使用上のガイドライン

キャッシングによって頻繁に再利用されるオブジェクトはシステム キャッシュに保存され、コンテンツを繰り返しリライトしたり圧縮したりする必要性を減らすことができます。これにより、WebVPN とリモート サーバーおよびエンド ユーザーのブラウザの両方の間のトラフィックが削減されて、多くのアプリケーションの実行効率が大幅に向上します。

（注）	コンテンツ キャッシングをイネーブルにすると、一部のシステムの信頼性が低下します。コンテンツ キャッシングをイネーブルにした後、ランダムにクラッシュが発生する場合は、この機能をディセーブルにしてください。

次に、キャッシュ モードを開始する例を示します。

ciscoasa
(config)#
 webvpn
ciscoasa
(config-webvpn)#
 cache 
hostname(config-webvpn-cache)#

使用上のガイドライン

基本制約の拡張によって、証明書のサブジェクトが認証局（CA）かどうかが識別されます。この場合、証明書を使用して他の証明書に署名することができます。CA フラグは、この拡張の一部です。これらの項目が証明書に存在することは、証明書の公開キーを使用して証明書の署名を検証できることを示します。

使用上のガイドライン

キャッシュ可能なすべての静的コンテンツがアプライアンス キャッシュに保存されるようセキュリティ アプライアンスを設定すると、バックエンド SSL VPN 接続のパフォーマンスが向上します。静的コンテンツには、PDF ファイルやイメージなど、セキュリティ アプライアンスによってデータの書き換えが行われないオブジェクトが含まれています。

使用上のガイドライン

1 つ以上のゲートウェイを管理できるコール エージェントのグループを指定するには、call-agent コマンドを使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の（ゲートウェイがコマンドを送信する先以外の）コール エージェントに接続を開くために使用されます。同じ >group_id を持つコール エージェントは、同じグループに属します。1 つのコール エージェントは複数のグループに所属できます。

使用上のガイドライン

call-home コマンドを入力すると、プロンプトが hostname (cfg-call-home)# に変更され、次の Call Home コンフィギュレーション コマンドを利用できます。

• [no] alert-group {group name | all}：Smart Call Home グループをイネーブルまたはディセーブルにします。デフォルトはすべてのアラートグループがイネーブルです。group name：syslog、診断、環境、インベントリ、コンフィギュレーション、スナップショット、脅威、テレメトリ、テスト。

• [no] contact-e-mail-addr e-mail-address：カスタマーの連絡先電子メール アドレスを指定します。必須フィールドです。e-mail-address：最大 127 文字のカスタマーの電子メールアドレス。

• [no] contact-name contact name：カスタマー名を指定します。e-mail-address：最大 127 文字のカスタマー名。

• [no] contract-id contract-id-string：カスタマーの契約 ID を指定します。contract-id-string：最大 128 文字の ID 番号。スペースを使用できますが、スペースが含まれる場合はストリングの前後に引用符を付ける必要があります。

• copy profile src-profile-name dest-profile-name：既存のプロファイル（src-profile-name ）の内容を新しいプロファイル（dest-profile-name ）にコピーします。src-profile-name：最大 23 文字の既存のプロファイル名。dest-profile-name：最大 23 文字の新しいプロファイル名。

• rename profile src-profile-name dest-profile-name：既存のプロファイルの名前を変更します。src-profile-name：最大 23 文字の既存のプロファイル名。dest-profile-name：最大 23 文字の新しいプロファイル名。

• source-interface：送信元インターフェイスを指定します。

• no configuration all：Smart Call-home 設定をクリアします。[no] customer-id customer-id-string：カスタマー ID を指定します。customer-id-string：最大 64 文字のカスタマー ID。このフィールドは、XML 形式のメッセージでは必須です。

• [no] event-queue-size queue_size：イベント キュー サイズを指定します。queue-size：5 ～ 60 までのイベントの数。デフォルトは 10 です。

• [no] mail-server ip-address | name priority 1-100 all：SMTP メール サーバーを指定します。顧客は、最大 5 つのメール サーバーを指定できます。Smart Call Homeメッセージの電子メールトランスポートを使用するには、少なくとも 1 つのメールサーバーが必要です。 ip-address：メールサーバーの IPv4 または IPv6 アドレス。name：メールサーバーのホスト名。1 〜 100：メールサーバーの優先順位。値が小さいほど、プライオリティが高くなります。

• [no] phone-number phone-number-string：カスタマーの電話番号を指定します。このフィールドは任意です。phone-number-string：電話番号。

• [no] rate-limit msg-count：Smart Call Home が 1 分間に送信できるメッセージの数を指定します。msg-count：1 分間当たりのメッセージの数。デフォルトは 10 です。

• [no] sender {from e-mail-address | reply-to e-mail-address}：電子メール メッセージの from および reply-to の電子メール アドレスを指定します。このフィールドは任意です。e-mail-address：発信元または応答先の電子メールアドレス。

• [no] site-id site-id-string：カスタマー サイト ID を指定します。このフィールドは任意です。site-id-string：カスタマーの場所を識別するサイト ID。

• [no] street-address street-address：カスタマーの住所を指定します。このフィールドは任意です。street-address：最大 255 文字の自由形式の文字列。

• [no] alert-group-config environment：環境グループコンフィギュレーションモードを開始します。[no] threshold {cpu | memory} low-high：環境リソースのしきい値を指定します。low, high：有効な値は 0 〜 100 です。デフォルトは 85 ～ 90 です。

• [no] alert-group-config snapshot：スナップショット グループ コンフィギュレーション モードを開始します。system, user：CLI を sysem またはユーザーコンテキストで実行します（マルチモードでのみ使用可能）。

• [no] add-command “cli command” [{system | user}]：スナップショットでキャプチャする CLI コマンドを指定します。cli command：入力する CLI コマンド。system, user：システムまたはユーザーコンテキストで CLI を実行します（マルチモードでのみ使用可能）。システムもユーザーも指定しないと、CLI はシステム コンテキストとユーザー コンテキストの両方で実行されます。デフォルトは、ユーザー コンテキストです。

• 以下のすべての箇条書き項目は profile コマンドに移動します。

• [no] profile profile-name | no profile all：プロファイルの作成、削除、および編集を行います。プロファイル コンフィギュレーション モードを開始し、プロンプトを hostname (cfg-call-home-profile)# に変更します。profile-name：最大 20 文字のプロファイル名。

• [no] active：プロファイルをイネーブルまたはディセーブルにします。デフォルトはイネーブルです。no destination address {e-mail | http} all | [no] destination {address {e-mail | http} e-mail-address | http-url [msg-format short-text | long-text | xml] | message-size-limit max-size | preferred-msg-format short-text | long-text | xml | transport-method e-mail | http}：Smart Call Home メッセージ受信者の宛先、メッセージサイズ、メッセージ形式、および転送方法を設定します。デフォルトのメッセージ形式は XML で、デフォルトで有効になっている転送方式は e-mail です。e-mail-address：Smart Call Home レシーバの電子メールアドレス（最大 100 文字）。http-url：HTTP または HTTPS URL。max-size：最大メッセージサイズ（バイト単位）。0 は、制限がないことを意味します。デフォルトは 5 MB です。

• [no] subscribe-to-alert-group alert-group-name [severity {catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging}]：指定した重大度レベルのグループのイベントにサブスクライブします。alert-group-name：有効な値は、syslog、diagnostic、environment、または threat です。

• [no] subscribe-to-alert-group syslog [{severity {catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging} | message start [-end]}]：重大度レベルまたはメッセージ ID のある syslog にサブスクライブします。start-[end]：1 つの syslog メッセージ ID またはある範囲の syslog メッセージ ID。

  （注）	デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。したがって、debugging を使用するのは、特定の問題のトラブルシューティング時、またはシスコのテクニカルサポート担当者とともにトラブルシューティングを行う場合に限定してください。また、このコマンドは、ネットワークトラフィックやユーザーが少ない時間帯に使用してください。デバッギングをこのような時間帯に行うと、システムの使用に影響が及ぶ処理のオーバーヘッドが増加する可能性が低くなります。

• [no] subscribe-to-alert-group inventory [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]：インベントリイベントにサブスクライブします。day_of_month：1 ～ 31 までの日付。day_of_week：曜日（日曜日、月曜日、火曜日、水曜日、木曜日、金曜日、土曜日）。hh, mm ：1 日の時間と分（24 時間形式）。

• [no] subscribe-to-alert-group configuration [export full | minimum] [periodic {daily | month day_of_month | weekly day_of_week [hh：mm]]：設定イベントにサブスクライブします。full：実行コンフィギュレーション、スタートアップ コンフィギュレーション、機能リスト、アクセスリストの要素数、およびマルチモードのコンテキスト名をエクスポートするコンフィギュレーション。minimum：機能リスト、アクセスリスト内の要素数、およびマルチモードのコンテキスト名だけをエクスポートするコンフィギュレーション。day_of_month：1 ～ 31 までの日付。day_of_week：曜日（日曜日、月曜日、火曜日、水曜日、木曜日、金曜日、土曜日）。hh, mm ：1 日の時間と分（24 時間形式）。

• [no] subscribe-to-alert-group telemetry periodic {hourly | daily | monthly day_of_month | weekly day_of_week [hh:mm]：テレメトリ定期イベントをサブスクライブします。day_of_month：1 ～ 31 までの日付。day_of_week：曜日（日曜日、月曜日、火曜日、水曜日、木曜日、金曜日、土曜日）。hh, mm ：1 日の時間と分（24 時間形式）。

• [no] subscribe-to-alert-group snapshot periodic {interval minutes | hourly [mm] | daily | monthly day_of_month |weekly day_of_week [hh:mm]}：スナップショット定期イベントにサブスクライブします。minutes：分単位の間隔。day_of_month：1 ～ 31 までの日付。day_of_week：曜日（日曜日、月曜日、火曜日、水曜日、木曜日、金曜日、土曜日）。hh, mm ：1 日の時間と分（24 時間形式）。

使用上のガイドライン

このコマンドを使用すると、指定した CLI コマンドがシステム上で実行されます。指定する CLI コマンドは、引用符（""）で囲む必要があります。また、任意の run コマンドまたは show コマンド（すべてのモジュール用のコマンドを含む）を指定できます。

その後、コマンド出力は、電子メールで指定の電子メール アドレスに送信されます。電子メール アドレスを指定していない場合、コマンド出力は Cisco TAC（attach@cisco.com）に送信されます。電子メールは、件名行にサービス番号を付けて（指定した場合）ロング テキスト形式で送信されます。

使用上のガイドライン

profile profile-name を指定しない場合は、サブスクライブ対象のすべての宛先プロファイルにメッセージが送信されます。

手動で送信できるのは、コンフィギュレーション、診断、およびインベントリ アラート グループだけです。宛先プロファイルは、アラート グループにサブスクライブされる必要はありません。

使用上のガイドライン

このコマンドを使用すると、テスト メッセージが指定の宛先プロファイルに送信されます。テスト メッセージ テキストを入力する場合、テキストにスペースが含まれている場合は、このテキストを引用符（""）で囲む必要があります。メッセージを入力しない場合、デフォルト メッセージが送信されます。

（注）	call-home test コマンドは、デバイスライセンスをオンラインで管理する Smart Software Manager にのみ適用され、Smart Software Manager オンプレミス サーバーには適用されません。

使用上のガイドライン

送信される OSPF パケットの LLS データ ブロックの使用をディセーブルにすることで、NSF 認識をディセーブルにすることが必要な場合があります。また、LLS を使用するアプリケーションがルータで動作していない場合に、NSF 認識をディセーブルにすることが必要な場合があります。

NSF が設定されている状態で LLS をディセーブルにしようとすると、「OSPF Non-Stop Forwarding (NSF) must be disabled first」というエラー メッセージが表示されます。

LLS がディセーブルになっている状態で、NSF を設定しようとすると、「OSPF Link-Local Signaling (LLS) capability must be enabled first」というエラー メッセージが表示されます。

使用上のガイドライン

capability opaque コマンドは、すべての範囲（タイプ 9、10、11）の Opaque LSA を介して MPLS TE 情報（タイプ 1 および 4）をフラッディングします。

Opaque LSA サポート機能の制御は、MPLS TE をサポートするために OSPF でイネーブルにする必要があります。

MPLS TE トポロジ情報は、デフォルトで、Opaque LSA を介してエリアにフラッディングされます。

使用上のガイドライン

キャプティブ ポータルは、ASA FirePOWER モジュールで定義されたアイデンティティ ポリシーと連携して動作します。

HTTP/HTTPS 接続については、アクティブな認証を通じてユーザー ID を収集するアイデンティティ ルールを定義できます。アクティブな認証アイデンティティ ルールを実装する場合は、認証プロキシ ポートとして機能するように ASA でキャプティブ ポータルを設定する必要があります。接続がアクティブ認証を要求するアイデンティティ ルールに一致すると、ASA FirePOWER モジュールは、認証要求を ASA インターフェイスの IP アドレス/キャプティブ ポータルにリダイレクトします。デフォルト ポートは 885 ですが、これは変更可能です。

認証プロキシのキャプティブ ポータルをイネーブルにしない場合は、パッシブ認証のみを使用できます。

使用上のガイドライン

パケット キャプチャは、接続の問題のトラブルシューティングまたは不審なアクティビティのモニタリングを行うときに役立ちます。複数のキャプチャを作成できます。capture コマンドは、実行コンフィギュレーションには保存されません。また、フェールオーバー時にスタンバイユニットにコピーされません。

ASA では、通過するすべての IP トラフィックを追跡でき、すべての管理トラフィック（SSH トラフィック、Telnet トラフィックなど）を含む、着信するすべての IP トラフィックをキャプチャできます。

ASA のアーキテクチャは、パケット処理のための異なる 3 セットのプロセッサで構成されています。このアーキテクチャに起因して、キャプチャ機能の性能に一定の制限が加わります。通常は、ASA のパケット転送機能の大部分が 2 個のフロントエンド ネットワーク プロセッサで処理され、アプリケーション インスペクションが必要なパケットに限り、コントロールプレーン汎用プロセッサに送信されます。パケットがセッション管理パス ネットワーク プロセッサに送信されるのは、高速パス プロセッサで処理されないセッションがある場合だけです。

ASA によって転送またはドロップされるすべてのパケットがこの 2 つのフロントエンド ネットワーク プロセッサを通るため、パケットキャプチャ機能はこれらのネットワークプロセッサに実装されています。したがって、該当するトラフィック インターフェイス用の適切なキャプチャが設定されていれば、ASA を通過するすべてのパケットをこれらのフロントエンドプロセッサでキャプチャできます。入力側では、ASA インターフェイスに到着した時点でパケットがキャプチャされ、出力側では、ネットワークに送信される直前でパケットがキャプチャされます。

（注）	WebVPN キャプチャをイネーブルにすると、ASA のパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後、必ずキャプチャを無効化してください。

キャプチャの保存

ASA 上のすべてのアクティブなキャプチャの内容は、ボックスがクラッシュしたときに保存されます。

トラブルシューティング プロセスの一部としてキャプチャをアクティブ化する場合は、次の点に注意する必要があります。

• 使用するキャプチャ バッファのサイズ、およびフラッシュまたはディスクに十分なスペースがあるかどうか。

• キャプチャされたパケットがクラッシュ前の最新のものになるように、キャプチャ バッファはすべての使用例で円形としてマークする必要があります。

アクティブなキャプチャの内容を保存するファイルの名前は、次の形式となります。

[<context_name>.]<capture_name>.pcap

context_name は、マルチコンテキスト モードでキャプチャがアクティブになっているユーザー コンテキストの名前を示します。シングル コンテキスト モードでは、context_name は適用されません。

capture_name は、アクティブ化されたキャプチャの名前を示します。

キャプチャの保存は、コンソールまたはクラッシュ ダンプの前に行われます。これにより、33 MB のキャプチャ バッファでクラッシュのダウンタイムが約 5 秒増加します。キャプチャしたコンテンツをファイルにコピーするのは簡単なプロセスなので、ネストされたクラッシュのリスクは最小限です。

キャプチャの表示

• CLI でパケットキャプチャを表示するには、show capture name コマンドを使用します。

• キャプチャをファイルに保存するには、copy capture コマンドを使用します。

• パケットキャプチャ情報を Web ブラウザで表示するには、https://ASA-ip-address/admin/capture/capture_name[/pcap] コマンドを使用します。

  ユーザー名とパスワードの入力を求められます。ローカルデータベースにユーザー名を追加するには、username コマンドを参照してください。

  pcap キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされ、Web ブラウザを使用してこのファイルを保存できます（libcap ファイルは、TCPDUMP または Ethereal で表示できます）。

バッファの内容を TFTP サーバーに ASCII 形式でコピーする場合、パケットの詳細および 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細および 16 進ダンプを表示するには、バッファを PCAP 形式で転送し、TCPDUMP または Ethereal で読み取る必要があります。

キャプチャの停止と開始

パケットをバッファから削除することなく、パケット キャプチャを停止することができます。キャプチャ停止のステータスが表示されます。キャプチャされたパケットは、バッファ内に保持されます。

パケット キャプチャを手動で停止するには、次のコマンドを使用します。

capture name stop

パケット キャプチャを開始するには、次のコマンドを使用します。

no capture name stop

キャプチャの削除

キーワードを指定せずに no capture を入力すると、キャプチャが削除されます。キャプチャを保持するには、access-list または interface キーワードを指定します。キャプチャは指定した ACL インターフェイスから分離されて保持されます。

リアルタイム操作

リアルタイム表示の進行中には、キャプチャに関するあらゆる操作を実行できません。低速のコンソール接続で real-time キーワードを使用すると、パフォーマンスが考慮されて、多数のパケットが非表示になる場合があります。バッファの固定の制限は、1000 パケットです。バッファがいっぱいになると、カウンタはキャプチャしたパケットで維持されます。別のセッションを開く場合、no capture real-time コマンドを入力して、リアルタイム表示を無効にできます。

クラスタ

capture コマンドの前に cluster exec を指定すると、あるユニットで capture コマンドを発行し、そのコマンドを他のすべてのユニットで同時に実行できます。クラスタ全体のキャプチャを実行した後、同じキャプチャファイルをクラスタ内のすべてのユニットから同時に TFTP サーバーにコピーするには、マスターユニットで cluster exec copy コマンドを入力します。

ciscoasa# cluster exec capture 
capture_name arguments
ciscoasa# cluster exec copy
 /pcap capture
: cap_name
 tftp
://location
/path
/filename
.pcap

複数の PCAP ファイル（各ユニットから 1 つずつ）が TFTP サーバーにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、filename_A.pcap、filename_B.pcap などとなります。この例では、A と B がクラスタ ユニット名です。

トレースをクラスタ ユニットでキャプチャする場合、トレースは、バッファから手動でクリアされるまで、各クラスタ ノードに永続します。復号化された IPsec パケットは、ASA に入るとキャプチャされます。キャプチャされたパケットには、通常のトラフィックとカプセル化解除されたトラフィックの両方が含まれます。

（注）	ファイル名の末尾にユニット名を追加すると、別の宛先名が生成されます。

制限事項

次に、キャプチャ機能の制限の一部を示します。制限の大部分は、ASA のアーキテクチャが本質的に分散型であることと、ASA で使用するハードウェアアクセラレータを原因としています。

• コンテキスト内のクラスタ制御リンクでキャプチャを設定できます。この場合、そのクラスタ制御リンクで送信されるコンテキストに関連付けられているパケットだけがキャプチャされます。

• 共有 VLAN には、次のガイドラインが適用されます。

  • VLAN ごとに設定できるキャプチャは 1 つだけです。共有 VLAN の複数のコンテキストでキャプチャを設定した場合は、最後に設定したキャプチャだけが使用されます。

  • 最後に設定した（アクティブ）キャプチャを削除した場合は、別のコンテキストで事前に設定したキャプチャがあっても、アクティブになるキャプチャはありません。キャプチャをアクティブにするには、キャプチャを削除して追加し直す必要があります。

  • キャプチャを指定したインターフェイス（キャプチャ アクセス リストと一致するインターフェイス）に着信するすべてのトラフィックがキャプチャされます。これには、共有 VLAN の他のコンテキストへのトラフィックが含まれます。

  • したがって、ある VLAN のコンテキスト A でのキャプチャをイネーブルにしたときに、その VLAN がコンテキスト B でも使用される場合は、コンテキスト A とコンテキスト B の両方の入力トラフィックがキャプチャされます。

• 出力トラフィックの場合は、アクティブ キャプチャのあるコンテキストのトラフィックだけがキャプチャされます。唯一の例外は、ICMP 検査をイネーブルにしない（したがって、ICMP トラフィックのセッションが高速パスにない）場合です。この場合は、共有 VLAN のすべてのコンテキストで入力と出力の ICMP トラフィックがキャプチャされます。

• キャプチャを設定する場合、通常は、キャプチャする必要のあるトラフィックを照合するアクセス リストを設定します。トラフィック パターンを照合するアクセス リストの設定が終われば、キャプチャを定義し、キャプチャを設定するインターフェイスとともに、このアクセス リストをキャプチャに関連付ける必要があります。キャプチャは、アクセス リストおよびインターフェイスと、IPv4 トラフィックをキャプチャするためのキャプチャを関連付けた場合に限り機能することに注意してください。IPv6 トラフィックの場合、アクセス リストは不要です。

• ASA CX モジュール トラフィックの場合、キャプチャされたパケットに含まれている追加 AFBP ヘッダーを、PCAP ビューアが認識しないことがあります。このようなパケットを表示するには、適切なプラグインを使用してください。

• インライン SGT タグ付きパケットの場合、キャプチャされたパケットに含まれている追加 CMD ヘッダーを、PCAP ビューアが認識しないことがあります。

• 受信側インターフェイスがないためグローバル インターフェイスがない場合、バックプレーン上で送信されるパケットは、システム コンテキストの制御パケットとして扱われます。これらのパケットはアクセス リスト チェックをバイパスし、常にキャプチャされます。この動作は、シングル モードとマルチ コンテキスト モードの両方に適用されます。

• 特定の asp-drop をキャプチャする場合に適切な理由を表示するには、show capture コマンドを使用します。ただし、show capture コマンドは、すべての asp-drop をキャプチャする場合は適切な理由を表示しません。

使用上のガイドライン

CDP は、発行された証明書に含めることができる拡張であり、証明書の失効ステータスを検証側が取得できる場所を指定できます。一度に設定できる CDP は 1 つだけです。

（注）	CDP URL が指定された場合、管理者はその場所から現在の CRL にアクセスできるように管理する必要があります。

使用上のガイドライン

このコマンドを発行する場合、ASA は、コマンドに含まれているデータを 16 進形式の証明書として解釈します。quit ストリングは、証明書の末尾を示します。

CA は、メッセージ暗号化のためのセキュリティ クレデンシャルおよび公開キーの発行および管理を行うネットワーク内の組織です。公開キー インフラストラクチャの一部である CA は、RA と連携して、デジタル証明書の要求者から取得した情報を確認します。RA が要求者の情報を確認すると、CA から証明書が発行されます。

使用上のガイドライン

certificate-group-map コマンドが有効な状態で、WebVPN クライアントから受信した証明書がマップエントリに対応する場合、結果として得られるトンネルグループは、接続に関連付けられ、ユーザーが選択したトンネルグループを上書きします。

certificate-group-map コマンドの複数のインスタンスを使用すると、複数のマッピングが可能です。

使用上のガイドライン

この属性は、すべての IPsec トンネル グループ タイプに適用できます。

このコマンドの入力には、ルート証明書および送信内のすべての下位 CA 証明書が含まれます。

使用上のガイドライン

ユーザーがパスワードを省略すると、ASA から入力を求めるプロンプトが表示されます。ユーザーが change-password コマンドを入力すると、実行コンフィギュレーションを保存するように求められます。ユーザーが正常にパスワードを変更した後、ユーザーに設定変更を保存するように再通知するメッセージが表示されます。

使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインしている場合、コンテキスト間で切り替えを行うことができ、各コンテキスト内でコンフィギュレーションおよびタスクのモニタリングを実行できます。コンフィギュレーション モードで編集したか、あるいは copy または write コマンドで使用した「実行」コンフィギュレーションは、その時点での実行スペースによって異なります。現在の実行スペースがシステム実行スペースの場合、実行コンフィギュレーションは、システム コンフィギュレーションのみで構成されます。コンテキスト実行スペースの場合、実行コンフィギュレーションは、そのコンテキストのみで構成されます。たとえば、show running-config コマンドを入力しても、すべての実行コンフィギュレーション（システムおよびすべてのコンテキスト）を表示することはできません。現在のコンフィギュレーションだけが表示されます。

使用上のガイドライン

チャネル グループ 1 つにつき 8 個のインターフェイスをアクティブにすることができます。1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。

interface port-channel
 channel_id

リンク集約制御プロトコル（LACP）では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット（LACPDU）を交換することによって、インターフェイスが集約されます。LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ASA クラスタリング

1 つの ASA につき複数のインターフェイスを、スパンド EtherChannel に入れることができます。1 つの ASA につき複数のインターフェイスが特に役立つのは、VSS または vPC の両方のスイッチに接続するときです。ASA を VSS または vPC の 2 台のスイッチに接続する場合は、vss-load-balance キーワードを使用して VSS ロードバランシングをイネーブルにする必要があります。この機能を使用すると、ASA と VSS（または vPC）ペアとの間の物理リンク接続の負荷が確実に分散されます。ロードバランシングをイネーブルにする前に、各メンバーインターフェイスに対して channel-group コマンドの vss-id キーワードを設定する必要があります。

使用上のガイドライン

文字エンコーディングは「文字コード」や「文字セット」とも呼ばれ、raw データ（0 や 1 など）を文字と組み合わせ、データを表します。使用する文字エンコード方式は、言語によって決まります。ある言語では同じ方式を使用していても、別の言語でも同じとはかぎりません。通常、ブラウザで使用されるデフォルトのエンコーディング方式は地域によって決まりますが、ユーザーはこの方式を変更できます。ブラウザはページに指定されたエンコードを検出することもでき、そのエンコードに従ってドキュメントを表示します。character-encoding 属性を使用すると、ユーザーは、文字エンコーディング方式の値を WebVPN ポータル ページに指定し、ブラウザを使用している地域やブラウザに対して行われたあらゆる変更に関係なく、ブラウザでこのページを正しく処理できます。

character-encoding 属性は、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、ユーザーは、character-encoding 属性の値と異なる文字エンコーディングを使用する Common Internet File System（CIFS）サーバーの file-encoding 属性を上書きできます。異なる文字エンコーディングが必要な CIFS サーバーには異なるファイル エンコーディング値を使用します。

CIFS サーバーから WebVPN ユーザーにダウンロードされた WebVPN ポータル ページは、サーバーを識別する WebVPN file-encoding 属性の値を符号化します。符号化が行われなかった場合は、character-encoding 属性の値を継承します。リモート ユーザーのブラウザでは、ブラウザの文字エンコード セットのエントリにこの値がマップされ、使用する適切な文字セットが決定されます。WebVPN コンフィギュレーションで CIFS サーバー用の file-encoding エントリが指定されず、character-encoding 属性も設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。

CIFS サーバーに適切な文字エンコーディングを、広域的には webvpn character-encoding 属性によって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを正しくレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。

（注）	character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。Shift_JIS 文字エンコーディングを使用している場合、次の例に示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用して、これらの値の 1 つの設定を補完して、フォントファミリを置き換える必要があります。あるいは、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力して、このフォントファミリを削除する必要があります。

この属性に値が含まれていない場合、WebVPN ポータル ページの文字セットは、リモート ブラウザに設定されているエンコーディング タイプによって決まります。

使用上のガイドライン

チェックヒープは、ヒープ メモリ バッファの正常性およびコード領域の完全性を検証する定期的なプロセスです（ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられます）。

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。矛盾する再送信をエンドシステムが解釈する際に生じる TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

ASA は、再送信のデータが元のデータと同じかどうかを確認しようとします。データが一致しない場合、接続が ASA によってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは順序どおりにのみ許可されます。詳細については、queue-limit コマンドを参照してください。

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの検証をイネーブルにします。このチェックに失敗すると、パケットはドロップされます。

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの検証をイネーブルにします。このチェックに失敗すると、パケットはドロップされます。

使用上のガイドライン

データ VLAN に影響を及ぼそうとするセキュリティ上の脅威から音声ストリームを守るために、複数の VLAN を使用して音声とデータのトラフィックを分離することがセキュリティ上のベスト プラクティスです。ただし、Cisco IP Communicator（CIPC）Softphone アプリケーションは、それぞれの IP Phone に接続する必要があります。IP Phone は、音声 VLAN に常駐しています。この要件により、音声 VLAN とデータ VLAN を分離することが問題になります。これは、SIP プロトコルおよび SCCP プロトコルが広範囲のポートで RTP ポートおよび RTCP ポートをダイナミックにネゴシエートするためです。このダイナミック ネゴシエーションでは、特定の範囲のポートを 2 つの VLAN の間で開く必要があります。

（注）	認証済みモードをサポートしていない旧バージョンの CIPC は、電話プロキシではサポートされていません。

データ VLAN と音声 VLAN の間でのアクセスを広範囲のポートで行わずに、データ VLAN 上の CIPC Softphone を音声 VLAN 上の該当する IP Phone と接続するには、cipc security-mode authenticated コマンドを使用して電話プロキシを設定します。

このコマンドを使用すると、電話プロキシが CIPC コンフィギュレーション ファイルを参照し、CIPC ソフトフォンが強制的に（暗号化済みモードではなく）認証済みモードになります。これは、現在のバージョンの CIPC が暗号化済みモードをサポートしていないためです。

このコマンドがイネーブルの場合、電話プロキシは、電話コンフィギュレーション ファイルを解析し、電話が CIPC Softphone かどうかを判別し、セキュリティ モードを認証済みに変更します。またデフォルトでは、電話プロキシがすべての電話を強制的に暗号化済みモードにしている間だけ、CIPC Softphone は認証済みモードをサポートします。

使用上のガイドライン

一部のスイッチはダイナミック ポート プライオリティをサポートしていないため、このコマンドはスイッチの互換性を高めます。さらに、このコマンドは、9 ～ 32 のアクティブ スパンド EtherChannel メンバーのサポートをイネーブルにします。このコマンドを使用しないと、サポートされるのは 8 個のアクティブ メンバと 8 個のスタンバイ メンバのみです。

ASA EtherChannel は、最大 16 のアクティブ リンクをサポートします。スパンド EtherChannel では、vPC の 2 台のスイッチとともに使用し、clacp static-port-priority コマンドによってダイナミック ポート プライオリティをディセーブルにした場合、この機能はクラスタ全体で最大 32 のアクティブリンクをサポートするように拡張されます。スイッチは、16 のアクティブ リンクを持つ EtherChannel をサポートする必要があります（Nexus 7000 の F2 シリーズ 10 ギガビット イーサネット モジュールなど）。

8 つのアクティブリンクをサポートする VSS または vPC のスイッチの場合、スパンド EtherChannel に 16 のアクティブリンクを設定できます（各スイッチに 8 つ接続）。

（注）	スパンド EtherChannel で 8 個より多くのアクティブリンクを使用する場合は、スタンバイリンクも使用できません。9 ～ 32 個のアクティブリンクをサポートするには、スタンバイリンクの使用を可能にする cLACP ダイナミック ポート プライオリティをディセーブルにする必要があります。

使用上のガイドライン

スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバースイッチとの間で EtherChannel のネゴシエーションを行います。cLACP ネゴシエーションの際に、同じクラスタ内の ASA は互いに連携するため、スイッチには 1 つの（仮想）デバイスであるかのように見えます。cLACP ネゴシエーションのパラメータの 1 つであるシステム ID は、MAC アドレスの形式をとります。すべての ASA で同じシステム ID が使用されます。システム ID は、マスターユニットによって自動生成され（デフォルト）、すべてのスレーブに複製されるか、このコマンドに手動で指定します。トラブルシューティングの目的で、たとえば、識別が容易な MAC アドレスを使用できるように、手動で MAC アドレスを設定することがあります。一般的には、自動生成された MAC アドレスを使用します。

このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。ただし、クラスタリングをイネーブルにした後は、この値は変更できません。

使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティコンテキストが ASA のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

ASA は、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

クラスを作成すると、ASA は、クラスに割り当てられる各コンテキストに対してリソースの一部を確保しなくなります。その代わりに、ASA は、コンテキストの上限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。クラス用のリソースを設定するには、limit-resource コマンドを参照してください。

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2% の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。逆に、すべてのリソースに対する制限を設定してクラスを作成した場合、そのクラスはデフォルト クラスの設定を使用しません。

デフォルトでは、デフォルト クラスは、すべてのコンテキストにリソースへのアクセスを無制限に提供します。ただし、次の制限が適用されます（この制限は、デフォルトではコンテキストあたりの最大許容値が設定されます）。

• Telnet セッション：5 セッション。

• SSH セッション：5 セッション。

• MAC アドレス：65,535 エントリ。

使用上のガイドライン

class コマンドを使用するには、Modular Policy Framework を使用します。レイヤ 3/4 ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map ：アクションを実行するトラフィックを識別します。

2. policy-map ：各クラスマップに関連付けるアクションを指定します。

   1. class ：アクションを実行するクラスマップを指定します。

   2. commands for supported features：特定のクラスマップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用できるコマンドの詳細については、CLI コンフィギュレーション ガイドを参照してください。

3. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

インスペクション ポリシー マップでクラスを使用するには、次のコマンドを入力します。

1. class-map type inspect ：アクションを実行するトラフィックを識別します。

2. policy-map type inspect ：各クラスマップに関連付けるアクションを指定します。

   1. class ：アクションを実行するインスペクション クラス マップを指定します。

   2. アプリケーションタイプのコマンド：各アプリケーションタイプで使用可能なコマンドについては、CLI コンフィギュレーション ガイドを参照してください。インスペクション ポリシー マップのクラス コンフィギュレーション モードでサポートされているアクションには、次のものが含まれます。

   3. パケットのドロップ

   4. 接続のドロップ

   5. 接続のリセット

   6. ロギング

   7. メッセージのレートの制限

   8. コンテンツのマスキング

   9. parameters ：インスペクションエンジンに影響するパラメータを設定します。CLI はパラメータ コンフィギュレーション モードに移行します。使用可能なコマンドについては、CLI コンフィギュレーション ガイドを参照してください。

3. class-map ：アクションを実行するトラフィックを識別します。

4. policy-map ：各クラスマップに関連付けるアクションを指定します。

   1. class ：アクションを実行するレイヤ 3/4 クラスマップを指定します。

   2. inspect application inspect_policy_map：アプリケーション インスペクションをイネーブルにし、特別なアクションを実行するインスペクション ポリシー マップを呼び出します。

5. service-policy ：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

このコンフィギュレーションには、すべてのトラフィックと一致する、 class-default と呼ばれるクラスマップが必ず含まれています。各レイヤ 3/4 ポリシーマップの末尾には、アクションが定義されていない class-default クラスマップがコンフィギュレーションに含まれています。すべてのトラフィックと照合するが、別のクラス マップを作成しない場合、このクラス マップをオプションで使用できます。実際、一部の機能は、class-default クラスマップ用にのみ設定できます（shape コマンドなど）。

class-default クラスマップを含めて、最大 63 個の class コマンドおよび match コマンドをポリシーマップに設定できます。

使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 通過トラフィック専用です。ASA 宛ての管理トラフィックについては、class-map type management コマンドを参照してください。

レイヤ 3/4 クラス マップにより、アクションを適用するレイヤ 3 および 4 のトラフィックを特定します。1 つのレイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップを作成できます。

デフォルトのクラス マップ

コンフィギュレーションには、デフォルト グローバル ポリシーで ASA が使用するデフォルトのレイヤ 3/4 クラスマップが含まれます。これは、inspection_default と呼ばれ、デフォルト インスペクション トラフィックと一致します。

class-map inspection_default
 match default-inspection-traffic

デフォルトのコンフィギュレーションに存在する別のクラス マップは、class-default と呼ばれ、これはすべてのトラフィックと一致します。

class-map class-default
 match any

このクラス マップは、すべてのレイヤ 3/4 ポリシー マップの最後に示され、原則的に、他のすべてのトラフィックでどのようなアクションも実行しないように ASA に通知します。独自の match any クラスマップを作成するのではなく、必要に応じて class-default クラスマップを使用できます。実際のところ、class-default で使用可能な機能は、QoS トラフィック シェーピングなどの一部の機能だけです。

最大クラス マップ

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプがあります。

• class-map

• class-map type management

• class-map type inspection

• class-map type regex

• ポリシーマップタイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。

コンフィギュレーションの概要

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションを適用するレイヤ 3 およびレイヤ 4 のトラフィックを指定します。

2. （アプリケーション インスペクションのみ）policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

class-map コマンドを使用して、クラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラスマップには、クラスマップに含まれるトラフィックを指定する match コマンド（match tunnel-group コマンドおよび match default-inspection-traffic コマンドを除く）が 1 つだけ含まれています。

使用上のガイドライン

モジュラ ポリシー フレームワークでは、多くのアプリケーション インスペクションで実行される特別なアクションを設定できます。レイヤ 3/4 ポリシーマップでインスペクションエンジンをイネーブルにする場合は、インスペクション ポリシー マップで定義されるアクションを必要に応じてイネーブルにすることもできます（policy-map type inspect コマンドを参照）。