この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
QoS ポリシングをクラス マップに適用するには、クラス コンフィギュレーション モードで police コマンドを使用します。レート制限の要件を削除するには、このコマンドの no 形式を使用します。ポリシングは、設定した最大レート(ビット/秒単位)を超えるトラフィックが発生しないようにして、1 つのトラフィック フローが全体のリソースを占有しないようにする方法です。トラフィックが最大レートを超えると、ASA は超過した分のトラフィックをドロップします。また、ポリシングでは、許可されるトラフィックの最大単一バーストも設定されます。
police { output | input } conform-rate [ conform-burst ] [ conform-action [ drop | transmit ] [ exceed-action [ drop | transmit ]]]
適合レート値にスロットリングするまでに、持続したバーストで許可された最大瞬間バイト数を 1000 ~ 512000000 バイトの範囲で指定します。 |
|
レートが conform-rate 値 ~ conform-burst 値の範囲にあるときに実行するアクションを設定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ポリシングをイネーブルにするには、Modular Policy Framework を使用して次のように設定します。
1. class-map :ポリシングを実行するトラフィックを指定します。
2. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. police :クラス マップのポリシングをイネーブルにします。
3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
(注) police コマンドは、最大速度および最大バースト レートを強制し、それらの値を適合レート値に強制的にあわせるだけです。conform-action または exceed-action の指定は、存在する場合でも適用されません。
(注) conform-burst パラメータが省略された場合のデフォルト値は conform-rate のバイト数の 1/32 です(つまり、conform-rate が 100,000 の場合、conform-burst のデフォルト値は 100,000/32 = 3,125 です)。conform-rate の単位はビット/秒で、conform-burst の単位はバイト数です。
ASA で必要な場合は、個々の QoS 機能を単独で設定できます。ただし、普通は、たとえば一部のトラフィックを優先させて、他のトラフィックによって帯域幅の問題が発生しないようにするために、複数の QoS 機能をASA に設定します。
次に、インターフェイスごとにサポートされる機能の組み合わせを示します。
同じトラフィックのセットに対して、プライオリティ キューイングとポリシングを両方設定することはできません。
通常、トラフィック シェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングをイネーブルにしません。ただし、このような設定は ASA では制限されていません。
次に、出力方向の police コマンドの例を示します。このコマンドは、適合レートを 100,000 ビット/秒、バースト値を 20,000 バイトに設定し、バースト レートを超えたトラフィックはドロップされるように指定します。
次に、内部 Web サーバを宛先とするトラフィックにレート制限を実行する例を示します。
すべてのポリシー マップ コンフィギュレーションを削除します。ただし、ポリシー マップが service-policy コマンド内で使用されている場合、そのポリシー マップは削除されません。 |
|
CRL の取得元を指定するには、ca-crl コンフィギュレーション モードで policy コマンドを使用します。
policy { static | cdp | both }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ca-crl コンフィギュレーション モードを開始し、チェック対象の証明書内にある CRL 配布ポイント拡張を使用して CRL 取得を行うように設定し、失敗した場合はスタティック CDP を使用する例を示します。
|
|
---|---|
ボーダー ゲートウェイ プロトコル(BGP)のポリシー リストを作成するには、ポリシー マップ コンフィギュレーション モードで policy-list コマンドを使用します。ポリシー リストを削除するには、このコマンドの no 形式を使用します。
policy-list policy-list-name { permit | deny }
no policy-list policy-list-name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルート マップ内でポリシー リストが参照されると、ポリシー リスト内の match 文すべてが評価され、処理される。1 つのルート マップに 2 つ以上のポリシー リストを設定できる。1 つのルート マップ内で設定された複数のポリシー リストは、AND セマンティクスまたは OR セマンティクスを使用して評価されます。ポリシー リストは、同じルート マップ内にあるがポリシー リストの外で設定されている他の既存の match および set 文とも共存できます。1 つのルート マップ エントリ内で複数のポリシー リストがマッチングを行う場合、ポリシー リストすべては受信属性だけでマッチング。
次に、AS が 1 でメトリックが 10 のネットワーク プレフィックスをすべて許可するポリシー リストの設定例を示します。
次に、コミュニティが 20 でメトリックが 10 のトラフィックを許可するポリシー リストの設定例を示します。
次に、コミュニティが 20 でメトリックが 10 のトラフィックを拒否するポリシー リストの設定例を示します。
モジュラ ポリシー フレームワーク を使用する場合、レイヤ 3/4 のクラスマップ( class-map または class-map type management コマンド)を使用してトラフィックにアクションを割り当てるには、グローバル コンフィギュレーション モードで policy-map コマンド( type キーワードの指定なし)を使用します。レイヤ 3/4 ポリシー マップを削除するには、このコマンドの no 形式を使用します。
このポリシー マップの名前を最大 40 文字で指定します。すべてのタイプのポリシー マップで同じ名前スペースが使用されるため、別のタイプのポリシー マップですでに使用されている名前は再度使用できません。 |
デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーがコンフィギュレーションに含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけなので、グローバル ポリシーを変更する場合は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用します。(特定の機能では、グローバル ポリシーはインターフェイス ポリシーより優先されます)。
デフォルト ポリシーには、次のアプリケーション インスペクションが含まれます。
デフォルト ポリシー コンフィギュレーションには、次のコマンドが含まれます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。
1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。
2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。
3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。
4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。
ポリシー マップの最大数は 64 ですが、各インターフェイスには、ポリシー マップを 1 つだけ適用できます。同一のポリシー マップを複数のインターフェイスに適用できます。レイヤ 3/4 ポリシー マップ内にある複数のレイヤ 3/4 クラス マップを特定でき( class コマンドを参照)、1 つ以上の機能タイプから各クラス マップへ複数のアクションを割り当てることができます。
接続ポリシーの policy-map コマンドの例を次に示します。このコマンドは、Web サーバ 10.1.1.1 への接続許可数を制限します。
次の例は、ポリシー マップでの複数の照合の動作を示しています。
次の例は、トラフィックが最初の利用可能なクラス マップと一致した場合に、同じ機能ドメインのアクションが指定されている後続のクラス マップと照合されないことを示しています。
Telnet 接続は、開始時に class telnet_traffic と一致します。同様に FTP 接続は、開始時に class ftp_traffic と一致します。Telnet および FTP 以外の TCP 接続の場合は、 class tcp_traffic と一致します。Telnet 接続または FTP 接続は class tcp_traffic と一致しますが、すでに他のクラスと一致しているため、ASA はこの照合を行いません。
NetFlow イベントは、Modular Policy Framework を使用して設定されます。Modular Policy Framework が NetFlow 用に設定されていない場合、イベントはログに記録されません。トラフィックはクラスが設定される順序に基づいて照合されます。一致が検出されると、その他のクラスはチェックされません。NetFlow イベントの場合、コンフィギュレーションの要件は次のとおりです。
次に、ホスト 10.1.1.1 と 20.1.1.1 の間のすべての NetFlow イベントを送信先 15.1.1.1 にエクスポートする例を示します。
|
|
すべてのポリシー マップ コンフィギュレーションを削除します。ポリシー マップが service-policy コマンドで使用されている場合、そのポリシー マップは削除されません。 |
|
モジュラ ポリシー フレームワークを使用する場合、グローバル コンフィギュレーション モードで policy-map type inspect コマンドを使用して、アプリケーション トラフィック検査のための特別なアクションを定義します。インスペクション ポリシー マップを削除するには、このコマンドの no 形式を使用します。
policy-map type inspect application policy_map_ name
no policy-map [ type inspect application ] policy_map_ name
このポリシー マップの名前を最大 40 文字で指定します。「_internal」または「_default」で始まる名前は予約されており、使用できません。すべてのタイプのポリシー マップで同じ名前スペースが使用されるため、別のタイプのポリシー マップですでに使用されている名前は再度使用できません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 のポリシー マップ( policy-map コマンド)で、 inspect コマンドを使用してインスペクション エンジンをイネーブルにする場合は、 policy-map type inspect コマンドで作成されたインスペクション ポリシー マップで定義されているアクションを、オプションでイネーブルにすることもできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。
インスペクション ポリシー マップは、ポリシー マップ コンフィギュレーション モードで入力するコマンドのうち、次の 1 つ以上のコマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。
ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。
一部の match コマンドでは、パケット内のテキストと一致させるために正規表現を指定できます。 regex コマンドおよび class-map type regex コマンド(複数の正規表現をグループ化)を参照してください。
デフォルトのインスペクション ポリシー マップ コンフィギュレーションには、次のコマンドが含まれます。
1 つのパケットが複数の異なる match コマンドまたは class コマンドと一致する場合、ASA がアクションを適用する順序は、ポリシー マップにアクションが追加された順序ではなく、ASA の内部ルールによって決まります。内部ルールは、アプリケーションのタイプとパケット解析の論理的進捗によって決まり、ユーザが設定することはできません。HTTP トラフィックの場合、Request Method フィールドの解析が Header Host Length フィールドの解析よりも先に行われ、Request Method フィールドに対するアクションは Header Host Length フィールドに対するアクションより先に行われます。たとえば、次の match コマンドは任意の順序で入力できますが、 match request method get コマンドが最初に照合されます。
アクションがパケットをドロップすると、それ以降のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合、それ以降の match コマンドが一致することはありません。最初のアクションがパケットのログへの記録である場合、接続のリセットなどの 2 番目のアクションは実行されます同じ match コマンドに対して reset (または drop-connection など)と log アクションの両方を設定できます。この場合、特定の match でリセットされるまでパケットはログに記録されます。
パケットが、同じ複数の match コマンドまたは class コマンドと照合される場合は、ポリシー マップ内のそれらのコマンドの順序に従って照合されます。たとえば、ヘッダーの長さが 1001 のパケットの場合は、次に示す最初のコマンドと照合されてログに記録され、それから 2 番目のコマンドと照合されてリセットされます。2 つの match コマンドの順序を逆にすると、2 番目の match コマンドとの照合前にパケットのドロップと接続のリセットが行われ、ログには記録されません。
クラス マップは、そのクラス マップ内で重要度が最低の match コマンド(重要度は、内部ルールに基づきます)に基づいて、別のクラス マップまたは match コマンドと同じタイプであると判断されます。クラス マップに、別のクラス マップと同じタイプの重要度が最低の match コマンドがある場合、それらのクラス マップはポリシー マップに追加された順序で照合されます。クラス マップごとに最低重要度のコマンドが異なる場合は、最高重要度の match コマンドを持つクラス マップが最初に照合されます。
使用中のインスペクション ポリシー マップを別のマップ名と交換する場合は、 inspect protocol map コマンドを削除し、新しいマップを使用して再度入力する必要があります。次に例を示します。
次の例では、HTTP インスペクション ポリシー マップとその関連クラス マップを示します。このポリシー マップは、サービス ポリシーがイネーブルにするレイヤ 3/4 ポリシー マップによってアクティブになります。
|
|
---|---|
一致基準とすべての match 句を満たす場合のアクションを指定するルート マップを設定したら、それを特定のインターフェイスに適用する必要があります。
through-the-box トラフィックに関する PBR ポリシーは次のように設定されます。
policy- route route-map route-map name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
SiteMinder SSO サーバへの認証要求を暗号化するために使用する秘密キーを設定するには、webvpn sso siteminder コンフィギュレーション モードで policy-server-secret コマンドを使用します。秘密キーを削除するには、このコマンドの no 形式を使用します。
policy-server-secret secret-key
(注) このコマンドは、SiteMinder SSO 認証で必要です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。まず sso-server コマンドを使用して SSO サーバを作成します。SiteMinder SSO サーバの場合、 policy-server-secret コマンドによって ASA と SSO サーバの間の認証通信を保護します。
コマンド引数 secret-key は、パスワードと同様に作成、保存、および設定が可能です。このコマンド引数は、 policy-server-secret コマンドを使用して ASA で設定され、Cisco Java プラグイン認証方式を使用して SiteMinder Policy Server で設定されます。
次に、config-webvpn-sso-siteminder モードで、引数としてランダムなストリングを使用して、SiteMinder SSO サーバ認証通信の秘密キーを作成する例を示します。
|
|
---|---|
手動で設定した Cisco TrustSec リンクにポリシーを適用するには、CTS 手動インターフェイス コンフィギュレーション モードで policy static sgt コマンドを使用します。手動で設定した CTS リンクに対するポリシーを削除するには、このコマンドの no 形式を使用します。
policy static sgt sgt_number [ trusted ]
no policy static sgt sgt_number [ trusted ]
コマンドで SGT が指定されたインターフェイスの入力トラフィックでは、SGT を上書きしてはいけないことを示します。デフォルトは untrusted です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、レイヤ 2 SGT インポジション用のインターフェイスをイネーブルにし、インターフェイスが信頼できるかどうかを定義する例を示します。
|
|
---|---|
レイヤ 2 SGT インポジションをイネーブルにし、CTS 手動インターフェイス コンフィギュレーション モードを開始します。 |
|
Active/Active フェールオーバー コンフィギュレーションのデータ インターフェイス polltime および holdtime を指定するには、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
polltime interface [ msec ] polltime [ holdtime time ]
no polltime interface [ msec ] polltime [ holdtime time ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、任意の holdtime time 値とポーリング タイムをミリ秒で指定する機能を含めるように変更されました。 |
このコマンドを使用できるのは、Active/Active フェールオーバーに対してのみです。Active/Standby フェールオーバー コンフィギュレーションで failover polltime interface コマンドを使用します。
polltime が短いほど、ASA は短時間で故障を検出し、フェールオーバーをトリガーできます。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。
polltime unit コマンドと polltime interface コマンドの両方を設定に含めることができます。
(注) CTIQBE トラフィックがフェールオーバー コンフィギュレーションの ASA をパススルーする場合は、ASA のフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。
次の部分的な例では、フェールオーバー グループで可能な設定を示します。フェールオーバー グループ 1 のデータ インターフェイスのインターフェイス ポーリング時間を 500 ミリ秒に設定し、保持時間を 5 秒に設定します。
|
|
---|---|
Active/Standby フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。 |
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
POP3S コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで pop3s コマンドを使用します。POP3S コマンド モードで入力したすべてのコマンドを削除するには、このコマンドの no 形式を使用します。
POP3 は、インターネット サーバが電子メールを受信して保持するために使用するクライアント/サーバ プロトコルです。ユーザ(またはクライアント電子メール レシーバ)は、定期的にメールボックスをチェックして、メールがある場合はそれをダウンロードします。この標準プロトコルは、ほとんどの著名な電子メール製品に組み込まれています。POP3S を使用すると、SSL 接続で電子メールを受信できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、POP3S コンフィギュレーション モードを開始する例を示します。
ciscoasa(config)#
pop3s
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
電子メール プロキシで受信に使用されるポートを指定するには、適切な電子メール プロキシ コマンド モードで port コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
電子メール プロキシで使用するポート。ローカル TCP サービスとの競合を避けるには、1024 ~ 65535 の範囲にあるポート番号を使用します。 |
|
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、IMAP4S 電子メール プロキシ用にポート 1066 を設定する例を示します。
ciscoasa(config)#
imap4s
HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定できます。拒否された場合は、エラー コードがクライアントに返されます。この拒否は、ユーザ認証の前に行われるため、処理リソースの使用が最小限に抑えられます。
portal-access-rule priority [{ permit | deny [code code ]} { any | user-agent match string }
no portal-access-rule priority [{ permit | deny [ code code ]} { any | user-agent match string }]
clear configure webvpn portal-access-rule
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、3 つのポータル アクセス ルールを作成する例を示します。
|
|
---|---|
VPN セッションに関する情報を表示します。このコマンドには、情報を完全または詳細に表示するためのオプションが含まれています。表示するセッションのタイプを指定できる他、情報をフィルタリングおよびソートするためのオプションが用意されています。 |
|
EtherChannel について、ロード バランシング アルゴリズムを指定するには、インターフェイス コンフィギュレーション モードで port-channel load-balance コマンドを使用します。この値をデフォルトに設定するには、このコマンドの no 形式を使用します。
port-channel load-balance { dst-ip | dst-ip-port | dst-mac | dst-port | src-dst-ip | src-dst-ip-port | src-dst-mac | src-dst-port | src-ip | src-ip-port | src-mac | src-port | vlan-dst-ip | vlan-dst-ip-port | vlan-only | vlan-src-dst-ip | vlan-src-dst-ip-port | vlan-src-ip | vlan-src-ip-port }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA では、パケットの送信元および宛先の IP アドレス( src-dst-ip )をハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。 hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスへ送信され、以降は結果が 1 となるものは 2 番目のインターフェイスへ、結果が 2 となるものは 3 番目のインターフェイスへ、というように送信されます。たとえば、15 個のアクティブ リンクがある場合、モジュロ演算では 0 ~ 14 の値が得られます。6 個のアクティブ リンクの場合、値は 0 ~ 5 となり、以降も同様になります。
クラスタリングのスパンド EtherChannel では、ロード バランシングは ASA ごとに行われます。たとえば、8 台の ASA にわたるスパンド EtherChannel 内に 32 個のアクティブ インターフェイスがあり、EtherChannel 内の 1 台の ASA あたり 4 個のインターフェイスがある場合、ロード バランシングは 1 台の ASA の 4 個のインターフェイス間でのみ行われます。
アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。
次に、送信元および宛先の IP アドレスとポートを使用するようにロード バランシング アルゴリズムを設定する例を示します。
ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# port-channel load-balance src-dst-ip-port
|
|
---|---|
EtherChannel 情報が、詳細に 1 行のサマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。 |
|
ポートチャネル負荷分散情報が、指定のパラメータ セットに対するハッシュ結果および選択されたメンバー インターフェイスとともに表示されます。 |
EtherChannel について、ポートチャネル インターフェイスがアクティブになるために必要なアクティブ インターフェイスの最小数を指定するには、インターフェイス コンフィギュレーション モードで port-channel min-bundle コマンドを使用します。この値をデフォルトに設定するには、このコマンドの no 形式を使用します。
port-channel min-bundle number
ポートチャネル インターフェイスがアクティブになるために必要なアクティブ インターフェイスの最小数を 1 ~ 8 の範囲で指定します。9.2(1) 以降では、1 ~ 16 の範囲で指定できます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、ポートチャネル インターフェイスに対して入力します。チャネル グループ内のアクティブ インターフェイス数がこの値よりも小さい場合、ポートチャネル インターフェイスがダウンし、デバイスレベル フェールオーバーが開始されます。
次に、ポートチャネルがアクティブになるために必要なアクティブ インターフェイスの最小数を 2 に設定する例を示します。
ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# port-channel min-bundle 2
|
|
---|---|
EtherChannel 情報が、詳細に 1 行のサマリー形式で表示されます。このコマンドは、ポートとポートチャネルの情報も表示します。 |
|
ポートチャネル負荷分散情報が、指定のパラメータ セットに対するハッシュ結果および選択されたメンバー インターフェイスとともに表示されます。 |
EtherChannel を ASA クラスタのスパンド EtherChannel として設定するには、インターフェイス コンフィギュレーション モードで port-channel span-cluster コマンドを使用します。スパニングをディセーブルにするには、このコマンドの no 形式を使用します。
port-channel span-cluster [ vss-load-balance ]
no port-channel span-cluster [ vss-load-balance ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
この機能を使用するときは、スパンド EtherChannel モード( cluster interface-mode spanned )で設定する必要があります。
この機能を使用すると、ユニットあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのユニットに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはインターフェイスではなくブリッジ グループに割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。
次に、tengigabitethernet 0/8 インターフェイスを唯一のメンバとする EtherChannel(ポート チャネル 2)を作成し、クラスタ全体のスパンド EtherChannel にする例を示します。ポート チャネル 2 に 2 つのサブインターフェイスを追加しています。
interface tengigabitethernet 0/8
|
|
---|---|
クラスタ インターフェイス モードを設定します。スパンド EtherChannel または個別インターフェイスのどちらかを設定できます。 |
クライアントレス SSL VPN セッションのユーザが転送先 TCP ポートからアクセスできるアプリケーション セットを設定するには、webvpn コンフィギュレーション モードで port-forward コマンドを使用します。
port-forward { list_name local_port remote_server remote_port description }
複数アプリケーションへのアクセスを設定するには、アプリケーションごとに同じ list_name を 1 回ずつ、複数回指定してこのコマンドを使用します。
リストから設定済みアプリケーションを削除するには、 no port-forward list_name local_port コマンドを使用します( remote_server および remote_port パラメータを指定する必要はありません)。
no port-forward listname localport
設定済みのリスト全体を削除するには、 no port-forward list_name コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ポート転送は Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。ただし、Microsoft Outlook Exchange 2010 に対してはスマート トンネルのサポートを設定できます。
次の表に、サンプル アプリケーションで使用する値を示します。
|
|
|
|
|
次に、これらのアプリケーションへのアクセスを提供する SalesGroupPorts という名前のポート フォワーディング リストを作成する例を示します。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mail
ciscoasa(config-webvpn)#
port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mail
ciscoasa(config-webvpn)#
port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSH
ciscoasa(config-webvpn)#
port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet
特定のユーザ ポリシーやグループ ポリシーのエンド ユーザに対して TCP ポート フォワーディングを特定する表示名を設定するには、webvpn モードで port-forward-name コマンドを使用します。このモードは、グループ ポリシー モードまたはユーザ名モードから開始します。表示名( port-forward-name none コマンドを使用して作成されたヌル値を含む)を削除するには、このコマンドの no 形式を使用します。 no オプションは、デフォルト名の「Application Access」を復元します。表示名を使用しないようにするには、 port-forward none コマンドを使用します。
port-forward-name { value name | none }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次の例は、FirstGroup という名前のグループ ポリシーに「Remote Access TCP Applications」という名前を設定する方法を示しています。
ciscoasa(config)#
group-policy FirstGroup attributes
ciscoasa(config-group-policy)#
webvpn
|
|
---|---|
グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
タイプが TCP、UDP、または TCP-UDP のサービス オブジェクト グループにポート オブジェクトを追加するには、オブジェクト グループ サービス コンフィギュレーション モードで port-object コマンドを使用します。ポート オブジェクトを削除するには、このコマンドの no 形式を使用します。
port-object { eq port | range begin_port end_port }
no port-object { eq port | range begin_port end_port }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
port-object コマンドは、特定のポートまたはポート範囲のオブジェクトを定義するために、 object-group service protocol コマンドと組み合わせて使用します。
TCP または UDP サービスの名前を指定する場合は、サポートされる TCP や UDP のいずれかの名前で、オブジェクト グループのプロトコル タイプと整合性を持つものである必要があります。たとえば、プロトコル タイプが tcp、udp、および tcp-udp の場合、名前はそれぞれ有効な TCP サービス名、有効な UDP サービス名、または有効な TCP および UDP サービス名である必要があります。
番号を指定した場合、オブジェクトが表示されるときに、プロトコル タイプに基づいて、その番号が対応する名前(存在する場合)に変換されます。
|
|
|
---|---|---|
次に、新規ポート(サービス)オブジェクト グループを作成するために、サービス コンフィギュレーション モードで port-object コマンドを使用する例を示します。
|
|
---|---|
オブジェクトのポストが許可される最大サイズを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで post-max-size コマンドを使用します。このオブジェクトをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。
ポストするオブジェクトに許可される最大サイズを指定します。指定できる範囲は 0 ~ 2147483647 です。サイズを 0 に設定すると、オブジェクトのポストが実質的に禁止されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ポストするオブジェクトの最大サイズを 1500 バイトに設定する例を示します。
ciscoasa(config)#
group-policy test attributes
ciscoasa(config-group-policy)#
webvpn
ciscoasa(config-group-webvpn)#
post-max-size 1500
|
|
---|---|
グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。 |
|
Firepower 1010 イーサネット 1/7 または 1/8 インターフェイスで Power on Ethernet+(PoE+)を有効または無効にするには、インターフェイス コンフィギュレーション モードで power inline コマンドを使用します。デフォルトの状態に戻すには、このコマンドの no 形式を使用します。
power inline { auto | never | consumption wattage milliwatts }
(注) Firepower 1010 でのみサポートされています。
ワット数をミリワット単位で手動で指定します(4000 ~ 30000)。ワット数を手動で設定し、LLDP ネゴシエーションを無効にする場合は、このコマンドを使用します。 |
|
給電先デバイスのクラスに適したワット数を使用して、給電先デバイスに自動的に電力を供給します。Firepower 1010 は LLDP を使用して、適切なワット数をさらにネゴシエートします。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Firepower 1010 は、IEEE 802.3af(PoE)と 802.3at(PoE+)の両方をサポートしています。PoE+ は、Link Layer Discovery Protocol(LLDP)を使用して電力レベルをネゴシエートします。PoE+ は、給電先デバイスに最大 30 ワットを供給できます。電力は必要なときのみ供給されます。
インターフェイスをシャットダウンすると、デバイスへの給電が無効になります。Firepower 1010 の場合、イーサネット 1/7 および 1/8 は PoE+ をサポートします。
次に、イーサネット 1/7 のワット数を手動で設定し、イーサネット 1/8 の電力を auto に設定する例を示します。
|
|
---|---|
ISA 3000 のデュアル電源の場合、デュアル電源を ASA OS で想定される構成として確立するには、グローバル コンフィギュレーション モードで power-supply コマンドを使用します。デュアル電源をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
1 つの電源に障害が発生すると、ASA はアラームを発します。デフォルトでは、ASA で単一電源が想定されており、装備している電源のいずれかが機能しているかぎりアラームを発しません。
PPPoE を介して学習したルートのアドミニストレーティブ ディスタンスを設定するには、インターフェイス コンフィギュレーション モードで pppoe client route distance コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
pppoe client route distance distance
no pppoe client route distance distance
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルートが PPPoE から学習されたときにのみ、 pppoe client route distance コマンドがチェックされます。ルートが PPPoE から学習された後で pppoe client route distance コマンドを入力しても、指定したアドミニストレーティブ ディスタンスは既存の学習済みルートに影響しません。指定したアドミニストレーティブ ディスタンスが設定されるのは、このコマンドの入力後に学習されたルートだけです。
PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。
複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。複数のインターフェイスでの PPPoE クライアントのイネーブル化は、オブジェクト トラッキングでのみサポートされています。
次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。
|
|
---|---|
PPPoE クライアントを設定して、追加されたルートを指定されたトラッキング済みオブジェクト番号に関連付けるには、インターフェイス コンフィギュレーション モードで pppoe client route track コマンドを使用します。PPPoE ルート トラッキングを削除するには、このコマンドの no 形式を使用します。
pppoe client route track number
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルートが PPPoE から学習されたときにのみ、 pppoe client route track コマンドがチェックされます。ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習されたルートはトラッキング オブジェクトには関連付けられません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。
PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。
複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクト トラッキングのみでサポートされます。
次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。
|
|
---|---|
PPPoE クライアントをトラッキング済みオブジェクトのクライアントとして登録し、トラッキング状態に基づいて起動または終了するように設定するには、インターフェイス コンフィギュレーション モードで pppoe client secondary コマンドを使用します。クライアントの登録を削除するには、このコマンドの no 形式を使用します。
pppoe client secondary track number
no pppoe client secondary track
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
PPPoE セッションが開始されたときにのみ、 pppoe client secondary コマンドがチェックされます。ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習されたルートはトラッキング オブジェクトには関連付けられません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。
PPPoE によりルートを取得するには、 ip address pppoe コマンドに setroute オプションを指定する必要があります。
複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要があります。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクト トラッキングのみでサポートされます。
次に、GigabitEthernet0/2 上で PPPoE によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリ ルートが使用されます。
|
|
---|---|
部分的なルート計算(PRC)の IS-IS スロットリングをカスタマイズするには、ルータ ISIS コンフィギュレーション モードで prc-interval コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
prc-interval prc-max-wait [prc-initial-wait prc-second-wait]
(任意)トポロジ変更後の初期 PRC 計算遅延を示します。値の範囲は 1 ~ 120,000 ミリ秒です。デフォルトは 2000 ミリ秒です。 |
|
(任意)最初と 2 番めの PRC 計算間のホールド タイム(ミリ秒単位)を示します。値の範囲は 1 ~ 120,000 ミリ秒です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
PRC は Shortest Path First(SPF)計算を実行せずにルートを計算するソフトウェア プロセスです。これは、ルーティング システム自体のトポロジが変更されていないものの特定の IS でアナウンスされた情報で変更が検出されたり、そのようなルートをルーティング情報ベース(RIB)に再インストールしようとしたりすることが必要な場合に可能です。
次の説明を参照して、このコマンドのデフォルト値を変更するかどうか決定する際の参考にしてください。