Cisco ASA シリーズ コマンド リファレンス、I ～ R コマンド

 

構文の説明

 

デフォルト

デフォルトの再試行回数は 2 回です。

 

コマンド履歴

 

使用上のガイドライン

name-server コマンドを使用して DNS サーバを追加します。

dns name-server コマンドがこのコマンドに置き換えられました。

例

次に、再試行回数を 0 回に設定する例を示します。ASA は各サーバへの要求を 1 回のみ行います。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルト値は 5 です。

 

コマンド履歴

 

使用上のガイドライン

Cisco Cloud Web Security サービスに登録すると、プライマリ クラウド Web セキュリティ プロキシ サーバとバックアップ プロキシ サーバが割り当てられます。

クライアントがプライマリ サーバに到達できない場合、ASA は可用性を判定するためにタワーのポーリングを開始します（クライアントのアクティビティが存在しない場合、ASA は 15 分ごとにポーリングします）。設定された回数だけ再試行してもプロキシ サーバが使用できない場合（デフォルトは 5 回。この設定は設定可能）、サーバは到達不能として宣言され、バックアップ プロキシ サーバがアクティブになります。

クライアントまたは ASA が、再試行回数に到達する前に少なくとも 2 回連続してサーバに到達できる場合、ポーリングは停止し、タワーはアクセス可能であると判定されます。

再試行回数は、アプリケーション健全性チェックにも適用されます（イネーブルの場合）。

バックアップ サーバへのフェールオーバー後、ASA はプライマリ サーバをポーリングし続けます。プライマリ サーバが到達可能になると、ASA はプライマリ サーバの使用に戻ります。

例

次に、再試行回数の値を 7 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの再試行間隔は 10 秒です。

 

コマンド履歴

 

使用上のガイドライン

接続試行間に ASA が待機する秒数を指定またはリセットするには、 retry-interval コマンドを使用します。ASA が AAA サーバへの接続を試行する時間の長さを指定するには、 timeout コマンドを使用します。

（注） RADIUS プロトコルの場合、サーバが ICMP ポート到達不能メッセージで応答すると、再試行間隔の設定が無視され、AAA サーバはただちに障害状態になります。このサーバが AAA グループ内の唯一のサーバである場合は、サーバが再アクティブ化され、別の要求がサーバに送信されます。これは意図された動作です。

例

次に、コンテキストでの retry-interval コマンドの例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は 36000 です。

 

コマンド履歴

 

使用上のガイドライン

ASA では、ポスチャ検証に成功するたびに、再検証タイマーが開始されます。このタイマーが期限切れになると、次の無条件のポスチャ検証がトリガーされます。ASA では、再検証中はポスチャ検証が維持されます。ポスチャ検証または再検証中にアクセス コントロール サーバが使用できない場合、デフォルトのグループ ポリシーが有効になります。

例

次に、再検証タイマーを 86400 秒に変更する例を示します。

次に、NAC ポリシーから再検証タイマーを削除する例を示します。

 

関連コマンド

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA のフラッシュ メモリから Web 関連のすべての情報（カスタマイゼーション、プラグイン、変換テーブル、URL リスト、および Web コンテンツ）をディセーブルにし、削除するには、 revert webvpn all コマンドを使用します。すべての Web 関連データを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。

例

次に、ASA からすべての Web 関連コンフィギュレーション データを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにデフォルトの動作はありません。

 

コマンド履歴

 

使用上のガイドライン

AnyConnect クライアント GUI をカスタマイズする手順の詳細については、『AnyConnect VPN Client Administrator Guide』を参照してください。

例

次に、AnyConnect GUI をカスタマイズするために以前にリソース ファイルとしてインポートした Cisco ロゴを削除する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

指定したカスタマイゼーションのリモート クライアントレス SSL VPN サポートを削除し、ASAのキャッシュ メモリからそのカスタマイゼーション オブジェクトを削除するには、 revert webvpn customization コマンドを使用します。カスタマイゼーション オブジェクトを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。カスタマイゼーション オブジェクトには、特定の指定されたポータル ページのコンフィギュレーション パラメータが含まれています。

バージョン 8.0 ソフトウェアでは、カスタマイゼーションの設定機能が拡張されており、新しいプロセスは以前のバージョンと互換性がありません。セキュリティ アプライアンスでは、8.0 ソフトウェアへのアップグレード時に、古い設定を使用して新しいカスタマイゼーション オブジェクトを生成することによって、現在の設定が保持されます。このプロセスは 1 回のみ実行されます。また、古い値は新しい値の一部を構成するサブセットに過ぎないため、このプロセスは古い形式から新しい形式への単なる変換ではありません。

（注） バージョン 7.2 のポータル カスタマイゼーションおよび URL リストは、バージョン 8.0 へのアップグレード前にバージョン 7.2(x) のコンフィギュレーション ファイルで適切なインターフェイスにおいてクライアントレス SSL VPN（WebVPN）がイネーブルになっている場合にのみ、ベータ 8.0 コンフィギュレーションで動作します。

例

次に、GroupB という名前のカスタマイゼーション オブジェクトを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

指定した Java ベースのクライアント アプリケーションのクライアントレス SSL VPN サポートをディセーブルにし、削除して、ASA のフラッシュ ドライブからも削除するには、 revert webvpn plug-in protocol コマンドを使用します。

例

次に、RDP のサポートを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

インポートされた変換テーブルをディセーブルにし、削除して、フラッシュ メモリから削除するには、 revert webvpn translation-table コマンドを使用します。変換テーブルを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。

例

次に、フランス語の AnyConnect 変換テーブルを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ASA のフラッシュ ドライブから現在の URL リストをディセーブルにし、削除するには、 revert webvpn url-list コマンドを使用します。URL リストを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。

revert webvpn url-list コマンドで使用される template 引数では、設定済みの URL リストの名前を指定します。このようなリストを設定するには、グローバル コンフィギュレーション モードで url-list コマンドを使用します。

例

次に、servers2 という URL リストを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

Web コンテンツを含むファイルをディセーブルにし、削除して、ASA のフラッシュ メモリからも削除するには、 revert webvpn content コマンドを使用します。Web コンテンツを削除すると、デフォルト設定が使用可能な場合にはデフォルト設定に戻ります。

例

次に、ASA のフラッシュ メモリから ABCLogo という Web コンテンツ ファイルを削除するコマンドを示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト値は none です。

 

コマンド履歴

 

使用上のガイドライン

OCSP 応答の署名者は、通常、OCSP サーバ（レスポンダ）証明書です。デバイスは、応答を受信した後、レスポンダ証明書の検証を試みます。

通常、CA は、セキュリティが侵害される危険性を最小限に抑えるために、OCSP レスポンダ証明書のライフタイムを比較的短い期間に設定します。CA は、失効ステータス チェックが必要ないことを示す ocsp-no-check 拡張をレスポンダ証明書に組み込みます。ただし、この拡張が存在しない場合、デバイスは、この revocation-check コマンドでトラストポイントに設定された失効方法を使用して、証明書失効ステータスを確認しようとします。 none オプションを設定してステータス チェックを無視していない限り、OCSP 失効チェックの失敗後、OCSP レスポンダ証明書に ocsp-no-check 拡張がない場合、OCSP レスポンダ証明書は検証可能である必要があります。

（注） オプションの引数を指定する場合、順序は問いませんが、none キーワードは必ず最後にする必要があります。

ASA では、それらの方法が設定した順序で試行されます。2 番目と 3 番目の方法は、前の方法でエラー（サーバのダウンなど）が返された場合にのみ、ステータスを失効と見なさずに試行されます。

クライアント証明書検証トラストポイントで、失効チェック方法を設定できます。また、レスポンダ証明書検証トラストポイントで、失効チェックなし（ revocation-check none ）を設定することもできます。設定例については、 match certificate コマンドを参照してください。

ASA で revocation-check crl none コマンドを設定している場合、クライアントが ASA に接続すると、CRL がまだキャッシュされていないためダウンロードが自動的に開始され、証明書が検証されてから CRL のダウンロードが終了します。この場合、CRL がキャッシュされていないと、CRL のダウンロード前に ASA で証明書が検証されます。

ただし、ASA 9.13(1) 以降では、失効チェックをバイパスするための次のオプションはサポートされていません。

そのため、アップグレード後に、サポートされなくなったすべての失効チェックコマンドは、末尾の none オプションを無視して新しい動作に移行します。

例

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、すべてをリライトします。

 

コマンド履歴

 

使用上のガイドライン

ASA では、WebVPN 接続経由で正しくレンダリングされるように、アプリケーションのコンテンツがリライトされます。外部パブリック Web サイトなどの一部のアプリケーションでは、この処理は必要ありません。これらのアプリケーションでは、コンテンツ リライトをオフにできます。

disable オプションを指定して rewrite コマンドを使用することによって、コンテンツ リライトを選択的にオフにし、ユーザが ASA を経由せずに直接特定のサイトをブラウズ可能にできます。これは、IPsec VPN 接続におけるスプリット トンネリングに似ています。

このコマンドは複数回使用できます。ASA では、順序番号に従ってリライト ルールが検索され、一致する最初のルールが適用されるため、エントリの設定順序は重要です。

例

次に、cisco.com ドメインの URL に対するコンテンツ リライトをオフにする順序番号 1 のリライト ルールを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

IKE キー再生成時の再認証はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

IKE キー再生成時の再認証は、IPsec 接続に対してのみ適用されます。

IKE キー再生成時の再認証をイネーブルにすると、ASA では、最初のフェーズ 1 IKE ネゴシエーションにおいてユーザに対してユーザ名とパスワードの入力が求められ、その後 IKE キー再生成が行われるたびにユーザ認証が求められます。再認証によって、セキュリティが強化されます。

ユーザは、30 秒以内にクレデンシャルを入力する必要があります。また、約 2 分間で SA が期限切れになり、トンネルが終了するまでの間に、3 回まで入力を再試行できます。ユーザに対して、設定されている SA の最大ライフタイムまで認証クレデンシャルの再入力を許可するには、 extended キーワードを使用します。

設定されているキー再生成間隔をチェックするには、モニタリング モードで show crypto ipsec sa コマンドを発行して、セキュリティ アソシエーションの秒単位のライフタイム、およびデータの KB 単位のライフタイムを表示します。

（注） 接続の他方の終端にユーザが存在しない場合、再認証は失敗します。

例

次に、FirstGroup という名前のグループ ポリシーに対して、キー再生成時の再認証をイネーブルにする例を示します。

 

構文の説明

 

デフォルト

デフォルトで、クリア テキスト認証が使用されます。

 

コマンド履歴

 

使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。

例

次に、インターフェイス GigabitEthernet0/3 上で設定された RIP 認証の例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

RIP 認証はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。ネイバー認証をイネーブルにする場合は、 key 引数および key_id 引数が、RIP バージョン 2 更新を提供するネイバー デバイスによって使用されているものと同じである必要があります。key は、最大 16 文字のテキスト ストリングです。

インターフェイス上で rip authentication コマンドを表示するには、 show interface コマンドを使用します。

例

次に、インターフェイス GigabitEthernet 0/3 上で設定された RIP 認証の例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ASA は RIP バージョン 1 とバージョン 2 のパケットを受け入れます。

 

コマンド履歴

 

使用上のガイドライン

グローバル設定をインターフェイスごとに上書きするには、インターフェイスで rip receive version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

例

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを受信するように、ASA を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

ASA は RIP バージョン 1 パケットを送信します。

 

コマンド履歴

 

使用上のガイドライン

グローバル RIP 送信バージョン設定をインターフェイスごとに上書きするには、インターフェイスで rip send version コマンドを入力します。

RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。

例

次に、指定したインターフェイス上で RIP バージョン 1 と 2 のパケットを送受信するように、ASA を設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ディレクトリが空でない場合、 rmdir コマンドは失敗します。

例

次に、「test」という名前の既存のディレクトリを削除する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

metric のデフォルトは 1 です。

 

コマンド履歴

 

使用上のガイドライン

インターフェイスに対してデフォルト ルートまたはスタティック ルートを入力するには、 route コマンドを使用します。デフォルト ルートを入力するには、 ip_address および netmask を 0.0.0.0 または短縮形の 0 に設定します。 route コマンドを使用して入力されたすべてのルートは、コンフィギュレーションの保存時に保存されます。

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、ASA に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。トンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。

tunneled オプションを使用したデフォルト ルートには、次の制約事項が適用されます。

• トンネル ルートの出力インターフェイスで、ユニキャスト RPF（ ip verify reverse-path ）をイネーブルにしないでください。トンネル ルートの出力インターフェイスで uRPF をイネーブルにすると、セッションに障害が発生します。
• セッションでエラーが発生する原因となるため、トンネル ルートの出力インターフェイスで TCP 代行受信をイネーブルにしないでください。
• VoIP インスペクション エンジン（CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY）、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、vlan-mapping オプションまたはトンネル ルートでは使用しないでください。vlan-mapping 設定によってパケットが間違ってルーティングされる可能性があるため、これらのインスペクション エンジンは、vlan-mapping 設定を無視します。

tunneled オプションを使用して複数のデフォルト ルートは定義できません。トンネル トラフィックの ECMP はサポートされていません。

スタティック ルートは、任意のインターフェイスで、ルータの外部に接続されているネットワークにアクセスする場合に作成します。たとえば、次のスタティック route コマンドでは、ASA によって、192.168.42.0 ネットワークへのすべてのパケットが 192.168.1.5 ルータ経由で送信されます。

各インターフェイスの IP アドレスを入力すると、ASA によって、ルート テーブルに CONNECT ルートが作成されます。このエントリは、 clear route コマンドや clear configure route コマンドを使用しても削除されません。

ACL の場合とは異なり、スタティック null0 ルートはまったくパフォーマンスを低下させません。 null0 設定は、ルーティング ループの防止に使用されます。BGP では、リモート トリガー型ブラック ホール ルーティングのために null0 設定を利用します。

例

次に、外部インターフェイスに対して、1 つのデフォルト route コマンドを指定する例を示します。

次に、ネットワークへのアクセスを提供するスタティック route コマンドを追加する例を示します。

次に、SLA 動作を使用して、外部インターフェイスに対して、10.1.1.1 ゲートウェイへのデフォルト ルートをインストールする例を示します。SLA 動作によって、このゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合は、DMZ インターフェイスのバックアップ ルートが使用されます。

次に、スタティック null0 ルートを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト設定はありません。

 

コマンド履歴

 

使用上のガイドライン

ルートを再配布するには、ルート マップを使用します。

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を定義するには、route-map グローバル コンフィギュレーション コマンドと、match および set ルート マップ コンフィギュレーション コマンドを使用します。route-map コマンドごとに、それに関連した match および set コマンドのリストがあります。match コマンドは、一致基準（現在の route-map コマンドで再配布が許可される条件）を指定します。set コマンドは、set 処理（match コマンドによって強制される基準が満たされた場合に実行される特定の再配布アクション）を指定します。no route-map コマンドはルート マップを削除します。

match ルート マップ コンフィギュレーション コマンドには、複数の形式があります。match コマンドの順序は任意に指定できます。すべての match コマンドが満たされないと、set コマンドで指定した set 処理に従ってルートの再配布が行われません。match コマンドの no 形式を使用すると、指定した一致基準が削除されます。

ルーティング プロセス間でルートを再配布する方法を詳細に制御する必要がある場合にルート マップを使用します。宛先ルーティング プロトコルは router グローバル コンフィギュレーション コマンドを使用して指定します。ソース ルーティング プロトコルは redistribute ルータ コンフィギュレーション コマンドを使用して指定します。ルート マップの設定方法の例については、「例」のセクションを参照してください。

ルートがルート マップを通過するようにするときには、ルート マップに複数の要素を持たせることができます。route-map コマンドに関連付けられているどの match ステートメントとも一致しないルートは無視されます。したがって、そのルートは発信ルート マップ用にアドバタイズされることも、着信ルート マップ用に受け入れられることもありません。一部のデータのみ修正したい場合は、別にルート マップ セクションを設定して明示的に一致基準を指定する必要があります。

sequence-number 引数を使用した場合の動作は次のとおりです。

1. route-map name でエントリが定義されていない場合、sequence-number 引数を 10 にしたエントリが作成されます。

2. route-map name でエントリが 1 つしか定義されていない場合、そのエントリが後続の route-map コマンドのデフォルト エントリになります。このエントリの sequence-number 引数は変わりません。

3. route-map name で複数のエントリが定義されている場合、sequence-number 引数が必要であることを伝えるエラー メッセージが表示されます。

4. no route-map name コマンドが指定されると（sequence-number 引数なし）、ルート マップ全体が削除されます。

例

次の例は、ホップ カウント 1 でルートを OSPF に再配布する方法を示しています。ASA は、これらのルートをメトリック 5、メトリック タイプ 1 で外部 LSA として再配布します。

次に、メトリック値が設定された EIGRP プロセス 1 に 10.1.1.0 のスタティック ルートを再配布する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

IP プレフィックス プライオリティは設定されていません。

 

コマンド履歴

 

使用上のガイドライン

グローバル ルーティング テーブルでより高速な処理とインストールを行うために、 route priority high コマンドを使用して、より高いプライオリティの IS-IS IP プレフィックスにタグ付けすると、より速くコンバージェンスを達成できます。たとえば、Voice over IP（VoIP）トラフィックが、その他のタイプのパケットよりも速く更新されるようにするために、VoIP ゲートウェイ アドレスが最初に処理されるようにすることができます。

例

次に、 route priority high コマンドを使用して、IS-IS IP プレフィックスにタグ値 100 を割り当てる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトで、IP オプション インスペクションは、ルータ アラート IP オプションを含むパケットを許可します。

IP オプション インスペクション ポリシー マップで default コマンドを使用するとデフォルト値を変更できます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、IP オプション インスペクション ポリシー マップで設定できます。

IP オプション インスペクションを設定して、どの IP パケットが所定の IP オプションを持ち、ASA を通過できるかを制御できます。変更せずにパケットを通過させたり、指定されている IP オプションをクリアしてからパケットを通過させたりできます。

ルータ アラート（RTRALT）または IP オプション 20 は、中継ルータに対して、そのルータ宛てのパケットではない場合でもパケットの内容を検査するように指示します。このインスペクションは、RSVP を実装している場合に役に立ちます。同様のプロトコルは、パケット配信パス上にあるルータでの比較的複雑な処理を必要とします。

例

次に、ポリシー マップにおけるプロトコル違反に対するアクションを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは BGP ルーティング プロセスはイネーブルではありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用すると、自律システム間でのルーティング情報のループなしのやり取りが自動的に保証される、分散ルーティング コアを設定できます。

2009 年 1 月まで、企業に割り当てられていた BGP 自律システム番号は、RFC 4271『A Border Gateway Protocol 4 (BGP-4)』に記述された、1 ～ 65535 の範囲の 2 オクテットの数値でした。

現在は、自律システム番号の要求の増加に伴い、インターネット割り当て番号局（IANA）により割り当てられる自律システム番号は 65536 ～ 4294967295 の範囲の 4 オクテットの番号になります。

RFC 5396『Textual Representation of Autonomous System (AS) Numbers』には、自律システム番号を表す 3 つの方式が記述されています。シスコでは、次の 2 つの方式を実装しています。

• asplain：10 進表記方式。2 バイトおよび 4 バイト自律システム番号をその 10 進数値で表します。たとえば、65526 は 2 バイト自律システム番号、234567 は 4 バイト自律システム番号になります。
• asdot：自律システム ドット付き表記。2 バイト自律システム番号は 10 進数で、4 バイト自律システム番号はドット付き表記で表されます。たとえば、65526 は 2 バイト自律システム番号、1.169031（10 進表記の 234567 をドット付き表記にしたもの）は 4 バイト自律システム番号になります。

自律システム番号を表す 3 つ目の方法については、RFC 5396 を参照してください。

例

次の例は、自律システム番号 100 用に BGP プロセスを設定する方法を示しています。

 

関連コマンド

 

構文の説明

 

デフォルト

EIGRP ルーティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

router eigrp コマンドは、EIGRP ルーティング プロセスを作成するか、または既存の EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。ASA では、単一の EIGRP ルーティング プロセスのみを作成できます。

次のルータ コンフィギュレーション モード コマンドを使用して、EIGRP ルーティング プロセスを設定します。

• auto-summary ：自動ルート集約をイネーブルまたはディセーブルにします。
• default-information ：デフォルト ルート情報の送受信をイネーブルまたはディセーブルにします。
• default-metric ：EIGRP ルーティング プロセスに再配布されるルートのデフォルトのメトリックを定義します。
• distance eigrp ：内部および外部 EIGRP ルートのアドミニストレーティブ ディスタンスを設定します。
• distribute-list ：ルーティング更新で送受信されるネットワークをフィルタリングします。
• eigrp log-neighbor-changes ：ネイバー ステートの変更のロギングをイネーブルまたはディセーブルにします。
• eigrp log-neighbor-warnings ：ネイバー警告メッセージのロギングをイネーブルまたはディセーブルにします。
• eigrp router-id ：固定ルータ ID を作成します。
• eigrp stub ：ASA でスタブ EIGRP ルーティングを設定します。
• neighbor ：EIGRP ネイバーをスタティックに定義します。
• network ：EIGRP ルーティング プロセスに参加するネットワークを設定します。
• passive-interface ：パッシブ インターフェイスとして動作するインターフェイスを設定します。
• redistribute ：他のルーティング プロセスから EIGRP にルートを再配布します。

次のインターフェイス コンフィギュレーション モード コマンドを使用して、インターフェイス固有の EIGRP パラメータを設定します。

• authentication key eigrp ：EIGRP メッセージ認証で使用される認証キーを定義します。
• authentication mode eigrp ：EIGRP メッセージ認証で使用される認証アルゴリズムを定義します。
• delay ：インターフェイスの遅延メトリックを設定します。
• hello-interval eigrp ：EIGRP の hello パケットがインターフェイスから送信される間隔を変更します。
• hold-time eigrp ：ASA によってアドバタイズされるホールド タイムを変更します。
• split-horizon eigrp ：インターフェイスで EIGRP スプリット ホライズンをイネーブルまたはディセーブルにします。
• summary-address eigrp ：サマリー アドレスを手動で定義します。

例

次に、自律システム番号 100 が付けられた EIGRP ルーティング プロセスのコンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

指定しない場合、ASA 上で最上位の IP アドレスがルータ ID として使用されます。

 

コマンド履歴

 

使用上のガイドライン

ASA では、OSPF コンフィギュレーションにおいて、デフォルトで、 network コマンドによって指定されているインターフェイス上の最上位の IP アドレスが使用されます。最上位の IP アドレスがプライベート アドレスである場合、そのアドレスは hello パケットおよびデータベース定義で送信されます。特定のルータ ID を使用するには、 router-id コマンドを使用して、ルータ ID としてグローバル アドレスを指定します。

ルータ ID は、OSPF ルーティング ドメイン内で一意である必要があります。同じ OSPF ドメイン内の 2 つのルータが同じルータ ID を使用している場合、ルーティングが正しく動作しない可能性があります。

OSPF コンフィギュレーションでは、 network コマンドを入力する前に router-id コマンドを入力する必要があります。これにより、ASA によって生成されるデフォルトのルータ ID との競合を回避できます。競合がある場合は、次のメッセージが表示されます。

競合する ID を入力するには、競合の原因となっている IP アドレスを含む network コマンドを削除し、 router-id コマンドを入力して、 network コマンドを再入力します。

クラスタ

レイヤ 2 クラスタリングでは、すべてのユニットで同じルータ ID を受け取る場合、 router-id id コマンドを設定するか、ルータ ID を空白のままにする必要があります。

例

次に、ルータ ID を 192.168.1.1 に設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

ルータ ID は、クラスタリングの OSPFv2 または OSPFv3 ルーティング ドメイン内で一意である必要があります。同じ OSPFv2 または OSPFv3 ドメイン内の 2 つのルータが同じルータ ID を使用している場合、クラスタリングでのルーティングが正しく動作しない可能性があります。

レイヤ 2 クラスタリングでは、すべてのユニットで同じルータ ID を受け取る場合、 router-id id コマンドを設定するか、ルータ ID を空白のままにする必要があります。

レイヤ 3 クラスタのインターフェイスを設定するときは、インターフェイスの IP アドレスをユニットごとに一意にする必要があります。各ユニットのインターフェイスの IP アドレスが一意になるようにするには、 router-id cluster-pool コマンドを使用して、OSPFv2 または OSPFv3 用に IP アドレスのローカル プールを設定します。

例

次に、OSPFv2 用にレイヤ 3 クラスタリングが設定されている場合の IP アドレス プールを設定する例を示します。

次に、OSPFv3 用にレイヤ 3 クラスタリングが設定されている場合の IP アドレス プールを設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、エリアの IS-IS ルーティングをイネーブルするために使用されます。エリアのエリア アドレスおよび ASA のシステム ID を指定するために、適切なネットワーク エンティティ タイトル（NET）が設定されている必要があります。隣接関係が確立されてダイナミック ルーティングが可能になる前に、1 つ以上のインターフェイスでルーティングをイネーブルにする必要があります。IS-IS の設定に使用するコマンドのリストについては、「関連コマンド」の表を参照してください。

例

次に、IS-IS ルーティングをイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

OSPF ルーティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

router ospf コマンドは、ASA 上で実行される OSPF ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 router ospf コマンドを入力すると、ルータ コンフィギュレーション モードであることを示す (config-router)# コマンド プロンプトが表示されます。

no router ospf コマンドを使用する場合は、必要な情報を指定する場合を除き、オプションの引数を指定する必要はありません。 no router ospf コマンドは、 pid によって指定された OSPF ルーティング プロセスを終了します。 pid は、ASA においてローカルに割り当てます。OSPF ルーティング プロセスごとに固有の値を割り当てる必要があります。

router ospf コマンドは、次の OSPF 固有のコマンドとともに、OSPF ルーティング プロセスを設定するために使用されます。

• area ：通常の OSPF エリアを設定します。
• compatible rfc1583 ：集約ルートのコスト計算に使用される方法を RFC 1583 に従った方法に戻します。
• default-information originate ：OSPF ルーティング ドメインへのデフォルト外部ルートを生成します。
• distance ：ルート タイプに基づいて、OSPF ルート アドミニストレーティブ ディスタンスを定義します。
• ignore ：ルータがタイプ 6 Multicast OSPF（MOSPF）パケットのリンクステート アドバタイズメント（LSA）を受信した場合の syslog メッセージの送信を抑制します。
• log-adj-changes ：OSPF ネイバーが起動または停止したときに、ルータが syslog メッセージを送信するように設定します。
• neighbor ：ネイバー ルータを指定します。VPN トンネル経由での隣接関係の確立を許可するために使用します。
• network ：OSPF が実行されるインターフェイス、およびそれらのインターフェイスのエリア ID を定義します。
• redistribute ：指定されたパラメータに従って、ルーティング ドメイン間でのルートの再配布を設定します。
• router-id ：固定ルータ ID を作成します。
• summary-address ：OSPF の集約アドレスを作成します。
• timer lsa arrival ：OSPF ネイバーから同一のリンクステート アドバタイズメント（LSA）を受け入れる最小間隔（ミリ秒）を定義します。
• timer pacing flood ：フラッディング キュー内の LSA の更新の最小間隔（ミリ秒）を定義します。
• timer pacing lsa-group ：LSA のグループのリフレッシュまたは管理の間隔（秒）を定義します。
• timer pacing retransmission ：ネイバー再送信の最小間隔（ミリ秒）を定義します。
• timer throttle lsa ：LSA の最初のオカレンスを生成する遅延（ミリ秒）を定義します。
• timer throttle spf ：SPF 計算の変更を受信する遅延（ミリ秒）を定義します。
• timer nsf wait ：NSF 再起動中のインターフェイス待機間隔を定義します。デフォルト値は 20 秒です。許容範囲は 1 ～ 65535 秒です。

例

次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

RIP ルーティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

router rip コマンドは、ASA 上の RIP ルーティング プロセスを設定するためのグローバル コンフィギュレーション コマンドです。ASA では、1 つの RIP プロセスのみを設定できます。 no router rip コマンドは、RIP ルーティング プロセスを終了し、そのプロセスのすべてのルータ コンフィギュレーションを削除します 。

router rip コマンドを入力すると、コマンド プロンプトが、ルータ コンフィギュレーション モードであることを示す ciscoasa(config-router)# に変更されます。

router rip コマンドは、次のルータ コンフィギュレーション コマンドとともに、RIP ルーティング プロセスを設定するために使用されます。

• auto-summary ：ルートの自動集約をイネーブルまたはディセーブルにします。
• default-information originate ：デフォルト ルートを配布します。
• distribute-list in ：着信ルーティング更新のネットワークをフィルタリングします。
• distribute-list out ：発信ルーティング更新のネットワークをフィルタリングします。
• network ：ルーティング プロセスでインターフェイスを追加または削除します。
• passive-interface ：特定のインターフェイスをパッシブ モードに設定します。
• redistribute ：他のルーティング プロセスから RIP ルーティング プロセスにルートを再配布します。
• version ：ASA で使用される RIP プロトコル バージョンを設定します。

また、次のコマンドをインターフェイス コンフィギュレーション モードで使用して、インターフェイスごとの RIP プロパティを設定できます。

• rip authentication key ：認証キーを設定します。
• rip authentication mode ：RIP バージョン 2 によって使用される認証のタイプを設定します。
• rip send version ：インターフェイスから更新を送信するために使用する RIP のバージョンを設定します。グローバル ルータ コンフィギュレーション モードでバージョンが設定されている場合は、このコマンドによって上書きされます。
• rip receive version ：インターフェイスで受け入れる RIP のバージョンを設定します。グローバル ルータ コンフィギュレーション モードでバージョンが設定されている場合は、このコマンドによって上書きされます。

トランスペアレント モードでは RIP はサポートされていません。デフォルトで、ASA は、すべての RIP ブロードキャスト パケットおよびマルチキャスト パケットを拒否します。これらの RIP メッセージが、トランスペアレント モードで動作する ASA を通過できるようにするには、このトラフィックを許可するアクセス リスト エントリを定義する必要があります。たとえば、RIP バージョン 2 トラフィックが ASA を通過できるようにするには、次のようなアクセス リスト エントリを作成します。

ciscoasa(config)# access-list myriplist extended permit ip any host 224.0.0.9

RIP バージョン 1 のブロードキャストを許可するには、次のようなアクセス リスト エントリを作成します。

ciscoasa(config)# access-list myriplist extended permit udp any any eq rip

access-group コマンドを使用して、これらのアクセスリストエントリを適切なインターフェイスに適用します。

ASA では、RIP ルーティングと OSPF ルーティングの両方を同時にイネーブルにできます。

例

次に、OSPF ルーティング プロセス番号 5 のコンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、ピンホールを通過する RTP パケットが H.323 コールのプロトコルに準拠しているかどうかをチェックする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトで、 rtp-min-port キーワードの port1 の値は 16384、 rtp-max-port キーワードの port2 の値は 32767 です。

 

コマンド履歴

 

使用上のガイドライン

電話プロキシでサポートするコール数の規模を調整する必要がある場合は、メディア ターミネーション ポイントの RTP ポート範囲を設定します。

例

次に、 rtp-min-port コマンドを使用して、メディア接続に使用するポートを指定する例を示します。

 

関連コマンド