- same-security-traffic through share-ratio コマンド
- show aaa kerberos コマンド~ show asdm sessions コマンド
- show as-path-access-list コマンド~ show auto-update コマンド
- how backup-package コマンド~ show cpu コマンド
- show crashinfo コマンド~ show curpriv コマンド
- show ddns update interface コマンド~ show event manager コマンド
- show facility-alarm コマンド~ show ipsec stats コマンド
- show ipv6 access-list コマンド~ show ipv6 traffic コマンド
- show isakmp ipsec-over-tcp stats コマンド~ show mroute コマンド
- show nac-policy コマンド~ show ospf virtual-links コマンド
- show pager コマンド~ show route コマンド
- show running-config コマンドから show sw-reset-button コマンドまで
- show tcpstat コマンド~ show traffic コマンド
- show uauth コマンド~ show zone コマンド
- shun コマンド~ sntp address コマンド
- software authenticity development コマンド~ strip-realm コマンド
- subject-name コマンド~ sysopt traffic detailed-statistics コマンド
Cisco ASA シリーズ コマンド リファレンス、S コマンド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月22日
章のタイトル: same-security-traffic through share-ratio コマンド
- same-security-traffic
- sasl-mechanism
- saml idp
- saml identity-provider
- sast
- scansafe
- scansafe general-options
- scep-enrollment enable
- scep-forwarding-url
- secondary
- secondary-authentication-server-group
- secondary-color
- secondary-pre-fill-username
- secondary-text-color
- secondary-username-from-certificate
- secondary-username-from-certificate-choice
- secure-unit-authentication
- security-group
- security-group-tag
- security-level
- segment-id
- send response
- seq-past-window
- serial-number
- server(POP3、IMAP4、SMTP)(廃止)
- server(ScanSafe 汎用オプション)
- server (ssh pubkey-chain)
- server authenticate-client
- server cipher-suite
- server-port
- server-separator(POP3、IMAP4、SMTP)(廃止)
- server trust-point
- server-type
- service (ctl-provider)
- service(グローバル)
- service(オブジェクト サービス)
- service call-home
- service-module
- service-object
- service password-recovery
- service-policy(クラス)
- service-policy (global)
- service sw-reset-button
- サービス テレメトリ
- session
- session console
- session do
- session ip
- set as-path
- set automatic-tag
- set community
- set connection
- set connection advanced-options
- set connection decrement-ttl
- set connection timeout
- set default interface
- set dscp
- set ikev1 transform-set
- set interface
- set ip df
- set ip default next-hop
- set ip next-hop
- set ip next-hop recursive
- set ip next-hop verify-availability
- set local-preference
- set metric
- set metric-type
- set metric-type internal
- set origin
- set pfs
- set security-association lifetime
- set trustpoint
- setup
- set weight
- sfr
- shape
- share-ratio
same-security-traffic through share-ratio コマンド
same-security-traffic
同じセキュリティレベルのインターフェイス間での通信を許可するか、またはトラフィックが同じインターフェイスに入って同じインターフェイスから出ることを許可するには、グローバル コンフィギュレーション モードで same-security-traffic コマンドを使用します。同じセキュリティレベルのトラフィックをディセーブルにするには、このコマンドの no 形式を使用します。
same-security-traffic permit { inter-interface | intra-interface }
no same-security-traffic permit { inter-interface | intra-interface }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
intra-interface キーワードを使用すると、IPsec トラフィックだけではなく、すべてのトラフィックが同じインターフェイスに出入りできるようになりました。 |
使用上のガイドライン
同じセキュリティ レベルのインターフェイス間での通信を許可すると( same-security-traffic inter-interface コマンドを使用してイネーブルにします)、次の利点があります。
- 101 より多い数の通信インターフェイスを設定できます。各インターフェイスで異なるレベルを使用する場合は、レベルごと(0 ~ 100)に 1 つのインターフェイスのみを設定できます。
- アクセス リストなしで、すべての同じセキュリティ レベルのインターフェイス間で自由にトラフィックを送受信できます。
same-security-traffic intra-interface コマンドを使用すると、トラフィックが同じインターフェイスに入って同じインターフェイスから出ることができます。この動作は、通常は許可されていません。この機能は、あるインターフェイスに入り、その後同じインターフェイスからルーティングされる VPN トラフィックの場合に役立ちます。この場合、VPN トラフィックは暗号化解除されたり、別の VPN 接続のために再度暗号化されたりする場合があります。たとえば、ハブ アンド スポーク VPN ネットワークがあり、ASA がハブ、リモート VPN ネットワークがスポークの場合、あるスポークが別のスポークと通信するためには、トラフィックは ASA に入ってから他のスポークに再度ルーティングされる必要があります。
(注
) same-security-traffic intra-interface コマンドによって許可されるすべてのトラフィックには、引き続きファイアウォール ルールが適用されます。リターン トラフィックが ASA を通過できない原因となるため、非対称なルーティング状態にしないよう注意してください。
例
次に、同じセキュリティ レベルのインターフェイス間での通信をイネーブルにする例を示します。
次に、トラフィックが同じインターフェイスに入って同じインターフェイスから出られるようにする例を示します。
関連コマンド
|
|
|
|---|---|
sasl-mechanism
LDAP クライアントを LDAP サーバに対して認証するための Simple Authentication and Security Layer(SASL)メカニズムを指定するには、AAA サーバ ホスト コンフィギュレーション モードで sasl-mechanism コマンドを使用します。SASL 認証メカニズムのオプションは、 digest-md5 および kerberos です。
認証メカニズムをディセーブルにするには、このコマンドの no 形式を使用します。
sasl-mechanism {digest-md5 | kerberos server-group-name}
no sasl-mechanism {digest-md5 | kerberos server-group-name}
(注) VPN ユーザにとっては、ASA が LDAP サーバへのクライアント プロキシとして動作するため、ここでの LDAP クライアントとは ASA を意味しています。
構文の説明
構文の説明構文の説明
ASA は、Generic Security Services Application Programming Interface(GSSAPI)Kerberos メカニズムを使用してユーザ名とレルムを送信することによって応答します。 |
|
デフォルト
デフォルトの動作や値はありません。ASA は、認証パラメータをプレーン テキストで LDAP サーバに渡します。
(注) SASL を設定していない場合は、ldap-over-ssl コマンドを使用して、SSL によって LDAP 通信を保護することを推奨します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が SASL メカニズムを使用して LDAP サーバに対する認証を行うよう指定するには、このコマンドを使用します。
ASA と LDAP サーバの両方で、複数の SASL 認証メカニズムをサポートできます。SASL 認証をネゴシエートする場合、ASA はサーバに設定されている SASL メカニズムのリストを取得して、ASA とサーバの両方に設定されているメカニズムのうち最も強力な認証メカニズムを設定します。Kerberos メカニズムは、Digest-MD5 メカニズムよりも強力です。たとえば、LDAP サーバとASA の両方でこれら 2 つのメカニズムがサポートされている場合、ASA では、より強力な Kerberos メカニズムが選択されます。
各メカニズムは独立して設定されるため、SASL メカニズムをディセーブルにするには、ディセーブルにする各メカニズムに対して別々に no コマンドを入力する必要があります。明示的にディセーブルにしないメカニズムは引き続き有効です。たとえば、両方の SASL メカニズムをディセーブルにするには、次の両方のコマンドを入力する必要があります。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、名前が ldapsvr1、IP アドレスが 10.10.0.1 の LDAP サーバに対する認証のために SASL メカニズムをイネーブルにする例を示します。この例では、SASL digest-md5 認証メカニズムがイネーブルにされています。
次に、SASL Kerberos 認証メカニズムをイネーブルにして、Kerberos AAA サーバとして kerb-servr1 を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
saml idp
新しい SAML IdP を追加するには、webvpn コンフィギュレーション モードで saml idp コマンドを使用します。SAML IdP を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、1 つ以上のサードパーティの SAML ID プロバイダーの設定値を設定します。IdP 設定は、それらがトンネル グループに適用されるまで使用されません。
SAML IdP のサインイン URL、サインアウト URL、署名証明書は、ベンダーの Web サイトで確認できます。IdP の署名証明書を保持するためのトラストポイントを作成する必要があります。トラストポイント名はトラストポイント idp によって使用されます。
webvpn モードで Idp を作成すると、saml-idp サブモードに切り替わります。このモードで、この Idp の次の設定値を設定できます。
- url sign-in:Idp にサインインするための URL。
- url sign-out:IdP をサインアウトしたときのリダイレクト先 URL。
- signature:SAML 要求内の署名を有効または無効にします。デフォルトでは、署名は無効になっています。
- signature <value>:署名を有効にし、rsa-sha1、rsa-sha256、rsa-sha384、または rsa-sha512 を方式に指定します。デフォルトでは、署名は無効になっています。
- time-out:SAML タイムアウト値(秒単位)。
- base-url:エンドユーザを ASA にリダイレクトするために、URL がサードパーティ IdP に提供されます。base-url を設定しないと、URL は ASA のホスト名とドメイン名から取得されます。たとえば、ホスト名が「ssl-vpn」で、ドメイン名が「cisco.com」の場合、show saml metadata では、https://ssl-vpn.cisco.com がベース URL として表示されます。base-url またはホスト名/ドメイン名のいずれも設定されていない場合、show saml metadata はエラーを返します。
- trustpoint:ASA の署名を検証するか、または SAML アサーションを暗号化するために、ASA(SP)に基づく既存のトラストポイントまたは IdP が使用できる IDP 証明書を割り当てます。
例
次に、Idp を定義し、Idp 設定値を設定する方法の例を示します。
関連コマンド
|
|
|
|---|---|
saml identity-provider
config-tunnel-webvpn モードでこの CLI を使用して、SAML IdP をトンネル グループ(接続プロファイル)に割り当てます。
no saml identity-provider name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
関連コマンド
|
|
|
|---|---|
sast
CTL レコードに作成する SAST 証明書の数を指定するには、CTL ファイル コンフィギュレーション モードで sast コマンドを使用します。CTL ファイル内の SAST 証明書の数をデフォルト値の 2 に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL ファイルは、System Administrator Security Token(SAST; システム管理者セキュリティ トークン)によって署名されます。
電話プロキシは CTL ファイルを生成するため、CTL ファイル自体を署名するための SAST キーを作成する必要があります。このキーは、ASA で生成できます。SAST は、自己署名証明書として作成されます。
通常、CTL ファイルには複数の SAST が含まれています。ある SAST が回復可能でない場合は、後でもう 1 つの SAST を使用してファイルを署名できます。
例
次に、 sast コマンドを使用して、CTL ファイルに 5 つの SAST 証明書を作成する例を示します。
ciscoasa(config-ctl-file)# sast 5
関連コマンド
|
|
|
|---|---|
Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。 |
|
scansafe
コンテキストに対してクラウド Web セキュリティ インスペクションをイネーブルにするには、コンテキスト コンフィギュレーション モードで scansafe コマンドを使用します。クラウド Web セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
このコンテキストの認証キーを入力します。キーを指定しない場合は、システム コンフィギュレーションで設定されているライセンスがこのコンテキストで使用されます。ASA は、要求がどの組織からのものかを示すために、認証キーを クラウド Web セキュリティ プロキシ サーバに送信します。認証キーは 16 バイトの 16 進数です。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、デフォルトのライセンスを使用してコンテキスト 1 でクラウド Web セキュリティをイネーブルにし、ライセンス キーの上書きを使用してコンテキスト 2 でクラウド Web セキュリティをイネーブルにする設定の例を示します。
関連コマンド
scansafe general-options
クラウド Web セキュリティ プロキシ サーバとの通信を設定するには、グローバル コンフィギュレーション モードで scansafe general-options コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
scep-enrollment enable
トンネル グループの Simple Certificate Enrollment Protocol をイネーブルまたはディセーブルにするには、トンネル グループ一般属性モードで scep-enrollment enable コマンドを使用します。
このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
この機能がサポートされるのは、リリース 3.0 以降の Cisco AnyConnect Secure Mobility Client のみです。
ASA は、AnyConnect とサードパーティ認証局の間の SCEP 要求のプロキシとして動作することができます。認証局がプロキシとして動作する場合に必要なのは、ASA にアクセス可能であることのみです。ASA のこのサービスが機能するには、ASA が登録要求を送信する前に、ユーザが AAA でサポートされているいずれかの方法を使用して認証されている必要があります。また、ホスト スキャンおよびダイナミック アクセス ポリシーを使用して、登録資格のルールを適用することもできます。
ASA では、AnyConnect SSL または IKEv2 VPN セッションでのみこの機能をサポートしています。これは、IOS CS、Windows Server 2003 CA、および Windows Server 2008 CA を含む、すべての SCEP 準拠認証局をサポートしています。
クライアントレス(ブラウザベース)でのアクセスは SCEP プロキシをサポートしていませんが、WebLaunch(クライアントレス起動 AnyConnect)はサポートしていません。
例
次に、グローバル コンフィギュレーション モードで、remotegrp というリモート アクセス トンネル グループを作成し、グループ ポリシー用の SCEP をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
証明書が SCEP プロキシの WebLaunch のサポートに使用できない場合は、共通のセカンダリ パスワードを使用します。 |
|
scep-forwarding-url
グループ ポリシー用の SCEP 認証局を登録するには、グループ ポリシー コンフィギュレーション モードで scep-forwarding-url コマンドを使用します。
このコマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
scep-forwarding-url { none | value [ URL ]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Example
次に、グローバル コンフィギュレーション モードで、FirstGroup という名前のグループ ポリシーを作成し、グループ ポリシーの認証局を登録する例を示します。
関連コマンド
|
|
|
|---|---|
トンネル グループに対して Simple Certificate Enrollment Protocol をイネーブルにします。 |
|
証明書が SCEP プロキシの WebLaunch のサポートに使用できない場合は、共通のセカンダリ パスワードを使用します。 |
|
secondary
preempt コマンドの使用時にフェールオーバー グループの優先ユニットを設定するには、フェールオーバー グループ コンフィギュレーション モードで secondary コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
フェールオーバー グループに primary または secondary が指定されていない場合は、フェールオーバー グループはデフォルトで primary に設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
早期のソフトウェア バージョンでは、フェールオーバー グループが優先ユニットでアクティブになるために preempt コマンドを必要としないように、「同時」ブートアップが許可されていました。ただし、この機能は、現在、両方のフェールオーバー グループがブートアップした最初のユニットでアクティブになるように変更されています。 |
使用上のガイドライン
primary または secondary 優先順位をフェールオーバー グループに割り当てると、 preempt コマンドが設定されているときに、フェールオーバー グループがどのユニット上でアクティブになるかが指定されます。グループの primary または secondary の設定にかかわらず、両方のフェールオーバー グループがブートアップした最初のユニットでアクティブになります(それらが同時に起動したように見える場合でも、一方のユニットが最初にアクティブになります)。もう一方のユニットがオンラインになったとき、2 番めのユニットをプライオリティの高いユニットとして所有するフェールオーバー グループは、そのフェールオーバー グループが preempt コマンドで設定されているか、 no failover active コマンドを使用して手動でもう一方のユニットに強制されない限り、2 番めのユニットではアクティブになりません。フェールオーバー グループが preempt コマンドで設定される場合、指定されたユニットでフェールオーバー グループが自動的にアクティブになります。
例
次の例では、プライマリ装置のフェールオーバー グループ 1 をより高いプライオリティに設定し、セカンダリ装置のフェールオーバー グループ 2 をより高いプライオリティに設定します。どのフェールオーバー グループも preempt コマンドを使用して設定されているため、これらのグループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになります。
関連コマンド
|
|
|
|---|---|
secondary-authentication-server-group
二重認証がイネーブルの場合にセッションに関連付けるセカンダリ認証サーバ グループを指定するには、トンネル グループ一般属性モードで secondary-authentication-server-group コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
secondary-authentication-server-group [ interface_name ] { none | LOCAL | groupname [ LOCAL ]} [ use-primary-username ]}
no secondary-authentication-server-group
構文の説明
(任意)通信障害によりサーバ グループにあるすべてのサーバが非アクティブになった場合に、ローカル ユーザ データベースに対する認証を要求します。サーバ グループ名が LOCAL または NONE の場合、ここでは LOCAL キーワードを使用しないでください。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 secondary-authentication-server-group コマンドは、セカンダリ AAA サーバ グループを指定します。SDI サーバ グループはセカンダリ サーバ グループにできません。
use-primary-username キーワードが設定されている場合は、ログイン ダイアログボックスで 1 つのユーザ名のみが要求されます。
例
次に、グローバル コンフィギュレーション モードで、remotegrp という名前のリモート アクセス トンネル グループを作成して、接続のプライマリ サーバ グループとしてグループ sdi_server の使用を指定し、セカンダリ認証サーバ グループとしてグループ ldap_server を指定する例を示します。
関連コマンド
|
|
|
|---|---|
secondary-color
WebVPN ログイン、ホームページ、およびファイル アクセス ページのセカンダリ カラーを設定するには、webvpn コンフィギュレーション モードで secondary-color コマンドを使用します。色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。
構文の説明
(任意)色を指定します。カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
RGB 値を使用する場合、推奨値は 216 です。推奨色は、数学的にあり得る数よりはるかに少なくなります。多くのディスプレイは 256 色しか処理できず、そのうちの 40 色は MAC と PC とでは異なった表示になります。最適な結果を得るために、公開されている RGB テーブルをチェックしてください。RGB テーブルをオンラインで検索するには、検索エンジンで RGB と入力します。
例
次に、HTML の色値 #5F9EAO(灰青色)を設定する例を示します。
ciscoasa(config)# webvpn
関連コマンド
|
|
|
|---|---|
secondary-pre-fill-username
クライアントレスまたは AnyConnect 接続の二重認証で使用するクライアント証明書からユーザ名を抽出できるようにするには、トンネル グループ webvpn 属性モードで secondary-pre-fill-username コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
secondary-pre-fill-username { clientless | ssl-client } [ hide ]
secondary-pre-fill-username { clientless | ssl-client } hide [ use-primary-password | use-common-password [ type_num ] password ]
no secondary-no pre-fill-username
構文の説明
デフォルト
この機能はデフォルトで無効に設定されています。 hide キーワードを指定せずにこのコマンドを入力すると、抽出したユーザ名が VPN ユーザに表示されます。use-primary-password と use-common-password のいずれのキーワードも指定しないと、ユーザにはパスワード プロンプトが表示されます。 type_num のデフォルト値は 8 です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
[ use-primary-password | use-common-password [ type_num ] password ] オプションが追加されました。 |
使用上のガイドライン
この機能をイネーブルにするには、トンネル グループ一般属性モードで secondary-username-from-certificate コマンドを入力する必要もあります。
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 secondary-pre-fill-username コマンドは、 secondary-username-from-certificate コマンドで指定された証明書フィールドから抽出されたユーザ名を、セカンダリ ユーザ名またはパスワード認証のユーザ名として使用できるようにします。2 回めの認証で証明書からのユーザ名の事前充填機能を使用するには、両方のコマンドを設定する必要があります。
(注) クライアントレス接続と SSL クライアント接続は、相互排他的なオプションではありません。1 つのコマンドラインで指定できるのはいずれか 1 つのみですが、同時に両方をイネーブルにできます。
2 番めの名を非表示にして、プライマリまたは共通のパスワードを使用する場合は、ユーザ体験は単一認証と似ています。プライマリまたは共通のパスワードを使用すると、デバイス証明書を使用したデバイスの認証がシームレスなユーザ体験になります。
use-primary-password キーワードは、すべての認証のセカンダリ パスワードとしてプライマリ パスワードを使用することを指定します。
use-common-password キーワードは、すべての 2 次認証に共通のセカンダリ パスワードを使用することを指定します。エンドポイントにインストールされているデバイス証明書に BIOS ID またはその他の ID が含まれている場合は、2 次認証要求では、事前に入力された BIOS ID をセカンダリ ユーザ名として使用して、そのトンネル グループでのすべての認証に対して設定された共通のパスワードを使用できます。
例
次の例では、remotegrp という名前の IPsec リモート アクセス トンネル グループを作成して、接続がブラウザベースである場合に、エンドポイントのデジタル証明書の名前を、認証または認可クエリーに使用する名前として再使用することを指定します。
次の例では、前のコマンドと同じ機能を実行しますが、抽出されたユーザ名をユーザに非表示にします。
次の例では、AnyConnect 接続だけに適用される点を除いて、前のコマンドと同じ機能を実行します。
次の例では、ユーザ名を非表示にして、ユーザにプロンプトを表示せずに、2 次認証に 1 次認証パスワードを再使用します。
次の例では、ユーザ名を非表示にして、入力するパスワードを 2 次認証に使用します。
関連コマンド
|
|
|
|---|---|
secondary-text-color
WebVPN ログイン、ホームページ、およびファイル アクセス ページのセカンダリ テキストの色を設定するには、webvpn モードで secondary-text-color コマンドを使用します。色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。
secondary-text-color [ black | white ]
構文の説明
text-color コマンドの設定に基づいて、黒または白が選択されます。つまり、プライマリ カラーが黒の場合、この値は白になります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
ciscoasa(config)# webvpn
関連コマンド
|
|
|
|---|---|
ログイン ページ、ホームページ、およびファイル アクセス ページの WebVPN タイトル バーのテキストの色を設定します。 |
secondary-username-from-certificate
クライアントレス接続または AnyConnect(SSL クライアント)接続において、二重認証の 2 つめのユーザ名として使用する証明書のフィールドを指定するには、トンネル グループ一般属性モードで secondary-username-from-certificate コマンドを使用します。
属性をコンフィギュレーションから削除してデフォルト値に戻すには、このコマンドの no 形式を使用します。
secondary-username-from-certificate { primary-attr [ secondary-attr ] | use-entire-name | use-script }
no secondary-username-from-certificate
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、二重認証がイネーブルになっている場合に限り有効です。
二重認証が有効になっている場合、このコマンドはユーザ名として使用する 1 つ以上のフィールドを証明書から選択します。 secondary-username-from-certificate コマンドは、セキュリティ アプライアンスに、指定した証明書フィールドを 2 回めのユーザ名/パスワード認証のための 2 つめのユーザ名として使用するように強制します。
2 回めのユーザ名/パスワード認証または認可のために、証明書からのユーザ名の事前充填機能で、取得されたユーザ名を使用するには、トンネル グループ webvpn 属性モードで pre-fill-username コマンドおよび secondary-pre-fill-username コマンドも設定する必要があります。つまり、2 回めのユーザ名の事前充填機能を使用するには、両方のコマンドを設定する必要があります。
プライマリ属性およびセカンダリ属性の有効値は、次のとおりです。
|
|
|
|---|---|
(注) secondary-authentication-server-group コマンドを secondary-username-from-certificate コマンドとともに指定した場合は、プライマリ ユーザ名のみが認証に使用されます。
例
次に、グローバル コンフィギュレーション モードで、remotegrp という名前のリモート アクセス トンネル グループを作成し、プライマリ属性として CN(一般名)、セカンダリ属性として OU を使用して、デジタル証明書から認可クエリーの名前を取得するように指定する例を示します。
次に、トンネル グループ属性を変更し、事前入力ユーザ名を設定する例を示します。
関連コマンド
|
|
|
|---|---|
セカンダリ AAA サーバ グループを指定します。ユーザ名がデジタル証明書から抽出される場合は、プライマリ ユーザ名だけが認証に使用されます。 |
secondary-username-from-certificate-choice
セカンダリ認証または許可用として事前入力ユーザ名フィールドにユーザ名を使用する必要がある証明書を選択するには、 secondary-username-from-certificate-choice コマンドを使用します。このコマンドは tunnel-group general-attributes モードで使用します。デフォルトの証明書で使用されているユーザ名を使用するには、このコマンドの no 形式を使用します。
secondary-username-from-certificate-choice {first-certificate | second-certificate}
no secondary-username-from-certificate-choice {first-certificate | second-certificate}
構文の説明
マシン証明書のユーザ名を、セカンダリ認証の事前入力ユーザ名フィールドで使用するように SSL または IKE で送信するかどうかを指定します。 |
|
ユーザ証明書のユーザ名を、セカンダリ認証の事前入力ユーザ名フィールドで使用するようにクライアントから送信するかどうかを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
複数証明書オプションを使用すると、証明書を通じたマシンとユーザ両方の証明書認証が可能になります。事前入力ユーザ名フィールドでは、証明書のフィールドを解析し、AAA および証明書認証済み接続で以降の(プライマリまたはセカンダリ)AAA 認証に使用することができます。事前入力のユーザ名は、常にクライアントから受信した 2 つ目の(ユーザ)証明書から取得されます。
9.14(1) 以降、ASA では、最初の証明書(マシン証明書)または 2 つ目の証明書(ユーザ証明書)のどちらを使用して事前入力ユーザ名フィールドに使用するユーザ名を取得するかを選択できます。
このコマンドは、認証タイプ(AAA、証明書、または複数証明書)に関係なく、任意のトンネルグループに使用および設定できます。ただし、設定は、複数証明書認証(複数証明書または AAA 複数証明書)に対してのみ有効となります。このオプションが複数証明書認証に使用されない場合は、2 つ目の証明書がデフォルトとして認証または許可の目的で使用されます。
例
次に、プライマリおよびセカンダリ認証または許可の事前入力ユーザ名に使用する証明書を設定する方法の例を示します。
関連コマンド
|
|
|
|---|---|
secure-unit-authentication
セキュア ユニット認証をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで secure-unit-authentication enable コマンドを使用します。セキュア ユニット認証をディセーブルにするには、 secure-unit-authentication disable コマンドを使用します。実行コンフィギュレーションからセキュア ユニット認証属性を削除するには、このコマンドの no 形式を使用します。 secure-unit-authentication { enable | disable }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セキュア ユニット認証では、ハードウェア クライアントが使用するトンネル グループに認証サーバ グループが設定されている必要があります。
プライマリASA でセキュア ユニット認証が必要な場合は、すべてのバックアップ サーバに対してもセキュア ユニット認証を設定する必要があります。
no オプションを指定すると、他のグループ ポリシーからセキュア ユニット認証の値を継承できます。
セキュア ユニット認証では、VPN ハードウェア クライアントがトンネルを開始するたびにクライアントに対してユーザ名/パスワード認証を要求することによって、セキュリティが強化されます。この機能をイネーブルにすると、ハードウェア クライアントではユーザ名とパスワードが保存されません。
(注) この機能をイネーブルにした場合に VPN トンネルを確立するには、ユーザがユーザ名とパスワードを入力する必要があります。
例
次に、FirstGroup という名前のグループ ポリシーに対して、セキュア ユニット認証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
イネーブルの場合、VPN ハードウェア クライアントの背後にある無線デバイスからの LEAP パケットがユーザ認証の前に VPN トンネルを通過できます。これにより、シスコ ワイヤレス アクセス ポイント デバイスを使用するワークステーションで LEAP 認証を確立できるようになります。その後、ユーザ認証ごとに再度認証を行います。 |
|
security-group
Cisco TrustSec で使用できるようにセキュリティ グループをセキュリティ オブジェクト グループに追加するには、オブジェクトグループ セキュリティ コンフィギュレーション モードで security-group コマンドを使用します。セキュリティ グループを削除するには、このコマンドの no 形式を使用します。
security-group { tag sgt# | name sg_name }
no security-group { tag sgt# | name sg_name }
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
作成したセキュリティ グループ オブジェクト グループは、Cisco TrustSec をサポートする機能で使用できます。そのグループを拡張 ACL に入れると、たとえばアクセス ルールで使用できるようになります。
Cisco TrustSec と統合されているときは、ASA は ISE からセキュリティ グループの情報をダウンロードします。ISE はアイデンティティ リポジトリとしても動作し、Cisco TrustSec タグからユーザ アイデンティティへのマッピングと、Cisco TrustSec タグからサーバ リソースへのマッピングを行います。セキュリティ グループ アクセス リストのプロビジョニングおよび管理は、中央集中型で ISE 上で行います。
ただし、ASA には、グローバルには定義されていない、ローカライズされたネットワーク リソースが存在することがあり、そのようなリソースにはローカル セキュリティ グループとローカライズされたセキュリティ ポリシーが必要です。ローカル セキュリティ グループには、ISE からダウンロードされた、ネストされたセキュリティ グループを含めることができます。ASA は、ローカルと中央のセキュリティ グループを統合します。
ASA 上でローカル セキュリティ グループを作成するには、ローカル セキュリティ オブジェクト グループを作成します。1 つのローカル セキュリティ オブジェクト グループに、1 つ以上のネストされたセキュリティ オブジェクト グループまたはセキュリティ ID またはセキュリティ グループ名を入れることができます。ユーザは、ASA 上に存在しない新しいセキュリティ ID またはセキュリティ グループ名を作成することもできます。
ASA 上で作成したセキュリティ オブジェクト グループは、ネットワーク リソースへのアクセスの制御に使用できます。セキュリティ オブジェクト グループを、アクセス グループやサービス ポリシーの一部として使用できます。
例
次に、セキュリティ グループ オブジェクトを設定する例を示します。
次に、セキュリティ グループ オブジェクトを設定する例を示します。
関連コマンド
|
|
|
|---|---|
security-group-tag
リモート アクセス VPN グループ ポリシーまたは LOCAL ユーザ データベース内のユーザのセキュリティ グループ タグを設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで security-group-tag value コマンドを使用します。セキュリティ グループ タグ属性を削除するには、このコマンドの no 形式を使用します。
security-group - tag { none | value sgt }
no security-group - tag { none | value sgt }
構文の説明
コマンド デフォルト
デフォルトは security-group-tag none です。つまり、この属性に設定されているセキュリティ グループ タグはありません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は、VPN セッションのセキュリティ グループ タギングをサポートしています。外部 AAA サーバを使用するか、または、ローカル ユーザか VPN グループ ポリシーのセキュリティ グループ タグを設定することで、セキュリティ グループ タグ(SGT)を VPN セッションに割り当てることができます。さらに、レイヤ 2 イーサネット経由で、Cisco TrustSec システムを介してこのタグを伝搬することができます。AAA サーバが SGT を提供できない場合には、セキュリティ グループ タグをグループ ポリシーで利用したり、ローカル ユーザが利用したりすることができます。
次は、VPN ユーザに SGT を割り当てるための一般的なプロセスです。
1. ユーザは、ISE サーバを含む AAA サーバ グループを使用しているリモート アクセス VPN に接続します。
2. ASA が ISE に AAA 情報を要求します。この情報に SGT が含まれている場合があります。ASA は、ユーザのトンネル トラフィックに対する IP アドレスの割り当ても行います。
3. ASA が AAA 情報を使用してユーザを認証し、トンネルを作成します。
4. ASA が AAA 情報から取得した SGT と割り当て済みの IP アドレスを使用して、レイヤ 2 ヘッダー内に SGT を追加します。
5. SGT を含むパケットが Cisco TrustSec ネットワーク内の次のピア デバイスに渡されます。
AAA サーバの属性に、VPN ユーザに割り当てるための SGT が含まれていない場合、ASA はグループ ポリシーの SGT を使用します。グループ ポリシーに SGT が含まれていない場合は、タグ 0x0 が割り当てられます。
例
次に、グループ ポリシーの SGT 属性を設定する方法の例を示します。
関連コマンド
|
|
|
|---|---|
データ パスに保持されている IP アドレス セキュリティ グループのテーブル マップ データベースから IP アドレス セキュリティ グループのテーブル マップ エントリを表示します。 |
|
security-level
インターフェイスのセキュリティ レベルを設定するには、インターフェイス コンフィギュレーション モードで security-level コマンドを使用します。セキュリティ レベルをデフォルトに設定するには、このコマンドの no 形式を使用します。セキュリティ レベルを指定すると、高いセキュリティ レベルのネットワークと低いセキュリティ レベルのネットワークとの間の通信に追加の保護が設定され、高いセキュリティ レベルのネットワークが低いセキュリティ レベルのネットワークから保護されます。
構文の説明
デフォルト
インターフェイスに「inside」という名前を指定して、明示的にセキュリティ レベルを設定しないと、ASA によってセキュリティ レベルが 100 に設定されます( nameif コマンドを参照)。このレベルは必要に応じて変更できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 nameif コマンドのキーワードからインターフェイス コンフィギュレーション モードのコマンドに変更されました。 |
使用上のガイドライン
- ネットワーク アクセス:デフォルトで、高いセキュリティ レベルのインターフェイスから低いセキュリティ レベルのインターフェイスへの通信(発信)は暗黙的に許可されます。高いセキュリティ レベルのインターフェイス上のホストは、低いセキュリティ レベルのインターフェイス上の任意のホストにアクセスできます。インターフェイスにアクセス リストを適用することによって、アクセスを制限できます。
同じセキュリティ レベルのインターフェイス間では、同じセキュリティ レベル以下の他のインターフェイスへのアクセスが暗黙的に許可されます。
- インスペクション エンジン:一部のインスペクション エンジンは、セキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイス間では、インスペクション エンジンは発信と着信のいずれのトラフィックに対しても適用されます。
– NetBIOS インスペクション エンジン:発信接続に対してのみ適用されます。
– OraServ インスペクション エンジン:ホストのペア間に OraServ ポートへの制御接続が存在する場合は、ASA 経由での着信データ接続のみが許可されます。
同じセキュリティ レベルのインターフェイス間では、発信と着信のいずれのトラフィックもフィルタリングできます。
- NAT コントロール:NAT コントロールをイネーブルにする場合、高いセキュリティ レベルのインターフェイス(内部)上のホストから低いセキュリティ レベルのインターフェイス(外部)上のホストにアクセスするときは、内部インターフェイスのホストに NAT を設定する必要があります。
NAT コントロールをイネーブルにしない場合、または同じセキュリティ レベルのインターフェイス間においては、任意のインターフェイス間で NAT を使用することも、使用しないこともできます。外部インターフェイスに NAT を設定する場合は、特別なキーワードが必要になることがあります。
- established コマンド:このコマンドを使用すると、高いレベルのホストから低いレベルのホストへの接続がすでに確立されている場合、低いセキュリティ レベルのホストから高いセキュリティ レベルのホストへの戻り接続が許可されます。
同じセキュリティ レベルのインターフェイス間では、発信と着信の両方の接続に対して established コマンドを設定できます。
通常、同じセキュリティ レベルのインターフェイス間では通信できません。同じセキュリティ レベルのインターフェイス間で通信する場合は、 same-security-traffic コマンドを参照してください。101 を超える通信インターフェイスを作成する必要がある場合や、2 つのインターフェイス間のトラフィックに同じ保護機能を適用する必要がある場合(同程度のセキュリティが必要な 2 つの部門がある場合など)に、2 つのインターフェイスに同じレベルを割り当てて、それらのインターフェイス間での通信を許可できます。
インターフェイスのセキュリティ レベルを変更する場合、既存の接続がタイムアウトするのを待たずに新しいセキュリティ情報を使用するときは、 clear local-host コマンドを使用して接続をクリアできます。
例
次に、2 つのインターフェイスのセキュリティ レベルを 100 と 0 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
segment-id
VNI インターフェイスの VXLAN ID を指定するには、インターフェイス コンフィギュレーション モードで segment-id コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、VNI 1 インターフェイスを設定し、1000 のセグメント ID を指定する例を示します。
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# mcast-group 236.0.0.100
関連コマンド
send response
RADIUS の Accounting-Response Start および Accounting-Response Stop メッセージを RADIUS の Accounting-Request Start および Stop メッセージの送信元に送信するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで send response コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスします。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、RADIUS アカウンティングで応答を送信する例を示します。
関連コマンド
|
|
|
|---|---|
seq-past-window
パストウィンドウ シーケンス番号(TCP 受信ウィンドウの適切な境界を越える受信 TCP パケットのシーケンス番号)を持つパケットに対するアクションを設定するには、tcp マップ コンフィギュレーション モードで seq-past-window コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
seq-past-window { allow | drop }
構文の説明
パストウィンドウ シーケンス番号を持つパケットを許可します。このアクションは、 queue-limit コマンドが 0(ディセーブル)に設定されている場合に限り許可されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. seq-past-window :tcp マップ コンフィギュレーション モードでは、 seq-past-window コマンドおよびその他数多くのコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
例
次に、パストウィンドウ シーケンス番号を持つパケットを許可するように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
serial-number
登録時に、ASA のシリアル番号を証明書に含めるには、クリプト CA トラストポイント コンフィギュレーション モードで serial-number コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central の登録要求に ASA のシリアル番号を含める例を示します。
関連コマンド
|
|
|
|---|---|
server(POP3、IMAP4、SMTP)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
デフォルトの電子メール プロキシ サーバを指定するには、該当する電子メール プロキシ コンフィギュレーション モードで server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。ASA は、ユーザがサーバを指定せずに電子メール プロキシに接続した場合、デフォルトの電子メール サーバに要求を送信します。デフォルトのサーバを設定せず、ユーザもサーバを指定しない場合、ASA ではエラーが返されます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、IP アドレス 10.1.1.7 を指定してデフォルトの POP3S 電子メール サーバを設定する例を示します。
ciscoasa(config)# pop3s
server(ScanSafe 汎用オプション)
プライマリおよびバックアップ クラウド Web セキュリティ プロキシ サーバを設定するには、ScanSafe 汎用オプション コンフィギュレーション モードで server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。
server { primary | backup } { ip ip_address | fqdn fqdn } [ port port ]
no server { primary | backup } { ip ip_address | fqdn fqdn } [ port port ]
構文の説明
(オプション)デフォルトでは、クラウド Web セキュリティ プロキシ サーバは HTTP と HTTPS の両方のトラフィックにポート 8080 を使用します。指示されている場合以外は、この値を変更しないでください。 |
|
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco Cloud Web Security サービスに登録すると、プライマリ クラウド Web セキュリティ プロキシ サーバとバックアップ プロキシ サーバが割り当てられます。これらのサーバは、アベイラビリティをチェックするために定期的にポーリングされます。ASA がクラウド Web セキュリティ プロキシ サーバに到達することができない場合(SYN/ACK パケットがプロキシ サーバから到着しない場合など)、プロキシ サーバは TCP スリーウェイ ハンドシェイクを介してポーリングされて、アベイラビリティがチェックされます。設定した試行回数(デフォルトは 5)後に、プロキシ サーバが使用不可の場合、サーバは到達不能として宣言され、バックアップ プロキシ サーバがアクティブになります。
(注) クラウド Web セキュリティ アプリケーションの状態をチェックすることで、フェールオーバーをさらに改善することができます。場合によっては、サーバが TCP スリーウェイ ハンドシェイクを完了できても、サーバ上のクラウド Web セキュリティ アプリケーションが正しく機能していないことがあります。アプリケーション健全性チェックを有効にすると、スリーウェイ ハンドシェイクが完了しても、アプリケーション自体が応答しない場合、システムはバックアップ サーバにフェールオーバーできます。これにより、より信頼性の高いフェールオーバー設定が確立されます。この追加のチェックを有効にするには、health-check application コマンドを使用します。
継続ポーリングによってプライマリ サーバが連続する 2 回の再試行回数の期間にアクティブであることが示されると、ASA はバックアップ サーバからプライマリ クラウド Web セキュリティ プロキシ サーバに自動的にフォール バックします。このポーリング間隔を変更するには、 retry-count コマンドを使用します。
|
|
|
|
|---|---|---|
クライアントのハーフ オープンの接続のタイムアウト +((再試行しきい値 - 1)x(ASA TCP 接続タイムアウト)) |
||
例
次に、プライマリ サーバとバックアップ サーバを設定する例を示します。プライマリ サーバおよびバックアップ サーバに対して個別にコマンドを入力する必要があります。
関連コマンド
server (ssh pubkey-chain)
オンボードのセキュア コピー(SCP)クライアントの SSH サーバおよびそのキーを ASA データベースに対して手動で追加または削除するには、ssh pubkey-chain コンフィギュレーション モードで server コマンドを使用します。サーバおよびそのホスト キーを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバとそのキーを追加または削除できます。
各サーバについて、SSH ホストの key-string (公開キー) または key-hash (ハッシュ値)を指定できます。
例
次に、10.86.94.170 にあるサーバのすでにハッシュされているホスト キーを追加する例を示します。
次に、10.7.8.9 にあるサーバのホスト ストリング キーを追加する例を示します。
ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit
関連コマンド
|
|
|
|---|---|
server authenticate-client
TLS ハンドシェイク時における ASA での TLS クライアントの認証をイネーブルにするには、TLS プロキシ コンフィギュレーション モードで server authenticate-client コマンドを使用します。
クライアント認証をバイパスするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
このコマンドは、デフォルトでイネーブルです。つまり、ASA とのハンドシェイク時に、TLS クライアントは、証明書の提示を要求されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TLS プロキシ ハンドシェイク時にクライアント認証が必要であるかどうかを制御するには、 server authenticate-client コマンドを使用します。イネーブルの場合(デフォルト)、セキュリティ アプライアンスは TLS クライアントに証明書要求 TLS ハンドシェイク メッセージを送信し、TLS クライアントは証明書の提示を要求されます。
クライアント認証をディセーブルにするには、このコマンドの no 形式を使用します。TLS クライアント認証のディセーブルは、ASA が CUMA クライアントや、Web ブラウザなどのクライアント証明書を送信できないクライアントと相互運用する必要がある場合に適しています。
例
次に、クライアント認証をディセーブルにした TLS プロキシ インスタンスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
server cipher-suite
TLS プロキシ サーバで使用できる暗号方式を定義するには、tls プロキシ コンフィギュレーション モードで server cipher suite コマンドを使用します。グローバルな暗号方式の設定を使用するには、このコマンドの no 形式を使用します。
server cipher-suite cipher_list
no server cipher-suite cipher_list
構文の説明
コマンド デフォルト
TLS プロキシで使用できる暗号方式を定義しないと、プロキシ サーバは ssl cipher コマンドによって定義されたグローバル暗号スイートを使用します。デフォルトでは、グローバル暗号方式レベルは medium です。つまり、NULL-SHA、DES-CBC-SHA、および RC4-MD5 を除くすべての暗号方式が使用できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が TLS プロキシ サーバとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、ASA に グローバル設定を行うには、 ssl cipher コマンドを使用するしかありませんでした。
ASA で一般的に使用可能なスイート( ssl cipher コマンド)以外の別のスイートを使用する場合にのみ、server cipher-suite コマンドを指定します。
ASA 上のすべての SSL サーバ接続に最小 TLS バージョンを設定する場合は、 ssl server-version コマンドを参照してください。デフォルトは TLS v1.0 です。
例
次に、TLS プロキシ サーバ暗号方式を設定する例を示します。
関連コマンド
|
|
|
|---|---|
server-port
ホストの AAA サーバ ポートを設定するには、AAA サーバ ホスト モードで server-port コマンドを使用します。指定されているサーバ ポートを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、srvgrp1 という名前の SDI AAA サーバでサーバ ポート番号 8888 を使用するように設定する例を示します。
ciscoasa(config)# aaa-server srvgrp1 protocol sdi
ciscoasa(config-aaa-server-group)# aaa-server srvgrp1 host 192.168.10.10
ciscoasa(config-aaa-server-host)# server-port 8888
関連コマンド
|
|
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
server-separator(POP3、IMAP4、SMTP)(廃止)
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
電子メール サーバ名および VPN サーバ名のデリミタとして文字を指定するには、該当する電子メール プロキシ モードで server-separator コマンドを使用します。デフォルト(「:」)に戻すには、このコマンドの no 形式を使用します。
構文の説明
電子メール サーバ名および VPN サーバ名を区切る文字。使用できるのは、「@」(アットマーク)、「|」(パイプ)、「:」(コロン)、「#」(番号記号)、「,」(カンマ)、および「;」(セミコロン)です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、パイプ(|)を IMAP4S サーバの区切り文字として設定する例を示します。
ciscoasa(config)# imap4s
関連コマンド
|
|
|
|---|---|
server trust-point
TLS ハンドシェイク時に提示するプロキシ トラストポイント証明書を指定するには、TLS サーバ コンフィギュレーション モードで server trust-point コマンドを使用します。
server trust-point proxy_trustpoint
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラストポイントでは、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。 server trust-point コマンドは、グローバル ssl trust-point コマンドよりも優先されます。
server trust-point コマンドは、TLS ハンドシェイク時に提示するプロキシ トラストポイント証明書を指定します。証明書は、ASA が所有している必要があります(ID 証明書)。証明書には、自己署名証明書、認証局に登録されている証明書、またはインポートされたクレデンシャルの証明書を使用できます。
接続を開始できる各エンティティに対して TLS プロキシ インスタンスを作成します。TLS 接続を開始するエンティティは、TLS クライアントのロールを担います。TLS プロキシにはクライアント プロキシとサーバ プロキシが厳密に定義されているため、いずれのエンティティからも接続が開始される可能性がある場合には、2 つの TLS プロキシ インスタンスを定義する必要があります。
(注) 電話プロキシとともに使用する TLS プロキシ インスタンスを作成する場合、サーバのトラストポイントは、CTL ファイル インスタンスによって作成される内部電話プロキシ トラストポイントです。トラストポイント名は、internal_PP_<ctl-file_instance_name> の形式となります。
例
次に、 server trust-point コマンドを使用して、TLS ハンドシェイク時に提示するプロキシ トラストポイント証明書を指定する例を示します。
ciscoasa(config-tlsp)# server trust-point ent_y_proxy
関連コマンド
|
|
|
|---|---|
server-type
LDAP サーバ モデルを手動で設定するには、AAA サーバ ホスト コンフィギュレーション モードで server-type コマンドを使用します。ASA では、次のサーバ モデルがサポートされています。
- Microsoft Active Directory
- Sun Microsystems JAVA System Directory Server(以前の Sun ONE Directory Server)
- LDAPv3 に準拠した一般的な LDAP ディレクトリ サーバ(パスワード管理なし)
このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。
server-type {auto-detect | microsoft | sun | generic | openldap | novell}
no server-type {auto-detect | microsoft | sun | generic | openldap | novell}
構文の説明
構文の説明構文の説明
Sun および Microsoft の LDAP ディレクトリ サーバ以外の LDAP v3 準拠のディレクトリ サーバを指定します。一般的な LDAP サーバでは、パスワード管理はサポートされません。 |
|
LDAP サーバが Sun Microsystems JAVA System Directory Server であることを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA は LDAP バージョン 3 をサポートしており、Sun Microsystems JAVA System Directory Server、Microsoft Active Directory、およびその他の LDAPv3 ディレクトリ サーバと互換性があります。
(注) • Sun:Sun ディレクトリ サーバにアクセスするために ASA に設定されている DN は、そのサーバ上のデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。
- Microsoft:Microsoft Active Directory でパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。
- Generic:パスワード管理機能はサポートされていません。
デフォルトで、ASA では、Microsoft ディレクトリ サーバ、Sun LDAP ディレクトリ サーバ、または一般的な LDAPv3 サーバのいずれに接続しているかが自動検出されます。ただし、自動検出で LDAP サーバ タイプを決定できない場合で、サーバが Microsoft または Sun のサーバであることが明らかである場合は、 server-type コマンドを使用して、サーバを Microsoft または Sun Microsystems の LDAP サーバとして手動で設定できます。
例
次に、AAA サーバ ホスト コンフィギュレーション モードで、IP アドレス 10.10.0.1 の LDAP サーバ ldapsvr1 のサーバ タイプを設定する例を示します。この最初の例では、Sun Microsystems LDAP サーバを設定しています。
次に、ASA で自動検出を使用してサーバ タイプを決定することを指定する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ定義の属性名を Cisco LDAP 属性名にマッピングするために、LDAP 属性マップを作成して名前を付けます。 |
service (ctl-provider)
証明書信頼リスト プロバイダーがリッスンするポートを指定するには、CTL プロバイダー コンフィギュレーション モードで service コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
no service port listening_port
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CTL プロバイダーがリッスンするポートを指定するには、CTL プロバイダー コンフィギュレーション モードで service コマンドを使用します。ポートは、クラスタ内の CallManager サーバによってリッスンされているポートである必要があります([CallManager administration] ページの [Enterprise Parameters] で設定)。デフォルトのポートは 2444 です。
例
次の例は、CTL プロバイダー インスタンスを作成する方法を示しています。
関連コマンド
|
|
|
|---|---|
service(グローバル)
拒否された TCP 接続のリセットをイネーブルにするには、グローバル コンフィギュレーション モードで service コマンドを使用します。リセットをディセーブルにするには、このコマンドの no 形式を使用します。
service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }
no service { resetinbound [ interface interface_name ] | resetoutbound [ interface interface_name ] | resetoutside }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アイデンティティ要求(IDENT)接続をリセットする必要がある場合は、着信トラフィックに対して明示的にリセットを送信できます。拒否されたホストに TCP RST(TCP ヘッダーのリセット フラグ)を送信すると、RST によって着信 IDENT プロセスが停止されるため、IDENT がタイムアウトするのを待機する必要がなくなります。外部ホストは IDENT がタイムアウトするまで SYN を継続的に再送信するため、IDENT がタイムアウトするのを待機するとトラフィックの速度低下の原因となる可能性があります。そのため、 service resetinbound コマンドによってパフォーマンスが向上する可能性があります。
例
次に、内部インターフェイスを除くすべてのインターフェイスで発信リセットをディセーブルにする例を示します。
次に、DMZ インターフェイスを除くすべてのインターフェイスで着信リセットをイネーブルにする例を示します。
次に、外部インターフェイスが終端となる接続でリセットをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
service(オブジェクト サービス)
サービス オブジェクトのプロトコルおよびオプションの属性を定義するには、オブジェクト サービス コンフィギュレーション モードで service コマンドを使用します。定義を削除するには、このコマンドの no 形式を使用します。
service { protocol | { tcp | udp | sctp } [ source operator number ] [ destination operator number ] | { icmp | icmp6 } [ icmp_type [ icmp_code ]]}
no service { protocol | { tcp | udp | sctp } [ source operator number ] [ destination operator number ] | { icmp | icmp6 } [ icmp_type [ icmp_code ]]}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ACL( access-list コマンド)や NAT( nat コマンド)など、コンフィギュレーションの他の部分ではサービス オブジェクトを名前で使用できます。
既存のサービス オブジェクトを別のプロトコルおよびポートを使用して設定した場合、新しいコンフィギュレーションでは既存のプロトコルとポートが新しいプロトコルとポートに置き換わります。
例
次に、SSH トラフィックのサービス オブジェクトを作成する例を示します。
次に、EIGRP トラフィックのサービス オブジェクトを作成する例を示します。
次に、ポート 0 ~ 1024 から HTTPS へのトラフィックに対してサービス オブジェクトを作成する例を示します。
関連コマンド
|
|
|
|---|---|
service call-home
Call Home サービスをイネーブルにするには、グローバル コンフィギュレーション モードで service call-home コマンドを使用します。Call Home サービスをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、Call Home サービスをイネーブルにする例を示します。
次に、Call Home サービスをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
service-module
サービスモジュールが応答しなくなったことをシステムが判断するまでの時間を調整するには、グローバル コンフィギュレーション モードで service-module コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
service-module { module_id | all } { keepalive-counter | keepalive-timeout } value
no service-module { module_id | all } { keepalive-counter | keepalive-timeout } value
構文の説明
キープアライブ値を調整するモジュールを指定します。 all を指定すると、すべてのモジュールのキープアライブ値を調整します。? を使用して、システムに有効なモジュール ID を決定します。ID は通常、次のようになります。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
システムでは、コントロールプレーンのキープアライブメッセージを送信することで、サービスモジュールのヘルスステータスを定期的にチェックしています。CPU の使用率が高いために通信の遅延が発生した場合、システムが応答をすぐに受信できず、これによりモジュールから応答を受信しなかったと判断する可能性があります。システムは、モジュールが実際には正常に機能しているにもかかわらず、ダウンしていることを宣言し、通信チャネルを閉じます。ハイアベイラビリティが設定されている場合、システムはサービスカードの障害によりバックアップユニットにフェールオーバーします。これがセットアップ中頻繁に発生する場合は、キープアライブ時間を延長するか、システムがモジュールの障害を宣言するまでの時間を延長してください。
例
次の例では、キープアライブ時間およびタイムアウトを変更する方法について示します。
service-object
TCP、UDP、または TCP-UDP として事前定義されていないサービスまたはサービス オブジェクトをサービス オブジェクト グループに追加するには、オブジェクトグループ サービス コンフィギュレーション モードで service-object コマンドを使用します。サービスを削除するには、このコマンドの no 形式を使用します。
service-object { protocol | { tcp | udp | tcp-udp | sctp } [ source operator number ] [ destination operator number ] | { icmp | icmp6 } [ icmp_type [ icmp_code ]] | object name }
no service-object { protocol | { tcp | udp | tcp-udp | sctp } [ source operator number ] [ destination operator number ] | { icmp | icmp6 } [ icmp_type [ icmp_code ]] | object name }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
object キーワードが、サービス オブジェクト( object service コマンド)をサポートするために追加されました。 |
|
使用上のガイドライン
object-group service コマンドを使用してサービス オブジェクト グループを作成した場合、グループ全体に対してプロトコル タイプを事前定義していなければ、 service-object コマンドを使用して、複数のサービスおよびサービス オブジェクト(ポートを含む)をさまざまなプロトコルのグループに追加できます。 object-group service [ tcp | udp | tcp-udp ] コマンドを使用して特定のプロトコル タイプに対してサービス オブジェクト グループを作成した場合、 port-object コマンドを使用してオブジェクト グループに指定できるのは宛先ポートのみです。
例
次の例では、TCP と UDP の両方のサービスを同じサービス オブジェクト グループに追加する方法を示します。
次の例では、複数のサービス オブジェクトを同じサービス オブジェクト グループに追加する方法を示します。
関連コマンド
|
|
|
|---|---|
service password-recovery
パスワードの回復をイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。パスワードの回復をディセーブルにするには、このコマンドの no 形式を使用します。パスワードの回復はデフォルトでイネーブルですが、不正なユーザがパスワードの回復メカニズムを使用して ASA を侵害できないようにするためにディセーブルにすることができます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、パスワードを忘れた場合、起動時にプロンプトが表示されたときに端末のキーボードで Esc キーを押して、ROMMON で ASA を起動できます。次に、コンフィギュレーション レジスタを変更することによって、スタートアップ コンフィギュレーションを無視するように ASA を設定します( config-register コマンドを参照)。たとえば、コンフィギュレーション レジスタがデフォルトの 0x1 の場合、 confreg 0x41 コマンドを入力して値を 0x41 に変更します。ASA がリロードされると、デフォルトのコンフィギュレーションがロードされ、デフォルトのパスワードを使用して特権 EXEC モードを開始できます。その後、スタートアップ コンフィギュレーションを実行コンフィギュレーションにコピーしてスタートアップ コンフィギュレーションをロードし、パスワードをリセットします。最後に、コンフィギュレーション レジスタを元の設定に戻して、以前と同様に起動するように ASA を設定します。たとえば、グローバル コンフィギュレーション モードで config-register 0x1 コマンドを入力します。
PIX 500 シリーズ セキュリティ アプライアンスでは、起動時にプロンプトが表示されたときに端末のキーボードで Esc キーを押して、モニタ モードで ASA を起動します。その後、PIX パスワード ツールを ASA にダウンロードして、すべてのパスワードおよび aaa authentication コマンドを消去します。
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザが ROMMON を開始することを防止でき、コンフィギュレーションも変更されないままとすることができます。ユーザが ROMMON を開始すると、ユーザは、ASA によって、すべてのフラッシュ ファイル システムを消去するように求められます。ユーザは、最初に消去を実行しないと、ROMMON を開始できません。ユーザがフラッシュ ファイル システムを消去しない場合、ASA はリロードします。パスワードの回復は ROMMON の使用と既存のコンフィギュレーションを維持することに依存しているため、フラッシュ ファイル システムを消去することによってパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(使用可能な場合)をロードします。 service password-recovery コマンドは、コンフィギュレーション ファイルに情報提供の目的でのみ表示されます。CLI プロンプトでこのコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。ASA が起動時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワードの回復をディセーブルにすると、ASA によって設定が変更され、通常どおりにスタートアップ コンフィギュレーションが起動されます。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドでスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。
PIX 500 シリーズ セキュリティ アプライアンスでは、 no service password-recovery コマンドを使用すると、ユーザは、PIX パスワード ツールによって、すべてのフラッシュ ファイル システムを消去するように求められます。ユーザは、最初に消去を実行しないと、PIX パスワード ツールを使用できません。ユーザがフラッシュ ファイル システムを消去しない場合、ASA はリロードします。パスワードの回復は既存のコンフィギュレーションを維持することに依存しているため、フラッシュ ファイル システムを消去することによってパスワードを回復できなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合に、システムを動作ステートに回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(使用可能な場合)をロードします。
例
次に、ASA 5500 シリーズのパスワードの回復をディセーブルにする例を示します。
次に、ASA 5500 シリーズで、起動時に ROMMON を開始するタイミングとパスワードの回復操作を完了する例を示します。
関連コマンド
|
|
|
|---|---|
service-policy(クラス)
別のポリシー マップの下に階層型ポリシー マップを適用するには、クラス コンフィギュレーション モードで service-policy コマンドを使用します。サービス ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。階層型ポリシーは、シェーピングされたトラフィックのサブセットに対してプライオリティ キューイングを実行する場合に QoS トラフィック シェーピングでのみサポートされています。
no service-policy policymap_name
構文の説明
policy-map コマンドで設定したポリシー マップ名を指定します。 priority コマンドを含むレイヤ 3/4 ポリシー マップのみを指定できます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
階層型プライオリティ キューイングは、トラフィック シェーピング キューを有効にするインターフェイスで使用します。シェーピングされるトラフィックのサブセットに優先順位を付けることができます。標準プライオリティ キュー( priority-queue コマンド)は使用しません。
階層型プライオリティ キューイングでは、モジュラ ポリシー フレームワークを使用して次のタスクを実行します。
1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。
2. policy-map (プライオリティ キューイングの場合):各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. priority :クラス マップのプライオリティ キューイングを有効にします。ポリシー マップを階層的に使用する場合は、このポリシー マップに priority コマンドだけを含めることができます。
3. policy-map (トラフィック シェーピングの場合): class-default クラス マップに関連付けるアクションを指定します。
a. class class-default :アクションを実行する class-default クラス マップを指定します。
b. shape :トラフィック シェーピングをクラス マップに適用します。
c. service-policy :プライオリティ キューイングをシェーピングされたトラフィックのサブセットに適用できるように、 priority コマンドを設定したプライオリティ キューイング ポリシー マップを呼び出します。
例
次の例では、外部インターフェイスのすべてのトラフィックでトラフィック シェーピングをイネーブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリティを付けます。
ciscoasa(config)# class-map TG1-voice
ciscoasa(config-cmap)# match tunnel-group tunnel-grp1
ciscoasa(config-cmap)# match dscp ef
ciscoasa(config-pmap-c)# service-policy shape_policy interface outside
関連コマンド
|
|
|
|---|---|
service-policy (global)
すべてのインターフェイスでグローバルに、または特定のインターフェイスでポリシー マップをアクティブにするには、グローバル コンフィギュレーション モードで service-policy コマンドを使用します。サービス ポリシーをディセーブルにするには、このコマンドの no 形式を使用します。インターフェイスでポリシーのセットをイネーブルにするには、 service-policy コマンドを使用します。
service-policy policymap_name [ global | interface intf ] [ fail-close ]
no service-policy policymap_name [ global | interface intf ] [ fail-close ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
サービス ポリシーをイネーブルにするには、Modular Policy Framework を使用します。
1. class-map :プライオリティ キューイングを実行するトラフィックを指定します。
2. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. commands for supported features :特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、CLI 設定ガイドを参照してください。
3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
インターフェイス サービス ポリシーは、特定の機能に対するグローバル サービス ポリシーより優先されます。たとえば、インスペクションのグローバル ポリシーがあり、TCP 正規化のインターフェイス ポリシーがある場合、インターフェイスに対してインスペクションと TCP 正規化の両方が適用されます。ただし、インスペクションのグローバル ポリシーがあり、インスペクションのインターフェイス ポリシーもある場合、そのインターフェイスにはインターフェイス ポリシーのインスペクションのみが適用されます。
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するグローバル ポリシーがコンフィギュレーションに含まれ、すべてのインスペクションがトラフィックにグローバルに適用されます。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します。
デフォルト サービス ポリシーには、次のコマンドが含まれています。
例
次に、外部インターフェイスで inbound_policy ポリシー マップをイネーブルにする例を示します。
次のコマンドは、デフォルト グローバル ポリシーをディセーブルにし、他のすべての ASA インターフェイスで新しいポリシー new_global_policy をイネーブルにします。
関連コマンド
|
|
|
|---|---|
service sw-reset-button
ASA 5506-X、5508-X、および 5516-X でリセット ボタンをイネーブルにするには、グローバル コンフィギュレーション モードで service sw-reset-button コマンドを使用します。リセット ボタンをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リセット ボタンは背面パネルにある小さな埋め込み型のボタンです。約 3 秒以上押すと ASA がリセットされ、次のリブート後に「出荷時」のデフォルト状態に戻ります。設定変数が工場出荷時デフォルトにリセットされます。ただし、フラッシュは削除されないため、ファイルは削除されません。
例
次に、ソフトウェア リセット ボタンをイネーブルにする例を示します。
次に、ソフトウェア リセット ボタンを無効にする例を示します。
関連コマンド
|
|
|
|---|---|
サービス テレメトリ
テレメトリ データ サービスが有効になっている場合、デバイス情報、CPU/メモリ/ディスク/帯域幅の使用率、ライセンスの使用状況、設定済み機能リスト、クラスタ/フェールオーバー情報、およびお客様の ASA デバイスに関する同様の情報が、FXOS を介して Cisco Security Services Exchange(SSE)に送信されます。サービスを有効にするには、グローバル コンフィギュレーション モードで service telemetry コマンドを使用します。テレメトリ サービスを無効にするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA テレメトリ サービスは、ASA アプリケーションを実行している SSPXRU(FP9300 および FP4100)プラットフォームでサポートされています。
例
関連コマンド
|
|
|
|---|---|
テレメトリの設定とアクティビティに関連する過去 100 のイベントを表示します。また、最後に送信されたテレメトリ データとサンプルが JSON 形式で表示されます。 |
session
ASA からモジュール(IPS SSP や CSC SSM など)への Telnet セッションを確立して、モジュール CLI にアクセスするには、特権 EXEC モードで session コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。ステート情報については、 show module コマンドを参照してください。
セッションを終了するには、 exit と入力するか、または Ctrl+Shift+6 を押してから x キーを押します。
例
次に、スロット 1 のモジュールへのセッションを確立する例を示します。
関連コマンド
|
|
|
|---|---|
session console
ASA からソフトウェア モジュール(IPS SSP ソフトウェア モジュールなど)への仮想コンソール セッションを確立するには、特権 EXEC モードで session console コマンドを使用します。このコマンドは、コントロール プレーンがダウンしているために session コマンドを使用して Telnet セッションを確立できない場合に便利です。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
セッションを終了するには、Ctrl-Shift-6 を押してから x キーを押します。
このコマンドは、Ctrl+Shift+6、x がターミナル サーバのプロンプトに戻るエスケープ シーケンスであるターミナル サーバとともに使用しないでください。Ctrl+Shift+6、x は、モジュール コンソールをエスケープし ASA プロンプトに戻るシーケンスでもあります。したがって、この状況でモジュール コンソールを終了しようとすると、代わりにターミナル サーバ プロンプトに戻ります。ASA にターミナル サーバを再接続すると、モジュール コンソール セッションがまだアクティブなままであり、ASA プロンプトに戻ることができません。ASA プロンプトにコンソールを戻すには、直接シリアル接続を使用する必要があります。
例
次に、IPS モジュールへのコンソール セッションを作成する例を示します。
次に、ワイヤレス アクセス ポイントへのコンソール セッションを作成する例を示します。
関連コマンド
|
|
|
|---|---|
session do
ASA からモジュールへの Telnet セッションを確立し、コマンドを実行するには、特権 EXEC モードで session do コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。ステート情報については、 show module コマンドを参照してください。
セッションを終了するには、 exit と入力するか、または Ctrl+Shift+6 を押してから X キーを押します。
例
次に、管理 IP アドレスを 10.1.1.2/24 に、デフォルト ゲートウェイを 10.1.1.1 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
session ip
モジュール(IPS SSP や CSC SSM など)にロギング IP アドレスを設定するには、特権 EXEC モードで session ip コマンドを使用します。
session id ip { address address mask | gateway address }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、モジュールがアップ状態である場合にのみ使用できます。ステート情報については、 show module コマンドを参照してください。
セッションを終了するには、 exit と入力するか、または Ctrl+Shift+6 を押してから X キーを押します。
例
次に、スロット 1 のモジュールへのセッションを確立する例を示します。
関連コマンド
|
|
|
|---|---|
set as-path
BGP ルートの自律システム パスを変更するには、ルートマップ コンフィギュレーション モードで set as-path コマンドを使用します。自律システム パスを変更しないようにするには、このコマンドの no 形式を使用します。
set as-path {tag | prepend as-path-string}
no set as-path {tag | prepend as-path-string}
構文の説明
AS_PATH 属性に付加する自律システムの番号。この引数の値の範囲は、1 ~ 65535 の有効な自律システム番号です。複数の値を入力できます。最大 10 個の AS 番号を入力できます。 |
|
ルート マップにより照合されたルートの自律システム パスに、キーワード prepend に続いて文字列を付加します。BGP のインバウンド ルート マップおよびアウトバウンド ルート マップに適用します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最適なパス選択に影響を与える唯一のグローバル BGP メトリックは、自律システム パス長です。自律システム パスの長さを変えることで、BGP スピーカーは遠くのピアによる最適なパス選択に影響を与えます。
タグを自律システム パスに変換することで、このコマンドの set as-path tag のバリエーションにより、自律システム長を変更できます。set as-path prepend のバリエーションを使用すれば、任意の自律システム パス文字列を BGP ルートに「付加」できます。通常、ローカルな自律システム番号は複数回追加され、AS パス長が増します。
シスコが採用している 4 バイト自律システム番号では、自律システム番号の正規表現のマッチングおよび出力表示のデフォルトの形式として asplain(たとえば、65538)を使用していますが、RFC 5396 で定義されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを asdot 形式に変更するには、bgp asnotation dot コマンドに続けて、clear bgp * コマンドを実行し、現在の BGP セッションをすべてハード リセットします。
例
次に、再配布されたルートのタグを自律システム パスに変換する例を示します。
次に、10.108.1.1 にアドバタイズされたすべてのルートに 100 100 100 を付加する例を示します。
関連コマンド
|
|
|
|---|---|
デフォルトの表示を変更し、ボーダー ゲートウェイ プロトコル(BGP)4 バイト自律システム番号の正規表現一致形式を、asplain 形式(10 進数の値)からドット付き表記にします。 |
set automatic-tag
自動的にタグ値を計算するには、ルートマップ コンフィギュレーション モードで set automatic-tag コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
タグを設定する場合は、match 句を使用する必要があります(permit everything を指している場合でも)。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、 route-map グローバル コンフィギュレーション コマンドと、 match および set route-map コンフィギュレーション コマンドを使用します。 route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。 match コマンドは、 一致基準 、つまり現在の route-map コマンドに再配布が許可される条件を指定します。 set コマンドは、 set 処理 、つまり match コマンドで指定した基準を満たしている場合に実行する特定の再配布アクションを指定します。 no route-map コマンドは、ルート マップを削除します。
set route-map コンフィギュレーション コマンドを使用すると、ルート マップのすべての一致基準が満たされたときに実行される再配布 set 処理 を指定します。すべての一致基準を満たすと、すべての set 処理が実行されます。
例
次に、ボーダー ゲートウェイ プロトコル(BGP)で学習されたルートのタグ値が自動的に計算されるように Cisco ASA ソフトウェアを設定する例を示します。
set community
BGP コミュニティ属性を設定するには、set community ルート マップ コンフィギュレーション コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set community {community-number [additive] | [well-known-community] [additive] | none}
構文の説明
そのコミュニティ番号を指定します。有効な値は、1 ~ 4294967200、no-export、または no-advertise です。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
タグを設定する場合は、match 句を使用する必要があります(「permit everything」リストを指している場合でも)。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、route-map グローバル コンフィギュレーション コマンドと、match および set route-map コンフィギュレーション コマンドを使用します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション)を指定します。no route-map コマンドは、ルート マップを削除します。
set ルート マップ コンフィギュレーション コマンドは、ルート マップのすべての一致基準が満たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set 処理が実行されます。
例
次の例では、自律システム パス アクセス リスト 1 を通過するルートのコミュニティが 109 に設定されます。自律システム パス アクセス リスト 2 を通過するルートのコミュニティは、no-export(これらのルートがどの eBGP ピアにもアドバタイズされない)に設定されます。
関連コマンド
|
|
|
|---|---|
set connection
ポリシー マップ内のトラフィック クラスに対して接続制限を指定するには、クラス コンフィギュレーション モードで set connection コマンドを使用します。これらの指定を削除して、無制限の接続数を許可するには、このコマンドの no 形式を使用します。
set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}
no set connection {[ conn-max n ] [ embryonic-conn-max n ] [ per-client-embryonic-max n ] [ per-client-max n ] [ random-sequence-number { enable | disable }]}
構文の説明
デフォルト
conn-max 、 embryonic-conn-max 、 per-client-embryonic-max 、および per-client-max の各パラメータの n のデフォルト値は、0(接続数の制限なし)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
モジュラ ポリシー フレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンド(通過トラフィック)または class-map type management コマンド(管理トラフィック)を使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、CLI 設定ガイドを参照してください。
(注) ASA モデル上の CPU コア数によっては、同時接続および初期接続の最大数が、各コアによる接続の管理方法が原因で、設定されている数を超える場合があります。最悪の場合、ASA は最大 n-1 の追加接続および初期接続を許可します。ここで、n はコアの数です。たとえば、モデルに 4 つのコアがあり、6 つの同時接続および 4 つの初期接続を設定した場合は、各タイプで 3 つの追加接続を使用できます。ご使用のモデルのコア数を確認するには、show cpu core コマンドを入力します。
初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。ASA では、クライアントあたりの制限値と初期接続の制限を利用して TCP 代行受信を開始します。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。TCP 代行受信では、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常はスプーフィングされた IP アドレスから送信されてくる一連の SYN パケットで構成されています。SYN パケットのフラッディングが定常的に生じると、SYN キューが一杯になる状況が続き、接続要求に対してサービスを提供できなくなります。接続の初期接続しきい値を超えると、ASA はサーバのプロキシとして動作し、クライアント SYN 要求に対する SYN-ACK 応答を生成します。ASA がクライアントから ACK を受信すると、クライアントを認証し、サーバへの接続を許可できます。
それぞれの TCP 接続には 2 つの ISN が割り当てられており、そのうちの 1 つはクライアントで生成され、もう 1 つはサーバで生成されます。ASA は、着信と発信の両方向で通過する TCP SNY の ISN をランダム化します。
保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。
例
次に、 set connection コマンドを使用して、同時接続最大数を 256 に設定し、TCP シーケンス番号ランダム化をディセーブルにする例を示します。
複数のパラメータを指定してこのコマンドを入力することも、各パラメータを個別のコマンドとして入力することもできます。ASA は、コマンドを実行コンフィギュレーション内で 1 行に結合します。たとえば、クラス コンフィギュレーション モードで次の 2 つのコマンドを入力するとします。
show running-config policy-map コマンドの出力には、2 つのコマンドの結果が単一の結合コマンドとして表示されます。
関連コマンド
|
|
|
すべてのポリシー マップ コンフィギュレーションを削除します。ただし、例外として、ポリシー マップが service-policy コマンドで使用されている場合、そのポリシー マップは削除されません。 |
|
サービス ポリシー設定を表示します。 set connection コマンドを含むポリシーを表示するには、 set connection キーワードを使用します。 |
set connection advanced-options
接続の詳細設定を行うには、クラス コンフィギュレーション モードで set connection advanced-options コマンドを使用します。オプションを削除するには、このコマンドの no 形式を使用します。
set connection advanced-options { tcp_mapname | tcp-state-bypass | sctp-state-bypass | flow-offload }
no set connection advanced-options { tcp_mapname | tcp-state-bypass | sctp-state-bypass | flow-offload }
構文の説明
デフォルト
デフォルトの動作や値はありません。すべての TCP 正規化オプション(TCP マップ内)にデフォルト設定がありますが、デフォルトで有効になっているオプションはありません。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
flow-offload キーワードが追加されました。オプションには、Firepower eXtensible Operating System 1.1.3 以上が必要です。オプションは、Firepower 9300 シリーズで使用可能です。 |
|
FXOS 1.1.4 以上を稼働する Firepower 4100 シリーズでフロー オフロードのサポートが追加されました。 |
使用上のガイドライン
TCP マップを使用して TCP 正規化をカスタマイズするには、モジュラ ポリシー フレームワークを使用します。
1. tcp-map :変更する場合は、対象の TCP 正規化アクションを指定します。
2. class-map :TCP 正規化アクションを実行するトラフィックを指定します。
3. policy-map :クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. set connection advanced options :TCP マップまたは別のオプションをクラス マップに適用します。
4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
TCP ステート バイパス:個別のデバイスを通過するアウトバウンド フローおよびインバンド フローを許可する
デフォルトで、ASA を通過するすべてのトラフィックは、適応型セキュリティ アルゴリズムを使用して検査され、セキュリティ ポリシーに基づいて許可またはドロップされます。ASA では、各パケットの状態(新規接続であるか、または確立済み接続であるか)がチェックされ、そのパケットをセッション管理パス(新規接続の SYN パケット)、ファスト パス(確立済みの接続)、またはコントロール プレーン パス(高度なインスペクション)に割り当てることによって、ファイアウォールのパフォーマンスが最大化されます。
高速パスの既存の接続に一致する TCP パケットは、セキュリティ ポリシーのあらゆる面の再検査を受けることなくASA を通過できます。この機能によってパフォーマンスは最大になります。ただし、SYN パケットを使用してファスト パスにセッションを確立する方法、およびファスト パスで行われるチェック(TCP シーケンス番号など)が、非対称ルーティング ソリューションの障害となる場合があります。これは、接続の発信フローと着信フローの両方が同じ ASA を通過する必要があるためです。
たとえば、ある新しい接続が ASA 1 に開始されるとします。SYN パケットはセッション管理パスを通過し、接続のエントリが高速パス テーブルに追加されます。この接続の後続のパケットがASA 1 を通過する場合、パケットは高速パスのエントリと一致して、通過します。しかし、後続のパケットが ASA 2 に到着すると、SYN パケットがセッション管理パスを通過していないために、高速パスにはその接続のエントリがなく、パケットはドロップされます。
アップストリーム ルータに非対称ルーティングが設定されており、トラフィックが 2 つの ASAを通過することがある場合は、特定のトラフィックに対して TCP ステート バイパスを設定できます。TCP ステート バイパスは、高速パスでのセッションの確立方法を変更し、高速パスのインスペクションをディセーブルにします。この機能では、UDP 接続の処理と同様の方法で TCP トラフィックが処理されます。指定されたネットワークと一致した非 SYN パケットが ASA に入った時点で高速パス エントリが存在しない場合、高速パスで接続を確立するために、そのパケットはセッション管理パスを通過します。いったん高速パスに入ると、トラフィックは高速パスのインスペクションをバイパスします。
TCP ステート バイパスを使用するときは、次の機能はサポートされません。
- アプリケーション検査:アプリケーション検査では、着信および発信トラフィックの両方が同じ ASA を通過する必要があるため、TCP ステート バイパスではアプリケーション検査はサポートされません。
- AAA 認証セッション:ユーザがある ASA で認証される場合、他の ASA 経由で戻るトラフィックは、その ASA でユーザが認証されていないため、拒否されます。
- TCP 代行受信、最大初期接続制限、TCP シーケンス番号ランダム化:ASA では接続の状態が追跡されないため、これらの機能は適用されません。
- TCP 正規化:TCP ノーマライザはディセーブルです。
- SSM 機能:TCP ステート バイパスと、IPS や CSC などの SSM 上で実行されるアプリケーションを使用することはできません。
変換セッションは ASA ごとに個別に確立されるので、TCP ステート バイパス トラフィック用に両方の ASA でスタティック NAT を設定してください。ダイナミック NAT を使用すると、ASA 1 でのセッションに選択されるアドレスが、ASA 2 でのセッションに選択されるアドレスと異なります。
リリース 9.10(1) 以降、特定の接続に 2 分間トラフィックがない場合、接続はタイムアウトします。このデフォルトは、 set connection timeout idle コマンドを使用して上書きできます。通常の TCP 接続は、デフォルトで 60 分後にタイムアウトします。9.10(1) よりも前のリリースでは、TCP ステートバイパス接続で 60 分間のグローバルタイムアウト値を使用します。
例
次に、 set connection advanced-options コマンドを使用して、localmap という名前の TCP マップの使用を指定する例を示します。
次に、TCP ステート バイパスのコンフィギュレーション例を示します。
関連コマンド
|
|
|
set connection decrement-ttl
ポリシー マップ内のトラフィック クラスにおいて存続可能時間の値をデクリメントするには、クラス コンフィギュレーション モードで set connection decrement-ttl コマンドを使用します。存続可能時間をデクリメントしない場合は、このコマンドの no 形式を使用します。
no set connection decrement-ttl
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンド、および icmp unreachable コマンドは、ASA をホップの 1 つとして表示する ASA経由の traceroute を可能とするために必要です。
パケット存続時間(TTL)をデクリメントすると、TTL が 1 のパケットはドロップされますが、接続に TTL がより大きいパケットを含むと想定されるセッションでは、接続が開かれます。OSPF hello パケットなどの一部のパケットは TTL = 1 で送信されるため、パケット存続時間(TTL)をデクリメントすると、予期しない結果が発生する可能性があります。
例
次の例では、存続時間のデクリメントをイネーブルにして、ICMP 到達不能レート制限を設定します。
関連コマンド
|
|
|
set connection timeout
ポリシー マップ内のトラフィック クラスに対して接続タイムアウトを指定するには、クラス コンフィギュレーション モードで set connection timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。
set connection timeout {[ embryonic hh : mm : ss ] [ idle hh : mm : ss [ reset ]] [ half-closed hh : mm : ss ] [ dcd [ retry_interval [ max_retries ]]]}
no set connection timeout {[ embryonic hh : mm : ss ] [ idle hh : mm : ss [ reset ]] [ half-closed hh : mm : ss ] [ dcd [ retry_interval [ max_retries ]]]}
構文の説明
デフォルト
timeout コマンドを使用してデフォルトをグローバルに変更していない場合、デフォルトは次のとおりです。
- デフォルトの embryonic タイムアウトは 30 秒です。
- デフォルトの half-closed アイドル タイムアウトは 10 分です。
- デフォルトの dcd max_retries の値は 5 です。
- デフォルトの dcd retry_interval の値は 15 秒です。
- デフォルトの idle タイムアウトは 1 時間です。
- デフォルトの udp アイドル タイムアウトは 2 分です。
- デフォルトの icmp アイドル タイムアウトは 2 秒です。
- デフォルトの esp および ha アイドル タイムアウトは 30 秒です。
- その他すべてのプロトコルでは、デフォルトのアイドル タイムアウトは 2 分です。
- タイムアウトにならないようにするには、0:0:0 を入力します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
モジュラ ポリシー フレームワークを使用してこのコマンドを設定します。最初に、 class-map コマンドを使用して、タイムアウトを適用するトラフィックを定義します。次に、 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection timeout コマンドを入力できます。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、CLI 設定ガイドを参照してください。
例
次に、すべてのトラフィックの接続タイムアウトを設定する例を示します。
複数のパラメータを使用して set connection コマンドを入力するか、各パラメータを別々のコマンドとして入力できます。ASA は、コマンドを実行コンフィギュレーション内で 1 行に結合します。たとえば、クラス コンフィギュレーション モードで次の 2 つのコマンドを入力するとします。
この場合、 show running-config policy-map コマンドの出力には、2 つのコマンドの結果が次の単一の結合コマンドとして表示されます。
関連コマンド
|
|
|
すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。 |
|
set default interface
set interface コマンドを default オプションとともに使用した場合、一致するトラフィックをルーティングするための最初の試行は、明示ルートをルックアップすることで、通常のルートルックアップを介して実行されなければなりません。通常のルートルックアップに失敗した場合のみ、PBR が指定されたインターフェイスを使用してトラフィックを転送します。その後、「デフォルト」でトリガーされたルックアップと、インターフェイス オプションでトリガーされたルックアップはどちらも、宛先への明示ルートの存在に依存します。「デフォルト」ルックアップは常に成功します。「デフォルト」ルックアップが失敗した場合は、宛先への明示ルートがないことを意味しています。そのため、インターフェイス アクションは適用できません。「set default interface」が設定されている場合は、「Null0」のみをインターフェイスとして設定できます。このオプションが設定されており、通常のルート ルックアップで宛先への明示ルート(デフォルト以外のルート)が判明しない場合、トラフィックはドロップされます。
no set default interface Null0
構文の説明
デフォルト
このコマンドにはデフォルトはありません。set 処理として、Null0 インターフェイスが指定されている必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、特定のユーザに異なるデフォルト ルートを提供します。Cisco ASA が宛先への明示ルートを持たない場合、パケットはこのインターフェイスにルーティングされます。set default interface コマンドでアップとして指定された最初のインターフェイスが使用されます。オプションで指定されたインターフェイスは、次に試行されます。
ポリシー ルーティング パケットに関する条件を定義するには、ip policy route-map インターフェイス コンフィギュレーション コマンド、route-map グローバル コンフィギュレーション コマンド、match および set route-map コンフィギュレーション コマンドを使用します。ip policy route-map コマンドは、名前でルート マップを識別します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(ポリシー ルーティングが発生する条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定のルーティング アクション)を指定します。
IPv6 対応の PBR で、ポリシー ルーティング パケットに関する条件を定義するには、match および set route-map コンフィギュレーション コマンドとともに、ipv6 policy route-map または ipv6 local policy route-map コマンドを使用します。
例
set dscp
set dscp コマンドは、一致する IP パケットの QoS ビットを設定するために使用されます。
set ip dscp {0-63 | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | default | ef }
set ipv6 dscp {0-63 | af11 | af12 | af13 | af21 | af22 | af23 | af31 | af32 | af33 | af41 | af42 | af43 | cs1 | cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | default | ef }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DSCP ビットを設定すると、他の Quality of Service(QoS)機能がビット設定で動作するようになります。
set dscp コマンドを set precedence コマンドとともに使用して同じパケットをマークすることはできません。2 つの値(DSCP および precedence)は相互に排他的です。パケットにはどちらか一方の値を設定でき、両方を設定することはできません。
マーキングされたトラフィックには、ネットワークによってプライオリティ(または緊急処理のタイプ)が設定されます。通常は、ネットワーク エッジ(または管理ドメイン)で Precedence 値を設定します。データは、precedence に従ってキューイングされます。重み付け均等化キューイング(WFQ)で、輻輳ポイントでの優先順位の高いトラフィックの処理を高速化できます。Weighted Random Early Detection(WRED; 重み付けランダム早期検出)により、輻輳時の優先順位の高いトラフィックの損失率を他のトラフィックより確実に小さくできます。
このコマンドを、拡張パケット マーキング機能の一部として使用すると、DSCP 値のマッピングと設定に使用される「from-field」パケットマーキング カテゴリを指定できます。「from-field」パケットマーキング カテゴリは次のとおりです。
「from-field」カテゴリを指定したが、table キーワードと適用可能な table-map-name 引数を指定していない場合、デフォルト アクションは、「from-field」カテゴリに関連付けられた値を DSCP 値としてコピーすることです。たとえば、set dscp cos コマンドを設定する場合、CoS 値がコピーされ、DSCP 値として使用されます。
(注) CoS フィールドは 3 ビット フィールドで、DSCP フィールドは 6 ビット フィールドです。set dscp cos コマンドを設定する場合、CoS フィールドの 3 ビットのみが使用されます。
set dscp qos-group コマンドを設定する場合、QoS グループ値がコピーされ、DSCP 値として使用されます。
DSCP の有効値の範囲は 0 ~ 63 の数字です。QoS グループの有効値の範囲は 0 ~ 99 です。したがって、set dscp qos-group コマンドを設定する場合、次の点に注意してください。
- QoS グループの値が両方の値の範囲(たとえば、44)にある場合、packet-marking 値がコピーされ、パケットがマーク付けされます。
- QoS グループの値が DSCP の範囲を超える場合(たとえば、77)、packet-marking 値はコピーされず、パケットはマーク付けされません。アクションは実行されません。
このコマンドを IPv6 環境で使用すると、デフォルトで IP パケットと IPv6 パケットの両方が照合されます。ただし、この機能によって設定される実際のパケットは、この機能を含むクラス マップの一致基準に合致するパケットのみです。
IPv6 値のみの DSCP 値を設定するには、match protocol ipv6 コマンドを使用する必要があります。このコマンドがない場合、precedence 一致では、デフォルトで、IPv4 パケットと IPv6 パケットの両方で一致が発生します。
IPv4 値のみの DSCP 値を設定するには、適切な match ip コマンドを使用する必要があります。このコマンドを使用しないと、他の一致基準に応じて、クラス マップが IPv6 パケットと IPv4 パケットの両方に合致し、DSCP 値が両方のタイプのパケットで機能することがあります。
例
set ikev1 transform-set
IPsec プロファイルに IPsec IKEv1 プロポーザルを指定するには、IPsec プロファイル コンフィギュレーション モードで set ikev1 transform-set コマンドを使用します。IPsec IKEv1 プロポーザルを削除するには、このコマンドの no 形式を使用します。
set ikev1 transform-set transform-set name
no set ikev1 transform-set transform-set name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、IPsec プロファイルに IKEv1 プロポーザルを指定する例を示します。
関連コマンド
|
|
|
|---|---|
IPsec プロファイル設定でのセキュリティ アソシエーションの期間を指定します。これは、キロバイト単位か秒単位、またはその両方で指定します。 |
|
set interface
set interface コマンドは、一致するトラフィックを転送する際に経由する必要があるインターフェイスを設定するために使用されます。パケットの転送先として有効な稼働中のインターフェイスが見つかるまで、指定された順序でインターフェイスが評価される場合は、複数のインターフェイスを設定できます。インターフェイス名を Null0 として指定すると、ルート マップに一致するトラフィックはすべてドロップされます。
no set interface [...interface]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ポリシー ルーティング パケットに関する条件を定義するには、ip policy route-map インターフェイス コンフィギュレーション コマンド、route-map グローバル コンフィギュレーション コマンド、match および set route-map コンフィギュレーション コマンドを使用します。ip policy route-map コマンドは、名前でルート マップを識別します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(ポリシー ルーティングが発生する条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定のルーティング アクション)を指定します。
IPv6 対応の PBR で、ポリシー ルーティング パケットに関する条件を定義するには、match および set route-map コンフィギュレーション コマンドとともに、ipv6 policy route-map または ipv6 local policy route-map コマンドを使用します。
set interface コマンドで指定された最初のインターフェイスがダウン状態になると、オプションで指定されたインターフェイスが順番に試行されます。
set 句は互いに組み合わせて使用できます。set 句は次の順で評価されます。
有用なネクスト ホップはインターフェイスで暗黙指定されます。ネクスト ホップとインターフェイスが見つかるとすぐに、そのパケットがルーティングされます。
例
set ip df
set ip df コマンドは、一致する IP パケットに df(do-not-fragment)ビットを設定するために使用されます。
構文の説明
デフォルト
このコマンドにはデフォルトはありません。set 処理で、0 または 1 のいずれかを df ビットとして指定する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パス MTU 検出(PMTUD)を使用して、フラグメンテーションを回避する IP パケットの MTU 値を決定できます。ICMP メッセージがルータによってブロックされると、パス MTU は破棄され、df ビットが設定されたパケットは廃棄されます。set ip df コマンドを使用して df ビットをクリアし、パケットのフラグメンテーションと送信を許可します。フラグメンテーションによって、ネットワーク上のパケット転送速度が低下する場合がありますが、アクセス リストを使用して、df ビットがクリアされるパケット数を制限できます。
(注) df ビットが設定されている場合、一部の IP トランスミッタ(特に Linux のいくつかのバージョン)が、IP ヘッダーの ID フィールド(IPid)をゼロに設定することがあります。ルータがこのようなパケットの df ビットをクリアする場合やそのパケットがその後フラグメント化される場合には、IP レシーバは、おそらく元の IP パケットに正常にリアセンブルすることができません。
例
set ip default next-hop
set ip next-hop コマンドを default オプションとともに使用した場合、一致するトラフィックをルーティングするための最初の試行は、明示ルートをルックアップすることで、通常のルートルックアップを介して実行されなければなりません。通常のルートルックアップが失敗した場合のみ、ポリシー ベース ルーティング(PBR)は、指定されたネクスト ホップ IP アドレスを使用してトラフィックを転送します。
set ip default next-hop ip-address [... ip-address]
no set ip default next-hop ip-address [... ip-address]
set default ipv6next-hop ip-address [... ip-address]
no set default ipv6 next-hop ip-address [... ip-address]
構文の説明
デフォルト
このコマンドはデフォルトでは無効になっています。set 処理には、1 つ以上のネクストホップ IP アドレスを指定する必要があります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、特定のユーザに異なるデフォルト ルートを提供します。ソフトウェアがパケットの宛先への明示ルートを持たない場合、パケットは次のネクスト ホップにルーティングされます。set ip default next-hop コマンドで指定された最初のネクスト ホップはルータに隣接している必要があります。次に、オプションの IP アドレスが使用されます。
ポリシー ルーティング パケットに関する条件を定義するには、ip policy route-map インターフェイス コンフィギュレーション コマンド、route-map グローバル コンフィギュレーション コマンド、match および set route-map コンフィギュレーション コマンドを使用します。ip policy route-map コマンドは、名前でルート マップを識別します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(ポリシー ルーティングが発生する条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定のルーティング アクション)を指定します。
set next-hop コマンドで指定された最初のネクスト ホップがダウン状態になると、任意で指定された IP アドレスが使用されます。
set 句は互いに組み合わせて使用できます。set 句は次の順で評価されます。
(注) set ip next-hop と set ip default next-hop は類似のコマンドですが、操作順が異なります。set ip next-hop コマンドを設定すると、最初にポリシー ルーティングを使用してからルーティング テーブルを使用します。set ip default next-hop コマンドを設定すると、最初にルーティング テーブルを使用してから指定のネクスト ホップをポリシー ルーティングします。
例
set ip next-hop
ポリシー ルーティングにおいてルート マップの match 句を通過するパケットの出力先を示すには、ルートマップ コンフィギュレーション モードで set ip next-hop コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set ip next-hop ip-address [... ip-address] [peer-address]
no set ip next-hop ip-address [... ip-address] [peer-address]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
コマンド構文の省略記号(...)は、コマンド入力で ip-address 引数に複数の値を含めることができることを示します。
ポリシー ルーティング パケットに関する条件を定義するには、ip policy route-map インターフェイス コンフィギュレーション コマンド、route-map グローバル コンフィギュレーション コマンド、match および set コンフィギュレーション コマンドを使用します。ip policy route-map コマンドは、名前でルート マップを識別します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(ポリシー ルーティングが発生する条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定のルーティング アクション)を指定します。
set next-hop コマンドで指定された最初のネクスト ホップがダウン状態になると、任意で指定された IP アドレスが使用されます。
BGP ピアのインバウンド ルート マップで peer-address キーワードを指定し、set next-hop command コマンドを使用すると、受信した一致するルートのネクスト ホップをネイバー ピア アドレスに設定し、サードパーティのネクスト ホップを上書きします。したがって、同じルート マップを複数の BGP ピアに適用すると、サードパーティのネクストホップを上書きできます。
BGP ピアのアウトバウンド ルート マップで peer-address キーワードを指定し、set next-hop コマンドを使用すると、アドバタイズされた一致するルートのネクスト ホップをローカル ルータのピア アドレスに設定し、ネクスト ホップ計算をディセーブルにします。他のルートではなく、一部のルートにネクスト ホップを設定できるので、set next-hop コマンドは、(ネイバー単位の)neighbor next-hop-self コマンドよりも詳細に設定できます。neighbor next-hop-self コマンドは、そのネイバーに送信されたすべてのルートにネクスト ホップを設定します。
set 句は互いに組み合わせて使用できます。set 句は次の順で評価されます。
(注) 反映されたルートの一般的な設定エラーを回避するために、BGP ルート リフレクタ クライアントに適用するルート マップで set next-hop コマンドを使用しないでください。
例
次の例では、3 台のルータが同じ LAN 上にあります(IP アドレス 10.1.1.1, 10.1.1.2 および 10.1.1.3)。それぞれが異なる自律システム(AS)です。set ip next-hop peer-address コマンドは、ルート マップと一致する、リモート自律システム 100 内のルータ(10.1.1.3)からリモート自律システム 300 内のルータ(10.1.1.1)へのトラフィックが、LAN への相互接続上で自律システム 100 内のルータ(10.1.1.1)に直接送信されるのではなく、ルータ bgp 200 を通過するように指定します。
set ip next-hop recursive
set ip next-hop と set ip default next-hop はどちらも、ネクストホップが直接接続されたサブネット上に存在している必要があります。set ip next-hop recursive では、ネクストホップ アドレスが直接接続されている必要はありません。代わりにネクストホップ アドレスで再帰ルックアップが実行され、一致するトラフィックは、ルータで使用されているルーティング パスに従って、そのルート エントリで使用されているネクストホップに転送されます。
ネクストホップの再帰ルックアップは、IPv6 に対して、またはデフォルト キーワードが指定されている場合には、適用できません。
set ip next-hop recursive [ipv4-address]
no set ip next-hop recursive [ipv4-address]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ポリシー ルーティング パケットに関する条件を定義するには、ip policy route-map インターフェイス コンフィギュレーション コマンド、route-map グローバル コンフィギュレーション コマンド、match および set route-map コンフィギュレーション コマンドを使用します。ip policy route-map コマンドは、名前でルート マップを識別します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(ポリシー ルーティングが発生する条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定のルーティング アクション)を指定します。
set ip next-hop コマンドで指定された最初のネクスト ホップに関連付けられたインターフェイスがダウン状態になると、オプションで指定された IP アドレスが順番に試行されます。
set 句は互いに組み合わせて使用できます。set 句は次の順で評価されます。
(注) set ip next-hop と set ip default next-hop は類似のコマンドですが、操作順が異なります。set ip next-hop コマンドを設定すると、最初にポリシー ルーティングを使用してからルーティング テーブルを使用します。set ip default next-hop コマンドを設定すると、最初にルーティング テーブルを使用してから指定のネクスト ホップをポリシー ルーティングします。
例
set ip next-hop verify-availability
set ip next-hop verify-availability は、ネクストホップの到達可能性を確認するために、SLA モニタ トラッキング オブジェクトとともに設定できます。複数のネクストホップの可用性を確認するために、複数の set ip next-hop verify-availability コマンドを異なるシーケンス番号と異なるトラッキング オブジェクトで設定できます。
set ip next-hop verify-availability [sequence number] track [tracked-object-number]
no set ip next-hop verify-availability [sequence number] track [tracked-object-number]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
set ip next-hop verify-availability コマンドは、次の 2 とおりの方法で使用できます。
- ネクスト ホップの到達可能性を確認するための Cisco Discovery Protocol(CDP)を使用したポリシーベース ルーティング(PBR)。
- リモート デバイスが到達可能であるかどうか確認するために Internet Control Message Protocol(ICMP)ping または HTTP GET リクエストを使用してオブジェクト トラッキングをサポートするオプションの引数。
このコマンドは、ルータがポリシー ルーティングを試みる前に、ネクスト ホップが到達可能であることを確認するために使用されます。このコマンドには次のような特長があります。
- パフォーマンスが若干低下します。
- CDP がインターフェイスに設定されている必要があります。
- ネクスト ホップは、CDP が有効なシスコ デバイスである必要があります。
- プロセス スイッチングと Cisco Express Forwarding(CEF)ポリシー ルーティングでサポートされていますが、CDP ネイバー データベースの依存関係のため、分散型 CEF(dCEF)では利用できません。
ルータがパケットをネクスト ホップにポリシー ルーティングしていて、ネクスト ホップがダウンしている場合、ルータがネクスト ホップ(ダウン中)に対して Address Resolution Protocol(ARP)を使用しようとして失敗します。この動作はいつまでも続きます。この状況の発生を防ぐには、set ip next-hop verify-availability コマンドを使用して、そのネクスト ホップにルーティングする前に、ルート マップのネクスト ホップが CDP ネイバーであることを確認するようにルータを設定します。
いくつかのメディアまたはカプセル化は CDP をサポートしていない、またはルータにトラフィックを送信しているのがシスコ デバイスではない場合があるため、このコマンドはオプションです。
このコマンドが設定され、ネクスト ホップが CDP ネイバーではない場合、ルータは次のネクスト ホップ(存在する場合)を検索します。ネクスト ホップがない場合は、パケットはポリシー ルーティングされません。
このコマンドが設定されていない場合、パケットは正常にポリシー ルーティングされるか、または永続的にルーティングされないままになります。
いくつかのネクストホップのみの可用性を選択的に確認する場合、異なる基準(アクセス リストの照合またはパケット サイズの照合を使用)で異なるルート マップ エントリ(同じルート マップ名)を設定してから、選択的に set ip next-hop verify-availability コマンドを使用することもできます。
オブジェクト トラッキングをサポートするオプションの引数とともに、このコマンドを使用すると、PBR は次の基準に基づいて決定を下すことができます。
- リモート デバイスへの ICMP ping の到達可能性。
- リモート デバイスで稼働中のアプリケーション(たとえば、デバイスが HTTP GET リクエストに応答する)。
- ルーティング情報ベース(RIB)に存在するルート(たとえば、10.2.2.0/24 が RIB に存在する場合のみ、ポリシー ルーティングする)。
- インターフェイスの状態(たとえば、E0 で受信されたパケットは E2 がダウンしている場合のみ、E1 にポリシー ルーティングする必要がある)。
オブジェクト トラッキングは次のように機能します。PBR は、特定のオブジェクトのトラッキングを対象としていることをトラッキング プロセスに通知します。トラッキング プロセスは、そのオブジェクトの状態が変化したときに、それを PBR に通知します。この通知はレジストリを介して行われ、イベント駆動型です。
トラッキング サブシステムは、オブジェクトの状態をトラッキングする役割を担います。オブジェクトには、トラッキング プロセスによって定期的に ping が実行される IP アドレスを指定できます。オブジェクトの状態(アップまたはダウン)は、トラック レポート データ構造に保存されます。トラッキング プロセスは、トラッキング オブジェクト レポートを作成します。次に、ルート マップを設定している exec プロセスが、所定のオブジェクトが存在するかどうかを判別するために、トラッキング プロセスにクエリできます。オブジェクトが存在する場合、トラッキング サブシステムはトラッキングを開始し、オブジェクトの初期状態を読み取ります。オブジェクトの状態が変化すると、トラッキング プロセスはオブジェクトの状態が変わったことを、このプロセスをトラッキングしているすべてのクライアントに通知します。そのため、PBR が使用しているルート マップ構造は、トラック レポート内のオブジェクトの現在の状態を反映して更新できます。このプロセス間通信は、レジストリと共有トラック レポートを使用して実行されます。
(注) CDP およびオブジェクト トラッキング コマンドを混在させると、トラッキングされているネクスト ホップが最初に試行されます。
例
set local-preference
自律システム パスのプリファレンス値を指定するには、ルートマップ コンフィギュレーション モードで set local-preference コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set local-preference number-value
no set local-preference number-value
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
プリファレンスは、ローカル自律システム内のすべてのルータにのみ送信されます。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、 route-map グローバル コンフィギュレーション コマンドと、 match および set route-map コンフィギュレーション コマンドを使用します。 route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。 match コマンドは、 一致基準 、つまり現在の route-map コマンドに再配布が許可される条件を指定します。 set コマンドは、 set 処理 、つまり match コマンドで指定した基準を満たしている場合に実行する特定の再配布アクションを指定します。 no route-map コマンドは、ルート マップを削除します。
set route-map コンフィギュレーション コマンドを使用すると、ルート マップのすべての一致基準が満たされたときに実行される再配布 set 処理 を指定します。すべての一致基準を満たすと、すべての set 処理が実行されます。
bgp default local-preference コマンドを使用して、デフォルトのプリファレンス値を変更できます。
例
次に、アクセス リスト 1 に含まれるすべてのルートに対して、ローカル プリファレンスを 100 に設定する例を示します。
set metric
ルート マップ内の OSPF およびその他のダイナミック ルーティング プロトコルのルートのメトリック値を設定するには、ルートマップ コンフィギュレーション モードで set metric コマンドを使用します。OSPF およびその他のダイナミック ルーティング プロトコルのメトリック値をデフォルトに戻すには、このコマンドの no 形式を使用します。
set metric metric-value | [ bandwidth delay reliability loading mtu ]
no set metric metric-value | [ bandwidth delay reliability loading mtu ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
ルート マップで EIGRP をサポートするために、 bandwidth 、 delay 、 reliability 、 loading 、および mtu 引数が追加されました。 |
|
使用上のガイドライン
no set metric コマンドを使用すると、OSPF およびその他のダイナミック ルーティング プロトコルのメトリック値をデフォルトに戻すことができます。このコンテキストでは、 metric-value 引数は 0 ~ 4294967295 の整数です。
例
次に、OSPF ルーティングのルート マップを設定する例を示します。
次に、ルート マップ内の EIGRP のメトリック値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
set metric-type
OSPF メトリック ルートのタイプを指定するには、ルート マップ コンフィギュレーション モードで set metric-type コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
set metric-type { type-1 | type-2 }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、OSPF ルーティングのルート マップを設定する例を示します。
関連コマンド
|
|
|
|---|---|
set metric-type internal
ネクスト ホップの内部ゲートウェイ プロトコル(IGP)のメトリックと照合するために外部 BGP(eBGP)ネイバーにアドバタイズされたプレフィックスに Multi Exit Discriminator(MED)を設定するには、ルートマップ コンフィギュレーション モードで set metric-type internal コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを指定すると、BGP はルートのネクスト ホップと関連付けられた IGP メトリックに対応する MED 値をアドバタイズします。このコマンドは、生成された内部 BGP(iBGP)生成ルートおよび eBGP 生成ルートに適用されます。
このコマンドを使用すると、共通の自律システム内の複数の BGP スピーカーが 1 つの特定のプレフィックスに対して異なる MED 値をアドバタイズできます。また、IGP メトリックが変更された場合、BGP によって 10 分ごとにルートが再アドバタイズされることに注意してください。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、route-map グローバル コンフィギュレーション コマンドと、match および set route-map コンフィギュレーション コマンドを使用します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション)を指定します。no route-map コマンドは、ルート マップを削除します。
set route-map コンフィギュレーション コマンドは、ルート マップのすべての一致基準が満たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set 処理が実行されます。
(注) このコマンドは、ボーダー ゲートウェイ プロトコル(BGP)へのルートの再配布ではサポートされていません。
例
次に、ネイバー 172.16.2.3 へのすべてのアドバタイズ済みルートの MED 値を、ネクスト ホップの対応する IGP メトリックに設定する例を示します。
set origin
BGP 送信元コードを設定するには、ルートマップ コンフィギュレーション モードで set origin コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
set origin {igp | egp autonomous-system-number | incomplete}
no set origin {igp | egp autonomous-system-number | incomplete}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ルートの起点を設定する場合は、match 句を使用する必要があります(「permit everything」リストを指している場合でも)。ルートを BGP に再配布するときの特定の起点を設定するには、このコマンドを使用します。ルートが再配布されると、通常、起点は incomplete として記録され、BGP テーブルでは ? で示されます。
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、route-map グローバル コンフィギュレーション コマンドと、match および set route-map コンフィギュレーション コマンドを使用します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション)を指定します。no route-map コマンドは、ルート マップを削除します。
set route-map コンフィギュレーション コマンドは、ルート マップのすべての一致基準が満たされたときに実行される再配布 set 処理を指定します。すべての一致基準を満たすと、すべての set 処理が実行されます。
例
次に、ルート マップを IGP に送信するルートの発信を設定する例を示します。
set pfs
IPsec プロファイルに PFS グループを指定するには、IPsec プロファイル コンフィギュレーション モードで set pfs コマンドを使用します。PFS グループを削除するには、このコマンドの no 形式を使用します。
set pfs Diffie-Hellman group [group14]
no set pfs Diffie-Hellman group [group14]
構文の説明
IPsec で新しい Diffie-Hellman 交換を実行するときに、2048 ビットの Diffie-Hellman プライム モジュラス グループを使用することを指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
グループ 14 のサポートが追加されました。group2 および group5 コマンド オプションは廃止され、以降のリリースで削除されます。 |
例
次に、group14 を pfs として設定する例を示します。
関連コマンド
|
|
|
|---|---|
IPsec プロファイル設定でのセキュリティ アソシエーションの期間を指定します。これは、キロバイト単位か秒単位、またはその両方で指定します。 |
|
set security-association lifetime
IPsec プロファイル設定でセキュリティ アソシエーションの期間を指定するには、IPsec プロファイル コンフィギュレーション モードで set security-association lifetime コマンドを使用します。これは、キロバイト単位か秒単位、またはその両方で指定します。セキュリティ アソシエーションのライフタイム設定を削除するには、このコマンドの no 形式を使用します。
set security-association lifetime {seconds number | kilobytes { number | unlimited }}
no set security-association lifetime {seconds number | kilobytes { number | unlimited }}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クリプト マップのセキュリティ アソシエーションは、グローバル ライフタイムに基づいてネゴシエートされます。
IPsec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。
特定のクリプト マップ エントリでライフタイム値が設定されている場合、ASA は、セキュリティ アソシエーションのネゴシエート時に新しいセキュリティ アソシエーションを要求するときに、ピアへの要求でクリプト マップ ライフタイム値を指定し、これらの値を新しいセキュリティ アソシエーションのライフタイムとして使用します。ASA は、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定されたライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します
サイト間 VPN 接続の場合、「時間指定」と「トラフィック量」の 2 つのライフタイムがあります。これらのライフタイムのいずれかに最初に到達すると、セキュリティ アソシエーションが期限切れになります。リモート アクセス VPN セッションでは、指定時刻ライフタイムのみが適用されます。
(注) ASA では、クリプト マップ、ダイナミック マップ、および IPsec 設定を動作中に変更できます。設定を変更する場合、変更によって影響を受ける接続のみが ASA によって停止させられます。たとえば、アクセス リスト内のエントリを削除して、クリプト マップに関連付けられた既存のアクセス リストを変更した場合、関連する接続だけがダウンします。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。
例
次に、セキュリティ アソシエーションの有効期間の値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
set trustpoint
VTI トンネル接続の開始時に使用する証明書を定義するトラストポイントを指定するには、IPsec プロファイル コンフィギュレーション モードで set trustpoint コマンドを使用します。トラストポイントの設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、セキュリティ アソシエーションの有効期間の値を設定する例を示します。
関連コマンド
|
|
|
|---|---|
setup
対話形式のプロンプトを使用して ASA の最小限度のコンフィギュレーションを設定するには、グローバル コンフィギュレーション モードで setup コマンドを入力します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
フラッシュ メモリにスタートアップ コンフィギュレーションがない場合は、起動時にセットアップ プロンプトが自動的に表示されます。
setup コマンドによって、ASDM 接続を確立するための最小コンフィギュレーションが順を追って示されます。このコマンドは、コンフィギュレーションがないか、コンフィギュレーションが部分的にしかないユニット向けに設計されたものです。工場出荷時のコンフィギュレーションをサポートするモデルを使用している場合は、 setup コマンドではなく工場出荷時のコンフィギュレーションを使用することを推奨します(デフォルトのコンフィギュレーションに戻すには、 configure factory-default コマンドを使用します)。
setup コマンドには、「management」という名前が付けられたインターフェイスが必要です。
setup コマンドを入力すると、 表 1-1 の情報の入力を求められます。表示されたパラメータにコンフィギュレーションがすでに存在する場合は、そのコンフィギュレーションが角カッコで囲まれて表示されるため、その値をデフォルトとして受け入れるか、または新しい値を入力してその値を上書きできます。使用可能なプロンプトは、モデルによって異なる場合があります。システムの setup コマンドには、これらのプロンプトのサブセットが含まれています。
例
関連コマンド
|
|
|
|---|---|
set weight
ルーティング テーブルの BGP 重みを指定するには、ルートマップ コンフィギュレーション モードで set weight コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
実行された重みは、最初に一致した自律システム(AS)パスに基づいています。自律システム パスが一致したときに表示された重みは、グローバルな neighbor コマンドによって割り当てられた重みを上書きします。つまり、set weight route-map コンフィギュレーション コマンドで割り当てられた重みは、neighbor weight コマンドを使用して割り当てられた重みを上書きします。
例
次に、自律システム パス アクセス リストと一致するルートの BGP 重みを 200 に設定する例を示します。
sfr
トラフィックを ASA FirePOWER モジュールにリダイレクトするには、クラス コンフィギュレーション モードで sfr コマンドを使用します。リダイレクトを削除するには、このコマンドの no 形式を使用します。
sfr { fail-close | fail-open } [ monitor-only ]
no sfr { fail-close | fail-open } [ monitor-only ]
構文の説明
モジュールが使用できない場合に、ASA ポリシーのみを適用してトラフィックの通過を許可するように ASA を設定します。 |
|
トラフィックの読み取り専用コピーをモジュールに送信します(パッシブ モード)。キーワードを指定しない場合、トラフィックはインライン モードで送信されます。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
クラス コンフィギュレーション モードにアクセスするには、policy-map コマンドを入力します。
ASA に sfr コマンドを設定する前または後に、Firepower Management Centerを使用してモジュールにセキュリティ ポリシーを設定します。
sfr コマンドを設定するには、まず、 class-map コマンド、 policy-map コマンド、および class コマンドを設定する必要があります。
ASA FirePOWER モジュールは、ASA から個別のアプリケーションを実行します。ただし、そのアプリケーションは ASA のトラフィック フローに統合されます。ASA でトラフィックのクラスに対して sfr コマンドを適用すると、次のように、トラフィックは ASA およびモジュールを経由します。
4. バックプレーンを介して ASA FirePOWER モジュールにトラフィックが送信されます。
5. モジュールはそのセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。
6. インライン モードでは、有効なトラフィックがバックプレーンを介して ASA に返送されます。ASA FirePOWER モジュールがセキュリティ ポリシーに従ってトラフィックをブロックすることがあり、そのトラフィックは渡されません。パッシブ モードではトラフィックが戻されず、モジュールはトラフィックをブロックできません。
ASA には、HTTP インスペクションを含む、多数の高度なアプリケーション インスペクション機能があります。ただし、ASA FirePOWER モジュールには ASA よりも高度な HTTP インスペクション機能があり、その他のアプリケーションについても機能が追加されています。たとえば、アプリケーション使用状況のモニタリングおよび制御機能です。
ASA FirePOWER モジュールの機能を最大限に活用するには、ASA FirePOWER モジュールに送信するトラフィックに関する次のガイドラインを参照してください。
- HTTP トラフィックに対して ASA インスペクションを設定しないでください。
- クラウド Web セキュリティ(ScanSafe)インスペクションを設定しないでください。ASA FirePOWER インスペクションと Cloud Web Security のインスペクションの両方を同じトラフィックに設定すると、ASA では ASA FirePOWER インスペクションのみが実行されます。
- ASA 上の他のアプリケーション インスペクションは ASA FirePOWER モジュールと互換性があり、これにはデフォルト インスペクションも含まれます。
- Mobile User Security(MUS)サーバをイネーブルにしないでください。これは、ASA FirePOWER モジュールとの間に互換性がありません。
- フェールオーバーをイネーブルにしている場合、ASA がフェールオーバーすると、既存の ASA FirePOWER フローは新しい ASA に転送されます。新しい ASA の ASA FirePOWER モジュールがその時点からトラフィックのインスペクションを開始します。古いインスペクションの状態は転送されません。
モニタ専用モードのトラフィック フローは、インライン モードのトラフィック フローと同じです。ただし、ASA FirePOWER モジュールではトラフィックを ASA に戻さない点のみが異なります。代わりに、モジュールはトラフィックにセキュリティ ポリシーを適用し、インライン モードで動作していたらどのようになっていたかをユーザに通知します。たとえば、トラフィックが「ドロップされていたことが予想される」とマークされる場合があります。この情報をトラフィック分析に使用し、インライン モードが望ましいかどうかを判断するのに役立てることができます。
(注) ASA 上でモニタ専用モードと通常のインライン モードの両方を同時に設定できません。セキュリティ ポリシーの 1 つのタイプのみが許可されます。マルチ コンテキスト モードでは、一部のコンテキストに対してモニタ専用モードを設定し、残りのコンテキストに対して通常のインライン モードを設定することはできません。
例
次に、すべての HTTP トラフィックを ASA FirePOWER モジュールに迂回させ、何らかの理由でモジュールで障害が発生した場合にはすべての HTTP トラフィックをブロックする例を示します。
次に、10.1.1.0 ネットワークおよび 10.2.1.0 ネットワーク宛てのすべての IP トラフィックを ASA FirePOWER モジュールに迂回させ、何らかの理由でモジュールに障害が発生してもすべてのトラフィックを許可する例を示します。
関連コマンド
|
|
|
|---|---|
shape
QoS トラフィック シェーピングをイネーブルにするには、クラス コンフィギュレーション モードで shape コマンドを使用します。ASA などの、ファスト イーサネットを使用してパケットを高速に送信するデバイスが存在し、そのデバイスがケーブル モデムなどの低速デバイスに接続されている場合、ケーブル モデムがボトルネックとなり、ケーブル モデムでパケットが頻繁にドロップされます。さまざまな回線速度を持つネットワークを管理するために、低い固定レートでパケットを送信するように ASA を設定できます。これを トラフィック シェーピング と呼びます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
(注) トラフィック シェーピングは、ASA 5505、5510、5520、5540、および 5550 のみでサポートされます。(ASA 5500-X などの)マルチコア モデルでは、シェーピングをサポートしていません。
shape average rate [ burst_size ]
no shape average rate [ burst_size ]
構文の説明
デフォルト
burst_size を指定しない場合、デフォルト値は指定した平均レートでの 4 ミリ秒のトラフィックに相当する値になります。たとえば、平均レートが 1000000 ビット/秒の場合、4 ミリ秒では 1000000 * 4/1000 = 4000 になります。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラフィック シェーピングをイネーブルにするには、Modular Policy Framework を使用します。
1. policy-map : class-default クラス マップに関連付けるアクションを指定します。
a. class class-default :アクションを実行する class-default クラス マップを指定します。
b. shape :トラフィック シェーピングをクラス マップに適用します。
c. (任意) service-policy :シェーピングされたトラフィックのサブセットに対してプライオリティ キューイングを適用できるように、 priority コマンドを設定した異なるポリシー マップを呼び出します。
2. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
トラフィック シェーピングは、デバイスとリンクの速度を一致させることで、ジッタや遅延の原因になる可能性のあるパケット損失、可変遅延、およびリンク飽和を制御するために使用されます。
- トラフィック シェーピングは、物理インターフェイスのすべての発信トラフィック、または ASA 5505 の場合は VLAN 上のすべての発信トラフィックに適用する必要があります。特定のタイプのトラフィックにはトラフィック シェーピングを設定できません。
- トラフィック シェーピングは、パケットがインターフェイスで送信する準備ができている場合に実装されます。そのため、レートの計算は、IPSec ヘッダーや L2 ヘッダーなどの潜在的なすべてのオーバーヘッドを含む、送信されるパケットの実際のサイズに基づいて実行されます。
- シェーピングされるトラフィックには、through-the-box トラフィックと from-the-box トラフィックの両方が含まれます。
- シェープ レートの計算は、標準トークン バケット アルゴリズムに基づいて行われます。トークン バケット サイズは、バースト サイズ値の 2 倍です。トークン バケットの詳細については、CLI 設定ガイドを参照してください。
- バースト性のトラフィックが指定されたシェープ レートを超えると、パケットはキューに入れられて、後で送信されます。次に、シェーピング キューのいくつかの特性について説明します(階層型プライオリティ キューイングの詳細については、 priority コマンドを参照してください)。
– キューのサイズは、シェープ レートに基づいて計算されます。キューは、1500 バイトのパケットとして 200 ミリ秒に相当するシェープ レート トラフィックを保持できます。最小キュー サイズは 64 です。
– キューの制限に達すると、パケットはキューの末尾からドロップされます。
– OSPF Hello パケットなどの一部の重要なキープアライブ パケットは、ドロップされません。
– 時間間隔は、 time_interval = burst_size / average_rate によって求められます。時間間隔が長くなるほど、シェープ トラフィックのバースト性は高くなり、リンクのアイドル状態が長くなる可能性があります。この効果は、次のような誇張した例を使うとよく理解できます。
この例では、時間間隔は 1 秒であり、これは、100 Mbps の FE リンクでは 1 Mbps のトラフィックを時間間隔 1 秒の最初の 10 ミリ秒内にバースト送信できることを意味し、残りの 990 ミリ秒間はアイドル状態になって、次の時間間隔になるまでパケットを送信できません。したがって、音声トラフィックのように遅延が問題になるトラフィックがある場合は、バースト サイズを平均レートと比較して小さくし、時間間隔を短くする必要があります。
ASA で必要な場合は、個々の QoS 機能を単独で設定できます。ただし、普通は、たとえば一部のトラフィックを優先させて、他のトラフィックによって帯域幅の問題が発生しないようにするために、複数の QoS 機能を ASA に設定します。
次に、インターフェイスごとにサポートされる機能の組み合わせを示します。
同じトラフィックのセットに対して、プライオリティ キューイングとポリシングを両方設定することはできません。
同じインターフェイスに対して、トラフィック シェーピングと標準プライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングのみを設定できます。たとえば、グローバル ポリシーに標準プライオリティ キューイングを設定して、特定のインターフェイスにトラフィック シェーピングを設定する場合、最後に設定した機能は拒否されます。これは、グローバル ポリシーがインターフェイス ポリシーと重複するためです。
通常、トラフィック シェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングをイネーブルにしません。ただし、このような設定は ASA では制限されていません。
例
次の例では、外部インターフェイスのすべてのトラフィックでトラフィック シェーピングをイネーブルにして、DSCP ビットが ef に設定された VPN tunnel-grp1 内のトラフィックにプライオリティを付けます。
ciscoasa(config)# class-map TG1-voice
ciscoasa(config-cmap)# match tunnel-group tunnel-grp1
ciscoasa(config-cmap)# match dscp ef
ciscoasa(config-pmap-c)# service-policy shape_policy interface outside
関連コマンド
|
|
|
|---|---|
share-ratio
マッピングアドレスおよびポート(MAP)ドメイン内の基本マッピングルールでポートルールのポート数を決定するポート比率を設定するには、MAP ドメインの基本マッピング ルール コンフィギュレーション モードで share-ratio コマンドを使用します。比率を削除するには、このコマンドの no 形式を使用します。
構文の説明
プール内に存在する必要があるポートの数。ポート数は 1~65536 の範囲内とし、2 の累乗にする必要があります(1、2、4、8 など)。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
基本マッピングルールの start-port コマンドおよび share-ratio コマンドによって、MAP ドメイン内のアドレス変換に使用されるプールの開始ポートとポート数が決まります。
例
次の例では、1 という名前の MAP-T ドメインを作成して、ドメインの変換ルールを設定しています。
関連コマンド
|
|
|
|---|---|
フィードバック