この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
コンフィギュレーションの最適化に使用できるオブジェクト グループを定義するには、グローバル コンフィギュレーション モードで object-group コマンドを使用します。コンフィギュレーションからオブジェクト グループを削除するには、このコマンドの no 形式を使用します。
object-group { protocol | network | icmp-type | security | user } grp_name
object-group service grp_name [tcp | udp | tcp-udp ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
icmp-type キーワードが廃止されました。代わりに、 service キーワードを使用してオブジェクトに service icmp を指定します。 |
ホストやサービスなどのオブジェクトをグループ化し、そのオブジェクト グループを ACL( access-list )や NAT( nat )などの機能で使用することができます。次に、ACL でネットワーク オブジェクト グループを使用する例を示します。
コマンドを階層的にグループ化できます。つまり、オブジェクト グループを別のオブジェクト グループのメンバーにすることができます。
次に、 object-group network コマンドを使用して、ネットワーク オブジェクト グループを作成する例を示します。
次に、 object-group network コマンドを使用して、既存のオブジェクト グループを含むネットワーク オブジェクト グループを作成する例を示します。
次に、 group-object モードを使用して、事前に定義したオブジェクトで構成される新しいオブジェクト グループを作成し、それらのオブジェクトを ACL で使用する例を示します。
group-object コマンドを指定しないときは、 host_grp_1 および host_grp_2 にすでに定義されているすべての IP アドレスが含まれるように、 all_hosts グループを定義する必要があります。 group-object コマンドを指定すると、重複するホストの定義が削除されます。
次の例では、TCP と UDP の両方のサービスを同じサービス オブジェクト グループに追加する方法を示します。
次の例では、複数のサービス オブジェクトを同じサービス オブジェクト グループに追加する方法を示します。
次の例では、指定したプロトコル、ポート、および ICMP の組み合わせを同じサービス オブジェクト グループに追加する方法を示します。
次に、 service-object サブコマンドを使用する例を示します。このサブコマンドは、TCP サービスおよび UDP サービスをグループ化する場合に便利です。
次に、 object-group user コマンドを使用して、ユーザ グループ オブジェクトを作成する例を示します。
(推奨されません。代わりにサービス オブジェクトを使用してください)次に、 object-group icmp-type モードを使用して ICMP オブジェクト グループを作成する例を示します。
(推奨されません。代わりにサービス オブジェクトを使用してください)次に、 object-group protocol モードを使用してプロトコル オブジェクト グループを作成する例を示します。
(推奨されません。 tcp キーワードを使用せず、代わりに service-object コマンドでポートを定義します)次に、 object-group service モードを使用して、TCP ポート オブジェクト グループを作成する例を示します。
次に、オブジェクト グループを使用して、アクセス リスト コンフィギュレーションを簡素化する例を示します。グループ化を使用しないとアクセス リストの設定には 24 行必要ですが、このグループ化により、1 行で設定できます。
(注) show running-config access-list コマンドは、設定されたオブジェクト グループ名でアクセス リストを表示します。show access-list コマンドは、その情報に加え、グループを使用するアクセス リスト エントリをオブジェクトをグループ化せずに個々のエントリに展開して表示します。
|
|
---|---|
ACL の最適化をイネーブルにするには、グローバル コンフィギュレーション モードで object-group-search コマンドを使用します。ACL の最適化をディセーブルにするには、このコマンドの no 形式を使用します。
object-group-search { access-control | threshold }
no object-group-search { access-control | threshold }
オブジェクト グループ検索処理の最大しきい値を有効にします。詳細については、「Usage Notes」を参照してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
threshold キーワードが追加されました。このキーワードは、9.8、9.9、および 9.10 の暫定リリースでも追加されました。 |
object-group-search コマンドは、インバウンド方向のすべての ACL を最適化します。
オブジェクト グループ検索をイネーブルにすると、ルックアップのパフォーマンスは低下し、CPU 使用率は増加しますが、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索をイネーブルにした場合、ASP テーブルのネットワークまたはサービス オブジェクトを使用する ACL は拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。これは、 show access-list の出力に表示されます。
オブジェクト グループ検索は、しきい値の影響を受けます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。
リリース 9.12(1) 以降と暫定リリース 9.8(x) では、このしきい値はデフォルトで無効になっています。しきい値オプションが設定されているかどうか、および設定されている場合の現在の設定を確認するには、 show running-config all object-group-search コマンドを使用します。
オブジェクト グループ検索を有効にした場合に、多数の機能が有効になっていると、アクティブな接続の数が増えて、アクセス グループのために大量の ACL が必要になり、処理中に接続が切断されたり、新しい接続を確立する際のパフォーマンスが低下したりすることがあります。こうした切断は、トランザクションコミット( asp rule-engine transactional-commit access-group )を有効にしている場合でも発生する可能性があります。
(注) オブジェクト グループの検索は、ネットワーク オブジェクトとサービス オブジェクトのみで動作します。セキュリティ グループまたはユーザ オブジェクトでは動作しません。ACL にセキュリティ グループが含まれている場合は、この機能を有効にしないでください。ACL が非アクティブになったり、その他の予期しない動作となる可能性があります。
次に、 object-group-search コマンドを使用して、ACL の最適化をイネーブルにする例を示します。
次に、 object-group-search がイネーブルに設定されていないときの show access-list コマンドの出力例を示します。
次に、 object-group-search がイネーブルに設定されているときの show access-list コマンドの出力例を示します。
|
|
---|---|
名前付きネットワーク オブジェクトを設定するには、グローバル コンフィギュレーション モードで object network コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。
object network name [ rename new_obj_name ]
ネットワーク オブジェクトの名前を指定します。名前は 1 ~ 64 文字で、文字、数字、およびアンダースコア、ハイフン、カンマ、スラッシュ、ピリオドの特殊文字を使用できます。オブジェクトおよびオブジェクト グループは、同じ名前スペースを共有します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ネットワーク オブジェクトには、ホスト、ネットワーク、IP アドレス(IPv4 または IPv6)の範囲、または FQDN を含めることができます。このコマンドを入力した後、 host 、 fqdn 、 subnet 、または range コマンドを使用してオブジェクトにアドレスを 1 つ追加します。
また、 nat コマンドを使用して、このネットワーク オブジェクトに対して NAT ルールをイネーブルにすることもできます。特定のオブジェクトに対して 1 つの NAT ルールだけを定義できます。複数の NAT ルールを設定する場合は、 object network obj-10.10.10.1-01 、 object network obj-10.10.10.1-02 などのように、同じ IP アドレスを指定する複数のオブジェクトを作成する必要があります。
既存のネットワーク オブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。
|
|
---|---|
サービス オブジェクトを、そのオブジェクトを使用しているすべてのコンフィギュレーションに自動的に反映させるように設定するには、グローバル コンフィギュレーション モードで object service コマンドを使用します。オブジェクトを削除するには、このコマンドの no 形式を使用します。
object service name [ rename new_obj_name ]
no object service object name [ rename new_obj_name ]
サービス オブジェクトの名前を指定します。名前には、1 ~ 64 文字で、文字、数字、およびアンダースコア、ハイフン、カンマ、ピリオドの特殊文字を使用できます。オブジェクト名は文字で始める必要があります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
サービス オブジェクトには、プロトコル、ICMP、ICMPv6、または TCP /UDP/SCTP のポートまたはポート範囲を含めることができます。このコマンドを入力した後、 service コマンドを使用してオブジェクトにサービスを 1 つ追加します。
既存のサービス オブジェクトを別のプロトコルおよび 1 つ以上の別のポートを使用して設定する場合、新しいコンフィギュレーションにより、既存のプロトコルおよび 1 つ以上のポートが新しい設定に置き換わります。
|
|
---|---|
ナンス拡張をディセーブルにするには、クリプト CA トラストポイント コンフィギュレーション モードで ocsp disable-nonce コマンドを使用します。ナンス拡張を再びイネーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用するとき、OCSP 要求には OCSP ナンス拡張が含まれず、ASA は OCSP ナンス拡張をチェックしません。デフォルトでは、OCSP 要求にナンス拡張が含まれています。ナンス拡張は、暗号化によって要求を応答にバインドし、リプレイ アタックを回避します。ただし、OCSP サーバによっては、この一致するナンス拡張が含まれていない事前生成の応答が使用される場合があります。このようなサーバで OCSP を使用するには、ナンス拡張をディセーブルにする必要があります。
次に、newtrust というトラストポイントのナンス拡張をディセーブルにする例を示します。
|
|
---|---|
クリプト CA トラストポイント コンフィギュレーション モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。 |
|
クライアント証明書の AIA 拡張で指定されたサーバではなく、ASA の OCSP サーバを、トラストポイントに関連付けられたすべての証明書のチェックに使用するように設定するには、暗号 CA トラストポイント コンフィギュレーション モードで ocsp url コマンドを使用します。このサーバをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA は、HTTP URL のみをサポートし、トラストポイントごとに URL を 1 つだけ指定できます。
ASA では 3 つの方法で OCSP サーバの URL を定義でき、その定義方法に従って次の順序で OCSP サーバの使用を試みます。
match certificate コマンドまたは ocsp url コマンドで OCSP URL を設定しないと、ASA はクライアント証明書の AIA 拡張に指定された OCSP サーバを使用します。証明書に AIA 拡張がない場合、失効ステータスのチェックは失敗します。
次に、URL http://10.1.124.22 で OCSP サーバを設定する例を示します。
|
|
---|---|
クリプト CA トラストポイント コンフィギュレーション モードを開始します。このコマンドは、グローバル コンフィギュレーション モードで使用します。 |
|
ログイン/パスワード要件とともにオンスクリーン キーボードをログイン ペインまたはすべてのペインに挿入するには、webvpn モードで onscreen-keyboard コマンドを使用します。以前に設定したオンスクリーン キーボードを削除するには、このコマンドの no 形式を使用します。
onscreen-keyboard {logon | all}
no onscreen-keyboard [logon | all]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ログイン ページのオンスクリーン キーボードをイネーブルにする例を示します。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
onscreen-keyboard logon
|
|
---|---|
OSPF 認証の使用をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf authentication コマンドを使用します。デフォルトの認証状態に戻すには、このコマンドの no 形式を使用します。
ospf authentication { key-chain key-chain-name | message-digest | null }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf authentication コマンドを使用する前に、 ospf authentication-key コマンドを使用してインターフェイスのパスワードを設定します。 message-digest キーワードを使用する場合は、 ospf message-digest-key コマンドを使用して、インターフェイスのメッセージ ダイジェスト キーを設定します。
下位互換性を確保するため、エリアの認証タイプは引き続きサポートされます。インターフェイスの認証タイプを指定しないと、エリアの認証タイプが使用されます(エリアのデフォルトはヌル認証です)。
次に、選択したインターフェイスで OSPF の簡易パスワード認証をイネーブルにする例を示します。
次に、選択したインターフェイスで OSPF のキー チェーン パスワード認証を有効にする例を示します。
|
|
---|---|
ネイバー ルーティング デバイスで使用されるパスワードを指定するには、インターフェイス コンフィギュレーション モードで ospf authentication-key コマンドを使用します。パスワードを削除するには、このコマンドの no 形式を使用します。
ospf authentication-key [ 0 | 8 ] password
ネイバー ルーティング デバイスで使用される OSPF 認証パスワードを割り当てます。パスワードは、9 文字未満にする必要があります。2 文字間にブランクを含めることができます。パスワードの先頭または末尾のブランクは無視されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドが作成するパスワードは、ルーティング プロトコル パケットの送信時に、OSPF ヘッダーに直接挿入されるキーとして使用されます。各ネットワークにはインターフェイスごとに個別のパスワードを割り当てることができます。OSPF 情報を交換するには、同じネットワーク上のすべての隣接ルータが同じパスワードを持っている必要があります。
|
|
---|---|
インターフェイス経由でパケットを送信するコストを指定するには、インターフェイス コンフィギュレーション モードで ospf cost コマンドを使用します。インターフェイス コストをデフォルト値にリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf cost コマンドを使用すると、インターフェイスでパケットを送信するコストを明示的に指定できます。 interface_cost パラメータは、符号なし整数値 0 ~ 65535 です。
次に、選択したインターフェイスでパケットを送信するコストを指定する例を示します。
|
|
---|---|
同期およびフラッディング時に OSPF インターフェイスへの発信 LSA をすべてフィルタリングするには、インターフェイス コンフィギュレーション モードで ospf database-filter コマンドを使用します。LSA を復元するには、このコマンドの no 形式を使用します。
no ospf database-filter all out
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf database-filter コマンドは、OSPF インターフェイスへの発信 LSA をフィルタリングします。 no ospf database-filter all out コマンドは、インターフェイスへの LSA の転送を復元します。
次に、 ospf database-filter コマンドを使用して、発信 LSA をフィルタリングする例を示します。
|
|
---|---|
ネイバーがルータのダウンを宣言するまでの間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf dead-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ospf dead-interval { seconds| minimal hello-multiplier multiplier}
hello パケットが確認されない時間の長さ。 seconds のデフォルトは、 ospf hello-interval コマンドによって設定される間隔(1 ~ 65535)の 4 倍です。 |
|
デッド インターバルを 1 秒に設定します。このキーワードを使用するには、キーワード hello-multiplier と引数 multiplier も設定する必要があります。 |
|
seconds のデフォルト値は、 ospf hello-interval コマンドによって設定される間隔の 4 倍です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf dead-interval コマンドを使用すると、ネイバーがルータのダウンを宣言するまでのデッド間隔(no hello パケットが確認されない時間の長さ)を設定できます。 seconds 引数にはデッド間隔を指定し、その値はネットワーク上のすべてのノードで同じである必要があります。 seconds のデフォルトは、 ospf hello-interval コマンドによって設定される間隔(1 ~ 65535)の 4 倍です。
no ospf dead-interval コマンドを使用すると、デフォルトの間隔値に戻ります。
デッド インターバルは、OSPF hello パケットでアドバタイズされます。この値は、特定のネットワーク上の全ネットワーキング デバイスに対して同じにする必要があります。
小さいデッド インターバル(秒)を指定すると、ネイバーのダウンがより早く検出され、収束効率が高まりますが、ルーティングが不安定になる可能性があります。
fast hello パケットに対する OSPF のサポート
キーワード minimal とキーワード hello-multiplier を引数 multiplier とともに指定することで、OSPF fast hello パケットがイネーブルになります。キーワード minimal は、デッド インターバルを 1 秒に設定し、hello-multiplier の値は、その 1 秒間に送信される hello パケットの数を設定します。これにより、1 秒未満の「fast(高速な)」hello パケットの送信が可能になります。
インターフェイスで fast hello パケットが設定されている場合、このインターフェイスから送出される hello パケットでアドバタイズされる hello 間隔は 0 に設定されます。このインターフェイス経由で受信した hello パケットの hello 間隔は無視されます。
デッド インターバルは、1 つのセグメント上で一貫している必要があり、1 秒に設定するか(fast hello パケットの場合)、他の任意の値を設定します。デッド インターバル内に少なくとも 1 つの hello パケットが送信される限り、hello multiplier がセグメント全体で同じである必要はありません。
デッド インターバルと fast hello 間隔を確認するには、show ospf interface コマンドを使用します。
次の例では、minimal キーワードおよび hello-multiplier キーワードと値を指定することにより、fast hello パケットに対する OSPF のサポートがイネーブルになっています。multiplier キーワードが 5 に設定されているため、hello パケットが毎秒 5 回送信されます。
|
|
---|---|
インターフェイス上での hello パケットの送信間隔を指定するには、インターフェイス コンフィギュレーション モードで ospf hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
この値は、hello パケットでアドバタイズされます。hello 間隔を小さくするほど、トポロジの変更が速く検出されますが、ルーティング トラフィックの増加につながります。この値は、特定のネットワーク上のすべてのルータおよびアクセス サーバで同じにする必要があります。
次に、OSPF hello 間隔を 5 秒に設定する例を示します。
|
|
---|---|
OSPF MD5 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで ospf message-digest-key コマンドを使用します。MD5 キーを削除するには、このコマンドの no 形式を使用します。
ospf message-digest-key key-id md5 [ 0 | 8 ] key
最大 16 バイトの英数字のパスワード。キーの文字間にスペースを含めることができます。キーの先頭または末尾のスペースは無視されます。MD5 認証は、通信の整合性を検証し、発信元を認証し、適時性をチェックします。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf message-digest-key コマンドを使用すると、MD5 認証をイネーブルにできます。このコマンドの no 形式を使用すると、古い MD5 キーを削除できます。 key_id は、認証キーを識別する 1 ~ 255 の数値です。 key は、最大 16 バイトの英数字のパスワードです。MD5 は通信の整合性を確認し、発信元を認証して、適時性をチェックします。
次に、OSPF 認証の MD5 キーを指定する例を示します。
|
|
---|---|
受信データベース パケットで OSPF 最大伝送単位(MTU)ミスマッチ検出をディセーブルにするには、インターフェイス コンフィギュレーション モードで ospf mtu-ignore コマンドを使用します。MTU ミスマッチ検出を復元するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OSPF は、ネイバーが共通インターフェイスで同じ MTU を使用しているかどうかをチェックします。このチェックは、ネイバーがデータベース記述子(DBD)パケットを交換するときに実行されます。DBD パケットの受信 MTU が、着信インターフェイスに設定されている IP MTU よりも高くなっている場合、OSPF 隣接は確立されません。 ospf mtu-ignore コマンドは、受信 DBD パケットで OSPF MTU ミスマッチ検出をディセーブルにします。デフォルトではイネーブルです。
次に、 ospf mtu-ignore コマンドをディセーブルにする例を示します。
|
|
---|---|
OSPF インターフェイスをポイントツーポイントの非ブロードキャスト ネットワークとして設定するには、インターフェイス コンフィギュレーション モードで ospf network point-to-point non-broadcast コマンドを使用します。コンフィギュレーションからこのコマンドを削除するには、このコマンドの no 形式を使用します。
ospf network point-to-point non-broadcast
no ospf network point-to-point non-broadcast
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ospf network point-to-point non-broadcast コマンドを使用すると、VPN トンネルで OSPF ルートを送信できます。
インターフェイスをポイントツーポイントとして指定したときは、OSPF ネイバーを手動で設定する必要があります。ダイナミック探索は機能しません。OSPF ネイバーを手動で設定するには、ルータ コンフィギュレーション モードで neighbor コマンドを使用します。
インターフェイスをポイントツーポイントとして設定したときには、次の制約事項が適用されます。
次に、選択したインターフェイスをポイントツーポイントの非ブロードキャスト インターフェイスとして設定する例を示します。
|
|
---|---|
OSPF ルータのプライオリティを変更するには、インターフェイス コンフィギュレーション モードで ospf priority コマンドを使用します。デフォルトのプライオリティに戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ネットワークにアタッチされている 2 つのルータがともに指定ルータになろうとした場合、ルータのプライオリティの高い方が優先されます。プライオリティが同じ場合、より高位のルータ ID を持つルータが優先されます。ルータのプライオリティがゼロに設定されているルータには、指定ルータまたはバックアップ指定ルータになる資格がありません。ルータのプライオリティは、マルチアクセス ネットワークへのインターフェイス専用に設定されます(つまり、ポイントツーポイント ネットワークへのインターフェイスには設定されません)。
次に、選択したインターフェイスで OSPF プライオリティを変更する例を示します。
|
|
---|---|
インターフェイスに属する隣接の LSA 再送信間の時間を指定するには、インターフェイス コンフィギュレーション モードで ospf retransmit-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ospf retransmit-interval [ seconds ]
no ospf retransmit-interval [ seconds ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルータが自身のネイバーに LSA を送信する場合、ルータは確認応答メッセージを受信するまでその LSA を保持します。確認応答メッセージを受信しないと、ルータは LSA を再送信します。
このパラメータの設定値は控えめにする必要があります。そうしないと、不要な再送信が発生します。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。
|
|
---|---|
インターフェイス上でリンクステート更新パケットを送信するために必要とされる時間を設定するには、インターフェイス コンフィギュレーション モードで ospf transmit-delay コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
ospf transmit-delay [ seconds ]
no ospf transmit-delay [ seconds ]
インターフェイス上でリンクステート更新パケットを送信するために必要とされる時間を設定します。デフォルト値は 1 秒で、有効な値の範囲は 1 ~ 65535 秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
更新パケット内の LSA には、送信前に、 seconds 引数で指定した値によって増加された経過時間が格納されます。値は、インターフェイスの送信および伝播遅延を考慮して割り当てる必要があります。
リンクでの送信前に遅延が加算されていない場合、LSA がリンクを介して伝播する時間は考慮されません。この設定は、非常に低速のリンクでより重要な意味を持ちます。
次に、選択したインターフェイスの送信遅延を 3 秒に設定する例を示します。
|
|
---|---|
ローカル認証局(CA)登録ページ用に発行されたワンタイム パスワード(OTP)の有効期間を時間単位で指定するには、CA サーバ コンフィギュレーション モードで otp expiration コマンドを使用します。期間をデフォルトの時間数にリセットするには、このコマンドの no 形式を使用します。
登録ページ用の OTP が期限切れになる前に、ユーザがローカル CA から証明書を登録する必要がある期間を時間単位で指定します。有効な値の範囲は、1 ~ 720 時間(30 日)です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OTP の有効期限には、ユーザが CA サーバの登録ページにログインする必要がある時間数を指定します。ユーザがログインし、証明書を登録すると、 enrollment retrieval コマンドで指定された期間が開始されます。
(注) 登録インターフェイス ページで証明書を登録するためのユーザ OTP は、そのユーザの発行済みの証明書とキー ペアが含まれている PKCS12 ファイルをアンロックするためのパスワードとしても使用されます。
次に、登録ページ用の OTP が 24 時間適用されることを指定する例を示します。
ciscoasa(config-ca-server)
# otp expiration 24
ciscoasa(config-ca-server)
#
次に、OTP 期間をデフォルトの 72 時間にリセットする例を示します。
ciscoasa(config-ca-server)
)# no otp expiration
ciscoasa(config-ca-server)
#
|
|
---|---|
CA サーバ コンフィギュレーション モードのコマンド セットにアクセスできるようにします。これらのコマンド セットを使用することで、ローカル CA を設定および管理できます。 |
|
action コマンドの出力をコンソールに送るには、イベント マネージャ アプレット コンフィギュレーション モードで output console コマンドを使用します。コンソールを出力先から削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、 action コマンドの出力をコンソールに送る例を示します。
|
|
---|---|
指定したファイルに action コマンドの出力をリダイレクトするには、イベント マネージャ アプレット コンフィギュレーション モードで output file コマンドを使用します。指定したアクションを削除するには、このコマンドの no 形式を使用します。
output file [append filename | new | overwrite filename | rotate n ]
no output file [append filename | new | overwrite filename | rotate n ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
output file コマンドは、指定したファイルに action コマンドの出力をリダイレクトする場合に使用します。
次に、 action コマンドの出力を新しいファイルに送る例を示します。
次に、ローテーションで使用する一連のファイルを作成する例を示します。
|
|
---|---|
action コマンドの出力を破棄するには、イベント マネージャ アプレット コンフィギュレーション モードで output none コマンドを使用します。 action コマンドの出力を保持するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、 action コマンドの出力を破棄する例を示します。
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
認証されていない電子メール プロキシ セッションの数を制限するには、適用可能な電子メール プロキシ コンフィギュレーション モードで outstanding コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
認証されていないセッションを許可する数に制限がないコンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。これは、電子メール ポートに対する DoS 攻撃も制限します。
1. 新規に電子メール接続が確立されると、「認証されていない」状態になります。
2. この接続でユーザ名が提示されると、「認証中」状態になります。
3. ASA が接続を認証すると、「認証済み」状態になります。
認証されていない状態の接続の数が設定済みの制限値を超えた場合、ASA は認証されていない接続のうち最も古いものを終了して、過負荷を回避します。認証済みの接続は終了しません。
次に、POP3S 電子メール プロキシの認証されていないセッションの制限を 12 に設定する例を示します。
ciscoasa(config)#
pop3s
#
outstanding 12
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
AAA サーバからの account-disabled インジケータを上書きするには、トンネル グループ一般属性コンフィギュレーション モードで override-account-disable コマンドを使用します。上書きをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、NT LDAP がある RADIUS や Kerberos など、「account-disabled」インジケータを返すサーバに有効です。
次に、「testgroup」という WebVPN トンネル グループについて AAA サーバからの「account-disabled」インジケータの上書きを許可する例を示します。
次に、「QAgroup」という IPsec リモート アクセス トンネル グループについて AAA サーバからの「account-disabled」インジケータの上書きを許可する例を示します。
|
|
---|---|
AnyConnect クライアントまたは SSL VPN クライアントをダウンロードするためのグループ ポリシーまたはユーザ名属性コンフィギュレーションを上書きするように接続プロファイルを設定するには、トンネル グループ webvpn 属性コンフィギュレーション モードで override-svc-download コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
no override-svc-download enable
デフォルトではディセーブルになっています。ASA は、クライアントをダウンロードするためのグループ ポリシーまたはユーザ名属性コンフィギュレーションを上書きしません。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
セキュリティ アプライアンスは、 vpn-tunnel-protocol コマンドによってグループ ポリシーまたはユーザ名属性でクライアントレスか SSL VPN またはその両方がイネーブルになっているかどうかに基づいて、リモート ユーザに対してクライアントレス接続、AnyConnect 接続、または SSL VPN クライアント接続を許可します。 svc ask コマンドはさらに、クライアントをダウンロードするか、または WebVPN ホームページに戻るようにユーザに要求して、クライアントのユーザ エクスペリエンスを変更します。
ただし、特定のトンネル グループのもとでログインしているクライアントレス ユーザが、ダウンロードの要求が期限切れになってクライアントレス SSL VPN ホームページが表示されるまで待たなくてもよいようにすることを推奨します。 override-svc-download コマンドを使用すると、接続プロファイル レベルでこのようなユーザに対する遅延を防止できます。このコマンドにより、接続プロファイル経由でログインするユーザには、 vpn-tunnel-protocol コマンドまたは svc ask コマンドの設定に関係なく、ただちにクライアントレス SSL VPN ホームページが表示されるようになります。
次の例では、ユーザは接続プロファイル engineering のトンネル グループ webvpn 属性コンフィギュレーション モードを開始し、この接続プロファイルでクライアントのダウンロード要求に関するグループ ポリシーおよびユーザ名属性の設定を上書きしています。
|
|
リモート PC へのダウンロードのために ASA がキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。 |