Cisco ASA シリーズ コマンド リファレンス、S コマンド

 

構文の説明

 

デフォルト

デフォルトのプロトコルは 0（すべてのプロトコル）です。

 

コマンド履歴

 

使用上のガイドライン

shun コマンドを使用すると、攻撃元ホストからの接続をブロックできます。送信元 IP アドレスからの今後のすべての接続は、手動または Cisco IPS センサーによってブロッキング機能が削除されるまで、ドロップされ、ログに記録されます。shun コマンドのブロッキング機能は、指定したホスト アドレスとの接続が現在アクティブかどうかに関係なく適用されます。

宛先アドレス、送信元ポート、宛先ポート、およびプロトコルを指定すると、一致する接続がドロップされ、かつ、その送信元 IP アドレスからの今後のすべての接続に shun が適用されます。この場合、これらの特定の接続パラメータと一致する接続だけでなく、今後のすべての接続が回避されます。

shun コマンドは、送信元 IP アドレスごとに 1 つのみ使用できます。

shun コマンドは攻撃をダイナミックにブロックするために使用されるため、ASA コンフィギュレーションには表示されません。

インターフェイス コンフィギュレーションが削除されると、そのインターフェイスに付加されているすべての shun も削除されます。新しいインターフェイスを追加するか、または同じインターフェイスを（同じ名前を使用して）置き換える場合、IPS センサーでそのインターフェイスをモニタするには、そのインターフェイスを IPS センサーに追加する必要があります。

例

次に、攻撃ホスト（10.1.1.27）が攻撃対象（10.2.2.89）に TCP で接続する例を示します。この接続は、ASA 接続テーブル内で次のように記載されています。

次のオプションを使用して、shun コマンドを適用します。

このコマンドにより、現在の接続は ASA 接続テーブルから削除され、10.1.1.27 からの今後のすべてのパケットは ASA を通過できなくなります。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

最初は、CA サーバはデフォルトでシャットダウンされます。

 

コマンド履歴

 

使用上のガイドライン

CA サーバ モードのこのコマンドは、インターフェイス モードの shutdown コマンドと類似しています。セットアップ時に、ローカル CA サーバはデフォルトでシャットダウンされるため、 no shutdown コマンドを使用してイネーブルにする必要があります。 no shutdown コマンドを初めて使用するときは、CA サーバをイネーブルにし、CA サーバ証明書とキー ペアを生成します。

（注） no shutdown コマンドを発行することによって、CA コンフィギュレーションをロックして CA 証明書を生成した後は、CA コンフィギュレーションを変更できません。

no shutdown コマンドで CA サーバをイネーブルにして現在のコンフィギュレーションをロックするには、生成される CA 証明書とキー ペアが含まれる PKCS12 ファイルを符号化してアーカイブするために、7 文字のパスワードが必要です。このファイルは、以前に指定した database path コマンドで識別されるストレージに格納されます。

例

次に、ローカル CA サーバをディセーブルにし、登録インターフェイスにアクセスできないようにする例を示します。

次に、ローカル CA サーバをイネーブルにし、登録インターフェイスにアクセスできるようにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

すべての物理インターフェイスは、デフォルトではシャットダウンされます。セキュリティ コンテキスト内の割り当て済みのインターフェイスは、コンフィギュレーション内でシャットダウンされません。

 

コマンド履歴

 

使用上のガイドライン

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

• 物理インターフェイス：ディセーブル。
• 冗長インターフェイス：イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。
• サブインターフェイス：イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

（注） このコマンドでは、ソフトウェア インターフェイスのみがディセーブルになります。物理リンクはアップのまま維持され、対応するインターフェイスが shutdown コマンドを使用して設定された場合でも、直接接続されたデバイスはアップであると認識されます。

例

次に、メイン インターフェイスをイネーブルにする例を示します。

次に、サブインターフェイスをイネーブルにする例を示します。

次に、サブインターフェイスをシャットダウンする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求（IR）パケットを ASA に送信したときに、SIP サーバを含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。

プレフィックス委任を設定するには、 ipv6 dhcp client pd コマンドを使用します。

この機能は、クラスタリングではサポートされていません。

例

次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

プレフィックス委任機能とともに SLAAC を使用しているクライアントの場合は、クライアントが情報要求（IR）パケットを ASA に送信したときに、SIP ドメイン名を含め、 ipv6 dhcp プール 内の情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。DHCPv6 ステートレス サーバを設定するには、 ipv6 dhcp server コマンドを使用します。サーバを有効にする場合は、 ipv6 dhcp プール 名を指定します。

プレフィックス委任を設定するには、 ipv6 dhcp client pd コマンドを使用します。

この機能は、クラスタリングではサポートされていません。

例

次に、2 つの IPv6 DHCP プールを作成して、2 つのインターフェイスで DHCPv6 サーバを有効にする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

各クラスタ シャーシを、個別のサイト ID に属するように設定できます。

サイト ID は、サイト固有の MAC アドレスで動作します。ASA クラスタから送信されたパケットはサイト固有の MAC アドレスを使用しますが、クラスタによって受信されるパケットはグローバル MAC アドレスを使用します。この機能により、スイッチが 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスを学習してしまうのを防いでいます。MAC フラッピングが発生しないよう、サイト MAC アドレスのみを学習します。サイト固有の MAC アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされています。

また、サイト ID は LISP インスペクションを使用するフロー モビリティを有効にするためにも使用されます。

マスター ユニットに MAC アドレスを設定するには、 mac-address site-id コマンドを使用し、その後、 site-id コマンドを使用して、各ユニット（マスターとスレーブ）をクラスタ ブートストラップ設定の一部としてサイトに割り当てます。

例

次に、port-channel 2 のサイト固有の MAC アドレスを設定して、マスター ユニットをサイト 1 に割り当てる例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの間隔は 290 秒です。

 

コマンド履歴

 

使用上のガイドライン

ASA では、Gratuitous ARP（GARP）パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保ちます。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。

クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。

各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。

例

次に、GARP 間隔を 500 秒に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

サイトの冗長性は、デフォルトで無効です。

 

コマンド履歴

 

使用上のガイドライン

サイトの障害からフローを保護するために、サイトの冗長性を有効にできます。接続バックアップ オーナーがオーナーと同じサイトにある場合は、サイトの障害からフローを保護するために、追加のバックアップ オーナーが別のサイトから選択されます。

ディレクタ ローカリゼーションとサイトの冗長性は別々の機能です。そのうちの 1 つまたは両方を設定することができます。

例

次に、間隔を 300 ミリ秒に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

sla monitor コマンドによって、SLA 動作が作成され、SLA モニタ コンフィギュレーション モードが開始されます。このコマンドを入力すると、コマンド プロンプトは ciscoasa(config-sla-monitor)# に変わり、SLA モニタ コンフィギュレーション モードになったことが示されます。SLA 動作がすでに存在し、それに対してタイプがすでに定義されている場合、プロンプトは ciscoasa(config-sla-monitor-echo)# と表示されます。最大 2000 個の SLA 動作を作成できます。任意の時点でデバッグできるのは 32 個の SLA 動作のみです。

no sla monitor コマンドによって、指定した SLA 動作およびその動作を設定するために使用されたコマンドが削除されます。

SLA 動作を設定した後、 sla monitor schedule コマンドで動作をスケジューリングする必要があります。スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。

動作の現在のコンフィギュレーション設定を表示するには、 show sla monitor configuration コマンドを使用します。SLA 動作の動作統計情報を表示するには、 show sla monitor operation-state コマンドを使用します。コンフィギュレーション内の SLA コマンドを表示するには、 show running-config sla monitor コマンドを使用します。

例

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• SLA 動作は、スケジューリングされた時間になるまで pending 状態です。つまり、動作はイネーブルですが、データはアクティブに収集されていません。
• デフォルトの ageout 時間は、0 秒（エージング アウトしない）です。
• デフォルトの life は、3600 秒（1 時間）です。

 

コマンド履歴

 

使用上のガイドライン

SLA 動作がアクティブ状態の場合、ただちに情報の収集が開始されます。次のタイム ラインは、動作のエージング アウト プロセスを示しています。

• W は、SLA 動作が sla monitor コマンドで設定された時刻です。
• X は、SLA 動作の開始時刻です。これは、動作が「アクティブ」になったときです。
• Y は、 sla monitor schedule コマンドで設定された有効期間の終了です（ life の秒数は 0 までカウント減少されました）。
• Z は、動作のエージング アウトです。

エージ アウト プロセスは、使用されている場合は、W でカウント ダウンを開始し、X と Y の間は中断され、設定されたサイズにリセットされると、再び Y でカウント ダウンを開始します。SLA 動作がエージ アウトすると、SLA 動作の設定は実行コンフィギュレーションから削除されます。動作は、実行される前にエージング アウトする可能性があります（つまり、Z が X の前に発生する可能性があります）。このような状況が発生しないようにするには、動作のコンフィギュレーション時刻と開始時刻（X と W）の差を、エージング アウトの秒数よりも小さくする必要があります。

recurring キーワードは、単一の SLA 動作のスケジューリングに対してのみサポートされています。1 つの sla monitor schedule コマンドを使用して複数の SLA 動作をスケジューリングすることはできません。定期的な SLA 動作の life 値は、1 日未満にする必要があります。定期的な動作の ageout 値を「なし」（値 0 で指定）にするか、 life 値と ageout 値の合計を 1 日よりも大きくする必要があります。recurring オプションを指定しないと、動作は既存の通常のスケジューリング モードで開始されます。

スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジューリングした SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択した SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。

例

次に、4 月 5 日午後 3 時にデータの収集をアクティブに開始するようにスケジューリングされた SLA 動作 25 の例を示します。この動作は、非アクティブになって 12 時間後にエージング アウトします。この SLA 動作がエージング アウトすると、SLA 動作のすべてのコンフィギュレーション情報は実行コンフィギュレーションから削除されます。

次に、5 分間の遅延の後にデータの収集を開始するようにスケジューリングされた SLA 動作 1 の例を示します。デフォルトの有効期間である 1 時間が適用されます。

次に、ただちにデータの収集を開始するようにスケジューリングされた SLA 動作 3 の例を示します。この例は、無期限に実行されるようにスケジューリングされています。

次に、毎日午前 1 時 30 分にデータの収集を自動的に開始するようにスケジューリングされた SLA 動作 15 の例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトはありません。

 

コマンド履歴

 

使用上のガイドライン

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。

smart-tunnel auto-signon list コマンドを使用して、最初にサーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名に割り当てることができるリストは 1 つだけです。

レルムの文字列は Web サイトの保護領域に関連付けられ、認証時に認証プロンプトまたは HTTP ヘッダーのいずれかでブラウザに再度渡されます。対応するレルムがわからない場合、管理者はログインを一度実行し、プロンプト ダイアログから文字列を取得する必要があります。

管理者は、対応するホストに任意でポート番号を指定できるようになりました。Firefox では、ポート番号が指定されていない場合、自動サインオンはデフォルトのポート番号 80 および 443 でそれぞれアクセスされた HTTP および HTTPS に対して実行されます。

例

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証中に CISCO という名前のドメインをユーザ名に追加します。

次のコマンドでは、HR という名前のスマート トンネル自動サインオン リストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル自動サインオン リスト コマンドを継承します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトはありません。

 

コマンド履歴

 

使用上のガイドライン

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。

スマート トンネル自動サインオン リストの入力に続き、グループ ポリシー webvpn モードまたはユーザ名 webvpn モードで smart-tunnel auto-signon enable list コマンドを使用してリストを割り当てます。

例

次のコマンドでは、サブネット内のすべてのホストを追加し、認証で必要な場合に Windows ドメインをユーザ名に追加します。

次のコマンドは、リストからエントリを削除します。

前述のコマンドでは、削除されるエントリがリストの唯一のエントリである場合、HR という名前のリストも削除されます。唯一のエントリではない場合は、次のコマンドによってリスト全体が ASA コンフィギュレーションから削除されます。

次のコマンドでは、ドメイン内のすべてのホストを intranet という名前のスマート トンネル自動サインオン リストに追加します。

次のコマンドは、リストからエントリを削除します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドでは、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。

ユーザのログイン時にスマート トンネル アクセスを開始するこのオプションは Windows だけに適用されます。

例

次のコマンドでは、apps1 という名前のアプリケーションのリストについて、スマート トンネル アクセスを開始します。

次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル コマンドを継承します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

デフォルトではスマート トンネルはイネーブルではないため、 smart-tunnel disable コマンドは（デフォルトの）グループ ポリシーまたはユーザ名コンフィギュレーションに、対象のポリシーまたはユーザ名に適用しない smart-tunnel auto-start または smart-tunnel enable コマンドが含まれている場合にのみ必要です。

例

次のコマンドでは、スマート トンネル アクセスを禁止します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

smart-tunnel enable コマンドによって、スマート トンネル アクセスに適格なアプリケーションのリストがグループ ポリシーまたはユーザ名に割り当てられます。ユーザは、クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。または、 smart-tunnel auto-start コマンドを使用して、ユーザがログインしたときに自動的にスマート トンネル アクセスを開始できます。

いずれのコマンドでも、 smart-tunnel list コマンドを使用して、最初にアプリケーションのリストを作成する必要があります。

例

次のコマンドでは、apps1 という名前のスマート トンネル リストをイネーブルにします。

次のコマンドでは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルトのグループ ポリシーからスマート トンネル リストを継承します。

 

関連コマンド

 

構文の説明

 

デフォルト

Windows がデフォルトのプラットフォームです。

 

コマンド履歴

 

使用上のガイドライン

複数のスマート トンネル リストを ASA で設定できますが、複数のスマート トンネル リストを特定のグループ ポリシーまたはユーザ名に割り当てることはできません。スマート トンネル リストに入力するには、アプリケーションごとに smart-tunnel list コマンドを 1 回入力します。同じ list ストリングを入力しますが、OS で一意の application および path を指定します。リストでサポートする各 OS について、コマンドを 1 回入力します。

OS がエントリで指定されたものと一致しない場合、セッションでリスト エントリは無視されます。アプリケーションのパスが存在しない場合も、エントリは無視されます。

SSL VPN コンフィギュレーション内のスマート トンネル リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

path はコンピュータ上のものと一致する必要がありますが、完全である必要はありません。たとえば、実行ファイルとその拡張子だけで path を構成できます。

スマート トンネルには次の要件があります。

• スマート トンネル接続を開始するリモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、または Windows 2000、あるいは Mac OS 10.4 または 10.5 が実行されている必要があります。
• スマート トンネルまたはポート フォワーディングを使用する Microsoft Windows Vista のユーザは、ASA の URL を [Trusted Site] ゾーンに追加する必要があります。信頼済みサイト ゾーンにアクセスするには、Internet Explorer を起動して、[Tools] > [Internet Options] > [Security] タブを選択する必要があります。Vista ユーザは、[Protected Mode] をディセーブルにしてスマート トンネル アクセスを容易にすることもできます。ただし、攻撃に対するコンピュータの脆弱性が増すため、この方法は推奨しません。
• ブラウザで Java、Microsoft ActiveX、またはその両方をイネーブルにする必要があります。
• Mac OS のスマート トンネル サポートには、Safari 3.1.1 以降が必要です。

Microsoft Windows では、Winsock 2、TCP ベースのアプリケーションのみがスマート トンネル アクセスに適格です。

Mac OS では、SSL ライブラリにダイナミックにリンクされた、TCP を使用するアプリケーションをスマート トンネルで使用できます。次のタイプのアプリケーションは、スマート トンネルで使用できません。

• dlopen または dlsym を使用して libsocket コールを特定するアプリケーション
• libsocket コールを特定するためにスタティックにリンクされたアプリケーション
• 2 レベルのネーム スペースを使用する Mac OS アプリケーション。
• Mac OS のコンソールベースのアプリケーション（Telnet、SSH、cURL など）。
• Mac OS の PowerPC タイプのアプリケーション。Mac OS アプリケーションのタイプを判別するには、そのアイコンを右クリックして [Get Info] を選択します。

Mac OS では、ポータル ページから起動されたアプリケーションだけがスマート トンネル セッションを確立できます。この要件には、Firefox に対するスマート トンネルのサポートも含まれます。スマート トンネルを最初に使用する際に、Firefox を使用して Firefox の別のインスタンスを起動するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションでは、作成するようにユーザに要求します。

次の制限事項がスマート トンネルに適用されます。

• リモート コンピュータが ASA にアクセスするためにプロキシ サーバを必要とする場合、接続の終端側の URL が、プロキシ サービスから除外される URL のリストに存在する必要があります。この設定では、スマート トンネルは基本認証だけをサポートします。
• スマート トンネル自動サインオン機能では、Microsoft Windows OS 上の Microsoft WININET ライブラリを使用して HTTP または HTTPS 通信を行うアプリケーションのみがサポートされます。たとえば、Microsoft Internet Explorer では、WININET ダイナミック リンク ライブラリを使用して、Web サーバと通信します。
• グループ ポリシーまたはローカル ユーザ ポリシーでは、スマート トンネル アクセスに適格なアプリケーションのリスト 1 つと、スマート トンネル自動サインオン サーバのリスト 1 つだけがサポートされます。
• ステートフル フェールオーバーが発生したとき、スマート トンネル接続は保持されません。ユーザはフェールオーバー後に再接続する必要があります。

（注） スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、path 値が最新でないことを示している場合があります。たとえば、アプリケーションおよび次のアップグレードを作成する会社が買収されると、アプリケーションのデフォルトのパスは通常は変更されます。

ハッシュを入力すると、 path で指定したストリングと一致する不適格なファイルがクライアントレス SSL VPN によって認定されないことが、ある程度保証されます。チェックサムはアプリケーションの各バージョンまたはパッチによって異なるため、入力する hash が一致するのは、リモート ホスト上の 1 つのバージョンまたはパッチのみです。アプリケーションの複数のバージョンに対して hash を指定するには、各バージョンに対して smart-tunnel list コマンドを 1 回入力します。このとき、各コマンドでは、同じ list ストリングを入力しますが、一意の application ストリングと一意の hash 値を指定します。

（注） hash 値を入力し、スマート トンネル アクセスでアプリケーションの今後のバージョンまたはパッチをサポートする場合は、今後もスマート トンネル リストを維持する必要があります。スマート トンネル アクセスで突然問題が発生した場合、アプリケーションのアップグレードにより、hash 値を含むアプリケーション リストが最新でないことを示している場合があります。この問題は hash を入力しないことによって回避できます。

スマート トンネル リストのコンフィギュレーションに続き、 smart-tunnel auto-start または smart-tunnel enable コマンドを使用して、グループ ポリシーまたはユーザ名にリストを割り当てます。

例

次のコマンドでは、apps1 という名前のスマート トンネル リストに Microsoft Windows アプリケーションの接続を追加します。

次のコマンドでは、Windows アプリケーション msimn.exe を追加し、リモート ホスト上のアプリケーションのハッシュが、スマート トンネル アクセスを許可するために入力された最後のストリングと一致することを要求します。

次のコマンドでは、Mac OS ブラウザ Safari にスマート トンネル サポートを提供します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

スマート トンネルがオンになっている場合、ネットワーク（ホストのセット）を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。

例

次に、 smart-tunnel network コマンドの使用例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

スマート トンネルがオンになっている場合、ネットワーク（ホストのセット）を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。

例

次に、 smart-tunnel tunnel-policy コマンドの使用方法の例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドに ca-admin@asa1-ca.example.com が含まれるように指定する例を示します。

次に、ローカル CA サーバからの、すべての電子メールの送信者フィールドをデフォルトのアドレス admin@asa1-ca.example.com にリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、件名フィールドのテキストは「Certificate Enrollment Invitation」です。

 

コマンド履歴

例

次に、CA サーバからの、すべての電子メールの件名フィールドにテキスト Action: Enroll for a certificate を表示するように指定する例を示します。

次に、CA サーバからの、すべての電子メールの件名フィールドのテキストをデフォルトのテキスト「Certificate Enrollment Invitation」にリセットする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、SMTPS コンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA には、内部 SMTP クライアントが含まれており、特定のイベントが発生したことを外部エンティティに通知するためにイベント システムで使用できます。これらのイベント通知を受信し、指定された電子メール アドレスに転送するように SMTP サーバを設定できます。ASA に対して電子メール イベントをイネーブルにしている場合にのみ、SMTP ファシリティはアクティブです。また、このコマンドにより、ロギングに使用するルーティング テーブル（管理ルーティング テーブルまたはデータ ルーティング テーブル）をインターフェイス アソシエーションで識別できるようにします。インターフェイスが指定されていない場合、ASA は管理ルーティング テーブル ルックアップを参照し、適切なルート エントリが存在しない場合は、データ ルーティング テーブルを参照します。

例

次に、SMTP サーバを IP アドレス 10.1.1.24 を使用して設定し、バックアップ SMTP サーバを IP アドレス 10.1.1.34 を使用して設定する例を示します。

 

構文の説明

 

デフォルト

snmp cpu threshold rising コマンドが設定されていない場合、上限しきい値レベルのデフォルトは 70% の CPU 使用率を超えて設定されます。クリティカルしきい値レベルのデフォルトは 95% の CPU 使用率を超えて設定されます。デフォルトのモニタリング期間は 1 分に設定されます。

 

コマンド履歴

 

使用上のガイドライン

CPU のクリティカルしきい値レベルは設定できません。この値は 95% に固定されています。有効なしきい値の範囲は 10 ～ 94% の CPU 使用率です。モニタリング期間の有効値は 1～60 分です。

例

次に、SNMP CPU しきい値レベルを 75% の CPU 使用率および 30 分のモニタリング期間に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

snmp link threshold コマンドを設定しない場合、デフォルトのしきい値は CPU 使用率およびシステム メモリ使用率の 70% です。

 

コマンド履歴

 

使用上のガイドライン

有効なしきい値の範囲は物理インターフェイスの 30 ～ 99% です。 snmp link threshold コマンドは、管理コンテキストでのみ使用できます。

例

次に、SNMP インターフェイスのしきい値をすべての物理インターフェイスの 75% に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

snmp-map コマンドを使用して、SNMP インスペクションのパラメータを定義するために使用する特定のマップを指定します。このコマンドを入力すると、SNMP マップ コンフィギュレーション モードが開始され、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。SNMP マップの定義後、inspect snmp コマンドを使用してマップをイネーブルにします。次に、 class-map 、 policy-map 、 service-policy の各コマンドを使用して、トラフィックのクラス定義、inspect コマンドのクラスへの適用、1 つ以上のインターフェイスへのポリシー適用を定義します。

例

次に、SNMP トラフィックを指定し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのコミュニティ ストリングは「public」です。

 

コマンド履歴

 

使用上のガイドライン

SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理されるネットワーク ノード間の共有秘密です。管理ステーションとデバイス間のバージョン 1 およびバージョン 2c の通信に対してのみ使用されます。ASA では、キーを使用して着信 SNMP 要求が有効かどうかを判別します。

たとえば、あるサイトにコミュニティ ストリングを指定し、さらに同じストリングを使用してルータ、ASA、管理ステーションを設定できます。ASA はこのストリングを使用し、無効なコミュニティ ストリングを持つ要求には応答しません。

暗号化されたコミュニティ ストリングを使用した後は、暗号化された形式だけがすべてのシステム（CLI、ASDM、CSM など）に表示されます。クリア テキストのパスワードは表示されません。

暗号化されたコミュニティ ストリングは常に ASA によって生成されます。通常は、クリア テキストの形式で入力します。

（注） ASA ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。

例

次に、コミュニティ ストリングを「onceuponatime」に設定する例を示します。

次の例では、暗号化されたコミュニティ ストリングを設定しています。

次の例では、非暗号化コミュニティ ストリングを設定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、SNMP サーバのコンタクトを EmployeeA に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

SNMP サーバはイネーブルに設定されています。

 

コマンド履歴

 

使用上のガイドライン

SNMP トラップまたはその他のコンフィギュレーションを設定および再設定しなくても、SNMP を簡単にイネーブルおよびディセーブルにすることができます。

例

次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、 snmp-server enable oid は、これらの MIB オブジェクトの snmp ウォーク動作を可能にするためイネーブルになっています。

このコマンドの no 形式を使用して、これらの MIB オブジェクトをディセーブルにすることができます。 clear configure snmp-server コマンドを使用すると、メモリのクエリのための SNMP MIB オブジェクトがデフォルトのイネーブル状態に戻ります。

 

コマンド履歴

 

使用上のガイドライン

SNMP ウォークの操作を実行すると、ASA は MEMPOOL_DMA プールと MEMPOOL_GLOBAL_SHARED プールからメモリ情報を照会します。ASA がメモリ情報を照会すると、CPU は他のプロセスに開放される前に SNMP プロセスによって長時間にわたり保持されることがあります。これにより、SNMP 関連の CPU ホグ状態になり、パケットがドロップされることがあります。

この問題を軽減するには、 no snmp-server enable oid コマンドを使用して、グローバル共有プールに関連する OID をポーリングしないようにしてください。ディセーブルにすると、 mempool OID は 0 バイトを返します。ただし、このコマンドに関係なく、そのプールに対する GET 要求を使用して明示的にクエリすることができます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのコンフィギュレーションでは、次の snmp トラップがイネーブルです（ snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart ）。このコマンドを入力し、トラップ タイプを指定しない場合、デフォルトは syslog です（デフォルトの snmp トラップは syslog トラップとともに引き続きイネーブルのままです）。デフォルトでは他のトラップはすべてディセーブルです。

これらのトラップをディセーブルにするには、 snmp キーワードを指定してこのコマンドの no 形式を使用します。 clear configure snmp-server コマンドを使用すると、SNMP トラップのデフォルトのイネーブル状態に戻ります。

 

コマンド履歴

 

使用上のガイドライン

個別のトラップまたはトラップのセットをイネーブルにするには、機能タイプごとにこのコマンドを入力します。すべてのトラップをイネーブルにするには、 all キーワードを入力します。

NMS にトラップを送信するには、 logging history コマンドを入力し、 logging enable コマンドを使用してロギングをイネーブルにします。

管理コンテキストのみで生成されるトラップは、次のとおりです。

• connection-limit-reached
• entity
• memory-threshold

システム コンテキストの物理的に接続されたインターフェイスに対してのみ管理コンテキストを介して生成されるトラップは、次のとおりです。

• interface-threshold

その他すべてのトラップは、管理およびユーザ コンテキストで使用できます。

accelerator-temperature しきい値トラップは、ASA 5506-X および ASA 5508-X にのみ適用されます。

chassis-fan-failure トラップは、ASA 5506-X には適用されません。

config トラップを指定すると、ciscoConfigManEvent 通知と ccmCLIRunningConfigChanged 通知がイネーブルになります。これらの通知は、コンフィギュレーション モードを終了した後に生成されます。

次のトラップは ASA 5506-X および ASA 5508-X には適用されません。 fan-failure 、 fru-insert 、 fru-remove 、 power-supply 、 power-supply-failure 、 power-supply-presence 、および power-supply-temperature 。

マルチ コンテキスト モードのガイドライン

• マルチ コンテキスト モードでは、 fan-failure トラップ、 power-supply-failure トラップ、および cpu-temperature トラップは、ユーザ コンテキストではなく、管理コンテキストのみから生成されます。これらのトラップは、ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X にのみ適用され、ASA 5505 には適用されません。
• snmp-server enable traps remote-access session-threshold-exceeded コマンドは、マルチ コンテキスト モードではサポートされません。

CPU 使用率が、設定されたモニタリング期間の設定されたしきい値を超える場合、 cpu threshold rising トラップが生成されます。

使用されたシステム メモリが 80% に達すると、 memory-threshold トラップが生成されます。

（注） SNMP は電圧センサーをモニタしません。

例

次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。バージョン 3 およびセキュリティ レベルも指定する必要があります。コミュニティ ストリングが内部的に設定されている場合、「public」という名前の 2 つのグループが自動的に作成されます。1 つはバージョン 1 セキュリティ モデル用、もう 1 つはバージョン 2c セキュリティ モデル用です。コミュニティ ストリングを削除すると、設定された両方のグループが自動的に削除されます。

（注） 特定のグループに属すように設定されるユーザは、グループと同じセキュリティ モデルを持つ必要があります。