Cisco ASA シリーズ コマンド リファレンス、S コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

例

次に、証明書マップ 1 に対して CA 証明書マップ コンフィギュレーション モードを開始して、証明書サブジェクト名の組織属性が Central と等しくなる必要があることを指定するルール エントリを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト設定では、サブジェクト名は含まれません。

 

コマンド履歴

例

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、URL https//:frog.example.com での自動登録を設定し、サブジェクト DN OU certs をトラストポイント central の登録要求に含める例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドは、デフォルトのコンフィギュレーションの一部ではありません。このコマンドでは、証明書のデフォルトの DN を指定します。ユーザ入力に DN がある場合、このコマンドは ASA によって無視されます。

 

コマンド履歴

 

使用上のガイドライン

subject-name-default コマンドでは、発行される証明書のサブジェクト名を構成するユーザ名で使用される、共通の一般的な DN を指定します。この目的には、 dn 値は cn=username で十分です。このコマンドによって、ユーザごとに個別にサブジェクト名 DN を定義する必要がなくなります。 crypto ca server user-db add dn dn コマンドを使用してユーザが追加される場合、DN フィールドは任意です。

ASA では、このコマンドは、ユーザ入力で DN が指定されない場合に、証明書を発行するときにのみ使用されます。

例

次に、DN を指定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

既存のネットワーク オブジェクトを異なる IP アドレスを使用して設定すると、新しいコンフィギュレーションが既存のコンフィギュレーションに置き換わります。

例

次に、サブネット ネットワーク オブジェクトを作成する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• EIGRP は、単一のホスト ルートの場合でも、ルートをネットワーク レベルに自動的に集約します。
• EIGRP 集約ルートのアドミニストレーティブ ディスタンスは 5 です。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。自動ルート集約をディセーブルにするには、 no auto-summary コマンドを使用します。 summary-address コマンドを使用すると、サブネット ルート集約をインターフェイス単位で手動で定義できます。

例

次の例では、 tag を 3 に設定してルート集約を設定しています。

次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。

次の例では、コンフィギュレーションから summary-address コマンドを削除しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• tag_value は 0 です。
• 指定されたプレフィックスとマスクのペアに一致するルートは抑制されません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、IPv6 サマリー プレフィックスを設定します。

例

次の例では、サマリー プレフィックス FECO:: /24 が、アドレス FECO::/1 ～ FECO::/24 を含んでいます。アドレス FECO:: /24 のみが外部 LSA でアドバタイズされます。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

すべてのルートは個別にアドバタイズされます。

 

コマンド履歴

 

使用上のガイドライン

複数のアドレス グループを特定のレベルに集約できます。他のルーティング プロトコルから学習したルートも集約できます。サマリーのアドバタイズに使用されるメトリックは、具体的なルートすべての中で最小のメトリックです。このコマンドは、ルーティング テーブルの容量縮小に有効です。

リンクステート パケット（LSP）とリンクステート データベース（LSDB）のサイズも小さくします。また、要約アドバタイズメントは多くの特定ルートによって異なるので、ネットワークの安定にも役立ちます。たいていの場合、1 つのルート フラップが原因で要約アドバタイズメントはフラップしません。

サマリー アドレスを使用する場合の欠点は、他のルートには、個々の宛先すべてに最適なルーティング テーブルを計算するための情報が少なくなることです。

例

次に、IS-IS に Routing Information Protocol（RIP）ルートを再配布する例を示します。RIP ネットワークでは、10.1.1、10.1.2、10.1.3、10.1.4 のような IP ルートがあります次に、10.1.0.0 のみを IS-IS レベル 1 リンクステート プロトコル データ ユニット（PDU）にアドバタイズする例を示します。サマリー アドレスに 100 のタグが付けられ、110 のメトリック値が指定されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの設定は次のとおりです。

• tag_value は 0 です。
• 指定されたプレフィックス/マスク ペアと一致するルートは抑制されません。

 

コマンド履歴

 

使用上のガイドライン

他のルーティング プロトコルから学習したルートをサマライズできます。このコマンドを OSPF に対して使用すると、OSPF 自律システム境界ルータ（ASBR）により、このアドレスの対象となる再配布されるすべてのルートの集約として、1 つの外部ルートがアドバタイズされます。このコマンドでは、OSPF に再配布されている、他のルーティング プロトコルからのルートのみが集約されます。OSPF エリア間のルート集約には area range コマンドを使用します。

summary-address コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を、任意のキーワードまたは引数を指定しないで使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、このコマンドの no 形式を使用して、削除するオプションを指定します。詳細については、「例」を参照してください。

例

次の例では、 tag を 3 に設定してルート集約を設定しています。

次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。

次の例では、コンフィギュレーションから summary-address コマンドを削除しています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

SunRPC サービス テーブルは、timeout で指定された時間、確立された SunRPC セッションに基づいて、SunRPC トラフィックが ASA を通過するのを許可するために使用します。

例

次に、SunRPC サービス テーブルを作成する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルト設定では、ユーザ証明書の検証がサポートされています。

 

コマンド履歴

 

使用上のガイドライン

ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能をイネーブルにしている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

例

次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、トラストポイント central でユーザ検証を受け入れることができるようにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

イーサネット 1/2 ～ 1/8 では、このコマンドがデフォルトで有効になっています。

 

コマンド履歴

 

使用上のガイドライン

各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。

管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。

このインターフェイスがすでにスイッチポートモードの場合、 switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。

例

次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中はサービスを使用できません。リブートには数分を要する場合があります。 show module コマンドを実行すると、モジュールの状態をモニタできます。

コマンドは、必ずプロンプトで確認を要求します。コマンドが成功した場合は、それ以上何も出力されません。コマンドが失敗した場合は、障害が発生した理由を示すエラー メッセージが表示されます。

このコマンドは、モジュールがアップ状態である場合にのみ有効です。

デフォルトのパスワードはモジュールによって異なります。

• ASA IPS：ユーザ cisco のデフォルトのパスワードは、 cisco です。
• ASA CX：ユーザ admin のデフォルトのパスワードは、 Admin123 です。

例

次に、IPS モジュール上のパスワードをリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、ソフトウェア モジュールをインストールします。このモジュールは、デバイスで設定されていない新しいモジュールである場合と、障害が発生したために再インストールが必要となった既存のモジュールである場合があります。

イメージをインストールする場合は、次のコマンド シーケンスを使用します。

• sw-module module id configure image path （ソフトウェア モジュール イメージの disk0 上の場所を指定）。
• sw-module module id boot （該当イメージをブート）。

イメージのブートは、モジュールがアップ、ダウン、無応答、または回復のいずれかの状態である場合にのみ可能です。ステート情報については、 show module コマンドを参照してください。モジュールがアップ状態でない場合、ASA は強制的にモジュールをシャットダウンします。強制シャットダウンでは、すべてのコンフィギュレーションを含む、古いモジュール ディスク イメージが破壊されます。このため、ディザスタ リカバリ メカニズムとしてのみ使用してください。

show module id recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。

（注） IPS モジュールの場合、モジュール ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。モジュールのインストールおよび初期設定を完了する方法については、各ソフトウェア モジュールの CLI 設定ガイドを参照してください。

例

次に、disk0:image2 からイメージをダウンロードするようにモジュールを設定する例を示します。

次に、モジュールを回復する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、モジュールをリロードする前にリセットを実行する sw-module module reset コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ状態にある場合だけ有効です。ステート情報については、 show module コマンドを参照してください。

例

次に、IPS モジュールをリロードする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュールがアップ状態の場合、 sw-module module reset コマンドによって、リセットの前にソフトウェアをシャットダウンするように要求されます。

sw-module module recover コマンドを使用してモジュールを回復できます。モジュールが回復状態になっているときに sw-module module reset コマンドを入力しても、モジュールは回復プロセスを中断しません。 sw-module module reset コマンドによって、モジュールのリセットが実行され、リセット後にモジュールの回復が続行します。モジュールがハングした場合は、回復中にモジュールをリセットできます。ハードウェア リセットによって、問題が解決することもあります。

このコマンドは、ソフトウェアのリロードのみを行いリセットは行わない sw-module module reload コマンドとは異なります。

このコマンドは、モジュールのステータスがアップ、ダウン、無応答、または回復のいずれかの場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。

例

次に、アップ状態の IPS モジュールをリセットする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

モジュール ソフトウェアをシャットダウンするのは、コンフィギュレーション データを失うことなく安全にモジュールの電源をオフにできるように準備するためです。

このコマンドは、モジュール ステータスがアップまたは無応答である場合にのみ有効です。ステート情報については、 show module コマンドを参照してください。

例

次に、IPS モジュールをシャットダウンする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの動作や値はありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、ソフトウェア モジュール イメージおよび関連するコンフィギュレーションを永続的にアンインストールします。

例

次に、IPS モジュール イメージおよびコンフィギュレーションをアンインストールする例を示します。

ciscoasa# sw-module module ips uninstall

Module ips will be uninstalled. This will completely remove the

disk image associated with the sw-module including any configuration

that existed within it.

Uninstall module <id>? [confirm]

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

コマンド デフォルト

イーサネット 1/2 ～ 1/8 では、このコマンドがデフォルトで有効になっています。

 

コマンド履歴

 

使用上のガイドライン

各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。

管理 1/1 インターフェイスをスイッチポートモードに設定することはできません。

このインターフェイスがすでにスイッチポートモードの場合、 switchport コマンドを入力すると、モードを変更する代わりにスイッチポートパラメータを入力するよう求められます。

例

次に、イーサネット 1/3 および 1/4 をファイアウォールモードに設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

Firepower 1010：デフォルトでは、イーサネット 0/1 ～ 0/7 が VLAN 1 に割り当てられ、イーサネット 0/0 が VLAN 2 に割り当てられます。

Firepower 1010：デフォルトでは、イーサネット 1/2 ～ 1/8 のスイッチポートがアクセスモードとなり、VLAN 1 に割り当てられます。

 

コマンド履歴

 

使用上のガイドライン

アクセス ポートは、タグなしのトラフィックのみを受け入れます。ASA は、指定した VLAN を使用してスイッチポートに入るトラフィックにタグを付け、同じ VLAN 上の他のアクセスポートまたはトランクポートにトラフィックを転送できるようにします。VLAN タグは、別のアクセスポートを出力すると削除されますが、トランクポートを出力しても保持されます。

（注） ASA は、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。

ASA 5505

トランスペアレント ファイアウォール モードでは、ASA 5505 基本ライセンスはアクティブ VLAN を 2 つ、Security Plus ライセンスは 3 つ設定できます。そのうちの 1 つは、フェールオーバー用です。

ルーテッドモードでは、ASA 5505 の基本ライセンスで最大 3 つのアクティブ VLAN と Security Plus ライセンスで最大 20 のアクティブ VLAN を設定できます。

アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。

例

次に、5 つの ASA 5505 物理インターフェイスを 3 つの VLAN インターフェイスに割り当てる例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、モードはアクセスです。

 

コマンド履歴

 

使用上のガイドライン

モードをアクセスモードに設定した後、 switchport vlan access コマンドを使用して VLAN を識別します。

モードをトランクモードに設定した後、 switchport trunk allowed vlan コマンドを使用して、複数の VLAN をトランクに割り当てます。モードをトランクモードに設定したが、まだ switchport trunk allowed vlan コマンドを設定していない状態では、スイッチポートが「回線プロトコルダウン」状態になり、トラフィック転送に参加できません。ASA 5505 でトランクモードが使用できるのは、Security Plus ライセンスだけです。

例

次に、VLAN 100 に割り当てられたアクセス モードのスイッチ ポートおよび VLAN 200 および 300 に割り当てられたトランク モードのスイッチ ポートを設定する例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

モニタするトラフィックのデフォルトのタイプは both です。

 

コマンド履歴

 

使用上のガイドライン

SPAN をイネーブルにしない場合、スニファをスイッチ ポートの 1 つに接続すると、そのポートで送受信されるトラフィックのみがキャプチャされます。複数のポートで送受信されるトラフィックをキャプチャするには、SPAN をイネーブルにし、モニタするポートを指定する必要があります。

ネットワーク ループになる可能性があるため、SPAN 宛先ポートを別のスイッチに接続するときは注意してください。

例

次に、イーサネット 0/0 ポートとイーサネット 0/2 ポートをモニタする宛先ポートとして、イーサネット 0/1 ポートを設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

デフォルトでは、インターフェイスは保護されていません。

 

コマンド履歴

 

使用上のガイドライン

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに switchport protected コマンドを適用すると、Web サーバを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバすべてと通信でき、その逆も可能ですが、Web サーバは相互に通信できません。

保護されていないポートとの通信は、このコマンドによって制限されません。

例

次に、7 つのスイッチ ポートを設定する例を示します。イーサネット 0/4、0/5、および 0/6 は DMZ ネットワークに割り当てられ、相互から保護されます。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、VLAN はトランクに割り当てられていません。

 

コマンド履歴

 

使用上のガイドライン

スイッチ ポートで複数の VLAN を渡すトランク ポートを作成する場合は、 switchport mode trunk コマンドを使用してモードをトランク モードに設定してから、 switchport trunk コマンドを使用して VLAN をトランクに割り当てます。このスイッチ ポートに少なくとも 1 つの VLAN を割り当てるまで、このスイッチ ポートでトラフィックを渡すことはできません。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。

ASA 5505

トランク モードが使用できるのは Security Plus ライセンスだけです。

（注） このコマンドにはバージョン 7.2(1) との下位互換性はありません。VLAN を区切るカンマは 7.2(1) では認識されません。ダウングレードする場合は、VLAN をスペースで区切り、3 つの VLAN という制限を超えないようにしてください。

例

次に、7 つの VLAN インターフェイスを設定する例を示します。 failover lan コマンドを使用して設定するフェールオーバー インターフェイスが含まれています。VLAN 200、201、および 202 は、イーサネット 0/1 でトランキングされています。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルト アクションでは、データが含まれる TCP SYNACK パケットをドロップします。

 

コマンド履歴

 

使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map ：TCP 正規化アクションを指定します。

a. synack-data ：tcp マップ コンフィギュレーション モードでは、 synack-data などの数多くのコマンドを入力できます。

2. class-map ：TCP 正規化を実行するトラフィックを指定します。

3. policy-map ：各クラス マップに関連付けるアクションを指定します。

a. class ：アクションを実行するクラス マップを指定します。

b. set connection advanced-options ：作成した TCP マップを指定します。

4. service-policy ：ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

例

次に、データが含まれる TCP SYNACK パケットを許可するようにASAを設定する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

このコマンドは、デフォルトでディセーブルになっています。

 

コマンド履歴

 

使用上のガイドライン

通常、ルートがローカルであるか IGP に存在する場合を除き、BGP スピーカーは外部ネイバーにルートをアドバタイズしません。デフォルトでは BGP と IGP 間の同期はオフになっており、Cisco IOS ソフトウェアが IGP を待機せずにネットワーク ルートをアドバタイズできるようになっています。この機能により、自律システム内のルータおよびアクセス サーバは、BGP が他の自律システムでルートを使用可能にする前にルートを確保できるようになります。

自律システム内のルータが BGP を実行していない場合は、synchronization コマンドを使用します。

例

次に、アドレス ファミリ コンフィギュレーション モードで同期をイネーブルにする例を示します。ルータは、ルートを外部にアドバタイズする前に、IGP 内のネットワーク ルートを検証します。

 

構文の説明

 

デフォルト

デフォルトでは、SYN データが含まれるパケットは許可されます。

 

コマンド履歴

 

使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで syn-data コマンドを使用して、SYN パケット内にデータが含まれるパケットをドロップします。

TCP の仕様によると、TCP 実装は SYN パケット内に含まれているデータを受け入れる必要があります。これは微妙であいまいな点であるため、一部の実装ではこのことが正しく処理されない場合があります。不適切なエンドシステム実装などの挿入攻撃に対する脆弱性を回避するために、SYN パケット内にデータが含まれるパケットをドロップすることを選択できます。

例

次に、データが含まれる SYN パケットをすべての TCP フローでドロップする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

この機能は、デフォルトでイネーブルにされています。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、ASA によって、VPN トラフィックが ASA のインターフェイスで終端することが許可されています。IKE または ESP（またはその他のタイプの VPN パケット）をインターフェイス アクセス リストで許可する必要はありません。デフォルトでは、復号化された VPN パケットのローカル IP アドレスのインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムを使用して正常に終端されたため、この機能によって、コンフィギュレーションが簡略化され、ASA のパフォーマンスはセキュリティ リスクを負うことなく最大化されます（グループ ポリシーおよびユーザ単位の認可アクセス リストは、引き続きトラフィックに適用されます）。

no sysopt connection permit-vpn コマンドを入力して、インターフェイス アクセス リストをローカル IP アドレスに適用できます。アクセス リストを作成してインターフェイスに適用するには、 access-list コマンドおよび access-group コマンドを参照してください。アクセス リストは、ローカル IP アドレスに適用され、VPN パケットが復号化される前に使用された元のクライアント IP アドレスには適用されません。

例

次に、復号化された VPN トラフィックがインターフェイス アクセス リストに従うようにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

この機能はデフォルトで無効に設定されています。

 

コマンド履歴

 

使用上のガイドライン

永続的 IPSec トンネル フロー機能がイネーブルの場合、タイムアウト ウィンドウ内にトンネルが再作成される限り、セキュリティ アプライアンスで元のフロー内の状態情報にアクセスできるため、データは正常に流れ続けます。

このコマンドでは、ネットワーク拡張モードを含め、IPSec LAN-to-LAN トンネルのみがサポートされます。AnyConnect/SSL VPN または IPSec リモートアクセス トンネルはサポートされません。

例

次に、トンネルがドロップされ、タイムアウト期間内に再確立された後、トンネルの状態情報が保持されてトンネル IPSec LAN-to-LAN VPN トラフィックが再開されることを指定する例を示します。

ciscoasa(config)# no sysopt connection preserve-vpn-flows

この機能がイネーブルかどうかを確認するには、sysopt に対して show run all コマンドを入力します。

ciscoasa(config)# show run all sysopt

結果の例は次のとおりです。説明のために、これ以降のすべての例では、preserve-vpn-flows の項目は太字になっています。

 

構文の説明

このコマンドには引数またはキーワードはありません。

 

デフォルト

この機能は、デフォルトでイネーブルにされています。

 

コマンド履歴

 

使用上のガイドライン

VPN トンネルがアップになると、このコマンドによって既存の VPN フローは再分類され、暗号化が必要なフローは分解されて再作成されます。

このコマンドは、LAN-to-LAN およびダイナミック VPN についてのみ適用されます。このコマンドは EZVPN または VPN クライアント接続には影響しません。

例

次に、VPN 再分類をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

デフォルトでは、ASA の最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU の デフォルトの 1500 バイト内にも収まっています。

minimum 機能は、デフォルトでディセーブルです（0 に設定）。

 

コマンド履歴

 

使用上のガイドライン

最大セグメント サイズ（TCP MSS）とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイ ハンドシェイク中に、クライアントとサーバは TCP MSS 値を交換します。

通過トラフィックの TCP MSS を ASA に設定できます。デフォルトでは、最大 TCP MSS は 1380 バイトに設定されます。この設定は、ASA が IPsec VPN カプセル化のパケット サイズを追加する必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、ASA の最大 TCP MSS を無効にする必要があります。

最大 TCP MSS を設定している場合、接続のいずれかのエンドポイントが ASA に設定された値を超える TCP MSS を要求すると、ASA は要求パケット内の TCP MSS を ASA の最大サイズで上書きします。ホストまたはサーバが TCP MSS を要求しない場合、ASA は RFC 793 のデフォルト値 536 バイト（IPv4）または 1220 バイト（IPv6）を想定しますが、パケットは変更しません。たとえば、MTU を デフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。ASA の最大 TCP MSS が 1380（デフォルト）の場合は、ASA は TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバは、1380 バイトのペイロードを含むパケットを送信します。ASA は、最大 120 バイトのヘッダーをパケットに追加しても、1500 バイトの MTU サイズに適応することができます。

TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、ASA は値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。

SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。ASA は MTU を使用して、TCP MSS を導き出します。MTU - 40（IPv4）または MTU - 60（IPv6）となります。

デフォルトでは TCP MSS は、ASA が IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。ASA が IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。

MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして ASA を使用しない場合は、TCP MSS 設定を変更する必要があります。次のガイドラインを参照してください。

• 通常のトラフィック：TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。通常、接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
• IPv4 IPsec エンドポイント トラフィック：最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボ フレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
• IPv6 IPsec エンドポイント トラフィック：最大 TCP MSS を MTU - 140 に設定します。

例

下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、非 VPN トラフィックの TCP MSS をディセーブルにします（TCP MSS を 0 に設定、すなわち無制限とすることによって行います）。

下記の例では、ジャンボ フレームをイネーブルにし、すべてのインターフェイスの MTU を増加し、VPN トラフィックの TCP MSS を 9078 に変更します（MTU から 120 を差し引きます）。

 

関連コマンド