e

echo

BFD シングルホップテンプレートでエコーを設定するには、BFD テンプレート コンフィギュレーション モードで echo コマンドを使用します。シングルホップセッション用の BFD テンプレートでエコーをディセーブルにするには、このコマンドの no 形式を使用します。

echo

no echo

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

このコマンドにデフォルトの動作または値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

BFD コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(2)

このコマンドが追加されました。

使用上のガイドライン

シングルホップ テンプレートのみでエコー モード機能をイネーブルにするには、このコマンドを使用します。BFD エコーは、IPv6 BFD セッションではサポートされません。

次に、シングルホップ BFD テンプレートでエコーを設定する例を示します。


ciscoasa(config)# bfd-template single-hop template1
ciscoasa(config-bfd)# echo

early-message

H.323 インスペクション中に H.255 SETUP メッセージの前にメッセージを許可するには、パラメータ コンフィギュレーション モードで early-message コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

early-messagemessage_type

no early-message message_type

構文の説明

message_type

H.225 SETUP メッセージの前に許可するメッセージのタイプです。次のタイプを入力できます。

  • facility

コマンド デフォルト

このコマンドはディセーブルです。H.225 SETUP メッセージの前にメッセージは許可されず、接続がドロップされます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.6(1)

このコマンドが導入されました。

使用上のガイドライン

H.460.18 では、ネットワーク アドレス変換機能とファイアウォールを越えて H.323 シグナリングを伝送するための方法が定義されています。この方法を使用すると、H.225 FACILITY メッセージを H.225 SETUP メッセージの前に送信できます。H.323/H.225 を使用するときに、接続が完了前に終了するコール セットアップの問題が発生した場合、このコマンドを使用して早期メッセージを許可します。

また、必ず H.323 RAS と H.225 の両方にインスペクションをイネーブルにしてください(デフォルトではどちらもイネーブルになっています)。

次に、早期メッセージを許可する例を示します。


ciscoasa(config)# policy-map type inspect h323 h323_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# early-message FACILITY 

eigrp log-neighbor-changes

EIGRP ネイバーとの隣接関係の変更のロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-changes コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。

eigrp log-neighbor-changes

no eigrp log-neighbor-changes

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

このコマンドは、デフォルトでイネーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

9.20(1)

EIGRP IPv6 のサポートが追加されました。

使用上のガイドライン

eigrp log-neighbor-changes コマンドはデフォルトでイネーブルです。実行コンフィギュレーションには、コマンドの no 形式のみが表示されます。

次に、EIGRP ネイバーの変更のロギングをディセーブルにする例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# no eigrp log-neighbor-changes

eigrp log-neighbor-warnings

EIGRP ネイバー警告メッセージのロギングをイネーブルにするには、ルータ コンフィギュレーション モードで eigrp log-neighbor-warnings コマンドを使用します。この機能をオフにするには、このコマンドの no 形式を使用します。

eigrp log-neighbor-warnings [ seconds ]

no eigrp log-neighbor-warnings

構文の説明

seconds

(任意)ネイバー警告メッセージの反復間隔(秒数)。有効値は 1 ~ 65535 です。この間隔内に警告が繰り返し発生した場合、それらの警告はログに記録されません。

コマンド デフォルト

このコマンドは、デフォルトでイネーブルになっています。すべてのネイバー警告メッセージがログに記録されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

9.20(1)

EIGRP IPv6 のサポートが追加されました。

使用上のガイドライン

eigrp log-neighbor-warnings コマンドはデフォルトでイネーブルです。実行コンフィギュレーションには、コマンドの no 形式のみが表示されます。

次に、EIGRP ネイバーの警告メッセージのロギングをディセーブルにする例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# no eigrp log-neighbor-warnings

次に、EIGRP ネイバー警告メッセージをログに記録し、5 分(300 秒)間隔で警告メッセージを繰り返す例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# eigrp log-neighbor-warnings 300

eigrp router-id

EIGRP ルーティングプロセスによって使用されるルータ ID を指定するには、ルータ コンフィギュレーション モードで eigrp router-id コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

eigrp router-id ip-address

no eigrp router-id [ ip-address ]

構文の説明

ip-address

IP アドレス形式(ドット付き 10 進形式)でのルータ ID。ルータ ID として 0.0.0.0 または 255.255.255.255 を使用することはできません。

コマンド デフォルト

指定しない場合、ASA 上で最上位の IP アドレスがルータ ID として使用されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

9.20(1)

IPv6 アドレスを使用した EIGRP の設定に対するサポートが追加されました。

使用上のガイドライン

eigrp router-id コマンドが設定されていない場合、EIGRP は EIGRP プロセスが開始されたときに ASA 上で最上位の IP アドレスを自動的に選択し、ルータ ID として使用します。EIGRP プロセスが no router eigrp コマンドによって削除されない限り、またはルータ ID が eigrp router-id コマンドによって手動で設定されていない限り、ルータ ID は変更されません。

ルータ ID は、外部ルートの発信元ルータを識別するために使用されます。外部ルートがローカルのルータ ID で受信された場合、このルートは廃棄されます。このような事態を回避するには、eigrp router-id コマンドを使用して、ルータ ID のグローバルアドレスを指定します。

各 EIGRP ルータには、一意の値を設定する必要があります。

次に、EIGRP ルーティング プロセスの固定ルータ ID として 172.16.1.3 を設定する例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# eigrp router-id 172.16.1.3

eigrp stub

EIGRP ルーティングプロセスをスタブルーティングプロセスとして設定するには、ルータ コンフィギュレーション モードで eigrp stub コマンドを使用します。EIGRP スタブルーティングを削除するには、このコマンドの no 形式を使用します。

eigrp stub [ receive-only ] | { [ connected ] [ redistributed ] [ static ] [ summary ] }

no eigrp stub [ receive-only ] | { [ connected ] [ redistributed ] [ static ] [ summary ] }

構文の説明

connected

(任意)接続ルートをアドバタイズします。

receive-only

(任意)ASA を受信専用ネイバーとして設定します。

redistributed

(任意)他のルーティング プロトコルから再配布されたルートをアドバタイズします。

static

(任意)スタティック ルートをアドバタイズします。

summary

(任意)集約ルートをアドバタイズします。

コマンド デフォルト

スタブ ルーティングはイネーブルになっていません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ルータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

9.20(1)

IPv6 ルーティングのサポートが追加されました。

使用上のガイドライン

eigrp stub コマンドを使用して、ASA をスタブとして設定します。この場合、ASA では、すべての IP トラフィックがディストリビューション ルータに転送されます。

receive-only キーワードを使用すると、ASA が自律システム内の他のどのルータともルートを共有しないように設定できます。ASA は、EIGRP ネイバーからの更新のみを受信します。receive-only キーワードとともに他のキーワードを使用することはできません。

1つ以上の connected static summary 、および redistributed キーワードを指定できます。これらのいずれかのキーワードを指定して eigrp stub コマンドを使用した場合、これらの特定のキーワードによって指定されたルートタイプのみが送信されます。

connected キーワードを指定すると、EIGRP スタブルーティングプロセスで接続ルートを送信できます。接続ルートが network ステートメントで指定されていない場合は、EIGRP プロセスで redistribute コマンドを使用して接続ルートの再配布が必要となることがあります。

static キーワードを指定すると、EIGRP スタブルーティングプロセスでスタティックルートを送信できます。このオプションを設定していない場合は、EIGRP は、通常は自動的に再配布される内部スタティック ルートを含め、どのスタティック ルートも送信しません。redistribute static コマンドを使用して引き続きスタティックルートを再配布する必要があります。

summary キーワードを指定すると、EIGRP スタブルーティングプロセスで集約ルートを送信できます。集約ルートは、summary-address eigrp コマンドを使用して手動で作成することも、auto-summary コマンドをイネーブルにして自動的に作成することもできます(このコマンド はデフォルトでイネーブルになっています)。

redistributed キーワードを指定すると、EIGRP スタブルーティングプロセスで、他のルーティングプロトコルから EIGRP ルーティングプロセスに再配布されたルートを送信できます。このオプションを設定しない場合、再配布されたルートは EIGRP によってアドバタイズされません。

次に、eigrp stub コマンドを使用して、接続ルートおよび集約ルートをアドバタイズする EIGRP スタブとして ASA を設定する例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# eigrp stub connected summary

次に、eigrp stub コマンドを使用して、接続ルートおよびスタティックルートをアドバタイズする EIGRP スタブとして ASA を設定する例を示します。集約ルートの送信は許可されません。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# eigrp stub connected static

次に、eigrp stub コマンドを使用して、EIGRP 更新の受信のみを行う EIGRP スタブとして ASA を設定する例を示します。接続ルート、集約ルート、およびスタティック ルートの情報は送信されません。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0 eigrp
 
ciscoasa(config-router)# eigrp stub receive-only

次に、eigrp stub コマンドを使用して、他のルーティングプロトコルから EIGRP に再配布されたルートをアドバタイズする EIGRP スタブとして ASA を設定する例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0 
ciscoasa(config-router)# eigrp stub redistributed

次に、オプションの引数を指定しないで eigrp stub コマンドを使用する例を示します。引数なしで eigrp stub コマンドを使用すると、デフォルトで接続ルートおよびスタティックルートがアドバタイズされます。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0 
ciscoasa(config-router)# eigrp stub

eject

ASA の外部コンパクト フラッシュ デバイスの取り外しをサポートするには、ユーザー EXEC モードで eject コマンドを使用します。

eject [ /noconfirm ] disk1:

構文の説明

disk1:

取り外すデバイスを指定します。

/noconfirm

ASA から外部フラッシュデバイスを物理的に取り外す前に、デバイスを取り外すかどうかの確認が必要ないことを指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ユーザー EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

eject コマンドを使用すると、ASA 5500 シリーズからコンパクト フラッシュ デバイスを安全に取り外すことができます。

次に、 eject コマンドを使用して、デバイスを ASA から物理的に取り外す前に disk1 を正常にシャットダウンする例を示します。


ciscoasa
# 
eject /noconfig disk1:
It is now safe to remove disk1:
ciscoasa
# 
show version
Cisco Adaptive Security Appliance Software Version 8.0(2)34
Compiled on Fri 18-May-07 10:28 by juser System image file is "disk0:/cdisk.asa"
Config file at boot was "startup-config"
wef5520 up 5 hours 36 mins
Hardware:   ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
Slot 1: Compact Flash has been ejected!
It may be removed and a new device installed.
BIOS Flash M50FW016 @ 0xffe00000, 2048KB
<---More--->

email

登録時に、指定した電子メールアドレスを証明書のサブジェクト代替名の拡張に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで email コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

emailaddress

no email

構文の説明

address

電子メール アドレスを指定します。最大長は、64 文字です。

コマンド デフォルト

デフォルト設定は設定されていません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の登録要求に電子メール アドレス user1@user.net を含める例を示します。


ciscoasa(config)# crypto ca-trustpoint central
ciscoasa(ca-trustpoint)# email user1@user.net
ciscoasa(ca-trustpoint)# 

enable(クラスタ グループ)

クラスタリングをイネーブルにするには、クラスタ グループ コンフィギュレーション モードで enable コマンドを使用します。クラスタリングをディセーブルにするには、このコマンドの no 形式を使用します。

enable [ as-slave | noconfirm ]

no enable

構文の説明

as-slave

(オプション)互換性のないコマンドの実行コンフィギュレーションを確認せずにクラスタリングをイネーブルにし、クラスタに参加させるスレーブが現在の選択においてマスターとなる可能性をなくします。スレーブのコンフィギュレーションは、マスター ユニットから同期されたコンフィギュレーションによって上書きされます。

noconfirm

(オプション)enable コマンドが入力されると、ASA は実行コンフィギュレーションをスキャンして、クラスタリングに対応していない機能の非互換コマンドの有無を調べます。デフォルト コンフィギュレーションにあるコマンドも、これに該当することがあります。互換性のないコマンドを削除するように求められます。応答として No を入力した場合は、クラスタリングはイネーブルになりません。確認を省略し、互換性のないコマンドを自動的に削除するには、noconfirm キーワードを使用します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クラスタ グループ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.0(1)

このコマンドが追加されました。

使用上のガイドライン

最初にイネーブルにしたユニットについては、マスター ユニット選定が発生します。最初のユニットは、その時点でクラスタの唯一のメンバーであるため、そのユニットがマスター ユニットになります。この期間中にコンフィギュレーション変更を実行しないでください。

すでにマスターユニットがある場合に、クラスタにスレーブユニットを追加するときは、enable as-slave コマンドを使用すると、コンフィギュレーションの互換性の問題(主にまだクラスタリング用に設定されていないインターフェイスの存在)を回避できます。

クラスタリングをディセーブルにするには、no enable コマンドを入力します。


(注)  


クラスタリングをディセーブルにした場合は、すべてのデータ インターフェイスがシャットダウンされ、管理インターフェイスだけがアクティブになります。ユニットをクラスタから完全に削除する(その結果としてデータ インターフェイスをアクティブにする)場合は、クラスタ グループ コンフィギュレーション全体を削除する必要があります。

次に、クラスタリングをイネーブルにし、互換性のないコンフィギュレーションを削除する例を示します。


ciscoasa(config)# cluster group cluster1
ciscoasa(cfg-cluster)# enable
INFO: Clustering is not compatible with following commands:
policy-map global_policy
 class inspection_default
 inspect skinny
policy-map global_policy
 class inspection_default
  inspect sip
 Would you like to remove these commands? [Y]es/[N]o:Y
INFO: Removing incompatible commands from running configuration...
Cryptochecksum (changed): f16b7fc2 a742727e e40bc0b0 cd169999
INFO: Done

enable(ユーザー EXEC)

特権 EXEC モードを開始するには、ユーザー EXEC モードで enable コマンドを使用します。

enable [ level ]

構文の説明

level

(任意)0 ~ 15 の特権レベル。enable 認証(aaa authentication enable console コマンド)では使用されません。

コマンド デフォルト

enable 認証(aaa authentication enable console コマンドを使用)を使用していない場合は、特権レベル 15 を開始します。enable 認証の場合、デフォルトのレベルは、ユーザー名に設定されているレベルに応じて異なります。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ユーザー EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

デフォルトのイネーブル パスワードはブランクです。パスワードの設定については、enable password コマンドを参照してください。

enable 認証を使用しない場合は、enable コマンドを入力すると、ユーザー名が enable_level に変更されます。デフォルトのレベルは 15 です。enable 認証を使用する場合(aaa authentication enable console コマンドを使用)、ユーザー名および関連するレベルは維持されます。ユーザー名の維持は、コマンド認可(ローカルまたは TACACS+ を使用した aaa authorization command コマンド)で重要です。

レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザー EXEC モードを開始します。中間のレベルを使用するには、ローカルコマンド認可(aaa authorization command LOCAL コマンド)をイネーブルにし、privilege コマンドを使用して異なる特権レベルにコマンドを設定します。TACACS+ コマンド認可では、ASA に設定された特権レベルは使用されません。

現在の特権レベルを表示するには、show curpriv コマンドを使用します。

特権 EXEC モードを終了するには、disable コマンドを入力します。

次に、特権 EXEC モードを開始する例を示します。


ciscoasa> enable
Password: Pa$$w0rd
ciscoasa#

次に、レベル 10 の特権 EXEC モードを開始する例を示します。


ciscoasa> enable 10
Password: Pa$$w0rd10
ciscoasa#

enable e-mail proxy(廃止)


(注)  


このコマンドをサポートする最後のリリースは、9.5(1) でした。

以前に設定したインターフェイスで電子メールプロキシアクセスをイネーブルにするには、enable コマンドを使用します。電子メール プロキシ(IMAP4S、POP3S、および SMTPS)の場合は、該当する電子メール プロキシ コンフィギュレーション モードでこのコマンドを使用します。インターフェイス上で電子メールプロキシアクセスをディセーブルにするには、このコマンドの no 形式を使用します。

enableifname

no enable

構文の説明

ifname

以前に設定したインターフェイスを指定します。インターフェイスを設定するには、nameif コマンドを使用します。

コマンド デフォルト

デフォルト値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

Imap4s コンフィギュレーション

  • 対応

  • 対応

Pop3s コンフィギュレーション

  • 対応

  • 対応

smtps コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.5(2)

このコマンドは廃止されました。

次に、Outside という名前のインターフェイスで POP3S 電子メール プロキシを設定する方法の例を示します。

ciscoasa (config)# pop3s ciscoasa(config-pop3s)# enable Outside

enable gprs

RADIUS アカウンティングで GPRS をイネーブルにするには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで enable gprs コマンドを使用します。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

enable gprs

no enable gprs

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

RADIUS アカウンティング パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドには、inspect radius-accounting コマンドを使用してアクセスします。ASA は、セカンダリ PDP コンテキストを適切に処理するために、アカウンティング要求停止メッセージ内に 3GPP VSA 26-10415 があるかどうかをチェックします。このオプションは、デフォルトで無効です。この機能をイネーブルにするには、GTP ライセンスが必要です。

次に、RADIUS アカウンティングで GPRS をイネーブルにする例を示します。


ciscoasa(config)# policy-map type inspect radius-accounting ra
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# enable gprs

enable password

特権 EXEC モードのイネーブルパスワードを設定するには、グローバル コンフィギュレーション モードで enable password コマンドを使用します。

enable password password [ level level ] [ pbkdf2 | encrypted ]

構文の説明

encrypted

(任意)9.6 以前の場合は、32 文字以下のパスワードを暗号化することを指定します。enable password コマンド内のパスワードを定義すると、ASA は、セキュリティを維持するため、そのパスワードをコンフィギュレーションに保存するときに MD5 ハッシュを作成します。show running-config コマンドを入力すると、 enable password コマンドでは実際のパスワードは表示されません。暗号化されたパスワードとそれに続けて encrypted キーワードが示されます。たとえば、「test」というパスワードを入力した場合、show running-config コマンドの出力は次のように表示されます。


enable password rvEdRh0xPC8bel7s encrypted

CLI で実際に encrypted キーワードを入力するのは、コンフィギュレーションを別の ASA にカットアンドペーストして、同じパスワードを使用する場合だけです。

9.7 以降では、すべての長さのパスワードで PBKDF2 を使用します。

level level

(任意)0 ~ 15 の特権レベルのパスワードを設定します。

password

8 ~ 127 文字の英数字および特殊文字から構成される文字列としてパスワードを設定します(大文字と小文字は区別されます)。次の例外を除いて、パスワードには任意の文字を使用できます。

  • スペースは使用できません。

  • 疑問符は使用できません。

  • 3 文字以上連続した、順番に並んだ ASCII 文字または繰り返される ASCII 文字は使用できません。たとえば、次のパスワードは拒否されます。

    • abcuser1

    • user543

    • useraaaa

    • user2666

pbkdf2

(任意)パスワードの暗号化を指定します。9.6 以前の場合、PBKDF2(パスワードベースのキー派生関数 2)ハッシュは、パスワードの長さが 32 文字を超える場合にのみ使用されます。9.7 以降では、すべてのパスワードで PBKDF2 を使用します。enable password コマンド内のパスワードを定義すると、 ASAは セキュリティを維持するため、そのパスワードをコンフィギュレーションに保存するときに PBKDF2(Password-Based Key Derivation Function 2)ハッシュを作成します。show running-config コマンドを入力すると、enable password コマンドでは実際のパスワードは表示されません。暗号化されたパスワードとそれに続けて pbkdf2 キーワードが示されます。たとえば、長いパスワードを入力した場合、show running-config コマンドの出力は次のように表示されます。


username pat password rvEdRh0xPC8bel7s pbkdf2

CLI で実際に pbkdf2 キーワードを入力するのは、コンフィギュレーションを別の ASA にカットアンドペーストして、同じパスワードを使用する場合だけです。

新しいパスワードを入力しない限り、既存のパスワードは MD5 ベースのハッシュを使用し続けることに注意してください。

コマンド デフォルト

デフォルトのパスワードはブランクです。デフォルトのレベルは 15 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

9.6(1)

パスワード長が 127 文字まで延長され、pbkdf2 キーワードが追加されました。

9.7(1)

すべての長さのパスワードが PBKDF2 ハッシュを使用してコンフィギュレーションに保存されるようになりました。

9.12(1)

no enable password コマンドは現在サポートされていません。

9.17(1)

最小長が 3 文字から 8 文字に変更されました。また、3 文字以上連続した、順番に並んだ ASCII 文字または繰り返される ASCII 文字は使用できません。たとえば、次のパスワードは拒否されます。

  • abcuser1

  • user543

  • useraaaa

  • user2666

使用上のガイドライン

enable レベル 15(デフォルト レベル)のデフォルト パスワードは空白ですが、enable コマンドを最初に入力したときに変更するように求められます。パスワードを空白に設定できません。

CLI で aaa authorization exec auto-enable を有効にすると、enable コマンド、login コマンド(特権レベル 2 以上のユーザー)、または SSH/Telnet セッションを使用して特権 EXEC モードにアクセスできます。これらの方法ではすべて、イネーブル パスワードを設定する必要があります。

このパスワード変更の要件は、ASDM のログインには適用されません。ASDM のデフォルトでは、ユーザー名を使用せず enable パスワードを使用してログインすることができます。

マルチ コンテキスト モードでは、システム コンフィギュレーションおよび各コンテキストに対してイネーブル パスワードを作成できます。

デフォルトの 15 以外の特権レベルを使用するには、ローカルコマンド認可( aaa authorization command コマンドを使用して LOCAL キーワードを指定)を設定し、privilege コマンドを使用して異なる特権レベルにコマンドを設定します。ローカル コマンド認可を設定しない場合、イネーブル レベルは無視されて、設定したレベルにかかわらずレベル 15 へのアクセスが可能になります。現在の特権レベルを表示するには、show curpriv コマンドを使用します。

レベル 2 以上は特権 EXEC モードを開始します。レベル 0 およびレベル 1 は、ユーザー EXEC モードを開始します。

次に、イネーブル パスワードを Pa$$w0rd に設定する例を示します。


ciscoasa(config)# enable password Pa$$w0rd

次に、レベル 10 のイネーブル パスワードを Pa$$w0rd10 に設定する例を示します。


ciscoasa(config)# enable password Pa$$w0rd10 level 10

次に、イネーブルパスワードを、別の ASA からコピーした暗号化されたパスワードに設定する例を示します。


ciscoasa(config)# enable password jMorNbK0514fadBh pbkdf2

webvpn の有効化

以前に設定したインターフェイスで WebVPN アクセスをイネーブルにするには、enable コマンドを使用します。このコマンドは、WebVPN コンフィギュレーション モードで使用します。インターフェイスで WebVPN をディセーブルにするには、このコマンドの no 形式を使用します。

enableifname

no enable

構文の説明

ifname

以前に設定したインターフェイスを指定します。インターフェイスを設定するには、nameif コマンドを使用します。

コマンド デフォルト

WebVPN は、デフォルトではディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

webvpn コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、Outside という名前のインターフェイスで WebVPN をイネーブルにする方法の例を示します。


ciscoasa
(config)#
 webvpn
ciscoasa(config-webvpn)# enable Outside

encapsulation

VXLAN または Geneve カプセル化を使用するようにネットワーク仮想化エンドポイント(NVE)インスタンスを設定するには、NVE コンフィギュレーション モードで encapsulation コマンドを使用します。カプセル化を削除するには、このコマンドの no 形式を使用します。

encapsulation { vxlan | geneve [ port port_number }

no encapsulation vxlan

構文の説明

構文の説明

vxlan

VXLAN カプセル化を指定します。

geneve

Geneve カプセル化を指定します。Geneve は ASA 仮想 でのみサポートされます。

port port_number

Geneve の場合、ポート番号を設定します。デフォルトは 6081 です。

コマンド デフォルト

デフォルト値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

Nve コンフィギュレーション

  • 対応

VXLAN:

  • 対応

  • 対応

VXLAN:

  • 対応

コマンド履歴

リリース

変更内容

9.4(1)

このコマンドが追加されました。

9.17(1)

ASA 仮想 に対する geneve のサポートが追加されました。

次に、NVE インスタンス 1 を作成し、カプセル化を VXLAN に設定する例を示します。


ciscoasa(config)# nve 1
ciscoasa(cfg-nve)# encapsulation vxlan

encryption

AnyConnect IPsec 接続に対して IKEv2 セキュリティ アソシエーション(SA)の暗号化アルゴリズムを指定するには、Ikev2 ポリシー コンフィギュレーション モードで encryption コマンドを使用します。コマンドを削除してデフォルト設定を使用するには、このコマンドの no 形式を使用します。

encryption [ des | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes-gcm-256 | null ]

no encryption [ des | 3des | aes | aes-192 | aes-256 | aes-gcm | aes-gcm-192 | aes-gcm-256 | null ]

構文の説明

des

56 ビット DES-CBC 暗号化を ESP に対して指定します。

3des

(デフォルト)トリプル DES 暗号化アルゴリズムを ESP に対して指定します。

aes

AES と 128 ビット キー暗号化を ESP に対して指定します。

aes-192

AES と 192 ビット キー暗号化を ESP に対して指定します。

aes-256

AES と 256 ビット キー暗号化を ESP に対して指定します。

aes-gcm

IKEv2 暗号化の AES-GCM アルゴリズムを指定します。

aes-gcm-192

IKEv2 暗号化の AES-GCM アルゴリズムを指定します。

aes-gcm-256

IKEv2 暗号化の AES-GCM アルゴリズムを指定します。

null

AES-GCM/GMAC が暗号化アルゴリズムとして設定されている場合は、ヌル整合性アルゴリズムを選択します。

コマンド デフォルト

デフォルトは 3DES です。

使用上のガイドライン

IKEv2 SA は、IKEv2 ピアがフェーズ 2 で安全に通信できるようにするためにフェーズ 1 で使用されるキーです。crypto ikev2 policy コマンドを入力した後、encryption コマンドを使用して、SA の暗号化アルゴリズムを設定できます。

OSPFv3 暗号化がインターフェイスでイネーブルの場合、IPsec トンネルを設定している間に隣接関係を確立すると、遅延が発生する可能性があります。基礎となる IPsec トンネルのステータスを判別し、処理が発生していることを確認するには、show crypto sockets show ipsec policy 、および show ipsec sa コマンドを使用します。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

Ikev2 ポリシー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.4(1)

このコマンドが追加されました。

9.0(1)

IKEv2 暗号化に使用される AES-GCM アルゴリズムが追加されました。

次に、Ikev2 ポリシー コンフィギュレーション モードを開始して、暗号化を AES-256 に設定する例を示します。


ciscoasa(config)# crypto ikev2 policy 1
ciscoasa(config-ikev2-policy)# encryption aes-256

endpoint

H.323 プロトコルインスペクションの HSI グループにエンドポイントを追加するには、HSI グループ コンフィギュレーション モードで endpoint コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

endpointip_addressif_name

no endpoint ip_address if_name

構文の説明

if_name

エンドポイントが ASA に接続するときに通過するインターフェイス。

ip_address

追加するエンドポイントの IP アドレス。HSI グループあたり最大で 10 のエンドポイントを設定できます。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

hsi グループ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

次に、H.323 インスペクション ポリシー マップの HSI グループにエンドポイントを追加する例を示します。


ciscoasa(config-pmap-p)# hsi-group 10
ciscoasa(config-h225-map-hsi-grp)# endpoint 10.3.6.1 inside
ciscoasa(config-h225-map-hsi-grp)# endpoint 10.10.25.5 outside

endpoint-mapper

DCERPC インスペクションのエンドポイント マッパー オプションを設定するには、パラメータ コンフィギュレーション モードで endpoint-mapper コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

endpoint-mapper [ epm-service-only ] [ lookup-operation [ timeout value ] ]

no endpoint-mapper [ epm-service-only ] [ lookup-operation [ timeout value ] ]

構文の説明

epm-service-only

バインディング時にエンドポイント マッパー サービスを適用することを指定します。

lookup-operation

エンドポイント マッパー サービスのルックアップ動作をイネーブルにすることを指定します。

timeout value

ルックアップ動作におけるピンホールのタイムアウトを指定します。指定できる範囲は 0:0:1 ~ 1193:0:0 です。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

次に、DCERPC ポリシー マップにエンドポイント マッパーを設定する例を示します。


ciscoasa(config)# policy-map type inspect dcerpc dcerpc_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# endpoint-mapper epm-service-only

enforcenextupdate

CRL の NextUpdate フィールドの処理方法を指定するには、ca-crl コンフィギュレーション モードで enforcenextupdate コマンドを使用します。期限が切れた NextUpdate フィールドがある場合や、NextUpdate フィールドがない場合を許容するには、このコマンドの no 形式を使用します。

enforcenextupdate

no enforcenextupdate

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの設定は強制(オン)です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ca-crl コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドが設定されている場合は、期限が切れていない NextUpdate フィールドが CRL に存在する必要があります。このコマンドが使用されていない場合、ASA では、CRL に NextUpdate フィールドがない場合や、期限が切れた NextUpdate フィールドがある場合が許容されます。

次に、クリプト ca-crl コンフィギュレーション モードを開始して、トラストポイント central に対して、期限が切れていない NextUpdate フィールドが CRL に存在することを必須とする例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# crl configure
ciscoasa(ca-crl)# enforcenextupdate
ciscoasa(ca-crl)# 

enrollment protocol scep cmp est url

このトラストポイントの登録に自動登録(SCEP または CMP または EST)を指定して、登録 URL を設定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment protocol scep| cmp |est url コマンドを使用します。コマンドのデフォルト設定に戻すには、コマンドの no 形式を使用します。

enrollment protocol scep | cmp | est url

no enrollment protocol scep | cmp | est url

構文の説明

プロトコル

SCEP CA URL、CMP CA URL、EST CA URL を区別します。

コマンド デフォルト

デフォルトの設定はオフです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA サーバー コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • いいえ(EST の場合)

コマンド履歴

リリース

変更内容

9.7(1)

このコマンドが追加されました。

9.16(1)

このコマンドは変更され、est が有効なプロトコルオプションとして組み込まれました。

使用上のガイドライン

LTE ワイヤレスネットワークでセキュリティ ゲートウェイ デバイスとして機能するために、ASA は、SCEP および Enrollment over Secure Transport(EST)に加えて Certificate Management Protocol(CMPv2)を使用していくつかの証明書管理機能をサポートします。ASA デバイス証明書の登録に CMPv2 を使用することで、CMPv2 が有効な CA からの最初の証明書とセカンダリ証明書を手動登録したり、同じキーペアを使用する以前に発行済みの証明書を差し替えるための証明書を手動更新したりできます。受信した証明書は従来の設定の外部に保存され、証明書が有効になっている IPsec の設定で使用されます。

次の例は、登録オプションを示しています。


(config)
# crypto ca trustpoint new(config-ca-trustpoint)# enrollment ?
crypto-ca-trustpoint mode commands/options:	interface			Configure source interface	protocol			Enrollment protocol	retry			Polling parameters	self			Enrollment will generate a self-signed certificate	terminal			Enroll via the terminal (cut-and-paste)
asa(config-ca-trustpoint)# enrollment protocol ?
 
crypto-ca-trustpoint mode commands/options:
  cmp   Certificate Management Protocol Version 2
  est   Enrollment over Secure Transport
  scep  Simple Certificate Enrollment Protocol
asa(config-ca-trustpoint)# enrollment protocol est ?
 
crypto-ca-trustpoint mode commands/options:
  url CA server enrollment URL
asa(config-ca-trustpoint)# enrollment protocol est url ?
 
crypto-ca-trustpoint mode commands/options:
  LINE < 477 char  URL
asa(config-ca-trustpoint)# enrollment protocol est url https://xyz.com/est

enrollment-retrieval

登録されたユーザーが PKCS12 登録ファイルを取得できる期間を時間単位で指定するには、ローカルクリプト CA サーバー コンフィギュレーション モードで enrollment-retrieval コマンドを使用します。期間をデフォルトの時間数(24)にリセットするには、このコマンドの no 形式を使用します。

enrollment-retrievaltimeout

no enrollment-retrieval

構文の説明

timeout

何時間以内にユーザーがローカル CA 登録 Web ページから発行された証明書を取得しなければならないかを指定します。有効なタイムアウト値の範囲は 1 ~ 720 時間です。

コマンド デフォルト

デフォルトでは、PKCS12 登録ファイルは 24 時間保存されて取得できます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA サーバー コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

使用上のガイドライン

PKCS12 登録ファイルには、発行された証明書とキー ペアが含まれています。ファイルはローカル CA サーバーに保存され、enrollment-retrieval コマンドで指定された時間内は登録 Web ページから取得できます。

ユーザーが登録可能とマークされている場合、そのユーザーは otp expiration コマンドで指定した 時間内であればそのパスワードを使用して登録できます。ユーザーが正常に登録すると、PKCS12 ファイルが生成および保存され、コピーが登録 Web ページを経由して返されます。何らかの理由でファイルのコピーが再度必要になった場合(登録しようとしてダウンロードに失敗した場合など)、ユーザーは enrollment-retrieval コマンドで指定した時間内であれば新しくコピーを取得できます。


(注)  


この時間は、OTP の有効期限とは関係ありません。

次に、証明書の発行後 48 時間以内は PKCS12 登録ファイルをローカル CA サーバーから取得できるように指定する例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# enrollment-retrieval 48
ciscoasa
(config-ca-server)
# 

次に、取得可能時間をデフォルトの 24 時間にリセットする例を示します。


ciscoasa(config)# crypto ca server
ciscoasa
(config-ca-server)
# no enrollment-retrieval
ciscoasa
(config-ca-server)
# 

enrollment retry count

再試行回数を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment retry count コマンドを使用します。デフォルトの再試行回数設定に戻すには、このコマンドの no 形式を使用します。

enrollment retry count number

no enrollment retry count

構文の説明

number

登録要求の送信を試行する最大回数。有効な値は、0、および 1 ~ 100 の再試行です。

コマンド デフォルト

number 引数のデフォルト設定は 0(無制限)です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

証明書を要求した後、ASA は CA からの証明書の受信を待ちます。ASA は、設定された再試行間隔内に証明書を受信できない場合、証明書要求を再度送信します。ASA は、応答を受信するか、または設定されている再試行間隔が終了するまで、要求を繰り返し送信します。このコマンドはオプションであり、自動登録を設定している場合のみ適用されます。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central 内の登録再試行回数を 20 回に設定する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment retry count 20
ciscoasa(ca-trustpoint)# 

enrollment retry period

再試行間隔を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment retry period コマンドを使用します。デフォルトの再試行間隔設定に戻すには、このコマンドの no 形式を使用します。

enrollment retry period minutes

no enrollment retry period

構文の説明

minutes

登録要求の送信を試行する間隔(分単位)。有効な範囲は、1 ~ 60 分です。

コマンド デフォルト

デフォルトの設定は 1 分です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

証明書を要求した後、ASA は CA からの証明書の受信を待ちます。ASA は、指定された再試行間隔内に証明書を受信できない場合、証明書要求を再度送信します。このコマンドはオプションであり、自動登録を設定している場合のみ適用されます。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central 内の登録再試行間隔を 10 分に設定する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment retry period 10
ciscoasa(ca-trustpoint)# 

enrollment terminal

このトラストポイントでカットアンドペースト登録(手動登録とも呼ばれます)を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment terminal コマンドを使用します。コマンドのデフォルト設定に戻すには、コマンドの no 形式を使用します。

enrollment terminal

no enrollment terminal

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの設定はオフです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の CA 登録にカット アンド ペースト方式を指定する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment terminal
ciscoasa(ca-trustpoint)# 

enrollment url(廃止)

このトラストポイントの登録に自動登録(SCEP)を指定して、登録 URL を設定するには、クリプト CA トラストポイント コンフィギュレーション モードで enrollment url コマンドを使用します。コマンドのデフォルト設定に戻すには、コマンドの no 形式を使用します。

enrollment url url

no enrollment url url

構文の説明

url

自動登録の URL の名前を指定します。最大の長さは 1000 文字です(実質的に無制限です)。

コマンド デフォルト

デフォルトの設定はオフです。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

クリプト CA トラストポイント コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central に URL https://enrollsite における SCEP 登録を指定する例を示します。


ciscoasa(config)# crypto ca trustpoint central
ciscoasa(ca-trustpoint)# enrollment url https://enrollsite
ciscoasa(ca-trustpoint)# 

eool

IP オプションインスペクションにおいて、パケットヘッダー内に End of Options List(EOOL)オプションが存在する場合のアクションを定義するには、パラメータ コンフィギュレーション モードで eool コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

eool action { allow | clear }

no eool action { allow | clear }

構文の説明

allow

End of Options List IP オプションを含むパケットを許可します。

clear

End of Options List オプションをパケットから削除してから、そのパケットを許可します。

コマンド デフォルト

デフォルトでは、IP オプション インスペクションは、End of Options List IP オプションを含むパケットをドロップします。

IP オプション インスペクション ポリシー マップで default コマンドを使用すると、デフォルト値を変更できます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.2(2)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプションインスペクションを設定して、特定の IP オプションを持つどの IP パケットが ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

オプション リストの終端オプションは、1 バイトのゼロのみを含み、すべてのオプションの終端に配置されて、オプションのリストの終端を示します。これは、ヘッダー長に基づくヘッダーの末尾とは一致しない場合があります。

次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。


ciscoasa(config)# policy-map type inspect ip-options ip-options_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# eool action allow
ciscoasa(config-pmap-p)# nop action allow
ciscoasa(config-pmap-p)# router-alert action allow

eou allow(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

NAC フレームワーク コンフィギュレーションでクライアントレス認証をイネーブルにするには、グローバル コンフィギュレーション モードで eou allow コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

eou allow { audit | clientless | none }

no eou allow { audit | clientless | none }

構文の説明

audit

クライアントレス認証を実行します。

clientless

クライアントレス認証を実行します。

none

クライアントレス認証をディセーブルにします。

コマンド デフォルト

デフォルト設定には eou allow clientless 設定が含まれています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

audit オプションが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

ASA では、次の両方の条件が満たされている場合にのみこのコマンドが使用されます。

  • NAC ポリシー タイプとして NAC フレームワークを使用するようにグループ ポリシーが設定されていること。

  • セッションのホストが EAPoUDP 要求に応答しないこと。

次に、ACS を使用したクライアントレス認証の実行をイネーブルにする例を示します。


ciscoasa(config)# eou allow clientless
ciscoasa(config)# 

次に、監査サーバーを使用してクライアントレス認証を実行するように ASA を設定する例を示します。


ciscoasa(config)# eou allow audit
ciscoasa(config)# 

次に、監査サーバーの使用をディセーブルにする例を示します。


ciscoasa(config)# no eou allow clientless
ciscoasa(config)# 

eou clientless(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

NAC フレームワーク コンフィギュレーションにおけるクライアントレス認証でアクセスコントロールサーバーに送信するユーザー名とパスワードを変更するには、グローバル コンフィギュレーション モードで eou clientless コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou clientless username username password password

no eou clientless username username password password

構文の説明

password

EAPoUDP 要求に応答しないリモート ホストのクライアントレス認証を取得するためにアクセス コントロール サーバーに送信するパスワードを変更する場合に入力します。

password

クライアントレス ホストをサポートするためにアクセス コントロール サーバーに設定されているパスワードを入力します。4 ~ 32 文字の ASCII 文字を入力します。

username

EAPoUDP 要求に応答しないリモート ホストのクライアントレス認証を取得するためにアクセス コントロール サーバーに送信するユーザー名を変更する場合に入力します。

username

クライアントレス ホストをサポートするためにアクセス コントロール サーバーに設定されているユーザー名を入力します。先頭および末尾のスペース、シャープ記号(#)、疑問符(?)、引用符(")、アスタリスク(*)、山カッコ(< および >)を除く、1 ~ 64 文字の ASCII 文字を入力します。

コマンド デフォルト

username 属性と password 属性のデフォルト値は、両方とも clientless です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

このコマンドは、次の条件をすべて満たしている場合にのみ有効です。

  • クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバーが設定されている。

  • ASA 上でクライアントレス認証がイネーブルになっている。

  • NAC が ASA で設定されている。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、クライアントレス認証のユーザー名を sherlock に変更する例を示します。


ciscoasa(config)# eou clientless username sherlock
ciscoasa(config)# 

次に、クライアントレス認証のユーザー名をデフォルト値である clientless に変更する例を示します。


ciscoasa(config)# no eou clientless username
ciscoasa(config)# 

次に、クライアントレス認証のパスワードを secret に変更する例を示します。


ciscoasa(config)# eou clientless password secret
ciscoasa(config)# 

次に、クライアントレス認証のパスワードをデフォルト値である clientless に変更する例を示します。


ciscoasa(config)# no eou clientless password
ciscoasa(config)# 

eou initialize(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

1 つ以上の NAC フレームワークセッションに割り当てられているリソースをクリアして、各セッションに対して新しい無条件のポスチャ検証を開始するには、特権 EXEC モードで eou initialize コマンドを使用します。

eou initialize { all | group tunnel-group | ip ip-address }

構文の説明

all

この ASA 上のすべての NAC フレームワークセッションを再確認します。

group

トンネル グループに割り当てられているすべての NAC フレームワーク セッションを再確認します。

ip

単一の NAC フレームワーク セッションを再確認します。

ip-address

トンネルのリモート ピア側の IP アドレス。

tunnel-group

トンネルをセットアップするパラメータのネゴシエーションに使用されるトンネル グループの名前。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

リモート ピアのポスチャが変更されたり、割り当てられているアクセス ポリシー(つまりダウンロードされた ACL)が変更されたりしたときに、セッションに割り当てられているリソースをクリアする場合は、このコマンドを使用します。このコマンドを入力すると、ポスチャ検証に使用される EAPoUDP アソシエーションおよびアクセス ポリシーが消去されます。再検証中には NAC のデフォルトの ACL が有効となるため、セッションを初期化するとユーザー トラフィックに影響する場合があります。このコマンドは、ポスチャ確認から免除されているピアには作用しません。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、すべての NAC フレームワーク セッションを初期化する例を示します。


ciscoasa# eou 
initialize all
ciscoasa

次に、tg1 というトンネル グループに割り当てられているすべての NAC フレームワーク セッションを初期化する例を示します。


ciscoasa# eou 
initialize group tg1
ciscoasa

次に、IP アドレス 209.165. 200.225 を持つエンドポイントの NAC フレームワーク セッションを再検証する例を示します。


ciscoasa# eou 
initialize 
209.165.200.225
ciscoasa

eou max-retry(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

ASA が EAP over UDP メッセージをリモートコンピュータに再送信する回数を変更するには、グローバル コンフィギュレーション モードで eou max-retry コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou max-retry retries

no eou max-retry

構文の説明

retries

再送信タイマーが期限切れになった場合に再送信する回数を制限します。1 ~ 3 の範囲の値を入力します。

コマンド デフォルト

デフォルト値は 3 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

このコマンドは、次の条件をすべて満たしている場合にのみ有効です。

  • クライアントレス認証をサポートするために、ネットワーク上にアクセス コントロール サーバーが設定されている。

  • ASA 上でクライアントレス認証がイネーブルになっている。

  • NAC が ASA で設定されている。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、EAP over UDP の再送信回数を 1 に制限する例を示します。


ciscoasa(config)# eou max-retry 1
ciscoasa(config)# 

次に、EAP over UDP の再送信回数をデフォルト値である 3 に変更する例を示します。


ciscoasa(config)# no eou max-retry
ciscoasa(config)# 

eou port(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

NAC フレームワーク コンフィギュレーションにおいて、Cisco Trust Agent との EAP over UDP 通信に使用するポート番号を変更するには、グローバル コンフィギュレーション モードで eou port コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou port port_number

no eou port

構文の説明

port_number

EAP over UDP 通信用に指定するクライアント エンドポイントのポート番号。この番号は、Cisco Trust Agent に設定するポート番号です。1024 ~ 65535 の範囲の値を入力します。

コマンド デフォルト

デフォルト値は 21862 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、EAP over UDP 通信のポート番号を 62445 に変更する例を示します。


ciscoasa(config)# eou port 62445
ciscoasa(config)# 

次に、EAP over UDP 通信のポート番号をデフォルト値に変更する例を示します。


ciscoasa(config)# no eou port
ciscoasa(config)# 

eou revalidate(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

1 つ以上の NAC フレームワークセッションのポスチャ再検証をただちに実行するには、特権 EXEC モードで eou revalidate コマンドを使用します。

eou revalidate { all | group tunnel-group | ip ip-address }

構文の説明

all

この ASA 上のすべての NAC フレームワークセッションを再確認します。

group

トンネル グループに割り当てられているすべての NAC フレームワーク セッションを再確認します。

ip

単一の NAC フレームワーク セッションを再確認します。

ip-address

トンネルのリモート ピア側の IP アドレス。

tunnel-group

トンネルをセットアップするパラメータのネゴシエーションに使用されるトンネル グループの名前。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

ピアのポスチャ、または割り当てられているアクセス ポリシー(つまりダウンロードされた ACL が存在する場合その ACL)が変更された場合にこのコマンドを使用します。このコマンドは、新しい無条件のポスチャ検証を開始します。コマンド入力前に有効であったポスチャ検証および割り当てられているアクセス ポリシーは、新しいポスチャ検証に成功または失敗するまでは引き続き有効となります。このコマンドは、ポスチャ確認から免除されているピアには作用しません。

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、すべての NAC フレームワーク セッションを再検証する例を示します。


ciscoasa# eou 
revalidate all
ciscoasa

次に、tg-1 というトンネル グループに割り当てられているすべての NAC フレームワーク セッションを再検証する例を示します。


ciscoasa# eou 
revalidate group tg-1
ciscoasa

次に、IP アドレス 209.165. 200.225 を持つエンドポイントの NAC フレームワーク セッションを再検証する例を示します。


ciscoasa# eou 
revalidate ip 
209.165.200.225
ciscoasa

eou timeout(廃止)


(注)  


このコマンドをサポートする最後のリリースは、Version 9.1(1) でした。

NAC フレームワーク コンフィギュレーションにおいて、リモート ホストに対して EAP over UDP メッセージを送信した後に待機する秒数を変更するには、グローバル コンフィギュレーション モードで eou timeout コマンドを使用します。デフォルト値を使用するには、このコマンドの no 形式を使用します。

eou timeout { hold-period | retransmit } seconds

no eou timeout { hold-period | retransmit }

構文の説明

hold-period

EAPoUDP 再試行回数分の EAPoUDP メッセージを送信した後に待機する最大時間。eou initialize または eou revalidate コマンドでも、このタイマーがクリアされます。このタイマーが期限切れになった場合、ASA はリモートホストとの新しい EAP over UDP アソシエーションを開始します。

retransmit

1 回の EAPoUDP メッセージ送信後に待機する最大時間。リモート ホストから応答があると、このタイマーはクリアされます。eou initialize または eou revalidate コマンドでも、このタイマーがクリアされます。タイマーが期限切れになると、ASA はリモートホストに対して EAPoUDP メッセージを再送信します。

seconds

ASA が待機する秒数。hold-period 属性には 60 ~ 86400 の範囲の値を、retransmit 属性には 1 ~ 60 の範囲の値を入力します。

コマンド デフォルト

hold-period オプションのデフォルト値は 180 です。

retransmit オプションのデフォルト値は 3 です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

9.1(2)

このコマンドは廃止されました。

使用上のガイドライン

このコマンドは Cisco NAC のフレームワーク実装にだけ適用されます。

次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間を 120 秒に変更する例を示します。


ciscoasa(config)# eou timeout hold-period 120
ciscoasa(config)# 

次に、新しい EAP over UDP アソシエーションを開始するまでの待機時間をデフォルト値に変更する例を示します。


ciscoasa(config)# no eou timeout hold-period
ciscoasa(config)# 

次に、再送信タイマーを 6 秒に変更する例を示します。


ciscoasa(config)# eou timeout retransmit 6
ciscoasa(config)# 

次に、再送信タイマーをデフォルト値に変更する例を示します。


ciscoasa(config)# no eou timeout retransmit
ciscoasa(config)# 

erase

ファイルシステムを消去して再フォーマットするには、特権 EXEC モードで erase コマンドを使用します。このコマンドは、非表示のシステム ファイルを含むすべてのファイルを上書きしてファイル システムを消去し、ファイル システムを再インストールします。

early [ disk0: | disk1: | flash: ]

構文の説明

disk0 :

(任意)内蔵コンパクト フラッシュ メモリ カードを指定し、続けてコロンを入力します。

disk1:

(任意)外部コンパクト フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

(任意)内部フラッシュメモリを指定し、続けてコロンを入力します。

注意    

 

フラッシュ メモリを消去すると、フラッシュ メモリに保存されているライセンス情報も削除されます。フラッシュ メモリを消去する前に、ライセンス情報を保存してください。

ASA 5500 シリーズでは、flash キーワードは disk0: のエイリアスです。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

erase コマンドは、0xFF パターンを使用してフラッシュメモリ上のすべてのデータを消去し、空のファイルシステム割り当てテーブルをデバイスに書き換えます。

(非表示のシステムファイルを除く)表示されているすべてのファイルを削除する場合は、erase コマンドではなく delete /recursive コマンドを入力します。


(注)  


ASA 5500 シリーズでは、erase コマンドを実行すると、ディスク上のすべてのユーザーデータが 0xFF パターンを使用して破棄されます。一方、format コマンドはファイルシステムの制御構造をリセットするだけです。raw ディスク読み取りツールを使用すると、この情報はまだ参照できる可能性があります。

次に、ファイル システムを消去して再フォーマットする例を示します。


ciscoasa# erase flash:

esp

IPsec パススルーインスペクションで ESP トンネルおよび AH トンネルのパラメータを指定するには、パラメータ コンフィギュレーション モードで esp コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

{ esp | ah } [ per-client-max num ] [ timeout time ]

no { esp | ah } [ per-client-max num ] [ timeout time ]

構文の説明

esp

ESP トンネルのパラメータを指定します。

ah

AH トンネルのパラメータを指定します。

per-client-max num

1 つのクライアントからの最大トンネル数を指定します。

timeout time

ESP トンネルのアイドル タイムアウトを指定します。

コマンド デフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

次に、UDP 500 のトラフィックを許可する例を示します。


ciscoasa(config)# access-list test-udp-acl extended permit udp any any eq 500
ciscoasa(config)# class-map test-udp-class
ciscoasa(config-pmap-c)# match access-list test-udp-acl
ciscoasa(config)# policy-map type inspect ipsec-pass-thru ipsec-map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# esp per-client-max 32 timeout 00:06:00
ciscoasa(config-pmap-p)# ah per-client-max 16 timeout 00:05:00
ciscoasa(config)# policy-map test-udp-policy
ciscoasa(config-pmap)# class test-udp-class
ciscoasa(config-pmap-c)# inspect ipsec-pass-thru ipsec-map

established

確立された接続に基づく、ポートへの戻り接続を許可するには、グローバル コンフィギュレーション モードで established コマンドを使用します。established 機能をディセーブルにするには、このコマンドの no 形式を使用します。

established est_protocol dest_port [ source_port ] [ permitto protocol port [ -port ] ] [ permitfrom protocol port [ -port ] ]

no established est_protocol dest_port [ source_port ] [ permitto protocol port [ -port ] ] [ permitfrom protocol port [ -port ] ]

構文の説明

est_protocol

確立された接続のルックアップに使用する IP プロトコル(UDP または TCP)を指定します。

dest_port

確立された接続のルックアップに使用する宛先ポートを指定します。

permitfrom

(任意)指定したポートから発信される戻りプロトコル接続を許可します。

permitto

(任意)指定したポートに着信する戻りプロトコル接続を許可します。

port [ -port ]

(任意)戻り接続の(UDP または TCP)宛先ポートを指定します。

protocol

(任意)戻り接続で使用される IP プロトコル(UDP または TCP)。

source_port

(任意)確立された接続のルックアップに使用する送信元ポートを指定します

コマンド デフォルト

デフォルトの設定は次のとおりです。

  • dest_port :0(ワイルドカード)

  • source_port :0(ワイルドカード)

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

キーワード to および from が CLI から削除されました。代わりにキーワード permitto および permitfrom を使用します。

使用上のガイドライン

established コマンドを使用すると、ASA 経由の発信接続の戻りアクセスを許可できます。このコマンドは、ネットワークから発信され、ASA によって保護されている元の接続、および外部ホストからの同じ 2 つのデバイス間の着信戻り接続に対して動作します。established コマンドでは、接続のルックアップに使用する宛先ポートを指定できます。宛先ポートを指定することによって、コマンドをより細かく制御でき、宛先ポートは既知であるが送信元ポートは不明であるプロトコルをサポートできます。permitto および permitfrom キーワードでは、リターン インバウンド接続を定義します。


注意    


established コマンドでは、常に permitto キーワードおよび permitfrom キーワードを指定することを推奨します。これらのキーワードを指定しないで established コマンドを使用すると、外部システムに接続した場合にそれらのシステムから接続に関連する内部ホストに対して無制限に接続が可能となるため、セキュリティのリスクが発生します。このような状況は、内部システムの攻撃に悪用される可能性があります。


次に、established コマンドを正しく使用しない場合にセキュリティ違反が発生する可能性があることを示すいくつかの例を示します。

次に、内部システムから外部ホストのポート 4000 に TCP 接続を確立した場合に、外部ホストから任意のプロトコルを使用して任意のポートに戻り接続を確立できることを示す例を示します。


ciscoasa(config)# established tcp 4000 0

プロトコルで使用されるポートが規定されていない場合は、送信元ポートおよび宛先ポートに 0 を指定できます。ワイルドカード ポート(0)は、必要な場合にのみ使用します。


ciscoasa(config)# established tcp 0 0 

(注)  


established コマンドが正しく動作するためには、クライアントは permitto キーワードで指定されたポートでリッスンする必要があります。

established コマンドは、nat 0 コマンドとともに使用できます(global コマンドがない場合)。


(注)  


established コマンドは、PAT とともに使用することはできません。

ASA では、established コマンドを利用することによって XDMCP がサポートされます。


注意    


ASA を通して XWindows システムアプリケーションを使用すると、セキュリティのリスクが発生する可能性があります。


デフォルトで、XDMCP はオンになっていますが、次のように established コマンドを入力しないとセッションが完了しません。


ciscoasa(config)# established tcp 6000 0 permitto tcp 6000 permitfrom tcp 1024-65535

established コマンドを入力すると、内部の XDMCP 実装ホスト(UNIX または Reflection X)から外部の XDMCP 実装 XWindows サーバーにアクセスできます。UDP/177 ベースの XDMCP によって TCP ベースの XWindows セッションがネゴシエートされ、後続の TCP 戻り接続が許可されます。リターン トラフィックの送信元ポートは不明であるため、source_port フィールドには 0(ワイルドカード)を指定します。dest_port は 6000 + n となります。n は、ローカルのディスプレイ番号を表します。この値を変更するには、次の UNIX コマンドを使用します。


ciscoasa(config)# setenv DISPLAY
 hostname:displaynumber.screennumber

(ユーザー対話に基づいて)数多くの TCP 接続が生成され、これらの接続の送信元ポートが不明であるため、established コマンドが必要となります。宛先ポートのみがスタティックです。ASA では、XDMCP フィックスアップが透過的に実行されます。コンフィギュレーションは必要ありませんが、TCP セッションを確立できるように established コマンドを入力する必要があります。

次に、送信元ポート C からポート B 宛のプロトコル A を使用した 2 つのホスト間の接続の例を示します。ASA 経由でプロトコル D(プロトコル D はプロトコル A とは異なっていてもかまいません)による戻り接続を許可するには、送信元ポートがポート F に、宛先ポートがポート E に対応している必要があります。


ciscoasa(config)# established A B C permitto D E permitfrom D F

次に、TCP 宛先ポート 6060、および任意の送信元ポートを使用して、内部ホストから外部ホストに接続を開始する例を示します。ASA では、TCP 宛先ポート 6061 および任意の TCP 送信元ポートを使用したホスト間のリターントラフィックが許可されます。


ciscoasa(config)# established tcp 6060 0 permitto tcp 6061 permitfrom tcp 0

次に、UDP 宛先ポート 6060、および任意の送信元ポートを使用して、内部ホストから外部ホストに接続を開始する例を示します。ASA では、TCP 宛先ポート 6061 および TCP 送信元ポート 1024 ~ 65535 を使用したホスト間のリターントラフィックが許可されます。


ciscoasa(config)# established udp 6060 0 permitto tcp 6061 permitfrom tcp 1024-65535

次に、ローカル ホストから外部ホストにポート 9999 への TCP 接続を開始する例を示します。この例では、外部ホストのポート 4242 からローカル ホストのポート 5454 へのパケットが許可されます。


ciscoasa(config)# established tcp 9999 permitto tcp 5454 permitfrom tcp 4242

event crashinfo

ASA でクラッシュが発生した場合にイベント マネージャ アプレットをトリガーするには、イベント マネージャ アプレット コンフィギュレーション モードで event crashinfo コマンドを使用します。クラッシュイベントを削除するには、このコマンドの no 形式を使用します。

event crashinfo

no event crashinfo

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

イベント マネージャ アプレット コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

output コマンドの値に関係なく、action コマンドはクラッシュ情報ファイルを対象とします。出力は show tech コマンドの前に生成されます。


(注)  


ASA がクラッシュした場合、その状態は通常は不明です。一部の CLI コマンドは、この状態のときに実行するのは安全でない場合があります。

次に、ASA がクラッシュした場合にアプレットをトリガーする例を示します。


ciscoasa(config-applet)# event crashinfo

event manager applet

イベントをアクションや出力とリンクするイベント マネージャ アプレットを作成または編集するには、グローバル コンフィギュレーション モードで event manager applet コマンドを使用します。イベント マネージャ アプレットを削除するには、このコマンドの no 形式を使用します。

event manager applet name

no event manager applet name

構文の説明

name

イベント マネージャ アプレットの名前を指定します。名前には最大 32 文字の長さを使用できます。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

グローバル コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

イベント マネージャ アプレット コンフィギュレーション モードを開始するには、event manager applet コマンドを使用します。

次に、イベント マネージャ アプレットを作成し、イベント マネージャ アプレット コンフィギュレーション モードを開始する例を示します。


ciscoasa(config)# event manager applet appletexample1
ciscoasa(config-applet)# 

event memory-logging-wrap

メモリロギングのラップイベントトリガーを設定するには、イベント マネージャ アプレット コンフィギュレーション モードで event memory-logging-wrap コマンドを使用します。

event memory-logging-wrap

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

イベント マネージャ アプレット コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.4(1)

このコマンドが追加されました。

使用上のガイドライン

メモリ ロギングのラップがイネーブルの場合、メモリ ロガーがイベントをイベント マネージャに送信し、設定されたアプレットをトリガーします。

次に、すべてのメモリ割り当てを記録するアプレットを示します。


ciscoasa(config-applet)# event manager applet memlog
ciscoasa(config-applet)# event memory-logging-wrap
ciscoasa(config-applet)# action 0 cli command "show memory logging wrap"
ciscoasa(config-applet)# output file append disk0:/memlog.log

event none

イベント マネージャ アプレットを手動で呼び出すには、イベント マネージャ アプレット コンフィギュレーション モードで event none コマンドを使用します。手動呼び出しを削除するには、このコマンドの no 形式を使用します。

event none

no event none

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

イベント マネージャ アプレット コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

event none コマンドを使用して他のイベントを設定できます。

次に、イベント マネージャ アプレットを手動で呼び出す例を示します。


ciscoasa(config-applet)# event none

event syslog id

イベント マネージャ アプレットに syslog イベントを追加するには、イベント マネージャ アプレット コンフィギュレーション モードで event syslog id コマンドを使用します。イベント マネージャ アプレットから syslog イベントを削除するには、このコマンドの no 形式を使用します。

event syslog id nnnnnnn [ -nnnnnn ] [ occurs n ] [ period seconds ]

no event syslog id nnnnnnn [ -nnnnnn ] [ occurs n ] [ period seconds ]

構文の説明

nnnnnn

syslog メッセージ ID を指定します。

occurs n

アプレットを呼び出すために syslog メッセージが発生する必要がある回数を示します。デフォルトは 1 です。有効な値は、1 ~ 4294967295 です。

period seconds

イベントが発生する必要がある秒数を示し、アプレットが呼び出される頻度を設定された期間中最大で 1 回に制限します。有効な値は、0 604800 です。値 0 は、期間が定義されていないことを示しています。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

イベント マネージャ アプレット コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

アプレットをトリガーする単一の syslog メッセージまたは syslog メッセージの範囲を指定するには、event syslog id コマンドを使用します。

次に、syslog メッセージ 106201 がアプレットをトリガーする例を示します。


ciscoasa(config-applet)# event syslog id 106201

event timer

タイマーイベントを設定するには、イベント マネージャ アプレット コンフィギュレーション モードで event timer コマンドを使用します。タイマーイベントを削除するには、このコマンドの no 形式を使用します。

event timer { watchdog time seconds | countdown time seconds | absolute time hh:mm:ss }

no event timer { watchdog time seconds | countdown time seconds | absolute time hh:mm:ss }

構文の説明

absolute time

イベントが 1 日 1 回指定した時間に発生し、自動的に再開されることを指定します。

countdown time

イベントが 1 回発生し、そのイベントが削除された後に再度追加されない限り再開されないことを指定します。

hh:mm:ss

時刻形式を指定します。時間範囲は 00:00:00(深夜)~ 23:59:59 です。

seconds

秒数を指定します。有効な値の範囲は 0 604800 です。0 の値の場合、このタイマーはディセーブルになります。

watchdog time

イベントが設定された期間ごとに 1 回発生し、自動的に再開されることを指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

イベント マネージャ アプレット コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.2(1)

このコマンドが追加されました。

使用上のガイドライン

1 日の指定した時間にイベントが 1 回発生し、自動的に再開されるようにするには、event timer absolute time コマンドを使用します。

イベントが 1 回発生し、そのイベントを削除した後に再度追加しない限り再開されないようにするには、event timer countdown time コマンドを使用します。

指定した期間ごとにイベントが 1 回発生し、自動的に再開されるようにするには、event timer watchdog time コマンドを使用します。

次に、1 日の指定した時間が表示された場合にイベントを発生させる例を示します。


ciscoasa(config-applet)# event timer absolute time 10:30:20

次に、1 日の指定した時間が表示された場合にイベントを発生させる例を示します。


ciscoasa(config-applet)# event timer countdown time 10:30:20

次に、イベントが 1 日 1 回発生し、自動的に再開されるようにする例を示します。


ciscoasa(config-applet)# event timer watchdog time 30

exceed-mss

3 ウェイハンドシェイクでピアによって設定された TCP 最大セグメントサイズ(MSS)を超えるデータ長のパケットを許可またはドロップするには、tcp マップ コンフィギュレーション モードで exceed-mss コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

exceed-mss { allow | drop }

no exceed-mss { allow | drop }

構文の説明

allow

MSS を超えるパケットを許可します。この設定は、デフォルトです。

drop

MSS を超えるパケットをドロップします。

コマンド デフォルト

パケットは、デフォルトで許可されます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

TCP マップ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

7.2(4)/8.0(4)

デフォルトが drop から allow に変更されました。

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。class-map コマンドを使用してトラフィックのクラスを定義し、tcp-map コマンドで TCP インスペクションをカスタマイズします。policy-map コマンドを使用して、新しい TCP マップを適用します。service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。スリーウェイハンドシェイクでピアによって設定された TCP 最大セグメントサイズを超えるデータ長の TCP パケットをドロップするには、tcp マップ コンフィギュレーション モードで exceed-mss コマンドを使用します。

次に、MSS を超えた場合にポート 21 のフローをドロップする例を示します。


ciscoasa(config)# tcp-map tmap
ciscoasa(config-tcp-map)# exceed-mss drop
ciscoasa(config)# class-map cmap
ciscoasa(config-cmap)# match port tcp eq ftp
ciscoasa(config)# policy-map pmap
ciscoasa(config-pmap)# class cmap
ciscoasa(config-pmap)# set connection advanced-options tmap
ciscoasa(config)# service-policy pmap global

exempt-list

ポスチャ検証を免除されるリモート コンピュータ タイプのリストにエントリを追加するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで exempt-list コマンドを使用します。免除リストからエントリを削除するには、このコマンドの no 形式を使用して、削除するエントリのオペレーティングシステムおよび ACL を指定します。

exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

no exempt-list os " os-name " [ disable | filter acl-name [ disable ] ]

構文の説明

acl-name

ASA コンフィギュレーションに存在する ACL の名前。指定する場合は、filter キーワードの後に指定する必要があります。

disable

次の 2 つの機能のいずれかを実行します。

  • "os-name" の後に入力した場合、ASA は、指定したオペレーティングシステムを実行するリモートホストで免除を行わず、NAC ポスチャ検証を適用します。

  • acl-name の後に入力した場合、ASA は指定したオペレーティングシステムを免除しますが、関連するトラフィックに ACL を割り当てません。

filter

コンピュータのオペレーティングシステムが os name に一致する場合にトラフィックをフィルタリングするための ACL を適用します。filter/acl-name のペアはオプションです。

os

オペレーティング システムをポスチャ検証から免除します。

os name

オペレーティング システム名。名前にスペースが含まれている場合にのみ引用符が必要です(たとえば "Windows XP")。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

nac ポリシー nac フレームワーク コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

コマンド名が vpn-nac-exempt から exempt-list に変更されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。

使用上のガイドライン

コマンドでオペレーティング システムを指定しても、例外リストに追加済みのエントリは上書きされません。免除する各オペレーティング システムおよび ACL に対して 1 つずつコマンドを入力します。

no exempt-list コマンドを入力すると、NAC フレームワークポリシーからすべての免除が削除されます。エントリを指定してこのコマンドの no 形式を発行すると、そのエントリが免除リストから削除されます。

NAC ポリシーに関連付けられている免除リストからすべてのエントリを削除するには、キーワードを指定しないでこのコマンドの no 形式を使用します。

次に、ポスチャ検証を免除するコンピュータのリストに Windows XP を実行するすべてのホストを追加する例を示します。


ciscoasa(config-group-policy)# exempt-list os "Windows XP"
ciscoasa(config-group-policy)

次に、Windows XP を実行するすべてのホストを免除して、これらのホストのトラフィックに ACL acl-1 を適用する例を示します。


ciscoasa(config-nac-policy-nac-framework)# exempt-list os "Windows XP" filter acl-1
ciscoasa(config-nac-policy-nac-framework)

次に、免除リストから上記の例と同じエントリを削除する例を示します。


ciscoasa(config-nac-policy-nac-framework)# no exempt-list os "Windows XP" filter acl-1
ciscoasa(config-nac-policy-nac-framework)

次に、免除リストからすべてのエントリを削除する例を示します。


ciscoasa(config-nac-policy-nac-framework)# no exempt-list
ciscoasa(config-nac-policy-nac-framework)

exit

現在のコンフィギュレーション モードを終了するか、特権 EXEC モードまたはユーザー EXEC モードからログアウトするには、exit コマンドを使用します。

exit

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

ユーザー EXEC

  • 対応

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.0(1)

このコマンドが追加されました。

使用上のガイドライン

キーシーケンス Ctrl+Z を使用して、グローバル コンフィギュレーション(および上位の)モードを終了することもできます。このキー シーケンスは、特権 EXEC モードまたはユーザー EXEC モードでは動作しません。

特権 EXEC モードまたはユーザー EXEC モードで exit コマンドを入力すると、ASA からログアウトします。特権 EXEC モードからユーザー EXEC モードに戻るには、disable コマンドを使用します。

次に、exit コマンドを使用してグローバル コンフィギュレーション モードを終了し、セッションからログアウトする方法の例を示します。


ciscoasa(config)# exit
ciscoasa# exit
Logoff

次に、exit コマンドを使用してグローバル コンフィギュレーション モードを終了し、その後 disable コマンドを使用して特権 EXEC モードを終了する例を示します。


ciscoasa(config)# exit
ciscoasa# disable
ciscoasa#

exp-flow-control

IP オプションインスペクションにおいて、パケットヘッダー内に実験的フロー制御(FINN)オプションが存在する場合のアクションを定義するには、パラメータ コンフィギュレーション モードで exp-flow-control コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

exp-flow-control action { allow | clear }

no exp-flow-control action { allow | clear }

構文の説明

allow

実験的フロー制御 IP オプションを含むパケットを許可します。

clear

実験的フロー制御オプションをパケット ヘッダーから削除してから、パケットを許可します。

コマンド デフォルト

デフォルトでは、IP オプション インスペクションは、実験的フロー制御 IP オプションを含むパケットをドロップします。

IP オプション インスペクション ポリシー マップで default コマンドを使用すると、デフォルト値を変更できます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.5(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプションインスペクションを設定して、特定の IP オプションを持つどの IP パケットが ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。


ciscoasa(config)# policy-map type inspect ip-options ip-options_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# exp-flow-control action allow
ciscoasa(config-pmap-p)# router-alert action allow

expire-entry-timer

ネットワークオブジェクトで指定された完全修飾ドメイン名(FQDN)の有効期限タイマーを設定するには、DNS サーバー グループ コンフィギュレーション モードで expire-entry-timer コマンドを使用します。タイマーを削除するには、このコマンドの no 形式を使用します。

expire-entry-timer minutes minutes

no expire-entry-timer minutes minutes

構文の説明

minutes minutes

タイマーの時間を分単位で指定します。有効な値の範囲は、1 ~ 65535 分です。

コマンド デフォルト

デフォルトでは、DNS expire-entry-timer 値は 1 分です。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

DNS サーバー グループ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.4(2)

このコマンドが追加されました。

9.17(1)

DNS 解決の TTL を延長するのではなく、最小 TTL を設定するようにコマンドの動作が変更されました。

使用上のガイドライン

このコマンドは、DefaultDNS サーバーグループ(アクティブサーバーグループ)でのみサポートされます。ネットワークオブジェクトで指定された完全修飾ドメイン名(FQDN)の有効期限タイマーを設定します。これらの FQDN にのみ適用され、他の目的で解決された FQDN には適用されません。

バージョン 9.16 までは、解決された FQDN の IP アドレスが、その TTL の期限切れ後に削除されるまでの時間を指定します。IP アドレスが削除されると、ASA は tmatch ルックアップ テーブルを再コンパイルします。デフォルトの DNS expire-entry-timer 値は 1 分です。これは、DNS エントリの TTL(存続可能時間)の期限が切れた 1 分後に IP アドレスが削除されることを意味します。

9.17 以降では、DNS エントリの最小 TTL を指定します。有効期限タイマーがエントリの TTL よりも長い場合、TTL は有効期限エントリ時間値まで増加します。TTL が有効期限タイマーよりも長い場合、有効期限エントリ時間値は無視されます。この場合、TTL に追加の時間は追加されません。


(注)  


一般的な FQDN ホスト(www.example.com など)の解決 TTL が短時間である場合、デフォルト設定を使用すると、tmatch ルックアップテーブルが頻繁に再コンパイルされる可能性があります。セキュリティを確保すると同時に tmatch ルックアップ テーブルの再コンパイル頻度を減らすために、長い DNS expire-entry タイマー値を指定できます。


次に、解決されたエントリを 240 分後に削除する例を示します。


ciscoasa(config)# dns server-group DefaultDNS
ciscoasa(config-dns-server-group)# expire-entry-timer minutes 240
 

expiry-time

再検証しないでオブジェクトをキャッシュする有効期限を設定するには、キャッシュ コンフィギュレーション モードで expiry-time コマンドを使用します。コンフィギュレーションから有効期限を削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。

expiry-timetime

no expiry-time

構文の説明

time

ASA が再検証しないでオブジェクトをキャッシュする時間(分)。

コマンド デフォルト

デフォルトは 1 分です。

コマンド モード

次の表は、このコマンドを入力するモードを示しています。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

キャッシュ コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

7.1(1)

このコマンドが追加されました。

使用上のガイドライン

有効期限とは、ASA が再検証しないでオブジェクトをキャッシュする時間(分)を指します。再検証では、内容が再度チェックされます。

次に、有効期限を 13 分に設定する例を示します。


ciscoasa
(config)#
 webvpn
ciscoasa
(config-webvpn)#
 cache
ciscoasa(config-webvpn-cache)#expiry-time 13
ciscoasa(config-webvpn-cache)#

exp-measure

IP オプションインスペクションにおいて、パケットヘッダー内に実験的測定(ZSU)オプションが存在する場合のアクションを定義するには、パラメータ コンフィギュレーション モードで exp-measure コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

exp-measure action { allow | clear }

no exp-measure action { allow | clear }

構文の説明

allow

実験的測定 IP オプションを含むパケットを許可します。

clear

実験測定オプションをパケット ヘッダーから削除してから、パケットを許可します。

コマンド デフォルト

デフォルトでは、IP オプション インスペクションは、実験的測定 IP オプションを含むパケットをドロップします。

IP オプション インスペクション ポリシー マップで default コマンドを使用すると、デフォルト値を変更できます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.5(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプションインスペクションを設定して、特定の IP オプションを持つどの IP パケットが ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。


ciscoasa(config)# policy-map type inspect ip-options ip-options_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# exp-measure action allow
ciscoasa(config-pmap-p)# router-alert action allow

export

証明書をクライアントにエクスポートすることを指定するには、CTL プロバイダー コンフィギュレーション モードで export コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

export certificate trustpoint_name

no export certificate [ trustpoint_name ]

構文の説明

certificate trustpoint_name

クライアントにエクスポートする証明書を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

Ctl プロバイダー コンフィギュレーション

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

CTL プロバイダー コンフィギュレーション モードで export コマンドを使用して、証明書をクライアントにエクスポートすることを指定します。トラストポイント名は、crypto ca trustpoint コマンドで定義します。証明書は、CTL クライアントで構成された CTL ファイルに追加されます。

次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。


ciscoasa(config)# ctl-provider my_ctl
ciscoasa(config-ctl-provider)# client interface inside 172.23.45.1
ciscoasa(config-ctl-provider)# client username CCMAdministrator password XXXXXX encrypted
ciscoasa(config-ctl-provider)# export certificate ccm_proxy
ciscoasa(config-ctl-provider)# ctl install

export webvpn AnyConnect-customization

AnyConnect クライアント GUI をカスタマイズするカスタマイゼーション オブジェクトをエクスポートするには、特権 EXEC モードで export webvpn AnyConnect-customization コマンドを使用します。

export webvpn AnyConnect-customization type type platform platform name name

構文の説明

name

カスタマイゼーション オブジェクトを識別する名前。最大数は 64 文字です。

type

カスタマイゼーションのタイプ:

  • バイナリ:セキュアクライアント GUI を置き換える実行ファイル。

  • トランスフォーム:MSI をカスタマイズするトランスフォーム。

url

XML カスタマイゼーション オブジェクトをエクスポートする URL/filename 形式のリモート パスとファイル名(最大 255 文字)。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

セキュアクライアント カスタマイゼーション オブジェクトは、キャッシュメモリ内にあり、セキュアクライアント ユーザーに表示される GUI 画面をカスタマイズする XML ファイルです。カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。

カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュメモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

Template の内容は、DfltCustomization オブジェクトの初期状態と同じです。

セキュアクライアント GUI で使用されるリソースファイルの完全なリストおよび各ファイル名については、AnyConnect VPN クライアント管理者ガイド [英語] を参照してください。

次に、セキュアクライアント GUI で使用される Cisco ロゴをエクスポートする例を示します。


ciscoasa# export webvpn AnyConnect-customization type resource company_logo.bmp tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
ciscoasa#

export webvpn customization

クライアントレス SSL VPN ユーザーに表示される画面をカスタマイズするカスタマイゼーション オブジェクトをエクスポートするには、特権 EXEC モードで export webvpn customization コマンドを使用します。

export webvpn customization name url

構文の説明

name

カスタマイゼーション オブジェクトを識別する名前。最大数は 64 文字です。

url

XML カスタマイゼーション オブジェクトをエクスポートする URL/filename 形式のリモート パスとファイル名(最大 255 文字)。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

カスタマイゼーション オブジェクトとは、キャッシュ メモリ内にあり、クライアントレス SSL VPN ユーザーに表示される画面(ログイン画面、ログアウト画面、ポータル ページ、使用可能な言語など)をカスタマイズする XML ファイルです。カスタマイゼーション オブジェクトをエクスポートすると、XML タグを含む XML ファイルが、指定した URL に作成されます。

カスタマイゼーション オブジェクトによって作成される Template という名前の XML ファイルには、空の XML タグが含まれており、新しいカスタマイゼーション オブジェクトを作成するための基礎として利用できます。このオブジェクトは変更したり、キャッシュメモリから削除したりすることはできませんが、エクスポートし、編集して、新しいカスタマイゼーション オブジェクトとして再度 ASA にインポートできます。

Template の内容は、DfltCustomization オブジェクトの初期状態と同じです。

export webvpn customization コマンドを使用してカスタマイゼーション オブジェクトをエクスポートし、XML タグを変更し、import webvpn customization コマンドを使用して新しいオブジェクトとしてファイルをインポートできます。

次に、デフォルトのカスタマイゼーション オブジェクト(DfltCustomization)をエクスポートして、dflt_custom という名前の XML ファイルを作成する例を示します。


ciscoasa# export webvpn customization DfltCustomization tftp://209.165.200.225/dflt_custom
!!!!!!!!!!!!!!!!INFO: Customization object 'DfltCustomization' was exported to tftp://10.86.240.197/dflt_custom
ciscoasa#

export webvpn plug-in

ASA のフラッシュデバイスからプラグインをエクスポートするには、特権 EXEC モードで export webvpn plug-in コマンドを入力します。

import webvpn plug-in protocol プロトコル URL

構文の説明

protocol

  • citrix

Citrix プラグインを使用すると、リモート ユーザーは Citrix Metaframe サービスを実行しているコンピュータに接続できます。

  • rdp

Remote Desktop Protocol プラグインにより、リモート ユーザーは Microsoft Terminal Services が実行するコンピュータに接続できます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナルを掲載している Web サイトは、http://properjavardp.sourceforge.net/ です。

  • ssh,telnet

セキュア シェル プラグインにより、リモート ユーザーがリモート コンピュータへのセキュア チャネルを確立したり、リモート ユーザーが Telnet を使用してリモート コンピュータに接続したりできます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナルを掲載している Web サイトは、http://javassh.org/ です。

注意    

 

export webvpn plug-in protocol ssh,telnet URL コマンドは、SSH と Telnet の両方のプラグインをエクスポートします。SSH 用と Telnet 用にこのコマンドをそれぞれ入力しないでくださいssh,telnet ストリングを入力する場合は、両者の間にスペースは挿入しません

  • vnc

Virtual Network Computing プラグインを使用すると、リモート ユーザーはリモート デスクトップ共有をオンにしたコンピュータを、モニター、キーボード、およびマウスを使用して表示および制御できます。シスコでは、変更を加えずにこのプラグインを再配布しています。オリジナルを掲載している Web サイトは、http://www.tightvnc.com/ です。

URL

リモート デバイスへのパス。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC モード

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

プラグインをエクスポートしても、フラッシュから削除されることはありません。エクスポートすると、指定した URL にプラグインのコピーが作成されます。

次のコマンドでは、Citrix の WebVPN サポートを追加しています。


ciscoasa# import webvpn plug-in protocol citrix tftp://209.165.201.22/plugins/ica-plugin.zip
Accessing tftp://209.165.201.22/plugins/ica-plugin.zip...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/csco_config/97/plugin/citrix...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
554543 bytes copied in 13.270 secs (42657 bytes/sec)

次のコマンドでは、RDP プラグインをエクスポートしています。


ciscoasa# export webvpn plug-in protocol rdp tftp://209.165.201.22/plugins/rdp-plugin.jar

export webvpn mst-translation

AnyConnect インストーラプログラムを変換する Microsoft トランスフォーム(MST)をエクスポートするには、特権 EXEC モードで export webvpn mst-translation コマンドを使用します。

export webvpn mst-translation component language language URL

構文の説明

component

この MST が適用されるコンポーネント。有効な選択肢は セキュアクライアント のみです。

language

エクスポートされる MST の言語コード。ブラウザで必要とされるのと同じ形式のコードを使用します。

URL

トランスフォームをエクスポートする URL/filename 形式のリモート パスとファイル名(最大 255 文字)。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

セキュアクライアント GUI と同様に、クライアント インストーラ プログラムに表示されるメッセージを翻訳できます。ASA はトランスフォームを使用して、インストーラに表示されるメッセージを翻訳します。トランスフォームによってインストレーションが変更されますが、元のセキュリティ署名 MSI は変化しません。これらのトランスフォームではインストーラ画面だけが翻訳され、クライアント GUI 画面は翻訳されません。

言語にはそれぞれ独自のトランスフォームがあります。トランスフォームは Orca などのトランスフォーム エディタで編集して、メッセージの文字列を変更できます。その後、トランスフォームを ASA にインポートします。ユーザーがクライアントをダウンロードすると、クライアントはコンピュータの目的の言語(オペレーティング システムのインストール時に指定されたロケール)を検出し、該当するトランスフォームを適用します。

現時点では、30 の言語に対応するトランスフォームが用意されています。これらのトランスフォームは、cisco.com の セキュアクライアント ソフトウェア ダウンロード ページから、次の .zip ファイルで入手できます。

anyconnect-win-<VERSION>-web-deploy-k9-lang.zip

このファイルの <VERSION> は、セキュアクライアント のリリースバージョン(2.2.103 など)を表します。

次に、英語のトランスフォームを AnyConnect_Installer_English としてエクスポートする例を示します。


ciscoasa# export webvpn mst-translation AnyConnect language es tftp://209.165.200.225/
AnyConnect_Installer_English

export webvpn translation-table

SSL VPN 接続を確立するリモートユーザーに表示される用語を変換するために使用される変換テーブルをエクスポートするには、特権 EXEC モードで export webvpn translation-table コマンドを使用します。

export webvpn webvpn translation_domain { language language | template } url

構文の説明

language

事前にインポート済みの変換テーブルの名前を指定します。値は、ブラウザの言語オプションの表現に従って入力します。

translation_domain

機能エリアおよび関連するメッセージです。テーブル 14-1 に、使用可能な変換ドメインを示します。

url

オブジェクトの URL を指定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

ASA では、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザーに表示されるポータルと画面、および AnyConnect VPN クライアントユーザーに表示されるユーザーインターフェイスで使用される言語を変換できます。

リモートユーザーに表示される各機能エリアとそのメッセージには独自の変換ドメインがあります。この変換ドメインは translation_domain argument 引数で指定します。テーブル 14-1 に、変換ドメインと変換される機能エリアを示します。

表 1. 変換ドメインと影響を受ける機能エリア

変換ドメイン

変換される機能エリア

AnyConnect

Cisco AnyConnect VPN Client のユーザーインターフェイスに表示されるメッセージ。

バナー

リモート ユーザーに表示されるバナーと、VPN アクセスが拒否されたときのメッセージ。

CSD

Cisco Secure Desktop(CSD)のメッセージ。

customization

ログインページ、ログアウトページ、ポータルページのメッセージ、およびユーザーによるカスタマイズが可能なすべてのメッセージ。

plugin-ica

Citrix プラグインのメッセージ。

plugin-rdp

Remote Desktop Protocol プラグインのメッセージ。

plugin-telnet,ssh

Telnet および SSH プラグインのメッセージ。

plugin-vnc

VNC プラグインのメッセージ。

PortForwarder

ポート フォワーディング ユーザーに表示されるメッセージ。

url-list

ユーザーがポータル ページの URL ブックマークに指定するテキスト。

webvpn

カスタマイズできないすべてのレイヤ 7 メッセージ、AAA メッセージ、およびポータル メッセージ。

使用上のガイドライン

変換テンプレートは変換テーブルと同じ形式の XML ファイルですが、変換内容はすべて空です。ASA のソフトウェア イメージ パッケージには、標準機能の一部として各ドメイン用のテンプレートが含まれています。プラグインのテンプレートはプラグインに付属しており、独自の変換ドメインを定義します。クライアントレスユーザーのログインおよびログアウトページ、ポータルページ、および URL ブックマークはカスタマイズが可能なため、ASA generates the は customization および url-list 変換ドメインテンプレートをダイナミックに生成し、テンプレートは変更内容をこれらの機能エリアに自動的に反映させます。

以前にインポートされた変換テーブルをエクスポートすると、URL の場所にそのテーブルの XML ファイルが作成されます。show import webvpn translation-table コマンドを使用して、使用可能なテンプレート、およびインポート済みのテーブルのリストを表示できます。

export webvpn translation-table コマンドを使用してテンプレートまたは変換テーブルをダウンロードし、メッセージを変更し、import webvpn translation-table コマンドを使用して変換テーブルをインポートします。

次に、変換ドメイン customization 用のテンプレートをエクスポートする例を示します。このドメインは、クライアントレス SSL VPN 接続を確立するリモート ユーザーがカスタマイズおよび表示可能なログインページ、ログアウトページ、ポータルページ、およびすべてのメッセージを変換するために使用します。 ASA は、 ASA は、Sales という名前の XML ファイルを作成します。


ciscoasa# export webvpn translation-table customization template tftp://209.165.200.225/Sales
ciscoasa# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

次に、>zh という名前の、以前にインポートされた中国語用変換テーブルをエクスポートする例を示します。この短縮形 zh は、Microsoft Internet Explorer ブラウザの [インターネットオプション] で中国語に指定されている短縮形に準拠しています。ASA は、Chinese という名前の XML ファイルを作成します。


ciscoasa# export webvpn translation-table customization language zh tftp://209.165.200.225/Chinese
ciscoasa# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

export webvpn url-list

URL リストをリモートの場所にエクスポートするには、特権 EXEC モードで export webvpn url-list コマンドを使用します。

export webvpn url-list name url

構文の説明

name

URL リストを識別する名前。最大数は 64 文字です。

url

URL リストのソースへのリモート パス。最大数は 255 文字です。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

WebVPN には、デフォルトで URL リストはありません。

export webvpn url-list コマンドを使用して、Template というオブジェクトをダウンロードできます。Template オブジェクトは変更または削除できません。Template オブジェクトの内容を編集してカスタム URL リストとして保存し、import webvpn url-list コマンドを使用してインポートし、カスタム URL リストを追加できます。

インポート済みの URL リストをエクスポートすると、URL の場所にそのリストの XML ファイルが作成されます。show import webvpn url-list コマンドを使用して、使用可能なテンプレート、およびインポート済みのテーブルのリストを表示できます。

次に、URL リスト servers をエクスポートする例を示します


ciscoasa# export webvpn url-list servers2 tftp://209.165.200.225
ciscoasa#

export webvpn webcontent

リモートのクライアントレス SSL VPN ユーザーに表示される、フラッシュメモリ内のインポート済みコンテンツをエクスポートするには、特権 EXEC モードで export webvpn webcontent コマンドを使用します。

export webvpn webcontent source url destination url

構文の説明

destination url

The URL to export to . 最大数は 255 文字です。

source url

コンテンツがある ASA のフラッシュメモリの URL。最大数は 64 文字です。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

特権 EXEC

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

8.0(2)

このコマンドが追加されました。

9.0(1)

マルチ コンテキスト モードのサポートが追加されました。

使用上のガイドライン

webcontent オプションを使用してエクスポートされるコンテンツは、リモートのクライアントレスユーザーに表示されるコンテンツです。これには、クライアントレス ポータルに表示されるインポート済みのヘルプ コンテンツや、カスタマイゼーション オブジェクトによって使用されるロゴなどがあります。

export webvpn webcontent コマンドの後に疑問符(? )を入力すると、エクスポート可能なコンテンツのリストを表示できます。次に例を示します。


ciscoasa# export webvpn webcontent ?
Select webcontent to export:
  /+CSCOE+/help/en/app-access-hlp.inc
  /+CSCOU+/cisco_logo.gif

次に、TFTP を使用してファイル logo.gif を、logo_copy.gif というファイル名で 209.165.200.225 にエクスポートする例を示します。


ciscoasa# export webvpn webcontent /+CSCOU+/logo.gif tftp://209.165.200.225/logo_copy.gif
!!!!* Web resource `/+CSCOU+/logo.gif' was successfully initialized

extended-security

IP オプションインスペクションが設定されたパケットヘッダーでセキュリティ(E-SEC)オプションが発生したときのアクションを定義するには、パラメータ コンフィギュレーション モードで extended-security コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

extended-security action { allow | clear }

no extended-security action { allow | clear }

構文の説明

allow

拡張セキュリティ IP オプションを含むパケットを許可します。

clear

拡張セキュリティ オプションをパケット ヘッダーから削除してから、パケットを許可します。

コマンド デフォルト

デフォルトでは、IP オプション インスペクションは、拡張セキュリティ IP オプションを含むパケットをドロップします。

IP オプション インスペクション ポリシー マップで default コマンドを使用すると、デフォルト値を変更できます。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

パラメータ コンフィギュレーション

  • 対応

  • 対応

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.5(1)

このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプションインスペクションを設定して、特定の IP オプションを持つどの IP パケットが ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。


ciscoasa(config)# policy-map type inspect ip-options ip-options_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# extended-security action allow
ciscoasa(config-pmap-p)# router-alert action allow

external-browser

セキュアクライアント の組み込みブラウザの代わりに外部ブラウザ(オペレーティングシステムのデフォルトのブラウザ)を使用して セキュアクライアント シングルサインオン認証を設定するには、config-tunnel-webvpn モードで external-browser コマンドを使用します。外部ブラウザによるシングルサインオン認証を無効にするには、このコマンドの no 形式を使用します。

external-browser enable

no external-browser enable

構文の説明

enable

デフォルトの OS ブラウザによるシングルサインオン認証を設定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

config-tunnel-webvpn

  • 対応

  • 対応

  • 対応

  • 非対応

  • ×

コマンド履歴

リリース

変更内容

9.17(1)

このコマンドが追加されました。

使用上のガイドライン

external-browser コマンドを使用すると、SAML シングルサインオン認証にオペレーティングシステムのデフォルトのブラウザを使用するように設定できます。

次に、external-browser enable コマンドを使用して、SAML シングルサインオン認証にオペレーティングシステムのデフォルトのブラウザを使用するように設定する例を示します。


ciscoasa
# 
asa(config)# tunnel-group SAML webvpn-attributes
asa(config-tunnel-webvpn)# external-browser enable
asa(config-tunnel-webvpn)#

external-port

Azure Gateway Load Balancer(GWLB)の Azure 上にある ASA Virtual の VNI インターフェイスに VXLAN 外部ポートを指定するには、インターフェイス コンフィギュレーション モードで external-port コマンドを使用します。ポートを削除するには、このコマンドの no 形式を使用します。

external-port port

no external-port port

構文の説明

port

ポートを 1024 ~ 65535 に設定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.19(1)

このコマンドが追加されました。

使用上のガイドライン

Azure サービスチェーンでは、ASA Virtual がインターネットと顧客サービス間のパケットをインターセプトできる透過的なゲートウェイとして機能します。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

次の例では、Azure GWLB の VNI 1 インターフェイスを設定します。


ciscoasa(config)# interface vni 1
ciscoasa(config-if)# proxy paired
ciscoasa(config-if)# internal-segment-id 1000
ciscoasa(config-if)# external-segment-id 1001
ciscoasa(config-if)# internal-port 101
ciscoasa(config-if)# external-port 102
ciscoasa(config-if)# vtep-nve 1
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50

external-segment-id

Azure Gateway Load Balancer(GWLB)の Azure 上にある ASA Virtual の VNI インターフェイスに VXLAN 外部セグメント ID を指定するには、インターフェイス コンフィギュレーション モードで external-segment-id コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。

external-segment-id id

no external-segment-id id

構文の説明

id

1 ~ 16777215 の範囲で ID を設定します。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンドモード

ファイアウォールモード

セキュリティコンテキスト

ルーテッド

トランスペアレント

シングル

マルチ

コンテキスト

システム

インターフェイス コンフィギュレーション

  • 対応

  • 対応

コマンド履歴

リリース

変更内容

9.19(1)

このコマンドが追加されました。

使用上のガイドライン

Azure サービスチェーンでは、ASA Virtual がインターネットと顧客サービス間のパケットをインターセプトできる透過的なゲートウェイとして機能します。ASA Virtual は、ペアプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。

次の例では、Azure GWLB の VNI 1 インターフェイスを設定します。


ciscoasa(config)# interface vni 1
ciscoasa(config-if)# proxy paired
ciscoasa(config-if)# internal-segment-id 1000
ciscoasa(config-if)# external-segment-id 1001
ciscoasa(config-if)# internal-port 101
ciscoasa(config-if)# external-port 102
ciscoasa(config-if)# vtep-nve 1
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50