この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
プライオリティ キューの深さを指定するには、プライオリティ キュー コンフィギュレーション モードで queue-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
(注) このコマンドは、ASA 5580 の 10 ギガビット イーサネットインターフェイスではサポートされていません(10 ギガビット イーサネットインターフェイスは、ASA 5585-X でプライオリティ キュー用にサポートされています)。また、このコマンドは、ASA 5512-X ~ ASA 5555-X の管理インターフェイスでもサポートされていません。
このコマンドは、ASA サービス モジュールではサポートされていません。
no queue-limit number-of-packets
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA では、遅延の影響を受けやすい、プライオリティの高いトラフィック(音声およびビデオなど)用の低遅延キューイング(LLQ)と、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)の 2 つのトラフィック クラスを使用できます。ASA は、プライオリティ トラフィックを認識して、適切な Quality of Service(QoS)ポリシーを適用します。プライオリティ キューのサイズと深さを設定して、トラフィック フローを微調整できます。
(注) インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります。
1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。
priority-queue コマンドで、プライオリティ キュー コンフィギュレーション モードを開始します。これはプロンプトに表示されます。プライオリティ キュー コンフィギュレーション モードでは、任意の時点において送信キュー内に存在可能な最大パケット数( tx-ring-limit コマンド)、および(プライオリティまたはベストエフォートの)いずれかのタイプのパケットのバッファリング可能数( queue-limit コマンド)を設定できます。バッファリング可能パケット数を超えると、パケットはドロップされます。
指定する tx-ring-limit および queue-limit は、プライオリティの高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両方のタイプのパケットの数です。このパケット数を超えると、ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し、輻輳が解消するまでそのキューでパケットをバッファしておきます。通常、これらの 2 つのパラメータを調整することで、低遅延トラフィックのフローを最適化できます。
キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが、 テール ドロップ です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。
次に、test というインターフェイスのプライオリティ キューを設定して、キュー制限を 234 パケット、送信キュー制限を 3 パケットに指定する例を示します。
|
|
---|---|
現在のプライオリティ キュー コンフィギュレーションを表示します。 all キーワードを指定すると、このコマンドは現在のすべてのプライオリティ キュー、queue-limit、および tx-ring-limit コンフィギュレーションの値を表示します。 |
|
TCP 接続において、正しい順序に整列し直すことができる、順序が不正なパケットのバッファリング可能最大数を設定するには、tcp マップ コンフィギュレーション モードで queue-limit コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。
queue-limit pkt_num [ timeout seconds ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。
1. tcp-map :TCP 正規化アクションを指定します。
a. queue-limit :tcp マップ コンフィギュレーション モードでは、 queue-limit コマンドおよびその他数多くのコマンドを入力できます。
2. class-map :TCP 正規化を実行するトラフィックを指定します。
3. policy-map :各クラス マップに関連付けるアクションを指定します。
a. class :アクションを実行するクラス マップを指定します。
b. set connection advanced-options :作成した TCP マップを指定します。
4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。
TCP 正規化をイネーブルにしない場合、または queue-limit コマンドがデフォルトの 0 に設定されている場合(つまりコマンドがディセーブルの場合)、トラフィックのタイプに応じてデフォルトのシステム キュー制限が使用されます。
queue-limit コマンドを 1 以上に設定した場合、すべての TCP トラフィックに対して許可される異常なパケットの数は、この設定と一致します。たとえば、アプリケーション インスペクション、IPS、および TCP check-retransmission のトラフィックの場合、TCP パケットからアドバタイズされたすべての設定が キュー制限 設定を優先して、無視されます。その他の TCP トラフィックについては、異常なパケットはバッファに格納されて、そのまま通過するのではなく、正しい順序に設定されます。
次に、すべての Telnet 接続のキュー制限を 8 パケットに、バッファ タイムアウトを 6 秒に設定する例を示します。
|
|
---|---|
IP オプション インスペクションが設定されたパケット ヘッダーでクイックスタート(QS)オプションが発生したときに実行するアクションを定義するには、パラメータ コンフィギュレーション モードで quick-start コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
quick-start action {allow | clear}
no quick-start action {allow | clear}
デフォルトでは、IP オプション インスペクションは、クイックスタート IP オプションを含むパケットをドロップします。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。
|
|
---|---|
現在のコンフィギュレーション モードを終了したり、特権 EXEC モードやユーザ EXEC モードからログアウトするには、 quit コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
キー シーケンス Ctrl+Z を使用して、グローバル コンフィギュレーション(および上位の)モードを終了することもできます。このキー シーケンスは、特権 EXEC モードまたはユーザ EXEC モードでは動作しません。
特権 EXEC モードまたはユーザ EXEC モードで quit コマンドを入力すると、ASA からログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。
次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、セッションからログアウトする例を示します。
次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、その後 disable コマンドを使用して特権 EXEC モードを終了する例を示します。
|
|
---|---|
コンフィギュレーション モードを終了するか、または特権 EXEC モードやユーザ EXEC モードからログアウトします。 |
ASA で許可する集約管理セッション、ユーザごとの管理セッション、およびプロトコルごとの管理セッションの最大数を設定するには、グローバル コンフィギュレーション モードで q uota management-session コマンドを使用します。割り当て量をデフォルト値に設定するには、このコマンドの no 形式を使用します。
quota management-session [ ssh | telnet | http | user ] number
no quota management-session [ ssh | telnet | http | user ] number
実行を許可する ASDM、SSH、および Telnet の最大同時セッション数を指定します。(9.12 以降)その他のキーワードを指定せずに入力すると、この引数では 1 ~ 15 のセッションの集約数が設定されます。デフォルトは 15 です。(9.10 以前)有効な値は 0(無制限)~ 10,000 です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
システムではなく、コンテキスト内でこのコマンドを入力できるようになりました。また、集約制限に加えて、ユーザとプロトコルごとの制限を設定できるようになりました。集約セッションの最大数が 15 になりました。0(無制限)または 16 以上に設定してアップグレードすると、値は 15 に変更されます。 |
割り当て量に達すると、それ以降の管理セッション要求は拒否され、syslog メッセージが生成されます。デバイスのロックアウトを回避するため、管理セッション割り当て量のメカニズムではコンソール セッションはブロックされません。
(注) マルチコンテキストモードでは ASDM セッションの数を設定することはできず、最大セッション数は 5 で固定されています。
(注) また、limit-resource コマンドを使用して最大管理セッション(SSH など)のコンテキストあたりのリソース制限を設定した場合は、小さい方の値が使用されます。
次の例では、集約管理セッション クォータを 8 に設定し、個々のセッション制限をさまざまな数量に設定しています。
ciscoasa(config)#
quota management-session 8
|
|
ASA 経由で RADIUS 認可サーバにアクセスするすべてのユーザが使用する共通のパスワードを指定するには、AAA サーバ ホスト モードで radius-common-pw コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
RADIUS サーバにおけるすべての認可トランザクションで共通パスワードとして使用される最大 127 文字の英数字キーワード。大文字と小文字は区別されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、RADIUS 認可サーバに対してのみ有効です。
RADIUS 認可サーバでは、各接続ユーザに対してパスワードおよびユーザ名が必要です。ASA では、ユーザ名が自動的に指定されます。ここでは、パスワードを入力します。RADIUS サーバ管理者は、この ASA 経由で RADIUS サーバに対して認可を行う各ユーザにこのパスワードが関連付けられるように RADIUS サーバを設定する必要があります。この情報は、RADIUS サーバ管理者に伝えてください。
共通のユーザ パスワードを指定しなかった場合、各ユーザのパスワードはユーザ名になります。共通ユーザ パスワードにユーザ名を使用する場合は、セキュリティ上の予防措置として、ネットワーク上の他のいずれの場所でも RADIUS サーバを認可に使用しないでください。
(注) string 引数は、実質的には意味がありません。RADIUS サーバはこのフィールドを要求しますが、実際には使用されません。ユーザはこのことを知っている必要はありません。
次に、ホスト「1.2.3.4」に「svrgrp1」という名前の RADIUS AAA サーバ グループを設定し、タイムアウト時間を 9 秒に、再試行間隔を 7 秒に、RADIUS 共通パスワードを「allauthpw」に設定する例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry 7
ciscoasa(config-aaa-server-host)#
radius-common-pw allauthpw
ciscoasa(config-aaa-server-host)#
exit
ciscoasa(config)#
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
認証が拒否された場合のログイン画面での RADIUS 拒否メッセージの表示をイネーブルにするには、トンネル グループ webvpn 属性コンフィギュレーション モードで radius-eject-message コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
リモート ユーザに対して、認証の失敗についての RADIUS メッセージを表示する場合は、このコマンドをイネーブルにします。
次に、engineering という名前の接続プロファイルに対して RADIUS 拒否メッセージの表示をイネーブルにする例を示します。
(注) このコマンドをサポートする最後のリリースは、Version 8.0(1) でした。
認証中に MS-CHAPv2 を使用してユーザとパスワード アップデートをネゴシエートするようにASA を設定するには、トンネル グループ ipsec 属性コンフィギュレーション モードで radius-with-expiry コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは廃止されました。 password-management コマンドに置き換えられました。 radius-with-expiry コマンドの no 形式はサポートされなくなりました。 |
|
この属性は、IPSec リモート アクセス トンネル グループ タイプに対してのみ適用できます。RADIUS 認証が設定されていない場合、ASA ではこのコマンドは無視されます。
次に、設定 ipsec コンフィギュレーション モードで、remotegrp という名前のリモート アクセス トンネル グループに対して radius-with-expiry を設定する例を示します。
|
|
---|---|
パスワード管理をイネーブルにします。 radius-with-expiry コマンドは、トンネル グループ一般属性コンフィギュレーション モードのこのコマンドに置き換えられました。 |
|
ネットワーク オブジェクトのアドレスの範囲を設定するには、オブジェクト コンフィギュレーション モードで range コマンドを使用します。コンフィギュレーションからオブジェクトを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
既存のネットワーク オブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。
次に、範囲ネットワーク オブジェクトを作成する例を示します。
|
|
---|---|
ゲートキーパーがネットワーク内にある場合に、H.323 エンドポイント間でのコール設定をイネーブルにするには、パラメータ コンフィギュレーション モードで ras-rcf-pinholes コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA には、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいてコールのピンホールを開くオプションが含まれています。これらの RRQ/RCF メッセージは Gatekeeper との間で送受信されるので、発信側エンドポイントの IP アドレスは不明で、ASA は発信元 IP アドレス/ポート 0/0 を通じてピンホールを開きます。
次に、これらのコールのピンホールを開くアクションをポリシー マップに設定する例を示します。
|
|
---|---|
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで rate-limit コマンドを使用して、 match コマンドまたはクラス マップに一致するパケットのメッセージのレートを制限します。このレート制限アクションは、インスペクション ポリシー マップ( policy-map type inspect コマンド)でアプリケーション トラフィックに対して使用できますが、すべてのアプリケーションでこのアクションが可能なわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
トラフィックにレート制限を適用します(1 ~ 4294967295)。ESMTP、GTP、RTSP、および SIP の場合、レートはパケット/秒単位です。SCTP の場合、レートはキロビット/秒(Kbps)単位です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを指定した後( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを参照します)、 rate-limit コマンドを入力して、メッセージのレートを制限できます。
レイヤ 3/4 のポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにすると、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect sip sip_policy_map コマンドを入力します。ここで sip_policy_map はインスペクション ポリシー マップの名前です。
次に、invite 要求を 1 秒あたり 100 メッセージに制限する例を示します。
|
|
---|---|
グループ内の障害が発生したサーバを再アクティブ化する方法を指定するには、AAA サーバ プロトコル モードで reactivation-mode コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
reactivation-mode { depletion [ deadtime minutes ] | timed }
no reactivation-mode [ depletion [ deadtime minutes ] | timed ]
(任意)グループ内の最後のサーバがディセーブルになってから、その後すべてのサーバを再度イネーブルにするまでの時間を 0 ~ 1440 分の範囲で指定します。デフォルトは 10 分です。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
各サーバ グループには、所属するサーバの再アクティブ化ポリシーを指定する属性があります。
depletion モードでは、あるサーバが非アクティブになった場合、そのサーバは、グループの他のすべてのサーバが非アクティブになるまで非アクティブのままとなります。すべてのサーバが非アクティブになると、グループ内のすべてのサーバが再アクティブ化されます。このアプローチでは、障害が発生したサーバに起因する接続遅延の発生を最小限に抑えられます。 depletion モードが使用されている場合は、 deadtime パラメータも指定できます。 deadtime パラメータは、グループ内の最後のサーバがディセーブルになってから、その後すべてのサーバを再度イネーブルにするまでの時間を分単位で指定します。このパラメータは、サーバ グループがローカル フォールバック機能とともに使用されている場合にのみ意味があります。
timed モードでは、障害が発生したサーバは、30 秒のダウン時間の後に再アクティブ化されます。このモードは、サーバ リスト内の最初のサーバをプライマリ サーバとして使用しており、このサーバを可能な限りオンラインに維持する必要がある場合に役立ちます。このポリシーは、UDP サーバの場合は機能しません。サーバが存在しない場合でも UDP サーバへの接続に障害が発生することはないため、UDP サーバはすぐに再度オンラインになります。サーバ リストに到達不能な複数のサーバが含まれている場合には、接続時間が遅延したり、接続に失敗する場合があります。
同時アカウンティングがイネーブルになっているアカウンティング サーバ グループでは、 timed モードが強制的に使用されます。このことは、特定のリスト内のすべてのサーバが同等に扱われることを意味しています。
(注) SDI サーバ グループには、1 つのサーバしか含まれていないため、このコマンドは SDI サーバ グループに対して無視されます。
次に、「svrgrp1」という TACACS+ AAA サーバを設定し、deadtime を 15 分に設定して、depletion の再アクティベーション モードを使用する例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol tacacs+
ciscoasa(config-aaa-sersver-group)# reactivation-mode depletion deadtime 15
ciscoasa(config-aaa-server)#
exit
ciscoasa(config)#
次に、「svrgrp1」という TACACS+ AAA サーバを設定し、timed の再アクティベーション モードを使用する例を示します。
ciscoasa(config)# aaa-server svrgrp2 protocol tacacs+
ciscoasa(config-aaa-server)# reactivation-mode timed
ciscoasa(config-aaa-server)#
AAA サーバ グループ コンフィギュレーション モードを開始して、グループ内のすべてのホストに共通する、グループ固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
CTL ファイルの作成に使用されるトラストポイントを指定するには、CTL ファイル コンフィギュレーション モードで record-entry コマンドを使用します。CTL からレコード エントリを削除するには、このコマンドの no 形式を使用します。
record-entry [ capf | cucm | cucm-tftp | tftp ] trustpoint trustpoint address ip_address [ domain-name domain_name ]
no record-entry [ capf | cucm | cucm-tftp | tftp ] trustpoint trust_point address ip_address [ domain-name domain_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
domain-name は、1 つのみ指定できます。CTL ファイルが存在しない場合は、手動でこの証明書を CUCM から ASA にエクスポートします。
このコマンドは、電話プロキシの CTL ファイルを設定していない場合にのみ使用します。すでに CTL ファイルを設定している場合は、このコマンドを使用しないでください。
ip_address 引数に指定する IP アドレスは、トラストポイントの CTL レコードで使用される IP アドレスとなるため、グローバル アドレス、または IP Phone によって認識されるアドレスである必要があります。
次に、 record-entry コマンドを使用して、CTL ファイルの作成に使用されるトラストポイントを指定する例を示します。
|
|
---|---|
Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフラッシュ メモリから解析するための CTL ファイルを指定します。 |
|
IP オプション インスペクションが設定されたパケット ヘッダーでレコード ルート(RR)オプションが発生したときに実行するアクションを定義するには、パラメータ コンフィギュレーション モードで record-route コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
record-route action {allow | clear}
no record-route action {allow | clear}
デフォルトでは、IP オプション インスペクションは、レコード ルート IP オプションを含むパケットをドロップします。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
次に、IP オプション インスペクションのアクションをポリシー マップで設定する例を示します。
|
|
---|---|
VPN ロードバランシング モードで完全修飾ドメイン名を使用したリダイレクトをイネーブルまたはディセーブルにするには、グローバル コンフィギュレーション モードで redirect-fqdn enable コマンドを使用します。
redirect-fqdn {enable | disable}
no redirect-fqdn {enable | disable}
(注) VPN ロード バランシングを使用するには、Plus ライセンスを備えた ASA モデル 5510、または ASA モデル 5520 以降が必要です。また、VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトで、ASA はロードバランシング リダイレクションの IP アドレスだけをクライアントに送信します。DNS 名に基づく証明書が使用されている場合、セカンダリ デバイスにリダイレクトされるとその証明書は無効になります。
VPN クラスタ マスターとして、ASA は、VPN クライアント接続を別のクラスタ デバイスにリダイレクトする場合に、DNS 逆ルックアップを使用して、そのクラスタ デバイス(クラスタ内の別の ASA)の外部 IP アドレスではなく完全修飾ドメイン名(FQDN)を送信できます。
クラスタ内のロードバランシング デバイスのすべての外部および内部ネットワーク インターフェイスは、同じ IP ネットワーク上に存在する必要があります。
IP アドレスではなく FQDN を使用して WebVPN ロード バランシングを実行するには、次の設定手順を実行する必要があります。
ステップ 1 redirect-fqdn enable コマンドを使用して、ロード バランシングにおける FQDN の使用をイネーブルにします。
ステップ 2 DNS サーバに、各 ASA 外部インターフェイスのエントリを追加します(エントリが存在しない場合)。それぞれの ASA 外部 IP アドレスに、ルックアップ用にそのアドレスに関連付けられた DNS エントリが設定されている必要があります。これらの DNS エントリに対しては、逆ルックアップもイネーブルにする必要があります。
ステップ 3 dns domain-lookup inside コマンドを使用して、ASA で DNS ルックアップをイネーブルにします。inside の部分には、DNS サーバへのルートを持つ任意のインターフェイスを指定します。
ステップ 4 dns name-server 10.2.3.4
のように、ASA に DNS サーバの IP アドレスを定義します(10.2.3.4 は、DNS サーバの IP アドレス)。
次に、リダイレクトをディセーブルにする redirect-fqdn コマンドの例を示します。
次に、完全修飾ドメイン名のリダイレクトをイネーブルにし、クラスタのパブリック インターフェイスを「test」と指定し、クラスタのプライベート インターフェイスを「foo」と指定するインターフェイス コマンドを含む、VPN ロード バランシング コマンド シーケンスの例を示します。
|
|
---|---|
OSPFv3 ルーティング ドメインから別の OSPFv3 ルーティング ドメインに IPv6 ルートを再配布するには、IPv6 ルータ OSPF コンフィギュレーション モードで redistribute コマンドを使用します。再配布をディセーブルにするには、このコマンドの no 形式を使用します。
redistribute source-protocol [ process-id ] [ include-connected { level-1 | level-1-2 | level-2 }] [ as-number ] [ metric { metric-value | transparent }] [ metric-type type-value ] [ match { external [ 1 | 2 ] | internal | nssa-external [ 1 | 2 ]}] [ tag tag-value ] [ route-map map-tag ]
no redistribute source-protocol [ process-id ] [ include-connected { level-1 | level-1-2 | level-2 }] [ as-number ] [ metric { metric-value | transparent }] [ metric-type type-value ] [ match { external [ 1 | 2 ] | internal | nssa-external [ 1 | 2 ]}] [ tag tag-value ] [ route-map map-tag ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、スタティック ルートを現在の OSPFv3 プロセスに再配布する例を示します。
|
|
---|---|
1 つのルーティング ドメインから EIGRP ルーティング プロセスにルートを再配布するには、ルータ EIGRP コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。
redistribute {{ eigrp pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric bandwidth delay reliability load mtu ] [ route-map map_name ]
no redistribute {{ eigrp pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric bandwidth delay reliability load mtu ] [ route-map map_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
EIGRP コンフィギュレーションに default-metric コマンドを設定していない場合は、redistribute コマンドで metric を指定する必要があります。
次に、スタティック ルートおよび接続ルートを EIGRP ルーティング プロセスに再配布する例を示します。
|
|
---|---|
1 つのルーティング ドメインから OSPF ルーティング プロセスにルートを再配布するには、ルータ OSPF コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式をオプションなしで使用します。このコマンドの no 形式でオプションを指定した場合、そのオプションのコンフィギュレーションだけが削除されます。
redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected | eigrp as-number } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
no redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | rip | static | connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、スタティック ルートを現在の OSPF プロセスに再配布する例を示します。
|
|
---|---|
別のルーティング ドメインから RIP ルーティング プロセスにルートを再配布するには、ルータ RIP コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。
redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | connected | eigrp as-number } [ metric { metric_value | transparent }] [ route-map map_name ]
no redistribute {{ ospf pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | connected | eigrp as-number } [ metric { metric_value | transparent }] [ route-map map_name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、スタティック ルートを現在の RIP プロセスに再配布する例を示します。
|
|
---|---|
特にレベル 1 からレベル 2 またはレベル 2 からレベル 1 へ IS-IS ルートを再配布するには、ルータ ISIS コンフィギュレーション モードで redistribute isis コマンドを使用します。再配布をディセーブルにするには、このコマンドの no 形式を使用します。
redistribute isis ip {level-1 | level-2} into {level-2 | level-1} [[distribute-list list-number ] | [route-map map-tag ]]
no redistribute isis ip {level-1 | level-2} into {level-2 | level-1} [[distribute-list list-number ] | [route-map map-tag ]]
(任意)IS-IS 再配布を制御する配布リスト番号。配布リストまたはルート マップのいずれかを指定できますが、両方を指定できません。 |
|
(任意)IS-IS 再配布を制御するルート マップ名。配布リストまたはルート マップのいずれかを指定できますが、両方を指定できません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IS-IS では、すべてのエリアがスタブ エリアで、バックボーン(レベル 2)からエリア(レベル 1)へルーティング情報がリークしません。レベル 1 だけのルートは、そのエリア内にある最も近いレベル 1 - レベル 2 ルータへのデフォルト ルートを使用します。このコマンドにより、レベル 2 IP ルートをレベル 1 エリアに再配布することができます。この再配布により、レベル 1 だけのルータが IP プレフィックスのエリア外への最良パスを選択することができるようになります。これは IP のみの機能であり、CLNS ルーティングはまだスタブ ルーティングです。
制御と安定性を増すために、配布リストまたはルート マップを設定して、どのレベル 2 IP ルートをレベル 1 に再配布できるのかを制御できます。これを使用すると、大規模な IS-IS-IP ネットワークは、スケーラビリティを向上させるためにエリアを使用できます。
(注) redistribute isis コマンドが機能するためには、metric-style wide コマンドを指定する必要があります。
次の例では、アクセス リスト 100 がレベル 1 からレベル 2 への IS-IS の再配布を制御しています。
次の例では、110 のタグの付いたルートだけが再配布されるように、match-tag という名前のルート マップがレベル 1 からレベル 2 への IS-IS の再配布を制御します。
冗長インターフェイスのうちのどのメンバー インターフェイスをアクティブにするかを設定するには、特権 EXEC モードで redundant-interface コマンドを使用します。
redundant-interface redundant number active-member physical_interface
アクティブ メンバーを設定します。有効値については、 interface コマンドを参照してください。両方のメンバー インターフェイスが同じ物理タイプである必要があります。 |
|
デフォルトで、コンフィギュレーション内の最初のメンバー インターフェイスが使用可能な場合、そのインターフェイスがアクティブ インターフェイスとなります。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
どのインターフェイスがアクティブであるかを表示するには、次のコマンドを入力します。
次に、冗長インターフェイスを作成する例を示します。デフォルトでは、gigabitethernet 0/0 がコンフィギュレーション内の最初のインターフェイスであるため、このインターフェイスがアクティブです。redundant-interface コマンドでは、gigabitethernet 0/1 をアクティブ インターフェイスに設定しています。
|
|
---|---|
テキストを照合する正規表現を作成するには、グローバル コンフィギュレーション モードで regex コマンドを使用します。正規表現を削除するには、このコマンドの no 形式を使用します。
no regex name [ regular_expression ]
最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては、「使用上のガイドライン」を参照してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
regex コマンドは、テキスト照合が必要なさまざまな機能で使用できます。たとえば、 インスペクション ポリシー マップ を使用して、モジュラ ポリシー フレームワーク を使用したアプリケーション インスペクションの特別なアクションを設定できます( policy map type inspect コマンドを参照)。インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。正規表現は、正規表現クラス マップにグループ化できます( class-map type regex コマンドを参照)。
正規表現は、ストリングそのものとしてテキスト ストリングと文字どおりに照合することも、 metacharacters を使用してテキスト ストリングの複数のバリアントと照合することもできます。正規表現を使用して、特定のアプリケーション トラフィックの内容(HTTP パケット内の本文テキストなど)を照合できます。
(注) 最適化のために、ASA では、難読化解除された URL が検索されます。難読化解除では、複数のスラッシュ(/)が単一のスラッシュに圧縮されます。通常、「http://」のようなダブル スラッシュが使用される文字列では、代わりに「http:/」を検索してください。
表 18-1 に、特別な意味を持つメタ文字の一覧を示します。
正規表現が想定どおりに一致するかどうかをテストするには、 test regex コマンドを入力します。
正規表現のパフォーマンスへの影響は、主に次の 2 つの要因によって決定されます。
検索長が短い場合は、正規表現エンジンの ASA に対するパフォーマンス上の影響は小さくなります。
正規表現検索を設定すると、通常は、検索対象テキストのすべてのバイトが正規表現データベースに対して検査されて、一致が検索されます。検索対象テキストが長くなるほど、検索時間も長くなります。次に、この現象を表すパフォーマンス テスト ケースを示します。
URI および HTTP GET 要求の本文のみを検索するようにポリシーを設定すると、スループットは次のようになります。
ただし、HTTP 応答本文全体も検索するようにポリシーを設定すると、応答本文の検索対象が長いため(3250 バイト)、スループットは 145 Mbps まで低下します。
現在、同じプロトコル フィールドに設定されたすべての正規表現(URI に対するすべての正規表現など)は、1 つ以上の正規表現チェーン テーブルで構成されるデータベースに構築されます。テーブルの数は、必要な合計メモリ量、およびテーブル構築時に使用可能なメモリ量によって決定されます。次のいずれかの条件が満たされる場合、正規表現データベースは複数のテーブルに分割されます。
複数のチェーン テーブルがある場合、正規表現照合において各テーブルが検索される必要があるため、検索時間は検索対象のテーブル数に比例して長くなります。
特定のタイプの正規表現では、テーブル サイズが大幅に増加する傾向があります。可能な限りワイルドカードおよび繰り返し要素を避けるように正規表現を設計することを推奨します。次のメタ文字については、 表 18-1 を参照してください。
–.*123.*(これは、「123」と照合することと同じであるため、このような指定は行わないでください)。
次に、ワイルドカードや繰り返しの有無によって正規表現のメモリ使用量がどのように異なるかについての例を示します。
正規表現の数が増えると、正規表現データベースで必要になる合計メモリ量も増え、そのためメモリがフラグメント化されている場合にはより多くのテーブル数が必要になる可能性があります。次に、異なる正規表現数でのメモリ使用量の例を示します。
(注) コンテキストごとの最大正規表現数は 2048 です。
debug menu regex 40 10 コマンドを使用して、各正規表現データベースにおけるチェーン テーブル数を表示できます。
次に、インスペクション ポリシー マップで使用する 2 つの正規表現を作成する例を示します。
|
|
---|---|
リブートしてコンフィギュレーションをリロードするには、特権 EXEC モードで reload コマンドを使用します。
reload [ at hh : mm [ month day | day month ]] [ cancel ] [ in [ hh : ] mm ] [ max-hold-time [ hh : ] mm ] [ noconfirm ] [ quick ] [ reason text ] [ save-config ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドが変更されて、 day 、 hh 、 mm 、 month 、 quick 、 save-config 、および text という新しい引数およびキーワードが追加されました。 |
|
このコマンドを使用すると、ASA をリブートして、コンフィギュレーションをフラッシュ メモリからリロードできます。
デフォルトで、 reload コマンドは対話形式です。ASA は、まずコンフィギュレーションが変更されており、未保存であるかどうかをチェックします。変更が未保存の場合、コンフィギュレーションを保存するように求めるプロンプトが ASA によって表示されます。マルチ コンテキスト モードでは、ASA によって、未保存のコンフィギュレーションがある各コンテキストに対してプロンプトが表示されます。 save-config キーワードを指定すると、コンフィギュレーションはプロンプトなしで保存されます。次に、システムのリロードを確認するプロンプトが ASA によって表示されます。 y と入力するか、または Enter キーを押した場合にのみリロードが行われます。確認後、ASA は、遅延キーワード( in または at )を指定したかどうかに応じて、リロード プロセスを開始またはスケジューリングします。
デフォルトでは、リロード プロセスは「グレースフル」モードで実行されます。すべての登録されているサブシステムは、リブート実行の前に通知されるため、リブート前に適切にシャットダウンできます。このようなシャットダウンが行われるのを待機しない場合は、 max-hold-time キーワードを指定して、待機する最大時間を指定します。または、 quick キーワードを使用して、影響のあるサブシステムへの通知やグレースフル シャットダウンの待機を行わずに、すぐに強制的にリロード プロセスを開始できます。
noconfirm キーワードを指定すると、 reload コマンドを非対話形式で実行できます。この場合、ASA では、 save-config キーワードを指定していない限り、未保存のコンフィギュレーションがあるかどうかはチェックされません。ASA は、システムをリブートする前に、確認のプロンプトを表示しません。遅延キーワードを指定していない限り、リロード プロセスがすぐに開始またはスケジューリングされます。ただし、 max-hold-time キーワードまたは quick キーワードを指定して、動作またはリロード プロセスを制御できます。
スケジューリングされたリロードをキャンセルするには、 reload cancel コマンドを使用します。すでに進行中のリロードはキャンセルできません。
(注) フラッシュ パーティションに書き込まれていないコンフィギュレーションの変更は、リロード後に失われます。リブートの前に、write memory コマンドを入力して、フラッシュ パーティションに現在のコンフィギュレーションを保存してください。
次に、リブートしてコンフィギュレーションをリロードする例を示します。
Proceed with ? [confirm]
y
Rebooting...
Bios VX.X
...
|
|
---|---|
しきい値を設定するには、グローバル コンフィギュレーション モードで remote-access threshold コマンドを使用します。しきい値を削除するには、このコマンドの no 形式を使用します。このコマンドは、アクティブなリモート アクセス セッションの数を指定します。この数を超えると、ASA によってトラップが送信されます。
remote-access threshold session-threshold-exceeded { threshold-value }
no remote-access threshold session-threshold-exceeded
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
|
|
---|---|
クラス マップの名前を変更するには、クラス マップ コンフィギュレーション モードで rename コマンドを入力します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、test というクラス マップの名前を test2 に変更する例を示します。
|
|
---|---|
ファイルまたはディレクトリの名前をある名前から別の名前に変更するには、特権 EXEC モードで rename コマンドを使用します。
rename [ /noconfirm ] [ disk0 : | disk1 : | flash: ] source-path [ disk0 : | disk1 : | flash: ] destination-path
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
rename flash: flash: コマンドを入力すると、元のファイル名および新しいファイル名を入力するように求められます。
ファイル システムにまたがってファイルやディレクトリの名前を変更することはできません。
次に、「test」というファイルの名前を「test1」に変更する例を示します。
|
|
---|---|
ユーザ証明書が期限切れになる何日前に証明書所有者に対して再登録の初回リマインダを送信するかを指定するには、CA サーバ コンフィギュレーション モードで renewal-reminder コマンドを使用します。期間をデフォルトの 14 日にリセットするには、このコマンドの no 形式を使用します。
発行されている証明書が期限切れになる何日前に証明書所有者に対して再登録の初回リマインダを送信するかを指定します。有効な値の範囲は、1 ~ 90 日です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
通知は全部で 3 種類あります。ユーザ データベースに電子メール アドレスが指定されていれば、3 種類の通知がそれぞれ電子メールで自動的に証明書所有者に送信されます。電子メール アドレスが存在しない場合は、更新を管理者に通知する syslog メッセージが生成されます。
デフォルトでは、証明書が期限切れになる前に、CA サーバから次の 3 種類の電子メール メッセージが指定した順序で送信されます。
最初の電子メールは案内で、2 番目の電子メールは確認、3 番目の電子メールは最終確認です。この通知のデフォルトの設定は 14 日です。証明書の有効期限の 14 日前に最初の案内が送信され、有効期限の 7 日前に確認の電子メールが送信され、有効期限の 3 日前に最終確認の電子メールが送信されます。
次に、証明書有効期限の 7 日前に ASA からユーザに対して有効期限通知を送信するように指定する例を示します。
ciscoasa(config-ca-server)
# renewal-reminder 7
ciscoasa(config-ca-server)
#
次に、有効期限通知のタイミングをデフォルトである証明書有効期限の 14 日前にリセットする例を示します。
ciscoasa(config-ca-server)
# no renewal-reminder
ciscoasa(config-ca-server)
#
|
|
---|---|
CA サーバ コンフィギュレーション モードのコマンド セットにアクセスできるようにします。これらのコマンド セットを使用することで、ローカル CA を設定および管理できます。 |
|
フェールオーバー グループに対して HTTP 接続のレプリケーションをイネーブルにするには、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、ASA は HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 replication http コマンドを使用すると、ステートフル フェールオーバー環境において HTTP セッションのステートフル レプリケーションが可能になりますが、システムのパフォーマンスに悪影響がある可能性があります。
このコマンドを使用できるのは、Active/Active フェールオーバーに対してのみです。このコマンドは、Active/Active フェールオーバー コンフィギュレーションのフェールオーバー グループに対するコマンドであることを除いて、Active/Standby フェールオーバー用の failover replication http コマンドと同じ機能を備えています。
次の例では、フェールオーバー グループで可能な設定を示します。
|
|
---|---|
FTP 要求内の特定のコマンドを禁止するには、FTP マップ コンフィギュレーション モードで request-command deny コマンドを使用します。FTP マップ コンフィギュレーション モードには、 ftp-map コマンドを使用してアクセスできます。設定を削除するには、このコマンドの no 形式を使用します。
request-command deny { appe | cdup | dele | get | help | mkd | put | rmd | rnfr | rnto | site | stou }
no request-command deny { appe | cdup | help | retr | rnfr | rnto | site | stor | stou }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、ストリクト FTP インスペクションを使用する場合に、ASA を通過する FTP 要求内で許可されるコマンドを制御するために使用します。
次に、 stor 、 stou 、または appe コマンドを含む FTP 要求を ASA でドロップする例を示します。
|
|
---|---|
SLA 動作要求パケットのペイロードのサイズを設定するには、SLA モニタ プロトコル コンフィギュレーション モードで request-data-size コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
到達可能性を確保するために、デフォルトのデータ サイズを大きくして、送信元と宛先との間の PMTU の変化を検出する必要がある場合があります。PMTU が低いと、セッションのパフォーマンスに影響を与える可能性が高くなります。また、低い PMTU が検出された場合は、セカンダリ パスが使用されることを示している可能性があります。
次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。この例では、エコー要求パケットのペイロード サイズを 48 バイト、SLA 動作中に送信されるエコー要求の数を 5 に設定しています。
|
|
---|---|
キューで応答待ちができる GTP 要求数の最大値を指定するには、ポリシー マップ パラメータ コンフィギュレーション モードで request-queue コマンドを使用します。この数字をデフォルトの 200 に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
request-queue コマンドは、応答を待機する GTP 要求のキューイング可能最大数を指定します。この上限に達した後に新しい要求が到着すると、最も長い時間キューに入っていた要求が削除されます。「Error Indication」、「Version Not Supported」および「SGSN Context Acknowledge」というメッセージは、要求と見なされないため、応答待ち要求のキューに入れられません。
次に、最大要求キュー サイズを 300 に指定する例を示します。
|
|
---|---|
(注) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
失敗した SSO 認証試行がタイムアウトになるまでの秒数を設定するには、webvpn コンフィギュレーション モードで request-timeout コマンドを使用します。
デフォルト値に戻すには、このコマンドの no 形式を使用します。
失敗した SSO 認証の試行がタイムアウトするまでの秒数。指定できる範囲は 1 ~ 30 秒です。小数の値はサポートされていません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。現在、ASA では、SiteMinder-type および SAML POST-type の SSO サーバがサポートされています。
次に、webvpn 設定 sso siteminder モードで、SiteMinder-type SSO サーバ「example」の認証タイムアウトを 10 秒に設定する例を示します。
|
|
---|---|
TCP ヘッダーの予約ビットをクリアしたり、予約ビットが設定されているパケットをドロップしたりするには、tcp マップ コンフィギュレーション モードで reserved-bits コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
reserved-bits { allow | clear | drop }
no reserved-bits { allow | clear | drop }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。末端のホストにおける予約ビットが設定されているパケットの処理方法を明確に指定するには、tcp マップ コンフィギュレーション モードで reserved-bits コマンドを使用します。処理方法が明確に指定されていないと、ASA が同期化されていない状態になる可能性があります。TCP ヘッダーの予約ビットをクリアしたり、予約ビットが設定されているパケットをドロップしたりできます。
次に、すべての TCP フローにおいて、予約ビットが設定されているパケットをクリアする例を示します。
|
|
---|---|
メディア ネゴシエーション中の予約ポートの使用を制限するには、パラメータ コンフィギュレーション モードで reserve-port-protect コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、RTSP インスペクション ポリシー マップで予約ポートを保護する例を示します。
|
|
---|---|
モジュラ ポリシー フレームワークを使用する場合は、一致またはクラス コンフィギュレーション モードで reset コマンドを使用して、 match コマンドまたはクラス マップに一致するトラフィックに対してパケットをドロップし、接続を閉じて、TCP リセットを送信します。このリセット アクションは、インスペクション ポリシー マップ( policy-map type inspect コマンド)でアプリケーション トラフィックに対して使用できますが、すべてのアプリケーションでこのアクションが可能なわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを指定した後( class コマンドは、 match コマンドを含む既存の class-map type inspect コマンドを参照します)、 reset コマンドを入力して、 match コマンドまたは class コマンドに一致するトラフィックに対してパケットをドロップし、接続を閉じることができます。
接続をリセットした後は、インスペクション ポリシー マップのアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合、それ以降の match コマンドまたは class コマンドとの照合は行われません。最初のアクションがパケットのログへの記録である場合、接続のリセットなどの 2 番目のアクションは実行されます同じ match または class コマンドに対して reset アクションと log アクションの両方を設定できます。この場合、パケットは、特定の一致において、ログに記録されてからリセットされます。
レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。
次に、http-traffic クラス マップに一致した場合に、接続をリセットして、ログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。
|
|
---|---|
DNS 要求を解決する Cisco Umbrella DNS サーバのアドレスを設定するには、Umbrella コンフィギュレーション モードで resolver コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
resolver { ipv4 | ipv6 } ip_address
resolver { ipv4 | ipv6 } ip_address
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンドを 2 回入力して、IPv4 アドレスと IPv6 アドレスの両方を設定できます。有効な Umbrella DNS サーバのみを指定できます。
次の例は、Cisco Umbrella のデフォルト以外の DNS リゾルバを定義しています。サーバは 208.67.222.222 および 2620:119:35::35 です。
|
|
---|---|
VTI トンネルの一端をレスポンダとしてのみ動作するように設定するには、IPsec プロファイル コンフィギュレーション モードで responder-only コマンドを使用します。レスポンダ専用モードを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用して、VTI トンネルの一端がレスポンダとしてのみ動作するように設定できます。
レスポンダ専用の一端は、トンネルまたはキー再生成を開始しません。
このオプションは、コリジョン処理が使用できない場合、または IKEv1 を使用しているときにトンネルの両端が同時にトンネリングを開始する場合に便利です。レスポンダ専用の終端上の IKE トンネルまたは IPsec トンネルのキー再生成設定は、設定済みの場合もすべて無視されます。
次に、IPsec プロファイルにレスポンダ専用モードを追加する例を示します。
|
|
---|---|
IPsec プロファイル設定でのセキュリティ アソシエーションの期間を指定します。これは、キロバイト単位か秒単位、またはその両方で指定します。 |
|
インストール済みの REST API エージェントをイネーブルにするには、 agent キーワードを使用します。エージェントをディセーブルにするには、このコマンドの no 形式を使用します。
この ASA に REST API パッケージをダウンロード(copy コマンドを使用)した後、パッケージを確認してインストールするには、 image キーワードを使用します。REST API エージェントのバージョンと ASA のバージョンが一致している必要があります。このパッケージをアンインストールするには、このコマンドの no 形式を使用します。
rest-api [agent | image disk0:/ package ]
[no] rest-api [agent | image disk0:/ package ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
指定した REST API パッケージについて互換性と有効性のチェックを実行するには、このコマンドを image キーワードを指定して発行します。パッケージがすべてのチェックにパスすると、内部フラッシュにインストールされます。
REST API のコンフィギュレーションはスタートアップ コンフィギュレーション ファイルに保存されます。このコンフィギュレーションをクリアするには、 clear configure コマンドを使用します。
REST API パッケージをインストールまたは更新した後、ASA はリブートされません。
インストール済みの REST API エージェントをイネーブルにするには、このコマンドを agent キーワードを指定して使用します。
次に、REST API パッケージを cisco.com からダウンロードしてインストールする例を示します。
次に、実行中の REST API エージェントをディセーブルにして既存の REST API エージェントをアップグレードしてから、新しい REST API エージェントをダウンロードし、インストールして起動する例を示します。
|
|
---|---|
ASA のコンフィギュレーション、証明書、キー、およびイメージをバックアップ ファイルから復元するには、特権 EXEC モードで restore コマンドを使用します。
restore [ /noconfirm ] [ context ctx-name ] [ interface name ] [ cert-passphrase value ] [ location path ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Cisco Secure Desktop およびホスト スキャンのイメージ
Cisco Secure Desktop およびホスト スキャンの設定
AnyConnect(SVC)クライアントのイメージおよびプロファイル
AnyConnect(SVC)のカスタマイズおよびトランスフォーム
– アイデンティティ証明書(アイデンティティ証明書に関連付けられた RSA キー ペアは含まれるが、スタンドアロン キーは除外される)
|
|
---|---|