この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IP ルーティングテーブルが BGP で学習されたルートで更新された場合にメトリックおよびタグ値を変更するには、アドレス ファミリ コンフィギュレーション モードで table-map コマンドを使用します。この機能をディセーブルにするには、コマンドの no 形式を使用します。
no table-map map-name [ filter ]
(オプション)ルートマップが BGP ルートのメトリックだけでなく、そのルートが RIB にダウンロードされるかどうかも制御することを指定します。BGP ルートは、ルート マップで拒否されている場合、RIB にダウンロードされません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
テーブルマップで、BGP ルーティングテーブル内で更新されるルートのメトリックおよびタグ値を設定するルートマップを参照するか、またはルートを RIB にダウンロードするかどうかを制御します。
テーブルマップが参照するルートマップで match 句を使用すると、IP アクセスリスト、自律システム(AS)パス、およびネクストホップに基づいてルートを照合できます。
次のアドレス ファミリ コンフィギュレーション モードの例では、ASA ソフトウェアは、BGP で学習されたルートのタグ値を自動的に計算し、IP ルーティング テーブルを更新するように設定されています。
|
|
---|---|
DNS over TCP インスペクションをイネーブルにするには、パラメータ コンフィギュレーション モードで tcp-inspection コマンドを使用します。プロトコルの強制をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを DNS インスペクション ポリシー マップに追加して、DNS/TCP ポート 53 トラフィックをインスペクションに含めます。このコマンドを使用しなければ、UDP/53 DNS トラフィックのみが検査されます。DNS/TCP ポート 53 トラフィックが、DNS インスペクションを適用するクラスの一部であることを確認します。インスペクションのデフォルト クラスには、TCP/53 が含まれています。
次に、DNS インスペクション ポリシー マップで DNS over TCP インスペクションをイネーブルにする例を示します。
|
|
---|---|
一連の TCP 正規化アクションを定義するには、グローバル コンフィギュレーション モードで tcp-map コマンドを使用します。TCP 正規化機能によって、異常なパケットを識別する基準を指定できます。ASA は、異常なパケットが検出されるとそれらをドロップします。TCP マップを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
invalid-ack 、 seq-past-window 、および synack-data サブコマンドが追加されました。 |
この機能は モジュラ ポリシー フレームワークを使用します。最初に、 tcp-map コマンドを使用して実行する TCP 正規化アクションを定義します。 tcp-map コマンドによって、tcp マップ コンフィギュレーション モードが開始されます。このモードで、1 つ以上のコマンドを入力して、TCP 正規化アクションを定義できます。その後、 class-map コマンドを使用して、TCP マップを適用するトラフィックを定義します。 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection advanced-options コマンドを入力して TCP マップを参照します。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラ ポリシー フレームワークの仕組みの詳細については、CLI 設定ガイドを参照してください。
次のコマンドは、tcp マップ コンフィギュレーション モードで使用可能です。
たとえば、既知の FTP データ ポートと Telnet ポートの間の TCP ポート範囲に送信されるすべてのトラフィックで緊急フラグと緊急オフセット パケットを許可するには、次のコマンドを入力します。
|
|
---|---|
selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。 |
TCP ヘッダーの TCP オプションを許可またはクリアするには、TCP マップ コンフィギュレーション モードで tcp-options コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
tcp-options { md5 | mss | selective-ack | timestamp | window-scale | range lower upper } action
no tcp-options { md5 | mss | selective-ack | timestamp | window-scale | range lower upper } action
(9.6(1) 以降)デフォルトでは、すべての名前付きオプションを許可し、オプション 6 ~ 7 および 9 ~ 255 をクリアします。
(9.6(2) 以降)デフォルトでは、名前付きオプションのそれぞれの 1 つのインスタンスを許可し、指定された名前付きオプションが複数あるパケットをドロップし、オプション 6 ~ 7、9 ~ 18、および 20 ~ 155 をクリアします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
名前付きオプションのデフォルト処理は、指定されたタイプのオプションを 1 つ含む場合はパケットを許可し、そのタイプのオプションが複数ある場合はパケットをドロップするように変更されました。また、 md5 、 mss 、 allow multiple 、および mss maximum キーワードが追加されました。MD5 オプションのデフォルトは、クリアから許可に変更されました。 |
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP マップ コンフィギュレーション モードで tcp-options コマンドを使用して、さまざまな TCP オプションを処理する方法を定義します。
次に、6 ~ 7 および 9 ~ 255 の範囲内の TCP オプションを持つすべてのパケットをドロップする例を示します。
|
|
---|---|
インターフェイスへの Telnet アクセスを許可するには、グローバル コンフィギュレーション モードで telnet コマンドを使用します。Telnet アクセスを削除するには、このコマンドの no 形式を使用します。
telnet { ipv4_address mask | ipv6_address / prefix } interface_name
no telnet { ipv4_address mask | ipv6_address / prefix } interface_name
Telnet を許可するインターフェイスの名前を指定します。VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスで Telnet をイネーブルにできません。物理または仮想インターフェイスを指定できます。 |
|
ASA への Telnet が認可されているホストまたはネットワークの IPv4 アドレス、およびサブネット マスクを指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルト パスワードの「cisco」は削除されました。 password コマンドを使用して能動的にログイン パスワードを設定する必要があります。 |
telnet コマンドを使用すると、どのホストが Telnet を使用して ASA の CLI にアクセスできるかを指定できます。すべてのインターフェイスで ASA への Telnet をイネーブルにすることができます。ただし、VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet は使用できません。また、BVI インターフェイスが指定されている場合、そのインターフェイスで managenent-access を設定する必要があります。
password コマンドを使用して、コンソールへの Telnet アクセスのパスワードを設定できます。who コマンドを使用して、現在、ASA コンソールにアクセス中の IP アドレスを表示できます。kill コマンドを使用すると、アクティブ Telnet コンソール セッションを終了できます。
aaa authentication telnet console コマンドを使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。
次に、ホスト 192.168.1.3 と 192.168.1.4 に Telnet を介した ASA の CLI へのアクセスを許可する例を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストにアクセス権が付与されています。
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
次に、Telnet コンソール ログイン セッションの例を示します(パスワードは、入力時に表示されません)。
no telnet コマンドを使用して個々のエントリを、また、 clear configure telnet コマンドを使用してすべての telnet コマンド ステートメントを削除できます。
|
|
---|---|
Telnet のアイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで telnet timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。
Telnet セッションがアイドルになってから、ASA がセッションを閉じるまでの分数。有効な値は、1 ~ 1440 分です。デフォルトは 5 分です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
telnet timeout コマンドを使用して、コンソール Telnet セッションが、ASA によってログオフされるまでアイドル状態を継続できる最長時間を設定できます。
|
|
---|---|
CLI で ? を入力したときに、現在の CLI セッションでヘルプを有効にするには、特権 EXEC モードで terminal interactive コマンドを使用します。CLI ヘルプをディセーブルにするには、この コマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
通常、ASA CLI で ? を入力すると、コマンドのヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、 no terminal interactive コマンドを使用してインタラクティブなヘルプをディセーブルにします。
次に、コンソールを非インタラクティブ モードにして、その後インタラクティブ モードにする例を示します。
|
|
---|---|
Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。 |
|
Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。 |
|
現在の CLI セッションで syslog メッセージの表示を許可するには、特権 EXEC モードで terminal monitor コマンドを使用します。syslog メッセージをディセーブルにするには、このコマンドの no 形式を使用します。
terminal { monitor | no monitor }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、現在のセッションで syslog メッセージを表示する例およびディセーブルにする例を示します。
|
|
---|---|
Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。 |
|
Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。 |
|
Telnet セッションで「---More---」プロンプトが表示されるまでの 1 ページあたりの行数を設定するには、特権
EXEC モードで terminal pager コマンドを使用します。
「---More---」プロンプトが表示されるまでの |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、現在の Telnet セッションのみを対象に、pager line 設定を変更します。ただし、ユーザ EXEC モードで login コマンドを入力するか、 enable コマンドを入力して特権 EXEC モードを開始する場合にのみ、ASA は running-config から現在のセッションで pager 値を再開します。これは設計どおりです。
(注) ASA がユーザ プロンプトを再表示する前に、予期しない「--- More---」プロンプトが表示されます。これによって、banner exec コマンドの出力が抑制されることがあります。代わりに、banner motd コマンドまたは banner login コマンドを使用します。
新しいデフォルトの pager 設定をコンフィギュレーションに保存するには、次の手順を実行します。
1. login コマンドを入力してユーザ EXEC モードにアクセスするか、 enable コマンドを入力して特権 EXEC モードにアクセスします。
管理コンテキストに Telnet 接続する場合、ある特定のコンテキスト内の pager コマンドに異なる設定があっても、他のコンテキストに移ったときには、pager line 設定はユーザのセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。
|
|
---|---|
Telnet セッションで「---More---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。 |
|
コンソール セッションで情報を表示する幅を設定するには、グローバル コンフィギュレーション モードで terminal width コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
ASA が特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには、特権 EXEC モードで test aaa-server コマンドを使用します。ASA 上の不正なコンフィギュレーションが原因で AAA サーバに到達できない場合があります。また、限定されたネットワーク コンフィギュレーションやサーバのダウンタイムなどの他の理由で AAA サーバに到達できないこともあります。
test aaa-server { authentication server_tag [ host ip_address ] [ username username ] [ password password ] | authorization server_tag [ host ip_address ] [ username username ][ ad-agent ]}
AAA サーバの設定をテストするために使用するアカウントのユーザ名を指定します。ユーザ名が AAA サーバに存在することを確認してください。存在しないと、テストは失敗します。コマンドでユーザ名を指定しないと、入力を求めるプロンプトが表示されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
test aaa-server コマンドでは、ASA が特定の AAA サーバを使用してユーザを認証できることと、ユーザを認可できる場合は、レガシー VPN 認可機能を確認できます。このコマンドを使用すると、認証または認可を試みる実際のユーザを持たない AAA サーバをテストできます。また、AAA 障害の原因が、AAA サーバ パラメータの設定ミス、AAA サーバへの接続問題、または ASA 上のその他のコンフィギュレーション エラーのいずれによるものかを特定するうえで役立ちます。
次に、ホスト 192.168.3.4 に srvgrp1 という RADIUS AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、さらに認証ポートを 1650 に設定する例を示します。AAA サーバ パラメータのセットアップの後の test aaa-server コマンドによって、認証テストがサーバに到達できなかったことが示されます。
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)#
authentication-port 1650
ciscoasa(config-aaa-server-host)#
exit
ciscoasa(config)#
test aaa-server authentication svrgrp1
Server IP Address or name:
192.168.3.4
Username:
bogus
Password:
mypassword
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
次に、正常な結果となった test aaa-server コマンドの出力例を示します。
|
|
---|---|
設定後に Active Directory エージェントのコンフィギュレーションをテストするには、AAA サーバ グループ コンフィギュレーション モードで test aaa-server ad-agent コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
アイデンティティ ファイアウォールに対して Active Directory エージェントを設定するには、 aaa-server コマンドのサブモードである ad-agent-mode コマンドを入力します。 ad-agent-mode コマンドを入力すると、AAA サーバ グループ コンフィギュレーション モードが開始します。
Active Directory エージェントの設定後、 test aaa-server ad-agent コマンドを入力して、ASA に Active Directory エージェントへの機能接続があることを確認します。
AD エージェントは、定期的に、または要求に応じて、WMI を介して Active Directory サーバのセキュリティ イベント ログ ファイルをモニタし、ユーザのログインおよびログオフ イベントを調べます。AD エージェントは、ユーザ ID および IP アドレス マッピングのキャッシュを保持し、ASA に変更を通知します。
AD エージェント サーバ グループのプライマリ AD エージェントとセカンダリ AD エージェントを設定します。プライマリ AD エージェントが応答していないことを ASA が検出し、セカンダリ AD エージェントが指定されている場合、ASA はセカンダリ AD エージェントに切り替えます。AD エージェントの Active Directory サーバは、通信プロトコルとして RADIUS を使用します。そのため、ASA と AD エージェントとの共有秘密のキー属性を指定する必要があります。
次に、アイデンティティ ファイアウォールに対して Active Directory エージェントを設定する際に ad-agent-mode をイネーブルにし、接続をテストする例を示します。
|
|
AAA サーバ グループを作成し、グループ固有の AAA サーバ パラメータとすべてのグループ ホストに共通の AAA サーバ パラメータを設定します。 |
|
dap 属性モードを開始するには、特権 EXEC モードで、 test dynamic-access-policy attributes コマンドを入力します。これにより、ユーザ属性とエンドポイント属性の値ペアを指定できます。
dynamic-access-policy attributes
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
通常、ASA は AAA サーバからユーザ認可属性を取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント属性を取得します。test コマンドの場合、ユーザ認可属性とエンドポイント属性をこの属性モードで指定します。ASA は、これらの属性を、DAP サブシステムが DAP レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに参照する属性データベースに書き込みます。
ciscoasa #
test dynamic-access-policy attributes
ciscoasa(config-dap-test-attr)#
|
|
---|---|
すでに設定されている DAP レコードをテストするには、特権 EXEC モードで test dynamic-access-policy execute を使用します。
test dynamic-access-policy execute
デバイスの DAP サブシステムは、各レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに、これらの値を参照します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドでは、認可属性値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。
正規表現をテストするには、特権 EXEC モードで test regex コマンドを使用します。
test regex input_text regular_expression
最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては、 regex コマンドを参照してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
test regex コマンドは、正規表現が一致すべきものと一致するかどうかをテストします。
正規表現が入力テキストと一致する場合は、次のメッセージが表示されます。
正規表現が入力テキストと一致しない場合は、次のメッセージが表示されます。
次に、正規表現に対して入力テキストをテストする例を示します。
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、バージョン 9.5(1) でした。
テスト用の認証要求で SSO サーバをテストするには、特権 EXEC モードで test sso-server コマンドを使用します。
test sso-server server-name username user-name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 test sso-server コマンドは、SSO サーバが認識されるかどうか、さらに、認証要求に応答しているかどうかをテストします。
server-name 引数で指定された SSO サーバが見つからない場合は、次のエラーが表示されます。
ERROR: sso-server
server-name does not exist
SSO サーバが見つかったが、 user-name 引数で指定されたユーザが見つからない場合は、認証は拒否されます。
認証では、ASA は SSO サーバへの WebVPN ユーザのプロキシとして動作します。ASA は現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。このコマンドは SSO サーバの両タイプに適用されます。
次に、特権 EXEC モードを開始し、ユーザ名 Anyuser を使用して SSO サーバ my-sso-server をテストし、正常な結果を得た例を示します。
次に、同じサーバだが、ユーザ Anotheruser でテストし、認識されず、認証が失敗した例を示します。
|
|
---|---|
ログイン ページ、ホームページ、およびファイル アクセス ページの WebVPN タイトルバーのテキストに色を設定するには、webvpn モードで text-color コマンドを使用します。テキストの色をコンフィギュレーションから削除して、デフォルトにリセットするには、このコマンドの no 形式を使用します。
text-color [ black | white | auto ]
secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番めの色が黒の場合、この値は白となります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、タイトルバーのテキストの色を黒に設定する例を示します。
ciscoasa(config)#
webvpn
|
|
---|---|
TFTP のブロックサイズ値を設定するには、グローバル コンフィギュレーション モードで tftp blocksize コマンドを使用します。ブロックサイズの設定を削除するには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。
設定するブロックサイズの値を指定します。この値は、513 ~ 8192 オクテットの範囲で指定できます。ブロックサイズの新しいデフォルト設定は、1456 オクテットです。 |
新しいデフォルト値は 1456 オクテットです。サーバがこのネゴシエーションをサポートしていない場合、古いデフォルト値(512 オクテットサイズ)が優先されます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
tftp blocksize コマンドを使用すると、より大きなブロックサイズを設定して tftp ファイルの転送速度を向上させることができます。この設定可能なブロックサイズ値オプションは、tftp の読み取りおよび書き込みリクエストに追加され、確認のために tftp サーバに送信されます。オプションの確認応答(OACK)を受信すると、設定したブロックサイズ値でファイル転送が開始されます。新しいデフォルトのブロックサイズは 1456 オクテットです。このコマンドの no 形式を指定すると、ブロックサイズが古いデフォルト値(512 オクテット)にリセットされます。
show running-configuration コマンドによって、設定したブロックサイズ値(デフォルト値を除く)が表示されます。
次に、TFTP ブロックサイズ値を指定する方法の例を示します。
|
|
---|---|
configure net コマンドまたは write net コマンドで使用するデフォルトの TFTP サーバとパスおよびファイル名を指定するには、グローバル コンフィギュレーション モードで tftp-server コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。
tftp-server interface_name server filename
no tftp-server [ interface_name server filename ]
ゲートウェイ インターフェイス名を指定します。最高のセキュリティ インターフェイス以外のインターフェイスを指定した場合は、そのインターフェイスがセキュアではないことを示す警告メッセージが表示されます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が容易になります。 configure net コマンドまたは write net コマンドを入力するときに、 tftp-server コマンドで指定した TFTP サーバを継承するか、または独自の値を指定できます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。
次に、TFTP サーバを指定し、その後、/temp/config/test_config ディレクトリからコンフィギュレーションを読み込む例を示します。
|
|
---|---|
クラスタ内の TFTP サーバを指定するには、電話プロキシ コンフィギュレーション モードで tftp-server address コマンドを使用します。電話プロキシ コンフィギュレーションから TFTP サーバを削除するには、このコマンドの no 形式を使用します。
tftp-server address ip_address [ port ] interface interface
no tftp-server address ip_address [ port ] interface interface
(任意)これは、TFTP サーバが TFTP 要求をリッスンするポートです。デフォルトの TFTP ポート 69 でない場合に、設定する必要があります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
電話プロキシには、少なくとも 1 つの CUCM TFTP サーバを設定する必要があります。電話プロキシに対して TFTP サーバを 5 つまで設定できます。
TFTP サーバは、信頼ネットワーク上のファイアウォールの背後に存在すると想定されます。そのため、電話プロキシは IP 電話と TFTP サーバの間の要求を代行受信します。TFTP サーバは、CUCM と同じインターフェイス上に存在している必要があります。
内部 IP アドレスを使用して TFTP サーバを作成し、TFTP サーバが存在するインターフェイスを指定します。
IP 電話で、TFTP サーバの IP アドレスを次のように設定する必要があります。
サービス ポリシーがグローバルに適用されている場合は、TFTP サーバが存在するインターフェイスを除くすべての入力インターフェイスで、TFTP トラフィックを転送し TFTP サーバに到達させるための分類ルールが作成されます。サービス ポリシーが特定のインターフェイスに適用されている場合は、指定された電話プロキシ モジュールへのインターフェイスで、TFTP トラフィックを転送し TFTP サーバに到達させるための分類ルールが作成されます。
NAT ルールを TFTP サーバに設定する場合は、分類ルールのインストール時に TFTP サーバのグローバル アドレスが使用されるように、サービス ポリシーを適用する前に、NAT ルールを設定する必要があります。
次に、 tftp-server address コマンドを使用して、電話プロキシに対応する 2 つの TFTP サーバを設定する例を示します。
ciscoasa(config)# phone-proxy asa_phone_proxy
ciscoasa(config-phone-proxy)#
tftp-server address 192.168.1.2 in interface outside
ciscoasa(config-phone-proxy)#
tftp-server address 192.168.1.3 in interface outside
ciscoasa(config-phone-proxy)#
media-termination address 192.168.1.4 interface inside
ciscoasa(config-phone-proxy)#
media-termination address 192.168.1.25 interface outside
ciscoasa(config-phone-proxy)#
tls-proxy asa_tlsp
ciscoasa(config-phone-proxy)#
ctl-file asactl
ciscoasa(config-phone-proxy)#
cluster-mode nonsecure
|
|
---|---|
基本的な脅威の検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection basic-threat コマンドを使用します。基本的な脅威の検出をディセーブルにするには、このコマンドの no 形式を使用します。
no threat-detection basic-threat
基本脅威検出は、デフォルトでイネーブルになっています。次のデフォルトのレート制限が使用されます。
|
|
|
---|---|---|
|
|
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
基本的な脅威の検出をイネーブルにすると、ASA は、次の理由によるドロップ パケットとセキュリティ イベントのレートをモニタします。
ASA は、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。
基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。
「デフォルト」の項の 表 1-1 に、デフォルト設定を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。 threat-detection rate コマンドを使用して、各イベント タイプのデフォルト設定を上書きできます。
イベント レートが超過すると、ASA はシステム メッセージを送信します。ASA は、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。バースト イベント レートは、平均レート間隔の 1/30 または 10 秒のうち、どちらか大きいほうです。受信するイベントごとに、ASA は平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、ASA はバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。
次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。
|
|
---|---|
threat-detection basic-threat コマンドを使用して基本的な脅威の検出をイネーブルにする場合は、グローバル コンフィギュレーション モードで threat-detection rate コマンドを使用して、各イベント タイプのデフォルトのレート制限を変更できます。 threat-detection scanning-threat コマンドを使用してスキャンによる脅威の検出をイネーブルにする場合は、このコマンドに scanning-threat キーワードを指定して、ホストを攻撃者またはターゲットと見なすタイミングを設定できます。設定しない場合は、基本的な脅威の検出とスキャンによる脅威の検出の両方で、デフォルトの scanning-threat 値が使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate
no threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate
threat-detection basic-threat コマンドを使用して基本的な脅威の検出をイネーブルにした場合は、次のデフォルトのレート制限が使用されます。
|
|
|
---|---|---|
|
|
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
イベント タイプごとに、異なるレート間隔を 3 つまで設定できます。
基本的な脅威の検出をイネーブルにした場合、ASA は、「構文の説明」の表で説明したイベント タイプによるドロップ パケットとセキュリティ イベントのレートをモニタします。
ASA は、脅威を検出するとすぐにシステム ログ メッセージ(733100)を送信し、ASDM に警告します。
基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。
「デフォルト」の項の 表 1-1 に、デフォルト設定を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。
イベント レートが超過すると、ASA はシステム メッセージを送信します。ASA は、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。受信するイベントごとに、ASA は平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、ASA はバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。
次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガーを変更しています。
|
|
---|---|
スキャンによる脅威の検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection scanning-threat コマンドを使用します。スキャンによる脅威の検出をディセーブルにするには、このコマンドの no 形式を使用します。
threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]
no threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]
スキャン攻撃イベントでは、次のデフォルトのレート制限が使用されます。
|
|
---|---|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、ASA のスキャンによる脅威の検出機能では、広範なデータベースが保持され、これに含まれるホスト統計情報をスキャン アクティビティに関する分析に使用できます。
ホスト データベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP 動作(非ランダム IPID など)、およびその他の多くの動作が含まれます。
攻撃者に関するシステム ログ メッセージを送信するように ASA を設定したり、自動的にホストを排除したりできます。デフォルトでは、ホストが攻撃者として識別されると、システム ログ メッセージ 730101 が生成されます。
ASA は、スキャンによる脅威イベント レートを超過した時点で、攻撃者とターゲットを識別します。ASA は、一定間隔における平均イベント レートと短期バースト間隔におけるバースト イベント レートの 2 種類のレートを追跡します。スキャン攻撃の一部と見なされるイベントが検出されるたびに、ASA は平均レート制限とバースト レート制限をチェックします。ホストから送信されるトラフィックがどちらかのレートを超えると、そのホストは攻撃者と見なされます。ホストが受信したトラフィックがどちらかのレートを超えると、そのホストはターゲットと見なされます。スキャンによる脅威イベントのレート制限は threat-detection rate scanning-threat コマンドを使用して変更できます。
攻撃者またはターゲットとして分類されたホストを表示するには、 show threat-detection scanning-threat コマンドを使用します。
回避対象のホストを表示するには、 show threat-detection shun コマンドを使用します。排除対象からホストを除外するには、 clear threat-detection shun コマンドを使用します。
次に、スキャンによる脅威の検出をイネーブルにし、10.1.1.0 ネットワーク上のホストを除き、攻撃者として分類されたホストを自動的に回避する例を示します。スキャンによる脅威の検出のデフォルトのレート制限は変更することもできます。
|
|
---|---|
高度な脅威の検出の統計情報をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection statistics コマンドを使用します。高度なスキャン脅威検出の統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
threat-detection statistics [ access-list | [ host | port | protocol [ number-of-rate { 1 | 2 | 3 }] | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]
no threat-detection statistics [ access-list | host | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]
デフォルトでは、アクセス リスト統計情報はイネーブルです。このコマンドにオプションを指定しなかった場合は、すべてのオプションがイネーブルになります。
デフォルトの tcp-intercept rate-interval は 30 分です。デフォルトの burst-rate は 1 秒あたり 400 です。デフォルトの average-rate は 1 秒あたり 200 です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
number-of-rates キーワードがホスト統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。 |
|
number-of-rates キーワードがポートとプロトコルの統計情報用に追加され、レート数のデフォルト値が 3 から 1 に変更されました。 |
このコマンドにオプションを指定しなかった場合は、すべての統計情報がイネーブルになります。特定の統計情報のみをイネーブルにするには、統計情報のタイプごとにこのコマンドを入力します。オプションを指定せずにコマンドを入力しないでください。 threat-detection statistics を(何もオプションを指定しないで)入力した後、統計情報固有のオプション(たとえば threat-detection statistics host number-of-rate 2 )を指定してコマンドを入力することで、特定の統計情報をカスタマイズできます。 threat-detection statistics を(何もオプションを指定しないで)入力した後、特定の統計情報のコマンドを、統計情報固有のオプションを指定しないで入力した場合は、すでにイネーブルになっているので、そのコマンドによる効果は何もありません。
このコマンドの no 形式を入力すると、すべての threat-detection statistics コマンドが削除されます。これには、デフォルトでイネーブルになる threat-detection statistics access-list コマンドも含まれます。
統計情報を表示するには、 show threat-detection statistics コマンドを使用します。
threat-detection scanning-threat コマンドを使用して、スキャンによる脅威の検出をイネーブルにする必要はありません。検出と統計情報は個別に設定できます。
次に、ホストを除くすべてのタイプのスキャンによる脅威の検出とスキャン脅威統計情報の例を示します。
|
|
---|---|
SLA モニタリング動作のしきい値超過イベントのしきい値を設定するには、SLA モニタ コンフィギュレーション モードで threshold コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
宣言する上昇しきい値をミリ秒で指定します。有効な値は、0 ~ 2147483647 です。この値は、タイムアウトに設定された値以下にする必要があります。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
しきい値は、しきい値超過イベントを示すためにだけ使用されます。到達可能性には影響しませんが、 timeout コマンドの適切な設定を評価するために使用できます。
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
|
|
---|---|
スマート ライセンス権限付与要求のスループット レベルを設定するには、ライセンス スマート コンフィギュレーション モードで throughput level コマンドを使用します。スループット レベルを削除し、デバイスのライセンスを登録解除するには、このコマンドの no 形式を使用します。
throughput level {100M | 1G | 2G}
no throughput level [100M | 1G | 2G]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
スループット レベルを要求または変更する場合、変更を反映させるには、ライセンス スマート コンフィギュレーション モードを終了する必要があります。
次に、機能階層を標準に設定し、スループット レベルを 2G に設定する例を示します。
|
|
---|---|
Smart Call Home を設定します。スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。 |
|
Cisco Intercompany Media Engine プロキシ用にチケット エポックとパスワードを設定するには、UC-IME コンフィギュレーション モードで ticket コマンドを使用します。プロキシからコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
ticket epoch n password password
no ticket epoch n password password
Cisco Intercompany Media Engine チケットのパスワードを設定します。US-ASCII 文字セットから印刷可能な文字を 10 文字以上 64 文字以下で、入力します。使用可能な文字は 0x21 ~ 0x73 であり、空白文字は除外されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Cisco Intercompany Media Engine のチケットのエポックとパスワードを設定します。
このエポックには、パスワードが変更されるたびに更新される整数が保管されます。プロキシを初めて設定し、パスワードを初めて入力したとき、エポックの整数として 1 を入力します。このパスワードを変更するたびに、エポックを増やして新しいパスワードを示します。パスワードを変更するたびに、エポックの値を増やす必要があります。
通常、エポックは連続的に増やします。しかし、ASA では、エポックを更新するときに任意の値を選択できます。
エポック値を変更すると、現在のパスワードは無効になり、新しいパスワードを入力する必要があります。
20 文字以上のパスワードを推奨します。パスワードは一度に 1 つしか設定できません。
チケット パスワードはフラッシュ上に保存されます。 show running-config uc-ime コマンドの出力には、パスワードの文字列ではなく、***** が表示されます。
(注) ASA 上で設定するエポックおよびパスワードは、Cisco Intercompany Media Engine サーバ上で設定されたエポックおよびパスワードと一致する必要があります。詳細については、Cisco Intercompany Media Engine サーバのマニュアルを参照してください。
次の例は、Cisco Intercompany Media Engine プロキシでチケットとエポックを設定する方法を示します。
ciscoasa(config)# uc-ime local_uc-ime_proxy
|
|
ASA が AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。タイムアウト値を削除し、タイムアウトをデフォルト値の 10 秒にリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドはすべての AAA サーバ プロトコル タイプで有効です。
retry-interval コマンドを使用して、ASA が各接続試行の間で待機する時間を指定できます。これらの間隔は全体的なタイムアウト内で発生するため、再試行間隔を長くすると、システムが全体的なタイムアウト内で行う再試行回数を減らすことができます。実際には、再試行間隔はタイムアウト間隔よりも短くする必要があります。
AAA トランザクションが最大何回連続で失敗したら障害が発生したサーバを非アクティブ化するかを指定するには max-failed-attempts コマンドを使用します。AAA トランザクションは、最初の要求と一連の再試行からなるシーケンスです。RADIUS プロトコルの場合、最初の要求とすべての再試行で、RADIUS プロトコル ヘッダーに同じ RADIUS パケット ID が設定されています。
次に、ホスト 10.2.3.4 の RADIUS AAA サーバ「svrgrp1」が 30 秒のタイムアウト値と 10 秒の再試行間隔を使用するように設定する例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 10.2.3.4
ciscoasa(config-aaa-server-host)# timeout 30
ciscoasa(config-aaa-server-host)# retry-interval 10
ciscoasa(config-aaa-server-host)#
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
次の DNS サーバを試行するまでの待機時間の合計を指定するには、DNS サーバグループ コンフィギュレーション モードで timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。
タイムアウトを 1 ~ 30 の範囲で指定します(秒単位)。デフォルト値は 2 秒です。ASA がサーバのリストを再試行するたびに、このタイムアウトは倍増します。dns サーバ グループ コンフィギュレーション モードで retries コマンドを使用して、再試行回数を設定できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、DNS サーバ グループ「dnsgroup1」のタイムアウトを 1 秒に設定する例を示します。
|
|
---|---|
ユーザが作成した DNS サーバ グループをすべて削除し、デフォルト サーバ グループの属性をデフォルト値にリセットします。 |
|
さまざまな機能に対応するグローバルな最大アイドル時間を設定するには、グローバル コンフィギュレーション モードで timeout コマンドを使用します。すべてのタイムアウトをデフォルトに戻すには、このコマンドの no 形式を使用します。単一の機能をデフォルトにリセットするには、 timeout コマンドにデフォルト値を指定して再度入力します。
timeout { conn | conn-holddown | floating-conn | h225 | h323 | half-closed | icmp | icmp-error | igp stale-route | mgcp | mgcp-pat | pat-xlate | sctp | sip | sip-disconnect | sip-invite | sip_media | sip-provisional-media | sunrpc | tcp-proxy-reassembly | udp | xlate } hh : mm : ss
timeout uauth hh : mm : ss [ absolute | inactivity ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
timeout コマンドを使用すると、グローバルにタイムアウトを設定できます。一部の機能では、コマンドで指定されたトラフィックに対し、 set connection timeout コマンドが優先されます。
timeout コマンドの後に、キーワードと値を複数入力できます。
接続タイマー( conn )は変換タイマー( xlate )より優先されます。変換タイマーは、すべての接続がタイムアウトになった後にのみ動作します。
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
|
|
---|---|
GTP セッションの非アクティブ状態タイマーを変更するには、パラメータ コンフィギュレーション モードで timeout コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect gtp コマンドを入力します。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
timeout { endpoint | gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss
no timeout { endpoint | gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss
指定したサービスのアイドル タイムアウト(時間:分:秒の形式)。タイムアウトを設定しない場合は、番号に 0 を指定します。 |
|
GTP セッションの PDP コンテキストを削除するまでの非アクティブ時間の最大値。GTPv2 では、これはベアラー コンテキストです。 |
|
endpoint 、 gsn 、 pdp-context 、および signaling のデフォルトは 30 分です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、要求キューのタイムアウト値を 2 分に設定する例を示します。
|
|
---|---|
M3UA セッションの非アクティブ状態タイマーを変更するには、パラメータ コンフィギュレーション モードで timeout コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect m3ua コマンドを入力します。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
timeout { endpoint | session} hh : mm : ss
no timeout { endpoint | session} hh : mm : ss
指定したサービスのアイドル タイムアウト(時間:分:秒の形式)。タイムアウトを設定しない場合は、番号に 0 を指定します。 |
|
厳密な ASP 状態の確認を有効にしている場合の、M3UA セッションを削除するためのアイドル タイムアウト(hh:mm:ss の形式)。デフォルトは 30 分(0:30:00)です。このタイムアウトを無効にすると、失効したセッションの削除を防止できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、45 分のエンドポイントのタイムアウトを設定します。
|
|
---|---|
RADIUS アカウンティング ユーザの非アクティブ状態タイマーを変更するには、パラメータ コンフィギュレーション モードで timeout コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect radius-accounting コマンドを入力します。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。
これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。デフォルトは 1 時間です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ユーザのタイムアウト値を 10 分に設定する例を示します。
|
|
---|---|
SLA 動作が要求パケットへの応答を待機する時間を設定するには、type echo コンフィギュレーション モードで timeout コマンドを使用します。type echo コンフィギュレーション モードにアクセスするには、まず sla monitor コマンドを入力します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
frequency コマンドを使用して、SLA 動作が要求パケットを送信する頻度を設定し、 timeout コマンドを使用して、SLA 動作がそれらの要求への応答の受信を待機する時間を設定できます。 timeout コマンドには、 frequency コマンドに指定する値より大きい値は指定できません。
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
|
|
---|---|
SAML タイムアウトを設定するには、webvpn コンフィギュレーション モードで timeout assertion コマンドを使用します。
timeout assertion number of seconds
デフォルトは、なしです。アサーションの NotBefore と NotOnOrAfter によって有効期間が決定されることを意味します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
指定した場合、NotBefore と timeout-in-seconds の合計が NotOnOrAfter よりも早い場合は、この設定が NotOnOrAfter に優先します。指定しない場合は、セッションの NotBefore と NotOnOrAfter が有効期間の確認に使用されます。config-webvpn-saml-idp でタイムアウト値を入力する場合、アサーションと秒数の両方が必要です。
次に、クライアントレス VPN ベースの URL、SAML 要求署名、および SAML アサーション タイムアウトの設定例を示します。
サーバからの応答がない場合に、クライアントから Umbrella サーバへの接続を削除するまでのアイドル タイムアウトを設定するには、Umbrella コンフィギュレーション モードで timeout edns コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
クライアントから Umbrella サーバへの接続のアイドル タイムアウト(時間:分:秒の形式)、0:0:0 ~ 1193:0:0。デフォルトは 0:02:00(2 分)です。タイムアウトを設定しない場合は、番号に 0 を指定します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、クライアントから Umbrella サーバへの接続に、1 分間のアイドル タイムアウトを設定します。
|
|
---|---|
DCERPC ピンホールのタイムアウトを設定し、2 分のグローバル システム ピンホール タイムアウトを上書きするには、パラメータ コンフィギュレーション モードで timeout pinhole コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、DCERPC インスペクション ポリシー マップでピンホール接続のピンホール タイムアウトを設定する例を示します。
|
|
---|---|
電話プロキシ データベースからセキュア フォン エントリを削除するまでのアイドル タイムアウトを設定するには、電話プロキシ コンフィギュレーション モードで timeout secure-phones コマンドを使用します。タイムアウト値をデフォルトの 5 分に戻すには、このコマンドの no 形式を使用します。
timeout secure-phones hh:mm:ss
no timeout secure-phones hh:mm:ss
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
セキュア フォンによって起動時に必ず CTL ファイルが要求されるため、電話プロキシは、電話をセキュアとしてマークするデータベースを作成します。セキュア フォン データベースのエントリは、設定された指定タイムアウト後に( timeout secure-phones コマンドを介して)削除されます。エントリのタイムスタンプは、電話プロキシが SIP 電話の登録更新および SCCP 電話のキープアライブを受信するたびに更新されます。
timeout secure-phones コマンドのデフォルト値は 5 分です。SCCP キープアライブおよび SIP レジスタ更新の最大タイムアウト値より大きい値を指定します。たとえば、SCCP キープアライブが 1 分間隔に指定され、SIP レジスタ更新が 3 分に設定されている場合は、このタイムアウト値には 3 分より大きい値を設定します。
次に、 timeout secure-phones コマンドを使用して、電話プロキシが 3 分後にセキュア フォン データベースのエントリをタイムアウトにするように設定する例を示します。
ciscoasa(config)# phone-proxy asa_phone_proxy
ciscoasa(config-phone-proxy)#
tftp-server address 192.168.1.2 in interface outside
ciscoasa(config-phone-proxy)#
tftp-server address 192.168.1.3 in interface outside
ciscoasa(config-phone-proxy)#
media-termination address 192.168.1.4
ciscoasa(config-phone-proxy)#
tls-proxy asa_tlsp
ciscoasa(config-phone-proxy)#
ctl-file asactl
|
|
---|---|
時間範囲コンフィギュレーション モードを開始し、トラフィック ルールにアタッチできる時間範囲、またはアクションを定義するには、グローバル コンフィギュレーション モードで time-range コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
時間範囲を作成してもデバイスへのアクセスは制限されません。 time-range コマンドは時間範囲のみを定義します。時間範囲を定義した後、それをトラフィック ルールまたはアクションにアタッチできます。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。
次に、時間範囲「New_York_Minute」を作成し、時間範囲コンフィギュレーション モードを開始する例を示します。
時間範囲を作成し、時間範囲コンフィギュレーション モードを開始した後、 absolute コマンドと periodic コマンドを使用して時間範囲パラメータを定義できます。 time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻すには、時間範囲コンフィギュレーション モードで default コマンドを使用します。
時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。その後、 access-list extended コマンドを使用して、時間範囲を ACL にバインドします。次に、ACL「Sales」を時間範囲「New_York_Minute」にバインドする例を示します。
|
|
---|---|
time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に戻します。 |
|
nsf 待機タイマーを調整するには、ルータ OSPF コンフィギュレーション モードで timers nsf wait コマンドを使用します。OSPF のタイミングをデフォルトにリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPF ルータでは、すべてのネイバーがパケットに含まれているかが不明な場合は、Hello パケットにアタッチされている EO-TLV に RS ビットを設定することが予期されます。ただし、隣接関係(アジャセンシー)を維持するにはルータの再起動が必要です。RS ビット値は RouterDeadInterval 秒より長くすることはできません。Hello パケットの RS ビットを RouterDeadInterval 秒未満に設定するには、 timer nsf wait コマンドを使用します。
BGP ネットワーク タイマーを調整するには、ルータ BGP コンフィギュレーション モードで timers bgp コマンドを使用します。BGP のタイミングをデフォルトにリセットするには、このコマンドの no 形式を使用します。
timers bgp keepalive holdtime [min-holdtime]
no timers bgp keepalive holdtime [min-holdtime]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
holdtime 引数を 20 秒未満の値の値に設定すると、次の警告が表示されます。「A hold time of less than 20 seconds increases the chances of peer flapping」
最小許容ホールド タイム間隔が、指定されたホールド タイムを超過する場合は、「Minimum acceptable hold time should be less than or equal to the configured hold time」という通知が表示されます。
(注) BGP ルータに最小許容ホールド タイムが設定されている場合、リモート BGP ピア セッションは、リモート ピアが最小許容ホールド タイム間隔以上のホールド タイムをアドバタイズする場合にのみ確立されます。最小許容ホールド タイム間隔が、設定されたホールド タイムを超過する場合、次回のリモート セッション確立の試行は失敗し、ローカル ルータは「unacceptable hold time」という示す通知を送信します。
次に、キープアライブ タイマーを 70 秒、ホールド タイム タイマーを 130 秒、最小許容ホールド タイム間隔を 100 秒に変更する例を示します。
ASA が OSPFv3 ネイバーから同じ LSA を受信する最小間隔を設定するには、IPv6 ルータ コンフィギュレーション モードで timers lsa arrival コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers lsa arrival milliseconds
no timers lsa arrival milliseconds
ネイバー間で着信する同じ LSA を受信する間に経過する必要がある最小遅延を指定します(ミリ秒単位)。有効値の範囲は 0 ~ 600,000 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、同じ LSA を受信する最小間隔を 2000 ミリ秒に設定する例を示します。
|
|
---|---|
OSPF リンク ステート アドバタイズメント(LSA)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を指定するには、ルータ コンフィギュレーション モードで timers lsa-group-pacing コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers lsa-group-pacing seconds
no timers lsa-group-pacing [ seconds ]
OSPF リンク ステート アドバタイズメント(LSA)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔。有効な値は、10 ~ 1800 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPF リンク ステート アドバタイズメント(LSA)を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を変更するには timers lsa-group-pacing seconds コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing コマンドを使用します。
次に、LSA のグループ処理間隔を 500 秒に設定する例を示します。
|
|
---|---|
LSA フラッド パケット ペーシングを設定するには、IPv6 ルータ コンフィギュレーション モードで timers pacing flood コマンドを使用します。デフォルトのフラッド パケット ペーシング値に戻すには、このコマンドの no 形式を使用します。
timers pacing flood milliseconds
no timers pacing flood milliseconds
フラッディング キュー内の LSA がアップデート間にペーシング処理される時間を指定します(ミリ秒単位)。設定できる範囲は 5 ~ 100 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、OSPFv3 に対して LSA フラッド パケット ペーシング更新が 20 ミリ秒間隔で発生する設定を示しています。
|
|
---|---|
LSA フラッド パケット ペーシングを設定するには、IPv6 ルータ コンフィギュレーション モードで timers pacing flood コマンドを使用します。デフォルトのフラッド パケット ペーシング値に戻すには、このコマンドの no 形式を使用します。
timers pacing flood milliseconds
no timers pacing flood milliseconds
フラッディング キュー内の LSA がアップデート間にペーシング処理される時間を指定します(ミリ秒単位)。設定できる範囲は 5 ~ 100 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、OSPFv3 に対して LSA フラッド パケット ペーシング更新が 20 ミリ秒間隔で発生する設定を示しています。
|
|
---|---|
OSPFv3 LSA を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を指定するには、IPv6 ルータ コンフィギュレーション モードで timers pacing lsa-group コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers pacing lsa-group seconds
no timers pacing lsa-group [ seconds ]
LSA を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を指定します(秒単位)。有効な値は、10 ~ 1800 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用して、OSPFv3 LSA を 1 つのグループに収集し、更新、チェックサム、または期限切れにする間隔を指定します。
次に、OSPFv3 ルーティング プロセス 1 に対して、LSA グループ間の OSPFv3 グループ パケット ペーシング更新が 300 秒間隔で発生するように設定する例を示します。
|
|
---|---|
リンクステート アドバタイズメント(LSA)の再送信パケット ペーシングを設定するには、ルータ コンフィギュレーション モードで timers pacing retransmission コマンドを使用します。デフォルトの再送信パケット ペーシング値に戻すには、このコマンドの no 形式を使用します。
timers pacing retransmission milli seconds
no timers pacing retransmission
再送信キュー内の LSA がペーシング処理される間隔を指定します(ミリ秒単位)。有効な値は、5 ~ 200 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Open Shortest Path First(OSPF)再送信ペーシング タイマーを設定すると、OSPF 伝送キュー内の連続リンクステート アップデート パケット間のパケット間スペースを制御できます。このコマンドを使用すると、LSA 更新が発生するレートを制御できます。したがって、エリアが非常に多くの数の LSA で満たされた場合に発生する可能性のある、CPU またはバッファの高い使用率を低減させることができます。OSPF パケット再送信ペーシング タイマーのデフォルト設定は、大半の OSPF 配備に適しています。
(注) OSPF パケット フラッディングの要件を満たす他のオプションをすべて使用した場合に限り、パケット再送信ペーシング タイマーを変更してください。特に、ネットワーク オペレータは、デフォルトのフラッディング タイマーを変更する前に、集約、スタブ エリアの使用方法、キューの調整、およびバッファの調整を優先して行う必要があります。
さらに、タイマー値を変更するガイドラインはなく、各 OSPF 配備は一意であり、ケースバイケースで考慮する必要があります。ネットワーク オペレータは、デフォルトのパケット再送信ペーシング タイマー値を変更することで生じるリスクを念頭に置く必要があります。
次に、OSPF ルーティング プロセス 1 に対して、LSA フラッド ペーシング更新が 55 ミリ秒間隔で発生するように設定する例を示します。
|
|
---|---|
最短パス優先(SPF)計算遅延とホールド タイムを指定するには、ルータ コンフィギュレーション モードで timers spf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
no timers spf [ delay holdtime ]
OSPF がトポロジ変更を受信してから最短パス優先(SPF)計算を開始するまでの遅延時間を 1 ~ 65535 の範囲(秒単位)で指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPF プロトコルがトポロジ変更を受信してから計算を開始するまでの遅延時間と、2 つの連続する SPF 計算の間のホールド タイムを設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。
次に、SPF 計算遅延を 10 秒に設定し、SPF 計算ホールド タイムを 20 秒に設定する例を示します。
|
|
---|---|
OSPF リンク ステート アドバタイズメント(LSA)を収集し、更新、チェックサム、または期限切れにする間隔を指定します。 |
Open Shortest Path First(OSPF)のリンクステート アドバタイズメント(LSA)の生成または SPF の生成に関するレート制限値を設定するには、ルータ OSPF または IPv6 ルータ OSPF コンフィギュレーション モードで timers throttle コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
timers throttle { lsa | spf } start-interval hold-interval max-interval
no timers throttle { lsa | spf }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
LSA および SPF スロットリングは、ネットワークが不安定になっている間に OSPF の LSA 更新速度を低下し、ミリ秒単位の LSA レート制限を提供することにより、より高速な OSPF コンバージェンスを許可するダイナミック メカニズムを提供します。
LSA スロットリングでは、最小時間または最大時間が最初のオカレンスの値よりも小さい場合、OSPF が自動的に最初のオカレンス値に修正します。同様に、指定された最大遅延が最小遅延よりも小さい場合、OSPF が自動的に最小遅延値に修正します。
SPF スロットリングでは、 hold-interval または max-interval が start-interval よりも小さい場合、OSPF が自動的に start-interval の値に修正します。同様に、 max-interval が hold-interval よりも小さい場合、OSPF が自動的に hold-interval の値に修正します。
次に、OSPFv3 LSA スロットリングをミリ秒単位で設定する例を示します。
次に、LSA スロットリングで、指定された最大遅延値が最小遅延値を下回る場合に発生する自動修正の例を示します。
次に、OSPFv3 SPF スロットリングをミリ秒単位で設定する例を示します。
次に、SPF スロットリングで、指定された最大遅延値が最小遅延値を下回る場合に発生する自動修正の例を示します。
|
|
---|---|
IP オプション インスペクションにおいて、パケット ヘッダー内にタイム スタンプ(TS)オプションが存在する場合のアクションを定義するには、パラメータ コンフィギュレーション モードで timestamp コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
timestamp action {allow | clear}
no timestamp action {allow | clear}
デフォルトでは、IP オプション インスペクションは、タイム スタンプ オプションを含むパケットをドロップします。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。
|
|
---|---|
WebVPN ユーザがセキュリティ アプライアンスに接続したときに表示する WebVPN ページのタイトルをカスタマイズするには、webvpn カスタマイゼーション モードで title コマンドを使用します。
[ no ] title { text | style } value
コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。
実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。 |
デフォルトのタイトル テキストは「WebVPN Service」です。
background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
タイトルを付けない場合は、 value 引数を指定せずに title text コマンドを使用します。
style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。
ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。
(注) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。
次の例では、タイトルがテキスト「Cisco WebVPN Service」でカスタマイズされています。
|
|