この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
インターフェイスで MFIB 転送を再びイネーブルにするには、インターフェイス コンフィギュレーション モードで mfib forwarding を使用します。インターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。
multicast-routing コマンドは、デフォルトではすべてのインターフェイスの MFIB 転送をイネーブルにします
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
マルチキャスト ルーティングをイネーブルにすると、デフォルトではすべてのインターフェイスで MFIB 転送がイネーブルになります。特定のインターフェイスで MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。実行コンフィギュレーションには、このコマンドの no 形式だけが表示されます。
インターフェイスで MFIB 転送がディセーブルになっている場合、特に他の方法を設定しない限り、そのインターフェイスはマルチキャスト パケットを受け付けません。MFIB 転送がディセーブルになっていると、IGMP パケットも阻止されます。
次に、指定されたインターフェイスで MFIB 転送をディセーブルにする例を示します。
|
|
---|---|
LAN-to-LAN の設定(IKEv1)やリモート アクセスの設定(SSL または IKEv1)を IKEv2 に移行するには、グローバル コンフィギュレーション モードで migrate コマンドを使用します。
migrate {l2l | remote-access {ikev2 | ssl} | overwrite}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
migrate l2l コマンドを使用すると、LAN-to-LAN のすべての IKEv1 設定が IKEv2 に移行されます。
overwrite キーワードを使用すると、既存の IKEv2 設定がある場合に、ASA で移行されたコマンドとマージされるのではなく、それらのコマンドで上書きされます。
migrate remote-access コマンドを使用すると、IKEv1 または SSL の設定が IKEv2 に移行されます。ただし、次の設定タスクは別途実行する必要があります。
|
|
---|---|
WebVPN セッションに対して ASA がキャッシュできるオブジェクトの最小サイズを設定するには、キャッシュ モードで min-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。最小オブジェクト サイズを設定しないようにするには、値にゼロ(0)を入力します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
最小オブジェクト サイズは、最大オブジェクト サイズよりも小さい値である必要があります。キャッシュ圧縮がイネーブルになっている場合、ASA は、オブジェクトを圧縮してからサイズを計算します。
次に、最大オブジェクト サイズを 40 KB に設定する例を示します。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
cache
|
|
---|---|
新規ディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。
mkdir [/noconfirm] [disk0: | disk1: | flash:] path
(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 とエイリアス関係にあります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、新規ディレクトリを「backup」という名前で作成する例を示します。
|
|
---|---|
すべてのモバイル デバイスのクライアントレス VPN アクセス Web ポータルをミニポータルからフルブラウザ ポータルに変更するには、webvpn コンフィギュレーション モードで mobile-device portal コマンドを使用します。この設定が必要なのは、Windows CE などの古いオペレーティング システムを実行するスマートフォンだけです。新しいスマートフォンではデフォルトでフルブラウザ ポータルが使用されているため、このオプションを設定する必要はありません。
no mobile-device portal {full}
すべてのモバイル デバイスのクライアントレス VPN アクセス ポータルをミニポータルからフルブラウザ ポータルに変更します。 |
このコマンドを実行する前のデフォルトの動作では、モバイル デバイスによって、クライアントレス VPN アクセスにミニ ポータルを使用するかフル ポータルを使用するかが異なります。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、Cisco Technical Assistance Center(TAC)から推奨された場合にのみ使用してください。
すべてのモバイル デバイスのクライアントレス VPN アクセス ポータルをフルブラウザ ポータルに変更します。
|
|
---|---|
セキュリティ コンテキスト モードを single または multiple に設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。1 つの ASA をいくつかのパーティションに分けて複数の仮想デバイス(セキュリティ コンテキストと呼びます)に配置できます。各コンテキストは独立したデバイスとして動作し、独自のセキュリティ ポリシー、インターフェイス、および管理者で構成されています。複数のコンテキストが存在することは、複数のスタンドアロン アプライアンスが設置されていることと同じです。シングル モードでは、ASA はシングル コンフィギュレーションを備え、単一デバイスとして動作します。マルチ モードでは、複数のコンテキストを作成し、それぞれに独自のコンフィギュレーションを設定できます。許可されるコンテキストの数は、保有するライセンスによって異なります。
mode { single | multiple } [ noconfirm ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
マルチ コンテキスト モードでは、ASA に各コンテキストのコンフィギュレーションが含まれ、それぞれのコンフィギュレーションでは、スタンドアロン デバイスに設定できるセキュリティ ポリシー、インターフェイス、およびほぼすべてのオプションが識別されます(コンテキスト コンフィギュレーションの場所を識別するには、 config-url コマンドを参照してください)。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。
mode コマンドを使用してコンテキスト モードを変更すると、再起動するように求められます。
コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、 mode コマンドを使用して、新規デバイスのモードを match に設定します。
シングル モードからマルチ モードに変換すると、ASA は実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーションと、(内部フラッシュ メモリのルート ディレクトリの)管理コンテキストで構成される admin.cfg です。元の実行コンフィギュレーションは、old_running.cfg として(内部フラッシュ メモリのルート ディレクトリに)保存されます。元のスタートアップ コンフィギュレーションは保存されません。ASA は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。
マルチ モードからシングル モードに変換する場合は、先にスタートアップ コンフィギュレーション全体(使用可能な場合)を ASA にコピーすることを推奨します。マルチ モードから継承されるシステム コンフィギュレーションは、シングル モード デバイスで完全に機能するコンフィギュレーションではありません。
マルチ コンテキスト モードのすべての機能がサポートされるわけではありません。詳細については、CLI 設定ガイド を参照してください。
|
|
---|---|
特定のインターフェイスでヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイスのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
monitor-interface { if_name | service-module }
no monitor-interface { if_name | service-module }
サービス モジュールをモニタします。ASA FirePOWER モジュールなど、ハードウェア モジュールの障害でフェールオーバーが開始されないようにする場合は、このコマンドの no 形式を使用してモジュールのモニタリングをディセーブルにできます。 |
物理インターフェイスとサービス モジュールのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA についてモニタできるインターフェイスの数はプラットフォームごとに異なり、 show failover コマンドの出力で確認できます。
インターフェイス ポーリング頻度ごとに、ASA フェールオーバー ペア間で hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。
次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにしています。
|
|
---|---|
モニタするインターフェイスの数または割合を指定します。モニタの対象となるのは、障害が発生すると、フェールオーバーが発生するインターフェイスです。 |
|
ファイルの内容を表示するには、特権 EXEC モードで more コマンドを使用します。
more { /ascii | /binary| /ebcdic | disk0 : | disk1 : | flash : | ftp : | http : | https : | system : | tftp :} filename
(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 のエイリアスです。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスを入力するように求めます。
(注) more コマンドを使用して保存したコンフィギュレーション ファイルを表示すると、このコンフィギュレーション ファイルのトンネル グループ パスワードがクリア テキストに表示されます。
次に、「test.cfg」というローカル ファイルの内容を表示する例を示します。
|
|
---|---|
セキュリティ アプライアンスから共通インターネット ファイル システム(CIFS)にアクセスできるようにするには、グローバル コンフィギュレーション モードで mount type cifs コマンドを使用します。このコマンドを使用すると、mount cifs コンフィギュレーション モードに入ることができます。CIFS ネットワーク ファイル システムをマウント解除するには、このコマンドの no 形式を使用します。
mount name type cifs server server-name share share { status enable | status disable} [domain domain-name ] username username password password
[ no ] mount name type cifs server server-name share share { status enable | status disable} [domain domain-name ] username username password password
(任意)CIFS ファイル システムでのみ、この引数には Windows NT ドメイン名を指定します。最大 63 文字が許可されます。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mount コマンドは、Installable File System(IFS)を使用して、CIFS ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。
mount コマンドは、セキュリティ アプライアンス上の CIFS ファイル システムを UNIX ファイル ツリーにアタッチします。逆に、 no mount コマンドはそのアタッチを解除します。
mount コマンドに指定されている mount-name は、セキュリティ アプライアンスにすでにマウントされているファイル システムを参照するために、他の CLI コマンドで使用されます。たとえば、ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。
CIFS リモート ファイル アクセス プロトコルは、アプリケーションがローカル ディスクおよびネットワーク ファイル サーバ上のデータを共有する方法と互換性があります。TCP/IP を運用し、インターネットのグローバル DNS を使用する CIFS は、Windows オペレーティング システムにネイティブのファイル共有プロトコルである Microsoft のオープンでクロス プラットフォームのサーバ メッセージ ブロック(SMB)プロトコルを拡張したものです。
mount コマンドを使用した後は、必ずルート シェルを終了してください。mount-cifs-config モードの exit キーワードは、ユーザをグローバル コンフィギュレーション モードに戻します。
(注) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照)。このリリースではネットワーク ファイル システム(NFS)ボリュームのマウントはサポートされていません。
次に、 cifs://amer;chief:big-boy@myfiler02/my_share を cifs_share というラベルとしてマウントする例を示します。
ciscoasa(config)#
mount cifs_share type CIFS
ciscoasa (config-mount-cifs)#
server myfiler02a
|
|
---|---|
セキュリティ アプライアンスからファイル転送プロトコル(FTP)ファイル システムにアクセスできるようにするには、グローバル コンフィギュレーション モードで mount type ftp コマンドを使用して、マウント FTP コンフィギュレーション モードを開始します。 no mount type ftp コマンドは、FTP ネットワーク ファイル システムをマウント解除するために使用されます。
[ no ] mount name type ftp server server-name path pathname { status enable | status disable } { mode active | mode passive } username username password password
指定された FTP ファイル システム サーバへのディレクトリ パス名を指定します。パス名にスペースを含めることはできません。 |
|
FTPFS ファイル システム サーバの定義済みの名前(またはドット付き 10 進表記の IP アドレス)を指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mount name type ftp コマンドは、Installable File System(IFS)を使用して、指定されたネットワーク ファイル システムをマウントします。IFS(ファイル システム API)を使用すると、セキュリティ アプライアンスはファイル システム用のドライバを認識し、ロードすることができます。
FTP ファイル システムが実際にマウントされていることを確認するには、 dir all-filesystems 命令を使用します。
mount コマンドに指定されているマウント名は、他の CLI コマンドがセキュリティ アプライアンスですでにマウントされているファイル システムを参照するときに使用されます。たとえば、ローカル認証局用にファイル ストレージを設定する database コマンドでは、データベース ファイルをフラッシュ ストレージでないストレージに保存するために、すでにマウントされているファイル システムのマウント名が必要です。
(注) FTP タイプのマウントの作成時に mount コマンドを使用するには、FTP サーバに UNIX ディレクトリ リスト スタイルが必要です。Microsoft FTP サーバには、デフォルトで MS-DOS ディレクトリ リスト スタイルがあります。
(注) CIFS ファイル システムと FTP ファイル システムのマウントがサポートされています(mount name type ftp コマンドを参照)。このリリースではネットワーク ファイル システム(NFS)ボリュームのマウントはサポートされていません。
次に、 ftp://amor;chief:big-kid@myfiler02 を my ftp: というラベルとしてマウントする例を示します。
ciscoasa(config)#
mount myftp type ftp server myfiler02a path status enable username chief password big-kid
|
|
---|---|
スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。
mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]
no mroute src smask { in_if_name [ dense output_if_name ] | rpf_addr } [ distance ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、マルチキャスト送信元の検索場所をスタティックに設定できます。ASA は、特定の送信元にユニキャスト パケットを送信する際に使用したものと同じインターフェイスでマルチキャスト パケットを受信するものと想定します。場合によっては、マルチキャスト ルーティングをサポートしないルートをバイパスするなど、マルチキャスト パケットがユニキャスト パケットとは別のパスをたどることがあります。
スタティック マルチキャスト ルートはアドバタイズも再配布もされません。
マルチキャスト ルート テーブルの内容を表示するには、 show mroute コマンドを使用します。実行コンフィギュレーションで mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。
次に、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する例を示します。
|
|
---|---|
RADIUS サーバに対する MS-CHAPv2 認証要求をイネーブルにするには、aaa-server ホスト コンフィギュレーション モードで mschapv2-capable コマンドを使用します。MS-CHAPv2 をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA と RADIUS サーバとの間で VPN 接続に使用されるプロトコルとして MS-CHAPv2 をイネーブルにするには、トンネル グループ一般属性でパスワード管理をイネーブルにする必要があります。パスワード管理をイネーブルにすると、ASA から RADIUS サーバへの MS-CHAPv2 認証要求が生成されます。詳細については、 password-management コマンドの説明を参照してください。
二重認証を使用し、トンネル グループでパスワード管理をイネーブルにした場合は、プライマリ認証要求とセカンダリ認証要求に MS-CHAPv2 要求属性が含まれます。RADIUS サーバが MS-CHAPv2 をサポートしない場合は、 no mschapv2-capable コマンドを使用して、そのサーバが MS-CHAPv2 以外の認証要求を送信するように設定できます。
次に、RADIUS サーバ authsrv1.cisco.com の MS-CHAPv2 をディセーブルにする例を示します。
|
|
---|---|
password-management コマンドを設定すると、ASA は、リモート ユーザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れたことを通知します。それからASAは、ユーザがパスワードを変更できるようにします。 |
|
クライアント デバイスのブラウザがローカルでプロキシをバイパスするために使用するプロキシの例外リストを設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy except-list コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy except-list {value server [ :port ] | none}
IP アドレスまたは MSIE サーバの名前、およびこのクライアント デバイスに適用されるポートを指定します。ポート番号は任意です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次に、Microsoft Internet Explorer のプロキシ例外リストを設定する例を示します。IP アドレス 192.168.20.1 のサーバで構成され、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象とします。
|
|
---|---|
クライアント デバイスのブラウザ プロキシ ローカル バイパス設定を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy local-bypass コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy local-bypass {enable | disable}
no msie-proxy local-bypass {enable | disable}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer のプロキシ ローカル バイパスをイネーブルにする例を示します。
|
|
---|---|
この機能をイネーブルにすると AnyConnect VPN セッションの間 Microsoft Internet Explorer の接続タブが非表示になります。また、Windows 10 バージョン 1703(以降)では、この機能を有効にすると、AnyConnect VPN セッションの間、設定アプリのシステム プロキシ タブも非表示になります。この機能を無効にすると、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブがそのままになります。
(注) AnyConnect VPN セッションの間、設定アプリのシステム プロキシ タブを非表示にするには、AnyConnect バージョン 4.7.03052 以降が必要です。
AnyConnect VPN セッションの間、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブを非表示にするか、またはそのままにするには、グループ ポリシー コンフィギュレーション モードで、 msie-proxy lockdown コマンドを使用します。
msie-proxy lockdown [enable | disable]
Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブをそのままにします。 |
|
AnyConnect VPN セッションの間、Microsoft Internet Explorer の [接続(Connections)] タブと、設定アプリのシステム プロキシ タブを非表示にします。 |
デフォルトのグループ ポリシーでのこのコマンドのデフォルト値はイネーブルです。グループ ポリシーそれぞれがデフォルトのグループ ポリシーからデフォルト値を継承します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、ユーザ レジストリを AnyConnect VPN セッションの間、一時的に変更します。AnyConnect が VPN セッションを閉じると、レジストリはセッション前の状態に戻ります。
この機能をイネーブルにして、ユーザがプロキシ サービスを指定して LAN 設定を変更することを防止できます。これらの設定へのユーザ アクセスを防止すると、AnyConnect セッション中のエンドポイント セキュリティが向上します。
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次の例では、AnyConnect セッションの間、接続タブを非表示にします。
|
|
---|---|
クライアント デバイスのブラウザ プロキシ アクション(「メソッド」)を設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy method コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]
no msie-proxy method [ auto-detect | no-modify | no-proxy | use-server | use-pac-url ]
(注) この構文に適用される条件については、「使用上のガイドライン」を参照してください。
msie-proxy pac-url コマンドに指定されているプロキシ自動コンフィギュレーション ファイル URL から HTTP プロキシ サーバ設定を取得するようにブラウザに指示します。 |
|
msie-proxy server コマンドに設定された値を使用するように、ブラウザの HTTP プロキシ サーバ設定を設定します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行には、最大 100 文字含めることができます。
このコマンドでサポートされるオプションの組み合わせは次のとおりです。
テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルは、Web サーバにあります。 use-pac-url を指定すると、ブラウザは.pac ファイルを使用してプロキシ設定を判別します。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次に、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定として自動検出を設定する例を示します。
次に、クライアント PC のサーバとしてサーバ QASERVER、ポート 1001 を使用するように、FirstGroup というグループ ポリシーの Microsoft Internet Explorer プロキシ設定を設定する例を示します。
|
|
---|---|
プロキシ情報の検索場所をブラウザに指示するには、グループ ポリシー コンフィギュレーション モードで msie-proxy pac-url コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy pac-url { none | value url }
使用するプロキシ サーバが 1 つ以上定義されているプロキシ自動コンフィギュレーション ファイルをブラウザが取得できる Web サイトの URL を指定します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
プロキシ自動コンフィギュレーション機能を使用するには、リモート ユーザは Cisco AnyConnect VPN クライアントを使用する必要があります。プロキシ自動コンフィギュレーション URL の使用をイネーブルにするには、 msie-proxy method コマンドを use-pac-url オプションとともに設定する必要があります。
多くのネットワーク環境が、Web ブラウザを特定のネットワーク リソースに接続する HTTP プロキシを定義しています。HTTP トラフィックがネットワーク リソースに到達できるのは、プロキシがブラウザに指定され、クライアントが HTTP トラフィックをプロキシにルーティングする場合だけです。SSLVPN トンネルにより、HTTP プロキシの定義が複雑になります。企業ネットワークにトンネリングするときに必要なプロキシが、ブロードバンド接続経由でインターネットに接続されるときや、サード パーティ ネットワーク上にあるときに必要なものとは異なることがあるためです。
また、大規模ネットワークを構築している企業では、複数のプロキシ サーバを設定し、一時的な状態に基づいてユーザがその中からプロキシ サーバを選択できるようにすることが必要になる場合があります。.pac ファイルを使用すると、管理者は数多くのプロキシからどのプロキシを社内のすべてのクライアント コンピュータに使用するかを決定する単一のスクリプト ファイルを作成できます。
テキスト エディタを使用して、自分のブラウザにプロキシ自動コンフィギュレーション(.pac)ファイルを作成できます。.pac ファイルとは、URL のコンテンツに応じて、使用する 1 つ以上のプロキシ サーバを指定するロジックを含む JavaScript ファイルです。.pac ファイルの取得元の URL を指定するには、 msie-proxy pac-url コマンドを使用します。次に、 msie-proxy method コマンドに use-pac-url を指定すると、ブラウザは.pac ファイルを使用してプロキシ設定を判別します。
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次に、FirstGroup というグループ ポリシーのプロキシ設定を www.example.com という URL から取得するように、ブラウザを設定する例を示します。
次に、FirstGroup というグループ ポリシーのプロキシ自動コンフィギュレーション機能をディセーブルにする例を示します。
|
|
---|---|
クライアント デバイスのブラウザ プロキシ サーバおよびポートを設定するには、グループ ポリシー コンフィギュレーション モードで msie-proxy server コマンドを入力します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
msie-proxy server {value server [ :port ] | none}
IP アドレスまたは MSIE サーバの名前、およびこのクライアント デバイスに適用されるポートを指定します。ポート番号は任意です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
プロキシ サーバの IP アドレスまたはホスト名およびポート番号が含まれている行の長さは、100 文字未満である必要があります。
プロキシ設定の詳細については、『 Cisco AnyConnect Secure Mobility Client Administrator Guide, Release 3.1 』、またはお使いのモバイル デバイスの リリース ノート を参照してください。
次に、Microsoft Internet Explorer プロキシ サーバとして IP アドレス 192.168.10.1 を設定し、ポート 880 を使用し、FirstGroup というグループ ポリシーを対象にする例を示します。
|
|
---|---|
インターフェイスの最大伝送単位を指定するには、グローバル コンフィギュレーション モードで mtu コマンドを使用します。イーサネット インターフェイスの MTU ブロック サイズを 1500 にリセットするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。
MTU のバイト数。有効な値は 64 ~ 9198 バイト(ASAv および Firepower 9300 ASA セキュリティ モジュールの場合は 9000)です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
mtu コマンドを使用すると、接続上で送信されるペイロード サイズ(レイヤ 2 ヘッダーまたは VLAN タギングを除く)を設定できます。MTU 値よりも大きいデータは、送信前にフラグメント化されます。イーサネット インターフェイスのデフォルト MTU は 1500 バイトです(これは、ジャンボ フレーム予約なしの最大サイズでもある)。この場合、レイヤ 2 ヘッダー(14バイト)と VLAN タギング(4バイト)を持つパケットのサイズは 1518 バイトです。ほとんどのアプリケーションではこの値で十分ですが、ネットワーク状況によってはこれよりも小さい値にすることもできます。
ASA は、IP パス MTU ディスカバリを(RFC 1191 での規定に従って)サポートします。これにより、ホストはパスに沿ったさまざまなリンクで許容される最大 MTU サイズをダイナミックに検出し、各サイズの差に対処できます。パケットがインターフェイスに対して設定されている MTU よりも大きくなっているものの、「Don't Fragment」(DF)ビットが設定されているために、ASA がデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、メッセージを送信ホストに送信して、問題を警告します。送信ホストは、パスに沿ったすべてのリンクのうち最小のパケット サイズに適合するように、宛先へのパケットをフラグメント化する必要があります。
レイヤ 2 トンネリング プロトコル(L2TP)を使用するときは、L2TP ヘッダーと IPsec ヘッダーの長さを踏まえて MTU サイズを 1380 に設定することを推奨します。
IPv6 対応インターフェイスで許可される最小 MTU は 1280 バイトです。ただし、IPsec がインターフェイスでイネーブルになっている場合、MTU 値は、IPsec 暗号化のオーバーヘッドのために 1380 未満に設定できません。インターフェイスを 1380 バイト未満に設定すると、パケットのドロップが発生する可能性があります。
バージョン 9.1(6) 以降では、ASA が使用できる最大 MTU は 9198 バイトです。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。
|
|
---|---|
クラスタ制御リンクの最大伝送単位を設定するには、グローバル コンフィギュレーション モードで mtu cluster コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
クラスタ制御リンク インターフェイスの最大伝送単位を 64 ~ 65,535 バイトの範囲内で指定します。デフォルトの MTU は 1500 バイトです。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
MTU を 1600 バイト以上に設定することを推奨します。このようにするには、 jumbo-frame reservation コマンドを使用してジャンボ フレームの予約をイネーブルにする必要があります。
このコマンドはグローバル コンフィギュレーション コマンドですが、ブートストラップ コンフィギュレーションの一部でもあります。ブートストラップ コンフィギュレーションは、ユニット間で複製されません。
次に、クラスタ制御リンクの MTU を 9000 バイトに設定する例を示します。
ciscoasa(config)# mtu cluster 9000
|
|
---|---|
管理用スコープのマルチキャスト アドレスのマルチキャスト境界を設定するには、インターフェイス コンフィギュレーション モードで multicast boundary コマンドを使用します。境界を削除するには、このコマンドの no 形式を使用します。マルチキャスト境界により、マルチキャスト データ パケット フローが制限され、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できるようになります。
multicast boundary acl [ filter-autorp ]
no multicast boundary acl [ filter-autorp ]
アクセス リストの名前または番号を指定します。アクセス リストには、境界の影響を受けるアドレスの範囲を定義します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。 |
|
境界 ACL によって拒否された Auto-RP メッセージをフィルタリングします。指定されていない場合、すべての Auto-RP メッセージが通過します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、 acl 引数によって定義されている範囲でマルチキャスト グループ アドレスをフィルタリングするようにインターフェイスに管理用スコープの境界を設定するために使用されます。影響を受けるアドレス範囲は、標準アクセス リストによって定義されます。このコマンドが設定されている場合、マルチキャスト データ パケットはいずれの方向であっても境界を通過できません。マルチキャスト データ パケット フローを制限すると、同じマルチキャスト グループ アドレスを複数の管理ドメインで再利用できます。
filter-autorp キーワードを設定した場合、管理用スコープの境界は Auto-RP 検出メッセージおよびアナウンス メッセージを調べ、境界 ACL によって拒否される Auto-RP パケットから Auto-RP グループ範囲アナウンスメントを削除します。Auto-RP グループ範囲通知は、Auto-RP グループ範囲のすべてのアドレスが境界 ACL によって許可される場合に限り境界を通過できます。許可されないアドレスがある場合は、グループ範囲全体がフィルタリングされ、Auto-RP メッセージが転送される前に Auto-RP メッセージから削除されます。
次に、すべての管理用スコープのアドレスの境界を設定し、Auto-RP メッセージをフィルタリングする例を示します。
|
|
---|---|
ASA の IP マルチキャスト ルーティングをイネーブルにするには、グローバル コンフィギュレーション モードで multicast routing コマンドを使用します。IP マルチキャスト ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
multicast-routing コマンドは、デフォルトですべてのインターフェイスで PIM および IGMP をイネーブルにします。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
multicast-routing コマンドは、すべてのインターフェイスで PIM および IGMP をイネーブルにします。
(注) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。
セキュリティ アプライアンスが PIM RP である場合は、セキュリティ アプライアンスの未変換の外部アドレスを RP アドレスとして使用します。
マルチキャスト ルーティング テーブルのエントリの数は、システムに搭載されているメモリの量によって制限されます。 表 12-1 に、セキュリティ アプライアンス上のメモリの量に基づく特定のマルチキャスト テーブルのエントリの最大数を示します。この上限に達すると、新しいエントリは廃棄されます。
|
|
|
|
---|---|---|---|
|
|||
|
|||
|
次に、ASA で IP マルチキャスト ルーティングをイネーブルにする例を示します。
|
|
---|---|
ASA が WSA を指定する IP 範囲とインターフェイスを指定するには、グローバル コンフィギュレーション モードで mus コマンドを使用します。このサービスを無効にするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。指定したサブネットおよびインターフェイスで検索される WSA のみが登録されます。
mus IPv4 address IPv4 mask interface_name
no mus IPv4 address IPv4 mask interface_name
(注) このコマンドを想定どおりに機能させるためには、AnyConnect セキュア モビリティ クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例では、1.2.3.x サブネットの WSA サーバが、 inside インターフェイスのセキュア モビリティ ソリューションにアクセスすることを許可します。
|
|
---|---|
ASA で MUS ホスト名を指定するには、グローバル コンフィギュレーション モードで mus host コマンドを入力します。これは、ASA から AnyConnect クライアントに送信されるテレメトリの URL です。AnyConnect クライアントでは、この URL を使用して、MUS 関連サービス用のプライベート ネットワークにある WSA と通信します。このコマンドで入力したコマンドを削除するには、 no mus host コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
所定のポートに対して AnyConnect Secure Mobility をイネーブルにできます。WSA ポートの値は 1 ~ 21000 です。このコマンドでポートが指定されていない場合、ポート 11999 が使用されます。
このコマンドを実行する前に AnyConnect Secure Mobility の共有秘密を設定する必要があります。
(注) このコマンドを想定どおりに機能させるためには、AnyConnect Secure Mobility クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。
次の例では、AnyConnect Secure Mobility ホストと WebVPN コマンド サブモードを入力する方法を示します。
|
|
---|---|
AnyConnect Secure Mobility 通信の共有秘密を設定するには、グローバル コンフィギュレーション モードで mus password コマンドを入力します。共有秘密を削除するには、 no mus password コマンドを使用します。
(注) このコマンドを想定どおりに機能させるためには、AnyConnect セキュア モビリティ クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。
有効なパスワードは、正規表現 [0-9, a-z, A-Z,:;_/-]{8,20} で定義されます。共有秘密パスワードの全長は、最小 8 文字、最大 20 文字です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
この WebVPN サブモードを使用すると、WebVPN 用のグローバル設定を設定できます。AnyConnect Secure Mobility 通信に共有秘密を設定できます。
次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。
ciscoasa(config)#
mus password <password_string>
ciscoasa(config-webvpn)#
|
|
---|---|
ASA が WSA 通信を聴取するポートを指定するには、グローバル コンフィギュレーション モードで mus server コマンドを入力します。このコマンドを使用して入力したコマンドを削除するには、 no mus server コマンドを使用します。
(注) このコマンドを想定どおりに機能させるためには、AnyConnect セキュア モビリティ クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
AnyConnect Secure Mobility サービスで使用するポートを指定する必要があります。ASA と WSA の間の通信には、管理者が指定したポート(1 ~ 21000)で確立されたセキュアな SSL 接続が使用されます。
次の例では、AnyConnect Secure Mobility パスワードと WebVPN コマンド サブモードを入力する方法を示します。
ciscoasa(config-webvpn)#
mus server enable?
ciscoasa
(config-webvpn)# mus server enable port 12000
|
|
---|---|