Cisco ASA シリーズ コマンドリファレンス、A ～ H コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルト値は [disabled] です。

 

コマンド履歴

 

使用上のガイドライン

次の削除理由を使用して、ピアに対する切断通知をイネーブルにできます。

• IKE_DELETE_RESERVED = 0
  無効なコード。送信しません。
• IKE_DELETE_BY_ERROR = 1
  タイムアウトの伝送エラー、またはキープアライブやその他の IKE パケット ACK に対する応答が予期されるときに発生した障害。デフォルトのテキストは「Connectivity to client lost.」です。
• IKE_DELETE_BY_USER_COMMAND = 2
  SA は、ユーザまたは管理者の手動による介入によって削除されました。デフォルトのテキストは「Manually Disconnected by Administrator.」です。
• IKE_DELETE_BY_EXPIRED_LIFETIME = 3
  SA の期限が切れています。デフォルトのテキストは「Maximum Configured Lifetime Exceeded.」です。
• IKE_DELETE_NO_ERROR = 4
  不明なエラーにより削除されました。
• IKE_DELETE_SERVER_SHUTDOWN = 5
  サーバをシャットダウンしています。
• IKE_DELETE_SERVER_IN_FLAMES = 6
  サーバに重大な問題があります。デフォルトのテキストは「Peer is having heat problems.」です。
• IKE_DELETE_MAX_CONNECT_TIME = 7
  アクティブなトンネルの最大許容時間が経過しました。EXPIRED_LIFETIME とは異なり、この理由は、この 1 つの SA だけでなく、IKE ネゴシエート/制御されたトンネル全体が切断されることを示します。デフォルトのテキストは「Maximum Configured Connection Time Exceeded.」です。
• IKE_DELETE_IDLE_TIMEOUT = 8
  トンネルがアイドル状態のまま最大許容時間が経過しました。そのため、この 1 つの SA だけでなく、IKE ネゴシエートされたトンネル全体が切断されます。デフォルトのテキストは「Maximum Idle Time for Session Exceeded.」です。
• IKE_DELETE_SERVER_REBOOT = 9
  サーバを再起動しています。
• IKE_DELETE_P2_PROPOSAL_MISMATCH = 10
  Phase2 プロポーザルの不一致。
• IKE_DELETE_FIREWALL_MISMATCH = 11
  ファイアウォール パラメータの不一致。
• IKE_DELETE_CERT_EXPIRED = 12
  ユーザ認定が必要です。デフォルトのメッセージは「User or Root Certificate has Expired.」です。
• IKE_DELETE_CLIENT_NOT_ALLOWED = 13
  許可されていないクライアント タイプまたはバージョン。
• IKE_DELETE_FW_SERVER_FAIL = 14
  Zone Integrity サーバに接続できませんでした。
• IKE_DELETE_ACL_ERROR = 15
  AAA からダウンロードされた ACL は挿入できません。デフォルトのメッセージは「ACL parsing error.」です。

例

次の例では、グローバル コンフィギュレーション モードで、ピアに対する切断通知をイネーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの ISAKMP ID は、 crypto isakmp identity auto です。

 

コマンド履歴

例

次の例では、グローバル コンフィギュレーション モードで、接続タイプに応じて、IPsec ピアと通信するためのインターフェイス上で ISAKMP ネゴシエーションをイネーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、NAT トラバーサルはイネーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

NAT（PAT を含む）は、IPsec も使用されている多くのネットワークで使用されていますが、IPsec パケットが NAT デバイスを正常に通過することを妨げる非互換性が数多くあります。NAT トラバーサルを使用すると、ESP パケットが 1 つ以上の NAT デバイスを通過できるようになります。

ASA は、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3（ http://www.ietf.org/html.charters/ipsec-charter.html から入手可能）に記述されているとおりに NAT トラバーサルをサポートしています。また、ダイナミック クリプト マップとスタティック クリプト マップの両方で NAT トラバーサルをサポートしています。

このコマンドは、ASA 上で NAT-T をグローバルにイネーブルにします。クリプト マップ エントリでディセーブルにするには、 crypto map set nat-t-disable コマンドを使用します。

例

次に、グローバル コンフィギュレーション モードで、ISAKMP をイネーブルにし、NAT トラバーサルのキープアライブ間隔を 30 秒に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの ISAKMP ポリシー認証は pre-share です。

 

コマンド履歴

 

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション用のパラメータのセットを定義したものです。

RSA シグニチャを指定する場合は、CA サーバから証明書を取得するように ASA とそのピアを設定する必要があります。事前共有キーを指定する場合は、ASA とそのピアに、事前共有キーを別々に設定する必要があります。

例

次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy authentication コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーで RSA シグネチャの認証方式を使用するように設定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの ISAKMP ポリシー暗号化は、 3des です。

 

コマンド履歴

例

次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy encryption コマンドを使用する例を示します。この例では、プライオリティ番号 25 の IKE ポリシーに使用するアルゴリズムとして 128 ビット キーの AES 暗号化を設定します。

次に、グローバル コンフィギュレーション モードでの入力で、プライオリティ番号 40 の IKE ポリシー内で 3DES アルゴリズムを使用するように設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのグループ ポリシーはグループ 2 です。

 

コマンド履歴

 

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

グループ オプションには、768 ビット（DH グループ 1）、1024 ビット（DH グループ 2）、および 1536 ビット（DH グループ 5）の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。

（注） Cisco VPN Client のバージョン 3.x 以上では、ISAKMP ポリシーで DH グループ 2 を使用する必要があります（DH グループ 1 に設定すると、Cisco VPN Client は接続できません）。

AES は、VPN-3DES のライセンスがある ASA に限りサポートされます。AES では大きなキー サイズが提供されるため、ISAKMP ネゴシエーションでは Diffie-Hellman（DH）グループ 1 やグループ 2 ではなく、グループ 5 を使用する必要があります。グループ 5 を設定するには、crypto isakmp policy priority group 5 コマンドを使用します。

例

次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy group コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーに対し、グループ 2、1024 ビットの Diffie Hellman を使用するように設定しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのハッシュ アルゴリズムは SHA-1（HMAC バリアント）です。

 

コマンド履歴

 

使用上のガイドライン

IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 のダイジェストの方が小さく、SHA-1 よりもやや速いと見なされています。

例

次に、グローバル コンフィギュレーション モードで、 crypto isakmp policy hash コマンドを使用する例を示します。この例では、プライオリティ番号 40 の IKE ポリシーに MD5 ハッシュ アルゴリズムを使用することを指定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 86,400 秒（1 日）です。

 

コマンド履歴

 

使用上のガイドライン

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータについて合意しようとします。次に、各ピアのセキュリティ アソシエーションが、合意されたパラメータを参照します。ピアは、ライフタイムが期限切れになるまで、セキュリティ アソシエーションを保持します。ピアがライフタイムを提示していない場合は、無限のライフタイムを指定できます。セキュリティ アソシエーションは、期限切れになるまで、その後の IKE ネゴシエーションで利用できるため、新しい IPsec セキュリティ アソシエーションを設定するときに時間を節約できます。ピアは、現在のセキュリティ アソシエーションが期限切れになる前に、新しいセキュリティ アソシエーションをネゴシエートします。

ライフタイムを長くするほど、ASA は以後の IPSec セキュリティ アソシエーションをより迅速にセットアップします。暗号化強度は十分なレベルにあるため、キーの再生成間隔を極端に短く（約 2 ～ 3 分ごとに）しなくてもセキュリティは保証されます。デフォルトをそのまま使用することを推奨します。

（注） IKE セキュリティ アソシエーションのライフタイムが無限に設定されている場合、ピアが有限のライフタイムを提示したときは、ピアからネゴシエートされた有限のライフタイムが使用されます。

例

次に、グローバル コンフィギュレーション モードで、プライオリティ番号 40 の IKE ポリシーに IKE セキュリティ アソシエーションのライフタイムを 50,400 秒（14 時間）に設定する例を示します。

次に、グローバル コンフィギュレーション モードでの入力で、IKE セキュリティ アソシエーションのライフタイムを無限に設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、グローバル コンフィギュレーション モードを開始し、すべてのアクティブ セッションが終了するまで待機してからリブートすることを ASA に指示する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの RSA キー ペアのタイプは、 general key です。デフォルトのモジュラス サイズは 2048 です。

 

コマンド履歴

 

使用上のガイドライン

SSL、SSH、および IPsec 接続をサポートするためにキー ペアを生成するには、 crypto key generate コマンドを使用します。生成されたキー ペアは、コマンド構文の一部として指定できるラベルで識別されます。キー ペアを参照しないトラストポイントは、デフォルトの Default-RSA-Key を使用できます。SSH 接続では常にこのキーが使用されます。SSL は独自の証明書やキーをダイナミックに生成するため、証明書やキーがトラストポイントに設定されていない限り、このことは SSL に影響を与えません。

例

次に、ラベル mypubkey を持つ RSA キー ペアを生成する例を示します。

次に、デフォルトのラベルを持つ RSA キー ペアを生成する例を示します。

次に、ECDSA キーを生成する例を示します。RSA キーペアを保存するための十分なスペースがないため警告メッセージが表示されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、グローバル コンフィギュレーション モードで、すべての RSA キー ペアを削除する例を示します。

 

関連コマンド

 

構文の説明

このコマンドにはキーワードまたは引数はありません。

 

デフォルト

デフォルトでは、2048 ビットの RSA キー演算がソフトウェアで実行されます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ASA 5510、ASA 5520、ASA 5540、および ASA 5550 でのみ使用できます。このコマンドは、ASA 5580 では使用できません。

例

次に、2048 ビットの RSA キー演算がハードウェアでイネーブルになっている例を示します。

 

関連コマンド

 

構文の説明

 

構文の説明構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、クリプト マップ セットを任意のアクティブな ASA のインターフェイスに割り当てます。ASA では、あらゆるアクティブ インターフェイスを IPsec の終端にすることができます。インターフェイスで IPSec サービスを提供するには、事前にそのインターフェイスにクリプト マップ セットを割り当てる必要があります。

インターフェイスに割り当てることができるクリプト マップ セットは 1 つだけです。同じマップ名でシーケンス番号が異なるクリプト マップ エントリが複数ある場合、それらのエントリは同じセットの一部であり、そのインターフェイスにすべて適用されます。ASA は、シーケンス番号が最も小さいクリプト マップ エントリを最初に評価します。

インターフェイスに複数の IPv6 アドレスが設定されており、IPv6 環境で LAN-to-LAN VPN トンネルをサポートするように ASA を設定する場合、ipv6-local-address キーワードを使用します。

（注） ASA では、クリプト マップ、ダイナミック マップ、および IPSec 設定を、オンザフライで変更できます。設定を変更する場合、変更によって影響を受ける接続のみが ASA によって停止させられます。たとえば、アクセス リスト内のエントリを削除して、クリプト マップに関連付けられた既存のアクセス リストを変更した場合、関連する接続だけがダウンします。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

すべてのスタティック クリプト マップでは、アクセス リスト、トランスフォーム セット、および IPsec ピアという 3 つの部分を定義する必要があります。これらの 1 つが欠けている場合、そのクリプト マップは不完全であるため、ASA は次のエントリに進みます。ただし、クリプト マップがアクセス リストと一致し、他の 2 つの要件のいずれか、または両方と一致しない場合には、ASA はトラフィックを廃棄します。

すべてのクリプト マップが完全であることを確認するには、show running-config crypto map コマンドを使用します。不完全なクリプト マップを修正するには、クリプト マップを削除し、欠けているエントリを追加してからクリプト マップを再適用します。

例

次に、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップ セットを外部インターフェイスに割り当てる例を示します。トラフィックは、この outside インターフェイスを通過するとき、ASA によって mymap セット内のすべてのクリプト マップ エントリを使用して評価されます。発信トラフィックが、いずれかの mymap クリプト マップ エントリのアクセス リストと一致する場合、ASA はそのクリプト マップ エントリのコンフィギュレーションを使用して、セキュリティ アソシエーションを形成します。

次に、必要最小限のクリプト マップ エントリ コンフィギュレーションの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

クリプト マップ エントリを定義してから、 crypto map interface コマンドを使用して、ダイナミック クリプト マップ セットをインターフェイスに割り当てることができます。

ダイナミック クリプト マップを使用することで、保護の対象となるトラフィックのフィルタリングと分類、そのトラフィックに適用するポリシーの定義という 2 つの機能を利用できます。最初の機能はインターフェイス上のトラフィック フローが対象となり、2 番めの機能はそのトラフィックのために（IKE を通じて）実行されるネゴシエーションが対象となります。

IPsec ダイナミック クリプト マップでは、次のことを指定します。

• 保護するトラフィック
• セキュリティ アソシエーションを確立する IPsec ピア
• 保護対象のトラフィックとともに使用するトランスフォーム セット
• キーおよびセキュリティ アソシエーションの使用方法または管理方法

クリプト マップ セットとは、それぞれ異なるシーケンス番号（ seq-num ）を持つが、マップ名が同じであるクリプト マップ エントリの集合です。したがって、所定のインターフェイスで、あるトラフィックには指定のセキュリティを適用してピアに転送し、その他のトラフィックには別の IPsec セキュリティを適用して同じまたは別のピアに転送できます。これを行うには、マップ名は同じであるが、シーケンス番号がそれぞれ異なる 2 つのクリプト マップ エントリを作成します。

seq-num 引数として割り当てる番号は、任意に決定しないでください。この番号によって、クリプト マップ セット内の複数のクリプト マップ エントリにランクが付けられます。小さいシーケンス番号のクリプト マップ エントリは、大きいシーケンス番号のマップ エントリよりも先に評価されます。つまり、番号の小さいマップ エントリの方がプライオリティが高くなります。

（注） クリプト マップをダイナミック クリプト マップにリンクする場合は、ダイナミック クリプト マップを指定する必要があります。指定すると、crypto dynamic-map コマンドを使用して以前に定義した既存のダイナミック クリプト マップにクリプト マップがリンクされます。クリプト マップ エントリが変換された後に加えた変更は、有効になりません。たとえば、set peer 設定への変更は有効になりません。ただし、ASA は起動中に変更を保存します。ダイナミック クリプト マップをクリプト マップに変換して戻す場合、この変更は有効となり、show running-config crypto map コマンドの出力に表示されます。ASA は、リブートされるまでこれらの設定を維持します。

例

次に、グローバル コンフィギュレーション モードで、mymap というクリプト マップが test というダイナミック クリプト マップを参照するように設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、すべてのスタティッククリプトマップに対して必要です。 crypto dynamic-map コマンドを使用してダイナミック クリプト マップを定義する場合、このコマンドは必須ではありませんが、使用することを強く推奨します。

アクセス リストを定義するには、 access-list コマンドを使用します。アクセス リストのヒット カウントは、トンネルが開始されたときにのみ増加します。トンネルが動作状態になると、パケット単位のフローではヒット カウントは増加しません。トンネルがドロップされてから再開されると、ヒット カウントは増加します。

ASA は、アクセス リストを使用して、IPsec クリプトで保護するトラフィックと保護を必要としないトラフィックとを区別します。また、許可 ACE に一致する発信パケットを保護し、許可 ACE に一致する着信パケットが確実に保護されるようにします。

ASA は、パケットが deny ステートメントと一致すると、クリプト マップ内の残りの ACE を使用したパケットの評価を省略して、順番に次のクリプト マップ内の ACE を使用したパケットの評価を再開します。 ACL のカスケード処理 には、ACL 内の残りの ACE の評価をバイパスする拒否 ACE の使用、およびクリプト マップ セット内の次のクリプト マップに割り当てられた ACL を使用したトラフィックの評価の再開が含まれています。クリプト マップごとに異なる IPsec 設定を関連付けることができるため、拒否 ACE を使用することで、特別なトラフィックを対応するクリプト マップでの以後の評価から除外し、異なるセキュリティを提供する別のクリプト マップ、または異なるセキュリティを必要とする別のクリプト マップの permit 文と特別なトラフィックを照合することができます。

（注） クリプト アクセス リストでは、インターフェイスを通過するトラフィックを許可するかどうかは判別されません。このような判別は、access-group コマンドを使用してインターフェイスに直接適用されるアクセス リストによって行われます。

トランスペアレント モードでは、宛先アドレスは ASA の IP アドレス、管理アドレスである必要があります。トランスペアレント モードでは、ASA へのトンネルだけが許可されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は bidirectional です。

 

コマンド履歴

 

使用上のガイドライン

crypto map set connection-type コマンドは、バックアップ LAN-to-LAN 機能の接続タイプを指定します。接続の一方の側で複数のバックアップ ピアを指定できます。

この機能は、次のプラットフォーム間でのみ使用できます。

• 2 つの Cisco ASA 5500 シリーズ
• Cisco ASA 5500 シリーズと Cisco VPN 3000 コンセントレータ
• Cisco ASA 5500 シリーズと、Cisco PIX セキュリティ アプライアンス ソフトウェア バージョン 7.0 以上を実行しているセキュリティ アプライアンス

バックアップ LAN-to-LAN 接続を設定するには、接続の一方の側を originate-only キーワードを使用して originate-only として設定し、複数のバックアップ ピアがある側を answer-only キーワードを使用して answer-only として設定することを推奨します。originate-only 側では、 crypto map set peer コマンドを使用してピアのプライオリティを指定します。originate-only ASA は、リストの最初のピアとネゴシエートしようとします。ピアが応答しない場合、ASA はピアが応答するか、またはリストにピアがなくなるまで下に向かってリストを検索します。

（注） IKEv2 は、サイトからサイトへのバックアップをサポートしていません。これは、発信専用または応答専用のキーワードを使用する場合に設定されます。IKEv2 を使用する場合、暗号マップ セット接続タイプは双方向でなければなりません。

このように設定した場合、originate-only ピアは、最初に独自のトンネルを確立してピアとネゴシエートしようとします。その後は、いずれかのピアが通常の LAN-to-LAN 接続を確立することができ、いずれかの側からのデータがトンネル接続を開始できます。

トランスペアレント ファイアウォール モードでは、このコマンドは表示されますが、インターフェイスに対応付けられたクリプト マップに含まれるクリプト マップ エントリでは、connection-type 値は answer-only 以外の値に設定できません。

表10-1 に、サポートされているすべてのコンフィギュレーションを示します。他の組み合わせは、予測不可能なルーティング問題を引き起こす場合があります。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、接続タイプを originate-only に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定はオフです。

 

コマンド履歴

 

使用上のガイドライン

元の DF ポリシー コマンドが保持され、インターフェイスのグローバル ポリシー設定として機能しますが、SA については crypto map コマンドが優先されます。

 

構文の説明

 

デフォルト

デフォルトのフェーズ 1 モードは main です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、発信側モードでのみ機能します。応答側モードでは機能しません。アグレッシブ モードの Diffie-Hellman グループを含めるかどうかは任意です。含めない場合、ASA はグループ 2 を使用します。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、グループ 2 を使用してフェーズ 1 のモードをアグレッシブに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

すべてのクリプト マップ エントリに、IKEv1 トランスフォーム セットまたは IKEv2 プロポーザルが必要です。

IPsec IKEv2 の開始側とは反対側にあるピアは、最初に一致したプロポーザルをセキュリティ アソシエーションに使用します。ローカルの ASA がネゴシエーションを開始した場合、ASA は、 crypto map コマンドで指定した順番どおりに、トランスフォーム セットの内容をピアに提示します。ピアがネゴシエーションを開始すると、ローカルの ASA は、クリプト マップ エントリ内の、ピアから送信された IPsec パラメータと一致する最初のプロポーザルを使用します。

IPsec の開始側とは反対側にあるピアが、一致するプロポーザルの値を見つけられない場合、IPsec はセキュリティ アソシエーションを確立しません。トラフィックを保護するセキュリティ アソシエーションがないため、開始側はトラフィックをドロップします。

プロポーザルのリストを変更するには、新しいリストを作成して指定し、古いリストと置き換えます。

次のコマンドを使用してクリプト マップを変更すると、ASA は、指定したシーケンス番号と同じ番号のクリプト マップ エントリだけを変更します。たとえば、次のコマンドを入力すると、ASA は、56des-sha というプロポーザルをリストの最後に挿入します。

次のコマンドの応答は、前の 2 つのコマンドで行った変更を合わせたものになります。

クリプト マップ エントリ内のプロポーザルの順番を再設定するには、エントリを削除し、マップ名とシーケンス番号の両方を指定してから、エントリを再作成します。たとえば、次のコマンドでは、シーケンス番号 3 の map2 というクリプト マップ エントリを再設定します。

例

次に、10 個のプロポーザルで構成された、map2 というクリプト マップ エントリを作成する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

モードが設定されていない場合、デフォルトのモードは tunnel です。

 

コマンド履歴

 

使用上のガイドライン

IKEv2 では、このモードはトンネルに ESP 暗号化と認証を適用するために指定します。これにより、ESP が適用されるオリジナルの IP パケットの部分が決定されます。

デフォルトは tunnel カプセル化モードです。transport カプセル化モードは、ピアがこのモードをサポートしていない場合に tunnel モードにフォールバックできる転送モードです。transport モードは、リモート アクセス VPN では推奨されません。

• tunnel モード（デフォルト）：カプセル化モードは tunnel モードになります。tunnel モードでは、ESP 暗号化と認証が元の IP パケット全体（IP ヘッダーおよびデータ）に適用され、最終的な送信元アドレスと宛先アドレスが非表示になります。元の IP データグラム全体が暗号化され、新しい IP パケットのペイロードになります。

このモードでは、ルータなどのネットワーク デバイスが IPsec のプロキシとして動作できます。つまり、ルータがホストに代わって暗号化を行います。送信元ルータがパケットを暗号化し、IPsec トンネルを使用して転送します。宛先ルータは元の IP データグラムを復号化し、宛先システムに転送します。トンネル モードの大きな利点は、エンド システムを変更しなくても IPsec を利用できるということです。また、トラフィック分析から保護することもできます。トンネル モードを使用すると、攻撃者にはトンネルのエンドポイントしかわからず、トンネリングされたパケットの本来の送信元と宛先はわかりません（これらがトンネルのエンドポイントと同じ場合でも同様）。

• transport モード：カプセル化モードは transport モードになります。ピアがこのモードをサポートしていない場合は tunnel モードにフォールバックできます。transport モードでは IP ペイロードだけが暗号化され、元の IP ヘッダーはそのまま使用されます。

このモードには、各パケットに数バイトしか追加されず、パブリック ネットワーク上のデバイスに、パケットの最終的な送信元と宛先を認識できるという利点があります。transport モードでは、中間ネットワークでの特別な処理（たとえば QoS）を、IP ヘッダーの情報に基づいて実行できるようになります。ただし、レイヤ 4 ヘッダーが暗号化されるため、パケットの検査が制限されます。

• transport-require：カプセル化モードは transport 専用モードになり、トンネル モードへのフォールバックは許可されません。

カプセル化モードのネゴシエーションは次のとおりです。

• イニシエータが転送モードを提案し、レスポンダがトンネル モードで応答した場合、イニシエータはトンネル モードにフォールバックします。
• 発信側が tunnel モードを提示し、応答側が transport モードで応答した場合、応答側は tunnel モードにフォールバックします。
• 発信側が tunnel モードを提示し、応答側が transport-require モードの場合、応答側はプロポーザルを送信しません。
• 同様に、イニシエータが transport-require モードで、レスポンダがトンネル モードの場合は、レスポンダから NO PROPOSAL CHOSEN が送信されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトのフェーズ 1 モードは main です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、発信側モードでのみ機能します。応答側モードでは機能しません。アグレッシブ モードの Diffie-Hellman グループを含めるかどうかは任意です。含めない場合、ASA はグループ 2 を使用します。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、グループ 2 を使用してフェーズ 1 のモードをアグレッシブに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの値や動作はありません。

 

コマンド履歴

例

次に、事前共有キー SKTIWHT を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は rule です。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ASA がトンネルに応答しているときではなく、トンネルを開始しているときにのみ機能します。データ設定を使用すると、多数の IPsec SA が作成される可能性があります。この場合、メモリが消費され、全体としてのトンネルが少なくなります。データ設定は、セキュリティへの依存が非常に高いアプリケーションに対してのみ使用してください。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap を設定し、継承タイプを data に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドのデフォルト設定はオンではありません（したがって、NAT-T はデフォルトでイネーブルです）。

 

コマンド履歴

 

使用上のガイドライン

isakmp nat-traversal コマンドを使用して NAT-T をグローバルにイネーブルにします。その後に、 crypto map set nat-t-disable コマンドを使用して、特定のクリプト マップ エントリの NAT-T をディセーブルにできます。

例

次のコマンドでは、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップ エントリの NAT-T をディセーブルにします。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、すべてのスタティッククリプトマップに対して必要です。 crypto dynamic-map コマンドを使用してダイナミック クリプト マップ エントリを定義する場合、このコマンドは必須ではなく、ほとんど使用しません。これは、ピアが通常は未知のものであるためです。

複数のピアを設定することは、フォールバックリストを指定することと同じです。各トンネルについて、ASA は、リストの最初のピアとネゴシエーションを試みます。ピアが応答しない場合、ASA はピアが応答するか、またはリストにピアがなくなるまで下に向かってリストを検索します。バックアップ LAN-to-LAN 機能を使用している場合（つまり、クリプトマップ接続タイプが originate-only の場合）にのみ複数のピアを設定できます。詳細については、 crypto map set connection-type コマンドを参照してください。

（注） 9.14(1) 以降、IKEv2 では複数のピアがサポートされています。

例

次に、グローバル コンフィギュレーション モードで、IKE を使用してセキュリティ アソシエーションを確立するクリプト マップ コンフィギュレーションの例を示します。この例では、ピア 10.0.0.1 またはピア 10.0.0.2 のどちらかと、セキュリティ アソシエーションを確立できます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、PFS は設定されません。

 

コマンド履歴

 

使用上のガイドライン

PFS を使用すると、新しいセキュリティ アソシエーションをネゴシエートするたびに新しい Diffie-Hellman 交換が発生します。この交換によって、処理時間が長くなります。PFS を使用すると、セキュリティがさらに向上します。1 つのキーが攻撃者によってクラックされた場合でも、侵害されるのはそのキーで送信されたデータだけになるためです。

このコマンドを使用すると、クリプト マップ エントリ用の新しいセキュリティ アソシエーションを要求するとき、ネゴシエーション中に IPsec が PFS を要求します。 set pfs ステートメントでグループが指定されていない場合、ASA はデフォルト（グループ 2）を送信します。

ピアがネゴシエーションを開始するときに、ローカル コンフィギュレーションで PFS が指定されている場合、ピアは PFS 交換を実行する必要があります。実行しない場合、ネゴシエーションは失敗します。ローカル コンフィギュレーションでグループが指定されていない場合、ASA はデフォルトの group2 が指定されているものと見なします。ローカル コンフィギュレーションでグループ 2 またはグループ 5 が指定されている場合は、そのグループがピアのオファーに含まれている必要があります。含まれていない場合、ネゴシエーションは失敗します。

ネゴシエーションが成功するには、（Diffie-Hellman グループの有無に関係なく）LAN to LAN トンネルの両端で PFS が設定されている必要があります。設定されている場合、グループは完全一致でなければなりません。ASA はピアからのいずれの PFS のオファーも受け入れません。

1536 ビットの Diffie-Hellman プライム モジュラス グループであるグループ 5 は、グループ 1 やグループ 2 よりも高いセキュリティを提供します。ただし、他のグループより処理時間が長くなります。

ASA は、Cisco VPN Client と対話するときに PFS 値を使用しません。その代わり、フェーズ 1 でネゴシエートされた値を使用します。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap 10 用の新しいセキュリティ アソシエーションをネゴシエートするときに、必ず PFS を使用することを指定する例を示します。

ciscoasa(config)# crypto map mymap 12 set pfs ipsec-isakmp

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドのデフォルト設定はオフです。

 

コマンド履歴

 

使用上のガイドライン

ダイナミック が指定されていない場合：

RRI は設定で行われ、静的とみなされます。設定が変更または削除されるまでそのままになります。ASA は、ルーティング テーブルにスタティック ルートを自動的に追加し、OSPF を使用してそれらのルートをプライベート ネットワークまたはボーダー ルータに通知します。

ダイナミックが指定されている場合：

このアプローチでは、IPsec セキュリティ アソシエーション（SA）の確立が成功するとルートが作成されます。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。また、ダイナミックからスタティックへの設定変更、およびその逆の設定変更により、その暗号マップの既存の IPsec トンネルが破棄されます。

通常、RRI ルートは、ルートが存在せず、トラフィックを暗号化する必要がある場合に、トンネルを開始するために使用されます。ダイナミック RRI がサポートされると、トンネルが確立されるまでルートが存在しません。したがって、ダイナミック RRI が設定された ASA は通常、レスポンダとしてのみ動作します。

ダイナミック RRI は IKEv2 ベースのスタティック暗号マップだけに適用されます。

例

次に、グローバル コンフィギュレーション モードで、mymap という名前のクリプト マップの逆ルート注入をイネーブルにする例を示します。

グローバル コンフィギュレーション モードで入力された次の例では、トンネル確立時にリバース ルート インジェクションが有効になります。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの KB 数は 4,608,000 で、デフォルトの秒数は 28,800 です。

 

コマンド履歴

 

使用上のガイドライン

クリプト マップのセキュリティ アソシエーションは、グローバル ライフタイムに基づいてネゴシエートされます。

IPsec セキュリティ アソシエーションでは、共有秘密キーが使用されます。これらのキーとセキュリティ アソシエーションは、両方同時にタイムアウトになります。

特定のクリプト マップ エントリでライフタイム値が設定されている場合、ASA は、セキュリティ アソシエーションのネゴシエート時に新しいセキュリティ アソシエーションを要求するときに、ピアへの要求でクリプト マップ ライフタイム値を指定し、これらの値を新しいセキュリティ アソシエーションのライフタイムとして使用します。ASA は、ピアからネゴシエーション要求を受信すると、ピアが指定するライフタイム値またはローカルに設定されたライフタイム値のうち、小さい方を新しいセキュリティ アソシエーションのライフタイムとして使用します

サイト間 VPN 接続の場合、「時間指定」と「トラフィック量」の 2 つのライフタイムがあります。これらのライフタイムのいずれかに最初に到達すると、セキュリティ アソシエーションが期限切れになります。リモート アクセス VPN セッションでは、指定時刻ライフタイムのみが適用されます。

（注） ASA では、クリプト マップ、ダイナミック マップ、および IPsec 設定を動作中に変更できます。設定を変更する場合、変更によって影響を受ける接続のみが ASA によって停止させられます。たとえば、アクセス リスト内のエントリを削除して、クリプト マップに関連付けられた既存のアクセス リストを変更した場合、関連する接続だけがダウンします。アクセス リスト内の他のエントリに基づく接続は、影響を受けません。

指定時刻ライフタイムを変更するには、 crypto map set security-association lifetime seconds コマンドを使用します。指定時刻ライフタイムを使用すると、指定した秒数が経過した後にキーおよびセキュリティ アソシエーションがタイムアウトします。

例

次のコマンドでは、グローバル コンフィギュレーション モードで、クリプト マップ mymap のセキュリティ アソシエーション ライフタイムを秒単位および KB 単位で指定します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、クリプト マップの既存の DF ポリシー（SA レベルで）を設定します。

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、すべてのクリプト マップ エントリで必要です。

IPsec の開始側とは反対側にあるピアは、最初に一致したトランスフォーム セットをセキュリティ アソシエーションに使用します。ローカルの ASA がネゴシエーションを開始した場合、ASA は、 crypto map コマンドで指定した順番どおりに、トランスフォーム セットの内容をピアに提示します。ピアがネゴシエーションを開始すると、ローカルの ASA は、クリプト マップ エントリ内の、ピアから送信された IPsec パラメータと一致する最初のトランスフォーム セットを使用します。

IPsec の開始側とは反対側にあるピアが、一致するトランスフォーム セットの値を見つけられない場合、IPsec はセキュリティ アソシエーションを確立しません。トラフィックを保護するセキュリティ アソシエーションがないため、開始側はトラフィックをドロップします。

トランスフォーム セットのリストを変更するには、新しいリストを再度指定して、古いリストと置き換えます。

次のコマンドを使用してクリプト マップを変更すると、ASA は、指定したシーケンス番号と同じ番号のクリプト マップ エントリだけを変更します。たとえば、次のコマンドを入力すると、ASA は、56des-sha というトランスフォーム セットをリストの最後に挿入します。

次のコマンドの応答は、前の 2 つのコマンドで行った変更を合わせたものになります。

クリプト マップ エントリ内のトランスフォーム セットの順番を再設定するには、エントリを削除し、マップ名とシーケンス番号の両方を指定してから、エントリを再作成します。たとえば、次のコマンドでは、シーケンス番号 3 の map2 というクリプト マップ エントリを再設定します。

例

「 crypto ipsec transform-set （トランスフォーム セットの作成または削除）」の項には、10 個のトランスフォーム セット コマンドが示されています。次に、10 個の同じトランスフォーム セットで構成された、map2 というクリプト マップ エントリを作成する例を示します。

次に、グローバル コンフィギュレーション モードで、ASA が IKE を使用してセキュリティ アソシエーションを確立する場合に最小限必要となるクリプト マップ コンフィギュレーションの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このクリプト マップ コマンドは、接続の開始に対してのみ有効です。応答側の情報については、 tunnel-group コマンドを参照してください。

例

次に、グローバル コンフィギュレーション モードで、クリプト マップ mymap にトラストポイント tpoint 1 を指定し、証明書チェーンを含める例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このクリプト マップ コマンドは、着信 ICMP エラー メッセージの検証に対してのみ有効です。

 

構文の説明

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

クラス コンフィギュレーション モードはポリシー マップ コンフィギュレーション モードからアクセスできます。

csc コマンドは、該当するクラス マップに一致したすべてのトラフィックを CSC SSM に送信するようにセキュリティ ポリシーを設定します。この設定の後、ASA は、トラフィックが宛先に引き続き送信されるのを許可します。

CSC SSM がトラフィックをスキャンできない場合は、一致しているトラフィックを ASA が処理する方法を指定できます。 fail-open キーワードは、CSC SSM を使用できない場合でも、トラフィックが宛先に引き続き送信されるのを ASA が許可するように指定します。 fail-close キーワードは、CSC SSM が使用できない場合、一致しているトラフィックが宛先に引き続き送信されるのを ASA が許可しないように指定します。

CSC SSM は、HTTP、SMTP、POP3、および FTP トラフィックをスキャンできます。接続を要求しているパケットの宛先ポートが、これらのプロトコルにとって既知のポートである場合にのみ、これらのプロトコルがサポートされます。つまり、CSC SSM は、次の接続のみをスキャンできます。

• TCP ポート 21 に対してオープンされている FTP 接続
• TCP ポート 80 に対してオープンされている HTTP 接続
• TCP ポート 110 に対してオープンされている POP3 接続
• TCP ポート 25 に対してオープンされている SMTP 接続

csc コマンドを使用しているポリシーで、これらのポートを他のプロトコルに誤用する接続が選択された場合、ASA はパケットを CSC SSM に渡しますが、CSC SSM はパケットをスキャンせずに渡します。

CSC SSM の効率を最大限にするには、次のように、 csc コマンドを実装しているポリシーが使用するクラス マップを設定します。

• サポートされているプロトコルのうち、CSC SSM がスキャンするプロトコルだけを選択します。たとえば、HTTP トラフィックをスキャンしない場合は、サービス ポリシーが HTTP トラフィックを CSC SSM に転送しないようにしてください。
• ASA によって保護されている信頼できるホストを危険にさらす接続だけを選択します。これらは、外部ネットワークまたは信頼できないネットワークから内部ネットワークへの接続です。次の接続をスキャンすることを推奨します。

– 発信 HTTP 接続

– ASA の内部のクライアントから ASA の外部のサーバへの FTP 接続

– ASA の内部のクライアントから ASA の外部サーバへの POP3 接続

– 内部メール サーバ宛ての着信 SMTP 接続

FTP スキャン

CSC SSM は、FTP セッションのプライマリ チャネルが標準ポート（TCP ポート 21）を使用している場合にのみ、FTP ファイル転送のスキャンをサポートします。

FTP インスペクションは、CSC SSM がスキャンする FTP トラフィックに対してイネーブルである必要があります。これは、FTP が、データ転送用にダイナミックに割り当てられたセカンダリ チャネルを使用するためです。ASA は、セカンダリ チャネルに割り当てられるポートを決定し、データ転送の実行を許可するピンホールを開きます。FTP データをスキャンするように CSC SSM が設定されている場合、ASA はデータ トラフィックを CSC SSM に転送します。

FTP インスペクションは、グローバルに、または csc コマンドが適用される同じインターフェイスに適用できます。デフォルトでは、FTP インスペクションはグローバルにイネーブルになっています。デフォルトのインスペクション コンフィギュレーションを変更していない場合、CSC SSM による FTP スキャンをイネーブルにするために必要なその他の FTP インスペクション コンフィギュレーションはありません。

FTP インスペクションまたはデフォルトのインスペクション コンフィギュレーションの詳細については、CLI 設定ガイドを参照してください。

例

内部ネットワーク上のクライアントから HTTP、FTP、および POP3 接続で外部のネットワークに要求されたトラフィック、および外部のホストから DMZ ネットワーク上のメール サーバに着信する SMTP 接続を CSC SSM に転送するように、ASA を設定する必要があります。内部ネットワークから DMZ ネットワーク上の Web サーバへの HTTP 要求は、スキャンされません。

次のコンフィギュレーションでは、2 つのサービス ポリシーを作成します。最初のポリシー csc_out_policy は、内部インターフェイスに適用され、csc_out アクセス リストを使用して、FTP および POP3 に対するすべての発信要求が確実にスキャンされるようにします。csc_out アクセス リストにより、内部から外部インターフェイス上のネットワークへの HTTP 接続が確実にスキャンされるようにもなりますが、このアクセス リストには、内部から DMZ ネットワーク上のサーバへの HTTP 接続を除外する拒否 ACE が含まれています。

2 番めのポリシー csc_in_policy は、外部インターフェイスに適用されます。このポリシーは csc_in アクセス リストを使用して、外部インターフェイスで発信され、DMZ ネットワークを宛先とする SMTP 要求と HTTP 要求が CSC SSM で確実にスキャンされるようにします。HTTP 要求をスキャンすることで、Web サーバは HTTP ファイルのアップロードから保護されます。