Cisco ASA シリーズ コマンド リファレンス、I ～ R コマンド

 

構文の説明

 

デフォルト

デフォルトは 60 秒です。

 

コマンド履歴

 

使用上のガイドライン

l2tp tunnel hello コマンドは、ASA による L2TP 接続の物理層に関する問題の検出をイネーブルにします。デフォルトは 60 秒です。デフォルト設定を使用すると、L2TP トンネルが 180 秒後に切断されることが予想されます。60 秒未満の値に設定すると、問題が発生している接続はより早く切断されます。L2TP の最大再試行回数は 3 回です。

例

次に、hello メッセージ間の間隔を 30 秒に設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

（9.1 以前）デフォルトは 8 です。

（9.2(1) 以降）デフォルトは 16 です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ポートチャネル インターフェイスに対して入力します。チャネル グループあたりのアクティブ インターフェイスの最大数は 8 です。このコマンドは、最大数を減らす場合に使用します。

例

次に、EtherChannel のインターフェイスの最大数を 4 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトは 32768 です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、物理インターフェイスに対して入力します。使用可能な数よりも多くのインターフェイスを割り当てた場合、ASA ではこの設定を使用して、アクティブ インターフェイスとスタンバイ インターフェイスを決定します。ポート プライオリティ設定がすべてのインターフェイスで同じ場合、プライオリティはインターフェイス ID（スロット/ポート）で決まります。最も小さいインターフェイス ID が、最も高いプライオリティになります。たとえば、GigabitEthernet 0/0 のプライオリティは GigabitEthernet 0/1 よりも高くなります。

あるインターフェイスについて、インターフェイス ID は大きいが、そのインターフェイスがアクティブになるように優先順位を付ける場合は、より小さい値を持つようにこのコマンドを設定します。たとえば、GigabitEthernet 1/3 を GigabitEthernet 0/7 よりも前にアクティブにするには、 lacp port-priority の値を、1/3 インターフェイスでは 12345 とし、0/7 インターフェイスではデフォルトの 32768 とします。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。 lacp system-priority コマンドを参照してください。

リンク集約制御プロトコル（LACP）では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット（LACPDU）を交換することによって、インターフェイスが集約されます。LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。

例

次に、GigabitEthernet 0/2 のポート プライオリティの値を小さくして、EtherChannel で GigabitEthernet 0/0 および 0/1 よりも先に使用されるように設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトは 32768 です。

 

コマンド履歴

 

使用上のガイドライン

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。EtherChannel 内でのインターフェイス プライオリティについては、 lacp port-priority コマンドを参照してください。

例

次に、システムのプライオリティをデフォルトよりも高くする（小さい数値を設定する）例を示します。

ciscoasa(config)# lacp system-priority 12345

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ldap attribute-map コマンドを使用すると、ユーザ独自の属性名と値を Cisco 属性名にマッピングできます。その後、作成された属性マップを LDAP サーバにバインドできます。通常の手順は、次のとおりです。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドにより、LDAP 属性マップ コンフィギュレーション モードが開始されます。

2. LDAP 属性マップ コンフィギュレーション モードで map-name コマンドと map-value コマンドを使用し、属性マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用し、属性マップを LDAP サーバにバインドします。このコマンドでは、ldap の後にハイフンを入力してください。

（注） 属性マッピング機能を正しく使用するには、Cisco LDAP 属性名と値の両方を理解し、さらにユーザ定義属性名と値を理解しておく必要があります。

例

次に、グローバル コンフィギュレーション モードで、情報を入力したり LDAP サーバにバインドする前に myldapmap という名前の LDAP 属性マップを作成するコマンドの例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

シスコ定義の LDAP 属性名が使いやすさやその他の要件を満たしていない場合は、独自の属性名を作成し、それをシスコの属性にマッピングして、作成された属性コンフィギュレーションを LDAP サーバにバインドできます。一般的な手順には次のものが含まれます。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用し、何も入力されていない属性マップを作成します。このコマンドにより、LDAP 属性マップ コンフィギュレーション モードが開始されます。このコマンドでは、「ldap」の後にハイフンを入力しないでください。

2. LDAP 属性マップ コンフィギュレーション モードで map-name コマンドと map-value コマンドを使用して、属性マッピング コンフィギュレーションに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、LDAP サーバに属性マップ コンフィギュレーションをバインドします。

例

次に、AAA サーバ ホスト コンフィギュレーション モードで、myldapmap という名前の既存の属性マップを ldapsvr1 という名前の LDAP サーバにバインドするコマンドの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

リストの先頭から検索を開始します。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。

例

次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ベース DN を starthere に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト設定は設定されていません。

 

コマンド履歴

例

次に、デフォルト ポート（389）に LDAP デフォルト値を定義する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は設定されていません。

 

コマンド履歴

例

次に、トラストポイント central の X.500 名として CN=admin,OU=devtest,O=engineering、パスワードとして xxzzyy を指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。グループ検索 DN を指定しない場合、ベース DN から検索が開始されます。

 

コマンド履歴

 

使用上のガイドライン

ldap-group-base-dn コマンドは、LDAP を使用する Active Directory サーバにのみ適用され、 show ad-groups コマンドがグループ検索を開始するときに使用する Active Directory 階層レベルを指定します。検索で取得されたグループは、ダイナミック グループ ポリシーによって特定のポリシーの選択基準として使用されます。

例

次に、組織の部門（ou）レベルの Employees から検索を開始するようにグループ ベース DN を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。サポートされるストリングの最大長は 128 文字です。

Microsoft Active Directory サーバなどの一部の LDAP サーバでは、他の LDAP 動作の要求を受け入れる前に、ASA が認証済みバインディングを介してハンドシェイクを確立している必要があります。ASA は、ログイン DN フィールドをユーザ認証要求にアタッチして、認証済みバインディングに対して識別情報を示します。ログイン DN フィールドには、ASA の認証特性が記述されます。これらの特性は、管理者特権を持つユーザの特性に対応している必要があります。

string 変数には、VPN コンセントレータの認証済みバインディングのディレクトリ オブジェクト名を入力します（たとえば、cn=Administrator, cn=users, ou=people, dc=XYZ Corporation, dc=com）。匿名アクセスの場合は、このフィールドをブランクのままにします。

例

次に、ホスト 1.2.3.4 に svrgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン DN を myobjectname に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは LDAP サーバでのみ有効です。パスワードの最大長は 64 文字です。

例

次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP ログイン パスワードを obscurepassword に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

LDAP サーバ上のエントリを一意に識別するための、相対認定者名属性を指定します。共通の命名属性は、一般名（cn）とユーザ ID（uid）です。

このコマンドは LDAP サーバでのみ有効です。サポートされるストリングの最大長は 128 文字です。

例

次に、ホスト 1.2.3.4 に srvgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 命名属性を cn に設定する例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、SSL で ASA と LDAP サーバの間の接続を保護することを指定します。

（注） プレーン テキスト認証を使用している場合は、この機能をイネーブルにすることを推奨します。sasl-mechanism コマンドを参照してください。

例

次に、AAA サーバ ホスト コンフィギュレーション モードで、ASA と LDAP サーバ ldapsvr1（IP アドレスは 10.10.0.1）の間の接続に対して SSL をイネーブルにするコマンドの例を示します。PLAIN SASL 認証メカニズムも設定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は onelevel です。

 

コマンド履歴

 

使用上のガイドライン

scope を onelevel と指定すると、ベース DN の 1 つ下のレベルのみが検索されるため、検索速度が向上します。 subtree を指定すると、ベース DN の下のレベルがすべて検索されるため、検索速度が低下します。

このコマンドは LDAP サーバでのみ有効です。

例

次に、ホスト 1.2.3.4 に svrgrp1 という名前の LDAP AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、LDAP 範囲を subtree に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

LEAP バイパスはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

LEAP バイパスをイネーブルにすると、VPN ハードウェア クライアントの背後にある無線デバイスからの LEAP パケットは、ユーザ認証の前に VPN トンネルを通過できます。これにより、シスコ ワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。デバイスは、ユーザ認証ごとに認証を再実行できます。

インタラクティブ ハードウェア クライアント認証をイネーブルにした場合、この機能は正常に動作しません。

詳細については、CLI 設定ガイドを参照してください。

（注） 認証されていないトラフィックがトンネルを通過できるようにすると、セキュリティ リスクが発生する可能性があります。

例

次の例は、「FirstGroup」という名前のグループ ポリシーに対して LEAP バイパスを設定する方法を示しています。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各 ASA は、クラウド Web セキュリティから取得した認証キーを使用する必要があります。認証キーを使用して、クラウド Web セキュリティは、Web 要求に関連付けられた会社を識別し、ASA が有効なカスタマーに関連付けられていることを確認できます。

ASA では、2 つの認証キー（企業キーおよびグループ キー）のいずれかを使用できます。

企業認証キー

企業認証キーは、企業内の複数の ASA で使用できます。このキーは、単に ASA のクラウド Web セキュリティ サービスをイネーブルにします。管理者は ScanCenter（ https://scancenter.scansafe.com/portal/admin/login.jsp ）でこのキーを生成します。後で使用するためにこのキーを電子メールで送信できます。ScanCenter では、後でこのキーを検索できません。ScanCenter には、最後の 4 桁だけが表示されます。詳細については、クラウド Web セキュリティのマニュアルを参照してください。マニュアルは、 http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html から入手できます。

グループ認証キー

グループ認証キーは 2 つの機能を実行する各 ASA に固有の特別なキーです。

• 1 つの ASA のクラウド Web セキュリティ サービスをイネーブルにします。
• ASA からのすべてのトラフィックが識別されるため、ASA ごとに ScanCenter ポリシーを作成できます。

管理者は ScanCenter（ https://scancenter.scansafe.com/portal/admin/login.jsp ）でこのキーを生成します。後で使用するためにこのキーを電子メールで送信できます。ScanCenter では、後でこのキーを検索できません。ScanCenter には、最後の 4 桁だけが表示されます。詳細については、クラウド Web セキュリティのマニュアルを参照してください。マニュアルは、 http://www.cisco.com/en/US/products/ps11720/products_installation_and_configuration_guides_list.html から入手できます。

例

次に、プライマリ サーバのみを設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトのポートは 50554 です。

 

コマンド履歴

 

使用上のガイドライン

共有ライセンス参加ユニットには、共有ライセンス参加キーが必要です。インストールされているライセンスを確認するには、 show activation-key コマンドを使用します。

参加ユニットごとに共有ライセンス サーバを 1 つのみ指定できます。

次に、共有ライセンスの動作手順を示します。

1. いずれの ASA を共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれの ASA を共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. （任意）別の ASA を共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。

（注） 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。

4. 共有ライセンス サーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. ASA を参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。

（注） 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。

6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。

（注） 共有ライセンスサーバは、ローカル セッションを使い果たした場合に共有ライセンス プールに参加もできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。

a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。

（注） ASA は、サーバと参加者間のすべての通信の暗号化に SSL を使用します。

参加システムとサーバの間の通信に関する問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

• 参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。
• 参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。
• 24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。
• 参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

例

次に、ライセンス サーバの IP アドレスおよび共有秘密、ならびにバックアップ ライセンス サーバの IP アドレスの設定例を示します。

ciscoasa(config)# license-server address 10.1.1.1 secret farscape

ciscoasa(config)# license-server backup address 10.1.1.2

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

共有ライセンス バックアップ サーバには、 license-server backup enable コマンドが設定されている必要があります。

例

次に、ライセンス サーバの IP アドレスおよび共有秘密、ならびにバックアップ ライセンス サーバの IP アドレスの設定例を示します。

ciscoasa(config)# license-server address 10.1.1.1 secret farscape

ciscoasa(config)# license-server backup address 10.1.1.2

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

1 つのバックアップ サーバとそのオプションのスタンバイ ユニットのみを指定できます。

バックアップ サーバのシリアル番号を表示するには、 show activation-key コマンドを入力します。

参加ユニットをバックアップ サーバとしてイネーブルにするには、 license-server backup enable コマンドを使用します。

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。クリティカル レベルの syslog メッセージが 15 日めに送信され、30 日めに再送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。

（注） メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。

例

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server secret farscape

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

バックアップ サーバには、共有ライセンス参加キーが必要です。

共有ライセンス バックアップ サーバは、バックアップの役割を実行する前にメインの共有ライセンス サーバへの登録に成功している必要があります。登録時には、メインの共有ライセンス サーバは共有ライセンス情報に加えてサーバ設定もバックアップと同期します。情報には、登録済み参加者の一覧および現在のライセンス使用状況が含まれます。メイン サーバとバックアップ サーバは、10 秒間隔でデータを同期します。初回同期の後で、バックアップ サーバはリロード後でもバックアップの役割を実行できます。

メイン サーバがダウンすると、バックアップ サーバがサーバ動作を引き継ぎます。バックアップ サーバは継続して最大 30 日間動作できます。30 日を超えると、バックアップ サーバは参加者へのセッション発行を中止し、既存のセッションはタイムアウトします。メイン サーバをこの 30 日間中に確実に復旧するようにします。クリティカル レベルの syslog メッセージが 15 日めに送信され、30 日めに再送信されます。

メイン サーバが復旧した場合、メイン サーバはバックアップ サーバと同期してから、サーバ動作を引き継ぎます。

バックアップ サーバがアクティブでないときは、メインの共有ライセンス サーバの通常の参加者として動作します。

（注） メインの共有ライセンス サーバの初回起動時には、バックアップ サーバは独立して 5 日間のみ動作できます。動作制限は 30 日に到達するまで日ごとに増加します。また、メイン サーバがその後短時間でもダウンした場合、バックアップ サーバの動作制限は日ごとに減少します。メイン サーバが復旧した場合、バックアップ サーバは再び日ごとに増加を開始します。たとえば、メイン サーバが 20 日間ダウンしていて、その期間中バックアップ サーバがアクティブであった場合、バックアップ サーバには、10 日間の制限のみが残っています。バックアップ サーバは、非アクティブなバックアップとしてさらに 20 日間が経過した後で、最大の 30 日間まで「充電」されます。この充電機能は共有ライセンスの誤使用を防ぐために実装されています。

例

次に、ライセンス サーバと共有秘密を指定し、このユニットを内部インターフェイスと dmz インターフェイス上のバックアップ共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server address 10.1.1.1 secret farscape

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

共有ライセンス サーバには、共有ライセンス サーバ キーが必要です。インストールされているライセンスを確認するには、 show activation-key コマンドを使用します。

次に、共有ライセンスの動作手順を示します。

1. いずれの ASA を共有ライセンス サーバとするかを決定し、デバイス シリアル番号を使用する共有ライセンス サーバのライセンスを購入します。

2. いずれの ASA を共有ライセンス バックアップ サーバを含む共有ライセンス参加者とするかを決定し、各デバイス シリアル番号を使用して各デバイスに対して共有ライセンス参加ライセンスを取得します。

3. （任意）別の ASA を共有ライセンス バックアップ サーバとして指定します。バックアップ サーバには 1 台のみ指定できます。

（注） 共有ライセンス バックアップ サーバに必要なのは参加ライセンスのみです。

4. 共有ライセンス サーバ上に共有秘密を設定します。共有秘密を保持する参加者であればいずれも共有ライセンスを使用できます。

5. ASA を参加者として設定する場合、ローカル ライセンスおよびモデル情報を含む自身の情報を送信することで共有ライセンス サーバに登録します。

（注） 参加者は IP ネットワークを経由してサーバと通信できる必要がありますが、同じサブネット上にある必要はありません。

6. 共有ライセンス サーバは、参加者がサーバにポーリングするべき頻度の情報で応答します。

7. 参加者がローカル ライセンスのセッションを使い果たした場合、参加者は共有ライセンス サーバに 50 セッション単位で追加セッションの要求を送信します。

8. 共有ライセンス サーバは、共有ライセンスで応答します。1 台の参加者が使用する合計セッション数は、プラットフォーム モデルの最大セッション数を超えられません。

（注） 共有ライセンスサーバは、ローカル セッションを使い果たした場合に共有ライセンス プールに参加もできます。参加には参加ライセンスもサーバ ライセンスも必要ありません。

a. 参加者に対して共有ライセンス プールに十分なセッションがない場合、サーバは使用可能な限りのセッション数で応答します。

b. 参加者はさらなるセッションを要求するリフレッシュ メッセージの送信をサーバが要求に適切に対応できるまで続けます。

9. 参加者の負荷が減少した場合、参加者はサーバに共有セッションを解放するようにメッセージを送信します。

（注） ASA は、サーバと参加者間のすべての通信の暗号化に SSL を使用します。

参加システムとサーバの間の通信に関する問題

参加者とサーバ間の通信問題については、次のガイドラインを参照してください。

• 参加者が更新の送信に失敗して更新間隔 3 倍の時間が経過した後で、サーバはセッションを解放して共有ライセンス プールに戻します。
• 参加者が更新を送信するためにライセンス サーバに到達できない場合、参加者はサーバから受信した共有ライセンスを最大 24 時間使用し続けられます。
• 24 時間を経過しても参加者がまだライセンス サーバと通信できない場合、参加者はセッションがまだ必要であっても共有ライセンスを解放します。参加者は既存の確立している接続を維持しますが、ライセンス制限を超えて新しい接続を受け入れられません。
• 参加者が 24 時間経過前にサーバに再接続したが、サーバが参加セッションを期限切れにした後である場合、参加者はセッションに対する新しい要求を送信する必要があります。サーバは、参加者に再割り当てできる限りのセッション数で応答します。

例

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび DMZ インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server secret farscape

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトのポートは 50554 です。

 

コマンド履歴

 

使用上のガイドライン

デフォルト ポートを変更する場合は、 license-server address コマンドを使用して、各参加ユニットに同じポートを設定してください。

例

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび DMZ インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server secret farscape

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトは 30 秒です。

 

コマンド履歴

 

使用上のガイドライン

各参加ユニットは、SSL を使用して定期的に共有ライセンス サーバと通信します。そのため、共有ライセンス サーバは現在のライセンス使用状況を把握し、ライセンス要求を受信したりライセンス要求に応答できます。

例

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server secret farscape

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

この共有秘密を持つ、 license-server address コマンドで指定された参加ユニットは、ライセンス サーバを使用できます。

例

次に、共有秘密を設定し、更新間隔とポートを変更し、バックアップ サーバを設定し、このユニットを inside インターフェイスおよび dmz インターフェイスで共有ライセンス サーバとしてイネーブルにする例を示します。

ciscoasa(config)# license-server secret farscape

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、ライセンス スマート コンフィギュレーション モードになり、機能層やその他のライセンス資格を設定できます。ASAv の場合、初めて権限付与を要求したときは、変更を有効にするためにライセンス スマート コンフィギュレーション モードを終了する必要があります。

例

次に、機能層を標準に設定し、スループット レベルを 2G に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA の登録を解除すると、アカウントから ASA が削除されます。ASA のすべてのライセンス権限付与と証明書が削除されます。登録を解除することで、ライセンスを新しい ASA に利用することもできます。このコマンドを実行すると、ASA がリロードします。

例

次に、デバイスの登録を解除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

License Authority に ASA を登録すると、ASA と License Authority の間の通信に使用する ID 証明書が発行されます。また、該当するバーチャル アカウントに ASA が割り当てられます。通常、この手順は 1 回で済みます。ただし、通信の問題などが原因でアイデンティティ証明書の期限が切れた場合は、ASA の再登録が必要になります。

例

次に、登録トークンを使用して登録を行う例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、アイデンティティ証明書は 6 ヵ月ごと、ライセンス資格は 30 日ごとに自動的に更新されます。インターネット アクセスの期間が限られている場合や、Smart Software Manager でライセンスを変更した場合などは、これらの登録を手動で更新することもできます。

例

次に、登録とライセンスの両方の認証を更新する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

この機能はデフォルトで無効に設定されています。

 

コマンド履歴

 

使用上のガイドライン

インターネット アクセスを持たない ASA の場合は、Smart Software Manager からパーマネント ライセンスを要求できます（ https://software.cisco.com/#SmartLicensing-Inventory ）。パーマネント ライセンスでは、すべての機能を最大限に使用できます。

ASAv の場合、 license smart reservation コマンドを入力すると、次のコマンドが削除されます。

通常のスマート ライセンスを使用するには、このコマンドの no 形式を使用し、上記のコマンドを再入力します。その他の Smart Call Home 設定はそのまま維持されますが、使用されないため、それらのコマンドを再入力する必要はありません。

Firepower シャーシの場合、コンテキスト ライセンスなどのデフォルト以外のライセンスに対しては、 license smart / feature コマンドを入力する必要があります。これらのコマンドは、ASA に機能の設定を許可するよう指定するために必要です。

（注） 永続ライセンスの予約については、ASA を廃棄する前にライセンスを戻す必要があります。ライセンスを正式に戻さないと、ライセンスが使用中の状態のままになり、新しい ASA に再使用できません。license smart reservation return コマンドを参照してください。

例

次に、パーマネント ライセンスの予約をイネーブルにして、Smart Software Manager に入力するライセンス コードを要求し、Smart Software Manager から受け取った承認コードをインストールする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

license smart reservation request universal コマンドを使用して Smart Software Manager に入力するライセンス コードを要求した場合、そのコードをまだ Smart Software Manager に入力していなければ、 license smart reservation cancel コマンドを使用して要求をキャンセルできます。

パーマネント ライセンスの予約をディセーブルにする（ no license smart reservation ）と、保留中のすべての要求がキャンセルされます。

すでに Smart Software Manager にコードを入力している場合は、ASA へのライセンスの適用を完了する必要があります。その時点から、 license smart reservation return コマンドによってライセンスを戻すことが可能になります。

例

次に、パーマネント ライセンスの予約をイネーブルにして、Smart Software Manager に入力するライセンス コードを要求した後に、要求をキャンセルする例を示します。

 

関連コマンド