Cisco ASA シ リ ーズ コ マン ド リ フ ァ レ ンス、 T ~ Z コ マン ド および ASASM 用 IOS コ マン ド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月20日
章のタイトル: tls-proxy コマンド~ type echo コマンド
- tls-proxy
- token
- tos
- traceroute
- track rtr
- traffic-forward
- traffic-non-sip
- transfer-encoding
- trustpoint(saml idp)
- trustpoint(SSO サーバ)(非推奨)
- trust-verification-server
- tsig enforced
- ttl-evasion-protection
- tunnel destination
- トンネル モード
- tunnel protection ipsec
- tunnel source interface
- tunnel-group
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
- tunnel-group-list enable
- tunnel-group-map
- tunnel-group-map default-group
- tunnel-group-map enable
- tunnel-group ppp-attributes
- tunnel-group-preference
- tunnel-group webvpn-attributes
- tunnel-limit
- tx-ring-limit
- type echo
tls-proxy コマンド~ type echo コマンド
tls-proxy
TLS コンフィギュレーション モードで TLS プロキシ インスタンスを設定したり、最大セッション数を設定したりするには、グローバル コンフィギュレーション モードで tls-proxy コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]
no tls-proxy [maximum-sessions max_sessions | proxy_name] [ noconfirm ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tls-proxy コマンドを使用して TLS プロキシ コンフィギュレーション モードを開始し、TLS プロキシ インスタンスを作成したり、プラットフォームでサポートされる最大セッション数を設定したりできます。
例
次の例では、TLS プロキシ インスタンスを作成する方法を示します。
関連コマンド
|
|
|
|---|---|
token
Cisco Umbrella に登録するために必要な API トークンを設定するには、Umbrella コンフィギュレーション モード で token コマンドを使用します。トークンを削除するには、このコマンドの no 形式を使用します。
構文の説明
Cisco Umbrella への登録に必要な API トークン。Cisco Umbrella ネットワーク デバイス ダッシュ ボード(https://login.umbrella.com/)からトークンを取得する必要があります。トークンは、16 進数の文字列、たとえば、AABBA59A0BDE1485C912AFE になります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco Umbrella にデバイスを正常に登録するには、API トークンを設定する必要があります。トークンは顧客ごとに一意であり、デバイスごとに一意ではありません。
登録は、スタンドアロン デバイス、クラスタ、またはフェールオーバー グループに対して行われます。クラスタまたはフェールオーバー グループ内の各デバイスを個別に登録はしません。マルチ コンテキスト モードでは、各コンテキストは、スタンドアロンか、クラスタまたはフェールオーバー グループ内に存在するかに関わらず、デバイスです。
例
次の例では、API トークンを Cisco Umbrella に登録するよう設定します。
関連コマンド
|
|
|
|---|---|
アイドル タイムアウトを設定します。その時間が経過するまでサーバからの応答がない場合、クライアントから Umbrella サーバへの接続は削除されます。 |
|
tos
SLA 動作要求パケットの IP ヘッダー内のタイプ オブ サービス バイトを定義するには、SLA モニタ プロトコル コンフィギュレーション モードで tos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このフィールドには、遅延、優先順位、信頼性などの情報が含まれます。これは、専用アクセス レートなどのポリシー ルーティングおよび機能のために、ネットワーク上の他のルータによって使用されます。
例
次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。エコー要求パケットのペイロード サイズを 48 バイトに設定し、SLA 動作中に送信されるエコー要求数を 5 に、さらにタイプ オブ サービス バイトを 80 に設定します。
関連コマンド
|
|
|
|---|---|
traceroute
パケットが宛先に到達するまでのルートを特定するには、 traceroute コマンドを使用します。
traceroute destination_ip | hostname [ source source_ip | source-interface ] [ numeric ] [ timeout timeout_value ] [ probe probe_num ] [ ttl min_ttl max_ttl ] [ port port_value ] [ use-icmp ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
traceroute コマンドは送信した各プローブの結果を示します。出力の各行が 1 つの TTL 値に対応します(昇順)。次に、 traceroute コマンドによって表示される出力記号を示します。
|
|
|
|---|---|
例
次に、宛先 IP アドレスを指定した場合の traceroute 出力の例を示します。
関連コマンド
|
|
|
|---|---|
track rtr
SLA 動作の到達可能性を追跡するには、グローバル コンフィギュレーション モードで track rtr コマンドを使用します。SLA 追跡を削除するには、このコマンドの no 形式を使用します。
track track-id rtr sla-id reachability
no track track-id rtr sla-id reachability
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
track rtr コマンドは、トラッキング エントリ オブジェクト ID を作成し、トラッキング エントリが使用する SLA を指定します。
各 SLA 動作が、トラッキング プロセスによって解釈される動作戻りコード値を維持します。戻りコードには、OK や Over Threshold などのいくつかの戻りコードがあります。 表 2-1 は、これらの戻りコードに関連するオブジェクトの到達可能性ステートを表示します。
|
|
|
|
|---|---|---|
例
次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。
関連コマンド
|
|
|
|---|---|
traffic-forward
トラフィックをモジュールに転送し、アクセス制御とその他の処理をバイパスするには、インターフェイス コンフィギュレーション モードで traffic-forward コマンドを使用します。トラフィック転送をディセーブルにするには、このコマンドの no 形式を使用します。
traffic-forward module_type monitor-only
no traffic-forward module_type monitor-only
構文の説明
モジュールをモニタ専用モードに設定します。モニタ専用モードでは、モジュールはトラフィックを処理できますが、その後トラフィックをドロップします。モジュール タイプによって使用方法は異なります。 |
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
monitor-only キーワードを指定してサービス ポリシーの sfr または cxsc コマンドを使用する代わりに、このコマンドでトラフィックをモジュールにリダイレクトできます。サービス ポリシーにより、トラフィックは依然として、廃棄トラフィックを生じる可能性があるアクセス ルールや TCP 正規化などの ASA の処理が前提となっています。さらに、ASA はトラフィックのコピーを単純にモジュールに送信して、最終的にはそれ自身のポリシーに従ってトラフィックを送信します。
一方で、 traffic-forward コマンドは ASA 処理を完全にバイパスして、トラフィックを単純にモジュールに転送します。モジュールは、トラフィックを検査し、ポリシーを決定し、イベントを生成して、インライン モードで動作した場合に、トラフィックに対してどのような処理が行われることになるかを示します。モジュールはトラフィックのコピーに対して動作しますが、ASA 自体は、ASA またはモジュールのポリシー決定に関係なくトラフィックを即座にドロップします。モジュールは、ブラック ホールの役割を果たします。
トラフィック転送インターフェイスをネットワーク内のスイッチの SPAN ポートに接続します。
トラフィック転送インターフェイス コンフィギュレーションには次の制限があります。
- ASA 上でモニタ専用モードと通常のインライン モードの両方を同時に設定できません。セキュリティ ポリシーの 1 つのタイプのみが許可されます。
- ASA はシングル コンテキスト トランスペアレント モードである必要があります。
- トラフィック転送インターフェイスは、VLAN または BVI ではなく、物理インターフェイスである必要があります。また、物理インターフェイスには、それに関連付けられた VLAN を設定することはできません。
- トラフィック転送インターフェイスは、ASA トラフィックには使用できません。これらに名前を付けたり、フェールオーバーや管理専用を含む ASA 機能向けに設定したりすることはできません。
例
次の例は、GigabitEthernet 0/5 をトラフィック転送インターフェイスとして設定します。
関連コマンド
|
|
|
|---|---|
traffic-non-sip
既知の SIP シグナリング ポートを使用する非 SIP トラフィックを許可するには、パラメータ コンフィギュレーション モードで traffic-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで既知の SIP シグナリング ポートを使用する非 SIP トラフィックを許可する例を示します。
関連コマンド
|
|
|
|---|---|
transfer-encoding
転送エンコーディング タイプを指定して HTTP トラフィックを制限するには、 http-map コマンドを使用してアクセス可能な HTTP マップ コンフィギュレーション モードで、 transfer-encoding コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
no transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]
構文の説明
トラフィックが設定されたリストにないサポートされる要求方式を含む場合に ASA が実行するデフォルトのアクションを指定します。 |
|
メッセージ本文を zlib 形式(RFC 1950)とデフレート圧縮(RFC 1951)を使用して転送する転送エンコーディング タイプを識別します。 |
|
デフォルト
このコマンドは、デフォルトでディセーブルになっています。コマンドがイネーブルで、サポートされる転送エンコーディング タイプが指定されていない場合、デフォルト アクションでは、ロギングなしで接続を許可します。デフォルトのアクションを変更するには、 default キーワードを使用して、別のデフォルト アクションを指定します。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
transfer-encoding コマンドがイネーブルの場合、ASA は、サポートされ設定されている各転送エンコーディング タイプの HTTP 接続に指定されたアクションを適用します。
ASA は、設定されたリストの転送エンコーディング タイプに一致 しない すべてのトラフィックに デフォルト のアクションを適用します。設定済みの デフォルト のアクションでは、ロギングなしで接続を 許可 します。
たとえば、設定済みのデフォルトのアクションでは、 drop と log のアクションを伴う 1 つ以上のエンコーディング タイプを指定した場合、ASA は、設定されたエンコーディング タイプを含む接続をドロップし、各接続をロギングし、その他のサポートされるエンコーディング タイプの接続をすべて許可します。
より限定的なポリシーを設定する場合は、デフォルトのアクションを drop (または reset )と log (イベントをロギングする場合)に変更します。その後、許可されたエンコーディング タイプそれぞれに allow アクションを設定します。
適用する各設定に対して 1 回ずつ transfer-encoding コマンドを入力します。デフォルト アクションを変更するために transfer-encoding コマンドの 1 つのインスタンスを使用し、設定された転送エンコーディング タイプのリストに各エンコーディング タイプを追加するために 1 つのインスタンスを使用します。
設定されたアプリケーション タイプのリストからアプリケーション カテゴリを削除するために、このコマンドの no 形式を使用する場合は、コマンドラインのアプリケーション カテゴリ キーワードの後ろの文字は無視されます。
例
次に、特に禁止されていないすべてのサポートされるアプリケーション タイプを許可する設定済みのデフォルトを使用して、許可ポリシーを提供する例を示します。
この場合、GNU zip を使用する接続だけがドロップされ、そのイベントがロギングされます。
次に、デフォルト アクションを、接続のリセットと、特に許可されていないすべてのエンコーディング タイプのロギングに変更した、限定的なポリシーを提供する例を示します。
この場合、転送エンコーディングを使用していない接続だけが許可されます。他のサポートされるエンコーディング タイプの HTTP トラフィックを受信した場合は、ASA は接続をリセットして syslog エントリを作成します。
関連コマンド
|
|
|
|---|---|
trustpoint(saml idp)
IDP 認証または SP 認証の証明書を含むトラストポイントを設定するには、SAML IDP コンフィギュレーション モードで trustpoint コマンドを使用します。SAML IDP コンフィギュレーション モードにアクセスするには、まず webvpn コマンドを入力します。トラストポイントを削除するには、このコマンドの no 形式を使用します。
trustpoint { idp | sp } trustpoint-name
no trustpoint { idp | sp } trustpoint-name
構文の説明
トラストポイントには、ASA の署名を確認したり SAML アサーションを暗号化するための IdP の ASA(SP)証明書が含まれます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラストポイントは、特に認証パスの最初の公開キーを提供するために使用される公開キー証明書をはじめ、検証テストの必要なく有効であることを信頼できる CA 発行の証明書に基づいて、認証局 ID を表します。
関連コマンド
|
|
|
|---|---|
trustpoint(SSO サーバ)(非推奨)
(注
) このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。
SAML POST-type SSO サーバに送信される証明書を識別するトラストポイントの名前を指定するには、SSO サーバ モードで trustpoint コマンドを使用します。トラストポイントの指定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ASA は現在、SAML POST-type の SSO サーバと SiteMinder-type の SSO サーバをサポートしています。
このコマンドは、SAML-type の SSO サーバのみに適用されます。
トラストポイントは、特に認証パスの最初の公開キーを提供するために使用される公開キー証明書をはじめ、検証テストの必要なく有効であることを信頼できる CA 発行の証明書に基づいて、認証局 ID を表します。
例
次に、config-webvpn-sso-saml モードを開始し、SAML POST-type SSO サーバに送信される証明書を識別するトラストポイントに名前を付ける例を示します。
関連コマンド
|
|
|
|---|---|
trust-verification-server
HTTPS の確立時に Cisco Unified IP Phones でのアプリケーション サーバの認証を可能にする信頼検証サービス サーバを指定するには、SIP インスペクションのパラメータ コンフィギュレーション モードで trust-verification-server コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
trust-verification-server { ip address | port number }
no trust-verification-server { ip address | port number }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、SIP インスペクション ポリシー マップで 4 つの信頼検証サービス サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
tsig enforced
TSIG リソース レコードの存在を必須とするには、パラメータ コンフィギュレーション モードで tsig enforced コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
tsig enforced action {drop [log] | log}
no tsig enforced [action {drop [log] | log}]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、DNS インスペクション ポリシー マップ内で TSIG 強制をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ttl-evasion-protection
存続可能時間(TTL)回避保護をイネーブルにするには、TCP マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。
tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとする攻撃を阻止できます。TTL 回避保護により、接続の最大 TTL は最初のパケットの TTL によって決定します。後続パケットの TTL は削減できますが、増やすことはできません。システムは、TTL をその接続の以前の最小 TTL にリセットします。
たとえば、攻撃者は非常に短い TTL を持ち、ポリシーに合致するパケットを送信できます。TTL がゼロになると、ASA とエンドポイントの間のルータはパケットをドロップします。この時点で、攻撃者は TTL を長くした悪意のあるパケットを送信できます。このパケットは、ASA にとって再送信のように見えるため、通過します。一方、エンドポイント ホストにとっては、このパケットが攻撃者によって受信された最初のパケットになります。この場合、攻撃者はセキュリティによる攻撃の防止を受けず、攻撃に成功します。この機能をイネーブルにすると、このような攻撃を阻止します。
例
次に、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローに対して TTL 回避保護をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tunnel destination
VTI トンネルの宛先の IP アドレスを指定するには、インターフェイス コンフィギュレーション モードで tunnel destination コマンドを使用します。VTI トンネルの宛先 IP アドレスを削除するには、このコマンドの no 形式を使用します。
tunnel destination { IP address | hostname}
no tunnel destination { IP address | hostname}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、グローバル コンフィギュレーション モードで interface tunnel コマンドを使用した後、インターフェイス コンフィギュレーション モードで使用できます。
例
次の例では、VTI トンネルの宛先の IP アドレスを指定します。
関連コマンド
|
|
|
|---|---|
トンネル モード
VTI トンネルにトンネル保護モードを指定するには、tunnel mode コマンドをインターフェイス コンフィギュレーション モードで使用します。VTI トンネル保護を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、グローバル コンフィギュレーション モードで interface tunnel コマンドを使用した後、インターフェイス コンフィギュレーション モードで使用できます。
例
関連コマンド
|
|
|
|---|---|
tunnel protection ipsec
VTI トンネルに IPsec プロファイルを指定するには、tunnel protection ipsec コマンドをインターフェイス コンフィギュレーション モードで使用します。トンネルから IPsec プロファイルを削除するには、このコマンドの no 形式を使用します。
tunnel protection ipsec IPsec profile name
no tunnel protection ipsec IPsec profile name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、グローバル コンフィギュレーション モードで interface tunnel コマンドを使用した後、インターフェイス コンフィギュレーション モードで使用できます。このコマンドを使用すると、IKEv1 ポリシーが IPsec プロファイルに接続されます。
例
次の例では、profile12 が IPsec プロファイルです。
関連コマンド
|
|
|
|---|---|
tunnel source interface
VTI トンネルに送信元インターフェイスを指定するには、tunnel source interface コマンドをインターフェイス コンフィギュレーション モードで使用します。VTI トンネルの送信元インターフェイスを削除するには、このコマンドの no 形式を使用します。
tunnel source interface interface name
no tunnel source interface interface name
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、グローバル コンフィギュレーション モードで interface tunnel コマンドを使用した後、インターフェイス コンフィギュレーション モードで使用できます。IP アドレスは、選択されたインターフェイスから取得されます。
例
次の例では、VTI トンネルの送信元インターフェイスを指定します。
関連コマンド
|
|
|
|---|---|
tunnel-group
IPsec および WebVPN トンネルの接続固有レコードのデータベースを作成し管理するには、グローバル コンフィギュレーション モードで tunnel-group コマンドを使用します。トンネル グループを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
(注) tunnel-group コマンドは、トランスペアレント ファイアウォール モードで使用可能です。このモードでは、LAN-to-LAN トンネル グループのコンフィギュレーションは設定できますが、remote-access グループまたは WebVPN グループの設定はできません。LAN-to-LAN に対応する tunnel-group コマンドはすべてトランスペアレント ファイアウォール モードで使用できます。
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
SSL VPN ユーザ(AnyConnect およびクライアントレスの両方)は、次の各種方式を使用して、アクセスするトンネル グループを選択できます。
このコマンドとサブコマンドによって、ユーザが webvpn サービスにログインするときにドロップダウン メニューでグループを選択できるように ASA を設定します。メニューに表示されるグループは、ASA で設定された実際の接続プロファイル(トンネル グループ)のエイリアスまたは URL です。
ASA には、次のデフォルト トンネル グループがあります。
- DefaultRAGroup、デフォルトの IPsec remote-access トンネル グループ
- DefaultL2LGroup、デフォルトの IPsec LAN-to-LAN トンネル グループ
- DefaultWEBVPNGroup、デフォルトの WebVPN トンネル グループ
これらのグループは変更できますが、削除はできません。トンネル ネゴシエーションで識別された特定のトンネル グループがない場合は、ASA は、これらのグループを使用して、リモート アクセスおよび LAN-to-LAN トンネル グループのデフォルト トンネル パラメータを設定します。
tunnel-group コマンドを入力した後、適切な後続のコマンドを入力して、特定のトンネル グループの特定の属性を設定できます。これらのコマンドはそれぞれ、トンネル グループ属性を設定するためのコンフィギュレーション モードを開始します。
- tunnel-group general-attributes
- tunnel-group ipsec-attributes
- tunnel-group webvpn-attributes
- tunnel-group ppp-attributes
LAN-to-LAN 接続に対して、ASA は、トンネル グループを、クリプト マップで設定されたピア アドレスを同名のトンネル グループと一致させることで、接続のためのトンネル グループの選択しようとします。そのため、IPv6 ピアに対し、その IPv6 のアドレスと同様にトンネル グループ名を設定する必要があります。トンネル グループ名は、短い表記または長い表記で設定できます。CLI を使うと、その名前を最短の表記にできます。たとえば、トンネル グループ コマンドを次のように入力した場合、
トンネル グループはコンフィギュレーションで次のように表示されます。
例
次に、グローバル コンフィギュレーション モードを開始する例を示します。最初に、リモート アクセス トンネル グループを設定します。グループ名は group1 です。
次に、webvpn トンネル グループ「group1」を設定する tunnel-group コマンドの例を示します。このコマンドはグローバル コンフィギュレーション モードで入力します。
関連コマンド
|
|
|
|---|---|
tunnel-group general-attributes
一般属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group general-attributes コマンドを使用します。このモードは、すべてのサポートされるトンネリング プロトコルに共通の設定値を設定するために使用されます。
すべての一般属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name general-attributes
no tunnel-group name general- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
他のトンネル グループ タイプのさまざまな属性が、一般トンネル グループ属性リストに移行され、トンネル グループ一般属性モードのプロンプトが変更されました。 |
|
例
次に、グローバル コンフィギュレーション モードを開始し、LAN-to-LAN ピアの IP アドレスを使用してリモート アクセス接続のリモート アクセス トンネル グループを作成し、その後、トンネル グループ一般属性を設定するための一般属性コンフィギュレーション モードを開始する例を示します。トンネル グループの名前は、209.165.200.225 です。
次に、グローバル コンフィギュレーション モードで、IPsec リモート アクセス接続用のトンネル グループ「remotegrp」を作成し、その後、トンネル グループ「remotegrp」の一般属性を設定するための一般コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group ipsec-attributes
ipsec 属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group ipsec-attributes コマンドを使用します。このモードは、IPsec トンネリング プロトコルに固有の設定値を設定するために使用されます。
すべての IPsec 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name ipsec-attributes
no tunnel-group name ipsec- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
さまざまな IPsec トンネル グループ属性が一般トンネル グループ属性リストに移行され、トンネル グループ ipsec 属性モードのプロンプトが変更されました。 |
|
例
次に、グローバル コンフィギュレーション モードで、IPsec リモート アクセス トンネル グループ remotegrp のトンネル グループを作成し、その後、IPsec グループ属性を指定する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group-list enable
tunnel-group group-alias で定義されているトンネル グループをイネーブルにするには、 tunnel-group-list enable コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
使用上のガイドライン
このコマンドは、クライアントレスまたは AnyConnect VPN クライアント セッションで tunnel-group group-alias および group-url コマンドと組み合わせて使用します。このコマンドは、ログイン ページに tunnel-group ドロップダウンが表示されるように機能をイネーブルにします。group-alias は、エンド ユーザに表示するために ASA 管理者が定義した、従業員、技術部門、コンサルタントなどのテキスト文字列です。
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
tunnel-group-map
適応型セキュリティ アプライアンスが IPSec 接続要求をクライアント証明書認証とともに受信すると、設定したポリシーに従って接続プロファイルをその接続に割り当てます。
そのポリシーは、設定したルールの使用、証明書の OU フィールドの使用、IKE ID(ホスト名、IP アドレス、キー ID など)の使用、クライアントの IP アドレス、あるいは接続プロファイルを割り当てるデフォルトの接続プロファイルになります。SSL 接続に対し、適応型セキュリティ アプライアンスは、接続プロファイルを割り当てるように設定したルールを使用するだけです。
既存のマップ名を接続プロファイルに関連付けて設定したルールに基づき、 tunnel-group-map コマンドにより、接続プロファイルが接続に割り当てられます。
接続プロファイルとマップ名の関連を解消するには、このコマンドの no 形式を使用します。このコマンドの no 形式ではマップ名は削除されません。マップ名と接続プロファイルとの関連が解消されるだけです。
tunnel-group-map [mapname] [rule-index] [connection-profile]
no tunnel-group-map [mapname] [rule-index]
(注) • このコマンドで証明書マップ名を作成できます。
crypto ca certificate map [mapname] [rule-index]
構文の説明
構文の説明構文の説明
必須です。マップ名に関連付けられた rule-index を指定します。rule-index パラメータは、 crypto ca certificate map コマンドを使用して定義されます。有効な値は 1 ~ 65535 です。 |
|
デフォルト
tunnel-group-map が未定義で、ASA が IPsec 接続リストをクライアント証明書認証とともに受信した場合、ASA は証明書認証要求をこれらのポリシーの 1 つと次の順序で照合することで、接続プロファイルを割り当てます。
証明書の ou フィールド :サブジェクト Distinguish Name(DN; 認定者名)の Organizational Unit(OU; 組織ユニット)フィールドの値に基づき、接続プロファイルを決定します。
IKE ID :フェーズ 1 IKE ID の内容 に基づき、接続プロファイルを決定します。
peer-ip :確立されたクライアント IP アドレス に基づき、接続プロファイルを決定します。
デフォルト接続プロファイル:ASA が上記 3 つのポリシーに一致しない場合は、デフォルトの接続プロファイルを割り当てます。デフォルトのプロファイルは DefaultRAGroup です。そうでない場合は、デフォルトの接続プロファイルは、tunnel-group-map default-group コマンドを使用して設定されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
設定したマップ名は、接続プロファイルと関連付ける前に、存在している必要があります。 crypto ca certificate map コマンドを使用して、マップ名を作成します。詳細については、 crypto ca certificate map コマンドの資料を参照してください。
マップ名を接続プロファイルに関連付けたら、前述のデフォルトのポリシーではなく設定したルールを使用するには、tunnel-group-map をイネーブルにする必要があります。これを行うには、グローバル コンフィギュレーション モードで tunnel-group-map enable rules コマンドを実行する必要があります。
例
次の例では、rule index が 10 のマップ名 SalesGroup を SalesConnectionProfile 接続プロファイルに関連付けています。
関連コマンド
|
|
|
|---|---|
tunnel-group-map default-group
tunnel-group-map default-group コマンドでは、他の設定された方式を使用して名前を判別できない場合に使用するデフォルトのトンネル グループを指定します。
tunnel-group-map を削除するには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] default-group tunnel-group-name
構文の説明
構文の説明構文の説明
他の設定された方式では名前を取得できない場合に使用するデフォルトのトンネル グループを指定します。 tunnel-group name はすでに存在している必要があります。 |
|
オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。有効な値は 1 ~ 65535 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
tunnel-group-map コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするときのポリシーおよびルールを設定します。 crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けるには、グローバル コンフィギュレーション モードで tunnel-group-map コマンドを使用します。各呼び出しが一意であり、マップ インデックスを 2 回以上参照しない限り、このコマンドを複数回実行できます。
crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。
証明書からトンネル グループ名を取得する処理は、トンネル グループに関連付けられていない証明書マップのエントリを無視します(どのマップ ルールもこのコマンドでは識別されません)。
例
次の例はグローバル コンフィギュレーション モードで入力され、他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。使用するトンネル グループの名前は group1 です。
関連コマンド
|
|
|
|---|---|
tunnel-group-map enable
tunnel-group-map enable コマンドでは、証明書ベースの IKE セッションをトンネル グループにマッピングするためのポリシーとルールを設定します。デフォルト値に戻すには、このコマンドの no 形式を使用します。
tunnel-group-map [ rule-index ] enable policy
no tunnel-group-map enable [ rule-index ]
構文の説明
構文の説明構文の説明
デフォルト
tunnel-group-map コマンドのデフォルト値は enable ou で、 default-group は DefaultRAGroup に設定されています。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ca certificate map コマンドは、証明書マッピング ルールの優先順位リストを保守します。設定できるマップは 1 つだけです。ただし、65535 個までのルールをそのマップに設定できます。詳細については、 crypto ca certificate map コマンドの資料を参照してください。
例
次に、フェーズ 1 IKE ID の内容に基づく、証明書ベースの IKE セッションとトンネル グループとのマッピングをイネーブルにする例を示します。
次に、確立済みのピアの IP アドレスに基づく、証明書ベースの IKE セッションとトンネル グループとのマッピングをイネーブルにする例を示します。
次に、サブジェクト認定者名(DN)の組織ユニット(OU)に基づく、証明書ベースの IKE セッションのマッピングをイネーブルにする例を示します。
次に、確立済みのルールに基づく証明書ベースの IKE セッションのマッピングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tunnel-group ppp-attributes
ppp 属性コンフィギュレーション モードを開始し、IPsec を介した L2TP 接続によって使用される PPP 設定値を設定するには、グローバル コンフィギュレーション モードで tunnel-group ppp-attributes コマンドを使用します。
すべての PPP 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name ppp-attributes
no tunnel-group name ppp- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、トンネル グループ telecommuters を作成し、ppp 属性コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-group-preference
エンドポイントで指定された URL と一致するグループ URL を含む接続プロファイルに VPN プリファレンスを変更するには、webvpn コンフィギュレーション モードで tunnel-group-preference コマンドを使用します。コンフィギュレーションからコマンドを削除するには、 no 形式を使用します。
tunnel-group-preference group-url
no tunnel-group-preference group-url
構文の説明
コマンド デフォルト
デフォルトでは、接続プロファイルで指定された証明書のフィールド値とエンドポイントで使用される証明書のフィールド値が ASA によって照合され、一致した場合は、そのプロファイルが VPN 接続に割り当てられます。このコマンドは、デフォルトの動作を上書きします。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、接続プロファイルの選択プロセス中に、接続プロファイルのプリファレンスを変更します。これにより、ASA ソフトウェアの数多くの旧リリースによって使用されるグループ URL プリファレンスを利用できます。エンドポイントによって、接続プロファイルにないグループ URL が指定され、かつ接続プロファイルの証明書値と一致する証明書値が指定されている場合、ASA ではその接続プロファイルを VPN セッションに割り当てます。
このコマンドは webvpn コンフィギュレーション モードで入力しますが、このコマンドによって、ASA によってネゴシエートされたすべてのクライアントレスおよび AnyConnect VPN 接続について、接続プロファイルの選択プリファレンスが変更されます。
例
次に、接続プロファイルの選択プロセス中に、接続プロファイルのプリファレンスを変更する例を示します。
関連コマンド
|
|
|
|---|---|
tunnel-group webvpn-attributes
webvpn 属性コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tunnel-group webvpn-attributes コマンドを使用します。このモードでは、WebVPN トンネリングに共通の設定値を設定します。
すべての WebVPN 属性を削除するには、このコマンドの no 形式を使用します。
tunnel-group name webvpn-attributes
no tunnel-group name webvpn- attributes
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
pre-fill-username および secondary-pre-fill-username の値が clientless から client に変更されました。 |
使用上のガイドライン
一般属性に加えて、webvpn 属性モードで WebVPN 接続に固有の次の属性も設定できます。
pre-fill-username および secondary-pre-fill-username 属性は、認証および認可に使用する証明書からユーザ名を抽出するために使用されます。値は client または clientless です。
例
次に、グローバル コンフィギュレーション モードを開始し、LAN-to-LAN ピアの IP アドレスを使用して WebVPN 接続用のトンネル グループを作成し、その後、WebVPN 属性を設定するための webvpn コンフィギュレーション モードを開始する例を示します。トンネル グループの名前は、209.165.200.225 です。
次に、グローバル コンフィギュレーション モードで、WebVPN 接続用のトンネル グループ「remotegrp」を作成し、その後、トンネル グループ「remotegrp」の WebVPN 属性を設定するための webvpn コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
指定されたトンネル グループまたはすべてのトンネル グループの現在実行されているトンネル グループ コンフィギュレーションを表示します。 |
|
tunnel-limit
許可されるアクティブな GTP トンネルの最大数を指定するには、ポリシー マップ パラメータ コンフィギュレーション モードで tunnel limit コマンドを使用します。トンネル制限をデフォルトに戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、GTP トラフィックの最大トンネル数を 10,000 に指定する例を示します。
関連コマンド
|
|
|
|---|---|
tx-ring-limit
プライオリティ キューの深さを指定するには、プライオリティ キュー モードで tx-ring-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。
(注) このコマンドは ASA 5580 10 ギガビット イーサネット インターフェイス、ASA 5512-X ~ ASA 5555-X 管理インターフェイス、または ASA サービス モジュールではサポートされません(10 ギガビット イーサネット インターフェイスは、ASA 5585-X のプライオリティ キューに対してサポートされます)。
tx-ring-limit number-of-packets
no tx-ring-limit number-of-packets
構文の説明
イーサネット送信ドライバが許容できる低遅延パケットまたは標準のプライオリティのパケットの最大数を指定します。このパケットの処理が終わると、イーサネット送信ドライバは輻輳が解消するまで、インターフェイス上のパケットをバッファしているキューの処理に戻ります。指定できる範囲は 3 ~ 511 です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA では、遅延の影響を受けやすい、プライオリティの高いトラフィック(音声およびビデオなど)用の低遅延キューイング(LLQ)と、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)の 2 つのトラフィック クラスを使用できます。ASA は、プライオリティ トラフィックを認識して、適切な Quality of Service(QoS)ポリシーを適用します。プライオリティ キューのサイズと深さを設定して、トラフィック フローを微調整できます。
プライオリティ キューイングを有効にする前に、 priority-queue コマンドを使用して、インターフェイスのプライオリティ キューを作成する必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。
priority-queue コマンドで、プライオリティ キュー モードを開始します。これはプロンプトに表示されます。プライオリティ キュー モードでは、いつでも送信キューに入れることができるパケットの最大数( tx-ring-limit コマンド)、およびパケットをドロップする前にバッファに入れることができるいずれかのタイプ(プライオリティまたはベストエフォート)のパケット数( queue-limit コマンド)を設定できます。
指定する tx-ring-limit および queue-limit は、プライオリティの高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両方のタイプのパケットの数です。このパケット数を超えると、ドライバはインターフェイスの先頭にある複数のキューにパケットを戻し、輻輳が解消するまでそのキューでパケットをバッファしておきます。通常、これらの 2 つのパラメータを調整することで、低遅延トラフィックのフローを最適化できます。
キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが、 テール ドロップ です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。
(注) queue-limit コマンドと tx-ring-limit コマンドの値の範囲の上限は、実行時にダイナミックに決定されます。この制限を表示するには、コマンドラインに help または ? と入力します。主な決定要素は、キューをサポートするために必要なメモリと、デバイス上で使用可能なメモリです。
ASA モデル 5505(のみ)では、1 つのインターフェイスにプライオリティ キューを設定すると、他のすべてのインターフェイスで同じコンフィギュレーションが上書きされます。つまり、最後に適用されたコンフィギュレーションだけが、すべてのインターフェイスに存在することになります。さらに、プライオリティ キュー コンフィギュレーションは、1 つのインターフェイスから削除すると、すべてのインターフェイスからも削除されます。
この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなインターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで最大の値と、すべての tx-ring-limit のうちで最小の値を使用します。
例
次の例では、test というインターフェイスにプライオリティ キューを、キュー制限を 2048 パケットに、送信キュー制限を 256 パケットに設定しています。
関連コマンド
type echo
SLA 動作をエコー応答時間プローブ動作として設定するには、SLA モニタ コンフィギュレーション モードで type echo コマンドを使用します。SLA コンフィギュレーションからタイプを削除するには、このコマンドの no 形式を使用します。
type echo protocol ipIcmpEcho target interface if-name
no type echo protocol ipIcmpEcho target interface if-name
構文の説明
エコー要求パケットを送信するために使用されるインターフェイスのインターフェイス名を、 nameif コマンドで指定されているとおりに指定します。インターフェイス送信元アドレスが、エコー要求パケットの送信元アドレスとして使用されます。 |
|
プロトコルのキーワード。サポートされる唯一の値が ipIcmpEcho で、エコー動作で IP/ICMP エコー要求を使用するように指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ICMP パケットのペイロードのデフォルト サイズは 28 バイトで、合計サイズが 64 バイトの ICMP パケットを作成します。ペイロード サイズは、 request-data-size コマンドを使用して変更できます。
例
次の例では、ICMP エコー要求/応答時間プローブ動作を使用する、ID が 123 の SLA 動作を設定しています。SLA の到達可能性を追跡するために、ID が 1 のトラッキング エントリを作成します。SLA 動作の頻度を 10 秒、しきい値を 2500 ミリ秒、タイムアウト値を 4000 ミリ秒に設定しています。
関連コマンド
|
|
|
|---|---|
フィードバック