-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
Cisco ASA シリーズ コマンドリファレンス、A ~ H コマンド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2021年1月8日
章のタイトル: gateway コマンド~ hw-module module shutdown コマンド
- gateway
- gateway-fqdn
- graceful-restart
- graceful-restart helper
- group
- group-alias
- group-delimiter
- group-lock
- group-object
- group-policy
- group-policy attributes
- group-prompt
- group-search-timeout
- group-url
- gtp-u-header-check
- h245-tunnel-block
- hardware-bypass
- hardware-bypass boot-delay
- hardware-bypass manual
- health-check
- health-check application
- health-check auto-rejoin
- hello-interval
- hello padding multi-point
- help
- hidden-parameter
- hidden-shares
- hold-time
- homepage
- homepage use-smart-tunnel
- host(ネットワーク オブジェクト)
- host(パラメータ)
- hostname
- hostname dynamic
- hostscan enable
- hostscan image
- hpm topn enable
- hsi
- hsi-group
- hsts enable
- hsts max-age
- html-content-filter
- http(グローバル)
- http[s](パラメータ)
- http authentication-certificate
- http-comp
- http connection idle-timeout
- http-only-cookie
- http-only-cookie
- http-proxy(call-home)
- http-proxy(dap)
- http-proxy(webvpn)
- http redirect
- http server basic-auth-client
- http server enable
- http server idle-timeout
- http server session-timeout
- https-proxy
- http username-from-certificate
- hw-module module allow-ip
- hw-module module ip
- hw-module module password-reset
- hw-module module recover
- hw-module module recover(ASA 5506W-X)
- hw-module module reload
- hw-module module reset
- hw-module module shutdown
gateway コマンド~ hw-module module shutdown コマンド
gateway
特定のゲートウェイを管理しているコール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで gateway コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
gateway ip_address [ group_id ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
特定のゲートウェイを管理しているコール エージェントのグループを指定するには、 gateway コマンドを使用します。 ip_address オプションを使用して、ゲートウェイの IP アドレスを指定します。 group_id オプションには 0 ~ 4294967295 の数字を指定します。この数字は、ゲートウェイを管理しているコール エージェントの group_id に対応している必要があります。1 つのゲートウェイは 1 つのグループだけに所属できます。
例
次に、コール エージェント 10.10.11.5 および 10.10.11.6 にゲートウェイ 10.10.10.115 の制御を許可し、コール エージェント 10.10.11.7 および 10.10.11.8 にゲートウェイ 10.10.10.116 および 10.10.10.117 の制御を許可する例を示します。
関連コマンド
|
|
|
|---|---|
gateway-fqdn
ASA の FQDN を設定するには、 gateway-fqdn コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
gateway-fqdn value { FQDN_Name | none }
構文の説明
FQDN をヌル値として指定して、FQDN が指定されないようにします。hostname コマンドおよび domain-name コマンドを使用して設定されたグローバル FQDN が使用されます(使用可能な場合)。 |
デフォルト
デフォルト FQDN 名は、デフォルトのグループ ポリシーで設定されていません。新しいグループ ポリシーは、この値を継承するように設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 間にロード バランシングを設定した場合は、VPN セッションの再確立に使用される ASA IP アドレスを解決するために、ASA の FQDN を指定します。この設定は、さまざまな IP プロトコルのネットワーク間のクライアント ローミングをサポートするうえで重要です(IPv4 から IPv6 など)。
AnyConnect プロファイルにある ASA FQDN を使用してローミング後に ASA IP アドレスを取得することはできません。アドレスがロード バランシング シナリオの正しいデバイス(トンネルが確立されているデバイス)と一致しない場合があります。
ASA の FQDN がクライアントにプッシュされない場合、クライアントは、以前にトンネルが確立されている IP アドレスへの再接続を試みます。異なる IP プロトコル(IPv4 から IPv6)のネットワーク間のローミングをサポートするには、AnyConnect は、トンネルの再確立に使用する ASA アドレスを決定できるように、ローミング後にデバイス FQDN の名前解決を行う必要があります。クライアントは、初期接続中にプロファイルに存在する ASA FQDN を使用します。以後のセッション再接続では、使用可能な場合は常に、ASA によってプッシュされた(また、グループ ポリシーで管理者が設定した)デバイス FQDN を使用します。FQDN が設定されていない場合、ASA は、ASDM の [Device Setup] > [Device Name/Password and Domain Name] の設定内容からデバイス FQDN を取得(およびクライアントに送信)します。
デバイス FQDN が ASA によってプッシュされていない場合、クライアントは、異なる IP プロトコルのネットワーク間のローミング後に VPN セッションを再確立できません。
例
次に、ASA の FQDN を ASAName.example.cisco.com として定義する例を示します。
次に、グループ ポリシーから ASA の FQDN を削除する例を示します。グループ ポリシーは、デフォルト グループ ポリシーからこの値を継承します。
次に、FQDN を値なしとして定義する例を示します。ciscoasa コマンドおよび domain-name コマンドを使用して設定されたグローバル FQDN が使用されます(使用可能な場合)。
graceful-restart
NSF 対応 ASA で OSPFv3 のグレースフル リスタートを設定するには、ルータ コンフィギュレーション モードで graceful-restart コマンドを使用します。必要に応じて、restart-interval オプションを使用してグレースフル リスタートの間隔を設定します。グレースフル リスタートをディセーブルにするには、このコマンドの no 形式を使用します。
graceful-restart [restart-interval seconds]
構文の説明
(オプション)グレースフル リスタートの間隔を秒数で指定します。有効な範囲は 1 ~ 1800 です。デフォルトは 120 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
graceful-restart コマンドを使用し、OSPFv3 がプロセス再起動によりデータ フォワーディング パスに留まるようにします。
(注
) ASA の一般的なリブート サイクルを許可するには、再起動間隔を十分長く設定します。ネットワークが古いルート情報に依存することを回避するために、再起動間隔を過度に長く設定しないでください。
例
次に、OSPFv3 のグレースフル リスタートをイネーブルにする例を示します。
ciscoasa(config)# ipv6 router ospf 1
ciscoasa(config-router)# graceful-restart restart-interval 180
関連コマンド
|
|
|
graceful-restart helper
NSF 対応の ASA で OSPFv3 のグレースフル リスタートを設定するには、graceful-restart を使用します。グレースフル リスタートをディセーブルにするには、このコマンドの no 形式を使用します。
graceful-restart helper [strict-lsa-checking]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が NSF をイネーブルにしている場合、ASA は NSF 対応であると考えられ、グレースフル リスタート モードで動作します。OSPF プロセスは、ルート プロセッサ(RP)スイッチオーバーのため、ノンストップ フォワーディングの復帰を実行します。デフォルトでは、NSF 対応 ASA に隣接する ASA は NSF 認識となり、NSF ヘルパー モードで動作します。NSF 対応 ASA がグレースフル リスタートを実行しているときは、ヘルパーの ASA はそのノンストップ フォワーディングの復帰プロセスを支援します。再起動するネイバーのノンストップ フォワーディングの復帰を ASA が支援しないようにする場合は、no nsf ietf helper コマンドを入力します。
NSF 認識 ASA および NSF 対応 ASA の両方で厳密な LSA チェックをイネーブルにするには、graceful-restart helper strict-lsa-checking コマンドを入力します。ただし、グレースフル リスタート プロセス時に ASA がヘルパー ASA になるまでは厳密な LSA チェックは有効になりません。厳密な LSA チェックをイネーブルにすると、ヘルパー ASA は、LSA の変更があるために再起動 ASA にフラッディングされる場合、または、グレースフル リスタート プロセスが開始されたときに再起動 ASA の再送リスト内の LSA に変更があると検出された場合、再起動 ASA のプロセスの支援を終了します。
例
次に、厳密な LSA チェックを行うグレースフル リスタート ヘルパーをイネーブルにする例を示します。
ciscoasa(config)# ipv6 router ospf 1
ciscoasa(config-router)# graceful-restart helper strict-lsa-checking
関連コマンド
|
|
|
group
AnyConnect IPSec 接続に対して IKEv2 セキュリティ アソシエーション(SA)の Diffie-Hellman グループを指定するには、ikev2 ポリシー コンフィギュレーション モードで group コマンドを使用します。コマンドを削除してデフォルト設定を使用するには、このコマンドの no 形式を使用します。
group { 1 | 2 | 5 | 14 | 19 | 20 | 21 | 24 }
no group { 1 | 2 | 5 | 14 | 19 | 20 | 21 | 24 }
構文の説明
デフォルト
使用上のガイドライン
IKEv2 SA は、IKEv2 ピアがフェーズ 2 で安全に通信できるようにするためにフェーズ 1 で使用されるキーです。crypto ikev2 policy コマンドを入力すると、group コマンドを使用して SA の Diffie-Hellman グループを設定できます。ASA および AnyConnect クライアントは、グループ ID を使用して、共有秘密を相互に転送することなく共有秘密を取得します。Diffie-Hellman グループ番号が小さいほど、実行に必要な CPU 時間も少なくなります。Diffie-Hellman グループ番号が大きいほど、セキュリティも高くなります。
AnyConnect クライアントが非 FIPS モードで動作している場合、ASA は Diffie-Hellman グループ 1、2、および 5 をサポートします。FIPS モードでは、サポート グループ 2 および 5 をサポートします。したがって、グループ 1 だけを使用するように ASA を設定する場合、FIPS モードの AnyConnect クライアントは接続に失敗します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
デフォルト DH グループは group 14 です。コマンド オプション group 2 、 group 5 、および group 24 は廃止され、以降のリリースで削除されます。 |
例
次に、ikev2 ポリシー コンフィギュレーション モードを開始して、Diffie-Hellman グループをグループ 5 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
AnyConnect IPsec 接続に対して IKEv2 SA の Diffie-Hellman グループを指定します。 |
|
group-alias
ユーザがトンネル グループの参照に使用する 1 つ以上の変換名を作成するには、トンネル グループ webvpn コンフィギュレーション モードで group-alias コマンドを使用します。リストからエイリアスを削除するには、このコマンドの no 形式を使用します。
group-alias name [ enable | disable ]
構文の説明
トンネル グループ エイリアスの名前を指定します。選択した任意のストリングを指定できます。ただし、スペースを含めることはできません。 |
デフォルト
デフォルトのグループ エイリアスはありませんが、グループ エイリアスを指定すると、そのエイリアスがデフォルトでイネーブルになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
指定したグループ エイリアスが、ログイン ページのドロップダウン リストに表示されます。各グループに複数のエイリアスを指定することも、エイリアスを指定しないことも可能です。このコマンドは、同じグループが「Devtest」や「QA」などの複数の一般名で知られている場合に役立ちます。
例
次に、「devtest」という名前のトンネル グループを設定し、そのグループに対してエイリアス「QA」および「Fra-QA」を確立するコマンドの例を示します。
関連コマンド
|
|
|
|---|---|
WebVPN トンネル グループ属性を設定するためのトンネル グループ webvpn コンフィギュレーション モードを開始します。 |
group-delimiter
グループ名の解析をイネーブルにして、トンネルのネゴシエート時に受信したユーザ名からグループ名を解析する場合に使用するデリミタを指定するには、グローバル コンフィギュレーション モードで group-delimiter コマンドを使用します。このグループ名解析をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デリミタは、トンネルがネゴシエートされるときに、ユーザ名からトンネル グループ名を解析するために使用されます。デフォルトで、デリミタは指定されていないため、グループ名解析はディセーブルです。
例
次に、グループ デリミタをハッシュ マスク(#)に変更する group-delimiter コマンドの例を示します。
関連コマンド
|
|
|
group-lock
リモート ユーザがトンネル グループを介してしかアクセスできないように制限するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで group-lock コマンドを発行します。実行コンフィギュレーションから group-lock 属性を削除するには、このコマンドの no 形式を使用します。
group-lock { value tunnel-grp-name | none }
構文の説明
group-lock をヌル値に設定します。これにより、グループ ロックの制限が許可されなくなります。デフォルトまたは指定したグループ ポリシーの group-lock 値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
使用上のガイドライン
グループ ロックをディセーブルにするには、 group-lock none コマンドを使用します。 no group-lock コマンドは、別のグループ ポリシーからの値の継承を許可します。
グループロックは、仮想プライベート ネットワーク(VPN)クライアントに設定されているグループが、ユーザが割り当てられたトンネル グループと一致しているかどうかを確認することにより、ユーザを制約します。同一ではなかった場合、ASA はユーザによる接続を禁止します。グループ ロックを設定しなかった場合、ASA は、割り当てられているグループに関係なくユーザを認証します。
コマンド履歴
|
|
|
|---|---|
例
次に、FirstGroup という名前のグループ ポリシーにグループ ロックを設定する例を示します。
group-object
オブジェクト グループにグループ オブジェクトを追加するには、オブジェクトの設定時に group-object コマンドを使用します。グループ オブジェクトを削除するには、このコマンドの no 形式を使用します。
構文の説明
オブジェクト グループ(1 ~ 64 文字)を指定します。文字、数字、および「_」、「-」、「.」の組み合わせが使用可能です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
プロトコル、ネットワーク、サービス、ICMP タイプ、セキュリティ グループおよびユーザ オブジェクト グループの各コンフィギュレーション モード |
|||||
コマンド履歴
|
|
|
|---|---|
オブジェクトグループ ユーザ コンフィギュレーション モードでオブジェクト グループを追加して、アイデンティティ ファイアウォール機能で使用できるようになりました。 |
使用上のガイドライン
group-object コマンドは、それ自身がオブジェクト グループであるオブジェクトを追加するために、 object-group コマンドとともに使用します。このサブコマンドを使用すると、同じタイプのオブジェクトを論理グループ化して、構造化されたコンフィギュレーションの階層オブジェクト グループを構築できます。
オブジェクト グループ内でのオブジェクトの重複は、それらのオブジェクトがグループ オブジェクトの場合は許可されます。たとえば、オブジェクト 1 がグループ A とグループ B の両方に存在する場合、A と B の両方を含むグループ C を定義することができます。ただし、グループ階層を循環型にするグループ オブジェクトを含めることはできません。たとえば、グループ A にグループ B を含め、さらにグループ B にグループ A を含めることはできません。
階層オブジェクト グループは 10 レベルまで許可されています。
(注) ASA は、ネストされた IPv6 ネットワーク オブジェクト グループはサポートしません。したがって、IPv6 エントリが含まれるオブジェクトを別の IPv6 オブジェクト グループの下でグループ化することはできません。
例
次に、ホストを重複させる必要性を排除するために group-object コマンドを使用する方法の例を示します。
次に、ローカル ユーザ グループをユーザ グループ オブジェクトに追加するために group-object コマンドを使用する方法の例を示します。
関連コマンド
|
|
|
|---|---|
group-policy
グループ ポリシーを作成または編集するには、グローバル コンフィギュレーション モードで group-policy コマンドを使用します。コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。
group-policy name { internal [from group-policy_name ] | external server-group serve r_ group password server _ password }
構文の説明
グループ ポリシーの名前を指定します。この名前は最大 64 文字で、スペースを含めることができます。スペースを含むグループ名は、二重引用符で囲む必要があります("Sales Group" など)。 |
|
外部 AAA サーバ グループから属性を取得する際に使用するパスワードを指定します。パスワードは最大 128 文字です。スペースを含めることはできません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA には、「DefaultGroupPolicy」という名前のデフォルト グループ ポリシーが常に存在しています。ただし、このデフォルト グループ ポリシーは、これを使用するように ASA を設定しない限り、有効ではありません。設定手順については、CLI 設定ガイドを参照してください。
group-policy attributes コマンドを使用してグループ ポリシー コンフィギュレーション モードを開始します。このモードでは、グループ ポリシーのあらゆる属性と値のペアを設定できます。DefaultGroupPolicy には、次の属性と値のペアがあります。
|
|
|
|---|---|
また、グループ ポリシー コンフィギュレーション モードで webvpn コマンドを入力するか、 group-policy attributes コマンドを入力してから、グループ webvpn コンフィギュレーション モードで webvpn コマンドを入力することで、グループ ポリシーの webvpn コンフィギュレーション モード属性を設定できます。詳細については、 group-policy attributes コマンドの説明を参照してください。
例
次に、「FirstGroup」という名前の内部グループ ポリシーを作成する例を示します。
ciscoasa(config)# group-policy FirstGroup internal
次に、AAA サーバ グループに「BostonAAA」、パスワードに「12345678」を指定し、「ExternalGroup」という名前の外部グループ ポリシーを作成する例を示します。
ciscoasa(config)# group-policy ExternalGroup external server-group BostonAAA password 12345678
関連コマンド
|
|
|
|---|---|
グループ ポリシー コンフィギュレーション モードを開始します。このモードでは、指定したグループ ポリシーの属性と値を設定したり、webvpn コンフィギュレーション モードを開始して、グループの WebVPN 属性を設定したりできます。 |
|
group-policy attributes
グループ ポリシーコンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで、 group-policy attributes コマンドを使用します。グループ ポリシーからすべての属性を削除するには、このコマンドの no 形式を使用します。
no group-policy name attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ ポリシー コンフィギュレーション モードでは、指定したグループ ポリシーの属性と値のペアを設定したり、グループ ポリシー webvpn コンフィギュレーション モードを開始してグループの WebVPN 属性を設定したりできます。
属性モードのコマンド構文には、一般的に、次のような特徴があります。
- no 形式は実行コンフィギュレーションから属性を削除し、別のグループ ポリシーからの値の継承をイネーブルにします。
- none キーワードは実行コンフィギュレーションの属性をヌル値に設定し、これによって継承を禁止します。
- ブール型属性には、イネーブルおよびディセーブルの設定用に明示的な構文があります。
ASA には、DefaultGroupPolicy という名前のデフォルト グループ ポリシーが常に存在しています。ただし、このデフォルト グループ ポリシーは、これを使用するように ASA を設定しない限り、有効ではありません。設定手順については、CLI 設定ガイドを参照してください。
group-policy attributes コマンドを使用してグループ ポリシー コンフィギュレーション モードを開始します。このモードでは、グループ ポリシーのあらゆる属性と値のペアを設定できます。DefaultGroupPolicy には、次の属性と値のペアがあります。
|
|
|
|---|---|
また、 group-policy attributes コマンドを入力してから、グループ ポリシー コンフィギュレーション モードで webvpn コマンドを入力することで、グループ ポリシーの webvpn モード属性を設定できます。詳細については、 webvpn コマンド(グループ ポリシー属性モードおよびユーザ名属性モード)の説明を参照してください。
例
次に、FirstGroup という名前のグループ ポリシーのグループ ポリシー属性モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
グループ webvpn コンフィギュレーション モードを開始し、指定したグループの WebVPN 属性を設定できるようにします。 |
group-prompt
WebVPN ユーザが ASA に接続したときに表示される WebVPN ページ ログイン ボックスのグループ プロンプトをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで group-prompt コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
group-prompt { text | style } value
no group-prompt { text | style } value
構文の説明
デフォルト
グループ プロンプトのデフォルト テキストは「GROUP:」です。
グループ プロンプトのデフォルト スタイルは、color:black;font-weight:bold;text-align:right です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
style オプションは、任意の有効な CSS パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
- カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。
- RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進数値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。
- HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
例
次に、テキストを「Corporate Group:」に変更し、デフォルト スタイルのフォント ウェイトを bolder に変更する例を示します。
関連コマンド
|
|
|
group-search-timeout
show ad-groups コマンドを使用して照会した Active Directory サーバからの応答を待機する最大時間を指定するには、AAA サーバ ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
no group-search-timeout seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
show ad-groups コマンドは LDAP を使用している Active Directory サーバにのみ適用され、Active Directory サーバでリストされているグループが表示されます。 group-search-timeout コマンドを使用して、サーバからの応答を待機する時間を調整します。
例
関連コマンド
|
|
|
|---|---|
サーバが、ダイナミック グループ ポリシーで使用されるグループの検索を開始する Active Directory 階層のレベルを指定します。 |
|
group-url
グループに対する着信 URL または IP アドレスを指定するには、トンネル グループ webvpn コンフィギュレーション モードで group-url コマンドを使用します。リストから URL を削除するには、このコマンドの no 形式を使用します。
group-url url [ enable | disable ]
構文の説明
デフォルト
デフォルトの URL または IP アドレスはありませんが、URL または IP アドレスを指定すると、これがデフォルトでイネーブルになります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループの URL または IP アドレスを指定すると、ユーザがログイン時にグループを選択する必要がなくなります。ユーザがログインすると、ASA はトンネル グループ ポリシー テーブル内でユーザの着信 URL/アドレスを検索します。URL/アドレスが見つかり、さらにトンネル グループでこのコマンドがイネーブルになっている場合、ASA は関連するトンネル グループを自動的に選択して、ユーザ名およびパスワード フィールドだけをログイン ウィンドウでユーザに表示します。これによりユーザ インターフェイスが簡素化され、グループ リストがユーザに表示されなくなるという利点が追加されます。ユーザに表示されるログイン ウィンドウでは、そのトンネル グループ用に設定されているカスタマイゼーションが使用されます。
URL/アドレスがディセーブルで、 group-alias コマンドが設定されている場合は、グループのドロップダウン リストも表示され、ユーザによる選択が必要になります。
1 つのグループに対して複数の URL/アドレスを設定する(または、1 つも設定しない)ことができます。URL/アドレスごとに個別にイネーブルまたはディセーブルに設定できます。指定した URL/アドレスごとに個別の group-url コマンドを使用する必要があります。HTTP または HTTPS プロトコルを含めて、URL/アドレス全体を指定する必要があります。
複数のグループに同じ URL/アドレスを関連付けることはできません。ASA では、URL/アドレスの一意性を検証してから、これをトンネル グループに対して受け入れます。
例
次に、「test」という名前の WebVPN トンネル グループを設定し、そのグループに対して 2 つのグループ URL「http://www.cisco.com 」および「https://supplier.example.com 」を確立するコマンドの例を示します。
次に、RadiusServer という名前のトンネル グループに対して、グループ URL、http://www.cisco.com および http://192.168.10.10 をイネーブルにする例を示します。
enable
enable
関連コマンド
|
|
|
|---|---|
gtp-u-header-check
GTP データ パケットの内部ペイロードが有効な IP パケットであるかどうかを確認し、そうでない場合はドロップします。GTP インスペクション ポリシー マップのパラメータ コンフィギュレーション モードで gtp-u-header-check コマンドを使用します。確認を無効にするには、このコマンドの no 形式を使用します。
gtp-u-header-check [ anti-spoofing [ gtpv2-dhcp-bypass | gtpv2-dhcp-drop ]]
no gtp-u-header-check [ anti-spoofing [ gtpv2-dhcp-bypass | gtpv2-dhcp-drop ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、アンチスプーフィングを実装できます。GTP-C を通じて割り当てたものではない別の IP アドレスを使用してハッカーが別の顧客であるように装う(スプーフィング)可能性があります。アンチスプーフィングは、使用されている GTP-U アドレスが実際に GTP-C を使用して割り当てたものであるかどうかを確認します。
例
次に、デフォルトの動作でアンチスプーフィングを有効にする例を示します。
関連コマンド
|
|
|
|---|---|
h245-tunnel-block
H.323 で H.245 トンネリングをブロックするには、パラメータ コンフィギュレーション モードで h245-tunnel-block コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
h245-tunnel-block action [ drop-connection | log ]
no h245-tunnel-block action [ drop-connection | log ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 コールで H.245 トンネリングをブロックする例を示します。
関連コマンド
|
|
|
|---|---|
hardware-bypass
Cisco ISA 3000 のハードウェア バイパスをイネーブルにし、停電時もインターフェイス ペア間のトラフィック フローを続行させるには、グローバル コンフィギュレーション モードで hardware-bypass コマンドを使用します。ハードウェア バイパスをディセーブルにするには、このコマンドの no 形式を使用します。
hardware-bypass GigabitEthernet { 1/1-1/2 | 1/3-1/4 } [ sticky ]
no hardware-bypass GigabitEthernet { 1/1-1/2 | 1/3-1/4 } [ sticky ]
(注) この機能は、Cisco ISA 3000 アプライアンスのみで使用できます。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ハードウェア バイパスがアクティブな場合はファイアウォール機能が設定されていません。したがって、トラフィックの通過を許可しているリスクをご自身が理解していることを確認してください。ハードウェア バイパスを非アクティブ化すると、ASA がフローを引き継ぐため、接続が短時間中断されます。
(注) ISA 3000 への電源が切断され、ハードウェア バイパス モードに移行すると、通信できるのは上記のインターフェイス ペアのみになります。つまり、デフォルトの設定を使用している場合は、inside1 <---> inside2 および outside1 <---> outside2 は通信できなくなります。これらのインターフェイス間の既存の接続がすべて失われます。
例
次に、GigabitEthernet 1/1 および 1/2 のハードウェア バイパスをディセーブルにし、1/3 および 1/4 をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
hardware-bypass boot-delay
Cisco ISA 3000 にハードウェア バイパスを設定し、ASA Firepower モジュールが起動するまでアクティブに維持するには、グローバル コンフィギュレーション モードで hardware-bypass boot-delay コマンドを使用します。ブート遅延をディセーブルにするには、このコマンドの no 形式を使用します。
hardware-bypass boot-delay module-up sfr
no hardware-bypass boot-delay module-up sfr
(注) この機能は、Cisco ISA 3000 アプライアンスのみで使用できます。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
hardware-bypass boot-delay コマンドが動作するようにするには、 sticky オプションを設定せずに hardware-bypass コマンドを使用してハードウェア バイパスをイネーブルにする必要があります。 hardware-bypass boot-delay を使用しないと、ASA FirePOWER モジュールが起動を完了する前にハードウェア バイパスが非アクティブになる可能性があります。たとえば、モジュールをフェール クローズに設定していた場合、このような状況では、トラフィックがドロップされる可能性があります。
例
次に、( sticky オプションを 設定せずに )ハードウェア バイパスをイネーブルにし、ブート遅延をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
hardware-bypass manual
Cisco ISA 3000 でハードウェア バイパスを手動でアクティブまたは非アクティブにするには、特権 EXEC モードで hardware-bypass manual コマンドを使用します
hardware-bypass manual GigabitEthernet { 1/1-1/2 | 1/3-1/4 }
no hardware-bypass manual GigabitEthernet { 1/1-1/2 | 1/3-1/4 }
(注) この機能は、Cisco ISA 3000 アプライアンスのみで使用できます。
構文の説明
サポートされているインターフェイス ペアは、銅線 GigabitEthernet 1/1 と 1/2 および GigabitEthernet 1/3 と 1/4 です。光ファイバ イーサネット モデルがある場合は、銅線イーサネット ペア(GigabitEthernet 1/1 および 1/2)のみがハードウェア バイパスをサポートします。このコマンドは、ペアごとに別々に入力します。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
hardware-bypass コマンドの sticky オプションを設定してバイパスをイネーブルに維持する場合は、 hardware-bypass manual コマンドを使用して電源回復後にハードウェア バイパスを非アクティブ化する必要があります。
このコマンドによって、現在のハードウェア バイパスの状態が変更されます。電源障害が発生した場合は、 hardware-bypass コンフィギュレーション コマンドのアクションが優先されます。たとえば、 hardware-bypass がディセーブルに設定されている場合にハードウェア バイパスを手動でイネーブルにした後で電源障害が発生したときは、ハードウェア バイパスは設定に従ってディセーブルになります。
例
次に、手動で GigabitEthernet 1/2 および 1/2 のハードウェア バイパスを非アクティブ化する例を示します。
関連コマンド
|
|
|
|---|---|
health-check
クラスタのヘルス チェック機能をイネーブルにするには、クラスタ グループ コンフィギュレーション モードで health-check コマンドを使用します。ヘルス チェックをディセーブルにするには、このコマンドの no 形式を使用します。
health-check [ holdtime timeout ] [ vss-enabled ] [ monitor-interface { interface_id | service-module | debounce-time }]
no health-check [ holdtime timeout ] [ vss-enabled ] [ monitor-interface { interface_id | service-module | debounce-time }]
構文の説明
コマンド デフォルト
デフォルトでは、ヘルス チェックがイネーブルで、holdtime が 3 秒です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
保留時間 の最小値が 3 秒に下がりました。FirePOWER 4100/9300 に debounce-time キーワードが追加されました。 |
|
debounce-time キーワードは、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。 |
使用上のガイドライン
何らかのトポロジ変更を行うとき(たとえば、データ インターフェイスの追加または削除、またはスイッチ上のインターフェイスのイネーブル化またはディセーブル化、VSS または vPC を形成するスイッチの追加)は、ヘルス チェック機能をディセーブルにし、ディセーブルにしたインターフェイスのモニタリングもディセーブルにしてください( no health-check monitor-interface )。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。
メンバー間のキープアライブ メッセージによって、メンバーのヘルス状態が特定されます。ユニットが holdtime 期間内にピア ユニットからキープアライブ メッセージを受信しない場合は、そのピア ユニットは応答不能またはデッド状態と見なされます。インターフェイス ステータス メッセージによって、リンク障害が検出されます。あるインターフェイスが、特定のユニット上では障害が発生したが、別のユニットではアクティブの場合は、そのユニットはクラスタから削除されます。
(注) 9.8(1) では、ユニット ヘルス チェック メッセージング スキームが、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更されました。データ プレーンを使用しると、CPU の使用率および信頼性が向上します。
ユニットがホールド時間内にインターフェイス ステータス メッセージを受信しない場合に、ASA がメンバをクラスタから削除するまでの時間は、インターフェイスのタイプと、そのユニットが確立済みメンバであるか、またはクラスタに参加しようとしているかによって異なります。EtherChannel の場合(スパニングかどうかを問わない)は、確立済みメンバーのインターフェイスがダウン状態のときに、ASA はそのメンバーを 9 秒後に削除します。ユニットが新しいメンバーとしてクラスタに参加しようとしているときは、ASA は 45 秒待機してからその新しいユニットを拒否します。非 EtherChannel の場合は、メンバー状態に関係なく、ユニットは 500 ミリ秒後に削除されます。
このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。
例
ciscoasa(cfg-cluster)# no health-check
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
health-check application
クラウド Web セキュリティのアプリケーション健全性チェックをイネーブルにするには、ScanSafe 汎用オプション コンフィギュレーション モードで health-check application コマンドを使用します。健全性チェックを削除するか、デフォルト タイムアウトに戻すには、このコマンドの no 形式を使用します。
health-check application {[ url url_string ] | timeout seconds }
no health-check application {[ url url_string ] | timeout seconds }
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco Cloud Web Security サービスに登録すると、プライマリ クラウド Web セキュリティ プロキシ サーバとバックアップ プロキシ サーバが割り当てられます。これらのサーバは、アベイラビリティをチェックするために定期的にポーリングされます。ASA がクラウド Web セキュリティ プロキシ サーバに到達することができない場合(SYN/ACK パケットがプロキシ サーバから到着しない場合など)、プロキシ サーバは TCP スリーウェイ ハンドシェイクを介してポーリングされて、アベイラビリティがチェックされます。設定した試行回数(デフォルトは 5)後に、プロキシ サーバが使用不可の場合、サーバは到達不能として宣言され、バックアップ プロキシ サーバがアクティブになります。
クラウド Web セキュリティ アプリケーションの状態をチェックすることで、フェールオーバーをさらに改善することができます。場合によっては、サーバが TCP スリーウェイ ハンドシェイクを完了できても、サーバ上のクラウド Web セキュリティ アプリケーションが正しく機能していないことがあります。アプリケーション健全性チェックを有効にすると、スリーウェイ ハンドシェイクが完了しても、アプリケーション自体が応答しない場合、システムはバックアップ サーバにフェールオーバーできます。これにより、より信頼性の高いフェールオーバー設定が確立されます。この追加のチェックを有効にするには、 health-check application コマンドを使用します。
ヘルス チェックでは、クラウド Web セキュリティ アプリケーションにテストの URL を使用して GET リクエストが送信されます。設定されているタイムアウト期限とリトライ限度内で応答に失敗すると、サーバはダウンとしてマーキングされ、システムはフェールオーバーを開始します。バックアップ サーバもまた、アクティブ サーバとしてマーキングされる前に、正しく機能していることを確認するためにテストされます。フェールオーバーの後、プライマリ サーバのアプリケーションは、オンラインに戻り再度アクティブ サーバとしてマーキングされるまで 30 秒ごとに再テストされます。
継続ポーリングによってプライマリ サーバが連続する 2 回の再試行回数の期間にアクティブであることが示されると、ASA はバックアップ サーバからプライマリ クラウド Web セキュリティ プロキシ サーバに自動的にフォール バックします。このポーリング間隔を変更するには、 retry-count コマンドを使用します。
例
次に、プライマリ サーバとバックアップ サーバを設定し、デフォルトの URL とタイムアウトを使用して健全性チェックをイネーブルにする例を示します。健全性チェックをイネーブルにし、デフォルト以外のタイムアウトを設定するには、 health-check application コマンドを別個に入力する必要があります。
関連コマンド
health-check auto-rejoin
ヘルス チェック失敗後の自動再結合クラスタ設定をカスタマイズするには、クラスタ グループ コンフィギュレーション モードで health-check auto-rejoin コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
health-check { data-interface | cluster-interface | system } auto-rejoin { unlimited | auto_rejoin_max } [ auto_rejoin_interval [ auto_rejoin_interval_variation ]]
no health-check { data-interface | cluster-interface | system } auto-rejoin [{ unlimited | auto_rejoin_max } [ auto_rejoin_interval [ auto_rejoin_interval_variation ]]]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、両方のインターフェイス タイプについて 10 回の試行を設定する例を示します。データ インターフェイスについては再結合間隔を 10 分、間隔の延長は 3 倍に設定し、クラスタ制御リンクについては再結合間隔を 7 分、間隔の延長は 2 倍に設定します。
関連コマンド
|
|
|
|---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
hello-interval
インターフェイス上で送信される EIGRP hello パケット間の間隔を指定するには、インターフェイス コンフィギュレーション モードで hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。
hello-interval eigrp as-number seconds
no hello-interval eigrp as-number seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
hello 間隔を小さくするほど、トポロジの変更が速く検出されますが、より多くのルーティング トラフィックが発生します。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じにする必要があります。
例
次の例では、EIGRP hello 間隔を 10 秒に、ホールド タイムを 30 秒に設定します。
関連コマンド
|
|
|
|---|---|
hello padding multi-point
ルータ レベルで IS-IS hello パディングを再度イネーブルにするには、ルータ ISIS コンフィギュレーション モードで、 hello padding multi-point コマンドを入力します。IS-IS hello パディングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、最大伝送ユニット(MTU)サイズになるまで IS-IS hello をパディングできます。IS-IS hello をフル MTU に埋め込む利点は、大きなフレームに関連した送信問題によるエラーや隣接インターフェイスの MTU 不一致によるエラーを検出できることです。
両方のインターフェイスの MTU が同じである場合やトランスレーショナル ブリッジングの場合には、ネットワーク帯域幅の無駄を省くため、hello パディングをディセーブルにできます。hello パディングがディセーブルになっても、ASA は、MTU 不一致検出の利点を維持するために、最初の 5 回の IS-IS hello を最大 MTU にパディングして送信します。
IS-IS ルーティング プロセスに関して、ASA 上のすべてのインターフェイスの hello パディングをディセーブルにするには、ルータ コンフィギュレーション モードで no hello padding コマンドを入力します。特定のインターフェイスの hello パディングを選択的にディセーブルにするには、インターフェイス コンフィギュレーション モードで no isis hello padding コマンドを入力します。
例
次に、 no hello padding コマンドを使用して、ルータ レベルの hello パディングをオフにする例を示します。
関連コマンド
help
指定するコマンドのヘルプ情報を表示するには、ユーザ EXEC モードで help コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
help コマンドを使用すると、すべてのコマンドのヘルプ情報が表示されます。 help コマンドの後にコマンド名を入力することによって、個々のコマンドのヘルプを参照できます。コマンド名を指定せず、その代わりに ? と入力した場合、現在の特権レベルおよびモードで使用可能なすべてのコマンドを表示します。
pager コマンドがイネーブルの場合、24 行表示されると、リスト表示が一時停止して次のプロンプトが表示されます。
例
次に、 rename コマンドのヘルプを表示する例を示します。
ciscoasa# help rename
USAGE:
rename /noconfirm [{disk0:|disk1:|flash:}] <source path> [{disk0:|disk1:
|flash:}] <destination path>
DESCRIPTION:
rename Rename a file
SYNTAX:
/noconfirm No confirmation
{disk0:|disk1:|flash:} Optional parameter that specifies the filesystem
<source path> Source file path
<destination path> Destination file path
ciscoasa#
次に、コマンド名と疑問符を入力して、ヘルプを表示する例を示します。
usage: enable password <pwd> [encrypted]
コマンド プロンプトで ? を入力すると、主要コマンド(show、no、または clear コマンド以外)に関するヘルプが表示されます。
aaa Enable, disable, or view TACACS+ or RADIUS
user authentication, authorization and accounting
関連コマンド
|
|
|
|---|---|
hidden-parameter
ASA が SSO 認証のために認証 Web サーバに送信する HTTP POST 要求の非表示パラメータを指定するには、AAA サーバ ホスト コンフィギュレーション モードで hidden-parameter コマンドを使用します。実行コンフィギュレーションからすべての非表示パラメータを削除するには、このコマンドの no 形式を使用します。
(注) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。
構文の説明
構文の説明構文の説明
フォームに組み込まれて SSO サーバに送信される非表示パラメータ。複数行に入力できます。各行の最大文字数は 255 です。すべての行をあわせた(非表示パラメータ全体の)最大文字数は 2048 文字です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
これは HTTP フォームのコマンドを使用した SSO です。
ASA の WebVPN サーバは、認証 Web サーバに SSO 認証要求を送信するときに HTTP POST 要求を使用します。その要求では、ユーザには表示されない SSO HTML フォームの特定の非表示パラメータ(ユーザ名およびパスワード以外)が必要になることがあります。Web サーバから受信したフォームに対して HTTP ヘッダー アナライザを使用することで、Web サーバが POST 要求で想定している非表示パラメータを検出できます。
hidden-parameter コマンドを使用すると、Web サーバが認証 POST 要求で必要としている非表示パラメータを指定できます。ヘッダー アナライザを使用する場合は、エンコーディング済みの URL パラメータを含む非表示パラメータ文字列全体をコピーして貼り付けることができます。
入力を簡単にするために、複数の連続行で非表示パラメータを入力できます。ASA では、その複数行を連結して単一の非表示パラメータにします。非表示パラメータ 1 行ごとの最大文字数は 255 文字ですが、各行にはそれより少ない文字しか入力できません。
(注) 文字列に疑問符を含める場合は、疑問符の前に Ctrl+V のエスケープ シーケンスを使用する必要があります。
例
次に、& で区切られた 4 つのフォーム エントリとその値で構成される非表示パラメータの例を示します。POST 要求から抜き出された 4 つのエントリおよびその値は、次のとおりです。
- SMENC、値は ISO-8859-1
- SMLOCALE、値は US-EN
- ターゲット、値は https%3A%2F%2Ftools.cisco.com%2Femco%2Fappdir%2FAreaRoot.do
SMENC=ISO-8859-1&SMLOCALE=US-EN&target=https%3A%2F%2Ftools.cisco.com%2Femco%2Fappdir%2FAreaRoot.do%3FEMCOPageCode%3DENG&smauthreason=0
関連コマンド
|
|
|
|---|---|
hidden-shares
CIFS ファイルの非表示共有の可視性を制御するには、グループ webvpn コンフィギュレーション モードで hidden-shares コマンドを使用します。非表示共有オプションをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
hidden-shares { none | visible }
[no ] hidden-shares { none | visible }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
非表示共有は、共有名の末尾のドル記号($)で識別されます。たとえば、ドライブ C は C$ として共有されます。非表示共有では、共有フォルダは表示されず、ユーザはこれらの非表示リソースを参照またはアクセスすることを禁止されます。
hidden-shares コマンドの no 形式を使用すると、コンフィギュレーションからオプションが削除され、グループ ポリシー属性として非表示共有がディセーブルになります。
例
次に、GroupPolicy2 に関連する WebVPN CIFS 非表示共有を可視にする例を示します。
関連コマンド
|
|
|
|---|---|
グループ ポリシー コンフィギュレーション モードを開始します。このモードでは、指定したグループ ポリシーの属性と値を設定したり、webvpn コンフィギュレーション モードを開始して、グループの WebVPN 属性を設定したりできます。 |
|
hold-time
ASA が EIGRP hello パケットでアドバタイズするホールド タイムを指定するには、インターフェイス コンフィギュレーション モードで hold-time コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。
hold-time eigrp as-number seconds
no hold-time eigrp as-number seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この値は、ASA によって EIGRP hello パケットでアドバタイズされます。そのインターフェイスの EIGRP ネイバーは、この値を使用してASAの可用性を判断します。アドバタイズされたホールド タイム中に ASA から hello パケットを受信しなかった場合、EIGRP ネイバーは ASA が使用不可であると見なします。
非常に混雑した大規模ネットワークでは、一部のルータおよびアクセス サーバが、デフォルト ホールド タイム内にネイバーから hello パケットを受信できない可能性があります。この場合、ホールド タイムを増やすこともできます。
ホールド タイムは、少なくとも hello 間隔の 3 倍にすることを推奨します。指定したホールド タイム内に ASA で hello パケットを受信しなかった場合、このネイバーを通過するルートは使用不可であると見なされます。
例
次の例では、EIGRP hello 間隔を 10 秒に、ホールド タイムを 30 秒に設定します。
関連コマンド
|
|
|
|---|---|
homepage
該当 WebVPN ユーザまたはグループ ポリシーに対して、ログイン時に表示される Web ページの URL を指定するには、webvpn コンフィギュレーション モードで homepage コマンドを使用します。設定済みのホームページ( homepage none コマンドを発行して作成されたヌル値を含む)を削除するには、このコマンドの no 形式を使用します。
homepage { value url-string | none }
構文の説明
WebVPN ホームページがないことを指定します。ヌル値を設定して、ホームページを拒否します。ホームページを継承しないようにします。 |
|
ホームページの URL を指定します。http:// または https:// のいずれかで始まるストリングにする必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
グループ ポリシーに関連付けられているユーザのホームページ URL を指定するには、このコマンドで URL 文字列値を入力します。デフォルト グローバル ポリシーからホームページを継承するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。ホームページの継承を禁止するには、 homepage none コマンドを使用します。
クライアントレス ユーザには、認証の成功後すぐにこのページが表示されます。AnyConnect は、VPN 接続が正常に確立されると、この URL に対してデフォルトの Web ブラウザを起動します。Linux プラットフォームでは、AnyConnect が現在このコマンドをサポートしていないため、コマンドは無視されます。
例
次に、FirstGroup という名前のグループ ポリシーのホームページとして www.example.com を指定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
webvpn コンフィギュレーション モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
homepage use-smart-tunnel
クライアントレス SSL VPN の使用時に、グループ ポリシーのホームページがスマート トンネル機能を使用できるようにするには、グループ ポリシー webvpn コンフィギュレーション モードで homepage use-smart-tunnel コマンドを使用します。
homepage { value url-string | none }
構文の説明
WebVPN ホームページがないことを指定します。ヌル値を設定して、ホームページを拒否します。ホームページを継承しないようにします。 |
|
ホームページの URL を指定します。http:// または https:// のいずれかで始まるストリングにする必要があります。 |
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ブラウザ セッションをモニタし、スマート トンネルが WebVPN 接続中に開始されたことを確認するために HTTP キャプチャ ツールを使用できます。ブラウザ キャプチャの表示内容により、要求が制限されることなく Web ページに転送されるかどうか、またスマート トンネルが使用されているかどうかが判断されます。https://172.16.16.23/+CSCOE+portal.html などが表示された場合、 +CSCO* はコンテンツが ASA によって制限されていることを示しています。スマート トンネルが開始されると、+CSCO* がない特定の URL に対する http get コマンドが表示されます(GET 200 html http://mypage.example.com など)。
例
ベンダー V がパートナー P に自社内部の在庫サーバ ページへのクライアントレス アクセスを提供する場合を考えます。この場合、ベンダー V の管理者は、次の事項を決定する必要があります。
- ユーザは、クライアントレス SSL VPN にログインした後、クライアントレス ポータルを経由するかどうかに関係なく、在庫ページアクセスできますか。
- ページに Microsoft Silverlight コンポーネントが含まれていますが、アクセスするのにスマート トンネルは適切な選択肢ですか。
- ブラウザがトンネリングされると、すべてのトンネル ポリシーによりすべてのブラウザ トラフィックがベンダー V の ASA を経由するように強制され、パートナー P のユーザは内部リソースにアクセスできなくなりますが、すべてをトンネリングするポリシーは適切ですか。
在庫ページが inv.example.com(10.0.0.0)でホストされると仮定すると、次の例では、1 つのホストだけを含むトンネル ポリシーが作成されます。
次に、トンネル指定トンネル ポリシーをパートナーのグループ ポリシーに適用する例を示します。
次に、グループ ポリシーのホーム ページを指定し、そこでスマート トンネルをイネーブルにする例を示します。
host(ネットワーク オブジェクト)
ネットワーク オブジェクトのホストを設定するには、ネットワーク オブジェクト コンフィギュレーション モードで host コマンドを使用します。ホストをオブジェクトから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
既存のネットワーク オブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。
例
次に、ホスト ネットワーク オブジェクトを作成する例を示します。
関連コマンド
|
|
|
|---|---|
host(パラメータ)
RADIUS アカウンティングを使用して対話するホストを指定するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで host コマンドを使用します。このモードにアクセスするには、ポリシー マップ タイプ インスペクションの RADIUS アカウンティング サブモードで parameters コマンドを使用します。指定したホストをディセーブルにするには、このコマンドの no 形式を使用します。
no host address [ key secret ]
構文の説明
メッセージの検証に使用されるアカウンティング メッセージを送信するエンドポイントの共有秘密キー。最大 128 の英数字を使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、RADIUS アカウンティングを使用するホストを指定する例を示します。
関連コマンド
|
|
|
|---|---|
hostname
ASA のホスト名を設定するには、グローバル コンフィギュレーション モードで hostname コマンドを使用します。デフォルトのホスト名に戻すには、このコマンドの no 形式を使用します。
構文の説明
ホスト名を最大 63 文字で指定します。ホスト名はアルファベットまたは数字で開始および終了する必要があり、間の文字にはアルファベット、数字、またはハイフンのみを使用する必要があります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホスト名は、コマンドライン プロンプトとして表示され、複数のデバイスへのセッションを確立している場合に、コマンドを入力している場所を把握するのに役立ちます。マルチ コンテキスト モードでは、システム実行スペースに設定したホスト名がすべてのコンテキストのコマンドライン プロンプトに表示されます。
コンテキスト内に任意で設定したホスト名は、コマンドラインには表示されませんが、 banner コマンドの $(hostname) トークンでは使用できます。
例
次に、ホスト名を firewall1 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
hostname dynamic
ASA で IS-IS ダイナミック ホスト名機能をイネーブルにするには、ルータ ISIS コンフィギュレーション モードで hostname dynamic コマンドを使用します。ダイナミック ホスト名機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
IS-IS ルーティング ドメインでは、各 ASA はシステム ID により表されます。システム ID は、IS-IS ASA ごと構成されている Network Entity Title(NET)の一部です。たとえば、NET 49.0001.0023.0003.000a.00 が設定されている ASA のシステム ID が 0023.0003.000a であるとします。ネットワーク管理者にとって、ルータでのメンテナンスやトラブルシューティングの間、ルータ名とシステム ID の対応を覚えているのは難しいことです。 show isis hostname コマンドを入力すると、システム ID に対するルータ名のマッピング テーブルに含まれるエントリが表示されます。
ダイナミック ホスト名メカニズムはリンクステート プロトコル(LSP)フラッディングを使用して、ネットワーク全体にルータ名に対するシステム ID のマッピング情報を配布します。ネットワーク上の ASA はすべて、このシステム ID に対するルータ名のマッピング情報をルーティング テーブルにインストールしようと試みます。
ネットワーク上で、ダイナミック名のタイプ、長さ、値(TLV)をアドバタイズしている ASA が突然アドバタイズメントを停止した場合、最後に受信されたマッピング情報が最大 1 時間、ダイナミック ホスト マッピング テーブルに残るため、ネットワークに問題が発生している間、ネットワーク管理者はマッピング テーブル内のエントリを表示できます。 show isis hostname コマンドを入力すると、マッピング テーブルに含まれるエントリが表示されます。
例
次に、ホスト名を firewall1 に設定する例を示します。
関連コマンド
hostscan enable
クライアントレス SSL VPN リモート アクセスまたは AnyConnect クライアントを使用したリモート アクセスに対してホストスキャンをイネーブルにするには、webvpn コンフィギュレーション モードで hostscan enable コマンドを使用します。ホストスキャンをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ホストスキャンは、1 つの例外を除いて、ASA へのすべてのリモート アクセス接続試行に対してグローバルにイネーブルまたはディセーブルに設定されます。
hostscan enable コマンドは、次の処理を実行します。
1. 以前の hostscan image path コマンドによって実行されたチェックを補足する有効性チェックを提供します。
2. sdesktop フォルダがまだ存在しない場合は、disk0: 上に作成します。
3. data.xml(ホストスキャン コンフィギュレーション)ファイルが sdesktop フォルダにまだ存在しない場合は、追加します。
4. フラッシュ デバイスの data.xml を実行コンフィギュレーションにロードします。
(注) • show webvpn hostscan コマンドを入力して、ホストスキャンがイネーブルであるかどうかを確認できます。
- hostscan enable コマンドを入力する前に、実行コンフィギュレーション内に hostscan image path コマンドが存在する必要があります。
- no hostscan enable コマンドは、実行コンフィギュレーションでホストスキャンをディセーブルにします。ホストスキャンがディセーブルの場合、管理者は Hostscan Manager にアクセスできず、リモート ユーザはホストスキャンを使用できません。
- data.xml ファイルを転送または置換する場合は、ホストスキャンをいったんディセーブルにしてからイネーブルにして、このファイルを実行コンフィギュレーションにロードします。
- ホストスキャンは、ASA へのすべてのリモート アクセス接続試行に対してグローバルにイネーブルまたはディセーブルに設定されます。個別の接続プロファイルやグループ ポリシーに対してホストスキャンをイネーブルまたはディセーブルに設定することはできません。
例外 :クライアントレス SSL VPN 接続の接続プロファイルは、コンピュータがグループ URL を使用して ASA への接続を試行し、ホストスキャンがグローバルにイネーブルの場合、ホストスキャンがクライアント コンピュータで実行されないように設定できます。次に例を示します。
ciscoasa(config)# tunnel-group group-name webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-url https://www.url-string.com
ciscoasa(config-tunnel-webvpn)# without-Hostscan
例
次に、ホストスキャン イメージのステータスを表示し、ホストスキャン イメージをイネーブルにするためのコマンドを示します。
関連コマンド
hostscan image
シスコのホスト スキャン配布パッケージをインストールまたはアップグレードし、実行コンフィギュレーションに追加するには、webvpn コンフィギュレーション モードで hostscan image コマンドを使用します。ホスト スキャン配布パッケージを実行コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
現在インストールされ、イネーブルになっているホスト スキャン イメージのバージョンを確認するには、 show webvpn hostscan コマンドを入力します。
hostscan image コマンドを使用してホスト スキャンをインストールした後に、enable コマンドを使用してイメージをイネーブルにします。
次回の ASA のリブート時にホスト スキャン イメージを確実に使用できるように、 write memory コマンドを入力して実行コンフィギュレーションを保存します。
例
次に、シスコのホスト スキャン パッケージをインストールし、イネーブルにして、表示およびフラッシュ ドライブへの設定の保存を行うコマンドを示します。
関連コマンド
|
|
|
シスコのホスト スキャンがイネーブルである場合、そのバージョンを示します。ディセーブルの場合、CLI に「Hostscan is not enabled..」と表示されます。 |
|
hpm topn enable
ASA 経由で接続している上位ホストに関する ASDM のリアルタイム レポートをイネーブルにするには、グローバル コンフィギュレーション モードで hpm topn enable コマンドを使用します。ホストのレポート作成をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
システム パフォーマンスを最大にする場合は、このコマンドをディセーブルにすることを推奨します。このコマンドにより、[ASDM Home] > [Firewall Dashboard] > [Top 200 Hosts] ペインに情報が入力されます。
例
関連コマンド
|
|
|
|---|---|
hsi
H.323 プロトコル インスペクションの HSI グループに HSI を追加するには、HSI グループ コンフィギュレーション モードで hsi コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション ポリシー マップで HSI を HSI グループに追加する例を示します。
関連コマンド
|
|
|
|---|---|
hsi-group
H.323 プロトコル インスペクション用の HSI グループを定義して、HSI コンフィギュレーション モードを開始するには、パラメータ コンフィギュレーション モードで hsi-group コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、H.323 インスペクション ポリシー マップで HSI グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
hsts enable
ブラウザやその他のユーザ エージェントへの HTTP Strict Transport Security ヘッダーの送信を設定するには、webvpn コンフィギュレーション モードで hsts enable コマンドを使用します。コンフィギュレーションからこの設定を削除するには、このコマンドの no 形式を使用します。このコマンドが有効になると、非セキュアな方法でアクセスが試行された場合、準拠しているブラウザおよびユーザ エージェントは HTTPS に切り替えられます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
HTTP Strict Transport Security(HSTS)は、Web セキュリティ ポリシーのメカニズムであり、プロトコル ダウングレード攻撃および Cokie ハイジャックから Web サイトを保護するのに役立ちます。これにより Web サーバは、Web ブラウザ(またはその他の準拠しているユーザ エージェント)が Web サーバと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。
有効にすると、デフォルトのタイムアウト値である 10,886,400 秒(18 週)が使用されます。これは、 hsts max-age コマンドを使用して変更できます。
例
ciscoasa(config)# webvpn
関連コマンド
|
|
|
|---|---|
hsts max-age
ブラウザやその他のユーザ エージェントへの HTTP Strict Transport Security ヘッダーの送信が( hsts enable コマンドを使用して)設定されている場合、 hsts max-age を使用すると、ASA が HSTS ホストとして扱われ、セキュアな方法でアクセスされる期間の最大値を設定できます。
hsts max-age max-value-in-seconds
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
HTTP Strict Transport Security(HSTS)は、Web セキュリティ ポリシーのメカニズムであり、プロトコル ダウングレード攻撃および Cokie ハイジャックから Web サイトを保護するのに役立ちます。これにより Web サーバは、Web ブラウザ(またはその他の準拠しているユーザ エージェント)が Web サーバと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。
有効にすると、デフォルトのタイムアウト値である 10,886,400 秒(18 週)が使用されます。このコマンドは、タイムアウトを変更します。
例
ciscoasa(config)# webvpn
関連コマンド
|
|
|
|---|---|
html-content-filter
このユーザまたはグループ ポリシーに対して WebVPN セッションの Java、ActiveX、イメージ、スクリプト、およびクッキーをフィルタリングするには、webvpn コンフィギュレーション モードで html-content-filter コマンドを使用します。コンテンツ フィルタを削除するには、このコマンドの no 形式を使用します。
html-content-filter { java | images | scripts | cookies | none }
no html-content-filter [ java | images | scripts | cookies | none ]
構文の説明
Java および ActiveX への参照を削除します(<EMBED>、<APPLET>、および <OBJECT> タグを削除します)。 |
|
フィルタリングを行わないことを指定します。ヌル値を設定して、フィルタリングを拒否します。フィルタリング値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
すべてのコンテンツ フィルタ( html-content-filter none コマンドを発行して作成されたヌル値を含む)を削除するには、このコマンドの no 形式を引数なしで使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。HTML コンテンツ フィルタを継承しないようにするには、 html-content-filter none コマンドを使用します。
例
次に、FirstGroup という名前のグループ ポリシーに対して Java と ActiveX、クッキー、およびイメージのフィルタリングを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# webvpn
関連コマンド
|
|
|
|---|---|
webvpn コンフィギュレーション モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。グローバル コンフィギュレーション モードを開始して WebVPN のグローバル設定を設定できるようにします。 |
http(グローバル)
ASA 内部の HTTP サーバにアクセスできるホストを指定するには、グローバル コンフィギュレーション モードで http コマンドを使用します。1 つ以上のホストを削除するには、このコマンドの no 形式を使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を引数なしで使用します。
http ip_address subnet_mask interface_name
構文の説明
ホストが HTTP サーバにアクセスするために通過する ASA のインターフェイスの名前を指定します。物理インターフェイスまたは仮想インターフェイスを指定できます。BVI インターフェイスが指定されている場合、そのインターフェイスに対し management-access を設定する必要があります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
直接接続された HTTP 管理ステーションがある場合は、ASA とホストで /31 サブネットを使用して、ポイントツーポイント接続を作成できます。 |
|
例
次に、IP アドレス 10.10.99.1 とサブネット マスク 255.255.255.255 を持つホストが、外部インターフェイス経由で HTTP サーバにアクセスできるようにする例を示します。
次に、任意のホストが、外部インターフェイス経由で HTTP サーバにアクセスできるようにする例を示します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
http[s](パラメータ)
ScanSafe インスペクション ポリシー マップのサービス タイプを指定するには、パラメータ コンフィギュレーション モードで http [ s ] コマンドを使用します。サービス タイプを削除するには、このコマンドの no 形式を使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect scansafe コマンドを入力します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ScanSafe インスペクション ポリシー マップには、 http または https のいずれか 1 つのサービス タイプのみを指定できます。デフォルトはありません。タイプを指定する必要があります。
例
次に、インスペクション ポリシー マップを作成して、サービス タイプを HTTP に設定する例を示します。
関連コマンド
http authentication-certificate
ASDM の HTTPS 接続による認証のために証明書を要求するには、グローバル コンフィギュレーション モードで http authentication-certificate コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。
http authentication-certificate interface name [ match certificate_map_name ]
no http authentication-certificate [ interface [ match certificate_map_name ]]
構文の説明
証明書は証明書マップと一致する必要があります。マップを設定するには、 crypto ca certificate map を使用します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
AAA 認証の有無にかかわらず証明書認証を必須にできます。証明書認証はインターフェイスごとに設定できます。その結果、信頼できるインターフェイスまたは内部インターフェイス上の接続については証明書の提示が不要になります。コマンドを複数回使用すれば、複数のインターフェイス上で証明書認証をイネーブルにできます。
ASA は、PKI トラスト ポイントと比較して証明書を検証します。証明書が検証に合格しない場合、ASA は SSL 接続を終了します。
例
次に、outside および external というインターフェイスに接続するクライアントに対して、証明書による認証を要求する例を示します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバへのアクセスで経由する ASA のインターフェイスを指定します。 |
|
http-comp
特定のグループまたはユーザの WebVPN 接続上で HTTP データの圧縮をイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードおよびユーザ名 webvpn コンフィギュレーション モードで http-comp コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
WebVPN 接続の場合、グローバル コンフィギュレーション モードで設定された compression コマンドによって、グループ ポリシー webvpn コンフィギュレーション モードおよびユーザ名 webvpn コンフィギュレーション モードで設定された http-comp コマンドが上書きされます。
例
次の例では、グループ ポリシー sales の圧縮をディセーブルにします。
関連コマンド
|
|
|
http connection idle-timeout
ASDM、WebVPN、およびその他のクライアントなど、ASA への HTTPS 接続のアイドルタイムアウトを設定するには、グローバル コンフィギュレーション モードで http connection idle-timeout コマンドを使用します。タイムアウトをディセーブルにするには、このコマンドの no 形式を使用します。
http connection idle-timeout [seconds]
no http connection idle-timeout [seconds]
構文の説明no http server enable [port]
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、設定した期間アイドル状態の接続を切断します。 http server idle-timeout コマンドと http connection idle-timeout コマンドの両方を設定した場合は、 http connection idle-timeout コマンドが優先されます。
例
次の例では、HTTPS セッションのアイドルタイムアウトを 600 秒に設定します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスおよびサブネット マスクにより HTTP サーバにアクセスできるホストと、そのホストの HTTP サーバへのアクセスで経由するインターフェイスを指定します。 |
|
http-only-cookie
クライアントレス SSL VPN セッションのクッキーが JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにするには、webvpn モードで http-only-cookie コマンドを使用します。この制限を削除するには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Flash アプリケーションや Java アプレットなどの組み込みオブジェクト、および外部アプリケーションは、通常は既存のセッションのクッキーに依存してサーバと連携しています。これらの組み込みオブジェクトは、初期化時にいくつかの Javascript を使用してブラウザからクッキーを取得します。クライアントレス SSL VPN セッション クッキーに httponly フラグを追加すると、セッション クッキーがブラウザのみで認識され、クライアント側のスクリプトでは認識されなくなり、セッションの共有は不可能になります。
(注) このコマンドは、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、次に示すクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。
• VPN セッションのクッキー設定は、アクティブなクライアントレス SSL VPN セッションがない場合にだけ変更してください。
• クライアントレス SSL VPN セッションのステータスを確認するには、 show vpn-sessiondb webvpn コマンドを使用します。
• すべてのクライアントレス SSL VPN セッションからログアウトするには、 vpn-sessiondb logoff webvpn コマンドを使用します。
• 次のクライアントレス SSL VPN 機能は、http-only-cookie コマンドがイネーブルの場合に動作しません。
– デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能
例
http-only-cookie
クライアントレス SSL VPN セッション クッキーの httponly フラグをイネーブルにするには、webvpn コンフィギュレーション モードで http-only-cookie コマンドを使用します。このフラグをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Flash アプリケーションや Java アプレットなどの組み込みオブジェクト、および外部アプリケーションは、通常は既存のセッションのクッキーに依存してサーバと連携しています。これらの組み込みオブジェクトは、初期化時にいくつかの Javascript を使用してブラウザからクッキーを取得します。クライアントレス SSL VPN セッション クッキーに httponly フラグを追加すると、セッション クッキーがブラウザのみで認識され、クライアント側のスクリプトでは認識されなくなり、セッションの共有は不可能になります。
VPN セッション クッキー設定の変更は、アクティブなクライアントレス SSL VPN セッションが存在しない場合のみ実行してください。 show vpn-sessiondb webvpn コマンドを使用して、クライアントレス SSL VPN セッションのステータスを確認します。vpn-sessiondb logoff webvpn コマンドを使用して、すべてのクライアントレス SSL VPN セッションからログアウトします。
次のクライアントレス SSL VPN 機能は、http-only-cookie コマンドがイネーブルの場合に動作しません。
- Java プラグイン
- Java リライタ
- ポートフォワーディング。
- ファイルブラウザ
- デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能
- AnyConnect Web 起動
- Citrix Receiver、XenDesktop、および Xenon
- その他の非ブラウザ ベース アプリケーションおよびブラウザプラグインベースのアプリケーション
(注) このコマンドは、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、セキュリティ上のリスクが発生します。
例
次に、クライアントレス SSL VPN セッション クッキーの httponly フラグをイネーブルにする例を示します。
ciscoasa(config)# webvpn
関連コマンド
|
|
|
|---|---|
http-proxy(call-home)
スマート ライセンスおよび Smart Call Home 用に HTTP(S) プロキシを設定するには、Call Home コンフィギュレーション モードで http-proxy コマンドを使用します。プロキシを削除するには、このコマンドの no 形式を使用します。
http-proxy ip_address port port
no http-proxy [ ip_address port port ]
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Smart Call Home およびスマート ライセンスに対して HTTP または HTTPS プロキシをグローバルに設定します。
例
関連コマンド
|
|
|
|---|---|
Smart Call Home を設定します。スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。 |
|
http-proxy(dap)
HTTP プロキシ ポート フォワーディングをイネーブルまたはディセーブルにするには、DAP webvpn コンフィギュレーション モードで http-proxy コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
http-proxy { enable | disable | auto-start }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、さまざまなソースからの属性値を適用できます。次の階層に従って、属性値を適用します。
したがって、属性の DAP 値は、ユーザ、グループ ポリシー、またはトンネル グループに設定されたものよりも優先順位が高くなります。
DAP レコードの属性をイネーブルまたはディセーブルにすると、ASA はその値を適用して実行します。たとえば、DAP webvpn コンフィギュレーション モードで HTTP プロキシをディセーブルにすると、ASA はそれ以上値を検索しません。代わりに、 http-proxy コマンドの no 値を使用すると、属性は DAP レコードには存在しないため、ASA は適用する値を見つけるために、ユーザ名および必要に応じてグローバル ポリシーの AAA 属性に移動して検索します。
例
次に、Finance という名前の DAP レコードに対して HTTP プロキシ ポート フォワーディングをイネーブルにする例を示します。
ciscoasa (config)# dynamic-access-policy-record Finance
ciscoasa(config-dynamic-access-policy-record)# webvpn
ciscoasa(config-dap-webvpn)# http-proxy enable
ciscoasa(config-dap-webvpn)#
関連コマンド
|
|
|
|---|---|
http-proxy(webvpn)
外部プロキシ サーバを使用して HTTP 要求を処理するように ASA を設定するには、webvpn コンフィギュレーション モードで http-proxy コマンドを使用します。HTTP プロキシ サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
http-proxy { host [ port ] [ exclude url ] | pac pacfile } [ username username { password password }]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
組織が管理するサーバを経由したインターネットへのアクセスを必須にすると、セキュアなインターネット アクセスを確保して管理面の制御を保証するためのフィルタリング導入の別のきっかけにもなります。
ASA でサポートされるのは、 http-proxy コマンドの 1 つのインスタンスだけです。このコマンドのインスタンスが実行コンフィギュレーションにすでに 1 つ存在する場合、もう 1 つインスタンスを入力すると、CLI は以前のインスタンスを上書きします。 show running-config webvpn コマンドを入力すると、CLI によって実行コンフィギュレーション内のすべての http-proxy コマンドがリストされます。応答に http-proxy コマンドがリストされていない場合、このコマンドは存在しません。
(注) プロキシ NTLM 認証は http-proxy ではサポートされていません。認証なしのプロキシと基本認証だけがサポートされています。
例
次の例は、次の設定の HTTP プロキシ サーバの使用を設定する方法を示しています。IP アドレスが 209.165. 201.2 で、デフォルト ポートの 443 を使用しています。
ciscoasa(config)# webvpn
次に、同じプロキシ サーバを使用して、各 HTTP 要求とともにユーザ名およびパスワードを送信するように設定する例を示します。
次も、同じコマンドの例を示しますが、前の例とは異なり、この例では、ASA が HTTP 要求で www.example.com という特定の URL を受信した場合には、プロキシ サーバに渡すのではなく自分自身で要求を解決します。
関連コマンド
|
|
|
|---|---|
SSL VPN の実行コンフィギュレーションを、HTTP および HTTPS のプロキシ サーバをすべて含めて表示します。 |
http redirect
ASA による HTTP 接続の HTTPS へのリダイレクトを指定するには、グローバル コンフィギュレーション モードで http redirect コマンドを使用します。指定した http redirect コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。すべての http redirect コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を引数なしで使用します。
http redirect interface [ port ]
no http redirect [ interface ]
構文の説明
ASA が HTTP 要求をリッスンするポートを識別します。HTTP 要求はリッスン後 HTTPS にリダイレクトされます。デフォルトでは、ポート 80 でリッスンします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスには、HTTP を許可するアクセス リストが必要です。アクセス リストがない場合、ASA はポート 80 も HTTP 用に設定した他のどのポートもリッスンしません。
http redirect コマンドが失敗すると、次のメッセージが表示されます。
例
次に、デフォルト ポート 80 のままで、内部インターフェイスの HTTP リダイレクトを設定する例を示します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバへのアクセスで経由する ASA のインターフェイスを指定します。 |
|
http server basic-auth-client
ブラウザベース以外の HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにするには、グローバル コンフィギュレーション モードで http serverbasic-auth-client コマンドを使用します。クライアントのサポートを削除するには、このコマンドの no 形式を使用します。
http server basic-auth-client user_agent
no http server basic-auth-client user_agent
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
個別のコマンドを使用して、各クライアント文字列を入力します。多くの専門クライアント(python ライブラリ、curl、wget など)は、クロスサイト要求の偽造(CSRF)トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。
例
関連コマンド
|
|
|
|---|---|
http server enable
ASA の HTTP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで http server enable コマンドを使用します。HTTP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明no http server enable [port]
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスとサブネット マスクによって、HTTP サーバにアクセスできるホストを指定します。ホストが HTTP サーバへのアクセスで経由する ASA のインターフェイスを指定します。 |
|
http server idle-timeout
ASA への ASDM 接続のアイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで http server idle-timeout コマンドを使用します。タイムアウトをディセーブルにするには、このコマンドの no 形式を使用します。
http server idle-timeout [minutes]
no http server idle-timeout [minutes]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ASDM セッションのアイドル タイムアウトを 500 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスおよびサブネット マスクにより HTTP サーバにアクセスできるホストと、そのホストの HTTP サーバへのアクセスで経由するインターフェイスを指定します。 |
|
http server session-timeout
ASA への ASDM 接続のセッション タイムアウトを設定するには、グローバル コンフィギュレーション モードで http server session-timeout コマンドを使用します。タイムアウトをディセーブルにするには、このコマンドの no 形式を使用します。
http server session-timeout [minutes]
no http server session-timeout [minutes]
構文の説明no http server enable [port]
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、ASDM 接続のセッション タイムアウトを 1000 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
HTTP コンフィギュレーションを削除します。HTTP サーバをディセーブルにし、HTTP サーバにアクセスできるホストを削除します。 |
|
IP アドレスおよびサブネット マスクにより HTTP サーバにアクセスできるホストと、そのホストの HTTP サーバへのアクセスで経由するインターフェイスを指定します。 |
|
https-proxy
外部プロキシ サーバを使用して HTTPS 要求を処理するように ASA を設定するには、webvpn コンフィギュレーション モードで https-proxy コマンドを使用します。HTTPS プロキシ サーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
https-proxy { host [ port ] [ exclude url ] | [ username username { password password }]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
組織が管理するサーバを経由したインターネットへのアクセスを必須にすると、セキュアなインターネット アクセスを確保して管理面の制御を保証するためのフィルタリング導入の別のきっかけにもなります。
ASA でサポートされるのは、 https-proxy コマンドの 1 つのインスタンスだけです。このコマンドのインスタンスが実行コンフィギュレーションにすでに 1 つ存在する場合、もう 1 つインスタンスを入力すると、CLI は以前のインスタンスを上書きします。 show running-config webvpn コマンドを入力すると、CLI によって実行コンフィギュレーション内のすべての https-proxy コマンドがリストされます。応答に https-proxy コマンドがリストされていない場合、このコマンドは存在しません。
例
次の例は、次の設定の HTTPS プロキシ サーバの使用を設定する方法を示しています:IP アドレスが 209.165. 201.2 で、デフォルト ポートの 443 を使用しています。
ciscoasa(config)# webvpn
次に、同じプロキシ サーバを使用して、各 HTTPS 要求とともにユーザ名およびパスワードを送信するように設定する例を示します。
次も、同じコマンドの例を示しますが、前の例とは異なり、この例では、ASA が HTTPS 要求で www.example.com という特定の URL を受信した場合には、プロキシ サーバに渡すのではなく自分自身で要求を解決します。
関連コマンド
|
|
|
|---|---|
SSL VPN の実行コンフィギュレーションを、HTTP および HTTPS のプロキシ サーバをすべて含めて表示します。 |
http username-from-certificate
ASDM の承認または認証を取得する証明書またはルールのフィールドを指定するには、 http username-from-certificate コマンドを使用します。
http username-from-certificate {<primary-attr> [<secondary-attr>] | use-entire-name | use-script} | pre-fill-username]
構文の説明
VPN 接続の場合に同じ目的で機能するトンネルグループ一般属性モードの既存の username-from-certificate コマンドを使用できるようにします。イネーブルの場合、このユーザ名は、ユーザが入力したパスワードとともに認証に使用されます。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
次に、プライマリ属性およびセカンダリ属性の有効値と関連するキーワードの意味を示します。
|
|
|
|---|---|
このコマンドは、webvpn をサポートしないプラットフォーム(ASA 1000v)や No Payload Encryption(NPE)がイネーブルになっているプラットフォームでは使用できません。
例
hw-module module allow-ip
ASA 5505 の AIP SSC に対して、管理 IP アドレスにアクセスが許可されたホストを設定するには、特権 EXEC モードで hw-module module allow-ip コマンドを使用します。
hw-module module 1 allow - ip ip_address netmask
構文の説明
デフォルト
出荷時のデフォルトのコンフィギュレーションでは、192.168.1.5 ~ 192.168.1.254 のホストが IPS モジュールの管理を許可されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、SSC のステータスがアップ状態にある場合だけ有効です。
これらの設定は、ASA コンフィギュレーションではなく IPS アプリケーション コンフィギュレーションに書き込まれます。これらの設定を ASA から表示するには、 show module details コマンドを使用します。
または、IPS アプリケーションの setup コマンドを使用して、この設定を IPS CLI から設定することもできます。
例
関連コマンド
|
|
|
|---|---|
hw-module module ip
ASA 5505 の AIP SSC に対して、管理 IP アドレスを設定するには、特権 EXEC モードで hw-module module ip コマンドを使用します。
hw-module module 1 ip ip_address netmask gateway
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このアドレスが ASA VLAN IP アドレスと同じサブネット上にあることを確認します。たとえば、10.1.1.1 を ASA の VLAN に割り当てた場合は、そのネットワーク上の別のアドレス(10.1.1.2 など)を IPS 管理アドレスに割り当てます。
管理ステーションが、直接接続されている ASA ネットワーク上にある場合は、ゲートウェイを、IPS 管理 VLAN に割り当てられた ASA IP アドレスに設定します。上記の例では、10.1.1.1 にゲートウェイを設定します。管理ステーションがリモート ネットワーク上にある場合は、ゲートウェイを、IPS 管理 VLAN のアップストリーム ルータのアドレスに設定します。
(注) これらの設定は、ASA コンフィギュレーションではなく IPS アプリケーション コンフィギュレーションに書き込まれます。これらの設定を ASA から表示するには、show module details コマンドを使用します。
または、IPS アプリケーションの setup コマンドを使用して、この設定を IPS CLI から設定することもできます。
例
次に、IPS モジュールの管理アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module password-reset
ハードウェア モジュールのデフォルト管理ユーザのパスワードをデフォルト値にリセットするには、特権 EXEC モードで hw-module module password-reset コマンドを使用します。
hw-module module 1 password-reset
構文の説明
デフォルト
コマンド モード
|
|
|
||||
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、ハードウェア モジュールがアップ状態で、パスワード リセットがサポートされている場合にのみ有効です。IPS の場合、パスワードのリセットは、モジュールが IPS バージョン 6.0 以降を実行している場合にのみサポートされます。パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中はサービスを使用できません。リブートには数分を要する場合があります。 show module コマンドを実行すると、モジュールの状態をモニタできます。
コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラー メッセージが表示されます。表示される可能性のあるエラー メッセージは、次のとおりです。
Unable to reset the password on the module in slot 1
Unable to reset the password on the module in slot 1 - unknown module state
Unable to reset the password on the module in slot 1 - no module installed
Failed to reset the password on the module in slot 1 - module not in Up state
Unable to reset the password on the module in slot 1 - unknown module type
The module in slot 1 does not support password reset
Unable to reset the password on the module in slot 1 - no application found
The SSM application version does not support password reset
Failed to reset the password on the module in slot 1
例
次に、スロット 1 のハードウェア モジュールのパスワードをリセットする例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module recover
TFTP サーバから取り付けモジュールにリカバリ ソフトウェア イメージをロードしたり、TFTP サーバにアクセスするためのネットワーク設定を行ったりするには、特権 EXEC モードで hw-module module recover コマンドを使用します。たとえば、モジュールがローカル イメージをロードできない場合などは、このコマンドを使用したモジュールの回復が必要となる場合があります。
hw-module module 1 recover { boot | stop | configure [ url tfp_url | ip module_address | gateway gateway_ip_address | vlan vlan_id ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュールに障害が発生して、モジュール アプリケーション イメージを実行できない場合は、TFTP サーバからモジュール上に新しいイメージを再インストールできます。
(注) モジュール ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。
指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。
このコマンドは、モジュールがアップ、ダウン、無応答、または回復のいずれかの状態である場合にのみ使用可能です。ステート情報については、 show module コマンドを参照してください。
show module 1 recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。
(注) このコマンドは、ASA CX、ASA FirePOWER モジュールではサポートされていません。
例
次に、TFTP サーバからイメージをダウンロードするようにモジュールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module recover(ASA 5506W-X)
デフォルト設定をロードまたは回復する、あるいは ROMMON にアクセスして新しいイメージを ASA 5506W-X のワイヤレス アクセス ポイントにロードするには、特権 EXEC モードで hw-module module recover コマンドを使用します。
hw-module module wlan recover [ configuration | image ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バックプレーン上のアクセス ポイント CLI に対する image キーワード セッション。アクセス ポイントをリロードします。アクセス ポイントが起動している場合は、起動プロセスをエスケープして ROMMON にアクセスし、TFTP イメージをダウンロードできます。詳しい手順については、 [Reloading the Access Point Image] > [Using the CLI] を参照してください。
例
次に、アクセス ポイント上でイメージを回復する例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module reload
物理モジュールのモジュール ソフトウェアをリロードするには、特権 EXEC モードで hw-module module reload コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、モジュールをリロードする前にハードウェア リセットを実行する hw-module module reset コマンドとは異なります。
このコマンドは、モジュールのステータスがアップ状態にある場合だけ有効です。ステート情報については、 show module コマンドを参照してください。
例
次に、スロット 1 のモジュールをリロードする例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module reset
モジュール ハードウェアをリセットしてからモジュール ソフトウェアをリロードするには、特権 EXEC モードで hw-module module reset コマンドを使用します。
hw-module module { 1 | wlan } reset
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュールがアップ状態の場合、 hw-module module reset コマンドによって、リセットの前にソフトウェアをシャットダウンするように要求されます。
hw-module module recover コマンドを使用してモジュールを回復できます(サポートされている場合)。モジュールが回復状態になっているときに hw-module module reset コマンドを入力しても、モジュールは回復プロセスを中断しません。 hw-module module reset コマンドによって、モジュールのハードウェア リセットが実行され、ハードウェアのリセット後にモジュールのリカバリが続行されます。モジュールがハングした場合は、回復中にモジュールをリセットできます。ハードウェア リセットによって、問題が解決することもあります。
このコマンドは、ソフトウェアのリロードのみを行いハードウェア リセットは行わない hw-module module reload コマンドとは異なります。
このコマンドは、モジュールのステータスがアップ、ダウン、無応答、または回復のいずれかの場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。
例
次に、アップ状態になっているスロット 1 のモジュールをリセットする例を示します。
関連コマンド
|
|
|
|---|---|
hw-module module shutdown
モジュール ソフトウェアをシャットダウンするには、特権 EXEC モードで hw-module module shutdown コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュール ソフトウェアをシャットダウンするのは、コンフィギュレーション データを失うことなく安全にモジュールの電源をオフにできるように準備するためです。
このコマンドは、モジュール ステータスがアップまたは無応答である場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。
例
次に、スロット 1 のモジュールをシャットダウンする例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック