリビュートを削除します。ただし、アトリビュートにヌル値を設定することにより削除され、継承しないようにします。
例
次の例では、anyuser という名前のユーザのユーザ名アトリビュート コンフィギュレーション モードに入る方法を示します。
hostname(config)# username anyuser attributes
関連コマンド
|
|
|
|---|---|
username-prompt
WebVPN に初めてログインする場合のユーザ名のプロンプトを設定するには、WebVPN モードで username-prompt コマンドを使用します。デフォルトの「Login:」に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、パスワード プロンプト「Enter Username:」を設定する方法を示します。
hostname(config)# webvpn
virtual http
仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。セキュリティ アプライアンス上で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用すると、セキュリティ アプライアンスと HTTP サーバで別々に認証を実行できます。仮想 HTTP を使用しない場合は、セキュリティ アプライアンスに対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。
virtual http ip_address [ warning ]
no virtual http ip_address [ warning ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
HTTP 認証をイネーブルにする場合( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、セキュリティ アプライアンスは、AAA サーバで認証できるようにユーザ名とパスワードの入力を各ユーザに要求します。AAA サーバがユーザを認証すると、HTTP サーバへの接続が許可されます。ただし、AAA サーバのユーザ名とパスワードは、HTTP パケット内にまだ含まれています。HTTP サーバにも独自の認証メカニズムがある場合、パケットにはすでにユーザ名とパスワードが含まれているため、ユーザが再度ユーザ名とパスワードの入力を要求されることはありません。AAA サーバと HTTP サーバでユーザ名とパスワードが異なる場合、HTTP 認証は失敗します。
HTTP サーバごとに別々に入力を要求できるようにするには、 virtual http コマンドを使用して、セキュリティ アプライアンスで仮想 HTTP サーバをイネーブルにします。このコマンドは、AAA 認証を必要とするすべての HTTP 接続を、セキュリティ アプライアンス上の仮想 HTTP サーバへリダイレクトします。セキュリティ アプライアンスは、AAA サーバのユーザ名とパスワードを要求します。AAA サーバがユーザを認証すると、セキュリティ アプライアンスは HTTP 接続を元のサーバにリダイレクトしますが、AAA サーバのユーザ名とパスワードは含まれません。HTTP パケットにユーザ名とパスワードが含まれないため、HTTP サーバは別に HTTP サーバのユーザ名とパスワードの入力をユーザに要求します。
例
次の例では、AAA 認証とともに仮想 HTTP をイネーブルにする方法を示します。
関連コマンド
|
|
|
virtual http コマンドをイネーブルにすると、このコマンドにより、ブラウザ キャッシュのユーザ名とパスワードを使用して、仮想サーバに再接続できます。 |
|
セキュリティ アプライアンスで仮想 Telnet サーバを提供して、認証を必要とする別のタイプの接続を開始する前に、セキュリティ アプライアンスでユーザを認証できます。 |
virtual telnet
セキュリティ アプライアンスで仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。セキュリティ アプライアンスが認証プロンプトを指定しない別のタイプのトラフィックを認証する必要がある場合、仮想 Telnet サーバでユーザを認証する必要がある場合もあります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
任意のプロトコルまたはサービス( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)に対してネットワーク アクセス認証を設定できますが、直接 HTTP、Telnet、または FTP だけで認証することもできます。ユーザは認証を必要とする別のトラフィックが許可される前に、これらのサービスの 1 つで先に認証する必要があります。セキュリティ アプライアンスを通して HTTP、Telnet、または FTP を許可せずに、別のタイプのトラフィックを認証する場合は、セキュリティ アプライアンスで設定された所定の IP アドレスにユーザが Telnet 接続し、セキュリティ アプライアンスが Telnet プロンプトを表示するように、仮想 Telnet を設定できます。
権限のないユーザが仮想 Telnet IP アドレスに接続したとき、ユーザ名とパスワードが要求され、AAA サーバによって認証されます。認証されると、「Authentication Successful.」というメッセージが表示されます。その後、ユーザは認証を必要とするその他のサービスに正常にアクセスできるようになります。
例
次の例では、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする方法を示します。
関連コマンド
vlan
VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスには、トラフィックを渡す VLAN ID が必要です。VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス(たとえば複数のセキュリティ コンテキスト)にトラフィックを別に保存できます。
シンタックスの説明
1 ~ 4,094 の整数を指定します。一部の VLAN ID には、接続されたスイッチで予約されているものもあります。詳細については、スイッチのマニュアルを参照してください。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
1 つの VLAN だけを、物理インターフェイスではなく、サブインターフェイスに割り当てることができます。各サブインターフェイスは、トラフィックを通過する前に VLAN ID を持つ必要があります。VLAN ID を変更するには、 no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を使用して vlan コマンドを入力でき、セキュリティ アプライアンスは古い ID を変更します。
no shutdown コマンドを使用して物理インターフェイスをイネーブルにし、サブインターフェイスをイネーブルにする必要があります。サブインターフェイスをイネーブルにする場合、物理インターフェイスはタグの付かないパケットを通過させるため、一般的には物理インターフェイスがトラフィックを通過させないようにします。したがって、インターフェイスを停止することで物理インターフェイスを介してトラフィックが通過しないようにすることはできません。代わりに、 nameif コマンドを省略することで、物理インターフェイスがトラフィックを通過させないことを確認します。物理インターフェイスがタグの付かないパケットを通過させるようにする場合は、通常通り nameif コマンドを設定できます。
サブインターフェイスの最大数は、プラットフォームによって変わります。プラットフォームごとの最大サブインターフェイスについては、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。
例
次の例では、サブインターフェイスに VLAN 101 を割り当てます。
関連コマンド
|
|
|
|---|---|
vpn-access-hours
設定済みの時間範囲ポリシーをグループポリシーに関連付けるには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、時間範囲値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-access-hours none コマンドを使用します。
vpn-access-hours value { time-range } | none
シンタックスの説明
VPN アクセス時間にヌル値を設定することで、時間範囲ポリシーを許可しないようにします。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、824 と呼ばれる時間範囲ポリシーに FirstGroup という名前のグループポリシーを関連付ける方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-access-hours 824
関連コマンド
|
|
|
|---|---|
vpn-addr-assign
IP アドレスをリモートアクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。アトリビュートをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。設定されている Vpn アドレスの割り当て方法をセキュリティ アプライアンスからすべて削除するには、引数なしで、このコマンドの no バージョンを使用します。
vpn-addr-assign { aaa | dhcp | local }
no vpn-addr-assign [ aaa | dhcp | local ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスの範囲を定義する必要があります。
ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。 vpn-framed-ip-address コマンドおよび vpn-framed-netmask コマンドを使用して、個々のユーザに IP アドレスとネットマスクを割り当てます。
例
次の例では、アドレスの割り当て方法として DHCP を設定する方法を示します。
hostname(config)# vpn-addr-assign dhcp
関連コマンド
|
|
|
|---|---|
セキュリティ アプライアンス DHCP サーバがグループポリシーのユーザにアドレスを割り当てるときに使用する必要がある IP アドレスの範囲を指定します。 |
|
vpn-filter
VPN 接続に使用する ACL の名前を指定するには、グループポリシーまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-filter none コマンドを使用します。
ACL を設定して、このユーザまたはグループポリシーについて、さまざまなタイプのトラフィックを許可または拒否します。 vpn-filter コマンドを使用して、これらの ACL を適用します。
vpn-filter { value ACL name | none }
シンタックスの説明
アクセスリストがないことを指定します。ヌル値を設定して、アクセスリストを拒否します。アクセスリストを他のグループポリシーから継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループポリシーの acl_vpn と呼ばれるアクセスリスト名を実行するフィルタを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-filter value acl_vpn
関連コマンド
|
|
|
|---|---|
vpn-framed-ip-address
特定のユーザに割り当てる IP アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ip-address { ip_address }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、anyuser という名前のユーザに 10.92.166.7 という IP アドレスを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-address 10.92.166.7
関連コマンド
|
|
|
|---|---|
vpn-framed-ip-netmask
特定のユーザに割り当てるサブネット マスクを指定するには、ユーザ名モードで
vpn - framed-ip-netmask コマンドを使用します。サブネットマスクを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ip-netmask { netmask }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、anyuser という名前のユーザに 255.255.255. 254 というサブネット マスクを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-framed-ip-netmask 255.255.255.254
(注) RADIUS がサブネット マスクだけを返す場合、認証は独自のサブネット ネットマスクを持つローカル プールからの IP アドレスを使用します。RADIUS からのマスクは使用しません。これを防止するには、RADIUS からネットマスクと IP アドレスの両方を返します。
関連コマンド
|
|
|
|---|---|
vpn-group-policy
ユーザに設定済みのグループポリシーからアトリビュートを継承させるには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。ユーザ コンフィギュレーションからグループポリシーを削除するには、このコマンドの no バージョンを使用します。このコマンドを使用すると、ユーザがユーザ名レベルで設定していないアトリビュートを継承できます。
vpn-group-policy {group-policy name}
no vpn-group-policy {group-policy name}
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アトリビュートをユーザ名モードで利用できる場合、ユーザ名モードで設定することにより、特定のユーザに対するグループポリシーのアトリビュートの値を上書きできます。
例
次の例では、FirstGroup という名前のグループポリシーからアトリビュートを使用するように anyuser という名前のユーザを設定する方法を示します。
hostname(config)# username anyuser attributes
hostname(config-username)# vpn-group-policy FirstGroup
関連コマンド
|
|
|
|---|---|
vpn-idle-timeout
ユーザのタイムアウト期間を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。
このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-idle-timeout none コマンドを使用します。
vpn-idle-timeout { minutes | none}
シンタックスの説明
無制限のアイドル タイムアウト期間を許容します。アイドル タイムアウトにヌル値を設定して、アイドル タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、「FirstGroup」という名前のグループポリシーに対して 15 分の VPN アイドル タイムアウトを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-idle-timeout 30
関連コマンド
VPN 接続に許可されている最大時間を設定します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。 |
vpn load-balancing
VPN ロードバランシングおよび関連機能を設定できる VPN ロードバランシング モードに入るには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。
(注) ASA Models 5540 および 5520 だけが、VPN ロードバランシングをサポートします。VPN ロードバランシングには、有効な 3DES ライセンスまたは AES ライセンスも必要です。セキュリティ アプライアンスは、ロードバランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。有効な 3DES ライセンスまたは AES ライセンスが検出されなかった場合、セキュリティ アプライアンスはロードバランシングをイネーブルにしません。また、ライセンスで許可されていない限り、ロードバランシング システムが 3DES の内部設定を行わないようにします。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
vpn load-balancing コマンドを使用して、VPN ロードバランシング モードに入ります。次のコマンドは、VPN ロードバランシング モードで使用できます。
例
次に vpn load-balancing コマンドの例を示します。プロンプト内の変化に注意してください。
次に、クラスタのパブリック インターフェイスを「test」として、クラスタのプライベート インターフェイスを「foo」として指定するインターフェイス コマンドを含む、VPN ロードバランシング コマンド シーケンスの例を示します。
関連コマンド
|
|
|
|---|---|
vpn-sessiondb logoff
すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff コマンドを使用します。
vpn-sessiondb logoff { remote | l2l | webvpn | email-proxy | protocol protocol-name | name username | ipaddress IPaddr | tunnel-group groupname | index indexnumber | all }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、すべてのリモートアクセス セッションをログオフする方法を示します。
次の例では、すべての IPSec セッションをログオフする方法を示します。
vpn-sessiondb max-session-limit
VPN セッションをセキュリティ アプライアンスが許可しているよりも小さい値に制限するには、グローバル コンフィギュレーション モードで vpn-sessiondb max-session-limit コマンドを使用します。セッションの制限値を削除するには、このコマンドの no 形式を使用します。現在の設定を上書きするには、このコマンドを再度使用します。
vpn-sessiondb max-session-limit { session-limit }
no vpn-sessiondb max-session-limit
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、VPN セッションの最大制限値である 450 に設定する方法を示します。
vpn-session-timeout
VPN 接続に許可される最大時間を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、セキュリティ アプライアンスは接続を終了します。
このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、タイムアウト値を別のグループポリシーから継承できます。値を継承しないようにするには、 vpn-session-timeout none コマンドを使用します。
vpn-session-timeout { minutes | none}
シンタックスの説明
無制限のセッション タイムアウト期間を許容します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次の例では、FirstGroup という名前のグループポリシーに対して 180 分の VPN セッション タイムアウトを設定する方法を示します。
関連コマンド
ユーザ タイムアウト期間を設定します。この期間中に接続上で通信アクティビティがまったくなかった場合、セキュリティ アプライアンスは接続を終了します。 |
vpn-simultaneous-logins
ユーザに許容される同時ログイン数を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、値を別のグループポリシーから継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。
vpn-simultaneous-logins { integer }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、FirstGroup という名前のグループポリシーに対して最大 4 つの同時ログインを許可する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-simultaneous-logins 4
vpn-tunnel-protocol
VPN トンネル タイプ(IPSec または WebVPN)を設定するには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
vpn-tunnel-protocol {webvpn | IPSec}
no vpn-tunnel-protocol [webvpn | IPSec]
シンタックスの説明
2 つのピア間(リモートアクセス クライアントまたはその他のセキュアなゲートウェイ)で IPSec トンネルをネゴシエートします。認証、暗号化、カプセル化、およびキー管理を管理するセキュリティ結合を作成します。 |
|
HTTPS 対応の Web ブラウザを経由してリモート ユーザに VPN サービスを提供します。クライアントは不要です。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して 1 つ以上のトンネリング モードを設定します。VPN トンネルを越えて接続するには、ユーザに対して少なくとも 1 つのトンネリング モードを設定する必要があります。
例
次の例では、「FirstGroup」という名前のグループポリシーに対して WebVPN および IPSec トンネリング モードを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# vpn-tunnel-protocol webvpn
hostname(config-group-policy)# vpn-tunnel-protocol IPSec
webvpn
グローバル コンフィギュレーション モードで WebVPN モードに入るには、 webvpn コマンドを入力します。このコマンドと一緒に入力したコマンドを削除するには、 no webvpn コマンドを使用します。これらの webvpn コマンドはすべての WebVPN ユーザに適用されます。
これらの webvpn コマンドを使用すると、エンド ユーザに表示される WebVPN 画面だけでなく、AAA サーバ、デフォルトのグループポリシー、デフォルトのアイドル タイムアウト、http プロキシおよび https プロキシ、NBNS サーバを、WebVPN に対して設定できるようになります。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この WebVPN モードを使用すると、WebVPN のグローバル設定値を設定できます。グループポリシー モードまたはユーザ名モードのいずれかから入って WebVPN モードを使用すると、特定のユーザポリシーまたはグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。
例
次の例では、WebVPN コマンド モードに入る方法を示します。
hostname(config)# webvpn
hostname(config-webvpn)#
webvpn (group-policy, username)
この WebVPN モードに入るには、グループポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで webvpn コマンドを使用します。WebVPN モードで入力したコマンドをすべて削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定するユーザ名またはグループポリシーに適用されます。
グループポリシーおよびユーザ名に対する webvpn コマンドにより、WebVPN を超えたファイル、MAPI プロキシ、URL および TCP アプリケーションへのアクセスが定義されます。また、ACL およびフィルタリングするトラフィックのタイプも識別されます。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードから入って WebVPN モードを使用すると、WebVPN のグローバル設定値を設定できます。
この項で説明したように、グループポリシー モードまたはユーザ名モードから入って WebVPN モードを使用すると、特定のユーザポリシーまたはグループポリシーの WebVPN コンフィギュレーションをカスタマイズできます。
電子メール プロキシを使用するために WebVPN を設定する必要はありません。
WebVPN を使用すると、セキュリティ アプライアンスに対して Web ブラウザを使用したセキュアなリモートアクセス VPN トンネルを確立できます。ソフトウェア クライアントもハードウェア クライアントも必要ありません。WebVPN は、インターネット上のほとんどすべてのコンピュータから、広範囲の Web リソースおよび Web 対応アプリケーションに簡単にアクセスできる機能を提供します。WebVPN は SSL およびその後継である TLS1 を使用して、リモート ユーザとホスト側で設定した特定のサポートされる内部リソースとの間でセキュアな接続を提供します。セキュリティ アプライアンスはプロキシする必要がある接続を認識し、HTTP サーバは認証サブシステムと対話してユーザを認証します。
例
次の例では、FirstGroup という名前のグループポリシーに対して WebVPN モードに入る方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# webvpn
hostname(config-webvpn)#
関連コマンド
|
|
|
|---|---|
ファイル アクセスとファイル ブラウジング、MAPI プロキシ、および WebVPN を超える URL エントリを設定します。 |
|
WebVPN セッションに対してフィルタリングする Java、ActiveX、イメージ、スクリプト、およびクッキーを指定します。 |
|
who
セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。
シンタックスの説明
(オプション)リストを 1 つの内部 IP アドレスまたはネットワーク アドレス(IPv4 または IPv6)に制限するために指定します。 |
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
who コマンドを使用すると、現在セキュリティ アプライアンスにログインしている各 Telnet クライアントの TTY_ID および IP アドレスを表示できます。
例
次の例では、クライアントが Telnet セッションを通してセキュリティ アプライアンスにログインした場合の who コマンドの出力を示します。
関連コマンド
|
|
|
|---|---|
window-variation
さまざまなウィンドウ サイズの接続をドロップするには、tcp マップ コンフィギュレーション モードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
window variation { allow-connection | drop-connection }
no window variation { allow-connection | drop-connection }
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャとともに使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。
tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで window-variation コマンドを使用して、縮小されたウィンドウ サイズの接続をすべてドロップします。
ウィンドウ サイズ メカニズムを使用すると、TCP は大きなウィンドウをアドバタイズした後、多すぎるデータを受信することなく、小さなウィンドウにアドバタイズできます。TCP の仕様では、「ウィンドウの縮小」は推奨されていません。この状態が検出されると、接続をドロップできます。
例
次の例では、さまざまなウィンドウ サイズの接続をすべてドロップする方法を示します。
関連コマンド
|
|
|
|---|---|
policy-map コマンド、class コマンド、および description コマンド シンタックスのヘルプを表示します。 |
|
wins-server
プライマリおよびセカンダリ WINS サーバの IP アドレスを設定するには、グループポリシー コンフィギュレーション モードで wins-server コマンドを使用します。このアトリビュートを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、WINS サーバを別のグループポリシーから継承できます。サーバを継承しないようにするには、 wins-server none コマンドを使用します。
wins-server value { ip_address } [ ip_address ] | none
シンタックスの説明
WINS サーバにヌル値を設定して、WINS サーバを許可しないようにします。デフォルトのグループポリシーまたは指定されているグループポリシーから値を継承しないようにします。 |
|
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
wins-server コマンドを発行するたびに、既存の設定を上書きします。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番目のコマンドが最初のコマンドを上書きします。したがって、y.y.y.y は唯一の WINS サーバになります。サーバを複数設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときにすべての WINS サーバの IP アドレスを含めます。
例
次の例では、FirstGroup という名前のグループポリシーに対して IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 で WINS サーバを設定する方法を示します。
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45
write erase
スタートアップ コンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションはそのまま残ります。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ コンテキスト内ではサポートされません。コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドにより識別されます。コンテキスト コンフィギュレーションを削除する場合は、リモート サーバ(指定されている場合)からファイルを手作業で削除するか、システム実行スペースで delete コマンドを使用してフラッシュ メモリからファイルを消去します。
例
次の例では、スタートアップ コンフィギュレーションを消去します。
関連コマンド
|
|
|
|---|---|
write memory
スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存するには、特権 EXEC モードで write memory コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。変更をスタートアップ コンフィギュレーションに保存する場合は、リブートの間だけ保存されます。これは起動時に実行中のメモリにロードされるコンフィギュレーションです。シングル コンテキスト モード、およびマルチ コンテキスト モードのシステムに対するスタートアップ コンフィギュレーションの場所は、デフォルトの場所(隠しファイル)から boot config コマンドを使用して選択した場所に変更できます。マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定した場所にあります。
マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションのみ保存されます。1 回のコマンドですべてのコンテキストを保存することはできません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。コンテキストのスタートアップ コンフィギュレーションは外部サーバ上に配置できます。この場合、セキュリティ アプライアンスは、コンフィギュレーションをサーバに戻して保存することができない HTTP および HTTPS URL を除き、 config-url コマンドで指定したサーバにコンフィギュレーションを戻して保存します。システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドも管理コンテキスト インターフェイスを使用します。ただし、 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。
write memory コマンドは、 copy running-config startup-config コマンドと同じです。
例
次の例では、スタートアップ コンフィギュレーションに実行コンフィギュレーションを保存します。
関連コマンド
|
|
|
|---|---|
write net
TFTP サーバに実行コンフィギュレーションを保存するには、特権 EXEC モードで write net コマンドを使用します。
write net [ server : [ filename ] | : filename ]
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションは、メモリ内で現在実行されているコンフィギュレーションです。コマンドラインで行った変更がすべて含まれています。
マルチ コンテキスト モードでこのコマンドを実行すると、現在のコンフィギュレーションのみ保存されます。1 回のコマンドですべてのコンテキストを保存することはできません。システムおよび各コンテキストについて、このコマンドを個別に入力する必要があります。 write net コマンドは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。ただし、システムは管理コンテキスト インターフェイスを使用して、コンテキストのスタートアップ コンフィギュレーションにアクセスするため、 write memory コマンドは管理コンテキスト インターフェイスを使用して、スタートアップ コンフィギュレーションに保存します。
例
次の例では、 tftp-server コマンドに TFTP サーバとファイル名を設定しています。
次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドは入力されません。
次の例では、 write net コマンドにサーバとファイル名を設定しています。 tftp-server コマンドはディレクトリ名を示し、サーバ アドレスは上書きされます。
関連コマンド
|
|
|
|---|---|
write standby
フェールオーバー スタンバイ装置にセキュリティ アプライアンスまたはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Standby フェールオーバーの場合、 write standby コマンドは、アクティブなフェールオーバー装置の RAM に保存されているコンフィギュレーションを、スタンバイ装置の RAM に書き込みます。プライマリ装置とセカンダリ装置のコンフィギュレーションの情報が異なる場合は、 write standby コマンドを使用します。このコマンドをアクティブ装置に入力します。
Active/Active フェールオーバーの場合、 write standby コマンドは次のように動作します。
• システム実行スペースで write standby コマンドを入力すると、システム コンフィギュレーションおよびセキュリティ アプライアンス上のセキュリティ コンテキストのすべてのコンフィギュレーションはピア装置に書き込まれます。これは、スタンバイ状態にあるセキュリティ コンテキストのコンフィギュレーション情報を含みます。アクティブ状態のフェールオーバー グループ 1 を持つ装置のシステム実行スペースに、このコマンドを入力する必要があります。
• セキュリティ コンテキストに write standby コマンドを入力する場合、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストに、このコマンドを入力する必要があります。
(注) write standby コマンドはコンフィギュレーションをピア装置の実行コンフィギュレーションに複製します。コンフィギュレーションはスタートアップ コンフィギュレーションには保存されません。コンフィギュレーションの変更をスタートアップ コンフィギュレーションに保存するには、write standby コマンドを入力したのと同じ装置で copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製され、コンフィギュレーションはスタートアップ コンフィギュレーションに保存されます。
例
次の例では、現在の実行コンフィギュレーションをスタンバイ装置に書き込みます。
関連コマンド
|
|
|
|---|---|
write terminal
端末に実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。
シンタックスの説明
デフォルト
コマンドのモード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、端末に実行コンフィギュレーションを書き込みます。
関連コマンド
|
|
|
|---|---|
フィードバック