Cisco ASA シ リ ーズ コ マン ド リ フ ァ レ ンス、 T ~ Z コ マン ド および ASASM 用 IOS コ マン ド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月20日
章のタイトル: wccp コマンド~ zone-member コマンド
- wccp
- wccp redirect
- web-agent-url(廃止)
- web-applications
- web-bookmarks
- webvpn(グローバル)
- webvpn(グループポリシー属性、ユーザ名属性)
- whitelist
- who
- window-variation
- wins-server
- without-csd
- write erase
- write memory
- write net
- write standby
- write terminal
- xlate block-allocation
- xlate per-session
- zone
- zonelabs-integrity fail-close
- zonelabs-integrity fail-open
- zonelabs-integrity fail-timeout
- zonelabs-integrity interface
- zonelabs-integrity port
- zonelabs-integrity server-address
- zonelabs-integrity ssl-certificate-port
- zonelabs-integrity ssl-client-authentication
- zone-member
wccp コマンド~ zone-member コマンド
wccp
容量を割り当て、サービス グループに参加できるように、指定した Web Cache Communication Protocol(WCCP)サービスのサポートをイネーブルにするには、グローバル コンフィギュレーション モードで wccp コマンドを使用します。サービス グループをディセーブルにし、容量の割り当てを解除するには、このコマンドの no 形式を使用します。
wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password ]
no wccp {web-cache | service-number } [redirect-list access-list ] [group-list access-list ] [ password password [0 | 7]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、サービス グループに参加できるように WCCP をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
wccp redirect
Web Cache Communication Protocol(WCCP)を使用したインターフェイスの入口でのパケット リダイレクションをイネーブルにするには、 wccp redirect コマンドを使用します。WCCP リダイレクションをディセーブルにするには、このコマンドの no 形式を使用します。
wccp interface interface_name service redirect in
no wccp interface interface_name service redirect in
構文の説明
サービス グループを指定します。 web-cache キーワードを指定するか、サービスの識別番号(0 ~ 99)を指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、Web キャッシュ サービスの内部インターフェイスでの WCCP リダイレクションをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
web-agent-url(廃止)
(注
) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
ASA が SiteMinder-type SSO 認証を要求する SSO サーバの URL を指定するには、config-webvpn-sso-siteminder モードで web-agent-url コマンドを使用します。
SSO サーバの認証 URL を削除するには、このコマンドの no 形式を使用します。
(注) このコマンドは、SiteMinder-type SSO 認証に必要です。
構文の説明
構文の説明構文の説明
SiteMinder-type SSO サーバの認証 URL を指定します。http: // または https: // を含める必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。SSO サーバには、認証要求を処理する URL があります。
このコマンドは、SiteMinder-type の SSO サーバにのみ適用されます。
この URL に認証を送信するように ASA を設定するには、 web-agent-url コマンドを使用します。認証 URL を設定する前に、 sso-server コマンドを使用して SSO サーバを作成する必要があります。
セキュリティ アプライアンスと SSO サーバ間で https 通信を行うには、SSL 暗号化設定が両側で一致することを確認します。セキュリティ アプライアンスでは、これを ssl encryption コマンドで確認します。
例
次に、config-webvpn-sso-siteminder モードで認証 URL として http://www.example.com/webvpn を指定する例を示します。
関連コマンド
|
|
|
|---|---|
web-applications
認証された WebVPN ユーザに表示される WebVPN ホームページの [Web Application] ボックスをカスタマイズするには、webvpn カスタマイゼーション モードで web-applications コマンドを使用します。
web-applications { title | message | dropdown } { text | style } value
[ no ] web-applications { title | message | dropdown } { text | style } value
コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのタイトルのテキストは「Web Application」です。
デフォルトのタイトルのスタイルは background-color:#99CCCC;color:black;font-weight:bold;text-transform uppercase です。
デフォルトのメッセージのテキストは「Enter Web Address (URL)」です。
デフォルトのメッセージのスタイルは background-color:#99CCCC;color:maroon;font-size:smaller です。
デフォルトのドロップダウンのテキストは「Web Bookmarks」です。
デフォルトのドロップダウンのスタイルは border:1px solid black;font-weight:bold;color:black;font-size:80% です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、タイトルを「Applications」に変更し、テキストの色を青に変更する例を示します。
関連コマンド
|
|
|
web-bookmarks
認証された WebVPN ユーザに表示される WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズするには、webvpn カスタマイゼーション モードで web-bookmarks コマンドを使用します。
web-bookmarks { link {style value } | title {style value | text value }}
[ no ] web-bookmarks { link {style value } | title {style value | text value }}
コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
構文の説明
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルト
デフォルトのリンクのスタイルは color:#669999;border-bottom: 1px solid #669999;text-decoration:none です。
デフォルトのタイトルのスタイルは color:#669999;background-color:#99CCCC;font-weight:bold です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、[Web Bookmarks] のタイトルを「Corporate Web Bookmarks」にカスタマイズする例を示します。
関連コマンド
|
|
|
webvpn(グローバル)
webvpn モードを開始するには、グローバル コンフィギュレーション モードで webvpn コマンドを入力します。このコマンドで入力したコマンドを削除するには、 no webvpn コマンドを使用します。これらの webvpn コマンドは、すべての WebVPN ユーザに適用されます。
これらの webvpn コマンドを使用して、AAA サーバ、デフォルト グループ ポリシー、デフォルト アイドル タイムアウト、http プロキシと https プロキシ、WebVPN 用の NBNS サーバ、およびエンド ユーザに表示される WebVPN 画面の外観を設定できます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この WebVPN モードでは、WebVPN のグローバル設定を指定できます。グローバル ポリシー モードまたはユーザ名モードから WebVPN モードを開始した場合は、特定のユーザまたはグループ ポリシーの WebVPN コンフィギュレーションをカスタマイズできます。ASA クライアントレス SSL VPN 設定は、それぞれ 1 つの http-proxy コマンドと 1 つの https-proxy コマンドのみサポートしています。
(注) WebVPN が機能するためには、ブラウザ キャッシングをイネーブルにする必要があります。
例
次に、WebVPN コマンド モードを開始する例を示します。
ciscoasa(config)# webvpn
ciscoasa(config-webvpn)#
webvpn(グループポリシー属性、ユーザ名属性)
この webvpn モードを開始するには、グループポリシー属性コンフィギュレーション モードまたはユーザ名属性コンフィギュレーション モードで webvpn コマンドを使用します。webvpn モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。これらの webvpn コマンドは、設定元のユーザ名またはグループ ポリシーに適用されます。
グループ ポリシーおよびユーザ名に対する webvpn コマンドでは、ファイルへのアクセス、MAPI プロキシ、URL、および WebVPN を介した TCP アプリケーションを定義できます。ACL およびフィルタリングするトラフィックのタイプも指定します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グローバル コンフィギュレーション モードから webvpn モードを開始した場合は、WebVPN のグローバル設定を指定できます。グループ ポリシー属性コンフィギュレーション モードまたはユーザ名属性コンフィギュレーション モードで webvpn コマンドを使用すると、webvpn コマンドで指定された設定が親コマンドで指定されたグループまたはユーザに適用されます。つまり、ここで説明したグローバル ポリシー モードまたはユーザ名モードから開始した webvpn モードでは、特定のユーザまたはグループ ポリシーの WebVPN コンフィギュレーションをカスタマイズできます。
グループ ポリシー属性モードで特定のグループ ポリシーに対して適用した WebVPN 属性は、デフォルト グループ ポリシーで指定された WebVPN 属性を上書きします。ユーザ名属性モードで特定のユーザに対して適用した WebVPN 属性は、デフォルト グループ ポリシー内およびそのユーザが属しているグループ ポリシー内の WebVPN 属性を上書きします。基本的に、これらのコマンドを使用すると、デフォルト グループまたは指定したグループ ポリシーから継承される設定を調整できます。WebVPN 設定の詳細については、グローバル コンフィギュレーション モードの webvpn コマンドに関する説明を参照してください。
次の表に、webvpn グループ ポリシー属性モードおよびユーザ名属性モードで設定できる属性を示します。詳細については、個々のコマンドの説明を参照してください。
例
次に、「FirstGroup」という名前のグループ ポリシーの webvpn モードを開始する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
ciscoasa(config-webvpn)#
次に、「test」というユーザ名の webvpn モードを開始する例を示します。
ciscoasa(config)# group-policy test attributes
ciscoasa(config-username)# webvpn
ciscoasa(config-webvpn)#
関連コマンド
設定グループ ポリシー モードを開始します。このモードでは、指定したグループ ポリシーへの属性と値の設定、または webvpn モードでのグループの webvpn 属性の設定ができます。 |
|
設定グループ webvpn モードを開始します。このモードで、指定したグループに対する WebVPN 属性を設定できます。 |
whitelist
クラウド Web セキュリティのために、トラフィックのクラスでホワイトリスト アクションを実行するには、クラス コンフィギュレーション モードで whitelist コマンドを使用します。クラス コンフィギュレーション モードにアクセスするには、まず policy-map type inspect scansafe コマンドを入力し、次に parameters コマンドを入力します。ホワイトリスティングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
class-map type inspect scansafe コマンドを使用して、ホワイトリストに記載するトラフィックを識別します。 policy-map type inspect scansafe コマンドでインスペクション クラス マップを使用し、クラスのホワイトリスト アクションを指定します。 inspect scansafe コマンドでインスペクション ポリシー マップを呼び出します。
例
次に、HTTP および HTTPS インスペクション ポリシー マップの同じユーザおよびグループをホワイトリストに記載する例を示します。
関連コマンド
who
ASA 上のアクティブな Telnet 管理セッションを表示するには、特権 EXEC モードで who コマンドを使用します。
構文の説明
(任意)リストを 1 つの内部 IP アドレスまたはネットワーク アドレス(IPv4 または IPv6)に制限することを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
who コマンドを使用すると、現在 ASA にログインしている各 Telnet クライアントの TTY_ID と IP アドレスを表示できます。
例
次に、クライアントが Telnet セッションを使用して ASA にログインしている場合の who コマンドの出力例を示します。
関連コマンド
|
|
|
|---|---|
window-variation
さまざまなウィンドウ サイズの接続をドロップするには、tcp マップ コンフィギュレーション モードで window-variation コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
window variation { allow-connection | drop-connection }
no window variation { allow-connection | drop-connection }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで window-variation コマンドを使用して、ウィンドウ サイズが縮小されたすべての接続をドロップします。
ウィンドウ サイズ メカニズムによって、TCP は大きなウィンドウをアドバタイズでき、続いて、過剰な量のデータを受け入れずに、はるかに小さなウィンドウをアドバタイズできます。TCP 仕様により、「ウィンドウの縮小」は極力避けることが推奨されています。この条件が検出された場合に、接続をドロップできます。
例
次に、さまざまなウィンドウ サイズの接続をすべてドロップする例を示します。
関連コマンド
|
|
|
|---|---|
wins-server
プライマリおよびセカンダリ WINS サーバの IP アドレスを設定するには、グループ ポリシー コンフィギュレーション モードで wins-server コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから WINS サーバを継承できます。サーバが継承されないようにするには、 wins-server none コマンドを使用します。
wins-server value { ip_address } [ ip_address ] | none
構文の説明
WINS サーバをヌル値に設定して、WINS サーバを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
wins-server コマンドを発行するたびに、既存の設定が上書きされます。たとえば、WINS サーバ x.x.x.x を設定してから WINS サーバ y.y.y.y を設定すると、2 番めのコマンドによって最初の設定が上書きされ、y.y.y.y が唯一の WINS サーバになります。複数のサーバを設定する場合も同様です。設定済みのサーバを上書きするのではなく、WINS サーバを追加するには、このコマンドを入力するときに、すべての WINS サーバの IP アドレスを含めます。
例
次に、FirstGroup という名前のグループ ポリシーに IP アドレスが 10.10.10.15、10.10.10.30、および 10.10.10.45 の WINS サーバを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# wins-server value 10.10.10.15 10.10.10.30 10.10.10.45
without-csd
特定のユーザがグループ URL テーブル内のいずれかのエントリを入力して VPN セッションを確立する場合に、そのユーザに対して接続ごとのプロファイルに基づく Cisco Secure Desktop の Hostscan アプリケーションの実行を免除するには、トンネル webvpn コンフィギュレーション モードで without-csd コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、ユーザがこの接続プロファイル(CLI ではトンネル グループと呼ばれます)に設定された URL グループ リスト内の URL を入力した場合に、Cisco Secure Desktop の Hostscan アプリケーションがエンドポイントで実行されません。このコマンドを入力すると、これらのセッションのエンドポイント状態が検出されないため、ダイナミック アクセス ポリシー(DAP)コンフィギュレーションを調整する必要があります。
例
次の例では、最初のコマンドでグループ URL を作成しています。「example.com」が ASA のドメイン、「no-csd」が URL の一意の部分です。ユーザがこの URL を入力すると、ASA は、この接続プロファイルをセッションに割り当てます。 group-url コマンドは、 without-csd コマンドを有効にするために必要です。 without-csd コマンドは、ユーザに対して Cisco Secure Desktop の実行を免除します。
関連コマンド
|
|
|
without-csd コマンドが含まれていないすべての接続プロファイルに対して Cisco Secure Desktop をイネーブルにします。 |
|
コマンドで指定された Cisco Secure Desktop イメージを、パスで指定されたフラッシュ ドライブから実行コンフィギュレーションにコピーします。 |
|
write erase
スタートアップ コンフィギュレーションを消去するには、特権 EXEC モードで write erase コマンドを使用します。実行コンフィギュレーションはそのまま残ります。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、セキュリティ コンテキスト内ではサポートされません。コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定します。コンテキスト コンフィギュレーションを削除する場合は、ファイルをリモート サーバ(指定されている場合)から手動で削除するか、またはシステム実行スペースで delete コマンドを使用してファイルをフラッシュ メモリからクリアできます。
ASAv の場合、このコマンドは リロード 後に導入設定(初期の仮想導入設定)を復元します。コンフィギュレーションを完全に消去するには、 clear configure all コマンドを使用します。導入設定を消去し、ASA アプライアンスの場合と同じ工場出荷時のデフォルト設定を適用するには、 configure factory-default を参照してください。
(注) ASAv は現在実行されているイメージをブートするため、元のブート イメージには戻りません。
リロード前にコンフィギュレーションを保存しないでください。
フェールオーバー ペアの ASAv の場合は、最初にスタンバイ ユニットの電源をオフにします。スタンバイ ユニットがアクティブになることを防ぐために、電源をオフにする必要があります。電源を入れたままにした場合、アクティブ装置の設定を消去すると、スタンバイ装置がアクティブになります。以前のアクティブ ユニットをリロードし、フェールオーバー リンクを介して再接続すると、古い設定は新しいアクティブ ユニットから同期し、必要な導入コンフィギュレーションが消去されます。アクティブ ユニットのリロード後、スタンバイ ユニットの電源をオンにすることができます。その後、導入コンフィギュレーションはスタンバイ ユニットに同期します。
例
次に、スタートアップ コンフィギュレーションを消去する例を示します。
関連コマンド
|
|
|
|---|---|
write memory
実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存するには、特権 EXEC モードで write memory コマンドを使用します。
write memory [ all [ /noconfirm ]]
構文の説明
マルチ コンテキスト モードのシステム実行スペースでこのキーワードを使用すると、すべてのコンテキスト コンフィギュレーションおよびシステム コンフィギュレーションが保存されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションとは、コマンドラインで行ったすべての変更内容を含む、メモリ内にある現在実行中のコンフィギュレーションです。変更内容は、起動時に実行メモリにロードされるスタートアップ コンフィギュレーションに保存した場合、次のリブートまでの間のみ保持されます。シングル コンテキスト モードまたはマルチ コンテキスト モードにおけるシステムのスタートアップ コンフィギュレーションの場所は、 boot config コマンドを使用して、デフォルトの場所(隠しファイル)から選択した場所に変更できます。マルチ コンテキスト モードの場合、コンテキストのスタートアップ コンフィギュレーションは、システム コンフィギュレーションの config-url コマンドで指定された場所にあります。
マルチ コンテキスト モードでは、各コンテキストで write memory コマンドを入力して、現在のコンテキスト コンフィギュレーションを保存できます。すべてのコンテキスト コンフィギュレーションを保存するには、システム実行スペースで write memory all コマンドを入力します。コンテキストのスタートアップ コンフィギュレーションは、外部サーバに配置できます。この場合、ASA は、コンフィギュレーションをサーバに戻して保存できない HTTP および HTTPS の URL を除き、 config-url コマンドで指定されたサーバにコンフィギュレーションを戻して保存します。ASA が write memory all コマンドを使用して各コンテキストを保存した後、次のメッセージが表示されます。
エラーのためにコンテキストが保存されない場合もあります。エラーについては、次の情報を参照してください。
コンテキストがロックされるのは、別のユーザがすでにコンフィギュレーションを保存している場合、またはコンテキストを削除している場合のみです。
- スタートアップ コンフィギュレーションが読み取り専用であるために(たとえば、HTTP サーバで)コンテキストが保存されない場合は、他のすべてのメッセージの最後に次のメッセージ レポートが出力されます。
システムでは、コンテキストのスタートアップ コンフィギュレーションにアクセスするために管理コンテキスト インターフェイスが使用されるため、 write memory コマンドでも管理コンテキスト インターフェイスを使用します。ただし、 write net コマンドでは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。
write memory コマンドは、 copy running-config startup-config コマンドと同じです。
例
次に、実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存する例を示します。
関連コマンド
|
|
|
|---|---|
write net
実行コンフィギュレーションを TFTP サーバに保存するには、特権 EXEC モードで write net コマンドを使用します。
write net [ server : [ filename ] | : filename ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行コンフィギュレーションとは、コマンドラインで行ったすべての変更内容を含む、メモリ内にある現在実行中のコンフィギュレーションです。
マルチ コンテキスト モードの場合、このコマンドは現在のコンフィギュレーションを保存します。1 つのコマンドですべてのコンテキストを保存することはできません。このコマンドを、システムおよび各コンテキストに対して個別に入力する必要があります。 write net コマンドでは、コンテキスト インターフェイスを使用してコンフィギュレーションを TFTP サーバに書き込みます。ただし、 write memory コマンドでは、管理コンテキスト インターフェイスを使用してスタートアップ コンフィギュレーションに保存します。これは、システムで、コンテキストのスタートアップ コンフィギュレーションにアクセスするために管理コンテキスト インターフェイスが使用されるからです。
例
次に、 tftp-server コマンドで TFTP サーバおよびファイル名を設定する例を示します。
次に、 write net コマンドにサーバとファイル名を設定する例を示します。 tftp-server コマンドは入力されていません。
次に、 write net コマンドにサーバとファイル名を設定する例を示します。 tftp-server コマンドでディレクトリ名が設定され、サーバ アドレスは上書きされます。
関連コマンド
|
|
|
|---|---|
write standby
フェールオーバー スタンバイ装置に ASA またはコンテキストの実行コンフィギュレーションをコピーするには、特権 EXEC モードで write standby コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、コンフィギュレーションのスタンバイ ユニットまたはスタンバイ フェールオーバー グループと、アクティブなユニットまたはフェールオーバー グループのコンフィギュレーションとの同期が失われた場合にのみ、使用します。通常、この状態は、コマンドがスタンバイ ユニットまたはスタンバイ フェールオーバー グループで直接入力された場合に発生します。
アクティブ/スタンバイ フェールオーバーの場合、アクティブ ユニットで入力された write standby コマンドは、スタンバイ ユニットの実行コンフィギュレーションにアクティブ フェールオーバー ユニットの実行コンフィギュレーションを書き込みます。
アクティブ/アクティブ フェールオーバーの場合、 write standby コマンドは次のように動作します。
- システム実行スペースで write standby コマンドを入力した場合は、ASA 上のシステム コンフィギュレーションおよびすべてのセキュリティ コンテキストのコンフィギュレーションがピア ユニットに書き込まれます。これには、スタンバイ状態のセキュリティ コンテキストのコンフィギュレーション情報が含まれています。このコマンドの入力は、フェールオーバー グループ 1 がアクティブ状態の装置上のシステム実行スペースで行う必要があります。
- セキュリティ コンテキストで write standby コマンドを入力すると、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。このコマンドの入力は、セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストで行う必要があります。
write standby コマンドは、コンフィギュレーションをピア ユニットの実行コンフィギュレーションに複製します。コンフィギュレーションは、スタートアップ コンフィギュレーションに保存されません。コンフィギュレーションの変更をスタートアップ コンフィギュレーションに保存するには、 write standby コマンドを入力したユニットで copy running-config startup-config コマンドを使用します。コマンドはピア ユニットに複製され、コンフィギュレーションはスタートアップ コンフィギュレーションに保存されます。
ステートフル フェールオーバーがイネーブルの場合、 write standby コマンドは、コンフィギュレーションのレプリケーションが完了した後、状態情報もスタンバイ ユニットに複製します。マルチ コンテキスト モードでは、ステート情報を複製するには、コンテキスト内で write standby を入力して状態情報を複製します。
(注) write standby コマンドを入力した後、設定が再同期されるまでの間、フェールオーバー インターフェイスが一時的に停止します。また、これにより、フェールオーバー状態のインターフェイスの検出に一時的な障害が発生します。
例
次に、現在の実行コンフィギュレーションをスタンバイ ユニットに書き込む例を示します。
関連コマンド
|
|
|
|---|---|
write terminal
端末で実行コンフィギュレーションを表示するには、特権 EXEC モードで write terminal コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、実行コンフィギュレーションを端末に書き込む例を示します。
関連コマンド
|
|
|
|---|---|
xlate block-allocation
キャリアグレードまたは大規模な PAT 向けにポート ブロック割り当ての特性を設定するには、グローバル コンフィギュレーション モードで xlate block-allocation コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
xlate block-allocation { size value | maximum-per-host number | pba-interim-logging seconds }
no xlate block-allocation { size value | maximum-per-host number | pba-interim-logging seconds }
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。ポートのブロックを割り当てると、ホストからのその後の接続では、ブロック内のランダムに選択される新しいポートが使用されます。必要に応じて、ホストが元のブロック内のすべてのポートに関してアクティブな接続を持つ場合は追加のブロックが割り当てられます。ブロックのポートを使用する最後の xlate が削除されると、ブロックが解放されます。
ポート ブロックは、1024 ~ 65535 の範囲でのみ割り当てられます。そのため、小さいポート番号(1 ~ 1023)がアプリケーションに必要な場合、これは機能しません。たとえば、ポート 22(SSH)を要求するアプリケーションは、1024 ~ 65535 の範囲内およびホストに割り当てられたブロック内でマップされるポートを取得します。
xlate block-allocation コマンドは、これらのポート ブロックの特性を設定します。PAT プールの使用時に PAT ルールに従って ポート ブロック割り当てを有効にするには、 nat コマンドで block-allocation キーワードを使用します。
例
次に、ポート ブロック割り当て特性の変更例と、オブジェクト NAT ルールで PAT プール用にポート ブロック割り当てを実装する例を示します。
関連コマンド
|
|
|
|---|---|
xlate per-session
Multi-Session PAT を使用するには、グローバル コンフィギュレーション モードで xlate per-session コマンドを使用します。Multi-Session PAT ルールを削除するには、このコマンドの no 形式を使用します。
xlate per-session { permit | deny } { tcp | udp } source_ip [ operator src_port ] destination_ip operator dest_port
no xlate per-session { permit | deny } { tcp | udp } source_ip [ operator src_port ] destination_ip operator dest_port
構文の説明
operator は、宛先で使用されるポート番号に一致します。使用できる演算子は、次のとおりです。 |
|
(オプション) operator は、ソースで使用されるポート番号に一致します。使用できる演算子は、次のとおりです。 |
|
コマンド デフォルト
デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。次のデフォルト ルールがインストールされています。
(注) これらのルールは削除できません。これらのルールは常に、手動作成されたルールの後に存在します。ルールは順番に評価されるので、デフォルト ルールを無効にすることができます。たとえば、これらのルールを完全に反転させるには、次の拒否ルールを追加します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Per-session PAT 機能によって PAT の拡張性が向上し、クラスタリングの場合に各メンバー ユニットに独自の PAT 接続を使用できるようになります。Multi-Session PAT 接続は、マスター ユニットに転送してマスター ユニットを所有者とする必要があります。Per-Session PAT セッションの終了時に、ASA からリセットが送信され、即座に xlate が削除されます。このリセットによって、エンド ノードは即座に接続を解放し、TIME_WAIT 状態を回避します。対照的に、Multi-Session PAT では、PAT タイムアウトが使用されます(デフォルトでは 30 秒)。「ヒットエンドラン」トラフィック、たとえば HTTP や HTTPS の場合は、Per-session 機能によって、1 アドレスでサポートされる接続率が大幅に増加することがあります。Per-session 機能を使用しない場合は、特定の IP プロトコルに対する 1 アドレスの最大接続率は約 2000/秒です。Per-session 機能を使用する場合は、特定の IP プロトコルに対する 1 アドレスの接続率は 65535/平均ライフタイムです。
デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。H.323、SIP、Skinny など、Multi-Session PAT による利点があるトラフィックの場合、Per-Session PAT 拒否ルールを作成して、Per-Session PAT をディセーブルにできます。
Per-Session PAT ルールを追加する場合、ルールはデフォルト ルールの上位に配置されますが、他の手動で作成されたルールの下位に配置されます。ルールは必ず、適用する順序で作成してください。
例
次の例では、H.323 トラフィックのための拒否ルールを作成します。このトラフィックには Multi-Session PAT が使用されるようにするためです。
関連コマンド
|
|
|
|---|---|
zone
トラフィック ゾーンを追加するには、グローバル コンフィギュレーション モードで zone コマンドを使用します。ゾーンを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
1 つの トラフィック ゾーン に複数のインターフェイスを割り当てることができます。これにより、ゾーン内の任意のインターフェイスで、既存のフローのトラフィックが ASA に出入りできるようになります。この機能により、ASA 上での Equal-Cost Multi-Path(ECMP)ルーティング、および ASA へのトラフィックの複数のインターフェイスにわたる外部ロード バランシングが可能になります。
ゾーンを使用すると、トラフィックはゾーン内のすべてのインターフェイスで出入りを許可されますが、セキュリティ ポリシー自体(アクセス ルール、NAT など)は、ゾーン単位ではなく、インターフェイス単位で適用されます。ゾーン内のすべてのインターフェイスに同じセキュリティ ポリシーを設定すると、そのトラフィックの ECMP およびロード バランシングを適切に実装できます。
例
次の例では、4 つのメンバー インターフェイスを含む外部ゾーンを設定します。
関連コマンド
|
|
|
|---|---|
zonelabs-integrity fail-close
ASA と Zone Labs Integrity ファイアウォール サーバとの間の接続で障害が発生したときに VPN クライアントへの接続が閉じるように ASA を設定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-close コマンドを使用します。Zone Labs 接続で障害が発生しても VPN 接続を開いたままにするデフォルト設定に戻すには、このコマンドの no 形式を使用します。
no zonelabs-integrity fail-close
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバが ASA に応答しない場合も、ASA はプライベート ネットワークとの VPN クライアントの接続を確立します。既存の開いている接続も維持されます。これにより、企業 VPN はファイアウォール サーバで障害が発生しても中断されません。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。
Zone Labs Integrity ファイアウォール サーバへの接続で障害が発生しても ASA によってクライアント VPN 接続が維持されるデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドを使用します。
例
次に、Zone Labs Integrity ファイアウォール サーバが応答しない場合、または接続が中断された場合に、VPN クライアント接続を閉じるように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ASA と Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生した後も、ASA への VPN クライアント接続を開いたままにするように指定します。 |
|
応答しない Zone Labs Integrity ファイアウォール サーバを ASA が到達不能と見なすまでの秒数を指定します。 |
|
zonelabs-integrity fail-open
ASA と Zone Labs Integrity ファイアウォール サーバとの間の接続で障害が発生した後も、ASA へのリモート VPN クライアント接続を開いたままにするには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-open コマンドを使用します。Zone Labs サーバ接続で障害が発生した場合に VPN クライアントへの接続を閉じるには、このコマンドの no 形式を使用します。
no zonelabs-integrity fail-open
構文の説明
デフォルト
デフォルトでは、ASA で Zone Labs Integrity ファイアウォール サーバへの接続が確立または維持されない場合、リモート VPN 接続は開いたままになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、プライマリの Zone Labs Integrity ファイアウォール サーバが ASA に応答しない場合も、ASA はプライベート ネットワークとの VPN クライアントの接続を確立します。既存の開いている接続も維持されます。これにより、企業 VPN はファイアウォール サーバで障害が発生しても中断されません。ただし、Zone Labs Integrity ファイアウォール サーバで障害が発生した場合に、VPN 接続を運用可能な状態に維持しないようにするには、 zonelabs-integrity fail-close コマンドを使用します。Zone Labs Integrity ファイアウォール サーバへの接続で障害が発生しても ASA によってクライアント VPN 接続が維持されるデフォルト状態に戻すには、 zonelabs-integrity fail-open コマンドまたは no zonelabs-integrity fail-open コマンドを使用します。
例
次に、Zone Labs Integrity ファイアウォール サーバへの接続で障害が発生しても VPN クライアント接続を開いたままにするデフォルト状態に戻す例を示します。
関連コマンド
|
|
|
|---|---|
ASA と Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、ASA が VPN クライアント接続を閉じるように指定します。 |
|
応答しない Zone Labs Integrity ファイアウォール サーバをASA が到達不能と見なすまでの秒数を指定します。 |
zonelabs-integrity fail-timeout
ASA において、何秒経過すると応答のない Zone Labs Integrity ファイアウォール サーバを到達不能であると見なすかを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity fail-timeout コマンドを使用します。デフォルトのタイムアウト(10 秒)に戻すには、このコマンドの no 形式を引数なしで使用します。
zonelabs-integrity fail-timeout timeout
no zonelabs-integrity fail-timeout
構文の説明
ASA において、応答のない Zone Labs Integrity ファイアウォール サーバを到達不能であると見なすまでの秒数。設定可能な値の範囲は、5 ~ 20 秒です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が指定された秒数待機しても Zone Labs サーバから応答がない場合、サーバは応答不能と見なされます。VPN クライアントへの接続は、デフォルトまたは zonelabs-integrity fail-open コマンドの設定に従って開いたままになります。ただし、 zonelabs-integrity fail-close コマンドが発行されている場合は、ASA で Integrity サーバが応答不能と見なされると接続は閉じます。
例
次に、12 秒経過後にアクティブな Zone Labs Integrity サーバを到達不能と見なすように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ASA と Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生した後も、ASA への VPN クライアント接続を開いたままにするように指定します。 |
|
ASA と Zone Labs Integrity ファイアウォール サーバとの接続で障害が発生したとき、ASA が VPN クライアント接続を閉じるように指定します。 |
|
zonelabs-integrity interface
Zone Labs Integrity サーバとの通信で使用する ASA インターフェイスを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity interface コマンドを使用します。Zone Labs Integrity ファイアウォール サーバのインターフェイスをデフォルト(none)にリセットするには、このコマンドの no 形式を使用します。
zonelabs-integrity interface interface
no zonelabs-integrity interface
構文の説明
Zone Labs Integrity ファイアウォール サーバが通信する ASA インターフェイスを指定します。これは、多くの場合、 nameif コマンドで作成されたインターフェイス名です。 |
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール インターフェイスは none に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、IP アドレス範囲 10.0.0.5 ~ 10.0.0.7 を使用して 3 台の Zone Labs Integrity サーバを設定する例を示します。また、これらのコマンドでは、ポート 300 および inside というインターフェイスでサーバをリッスンするように ASA を設定しています。
関連コマンド
|
|
|
|---|---|
SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する ASA のポートを指定します。 |
|
ASA による、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。 |
zonelabs-integrity port
Zone Labs Integrity ファイアウォール サーバとの通信で使用する ASA 上のポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity port コマンドを使用します。Zone Labs Integrity ファイアウォール サーバのデフォルト ポート 5054 に戻すには、このコマンドの no 形式を使用します。
zonelabs-integrity port port_number
no zonelabs-integrity port port_number
構文の説明
Zone Labs Integrity ファイアウォール サーバのポートの番号。指定できる範囲は、10 ~ 10000 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、 zonelabs-integrity port コマンドと zonelabs-integrity interface コマンドでそれぞれ設定されたポートとインターフェイスで Zone Labs Integrity ファイアウォール サーバをリッスンします。
(注) ユーザ インターフェイスが最大 5 つの Integrity サーバのコンフィギュレーションをサポートしている場合でも、現在のリリースの ASA が一度にサポートする Integrity サーバは 1 つです。アクティブなサーバに障害が発生した場合は、ASA 上で別の Integrity サーバを設定して、クライアント VPN セッションを再確立してください。
例
次に、IP アドレス 10.0.0.5 を使用して Zone Labs Integrity サーバを設定する例を示します。また、これらのコマンドでは、デフォルト ポート 5054 ではなくポート 300 でアクティブな Zone Labs サーバをリッスンするように ASA を設定しています。
関連コマンド
|
|
|
|---|---|
SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する ASA のポートを指定します。 |
|
ASA による、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。 |
zonelabs-integrity server-address
Zone Labs Integrity ファイアウォール サーバを ASA コンフィギュレーションに追加するには、グローバル コンフィギュレーション モードで zonelabs-integrity server-address コマンドを使用します。Zone Labs サーバを IP アドレスまたはホスト名で指定します。
Zone Labs Integrity ファイアウォール サーバを実行コンフィギュレーションから削除するには、このコマンドの no 形式を引数なしで使用します。
zonelabs-integrity server-address { hostname1 | ip-address 1 }
no zonelabs-integrity server-address
(注) ユーザ インターフェイスは複数の Integrity サーバのコンフィギュレーションをサポートしているように見えますが、現在のリリースの ASA では同時に 1 台のサーバのみがサポートされます。
構文の説明
Zone Labs Integrity ファイアウォール サーバのホスト名を指定します。ホスト名のガイドラインについては、 name コマンドを参照してください。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このリリースでは、1 台の Zone Labs Integrity ファイアウォール サーバを設定できます。そのサーバで障害が発生した場合は、まず別の Integrity サーバを設定してからクライアント VPN セッションを再確立します。
サーバをホスト名で指定するには、まず name コマンドを使用して Zone Labs サーバ名を設定する必要があります。 name コマンドを使用する前に、 names コマンドを使用してコマンドをイネーブルにします。
(注) 現在のリリースのセキュリティ アプライアンスでは同時に 1 台の Integrity サーバのみがサポートされていますが、ユーザ インターフェイスでは最大 5 台の Integrity サーバの設定がサポートされています。アクティブなサーバに障害が発生した場合は、ASA 上で別の Integrity サーバを設定して、クライアント VPN セッションを再確立してください。
例
次に、IP アドレス 10.0.0.5 にサーバ名 ZL-Integrity-Svr を割り当て、その名前を使用して Zone Labs Integrity サーバを設定する例を示します。
関連コマンド
zonelabs-integrity ssl-certificate-port
SSL 証明書を取得する場合に Zone Labs Integrity ファイアウォール サーバが接続する ASA のポートを指定するには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-certificate-port コマンドを使用します。デフォルト ポート番号(80)に戻すには、このコマンドの no 形式を引数なしで使用します。
zonelabs-integrity ssl-certificate-port cert-port-number
no zonelabs-integrity ssl-certificate-port
構文の説明
SSL 証明書を要求する場合に Zone Labs Integrity ファイアウォール サーバが接続する ASA のポート番号を指定します。 |
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール サーバは SSL 証明書を ASA のポート 80 で要求します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA と Zone Labs Integrity ファイアウォール サーバとの SSL 通信では、ASA が SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバ(ASA)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。 zonelabs-integrity ssl-certificate-port コマンドで、Zone Labs サーバが SSL サーバ証明書を要求する場合に接続するポートを指定します。
例
次に、ASA のポート 30 で Zone Labs Integrity サーバから SSL 証明書要求を受信するように設定する例を示します。
関連コマンド
|
|
|
|---|---|
ASA による、Zone Labs Integrity ファイアウォール サーバ SSL 証明書の認証をイネーブルにします。 |
zonelabs-integrity ssl-client-authentication
Zone Labs Integrity ファイアウォール サーバの SSL 証明書を ASA で認証できるようにするには、グローバル コンフィギュレーション モードで zonelabs-integrity ssl-client-authentication コマンドを enable 引数を指定して使用します。Zone Labs の SSL 証明書の認証をディセーブルにするには、 disable 引数を使用するか、またはこのコマンドの no 形式を引数なしで使用します。
zonelabs-integrity ssl-client-authentication { enable | disable }
no zonelabs-integrity ssl-client-authentication
構文の説明
ASA で Zone Labs Integrity ファイアウォール サーバの SSL 証明書を認証することを指定します。 |
デフォルト
デフォルトでは、Zone Labs Integrity ファイアウォール サーバの SSL 証明書の ASA による認証はディセーブルになっています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA と Zone Labs Integrity ファイアウォール サーバとの SSL 通信では、ASA が SSL サーバであり、Zone Labs サーバは SSL クライアントです。SSL 接続を開始する場合は、SSL サーバ(ASA)の証明書がクライアント(Zone Labs サーバ)によって認証される必要があります。ただし、クライアント証明書の認証は任意です。Zone Labs サーバの(SSL クライアント)証明書の ASA による認証をイネーブルまたはディセーブルにするには、 zonelabs-integrity ssl-client-authentication コマンドを使用します。
例
次に、Zone Labs Integrity サーバの SSL 証明書を認証するように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
SSL 証明書を取得するときに、Zone Labs Integrity ファイアウォール サーバが接続する ASA のポートを指定します。 |
zone-member
トラフィック ゾーンにインターフェイス追加するには、インターフェイス コンフィギュレーション モードで zone-member コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
名前、IP アドレス、およびセキュリティ レベルを含むすべてのインターフェイス パラメータを設定します。ゾーンに最初に追加するインターフェイスによってゾーンのセキュリティ レベルが決まります。追加のインターフェイスは、すべて同じセキュリティ レベルにする必要があります。ゾーン内のインターフェイスのセキュリティ レベルを変更するには、1 つのインターフェイスを除くすべてのインターフェイスを削除してからセキュリティ レベルを変更し、インターフェイスを再度追加します。
ゾーンにインターフェイスを割り当てる場合、そのインターフェイスのすべての接続が削除されます。接続を再確立する必要があります。
ゾーンからインターフェイスを削除する場合、そのインターフェイスをプライマリ インターフェイスとしているすべての接続が削除されます。接続を再確立する必要があります。そのインターフェイスが現在のインターフェイスの場合、ASA は接続をプライマリ インターフェイスに戻します。ゾーンのルート テーブルも更新されます。
例
次の例では、4 つのメンバー インターフェイスを含む外部ゾーンを設定します。
関連コマンド
|
|
|
|---|---|
フィードバック