この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ASA が応答を受信しないときに、DNS サーバのリストに再試行する回数を指定するには、グローバル コンフィギュレーション モードで dns retries コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、再試行回数を 0 回に設定する例を示します。ASA は各サーバへの要求を 1 回のみ行います。
|
|
---|---|
クラウド Web セキュリティ プロキシ サーバに対するポーリングに連続して失敗した場合にサーバが到達不能であると見なす回数の値を設定するには、scansafe 汎用オプション コンフィギュレーション モードで retry-count コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Cisco Cloud Web Security サービスに登録すると、プライマリ クラウド Web セキュリティ プロキシ サーバとバックアップ プロキシ サーバが割り当てられます。
クライアントがプライマリ サーバに到達できない場合、ASA は可用性を判定するためにタワーのポーリングを開始します(クライアントのアクティビティが存在しない場合、ASA は 15 分ごとにポーリングします)。設定された回数だけ再試行してもプロキシ サーバが使用できない場合(デフォルトは 5 回。この設定は設定可能)、サーバは到達不能として宣言され、バックアップ プロキシ サーバがアクティブになります。
クライアントまたは ASA が、再試行回数に到達する前に少なくとも 2 回連続してサーバに到達できる場合、ポーリングは停止し、タワーはアクセス可能であると判定されます。
再試行回数は、アプリケーション健全性チェックにも適用されます(イネーブルの場合)。
バックアップ サーバへのフェールオーバー後、ASA はプライマリ サーバをポーリングし続けます。プライマリ サーバが到達可能になると、ASA はプライマリ サーバの使用に戻ります。
aaa-server host コマンドで事前に指定された特定の AAA サーバに対する再試行の時間間隔を設定するには、AAA サーバ ホスト モードで retry-interval コマンドを使用します。再試行間隔をデフォルト値にリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
接続試行間に ASA が待機する秒数を指定またはリセットするには、 retry-interval コマンドを使用します。ASA が AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。
(注) RADIUS プロトコルの場合、サーバが ICMP ポート到達不能メッセージで応答すると、再試行間隔の設定が無視され、AAA サーバはただちに障害状態になります。このサーバが AAA グループ内の唯一のサーバである場合は、サーバが再アクティブ化され、別の要求がサーバに送信されます。これは意図された動作です。
次に、コンテキストでの retry-interval コマンドの例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol radius
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 7
ciscoasa(config-aaa-server-host)# retry-interval 9
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
|
NAC フレームワーク セッションにおける成功した各ポスチャ検証間の間隔を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで reval-period コマンドを使用します。このコマンドを NAC フレームワーク ポリシーから削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。 |
ASA では、ポスチャ検証に成功するたびに、再検証タイマーが開始されます。このタイマーが期限切れになると、次の無条件のポスチャ検証がトリガーされます。ASA では、再検証中はポスチャ検証が維持されます。ポスチャ検証または再検証中にアクセス コントロール サーバが使用できない場合、デフォルトのグループ ポリシーが有効になります。
次に、再検証タイマーを 86400 秒に変更する例を示します。
次に、NAC ポリシーから再検証タイマーを削除する例を示します。
|
|
---|---|
NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。 |
|
NAC フレームワーク セッションで正常に完了したポスチャ確認と、ホスト ポスチャの変化を調べる次回のクエリーとの間隔を指定します。 |
|
ASA のフラッシュ メモリから、すべての Web 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除するには、特権 EXEC モードで revert webvpn all コマンドを入力します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA のフラッシュ メモリから Web 関連のすべての情報(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)をディセーブルにし、削除するには、 revert webvpn all コマンドを使用します。すべての Web 関連データを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。
次に、ASA からすべての Web 関連コンフィギュレーション データを削除するコマンドを示します。
|
|
---|---|
このコマンドは、ASA 上のフラッシュ メモリにそのとき存在する、さまざまなインポートされた WebVPN データおよびプラグインを表示します。 |
AnyConnect クライアント GUI のカスタマイズに使用されているファイルを ASA から削除するには、特権 EXEC モードで revert webvpn AnyConnect-customization コマンドを使用します。
revert webvpn AnyConnect-customization type type platform platform name name
AnyConnect クライアントを実行しているエンドポイント デバイスの OS。linux、mac-intel、mac-powerpc、win、または win-mobile のいずれかを指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
AnyConnect クライアント GUI をカスタマイズする手順の詳細については、『AnyConnect VPN Client Administrator Guide』を参照してください。
次に、AnyConnect GUI をカスタマイズするために以前にリソース ファイルとしてインポートした Cisco ロゴを削除する例を示します。
|
|
---|---|
すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。 |
|
ASA のキャッシュ メモリからカスタマイゼーション オブジェクトを削除するには、特権 EXEC モードで revert webvpn customization コマンドを入力します。
revert webvpn customization name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
指定したカスタマイゼーションのリモート クライアントレス SSL VPN サポートを削除し、ASAのキャッシュ メモリからそのカスタマイゼーション オブジェクトを削除するには、 revert webvpn customization コマンドを使用します。カスタマイゼーション オブジェクトを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。カスタマイゼーション オブジェクトには、特定の指定されたポータル ページのコンフィギュレーション パラメータが含まれています。
バージョン 8.0 ソフトウェアでは、カスタマイゼーションの設定機能が拡張されており、新しいプロセスは以前のバージョンと互換性がありません。セキュリティ アプライアンスでは、8.0 ソフトウェアへのアップグレード時に、古い設定を使用して新しいカスタマイゼーション オブジェクトを生成することによって、現在の設定が保持されます。このプロセスは 1 回のみ実行されます。また、古い値は新しい値の一部を構成するサブセットに過ぎないため、このプロセスは古い形式から新しい形式への単なる変換ではありません。
(注) バージョン 7.2 のポータル カスタマイゼーションおよび URL リストは、バージョン 8.0 へのアップグレード前にバージョン 7.2(x) のコンフィギュレーション ファイルで適切なインターフェイスにおいてクライアントレス SSL VPN(WebVPN)がイネーブルになっている場合にのみ、ベータ 8.0 コンフィギュレーションで動作します。
次に、GroupB という名前のカスタマイゼーション オブジェクトを削除するコマンドを示します。
|
|
---|---|
すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。 |
|
ASA のフラッシュ デバイスからプラグインを削除するには、特権 EXEC モードで revert webvpn plug-in protocol コマンドを入力します。
revert plug-in protocol protocol
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
指定した Java ベースのクライアント アプリケーションのクライアントレス SSL VPN サポートをディセーブルにし、削除して、ASA のフラッシュ ドライブからも削除するには、 revert webvpn plug-in protocol コマンドを使用します。
|
|
---|---|
指定したプラグインを URL から ASA のフラッシュ デバイスにコピーします。このコマンドを発行すると、クライアントレス SSL VPN での今後のセッションにおいて、Java ベースのクライアント アプリケーションの使用が自動的にサポートされます。 |
|
ASA のフラッシュ メモリから変換テーブルを削除するには、特権 EXEC モードで revert webvpn translation-table コマンドを入力します。
revert webvpn translation-table translationdomain language language
削除する言語を指定します。2 文字のコードを使用して言語を指定します。? と入力して、インストールされている言語を確認します。各ドメインにインストールされている言語を表示するには、 show import webvpn translation-table コマンドを使用します。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
インポートされた変換テーブルをディセーブルにし、削除して、フラッシュ メモリから削除するには、 revert webvpn translation-table コマンドを使用します。変換テーブルを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。
次に、フランス語の AnyConnect 変換テーブルを削除するコマンドを示します。
|
|
---|---|
WebVPN 関連のすべてのデータ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。 |
|
ASA から URL リストを削除するには、特権 EXEC モードで revert webvpn url-list コマンドを入力します。
revert webvpn url-list template name
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA のフラッシュ ドライブから現在の URL リストをディセーブルにし、削除するには、 revert webvpn url-list コマンドを使用します。URL リストを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。
revert webvpn url-list コマンドで使用される template 引数では、設定済みの URL リストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。
次に、servers2 という URL リストを削除するコマンドを示します。
|
|
---|---|
すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。 |
|
ASA のフラッシュ メモリ内の場所から指定した Web オブジェクトを削除するには、特権 EXEC モードで revert webvpn webcontent コマンドを入力します。
revert webvpn webcontent filename
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Web コンテンツを含むファイルをディセーブルにし、削除して、ASA のフラッシュ メモリからも削除するには、 revert webvpn content コマンドを使用します。Web コンテンツを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。
次に、ASA のフラッシュ メモリから ABCLogo という Web コンテンツ ファイルを削除するコマンドを示します。
|
|
---|---|
すべての webvpn 関連データ(カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ)を削除します。 |
|
トラストプール ポリシーについて失効チェックが必要であるかどうかを定義するには、クリプト CA トラストプール コンフィギュレーション モードで revocation-check コマンドを使用します。デフォルトの失効チェック方法( none )に戻すには、このコマンドの no 形式を使用します。
revocation-check {[ crl ] [ ocsp ] [ none ] }
no revocation-check {[ crl ] [ ocsp ] [ none ] }
ASA において、すべての方法でエラーが返された場合でも証明書ステータスを有効であると解釈する必要があることを指定します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
OCSP 応答の署名者は、通常、OCSP サーバ(レスポンダ)証明書です。デバイスは、応答を受信した後、レスポンダ証明書の検証を試みます。
通常、CA は、セキュリティが侵害される危険性を最小限に抑えるために、OCSP レスポンダ証明書のライフタイムを比較的短い期間に設定します。CA は、失効ステータス チェックが必要ないことを示す ocsp-no-check 拡張をレスポンダ証明書に組み込みます。ただし、この拡張が存在しない場合、デバイスは、この revocation-check コマンドでトラストポイントに設定された失効方法を使用して、証明書失効ステータスを確認しようとします。 none オプションを設定してステータス チェックを無視していない限り、OCSP 失効チェックの失敗後、OCSP レスポンダ証明書に ocsp-no-check 拡張がない場合、OCSP レスポンダ証明書は検証可能である必要があります。
(注) オプションの引数を指定する場合、順序は問いませんが、none キーワードは必ず最後にする必要があります。
ASA では、それらの方法が設定した順序で試行されます。2 番目と 3 番目の方法は、前の方法でエラー(サーバのダウンなど)が返された場合にのみ、ステータスを失効と見なさずに試行されます。
クライアント証明書検証トラストポイントで、失効チェック方法を設定できます。また、レスポンダ証明書検証トラストポイントで、失効チェックなし( revocation-check none )を設定することもできます。設定例については、 match certificate コマンドを参照してください。
ASA で revocation-check crl none コマンドを設定している場合、クライアントが ASA に接続すると、CRL がまだキャッシュされていないためダウンロードが自動的に開始され、証明書が検証されてから CRL のダウンロードが終了します。この場合、CRL がキャッシュされていないと、CRL のダウンロード前に ASA で証明書が検証されます。
ただし、ASA 9.13(1) 以降では、失効チェックをバイパスするための次のオプションはサポートされていません。
|
|
---|---|
CRL にアクセスできない場合は、OCSP を試してください。OCSP を実行できない場合は、失効チェックをバイパスします |
|
そのため、アップグレード後に、サポートされなくなったすべての失効チェックコマンドは、末尾の none オプションを無視して新しい動作に移行します。
|
|
---|---|
WebVPN 接続上で、特定のアプリケーションまたはトラフィック タイプのコンテンツのリライトをディセーブルにするには、webvpn モードで rewrite コマンドを使用します。リライト ルールを削除するには、ルールを一意に識別するルール番号を指定して、このコマンドの no 形式を使用します。すべてのリライト ルールを削除するには、このコマンドの no 形式をルール番号を指定せずに使用します。
デフォルトで、ASA では、すべての WebVPN トラフィックがリライト(変換)されます。
rewrite order integer {enable | disable} resource-mask string [ name resource name ]
no rewrite order integer {enable | disable} resource-mask string [ name resource name ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ASA では、WebVPN 接続経由で正しくレンダリングされるように、アプリケーションのコンテンツがリライトされます。外部パブリック Web サイトなどの一部のアプリケーションでは、この処理は必要ありません。これらのアプリケーションでは、コンテンツ リライトをオフにできます。
disable オプションを指定して rewrite コマンドを使用することによって、コンテンツ リライトを選択的にオフにし、ユーザが ASA を経由せずに直接特定のサイトをブラウズ可能にできます。これは、IPsec VPN 接続におけるスプリット トンネリングに似ています。
このコマンドは複数回使用できます。ASA では、順序番号に従ってリライト ルールが検索され、一致する最初のルールが適用されるため、エントリの設定順序は重要です。
次に、cisco.com ドメインの URL に対するコンテンツ リライトをオフにする順序番号 1 のリライト ルールを設定する例を示します。
ciscoasa(config-webpn)#
rewrite order 2 disable resource-mask *cisco.com/*
|
|
---|---|
IPsec ユーザに対して IKE キー再生成時に再認証を要求するには、グループ ポリシー コンフィギュレーション モードで re-xauth enable コマンドを発行します。IKE キー再生成時にユーザの再認証をディセーブルにするには、 re-xauth disable コマンドを使用します。
実行コンフィギュレーションから re-xauth 属性を削除するには、このコマンドの no 形式を使用します。これにより、他のグループ ポリシーから IKE キー再生成時の再認証についての値が継承されます。
re-xauth { enable [ extended ] | disable}
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
IKE キー再生成時の再認証は、IPsec 接続に対してのみ適用されます。
IKE キー再生成時の再認証をイネーブルにすると、ASA では、最初のフェーズ 1 IKE ネゴシエーションにおいてユーザに対してユーザ名とパスワードの入力が求められ、その後 IKE キー再生成が行われるたびにユーザ認証が求められます。再認証によって、セキュリティが強化されます。
ユーザは、30 秒以内にクレデンシャルを入力する必要があります。また、約 2 分間で SA が期限切れになり、トンネルが終了するまでの間に、3 回まで入力を再試行できます。ユーザに対して、設定されている SA の最大ライフタイムまで認証クレデンシャルの再入力を許可するには、 extended キーワードを使用します。
設定されているキー再生成間隔をチェックするには、モニタリング モードで show crypto ipsec sa コマンドを発行して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータの KB 単位のライフタイムを表示します。
(注) 接続の他方の終端にユーザが存在しない場合、再認証は失敗します。
次に、FirstGroup という名前のグループ ポリシーに対して、キー再生成時の再認証をイネーブルにする例を示します。
RIP バージョン 2 パケットで使用される認証のタイプを指定するには、インターフェイス コンフィギュレーション モードで rip authentication mode コマンドを使用します。デフォルトの認証方法に戻すには、このコマンドの no 形式を使用します。
rip authentication mode { text | md5 }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。
インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。
次に、インターフェイス GigabitEthernet0/3 上で設定された RIP 認証の例を示します。
|
|
---|---|
RIP バージョン 2 パケットの認証をイネーブルにして、認証キーを指定するには、インターフェイス コンフィギュレーション モードで rip authentication key コマンドを使用します。RIP バージョン 2 認証をディセーブルにするには、このコマンドの no 形式を使用します。
rip authentication key [0 | 8] string key_id id
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。ネイバー認証をイネーブルにする場合は、 key 引数および key_id 引数が、RIP バージョン 2 更新を提供するネイバー デバイスによって使用されているものと同じである必要があります。key は、最大 16 文字のテキスト ストリングです。
インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。
次に、インターフェイス GigabitEthernet 0/3 上で設定された RIP 認証の例を示します。
|
|
---|---|
インターフェイスで受け入れる RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip receive version コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip receive version コマンドを入力します。
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。
次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを受信するように、ASA を設定する例を示します。
|
|
---|---|
インターフェイスで RIP アップデートを送信するために使用される RIP のバージョンを指定するには、インターフェイス コンフィギュレーション モードで rip send version コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。
rip send version { [ 1 ] [ 2 ] }
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
グローバル RIP 送信バージョン設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドを入力します。
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。
次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを送受信するように、ASA を設定する例を示します。
|
|
---|---|
既存のディレクトリを削除するには、特権 EXEC モードで rmdir コマンドを使用します。
rmdir [/noconfirm] [disk0: | disk1: | flash: ] path
(任意)非着脱式内部フラッシュを指定し、続けてコロンを入力します。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、 flash キーワードは disk0 とエイリアス関係にあります。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、「test」という名前の既存のディレクトリを削除する例を示します。
|
|
---|---|
指定したインターフェイスにスタティック ルートまたはデフォルト ルートを入力するには、グローバル コンフィギュレーション モードで route コマンドを使用します。指定されたインターフェイスからルートを削除するには、このコマンドの no 形式を使用します。
route
interface_name ip_address netmask gateway_ip [[ metric ] [ track number ] | tunneled ]
no route
interface_name ip_address netmask gateway_ip [[ metric ] [ track number ] | tunneled ]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
統合ルーティングおよびブリッジングを使用している場合のルーテッド モードの BVI インターフェイスのサポートが追加されました。 |
インターフェイスに対してデフォルト ルートまたはスタティック ルートを入力するには、 route コマンドを使用します。デフォルト ルートを入力するには、 ip_address および netmask を 0.0.0.0 または短縮形の 0 に設定します。 route コマンドを使用して入力されたすべてのルートは、コンフィギュレーションの保存時に保存されます。
トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、ASA に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。
tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。
tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。
スタティック ルートは、任意のインターフェイスで、ルータの外部に接続されているネットワークにアクセスする場合に作成します。たとえば、次のスタティック route コマンドでは、ASA によって、192.168.42.0 ネットワークへのすべてのパケットが 192.168.1.5 ルータ経由で送信されます。
各インターフェイスの IP アドレスを入力すると、ASA によって、ルート テーブルに CONNECT ルートが作成されます。このエントリは、 clear route コマンドや clear configure route コマンドを使用しても削除されません。
ACL の場合とは異なり、スタティック null0 ルートはまったくパフォーマンスを低下させません。 null0 設定は、ルーティング ループの防止に使用されます。BGP では、リモート トリガー型ブラック ホール ルーティングのために null0 設定を利用します。
次に、外部インターフェイスに対して、1 つのデフォルト route コマンドを指定する例を示します。
次に、ネットワークへのアクセスを提供するスタティック route コマンドを追加する例を示します。
次に、SLA 動作を使用して、外部インターフェイスに対して、10.1.1.1 ゲートウェイへのデフォルト ルートをインストールする例を示します。SLA 動作によって、このゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、DMZ インターフェイスのバックアップ ルートが使用されます。
次に、スタティック null0 ルートを設定する例を示します。
|
|
---|---|
ルーティング プロトコル間でルートを再配布する条件を定義したり、ポリシー ルーティングをイネーブルにしたりするには、グローバル コンフィギュレーション モードで route-map コマンドを使用し、さらにルート マップ コンフィギュレーション モードで match コマンドと set コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。
route-map name [permit | deny] [sequence number]
no route-map name [permit | deny] [sequence number]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、route-map グローバル コンフィギュレーション コマンドと、match および set ルート マップ コンフィギュレーション コマンドを使用します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準(現在の route-map コマンドで再配布が許可される条件)を指定します。set コマンドは、set 処理(match コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション)を指定します。no route-map コマンドはルート マップを削除します。
match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。match コマンドの順序は任意に指定できます。すべての match コマンドが満たされないと、set コマンドで指定した set 処理に従ってルートの再配布が行われません。match コマンドの no 形式を使用すると、指定した一致基準が削除されます。
ルーティング プロセス間でルートを再配布する方法を詳細に制御する必要がある場合にルート マップを使用します。宛先ルーティング プロトコルは router グローバル コンフィギュレーション コマンドを使用して指定します。ソース ルーティング プロトコルは redistribute ルータ コンフィギュレーション コマンドを使用して指定します。ルート マップの設定方法の例については、「例」のセクションを参照してください。
ルートがルート マップを通過するようにするときには、ルート マップに複数の要素を持たせることができます。route-map コマンドに関連付けられているどの match ステートメントとも一致しないルートは無視されます。したがって、そのルートは発信ルート マップ用にアドバタイズされることも、着信ルート マップ用に受け入れられることもありません。一部のデータのみ修正したい場合は、別にルート マップ セクションを設定して明示的に一致基準を指定する必要があります。
sequence-number 引数を使用した場合の動作は次のとおりです。
1. route-map name でエントリが定義されていない場合、sequence-number 引数を 10 にしたエントリが作成されます。
2. route-map name でエントリが 1 つしか定義されていない場合、そのエントリが後続の route-map コマンドのデフォルト エントリになります。このエントリの sequence-number 引数は変わりません。
3. route-map name で複数のエントリが定義されている場合、sequence-number 引数が必要であることを伝えるエラー メッセージが表示されます。
4. no route-map name コマンドが指定されると(sequence-number 引数なし)、ルート マップ全体が削除されます。
次の例は、ホップ カウント 1 でルートを OSPF に再配布する方法を示しています。ASA は、これらのルートをメトリック 5、メトリック タイプ 1 で外部 LSA として再配布します。
次に、メトリック値が設定された EIGRP プロセス 1 に 10.1.1.0 のスタティック ルートを再配布する例を示します。
|
|
---|---|
IS-IS プレフィックスに高いプライオリティを割り当てるには、ルータ ISIS コンフィギュレーション モードで route priority high コマンドを使用します。IP プレフィックス プライオリティを削除するには、このコマンドの no 形式を使用します。
no route priority high tag-value
特定のルート タグを持つ IS-IS IP プレフィックスにハイ プライオリティを割り当てます。指定できる範囲は 1 ~ 4294967295 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
グローバル ルーティング テーブルでより高速な処理とインストールを行うために、 route priority high コマンドを使用して、より高いプライオリティの IS-IS IP プレフィックスにタグ付けすると、より速くコンバージェンスを達成できます。たとえば、Voice over IP(VoIP)トラフィックが、その他のタイプのパケットよりも速く更新されるようにするために、VoIP ゲートウェイ アドレスが最初に処理されるようにすることができます。
次に、 route priority high コマンドを使用して、IS-IS IP プレフィックスにタグ値 100 を割り当てる例を示します。
IP オプション インスペクションにおいて、パケット ヘッダー内でルータ アラート IP オプションが存在する場合のアクションを定義するには、パラメータ コンフィギュレーション モードで router-alert コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
router-alert action {allow | clear}
no router-alert action {allow | clear}
デフォルトで、IP オプション インスペクションは、ルータ アラート IP オプションを含むパケットを許可します。
IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。
IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。
ルータ アラート(RTRALT)または IP オプション 20 は、中継ルータに対して、そのルータ宛てのパケットではない場合でもパケットの内容を検査するように指示します。このインスペクションは、RSVP を実装している場合に役に立ちます。同様のプロトコルは、パケット配信パス上にあるルータでの比較的複雑な処理を必要とします。
次に、ポリシー マップにおけるプロトコル違反に対するアクションを設定する例を示します。
|
|
---|---|
ボーダー ゲートウェイ プロトコル(BGP)ルーティング プロセスを設定するには、グローバル コンフィギュレーション モードで router bgp コマンドを使用します。BGP ルーティング プロセスを削除するには、このコマンドの no 形式を使用します。
router bgp autonomous-system-number
no router bgp autonomous-system-number
他の BGP ルータに対するルータを指定し、同時に渡されるルーティング情報のタギングをする、自律システムの番号。番号の範囲は 1 ~ 65535 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドを使用すると、自律システム間でのルーティング情報のループなしのやり取りが自動的に保証される、分散ルーティング コアを設定できます。
2009 年 1 月まで、企業に割り当てられていた BGP 自律システム番号は、RFC 4271『A Border Gateway Protocol 4 (BGP-4)』に記述された、1 ~ 65535 の範囲の 2 オクテットの数値でした。
現在は、自律システム番号の要求の増加に伴い、インターネット割り当て番号局(IANA)により割り当てられる自律システム番号は 65536 ~ 4294967295 の範囲の 4 オクテットの番号になります。
RFC 5396『Textual Representation of Autonomous System (AS) Numbers』には、自律システム番号を表す 3 つの方式が記述されています。シスコでは、次の 2 つの方式を実装しています。
次の例は、自律システム番号 100 用に BGP プロセスを設定する方法を示しています。
|
|
---|---|
EIGRP ルーティング プロセスを開始して、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router eigrp コマンドを使用します。EIGRP ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
他の EIGRP ルータへのルートを識別する自律システム番号。ルーティング情報のタギングにも使用されます。有効値は 1 ~ 65535 です。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
router eigrp コマンドは、EIGRP ルーティング プロセスを作成するか、または既存の EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。ASA では、単一の EIGRP ルーティング プロセスのみを作成できます。
次のルータ コンフィギュレーション モード コマンドを使用して、EIGRP ルーティング プロセスを設定します。
次のインターフェイス コンフィギュレーション モード コマンドを使用して、インターフェイス固有の EIGRP パラメータを設定します。
次に、自律システム番号 100 が付けられた EIGRP ルーティング プロセスのコンフィギュレーション モードを開始する例を示します。
|
|
---|---|
固定ルータ ID を使用するには、ルータ コンフィギュレーション モード(OSPFv2 の場合)またはIPv6 ルータ コンフィギュレーション モード(OSPFv3 の場合)で router-id コマンドを使用します。以前のルータ ID 動作を使用するように OSPF をリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドの処理順序が変更されました。このコマンドは、OSPFv2 コンフィギュレーションでは、 network コマンドよりも先に処理されるようになりました。 |
|
ASA では、OSPF コンフィギュレーションにおいて、デフォルトで、 network コマンドによって指定されているインターフェイス上の最上位の IP アドレスが使用されます。最上位の IP アドレスがプライベート アドレスである場合、そのアドレスは hello パケットおよびデータベース定義で送信されます。特定のルータ ID を使用するには、 router-id コマンドを使用して、ルータ ID としてグローバル アドレスを指定します。
ルータ ID は、OSPF ルーティング ドメイン内で一意である必要があります。同じ OSPF ドメイン内の 2 つのルータが同じルータ ID を使用している場合、ルーティングが正しく動作しない可能性があります。
OSPF コンフィギュレーションでは、 network コマンドを入力する前に router-id コマンドを入力する必要があります。これにより、ASA によって生成されるデフォルトのルータ ID との競合を回避できます。競合がある場合は、次のメッセージが表示されます。
競合する ID を入力するには、競合の原因となっている IP アドレスを含む network コマンドを削除し、 router-id コマンドを入力して、 network コマンドを再入力します。
レイヤ 2 クラスタリングでは、すべてのユニットで同じルータ ID を受け取る場合、 router-id id コマンドを設定するか、ルータ ID を空白のままにする必要があります。
次に、ルータ ID を 192.168.1.1 に設定する例を示します。
|
|
---|---|
レイヤ 3 クラスタリング用のルータ ID のクラスタ プールを指定するには、ルータ コンフィギュレーション モード(OSPFv2 の場合)またはIPv6 ルータ コンフィギュレーション モード(OSPFv3 の場合)で router-id cluster-pool コマンドを使用します。
router-id cluster-pool hostname | A.B.C.D ip_pool
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ルータ ID は、クラスタリングの OSPFv2 または OSPFv3 ルーティング ドメイン内で一意である必要があります。同じ OSPFv2 または OSPFv3 ドメイン内の 2 つのルータが同じルータ ID を使用している場合、クラスタリングでのルーティングが正しく動作しない可能性があります。
レイヤ 2 クラスタリングでは、すべてのユニットで同じルータ ID を受け取る場合、 router-id id コマンドを設定するか、ルータ ID を空白のままにする必要があります。
レイヤ 3 クラスタのインターフェイスを設定するときは、インターフェイスの IP アドレスをユニットごとに一意にする必要があります。各ユニットのインターフェイスの IP アドレスが一意になるようにするには、 router-id cluster-pool コマンドを使用して、OSPFv2 または OSPFv3 用に IP アドレスのローカル プールを設定します。
次に、OSPFv2 用にレイヤ 3 クラスタリングが設定されている場合の IP アドレス プールを設定する例を示します。
次に、OSPFv3 用にレイヤ 3 クラスタリングが設定されている場合の IP アドレス プールを設定する例を示します。
|
|
---|---|
IS-IS ルーティング プロトコルをイネーブルにし、IS-IS プロセスを指定するには、グローバル コンフィギュレーション モードで router isis コマンドを使用します。IS-IS ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、エリアの IS-IS ルーティングをイネーブルするために使用されます。エリアのエリア アドレスおよび ASA のシステム ID を指定するために、適切なネットワーク エンティティ タイトル(NET)が設定されている必要があります。隣接関係が確立されてダイナミック ルーティングが可能になる前に、1 つ以上のインターフェイスでルーティングをイネーブルにする必要があります。IS-IS の設定に使用するコマンドのリストについては、「関連コマンド」の表を参照してください。
次に、IS-IS ルーティングをイネーブルにする例を示します。
OSPF ルーティング プロセスを開始して、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router ospf コマンドを使用します。OSPF ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。
OSPF ルーティング プロセスの内部的に使用される ID パラメータ。有効な値は、1 ~ 65535 です。 pid は、他のルータの OSPF プロセスの ID と一致する必要はありません。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
router ospf コマンドは、ASA 上で実行される OSPF ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 router ospf コマンドを入力すると、ルータ コンフィギュレーション モードであることを示す (config-router)# コマンド プロンプトが表示されます。
no router ospf コマンドを使用する場合は、必要な情報を指定する場合を除き、オプションの引数を指定する必要はありません。 no router ospf コマンドは、 pid によって指定された OSPF ルーティング プロセスを終了します。 pid は、ASA においてローカルに割り当てます。OSPF ルーティング プロセスごとに固有の値を割り当てる必要があります。
router ospf コマンドは、次の OSPF 固有のコマンドとともに、OSPF ルーティング プロセスを設定するために使用されます。
次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。
|
|
---|---|
RIP ルーティング プロセスを開始して、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router rip コマンドを使用します。RIP ルーティング プロセスをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
router rip コマンドは、ASA 上の RIP ルーティング プロセスを設定するためのグローバル コンフィギュレーション コマンドです。ASA では、1 つの RIP プロセスのみを設定できます。 no router rip コマンドは、RIP ルーティング プロセスを終了し、そのプロセスのすべてのルータ コンフィギュレーションを削除します 。
router rip コマンドを入力すると、コマンド プロンプトが、ルータ コンフィギュレーション モードであることを示す ciscoasa(config-router)# に変更されます。
router rip コマンドは、次のルータ コンフィギュレーション コマンドとともに、RIP ルーティング プロセスを設定するために使用されます。
また、次のコマンドをインターフェイス コンフィギュレーション モードで使用して、インターフェイスごとの RIP プロパティを設定できます。
トランスペアレント モードでは RIP はサポートされていません。デフォルトで、ASA は、すべての RIP ブロードキャスト パケットおよびマルチキャスト パケットを拒否します。これらの RIP メッセージが、トランスペアレント モードで動作する ASA を通過できるようにするには、このトラフィックを許可するアクセス リスト エントリを定義する必要があります。たとえば、RIP バージョン 2 トラフィックが ASA を通過できるようにするには、次のようなアクセス リスト エントリを作成します。
ciscoasa(config)# access-list myriplist extended permit ip any host 224.0.0.9
RIP バージョン 1 のブロードキャストを許可するには、次のようなアクセス リスト エントリを作成します。
ciscoasa(config)# access-list myriplist extended permit udp any any eq rip
次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ピンホールを通過する RTP パケットが H.323 および SIP プロトコルに準拠しているかどうかをチェックするには、パラメータ コンフィギュレーション モードで rtp-conformance コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
rtp-conformance [enforce-payloadtype]
no rtp-conformance [enforce-payloadtype]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ピンホールを通過する RTP パケットが H.323 コールのプロトコルに準拠しているかどうかをチェックする例を示します。
|
|
---|---|
H.323 および SIP インスペクションに関連する RTP パケットのデバッグ情報およびエラー メッセージを表示します。 |
|
電話プロキシ機能の rtp-min-port および rtp-max-port の制限を設定するには、電話プロキシ コンフィギュレーション モードで rtp-min-port rtp-max-port コマンドを使用します。電話プロキシ コンフィギュレーションから制限を削除するには、このコマンドの no 形式を使用します。
rtp-min-port port1 rtp-maxport port2
no rtp-min-port port1 rtp-maxport port2
メディア ターミネーション ポイントの RTP ポート範囲の最小値を指定します。 port1 には、1024 ~ 16384 の値を指定できます。 |
|
メディア ターミネーション ポイントの RTP ポート範囲の最大値を指定します。 port2 には、32767 ~ 65535 の値を指定できます。 |
デフォルトで、 rtp-min-port キーワードの port1 の値は 16384、 rtp-max-port キーワードの port2 の値は 32767 です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
電話プロキシでサポートするコール数の規模を調整する必要がある場合は、メディア ターミネーション ポイントの RTP ポート範囲を設定します。
次に、 rtp-min-port コマンドを使用して、メディア接続に使用するポートを指定する例を示します。
ciscoasa(config-phone-proxy)#
rtp-min-port 2001 rtp-maxport 32770
|
|
---|---|