packet-tracer コマンド～ pwd コマンド cisco asa 5500 シリーズコマンド...

COL-20335-02-J

C H A P T E R 21
packet-tracer コマンド～ pwd コマンド
21-1isco ASA 5500 シリーズコマンドリファレンス

第 21 章 packet-tracer コマンド～ pwd コマンド

packet-tracer

packet-tracerパケットスニッフィングおよびネットワーク障害隔離を実行するパケットトレース機能をイネーブル

にするには、特権 EXEC コンフィギュレーションモードで packet-tracer コマンドを使用します。パ

ケットキャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]

no packet-tracer

構文の説明

デフォルトこのコマンドには、デフォルト設定はありません。

コマンドモード次の表は、このコマンドを入力できるモードを示しています。

コマンド履歴

使用上のガイドラインパケットのキャプチャに加えて、セキュリティアプライアンスを通過するパケットのライフスパンを

トレースすることで、パケットが想定どおりに動作しているかどうかを確認できます。packet-tracer コマンドを使用すると、次の処理ができます。

• 実動ネットワークのすべてのパケットドロップをデバッグする。

• コンフィギュレーションが意図したとおりに機能していることを確認する。

• パケットに適用可能なすべてのルールと、そのルールが追加される原因となった CLI コマンド行

を表示する。

input src_int パケットトレースの送信元インターフェイスを指定します。

protocol パケットトレースのプロトコルタイプを指定します。利用できるプロトコルタイプのキーワードは、icmp、rawip、tcp、または udp です。

src_addr パケットトレースの送信元アドレスを指定します。

src_port パケットトレースの送信元ポートを指定します。

dest_addr パケットトレースの宛先アドレスを指定します。

dest_port パケットトレースの宛先ポートを指定します。

detailed （任意）詳細なパケットトレース情報を提供します。

xml （任意）XML 形式でトレースキャプチャを表示します。

コマンドモード

ファイアウォールモードセキュリティコンテキスト

ルーテッド

トランスペ

アレントシングル

マルチ

コンテキストシステム

特権 EXEC モード • — • • •

リリース変更内容

7.2(1) このコマンドが追加されました。

21-2Cisco ASA 5500 シリーズコマンドリファレンス

OL-20335-02-J


packet-tracer

• データパス内でのパケット変化を時系列で表示する。

• トレーサパケットをデータパスに挿入する。

packet-tracer コマンドを使用すると、パケットに関する詳細情報、およびパケットがセキュリティアプライアンスによってどのように処理されたかが表示されます。コンフィギュレーションからのコマン

ドが原因でパケットがドロップしたのではない場合、packet-tracer コマンドにより、原因に関する詳

細な情報が読みやすい形式で表示されます。たとえば、ヘッダーの検証が無効なためにパケットがド

ロップされた場合、「packet dropped due to bad ip header (reason)」というメッセージが表示されます。

例内部ホスト 10.2.25.3 から外部ホスト 209.165.202.158 へのパケットについて、パケットトレースをイ

ネーブルにして詳細情報を表示するには、次のように入力します。

hostname# packet-tracer input inside tcp 10.2.25.3 www 209.165.202.158 aol detailed

関連コマンドコマンド説明

capture トレースパケットを含めて、パケット情報をキャプチャします。

show capture オプションが指定されていない場合は、キャプチャコンフィギュレーショ

ンを表示します。


OL-20335-02-J


page style

page styleWebVPN ユーザがセキュリティアプライアンスに接続したときに表示される WebVPN ページをカス

タマイズするには、webvpn カスタマイゼーションコンフィギュレーションモードで page style コマ

ンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするに

は、このコマンドの no 形式を使用します。

page style value

[no] page style value

構文の説明

デフォルトデフォルトのページスタイルは、background-color:white;font-family:Arial,Helv,sans-serif です。


コマンド履歴

使用上のガイドライン style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラ

メータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。

『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。こ

の付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更でもよく行われるページの配色を変更するためのヒントを

紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用で

きます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ

区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは

緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、

色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

value Cascading Style Sheet（CSS）パラメータ（大 256 文字）。



ルーテッド

トランスペ


マルチ


webvpn カスタマイゼーションコンフィギュレーション

• — • — —




OL-20335-02-J


page style

例次に、ページスタイルを large にカスタマイズする例を示します。

F1-asa1(config)# webvpnF1-asa1(config-webvpn)# customization ciscoF1-asa1(config-webvpn-custom)# page style font-size:large


logo WebVPN ページのロゴをカスタマイズします。

title WebVPN ページのタイトルをカスタマイズします。


OL-20335-02-J


pager

pagerTelnet セッションで「---more---」プロンプトが表示されるまでのデフォルトのページ行数を設定す

るには、グローバルコンフィギュレーションモードで pager コマンドを使用します。

pager [lines] lines

構文の説明

デフォルトデフォルトは 24 行です。


コマンド履歴

使用上のガイドラインこのコマンドは、Telnet セッション用のデフォルトのページ行設定を変更します。現在のセッションの

みに対して一時的に設定を変更する場合は、terminal pager コマンドを使用します。

管理コンテキストに Telnet で接続した場合、pager コマンドの設定が異なる他のコンテキストに変更

しても、ページ行設定は使用中のセッションに従います。現在の pager 設定を変更するには、新しい設

定で terminal pager コマンドを入力するか、pager コマンドを現在のコンテキストで入力します。

pager コマンドは、コンテキストコンフィギュレーションに新しい pager 設定を保存する以外に、新し

い設定を現在の Telnet セッションに適用します。

例次に、表示される行数を 20 に変更する例を示します。

hostname(config)# pager 20

[lines] lines 「---more---」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。

デフォルトは 24 行です。0 は、ページの制限がないことを示します。指定できる範囲

は 0 ～ 2147483647 行です。lines キーワードは任意です。このキーワードの有無にか

かわらず、コマンドは同じです。



ルーテッド

トランスペ


マルチ


グローバルコンフィギュレー

ション

• • • • •


7.0(1) このコマンドは、特権 EXEC モードコマンドからグローバルコンフィギュ

レーションモードコマンドに変更されました。terminal pager コマンドが

特権 EXEC モードコマンドとして追加されました。


OL-20335-02-J


pager


clear configure terminal 端末の表示幅設定をクリアします。

show running-config terminal 現在の端末設定を表示します。

terminal システムログメッセージが Telnet セッションで表示されるように

します。

terminal pager Telnet セッションで「---more---」プロンプトが表示されるまで

の行数を設定します。このコマンドはコンフィギュレーションに保

存されません。

terminal width グローバルコンフィギュレーションモードでの端末の表示幅を設

定します。


OL-20335-02-J


parameters

parametersパラメータコンフィギュレーションモードを開始して、インスペクションポリシーマップのパラメー

タを設定するには、ポリシーマップコンフィギュレーションモードで parameters コマンドを使用し

ます。

parameters

構文の説明このコマンドには、引数またはキーワードはありません。

デフォルトデフォルトの動作や値はありません。


コマンド履歴

使用上のガイドラインモジュラポリシーフレームワークを使用すると、多くのアプリケーションインスペクションに対して

特別なアクションを設定できます。レイヤ 3/4 のポリシーマップ（policy-map コマンド）で、inspect コマンドを使用してインスペクションエンジンをイネーブルにする場合は、policy-map type inspect コマンドで作成されたインスペクションポリシーマップで定義されているアクションを、オプション

でイネーブルにすることもできます。たとえば、inspect dns dns_policy_map コマンドを入力します。

dns_policy_map は、インスペクションポリシーマップの名前です。

インスペクションポリシーマップは、1 つ以上の parameters コマンドをサポートする場合がありま

す。パラメータはインスペクションエンジンの動作に影響します。パラメータコンフィギュレーショ

ンモードで使用できるコマンドは、アプリケーションによって異なります。



ルーテッド

トランスペ


マルチ


ポリシーマップコンフィギュ

レーション

• • • • —




OL-20335-02-J


parameters

例次に、デフォルトのインスペクションポリシーマップ内に DNS パケットの大メッセージ長を設定

する例を示します。

hostname(config)# policy-map type inspect dns preset_dns_maphostname(config-pmap)# parametershostname(config-pmap-p)# message-length maximum 512


class ポリシーマップのクラスマップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します。

policy-map レイヤ 3/4 のポリシーマップを作成します。

show running-config policy-map

現在のポリシーマップコンフィギュレーションをすべて表示します。


OL-20335-02-J


participate

participateデバイスを仮想ロードバランシングクラスタに強制的に参加させるには、VPN ロードバランシングコンフィギュレーションモードで participate コマンドを使用します。クラスタに参加しているデバイ

スをクラスタから削除するには、このコマンドの no 形式を使用します。

participate

no participate


デフォルトデフォルト動作では、デバイスは VPN ロードバランシングクラスタには参加しません。


コマンド履歴

使用上のガイドライン VPN ロードバランシングモードを開始するには、interface コマンドおよび nameif コマンドを使用し

てインターフェイスを設定してから、vpn load-balancing コマンドを使用する必要があります。また、

事前に cluster ip コマンドを使用してクラスタの IP アドレスを設定し、仮想クラスタの IP アドレスが

参照するインターフェイスを設定しておく必要があります。

このコマンドは、このデバイスを強制的に仮想ロードバランシングクラスタに参加させます。デバイ

スの参加をイネーブルにするには、このコマンドを明示的に発行する必要があります。

同じクラスタに参加しているすべてのデバイスは、同一のクラスタ固有の値（IP アドレス、暗号化設

定、暗号キー、およびポート）を共有する必要があります。

（注）暗号化を使用する場合は、事前に isakmp enable inside コマンドを設定しておく必要があります。

inside には、load-balancing inside インターフェイスを指定します。load-balancing inside インター

フェイス上で isakmp がイネーブルになっていない場合、クラスタ暗号化を設定しようとするとエラーメッセージが表示されます。

cluster encryption コマンドを設定したときには isakmp がイネーブルであった場合でも、participate コマンドを設定する前にディセーブルにした場合は、participate コマンドの入力時にエラーメッセー

ジが表示され、そのローカルデバイスはクラスタに参加しません。



ルーテッド

トランスペ


マルチ


VPN ロードバランシングコン

フィギュレーション

• — • — —




OL-20335-02-J


participate

例次に、現在のデバイスの VPN ロードバランシングクラスタへの参加をイネーブルにする participate コマンドが含まれた、VPN ロードバランシングコマンドシーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1hostname(config-if)# ip address 209.165.202.159 255.255.255.0hostname(config)# nameif testhostname(config)# interface GigabitEthernet 0/2hostname(config-if)# ip address 209.165.201.30 255.255.255.0hostname(config)# nameif foohostname(config)# vpn load-balancinghostname(config-load-balancing)# interface lbpublic testhostname(config-load-balancing)# interface lbprivate foohostname(config-load-balancing)# cluster ip address 209.165.202.224hostname(config-load-balancing)# participate


vpn load-balancing VPN ロードバランシングモードを開始します。


OL-20335-02-J


passive-interface

passive-interfaceインターフェイスでの RIP ルーティングアップデートの送信をディセーブルにするには、ルータコン

フィギュレーションモードで passive-interface コマンドを使用します。インターフェイスでの RIP ルーティングアップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface {default | if_name}

no passive-interface {default | if_name}

構文の説明

デフォルトすべてのインターフェイスは RIP がイネーブルの場合にアクティブ RIP に対してイネーブルになります。

インターフェイスまたは default キーワードが指定されていない場合、コマンドはデフォルトの default となり、コンフィギュレーションには passive-interface default と表示されます。


コマンド履歴

使用上のガイドラインインターフェイス上で受動 RIP をイネーブルにします。インターフェイスは RIP ルーティングブロー

ドキャストをリッスンし、その情報を使用してルーティングテーブルに値を入力しますが、ルーティ

ングアップデートはブロードキャストしません。

例次に、outside インターフェイスを受動 RIP に設定する例を示します。セキュリティアプライアンスの

その他のインターフェイスは RIP アップデートを送受信します。

hostname(config)# router riphostname(config-router)# network 10.0.0.0hostname(config-router)# passive-interface outside

default （任意）すべてのインターフェイスを受動モードに設定します。

if_name （任意）指定したインターフェイスを受動モードに設定します。



ルーテッド

トランスペ


マルチ


ルータコンフィギュレーション • — • — —




OL-20335-02-J


passive-interface


clear configure rip 実行コンフィギュレーションからすべての RIP コマンドをクリアします。

router rip RIP ルーティングプロセスをイネーブルにし、RIP ルータコンフィギュ

レーションモードを開始します。

show running-config rip

実行コンフィギュレーションの RIP コマンドを表示します。


OL-20335-02-J


passive-interface（EIGRP）

passive-interface（EIGRP）インターフェイスでの EIGRP ルーティングアップデートの送受信をディセーブルにするには、ルータコンフィギュレーションモードで passive-interface コマンドを使用します。インターフェイスでの

ルーティングアップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface {default | if_name}

no passive-interface {default | if_name}

構文の説明

デフォルト対象のインターフェイスに対してルーティングがイネーブルになっている場合、すべてのインターフェ

イスはアクティブルーティング（ルーティングアップデートの送受信）がイネーブルになります。


コマンド履歴

使用上のガイドラインインターフェイスのパッシブルーティングをイネーブルにします。EIGRP の場合、このコマンドによ

り対象のインターフェイスでのルーティングアップデートの送受信がディセーブルになります。

EIGRP コンフィギュレーションには、複数の passive-interface コマンドを含めることができます。

passive-interface default コマンドを使用してすべてのインターフェイスで EIGRP ルーティングを

ディセーブルにしてから、no passive-interface コマンドを使用して特定のインターフェイスで EIGRP ルーティングをイネーブルにできます。

例次に、outside インターフェイスを受動 EIGRP に設定する例を示します。セキュリティアプライアン

スのその他のインターフェイスは EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100hostname(config-router)# network 10.0.0.0hostname(config-router)# passive-interface outside

default （任意）すべてのインターフェイスを受動モードに設定します。

if_name （任意）nameif コマンドで指定された、受動モードにするインターフェイスの

名前。



ルーテッド

トランスペ


マルチ


ルータコンフィギュレーション • — • — —



8.0(2) EIGRP ルーティングのサポートが追加されました。


OL-20335-02-J


passive-interface（EIGRP）

次に、inside インターフェイス以外のすべてのインターフェイスを受動 EIGRP に設定する例を示しま

す。inside インターフェイスだけが EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100hostname(config-router)# network 10.0.0.0hostname(config-router)# passive-interface defaulthostname(config-router)# no passive-interface inside


show running-config router

実行コンフィギュレーションのルータコンフィギュレーションコマンド

をすべて表示します。


OL-20335-02-J


passwd

passwdログインパスワードを設定するには、グローバルコンフィギュレーションモードで passwd コマンド

を使用します。パスワードをデフォルトに戻して「cisco」に設定するには、このコマンドの no 形式を

使用します。Telnet または SSH を使用して、デフォルトユーザとして CLI にアクセスするときに、ロ

グインパスワードの入力を求められます。ログインパスワードを入力すると、ユーザ EXEC モードが

開始されます。

{passwd | password} password [encrypted]

no {passwd | password} password

構文の説明

デフォルトデフォルトのパスワードは「cisco」です。


コマンド履歴

使用上のガイドラインこのログインパスワードはデフォルトユーザ用です。aaa authentication console コマンドを使用して Telnet または SSH のユーザごとに CLI 認証を設定した場合、このパスワードは使用されません。

例次に、パスワードを Pa$$w0rd に設定する例を示します。

encrypted （任意）パスワードが暗号化された形式であることを指定します。パスワー

ドは暗号化された形式でコンフィギュレーションに保存されるため、パス

ワードの入力後に元のパスワードを表示することはできません。何らかの

理由でパスワードを別の適応型セキュリティアプライアンスにコピーする

必要があるのに元のパスワードがわからない場合は、暗号化されたパス

ワードとこのキーワードを使用して passwd コマンドを入力します。通常、

このキーワードは show running-config passwd コマンドを入力した場合の

み表示されます。

passwd | password どちらのコマンドでも入力できます。これらは互いにエイリアス関係にあ

ります。

password パスワードを、大文字と小文字が区別される大 80 文字の文字列として設

定します。パスワードにスペースを含めることはできません。



ルーテッド

トランスペ


マルチ



ション

• • • • —


既存このコマンドは既存です。


OL-20335-02-J


passwd

hostname(config)# passwd Pa$$w0rd

次に、別の適応型セキュリティアプライアンスからコピーした、暗号化されたパスワードをパスワー

ドに設定する例を示します。

hostname(config)# passwd jMorNbK0514fadBh encrypted


clear configure passwd ログインパスワードをクリアします。

enable 特権 EXEC モードを開始します。

enable password イネーブルパスワードを設定します。

show curpriv 現在ログインしているユーザ名とユーザの特権レベルを表示します。

show running-config passwd

暗号化された形式でログインパスワードを表示します。


OL-20335-02-J


password encryption aes

password encryption aesパスワードの暗号化をイネーブルにするには、グローバルコンフィギュレーションモードで password encryption aes コマンドを使用します。パスワードの暗号化をディセーブルにするには、このコマンド

の no 形式を使用します。

password encryption aes

no password encryption aes




コマンド履歴

使用上のガイドラインパスワードの暗号化がオンになり、マスターパスフレーズが使用可能になると、ただちにすべての

ユーザパスワードが暗号化されます。実行コンフィギュレーションには、パスワードは暗号化された

形式で表示されます。パスワードの暗号化をイネーブルにした時点でパスフレーズが設定されていな

くても、パスフレーズは将来的に使用可能になるという前提で、コマンドは成功します。このコマン

ドは、フェールオーバーピア間で自動的に同期されます。

write erase コマンドに続いて reload コマンドを使用すると、マスターパスフレーズが紛失された場合

にパスフレーズが削除されます。

例次に、パスワードの暗号化をイネーブルにする例を示します。

Router (config)# password encryption aes

関連コマンド



ルーテッド

トランスペ


マルチ



ション

• • • — •



コマンド説明

key config-key password-encryption 暗号キーの生成に使用されるパスフレーズを設定します。

write erase reload コマンドを続いて使用すると、マスターパスフ

レーズが紛失された場合にパスフレーズを削除します。


OL-20335-02-J


password（暗号 CA トラストポイント）

password（暗号 CA トラストポイント）登録中に CA に登録されるチャレンジフレーズを指定するには、暗号 CA トラストポイントコンフィ

ギュレーションモードで password コマンドを使用します。通常、CA はこのフレーズを使用して、そ

の後の失効要求を認証します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

password string

no password

構文の説明

デフォルトデフォルトの設定は、パスワードを含めません。


コマンド履歴

使用上のガイドラインこのコマンドを使用すると、実際の証明書登録を開始する前に、証明書の失効パスワードを指定できま

す。指定したパスワードは、適応型セキュリティアプライアンスにより、アップデートされたコン

フィギュレーションが NVRAM に書き込まれるときに暗号化されます。

このコマンドがイネーブルになっていない場合は、証明書登録中にパスワードの入力を求められること

はありません。

例次に、トラストポイント central の暗号 CA トラストポイントコンフィギュレーションモードを開始し、

CA に登録されたチャレンジフレーズをトラストポイント central の登録要求に含める例を示します。

hostname(config)# crypto ca trustpoint centralhostname(ca-trustpoint)# password zzxxyy

string パスワードの名前を文字列として指定します。初の文字に数字は指定で

きません。文字列には、80 文字以下の任意の英数字（スペースを含む）を

指定できます。数字 - スペース - 任意の文字の形式ではパスワードを指定

できません。数字の後にスペースを使用すると、問題が発生します。たと

えば、「hello 21」は適切なパスワードですが、「21 hello」は不適切です。

パスワードチェックでは、大文字と小文字が区別されます。たとえば、パ

スワード「Secret」とパスワード「secret」は異なります。



ルーテッド

トランスペ


マルチ


暗号 CA トラストポイントコン


• • • • •


7.0 このコマンドが追加されました。


OL-20335-02-J


password（暗号 CA トラストポイント）


crypto ca trustpoint トラストポイントコンフィギュレーションモードを開始します。

default enrollment 登録パラメータをデフォルト値に戻します。


OL-20335-02-J


password-management

password-managementパスワード管理をイネーブルにするには、トンネルグループ一般アトリビュートコンフィギュレー

ションモードで password-management コマンドを使用します。パスワード管理をディセーブルにす

るには、このコマンドの no 形式を使用します。日数をデフォルト値にリセットするには、

password-expire-in-days キーワードを指定してこのコマンドの no 形式を使用します。

password-management [password-expire-in-days days]

no password-management

no password-management password-expire-in-days [days]

構文の説明

デフォルトこのコマンドを指定しない場合、パスワード管理は発生しません。password-expire-in-days キーワー

ドを指定しない場合、デフォルトで現在のパスワードの期限が切れる 14 日前から警告が開始されます。


コマンド履歴

使用上のガイドライン適応型セキュリティアプライアンスは、RADIUS プロトコルと LDAP プロトコルのパスワード管理を

サポートしています。「password-expire-in-days」オプションは、LDAP の場合のみサポートされてい

ます。

パスワード管理は、IPSec リモートアクセスおよび SSL VPN トンネルグループに設定できます。

days 現在のパスワードが期限切れになるまでの日数（0 ～ 180）を指定します。

このパラメータは、password-expire-in-days キーワードを指定する場合は

必須です。

password-expire-in-days

（任意）現在のパスワードが期限切れになるまでの日数がこの直後のパラ

メータにより指定され、適応型セキュリティアプライアンスからユーザに

パスワードの期限切れが迫っていることを知らせる警告が開始されること

を示します。このオプションは LDAP サーバでのみ有効です。詳細につい

ては、「使用上の注意事項」の項を参照してください。



ルーテッド

トランスペ


マルチ


トンネルグループ一般アトリ

ビュートコンフィギュレーショ

ン

• — • — —




OL-20335-02-J


password-management

password-management コマンドを設定すると、適応型セキュリティアプライアンスは、リモートユー

ザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れ

たことを通知します。それから適応型セキュリティアプライアンスは、ユーザがパスワードを変更で

きるようにします。現在のパスワードの期限がまだ切れていない場合、ユーザは引き続き現在のパス

ワードでログインできます。

このコマンドは、このような通知をサポートする AAA サーバに対してのみ有効です。RADIUS また

は LDAP 認証が設定されていない場合、適応型セキュリティアプライアンスはこのコマンドを無視し

ます。

（注）現在、一部の RADIUS サーバでは、MSCHAP はサポートされていても MSCHAPv2 はサポートされ

ていない場合があります。このコマンドには MSCHAPv2 が必要であるため、ベンダーに確認します。

リリース 7.1 以降の適応型セキュリティアプライアンスは、通常、LDAP または MS-CHAPv2 をサ

ポートする任意の RADIUS コンフィギュレーションで認証する場合は、次の接続タイプでのパスワー

ド管理をサポートしています。

• AnyConnect VPN クライアント

• IPSec VPN クライアント

• クライアントレス SSL VPN

Kerberos/Active Directory（Windows パスワード）または NT 4.0 ドメインの場合は、これらの接続タ

イプのいずれでもパスワード管理はサポートされません。RADIUS サーバ（たとえば Cisco ACS）で

は、認証要求を別の認証サーバにプロキシする場合があります。ただし、適応型セキュリティアプラ

イアンスからは、RADIUS サーバのみに対して通信しているように見えます。

（注） LDAP の場合、市販のさまざまな LDAP サーバに、それぞれ独自のパスワード変更方法があります。

現在、適応型セキュリティアプライアンスは、Microsoft Active Directory および Sun LDAP サーバ独

自のパスワード管理ロジックのみを実装しています。

ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、LDAP over SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。

このコマンドは、パスワードの期限が切れる日までの日数を変更するのではなく、期限が切れる日の何

日前から適応型セキュリティアプライアンスからユーザにパスワードの期限切れが迫っていることを

知らせる警告を開始するかを変更するものであることに注意してください。

password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。

日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セ

キュリティアプライアンスは期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が

切れた後でもパスワードを変更できます。

例次に、WebVPN トンネルグループ「testgroup」について、パスワードの期限が切れる日の 90 日前か

らユーザへの期限切れの警告を開始するように設定する例を示します。

hostname(config)# tunnel-group testgroup type webvpnhostname(config)# tunnel-group testgroup general-attributeshostname(config-tunnel-general)# password-management password-expire-in-days 90hostname(config-tunnel-general)#

次に、IPSec リモートアクセストンネルグループ「QAgroup」について、デフォルト値を使用してパ

スワードの期限が切れる日の 14 日前からユーザへの期限切れの警告を開始する例を示します。


OL-20335-02-J


password-management

hostname(config)# tunnel-group QAgroup type ipsec-rahostname(config)# tunnel-group QAgroup general-attributeshostname(config-tunnel-general)# password-managementhostname(config-tunnel-general)#


clear configure passwd ログインパスワードをクリアします。

passwd ログインパスワードを設定します。

radius-with-expiry RADIUS 認証中のパスワードアップデートのネゴシエーションをイネーブ

ルにします（廃止）。

show running-config passwd

暗号化された形式でログインパスワードを表示します。

tunnel-group general-attributes

トンネルグループ一般アトリビュート値を設定します。


OL-20335-02-J


password-parameter

password-parameterSSO 認証用にユーザパスワードを送信する必要がある HTTP POST 要求のパラメータの名前を指定す

るには、AAA サーバホストコンフィギュレーションモードで password-parameter コマンドを使用

します。これは HTTP フォームのコマンドを使用した SSO です。

password-parameter string

（注） HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳

しい実務知識が必要です。

構文の説明

デフォルトデフォルトの値や動作はありません。


コマンド履歴

使用上のガイドライン適応型セキュリティアプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、認証 Web サーバにシングルサインオン認証要求を送信します。必要なコマンド password-parameter は、この POST 要求に SSO 認証用のユーザパスワードパラメータが含まれている必要があることを指定します。

（注）ユーザはログイン時に実際のパスワード値を入力します。このパスワード値は POST 要求に入力され

て認証 Web サーバに渡されます。

例次に、AAA サーバホストコンフィギュレーションモードで user_password という名前のパスワードパラメータを指定する例を示します。

hostname(config)# aaa-server testgrp1 host example.comhostname(config-aaa-server-host)# password-parameter user_password

string HTTP POST 要求に含まれるパスワードパラメータの名前です。パスワード

の長さは大で 128 文字です。



ルーテッド

トランスペ


マルチ


AAA サーバホストコンフィ

ギュレーション

• — • — —




OL-20335-02-J


password-parameter


action-uri シングルサインオン認証用のユーザ名およびパスワードを受

信するための Web サーバ URI を指定します。

auth-cookie-name 認証クッキーの名前を指定します。

hidden-parameter 認証 Web サーバと交換するための非表示パラメータを作成し

ます。

start-url プリログインクッキーを取得する URL を指定します。

user-parameter SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定します。


OL-20335-02-J


password-prompt

password-promptWebVPN ユーザがセキュリティアプライアンスに接続するときに表示される WebVPN ページログイ

ンボックスのパスワードプロンプトをカスタマイズするには、webvpn カスタマイゼーションモード

で password-prompt コマンドを使用します。

password-prompt {text | style} value

[no] password-prompt {text | style} value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

構文の説明

デフォルトパスワードプロンプトのデフォルトのテキストは「PASSWORD:」です。

パスワードプロンプトのデフォルトのスタイルは color:black;font-weight:bold;text-align:right です。


コマンド履歴

使用上のガイドライン style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラ

メータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。

『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。こ

の付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更でもよく行われるページの配色を変更するためのヒントを

紹介します。

• カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用で

きます。

• RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ

区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

text テキストを変更することを指定します。

style スタイルを変更することを指定します。

value 実際に表示するテキスト（大 256 文字）、または Cascading Style Sheet（CSS）パラメータ（大 256 文字）です。



ルーテッド

トランスペ


マルチ


WebVPN カスタマイゼーション • — • — —




OL-20335-02-J


password-prompt

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは

緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、

色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例次に、テキストを「Corporate Password:」に変更して、デフォルトスタイルのフォントウェイトを bolder に変更する例を示します。

F1-asa1(config)# webvpnF1-asa1(config-webvpn)# customization ciscoF1-asa1(config-webvpn-custom)# password-prompt text Corporate Username:F1-asa1(config-webvpn-custom)# password-prompt style font-weight:bolder


group-prompt WebVPN ページのグループプロンプトをカスタマイズします。

username-prompt WebVPN ページのユーザ名プロンプトをカスタマイズします。


OL-20335-02-J


password-storage

password-storageユーザがクライアントシステムにログインパスワードを保存できるようにするには、グループポリ

シーコンフィギュレーションモードまたはユーザ名コンフィギュレーションモードで password-storage enable コマンドを使用します。パスワードの保存をディセーブルにするには、

password-storage disable コマンドを使用します。

実行コンフィギュレーションから password-storage アトリビュートを削除するには、このコマンドの no 形式を使用します。こうすることで、password-storage の値を別のグループポリシーから継承でき

るようになります。

password-storage {enable | disable}

no password-storage

構文の説明

デフォルトパスワードの保存はディセーブルです。


コマンド履歴

使用上のガイドラインパスワードの保存は、セキュアなサイトにあることが判明しているシステムのみでイネーブルにします。

このコマンドは、インタラクティブハードウェアクライアント認証またはハードウェアクライアント

の個別ユーザ認証とは関係ありません。

例次に、FirstGroup というグループポリシーのパスワードの保存をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributeshostname(config-group-policy)# password-storage enable

disable パスワードの保存をディセーブルにします。

enable パスワードの保存をイネーブルにします。



ルーテッド

トランスペ


マルチ


グループポリシー • — • — —

ユーザ名 • — • — —




OL-20335-02-J


peer-id-validate

peer-id-validateピアの証明書を使用してピアのアイデンティティを検証するかどうかを指定するには、トンネルグループ ipsec アトリビュートモードで peer-id-validate コマンドを使用します。デフォルト値に戻すに


peer-id-validate option

no peer-id-validate

構文の説明

デフォルトこのコマンドのデフォルトの設定は req です。


コマンド履歴

使用上のガイドラインこのアトリビュートは、すべての IPSec トンネルグループタイプに適用できます。

例次に、config-ipsec コンフィギュレーションモードで 209.165.200.225 という名前の IPSec LAN-to-LAN トンネルグループのピアの証明書のアイデンティティを使用して、ピアの検証を要求す

る例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2Lhostname(config)# tunnel-group 209.165.200.225 ipsec-attributeshostname(config-tunnel-ipsec)# peer-id-validate reqhostname(config-tunnel-ipsec)#

option 次のいずれかのオプションを指定します。

• req：必須

• cert：証明書によりサポートされている場合

• nocheck：チェックしない



ルーテッド

トランスペ


マルチ


トンネルグループ ipsec アトリ

ビュート • — • — —


7.0.1 このコマンドが追加されました。


OL-20335-02-J


peer-id-validate


clear-configure tunnel-group

設定されているすべてのトンネルグループをクリアします。

show running-config tunnel-group

すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネルグループ ipsec アトリビュートを設定します。


OL-20335-02-J


perfmon

perfmonパフォーマンス情報を表示するには、特権 EXEC モードで perfmon コマンドを使用します。

perfmon {verbose | interval seconds | quiet | settings} [detail]

構文の説明

デフォルト seconds は 120 秒です。


コマンド履歴

使用上のガイドライン perfmon コマンドを使用すると、適応型セキュリティアプライアンスのパフォーマンスをモニタでき

ます。情報をただちに表示するには、show perfmon コマンドを使用します。継続して 2 分おきに情報

を表示するには、perfmon verbose コマンドを使用します。継続して指定した秒数おきに情報を表示

するには、perfmon interval seconds コマンドと perfmon verbose コマンドを併用します。

パフォーマンス情報は次の例のように表示されます。

verbose 適応型セキュリティアプライアンスコンソールにパフォーマンスモニタ情報を

表示します。

interval seconds コンソールのパフォーマンス表示が更新されるまでの秒数を指定します。

quiet パフォーマンスモニタ表示をディセーブルにします。

settings interval を表示し、quiet または verbose のいずれであるかを表示します。

detail パフォーマンスに関する詳細情報を表示します。



ルーテッド

トランスペ


マルチ


特権 EXEC • • • •


7.0 適応型セキュリティアプライアンスでこのコマンドがサポートされるよう

になりました。

7.2(1) detail キーワードのサポートが追加されました。

PERFMON STATS: Current Average

Xlates 33/s 20/s

Connections 110/s 10/s

TCP Conns 50/s 42/s

WebSns Req 4/s 2/s

TCP Fixup 20/s 15/s

HTTP Fixup 5/s 5/s

FTP Fixup 7/s 4/s


OL-20335-02-J


perfmon

この情報には、変換、接続、Websense 要求、アドレス変換（「フィックスアップ」と呼ばれる）、およ

び AAA トランザクションについて、毎秒発生する数がリストされます。

例次に、パフォーマンスモニタ統計情報を 30 秒おきに適応型セキュリティアプライアンスコンソールに

表示する例を示します。

hostname(config)# perfmon interval 120hostname(config)# perfmon quiethostname(config)# perfmon settingsinterval: 120 (seconds)quiet

関連コマンド

AAA Authen 10/s 5/s

AAA Author 9/s 5/s

AAA Account 3/s 3/s

コマンド説明

show perfmon パフォーマンス情報を表示します。


OL-20335-02-J


periodic

periodic時間範囲機能をサポートする関数に対して、（週ごとに）反復して発生する時間範囲を指定するには、

時間範囲コンフィギュレーションモードで periodic コマンドを使用します。ディセーブルにするには、

このコマンドの no 形式を使用します。

periodic days-of-the-week time to [days-of-the-week] time

no periodic days-of-the-week time to [days-of-the-week] time

構文の説明

デフォルト periodic コマンドに値が入力されていない場合、time-range コマンドで定義された適応型セキュリ

ティアプライアンスへのアクセスがただちに有効になり、常時オンとなります。


コマンド履歴

days-of-the-week （任意）1 番めの days-of-the-week 引数には、関連付けられている時間範囲が有効

になる日または曜日を指定します。2 番めの days-of-the-week 引数には、関連付

けられているステートメントの有効期間が終了する日または曜日を指定します。

この引数は、単一の曜日または曜日の組み合わせです（Monday（月曜日）、

Tuesday（火曜日）、Wednesday（水曜日）、Thursday（木曜日）、Friday（金曜

日）、Saturday（土曜日）、および Sunday（日曜日））。他に指定できる値は、次の

とおりです。

• daily：月曜日～日曜日

• weekdays：月曜日～金曜日

• weekend：土曜日と日曜日

終了の曜日が開始の曜日と同じ場合は、終了の曜日を省略できます。

time 時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。

to 「開始時刻から終了時刻まで」の範囲を入力するには、to キーワードを入力する必

要があります。



ルーテッド

トランスペ


マルチ


時間範囲コンフィギュレーショ

ン

• • • • —




OL-20335-02-J


periodic

使用上のガイドライン時間ベース ACL を実装するには、time-range コマンドを使用して、週および 1 日の中の特定の時刻を

定義します。次に、access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。

periodic コマンドは、時間範囲をいつ有効にするかを指定する方法の 1 つです。absolute コマンドを

使用して絶対期間を指定する方法もあります。これらのコマンドのいずれかを、時間範囲の名前を指定

する time-range グローバルコンフィギュレーションコマンドの後に使用します。time-range コマン

ド 1 つにつき複数の periodic を入力できます。

終了の days-of-the-week 値が開始の days-of-the-week 値と同じ場合、終了の days-of-the-week 値を省

略できます。

time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、periodic コマンドは absolute start 時刻を経過した後にのみ評価の対象になり、absolute end 時刻を経過した後は評価の対

象にはなりません。

時間範囲機能は、適応型セキュリティアプライアンスのシステムクロックに依存しています。ただし、

この機能は NTP 同期を使用すると適に動作します。

例次にいくつかの例を示します。

次に、月曜日から金曜日の午前 8 時～午後 6 時のみに適応型セキュリティアプライアンスにアクセス

することを許可する例を示します。

hostname(config-time-range)# periodic weekdays 8:00 to 18:00hostname(config-time-range)#

次に、特定の曜日（月曜日、火曜日、および金曜日）の午前 10 時 30 分～午後 12 時 30 分に適応型セ

キュリティアプライアンスにアクセスすることを許可する例を示します。

hostname(config-time-range)# periodic Monday Tuesday Friday 10:30 to 12:30hostname(config-time-range)#

関連コマンド

必要な設定入力内容

月曜日から金曜日の午前 8 時～午後 6 時のみ periodic weekdays 8:00 to 18:00

毎日午前 8 時～午後 6 時のみ periodic daily 8:00 to 18:00

月曜日午前 8 時～金曜日午後 8 時の 1 分おき periodic monday 8:00 to friday 20:00

毎週末（土曜日の朝から日曜日の夜まで） periodic weekend 00:00 to 23:59

土曜日および日曜日の正午～深夜 periodic weekend 12:00 to 23:59

コマンド説明

absolute 時間範囲が有効になる絶対時間を定義します。

access-list extended 適応型セキュリティアプライアンス経由の IP トラフィックを許可または拒

否するためのポリシーを設定します。

default time-range コマンドの absolute キーワードと periodic キーワードをデ

フォルト設定に戻します。

time-range 時間に基づいて適応型セキュリティアプライアンスのアクセスコントロー

ルを定義します。


OL-20335-02-J


permit errors

permit errors無効な GTP パケットを許可する、または許可しないと解析が失敗してドロップされるパケットを許可

するには、GTP マップコンフィギュレーションモードで permit errors コマンドを使用します。GTP マップコンフィギュレーションモードには、gtp-map コマンドを使用してアクセスできます。デフォ

ルトの動作（無効なパケットまたは解析中に失敗したパケットはすべてドロップされる）に戻すには、

このコマンドの no 形式を使用します。

permit errors

no permit errors


デフォルトデフォルトでは、無効なパケットまたは解析中に失敗したパケットはすべてドロップされます。


コマンド履歴

使用上のガイドライン無効なパケット、または適応型セキュリティアプライアンスを介して送信されるメッセージのインス

ペクション中にエラーが発生したパケットを許可し、ドロップされないようにするには、GTP マップコンフィギュレーションモードで permit errors コマンドを使用します。

例次に、無効なパケットまたは解析中に失敗したパケットが含まれたトラフィックを許可する例を示します。

hostname(config)# gtp-map qtp-policyhostname(config-gtpmap)# permit errors



ルーテッド

トランスペ


マルチ


GTP マップコンフィギュレー

ション

• • • • —




OL-20335-02-J


permit errors


clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

gtp-map GTP マップを定義し、GTP マップコンフィギュレーションモードをイ

ネーブルにします。

inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用

します。

permit response ロードバランシング GSN をサポートします。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。


OL-20335-02-J


permit response

permit responseロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit response コマンドを使用します。GTP マップコンフィギュレーションモードには、gtp-map コマン

ドを使用してアクセスできます。適応型セキュリティアプライアンスが、要求の送信先であるホスト

以外の GSN から返された GTP 応答をドロップできるようにするには、このコマンドの no 形式を使用

します。

permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

no permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

構文の説明

デフォルトデフォルトでは、適応型セキュリティアプライアンスは、要求の送信先であるホスト以外の GSN から

の GTP 応答をドロップします。


コマンド履歴

使用上のガイドラインロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit response コマンドを使用します。permit response コマンドは、応答を送信した宛先の GSN 以外の GSN からの GTP 応答を許可するように GTP マップを設定します。

from-object-group from_obj_group_id

to_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセット

に応答を送信できる、object-group コマンドで設定されたオブジェクトグ

ループの名前を指定します。適応型セキュリティアプライアンスは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェクトグルー

プのみをサポートしています。現在、IPv6 アドレスは GTP ではサポート

されていません。

to-object-group to_obj_group_id

from_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセットから応答を受信できる、object-group コマンドで設定されたオブ

ジェクトグループの名前を指定します。適応型セキュリティアプライアン

スは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェ

クトグループのみをサポートしています。現在、IPv6 アドレスは GTP ではサポートされていません。



ルーテッド

トランスペ


マルチ


GTP マップコンフィギュレー

ション

• • • • —




OL-20335-02-J


permit response

ユーザは、ロードバランシング GSN のプールをネットワークオブジェクトとして指定します。同様

に、SGSN をネットワークオブジェクトとして指定します。応答する GSN が、GTP 要求を送信した

宛先の GSN と同じオブジェクトグループに属する場合、および応答する GSN が GTP 応答を送信でき

る宛先のオブジェクトグループに SGSN がある場合、適応型セキュリティアプライアンスはその応答

を許可します。

例次に、192.168.32.0 ネットワーク上の任意のホストから IP アドレスが 192.168.112.57 のホストへの GTP 応答を許可する例を示します。

hostname(config)# object-group network gsnpool32hostname(config-network)# network-object 192.168.32.0 255.255.255.0hostname(config)# object-group network sgsn1 hostname(config-network)# network-object host 192.168.112.57hostname(config-network)# exit hostname(config)# gtp-map qtp-policyhostname(config-gtpmap)# permit response to-object-group sgsn1 from-object-group gsnpool32


clear service-policy inspect gtp

グローバルな GTP 統計情報をクリアします。

gtp-map GTP マップを定義し、GTP マップコンフィギュレーションモードをイ


inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用

します。

permit errors 無効な GTP パケットを許可します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。


OL-20335-02-J


pfs

pfsPFS をイネーブルにするには、グループポリシーコンフィギュレーションモードで pfs enable コマン

ドを使用します。PFS をディセーブルにするには、pfs disable コマンドを使用します。実行コンフィ

ギュレーションから PFS アトリビュートを削除するには、このコマンドの no 形式を使用します。

pfs {enable | disable}

no pfs

構文の説明

デフォルト PFS はディセーブルです。


コマンド履歴

使用上のガイドライン PFS 設定は、VPN クライアントと適応型セキュリティアプライアンスで一致している必要があります。

別のグループポリシーからの PFS の値の継承を許可するには、このコマンドの no 形式を使用します。

IPSec ネゴシエーションでは、PFS により、新しい各暗号キーが以前のどのキーとも無関係であること

が保証されます。

例次に、FirstGroup というグループポリシーの PFS を設定する例を示します。

hostname(config)# group-policy FirstGroup attributeshostname(config-group-policy)# pfs enable

disable PFS をディセーブルにします。

enable PFS をイネーブルにします。



ルーテッド

トランスペ


マルチ


グループポリシーコンフィギュ

レーション • — • — —




OL-20335-02-J


phone-proxy

phone-proxyPhone Proxy インスタンスを設定するには、グローバルコンフィギュレーションモードで phone-proxy コマンドを使用します。

Phone Proxy インスタンスを削除するには、このコマンドの no 形式を使用します。

phone-proxy phone_proxy_name

no phone-proxy phone_proxy_name

構文の説明



コマンド履歴

使用上のガイドライン適応型セキュリティアプライアンスに設定できる Phone Proxy インスタンスは、1 つだけです。

HTTP プロキシサーバに NAT が設定されている場合、IP 電話に対する HTTP プロキシサーバのグ

ローバル IP アドレスまたはマップ IP アドレスは、Phone Proxy コンフィギュレーションファイルに書

き込まれます。

例次に、phone-proxy コマンドを使用して Phone Proxy インスタンスを設定する例を示します。

hostname(config)# phone-proxy asa_phone_proxyhostname(config-phone-proxy)# tftp-server address 128.106.254.8 interface outsidehostname(config-phone-proxy)# media-termination address 192.0.2.25 interface insidehostname(config-phone-proxy)# media-termination address 128.106.254.3 interface outsidehostname(config-phone-proxy)# tls-proxy asa_tlsphostname(config-phone-proxy)# ctl-file asactlhostname(config-phone-proxy)# cluster-mode nonsecurehostname(config-phone-proxy)# timeout secure-phones 00:05:00hostname(config-phone-proxy)# disable service-settings

phone_proxy_name Phone Proxy インスタンスの名前を指定します。



ルーテッド

トランスペ


マルチ



ション

• — • — —




OL-20335-02-J


phone-proxy


ctl-file（グローバル） Phone Proxy コンフィギュレーション用に作成する CTL ファイル、またはフ

ラッシュメモリから解析するための CTL ファイルを指定します。

ctl-file（Phone-Proxy）

Phone Proxy コンフィギュレーションで使用する CTL ファイルを指定します。

tls-proxy TLS プロキシインスタンスを設定します。


OL-20335-02-J


pim

pimインターフェイス上で PIM を再度イネーブルにするには、インターフェイスコンフィギュレーションモードで pim コマンドを使用します。PIM をディセーブルにするには、このコマンドの no 形式を使用

します。

pim

no pim


デフォルトデフォルトでは、multicast-routing コマンドは、すべてのインターフェイスの PIM をイネーブルにし

ます。


コマンド履歴

使用上のガイドラインデフォルトでは、multicast-routing コマンドは、すべてのインターフェイスの PIM をイネーブルにし

ます。no 形式の pim コマンドだけがコンフィギュレーションに保存されます。

（注） PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用す

るプロトコルに対してのみ動作します。

例次に、選択したインターフェイスで PIM をディセーブルにする例を示します。

hostname(config-if)# no pim

関連コマンド



ルーテッド

トランスペ


マルチ


インターフェイスコンフィギュ

レーション

• — • — —



コマンド説明

multicast-routing 適応型セキュリティアプライアンスでマルチキャストルーティングをイ



OL-20335-02-J


pim accept-register

pim accept-registerPIM 登録メッセージをフィルタリングするように適応型セキュリティアプライアンスを設定するには、

グローバルコンフィギュレーションモードで pim accept-register コマンドを使用します。フィルタリ

ングを削除するには、このコマンドの no 形式のコマンドを使用します。

pim accept-register {list acl | route-map map-name}

no pim accept-register

構文の説明



コマンド履歴

使用上のガイドラインこのコマンドは、不正な送信元が RP に登録されないようにする場合に使用します。不正な送信元が RP に登録メッセージを送信すると、適応型セキュリティアプライアンスはただちに登録中止メッセー

ジを返送します。

例次に、PIM 登録メッセージを、「no-ssm-range」というアクセスリストに定義されている送信元からの

ものに制限する例を示します。

hostname(config)# pim accept-register list no-ssm-range

関連コマンド

list acl アクセスリストの名前または番号を指定します。このコマンドでは、拡張

ホスト ACL だけを使用します。

route-map map-name ルートマップ名を指定します。参照先のルートマップでは、拡張ホスト ACL を使用します。



ルーテッド

トランスペ


マルチ



ション

• — • — —



コマンド説明




OL-20335-02-J


pim bidir-neighbor-filter

pim bidir-neighbor-filterどの双方向対応ネイバーが DF 選定に参加できるかを制御するには、インターフェイスコンフィギュ

レーションモードで pim bidir-neighbor-filter コマンドを使用します。フィルタリングを削除するに

は、このコマンドの no 形式のコマンドを使用します。

pim bidir-neighbor-filter acl

no pim bidir-neighbor-filter acl

構文の説明

デフォルトすべてのルータは双方向対応であると見なされます。


コマンド履歴

使用上のガイドライン双方向 PIM を使用すると、マルチキャストルータは、情報を縮小した状態で保持できます。双方向対

応ルータが DF を選定できるようにするには、セグメント内のすべてのマルチキャストルータは、双

方向にイネーブルである必要があります。

pim bidir-neighbor-filter コマンドを使用すると、スパースモード専用ネットワークから双方向ネッ

トワークへの移行が可能になります。この場合、すべてのルータがスパースモードドメインに参加で

きるようにしたまま、DF 選定に参加する必要のあるルータを指定します。双方向対応ルータは、セグ

メントに双方向非対応のルータがある場合でも、双方向対応ルータの中から DF を選定できます。双方

向非対応のルータのマルチキャスト境界により、双方向対応のグループの PIM メッセージとデータが、

双方向対応のサブセットクラウド内外に漏れることが防止されます。

pim bidir-neighbor-filter コマンドがイネーブルになっていると、ACL により許可されているルータ

は双方向対応であると見なされます。したがって、次のようになります。

• 許可されたネイバーが双方向をサポートしていない場合、DF 選定は発生しません。

• 拒否されたネイバーが双方向をサポートしている場合、DF 選定は発生しません。

• 拒否されたネイバーが双方向をサポートしていない場合、DF 選定が発生します。

acl アクセスリストの名前または番号を指定します。アクセスリストは、双

方向 DF 選定に参加できるネイバーを定義します。このコマンドでは、標

準 ACL だけを使用します。拡張 ACL はサポートされていません。



ルーテッド

トランスペ


マルチ



レーション

• — • — —




OL-20335-02-J


pim bidir-neighbor-filter

例次に、10.1.1.1 を PIM 双方向対応ネイバーになることを許可する例を示します。

hostname(config)# access-list bidir_test permit 10.1.1.1 255.255.255.55hostname(config)# access-list bidir_test deny anyhostname(config)# interface GigabitEthernet0/3hostname(config-if)# pim bidir-neighbor-filter bidir_test


multicast boundary 管理スコープのマルチキャストアドレスのマルチキャスト境界を定義します。

multicast-routing 適応型セキュリティアプライアンスでマルチキャストルーティングをイネー

ブルにします。


OL-20335-02-J


pim dr-priority

pim dr-priority指定ルータの選定に使用されるネイバーのプライオリティを適応型セキュリティアプライアンスで設

定するには、インターフェイスコンフィギュレーションモードで pim dr-priority コマンドを使用しま

す。デフォルトのプライオリティに戻すには、このコマンドの no 形式を使用します。

pim dr-priority number

no pim dr-priority

構文の説明

デフォルトデフォルト値は 1 です。


コマンド履歴

使用上のガイドラインインターフェイス上でプライオリティの値のも大きいデバイスが、PIM 指定ルータになります。複

数のデバイスの指定ルータプライオリティが同じである場合、IP アドレスのも大きいデバイスが DR になります。デバイスの hello メッセージに DR プライオリティオプションが含まれていない場合

は、そのデバイスがもプライオリティの高いデバイスであると見なされ、指定ルータになります。

hello メッセージにこのオプションが含まれていないデバイスが複数ある場合は、IP アドレスが大の

デバイスが指定ルータになります。

例次に、インターフェイスの DR プライオリティを 5 に設定する例を示します。

hostname(config-if)# pim dr-priority 5

関連コマンド

number 0 ～ 4294967294 の任意の数字。この数字は、指定ルータを識別するとき

に、デバイスのプライオリティを識別するために使用されます。0 に指定

すると、適応型セキュリティアプライアンスは指定ルータにはなりません。



ルーテッド

トランスペ


マルチ



レーション

• — • — —



コマンド説明




OL-20335-02-J


pim hello-interval

pim hello-intervalPIM hello メッセージの頻度を設定するには、インターフェイスコンフィギュレーションモードで pim hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

pim hello-interval seconds

no pim hello-interval [seconds]

構文の説明

デフォルト 30 秒。


コマンド履歴

例次に、PIM hello 間隔を 1 分に設定する例を示します。

hostname(config-if)# pim hello-interval 60

関連コマンド

seconds 適応型セキュリティアプライアンスが hello メッセージを送信する前に待

機する秒数。有効な値の範囲は、1 ～ 3600 秒です。デフォルト値は 30 秒です。



ルーテッド

トランスペ


マルチ



レーション

• — • — —



コマンド説明




OL-20335-02-J


pim join-prune-interval

pim join-prune-intervalPIM join/prune 間隔を設定するには、インターフェイスコンフィギュレーションモードで pim join-prune-interval コマンドを使用します。間隔をデフォルト値に戻すには、このコマンドの no 形式

を使用します。

pim join-prune-interval seconds

no pim join-prune-interval [seconds]

構文の説明

デフォルト 60 秒


コマンド履歴

例次に、PIM join/prune 間隔を 2 分に設定する例を示します。

hostname(config-if)# pim join-prune-interval 120

関連コマンド

seconds 適応型セキュリティアプライアンスが join/prune メッセージを送信する前

に待機する秒数。有効な値の範囲は、10 ～ 600 秒です。デフォルトは 60 秒です。



ルーテッド

トランスペ


マルチ



レーション

• — • — —



コマンド説明




OL-20335-02-J


pim neighbor-filter

pim neighbor-filterどのネイバールータが PIM に参加できるかを制御するには、インターフェイスコンフィギュレーショ

ンモードで pim neighbor-filter コマンドを使用します。フィルタリングを削除するには、このコマン

ドの no 形式のコマンドを使用します。

pim neighbor-filter acl

no pim neighbor-filter acl

構文の説明



コマンド履歴

使用上のガイドラインこのコマンドは、どのネイバールータが PIM に参加できるかを定義します。このコマンドがコンフィ

ギュレーションに含まれていない場合、制限はありません。

このコマンドがコンフィギュレーション内に表示されるようにするには、マルチキャストルーティン

グと PIM がイネーブルである必要があります。マルチキャストルーティングをディセーブルにする

と、このコマンドはコンフィギュレーションから削除されます。

例次に、IP アドレスが 10.1.1.1 のルータが、GigabitEthernet0/2 インターフェイスで PIM ネイバーにな

ることを許可する例を示します。

hostname(config)# access-list pim_filter permit 10.1.1.1 255.255.255.55hostname(config)# access-list pim_filter deny anyhostname(config)# interface gigabitEthernet0/2hostname(config-if)# pim neighbor-filter pim_filter

acl アクセスリストの名前または番号を指定します。このコマンドでは、標準 ACL だけを使用します。拡張 ACL はサポートされていません。



ルーテッド

トランスペ


マルチ



レーション

• — • — —




OL-20335-02-J


pim neighbor-filter





OL-20335-02-J


pim old-register-checksum

pim old-register-checksum古いレジスタチェックサムメソッドを使用する Rendezvous Point（RP; ランデブーポイント）の下位

互換性を許可するには、グローバルコンフィギュレーションモードで pim old-register-checksum コマ

ンドを使用します。PIM RFC 準拠のレジスタを生成するには、このコマンドの no 形式を使用します。

pim old-register-checksum

no pim old-register-checksum


デフォルト適応型セキュリティアプライアンスは、PIM RFC 準拠のレジスタを生成します。


コマンド履歴

使用上のガイドライン適応型セキュリティアプライアンスソフトウェアは、Cisco IOS 方式を使用せずに、PIM ヘッダーと

それに続く 4 バイトだけにあるチェックサムを持つレジスタメッセージを受け入れます（すべての PIM メッセージタイプ用の PIM メッセージ全体とともにレジスタメッセージを受け入れます）。pim old-register-checksum コマンドは、Cisco IOS ソフトウェアと互換性のあるレジスタを生成します。

例次に、古いチェックサム計算を使用するように適応型セキュリティアプライアンスを設定する例を示

します。

hostname(config)# pim old-register-checksum

関連コマンド



ルーテッド

トランスペ


マルチ



ション

• — • — —



コマンド説明




OL-20335-02-J


pim rp-address

pim rp-addressPIM Rendezvous Point（RP; ランデブーポイント）のアドレスを設定するには、グローバルコンフィ

ギュレーションモードで pim rp-address コマンドを使用します。RP アドレスを削除するには、この

コマンドの no 形式を使用します。

pim rp-address ip_address [acl] [bidir]

no pim rp-address ip_address

構文の説明

デフォルト PIM RP アドレスは設定されていません。


コマンド履歴

使用上のガイドライン共通の PIM Sparse Mode（PIM-SM; PIM スパースモード）または双方向ドメイン内のすべてのルータ

は、既知の PIM RP アドレスの情報を必要とします。アドレスは、このコマンドを使用してスタティッ

クに設定されます。

（注）適応型セキュリティアプライアンスは、Auto-RP をサポートしていません。したがって、pim rp-address コマンドを使用して、RP アドレスを指定する必要があります。

1 つの RP で複数のグループが処理されるように設定できます。アクセスリストで指定されているグ

ループ範囲により、PIM RP グループマッピングが決まります。アクセスリストが指定されていない

場合、グループの RP は、IP マルチキャストグループ範囲全体（224.0.0.0/4）に適用されます。

acl （任意）RP とともに使用するマルチキャストグループを定義する、標準ア

クセスリストの名前または番号。このコマンドではホスト ACL を使用し

ません。

bidir （任意）指定したマルチキャストグループが、双方向モードで動作するこ

とを示します。このオプションを使用しないでコマンドを設定した場合、

指定したグループは PIM スパースモードで動作します。

ip_address PIM RP とするルータの IP アドレス。これは、4 分割ドット付き 10 進表

記のユニキャスト IP アドレスです。



ルーテッド

トランスペ


マルチ



ション

• — • — —




OL-20335-02-J


pim rp-address

（注）適応型セキュリティアプライアンスは、実際の双方向コンフィギュレーションにかかわらず、常に、

双方向機能を PIM hello メッセージ内でアドバタイズします。

例次に、すべてのマルチキャストグループの PIM RP アドレスを 10.0.0.1 に設定する例を示します。

hostname(config)# pim rp-address 10.0.0.1


pim accept-register PIM レジスタメッセージをフィルタリングするように、候補 RP を設定し

ます。


OL-20335-02-J


pim spt-threshold infinity

pim spt-threshold infinityラストホップルータの動作を、常に共有ツリーを使用し、Shortest-Path Tree（SPT）への切り替えは

実行しないように変更するには、グローバルコンフィギュレーションモードで pim spt-threshold infinity コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

pim spt-threshold infinity [group-list acl]

no pim spt-threshold

構文の説明

デフォルトデフォルトでは、ラストホップ PIM ルータは短パス送信元ツリーに切り替えます。


コマンド履歴

使用上のガイドライン group-list キーワードを使用しない場合、このコマンドはすべてのマルチキャストグループに適用され

ます。

例次に、短パス送信元ツリーに切り替えるのではなく、常に共有ツリーを使用するようにラストホッ

プ PIM ルータを設定する例を示します。

hostname(config)# pim spt-threshold infinity

関連コマンド

group-list acl （任意）アクセスリストで制限されている送信元グループを指定します。

acl 引数には、標準 ACL を指定する必要があります。拡張 ACL はサポー

トされていません。



ルーテッド

トランスペ


マルチ



ション

• — • — —



コマンド説明




OL-20335-02-J


ping

ping他の IP アドレスが適応型セキュリティアプライアンスで表示できるかどうかを識別するには、特権 EXEC モードで ping コマンドを使用します。

ping [if_name] host [data pattern] [repeat count] [size bytes] [timeout seconds] [validate]

構文の説明



コマンド履歴

使用上のガイドライン ping コマンドを使用すると、適応型セキュリティアプライアンスが接続可能かどうか、またはホスト

がネットワークで利用可能かどうかを識別できます。適応型セキュリティアプライアンスが接続可能

な場合は、icmp permit any interface コマンドが設定されていることを確認します。このコンフィギュ

レーションは、適応型セキュリティアプライアンスが ping コマンドで生成されたメッセージに応答

し、受け入れできるようにするために必要です。ping コマンドの出力には、応答が受信されたかどう

かが示されます。ping コマンドを入力したとき、ホストが応答していない場合は、次のようなメッ

セージが表示されます。

hostname(config)# ping 10.1.1.1 Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

data pattern （任意）16 ビットデータパターンを 16 進数で指定します。

host ping 対象のホストの IPv4 または IPv6 アドレス、または名前を指定します。この

名前は DNS 名、または name コマンドで割り当てられた名前を指定できます。

DNA 名の大文字数は 128 文字、name コマンドで作成した名前の大文字数は 63 文字です。

if_name （任意）nameif コマンドで定義され、host へのアクセスに使用できるインター

フェイス名を指定します。指定しない場合、host は IP アドレスに解決され、その

後ルーティングテーブルが参照されて、宛先インターフェイスが決まります。

repeat count （任意）ping 要求を繰り返す回数を指定します。

size bytes （任意）データグラムサイズをバイト単位で指定します。

timeout seconds （任意）ping 要求がタイムアウトするまでに待機する秒数を指定します。

validate （任意）応答データを検証することを指定します。



ルーテッド

トランスペ


マルチ


特権 EXEC • • • • •



7.2(1) DNS 名のサポートが追加されました。


OL-20335-02-J


ping

?????Success rate is 0 percent (0/5)

適応型セキュリティアプライアンスがネットワークに接続されていること、およびトラフィックが通

過していることを確認するには、show interface コマンドを使用します。指定した if_name のアドレス

は、ping の送信元アドレスとして使用されます。

内部ホストから外部ホストに対して ping を実行する場合は、次のいずれかを実行する必要があります。

• エコー応答用の ICMP access-list コマンドを作成します。たとえば、すべてのホストが ping にア

クセスできるようにするには、access-list acl_grp permit icmp any any コマンドを使用します。

また、access-group コマンドを使用して、テストの対象であるインターフェイスに access-list コマンドをバインドします。

• inspect icmp コマンドを使用して、ICMP インスペクションエンジンを設定します。たとえば、

inspect icmp コマンドをグローバルサービスポリシーの class default_inspection クラスに追加す

ると、内部ホストによって開始されたエコー要求に対して、適応型セキュリティアプライアンス

を介したエコー応答が許可されます。

拡張 ping を実行することもできます。拡張 ping では、一度に 1 行ずつキーワードを入力できます。

ホスト間またはルータ間で適応型セキュリティアプライアンスを介して ping を実行しても、ping が成

功しない場合は、capture コマンドを使用して ping の成功をモニタします。

適応型セキュリティアプライアンスの ping コマンドでは、インターフェイス名は必須ではありませ

ん。インターフェイス名を指定しない場合、適応型セキュリティアプライアンスは、ルーティングテーブルをチェックしてユーザが指定したアドレスを検索します。インターフェイス名を指定して、

ICMP エコー要求が送信されるときに経由するインターフェイスを示すことができます。

例次に、他の IP アドレスが適応型セキュリティアプライアンスで表示できるかどうかを識別する例を示

します。

hostname# ping 171.69.38.1Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

次に、DNS 名を使用してホストを指定する例を示します。

hostname# ping www.example.comSending 5, 100-byte ICMP Echos to www.example.com, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

次に、拡張 ping の例を示します。

hostname# pingInterface: outsideTarget IP address: 171.69.38.1Repeat count: [5]Datagram size: [100]Timeout in seconds: [2]Extended commands [n]:Sweep range of sizes [n]:Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms


OL-20335-02-J


ping


capture インターフェイスでパケットをキャプチャします。

icmp インターフェイスで終端する ICMP トラフィックに対して、アクセスルー

ルを設定します。

show interface VLAN コンフィギュレーションについての情報を表示します。


OL-20335-02-J


police

policeクラスマップに QoS ポリシングを適用するには、クラスコンフィギュレーションモードで police コマンドを使用します。レート制限要件を削除するには、このコマンドの no 形式を使用します。ポリシ

ングは、設定した大レート（ビット /秒単位）を超えるトラフィックが発生しないようにして、1 つのトラフィックフローが全体のリソースを占有しないようにする方法の 1 つです。トラフィックが

大レートを超えると、適応型セキュリティアプライアンスは超過したトラフィックをドロップします。

また、ポリシングは許可されるトラフィックの大単一バーストも設定します。

police {output | input} conform-rate [conform-burst] [conform-action [drop | transmit] [exceed-action [drop | transmit]]]

no police

構文の説明

デフォルトデフォルトの動作や変数はありません。


コマンド履歴

conform-burst 適合レート値にスロットリングされるまでに、持続的なバーストで許容さ

れる大瞬間バイト数を、1000 ～ 512000000 バイトの範囲で指定します。

conform-action レートが conform_burst の値未満であるときに実行されるアクションを設

定します。

conform-rate このトラフィックフローのレート制限を、8000 ～ 2000000000 ビット /秒の範囲で設定します。

drop パケットをドロップします。

exceed-action レートが conform-rate 値と conform-burst 値の間であるときに実行される

アクションを設定します。

input 入力方向に流れるトラフィックのポリシングをイネーブルにします。

output 出力方向に流れるトラフィックのポリシングをイネーブルにします。

transmit パケットを送信します。



ルーテッド

トランスペ


マルチ


クラスコンフィギュレーション • • • — —



7.2(1) input オプションが追加されました。インバウンド方向のトラフィックのポリシン

グがサポートされるようになりました。


OL-20335-02-J


police

使用上のガイドラインポリシングをイネーブルにするには、モジュラポリシーフレームワークを使用します。

1. class-map：ポリシングを実行するトラフィックを指定します。

2. policy-map：各クラスマップに関連付けるアクションを指定します。

a. class：アクションを実行するクラスマップを指定します。

b. police：クラスマップのポリシングをイネーブルにします。

3. service-policy：ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。

（注） police コマンドは、大速度および大バーストレートを適合レート値に強制的に合わせることで、

大速度および大バーストレートを規制するだけのものです。conform-action または exceed-action が指定されていても、これらは強制されません。

（注） conform-burst パラメータが省略されている場合、デフォルト値は conform-rate の 1/32（バイト単位）

と見なされます（つまり、conform-rate が 100,000 の場合、デフォルトの conform-burst 値は 100,000/32 = 3,125 となります）。conform-burst の単位はバイトですが、conform-rate の単位はビット

/秒であることに注意してください。

必要に応じて、適応型セキュリティアプライアンスの各 QoS 機能を個別に設定できます。ただし、多

くの場合、たとえば一部のトラフィックを優先して他のトラフィックが帯域幅の問題を引き起こさない

ようにするために、適応型セキュリティアプライアンスで複数の QoS 機能を設定します。

インターフェイスごとにサポートされる次の機能の組み合わせを参照してください。

• 標準プライオリティキューイング（特定トラフィック）+ ポリシング（その他のトラフィック）。

同じトラフィックのセットに対して、プライオリティキューイングとポリシングを両方設定する

ことはできません。

• トラフィックシェーピング（1 つのインターフェイス上のすべてのトラフィック）+ 階層型プライ

オリティキューイング（トラフィックのサブセット）。

適応型セキュリティアプライアンスで制限されているわけではありませんが、通常、トラフィックシェー

ピングをイネーブルにした場合、同じトラフィックに対してはポリシングはイネーブルにしません。

既存の VPN クライアント /LAN-to-LAN トラフィック、または非トンネルトラフィックがすでに確立

されているインターフェイスを対象として、サービスポリシーを適用または削除した場合、QoS ポリ

シーが適用されたり、トラフィックストリームから削除されたりすることはありません。このような

接続を対象として QoS ポリシーを適用または削除するには、接続をクリア（つまりドロップ）して再

確立する必要があります。

例次に、適合レート 100,000 ビット /秒、バースト値 20,000 バイトを設定し、バーストレートを超過し

たトラフィックはドロップすることを指定した、出力方向の police コマンドの例を示します。

hostname(config)# policy-map localpolicy1hostname(config-pmap)# class-map firstclasshostname(config-cmap)# class localclass hostname(config-pmap-c)# police output 100000 20000 exceed-action drophostname(config-cmap-c)# class class-defaulthostname(config-pmap-c)#

次に、内部 Web サーバ宛てのトラフィックに対してレート制限を設定する例を示します。

hostname# access-list http_traffic permit tcp any 10.1.1.0 255.255.255.0 eq 80hostname# class-map http_traffic


OL-20335-02-J


police

hostname(config-cmap)# match access-list http_traffichostname(config-cmap)# policy-map outside_policyhostname(config-pmap)# class http_traffichostname(config-pmap-c)# police input 56000hostname(config-pmap-c)# service-policy outside_policy interface outsidehostname(config)#

関連コマンド class トラフィックの分類に使用するクラスマップを指定します。

clear configure policy-map

すべてのポリシーマップコンフィギュレーションを削除します。ただし、

ポリシーマップが service-policy コマンド内で使用されている場合、そのポ

リシーマップは削除されません。

policy-map ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のア

クションのアソシエーションです。




OL-20335-02-J


policy

policyCRL を取得する送信元を指定するには、ca-crl コンフィギュレーションモードで policy コマンドを使

用します。

policy {static | cdp | both}

構文の説明

デフォルトデフォルト設定は cdp です。


コマンド履歴

例次に、ca-crl コンフィギュレーションモードを開始し、チェック中の証明書内の CRL 配布ポイント拡

張を使用して CRL 取得を実行すること、それに失敗した場合は、スタティック CDP を使用すること

を設定する例を示します。

hostname(configure)# crypto ca trustpoint centralhostname(ca-trustpoint)# crl configurehostname(ca-crl)# policy both

both CRL 配布ポイントを使用して CRL を取得することに失敗した場合は大 5 つのスタティック CDP を使用してリトライすることを指定します。

cdp チェック中の証明書に組み込まれた、CDP 拡張を使用します。この場合、

適応型セキュリティアプライアンスは、確認中の証明書の CDP 拡張から

大 5 つの CRL 配布ポイントを取得し、必要に応じて、設定されたデ

フォルト値で情報を増強します。適応型セキュリティアプライアンスは、

プライマリ CDP を使用して CRL を取得することに失敗した場合、リスト

にある次に利用可能な CDP を使用して再試行します。これは、適応型セ

キュリティアプライアンスが CRL を取得するか、リストを使い果たすま

で続行されます。

static 大 5 つのスタティック CRL 配布ポイントを使用します。このオプショ

ンを指定する場合は、protocol コマンドで LDAP または HTTP URL も指

定します。



ルーテッド

トランスペ


マルチ


CRL コンフィギュレーション • — • — —




OL-20335-02-J


policy


crl configure ca-crl コンフィギュレーションモードを開始します。


url CRL を取得するためのスタティック URL のリストを作成および維持します。


OL-20335-02-J


policy-map

policy-mapモジュラポリシーフレームワークを使用する場合、グローバルコンフィギュレーションモードで policy-map コマンド（type キーワードなし）を使用して、レイヤ 3/4 クラスマップ（class-map コマ

ンドまたは class-map type management コマンド）で指定したトラフィックにアクションを割り当て

ます。レイヤ 3/4 ポリシーマップを削除するには、このコマンドの no 形式を使用します。

policy-map name

no policy-map name

構文の説明



コマンド履歴

使用上のガイドラインモジュラポリシーフレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用

対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. （アプリケーションインスペクションのみ）policy-map type inspect コマンドを使用して、アプリ

ケーションインスペクショントラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

ポリシーマップの大数は 64 です。レイヤ 3/4 ポリシーマップ内の複数のレイヤ 3/4 クラスマップを

指定すること（class コマンドを参照）および各クラスマップに 1 つ以上の機能タイプから複数のアク

ションを割り当てることができます。

パケットは、各機能タイプのポリシーマップ内にある 1 つのクラスマップだけに一致します。パケッ

トがある機能タイプのクラスマップと一致すると、適応型セキュリティアプライアンスはそのパケッ

トを、その機能タイプの後続のクラスマップとは照合しません。ただし、パケットが別の機能タイプ

name このポリシーマップの名前を大 40 文字で指定します。すべてのタイプのポリシーマップが同じネームスペースを使用しているため、他のタイプのポリシーマップで

すでに使用されている名前は再使用できません。



ルーテッド

トランスペ


マルチ



ション

• • • • —




OL-20335-02-J


policy-map

の後続のクラスマップと一致した場合は、適応型セキュリティアプライアンスは後続のクラスマップ

のアクションも適用します。たとえば、パケットが接続制限のクラスマップと一致し、アプリケー

ションインスペクションのクラスマップにも一致する場合、両方のクラスマップのアクションが適用

されます。パケットがアプリケーションインスペクションのクラスマップと一致し、さらにアプリ

ケーションインスペクションの別のクラスマップとも一致する場合、2 番めのクラスマップのアク

ションは適用されません。

アクションは、機能に応じて双方向または単方向のトラフィックに適用されます。双方向に適用される

機能については、トラフィックが双方向のクラスマップに一致する場合、ポリシーマップの適用先で

あるインターフェイスに入る、または出るすべてのトラフィックが影響を受けます。

（注）グローバルポリシーを使用する場合、すべての機能は単方向です。1 つのインターフェイスに適用され

るときに通常は双方向である機能は、グローバルに適用される際には各インターフェイスの入力のみに

適用されます。ポリシーはすべてのインターフェイスに適用されるため、ポリシーは双方向に適用され

ることになります。そのため、この場合の双方向性は冗長です。

QoS など単方向に適用される機能の場合、ポリシーマップ適用対象のインターフェイスを出るトラ

フィックのみが影響を受けます。各機能の方向性については、表 21-1 を参照してください。

ポリシーマップ内のさまざまなタイプのアクションが実行される順序は、そのポリシーマップ内にア

クションが出現する順序には依存しません。アクションは次の順序で実行されます。

• TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化

（注）適応型セキュリティアプライアンスがプロキシサービス（AAA または CSC など）を実行す

る場合、または TCP ペイロード（FTP インスペクションなど）を変更する場合、TCP ノーマ

ライザはデュアルモードで動作します。このモードでは、ノーマライザはプロキシまたはペイ

ロードの変更サービスの前後に適用されます。

• CSC

• アプリケーションインスペクション

• IPS

• QoS ポリシング

• QoS プライオリティキュー

表 21-1 機能の方向性

機能

1 つのインターフェイス

での方向グローバルな方向

TCP 正規化、TCP 接続と UDP 接続の制限お

よびタイムアウト、TCP シーケンス番号のラ

ンダム化

双方向入力

CSC 双方向入力

アプリケーションインスペクション双方向入力

IPS 双方向入力

QoS ポリシング出力出力

QoS プライオリティキュー出力出力

フローエクスポート N/A 入力


OL-20335-02-J


policy-map

• フローエクスポート

各インターフェイスに割り当てられるポリシーマップは 1 つだけですが、複数のインターフェイスに

同じポリシーマップを割り当てることができます。

コンフィギュレーションには、適応型セキュリティアプライアンスがデフォルトのグローバルポリシー

で使用するデフォルトのレイヤ 3/4 ポリシーマップが含まれています。このマップは global_policy と呼ばれ、デフォルトのインスペクショントラフィックでインスペクションを実行します。適用できるグ

ローバルポリシーは 1 つのみです。このため、グローバルポリシーを変更する場合は、デフォルトのポ

リシーを編集するか、ディセーブルにして新しいポリシーを適用する必要があります。

デフォルトのポリシーマップコンフィギュレーションには、次のコマンドが含まれます。

policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp

例次に、接続ポリシーに対する policy-map コマンドの例を示します。この例では、Web サーバ 10.1.1.1 に許可される接続の数を制限しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1hostname(config)# class-map http-serverhostname(config-cmap)# match access-list http-server

hostname(config)# policy-map global-policyhostname(config-pmap)# description This policy map defines a policy concerning connection to http server.hostname(config-pmap)# class http-serverhostname(config-pmap-c)# set connection conn-max 256

次の例では、ポリシーマップでの複数一致の動作方法を示します。

hostname(config)# class-map inspection_defaulthostname(config-cmap)# match default-inspection-traffichostname(config)# class-map http_traffichostname(config-cmap)# match port tcp eq 80

hostname(config)# policy-map outside_policyhostname(config-pmap)# class inspection_defaulthostname(config-pmap-c)# inspect http http_maphostname(config-pmap-c)# inspect siphostname(config-pmap)# class http_traffichostname(config-pmap-c)# set connection timeout tcp 0:10:0

次に、使用可能な初のクラスマップとトラフィックが一致し、同じ機能ドメインのアクションを指

定する後続のいずれのクラスマップとも一致しない様子を示す例を示します。

hostname(config)# class-map telnet_traffic


OL-20335-02-J


policy-map

hostname(config-cmap)# match port tcp eq 23hostname(config)# class-map ftp_traffichostname(config-cmap)# match port tcp eq 21hostname(config)# class-map tcp_traffichostname(config-cmap)# match port tcp range 1 65535hostname(config)# class-map udp_traffichostname(config-cmap)# match port udp range 0 65535hostname(config)# policy-map global_policyhostname(config-pmap)# class telnet_traffichostname(config-pmap-c)# set connection timeout tcp 0:0:0hostname(config-pmap-c)# set connection conn-max 100hostname(config-pmap)# class ftp_traffichostname(config-pmap-c)# set connection timeout tcp 0:5:0hostname(config-pmap-c)# set connection conn-max 50hostname(config-pmap)# class tcp_traffichostname(config-pmap-c)# set connection timeout tcp 2:0:0hostname(config-pmap-c)# set connection conn-max 2000

Telnet 接続が開始されると、class telnet_traffic と照合されます。同様に、FTP 接続が開始されると、

class ftp_traffic と照合されます。Telnet と FTP 以外の TCP 接続の場合は、class tcp_traffic と照合

されます。Telnet または FTP 接続が class tcp_traffic と一致するとしても、すでに他のクラスと一致

しているため、適応型セキュリティアプライアンスはこの照合を実行しません。

NetFlow イベントは、モジュラポリシーフレームワークで設定されます。モジュラポリシーフレーム

ワークが NetFlow 用に設定されていない場合、イベントはログに記録されません。トラフィックは、

クラスが設定された順序に基づいて照合されます。一致が検出された後は、残りのクラスはチェックさ

れません。NetFlow イベントの場合、コンフィギュレーションの要件は次のとおりです。

• flow-export の宛先は、IP アドレスにより一意に指定されています。

• サポートされるイベントタイプは、flow-create、flow-teardown、flow-denied、およびこの 3 つの

イベントタイプが含まれるすべてです。

• flow-export アクションは、インターフェイスポリシーではサポートされません。

• flow-export アクションは、class-default コマンドおよび match any コマンドまたは match access-list コマンドのクラスのみでサポートされます。

• NetFlow コレクタが定義されていない場合は、コンフィギュレーションアクションは発生しません。

次に、ホスト 10.1.1.1 とホスト 20.1.1.1 間のすべての NetFlow イベントを、宛先 15.1.1.1 にエクス

ポートする例を示します。

hostname(config)# access-list flow_export_acl permit ip host 10.1.1.1 host 20.1.1.1hostname(config)# class-map flow_export_classhostname(config-cmap)# match access-list flow_export_aclhostname(config)# policy-map global_policyhostname(config-pmap)# class flow_export_classhostname(config-pmap-c)# flow-export event-type all destination 15.1.1.1




すべてのポリシーマップコンフィギュレーションを削除します。ポリシーマップが service-policy コマンドで使用中の場合、このポリシーマップは削

除されません。

class-map トラフィッククラスマップを定義します。


OL-20335-02-J


policy-map

service-policy ポリシーマップをインターフェイスごとに割り当てるか、すべてのインター

フェイスにグローバルに割り当てます。




OL-20335-02-J


policy-map type inspect

policy-map type inspectモジュラポリシーフレームワークを使用する場合は、グローバルコンフィギュレーションモードで policy-map type inspect コマンドを使用してインスペクションアプリケーショントラフィックの特別

なアクションを定義します。インスペクションポリシーマップを削除するには、このコマンドの no 形式を使用します。

policy-map type inspect application policy_map_name

no policy-map [type inspect application] policy_map_name

構文の説明


application アクションの対象とするアプリケーショントラフィックのタイプを指定します。

利用可能なタイプは次のとおりです。

• dcerpc

• dns

• esmtp

• ftp

• gtp

• h323

• http

• im

• mgcp

• netbios

• radius-accounting

• rtsp

• sip

• skinny

• snmp

policy_map_name このポリシーマップの名前を大 40 文字で指定します。「_internal」または

「_default」で始まる名前は予約されているため、使用できません。すべてのタイ

プのポリシーマップが同じネームスペースを使用しているため、他のタイプの

ポリシーマップですでに使用されている名前は再使用できません。


OL-20335-02-J




コマンド履歴

使用上のガイドラインモジュラポリシーフレームワークを使用すると、多くのアプリケーションインスペクションに対して

特別なアクションを設定できます。レイヤ 3/4 のポリシーマップ（policy-map コマンド）で、inspect コマンドを使用してインスペクションエンジンをイネーブルにする場合は、policy-map type inspect コマンドで作成されたインスペクションポリシーマップで定義されているアクションを、オプション

でイネーブルにすることもできます。たとえば、inspect http http_policy_map コマンドを入力しま

す。http_policy_map は、インスペクションポリシーマップの名前です。

インスペクションポリシーマップは、ポリシーマップコンフィギュレーションモードで入力された、

1 つ以上の次のコマンドで構成されています。インスペクションポリシーマップで使用できる実際の

コマンドは、アプリケーションによって異なります。

• match コマンド：match コマンドを直接インスペクションポリシーマップに定義することで、ア

プリケーショントラフィックを URL 文字列などのアプリケーション固有の基準と照合できます。

次に、一致コンフィギュレーションモードで drop、reset、log などのアクションをイネーブルに

します。使用可能な match コマンドは、アプリケーションによって異なります。

• class コマンド：このコマンドは、ポリシーマップでインスペクションクラスマップを特定します

（インスペクションクラスマップを作成するには class-map type inspect コマンドを参照してくだ

さい）。インスペクションクラスマップには、URL 文字列などの、アプリケーション固有の基準

でアプリケーショントラフィックを照合する match コマンドが含まれます。それに応じて、ポリ

シーマップでアクションをイネーブルにします。クラスマップを作成することと、インスペク

ションポリシーマップに直接 match コマンドを使用することの違いは、複数の一致をグループ化

できることと、クラスマップを再利用できることです。

• parameters コマンド：パラメータは、インスペクションエンジンの動作に影響を与えます。パラ

メータコンフィギュレーションモードで使用できるコマンドは、アプリケーションによって異な

ります。

ポリシーマップには複数の class コマンドまたは match コマンドを指定できます。

一部の match コマンドでは、パケット内のテキストと照合する正規表現を指定できます。複数の正規

表現をグループ化する方法については、regex コマンドと class-map type regex コマンドを参照してく

ださい。

デフォルトのインスペクションポリシーマップコンフィギュレーションには、DNS パケットのメッ

セージの大長を 512 バイトに設定する次のコマンドが含まれます。

policy-map type inspect dns preset_dns_map parameters message-length maximum 512



ルーテッド

トランスペ


マルチ



ション

• • • • —




OL-20335-02-J



1 つのパケットで複数の異なる match コマンドまたは class コマンドが一致する場合、適応型セキュリ

ティアプライアンスがアクションを適用する順番は適応型セキュリティアプライアンスの内部ルール

で決定されます。ポリシーマップに追加された順番ではありません。内部ルールは、アプリケーショ

ンのタイプと、パケット解析の論理的な進行状況によって決定されます。ユーザ設定はできません。た

とえば、HTTP トラフィックの場合、Request Method フィールドは Header Host Length フィールドよ

りも先に解析されます。Request Method フィールドのアクションは Header Host Length フィールドの

アクションの前に実行されます。たとえば、次の match コマンドは任意の順番で入力できますが、

match request method get コマンドが初に照合されます。

hostname(config-pmap)# match request header host length gt 100hostname(config-pmap-c)# resethostname(config-pmap-c)# match request method gethostname(config-pmap-c)# log

あるアクションがパケットをドロップすると、他のアクションは実行されません。たとえば、初のア

クションが接続のリセットである場合は、それ以降のどの match コマンドも照合されません。初の

アクションがパケットのロギングである場合は、接続のリセットなどの別のアクションが発生する可能

性があります。（同じ match コマンドに対して、reset（または drop-connection など）と log アク

ションを両方設定できます。その場合、パケットは指定された一致でリセットされる前にログに記録さ

れます）。

パケットが複数の同じ match コマンドまたは class コマンドと一致する場合、ポリシーマップ内での

出現順序に従って照合されます。たとえば、ヘッダーの長さが 1001 のパケットの場合、次に示されて

いる初のコマンドと一致し、記録され、次に 2 番めのコマンドと一致し、リセットされます。この 2 つの match コマンドの順序を逆にした場合、2 番めの match コマンドと一致する前にパケットはド

ロップされ、接続がリセットされます。この場合、パケットはログに記録されません。

hostname(config-pmap)# match request header length gt 100hostname(config-pmap-c)# loghostname(config-pmap-c)# match request header length gt 1000hostname(config-pmap-c)# reset

あるクラスマップは、そのクラスマップ内でもプライオリティの低い match コマンドに基づいて、

別のクラスマップまたは match コマンドと同じタイプであると判断されます（プライオリティは内部

ルールに基づきます）。クラスマップに他のクラスマップと同じタイプのもプライオリティの低い match コマンドがある場合、このクラスマップはポリシーマップに追加された順番に従って照合され

ます。各クラスマップのもプライオリティの低いコマンドが異なる場合、よりプライオリティの高

い match コマンドを持つクラスマップが初に照合されます。

例次に、HTTP インスペクションポリシーマップおよび関連するクラスマップの例を示します。このポ

リシーマップは、サービスポリシーによってイネーブルになるレイヤ 3/4 ポリシーマップによりアク

ティブになります。

hostname(config)# regex url_example example\.comhostname(config)# regex url_example2 example2\.comhostname(config)# class-map type regex match-any URLshostname(config-cmap)# match regex examplehostname(config-cmap)# match regex example2

hostname(config-cmap)# class-map type inspect http match-all http-traffichostname(config-cmap)# match req-resp content-type mismatchhostname(config-cmap)# match request body length gt 1000hostname(config-cmap)# match not request uri regex class URLs

hostname(config-cmap)# policy-map type inspect http http-map1hostname(config-pmap)# class http-traffichostname(config-pmap-c)# drop-connection loghostname(config-pmap-c)# match req-resp content-type mismatch


OL-20335-02-J



hostname(config-pmap-c)# reset loghostname(config-pmap-c)# parametershostname(config-pmap-p)# protocol-violation action log

hostname(config-pmap-p)# policy-map testhostname(config-pmap)# class test (a Layer 3/4 class map not shown)hostname(config-pmap-c)# inspect http http-map1

hostname(config-pmap-c)# service-policy inbound_policy interface outside





parameters インスペクションポリシーマップのパラメータコンフィギュレーションモードを開始します。





OL-20335-02-J


policy-server-secret

policy-server-secretSiteMinder SSO サーバへの認証要求を暗号化するために使用する秘密キーを設定するには、

webvpn-sso-siteminder コンフィギュレーションモードで policy-server-secret コマンドを使用します。

秘密キーを削除するには、このコマンドの no 形式を使用します。

policy-server-secret secret-key

no policy-server-secret

（注） SiteMinder SSO 認証にはこのコマンドが必要です。

構文の説明



コマンド履歴

使用上のガイドラインシングルサインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパ

スワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。ま

ず、sso-server コマンドを使用して SSO サーバを作成します。SiteMinder SSO サーバの場合、

policy-server-secret コマンドを使用することにより、適応型セキュリティアプライアンスと SSO サーバ間の認証通信が保護されます。

コマンド引数である secret-key は、パスワードと同様に作成、保存、および設定が可能です。秘密キー

は、適応型セキュリティアプライアンスでは policy-server-secret コマンドを使用して設定し、さら

に SiteMinder Policy Server でも Cisco Java プラグイン認証方式を使用して設定します。

このコマンドは、SiteMinder タイプの SSO サーバのみに適用されます。

secret-key 認証の通信内容を暗号化するための秘密キーとして使用される文字列。小

文字数、大文字数の制限はありません。



ルーテッド

トランスペ


マルチ


Config-webvpn-sso-siteminder コンフィギュレーション

• — • — —




OL-20335-02-J


policy-server-secret

例次のコマンドは、config-webvpn-sso-siteminder モードで入力され、ランダムな文字列を引数として含

んでいます。このコマンドにより、SiteMinder SSO サーバの認証通信用の秘密キーが作成されます。

hostname(config-webvpn)# sso-server my-sso-server type siteminderhostname(config-webvpn-sso-siteminder)# policy-server-secret @#ET&hostname(config-webvpn-sso-siteminder)#


max-retry-attempts 適応型セキュリティアプライアンスが、失敗した SSO 認証を

再試行する回数を設定します。

request-timeout SSO 認証の試行に失敗したときにタイムアウトになるまでの

秒数を指定します。

show webvpn sso-server セキュリティデバイスに設定されているすべての SSO サーバ

の運用統計情報を表示します。

sso-server シングルサインオンサーバを作成します。

test sso-server テスト認証要求で SSO サーバをテストします。

web-agent-url 適応型セキュリティアプライアンスが SiteMinder SSO 認証を

要求する SSO サーバの URL を指定します。


OL-20335-02-J


polltime interface

polltime interfaceActive/Active フェールオーバーコンフィギュレーションのデータインターフェイスのポーリング期間

とホールドタイムを指定するには、フェールオーバーグループコンフィギュレーションモードで polltime interface コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用

します。

polltime interface [msec] time [holdtime time]

no polltime interface [msec] time [holdtime time]

構文の説明

デフォルトポーリングの time は 5 秒です。

holdtime time は、ポーリングの time の 5 倍です。


コマンド履歴

使用上のガイドライン polltime interface コマンドを使用して、指定したフェールオーバーグループに関連付けられたイン

ターフェイスで hello パケットが送信される頻度を変更します。このコマンドを使用できるのは、

Active/Active フェールオーバーに対してのみです。failover polltime interface コマンドは、

Active/Standby フェールオーバーコンフィギュレーションで使用します。

holdtime time （任意）データインターフェイスがピアインターフェイスから hello メッ

セージを受信する必要のある期間を設定します。この期間が過ぎると、ピ

アインターフェイスに障害が発生していると宣言されます。有効な値は 5 ～ 75 秒です。

interface time データインターフェイスポーリング期間を指定します。有効な値は 3 ～ 15 秒です。オプションの msec キーワードを使用した場合、有効な値は 500 ～ 999 ミリ秒です。

msec （任意）指定する時間がミリ秒単位であることを指定します。



ルーテッド

トランスペ


マルチ


フェールオーバーグループコン


• • — — •



7.2(1) オプションの holdtime time 値が追加され、ポーリング期間をミリ秒単位

で指定できるようにコマンドが変更されました。


OL-20335-02-J


polltime interface

ポーリング期間の 5 倍未満の holdtime 値は入力できません。ポーリング期間が短いほど、適応型セ

キュリティアプライアンスはより速く障害を検出して、フェールオーバーをトリガーできます。ただ

し、検出が速すぎると、ネットワークが一時的に輻輳したときに不要な切り替えが発生する可能性があ

ります。ホールドタイムの半分が経過したときに、インターフェイスで hello パケットが受信されてい

ない場合は、インターフェイスのテストが開始されます。

failover polltime unit コマンドと failover polltime interface コマンドの両方をコンフィギュレーショ

ンに含めることができます。

（注） CTIQBE トラフィックがフェールオーバーコンフィギュレーションの適応型セキュリティアプライア

ンスをパススルーする場合は、適応型セキュリティアプライアンスのフェールオーバーホールドタイ

ムを 30 秒未満に減らす必要があります。CTIQBE キープアライブタイムアウトは 30 秒であるため、

フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。

CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップさ

れ、IP SoftPhone クライアントは CallManager に再登録する必要があります。

例次に、フェールオーバーグループに対して適用可能なコンフィギュレーションの一部の例を示します。

フェールオーバーグループ 1 のデータインターフェイスに対して、インターフェイスポーリング期間

は 500 ミリ秒、ホールドタイムは 5 秒に設定されます。

hostname(config)# failover group 1 hostname(config-fover-group)# primaryhostname(config-fover-group)# preempt 100hostname(config-fover-group)# polltime interface msec 500 holdtime 5hostname(config-fover-group)# exithostname(config)#


failover group Active/Active フェールオーバーのためのフェールオーバーグループを定

義します。

failover polltime 装置のフェールオーバーポーリング期間とホールドタイムを指定します。

failover polltime interface

Active/Standby フェールオーバーコンフィギュレーションのインターフェ

イスポーリング期間およびホールドタイムを指定します。


OL-20335-02-J


pop3s

pop3sPOP3S コンフィギュレーションモードを開始するには、グローバルコンフィギュレーションモードで pop3s コマンドを使用します。POP3S コマンドモードで入力した任意のコマンドを削除するには、こ

のコマンドの no バージョンを使用します。

POP3 は、インターネットサーバが電子メールを受信し、保持するために使用するクライアントおよび

サーバプロトコルです。受信者（または受信者のクライアント電子メールレシーバ）は、サーバ上の

メールボックスを定期的に確認し、メールがあればダウンロードします。この標準プロトコルは、ほと

んどの一般的な電子メール製品に組み込まれています。POP3S を使用すると、SSL 接続で電子メール

を受信できます。

pop3s

no pop3




コマンド履歴

例次に、POP3S コンフィギュレーションモードを開始する例を示します。

hostname(config)# pop3shostname(config-pop3s)#

関連コマンド



ルーテッド

トランスペ


マルチ



ション

• • — — •



コマンド説明

clear configure pop3s POP3S コンフィギュレーションを削除します。

show running-config pop3s POP3S の実行コンフィギュレーションを表示します。


OL-20335-02-J


port

port電子メールプロキシがリッスンに使用するポートを指定するには、適切な電子メールプロキシコマン

ドモードで port コマンドを使用します。デフォルト値に戻すには、このコマンドの no バージョンを

使用します。

port {portnum}

no port

構文の説明

デフォルト電子メールプロキシのデフォルトポートは、次のとおりです。


コマンド履歴

使用上のガイドラインローカル TCP サービスとの競合を避けるには、1024 ～ 65535 の範囲にあるポート番号を使用します。

例次に、IMAP4S 電子メールプロキシのポートを 1066 に設定する例を示します。

hostname(config)# imap4shostname(config-imap4s)# port 1066

portnum 電子メールプロキシが使用するポート。ローカル TCP サービスとの競合

を避けるには、1024 ～ 65535 の範囲にあるポート番号を使用します。

電子メールプロ

キシ

デフォルトポート

IMAP4S 993

POP3S 995

SMTPS 988



ルーテッド

トランスペ


マルチ


pop3s • — • — —

Imap4s • — • — —

Smtps • — • — —




OL-20335-02-J


port-forward

port-forward転送 TCP ポートを経由してクライアントレス SSL VPN セッションのユーザがアクセスできるアプリ

ケーションのセットを設定するには、webvpn コンフィギュレーションモードで port-forward コマン

ドを使用します。

port-forward {list_name local_port remote_server remote_port description}

複数のアプリケーションへのアクセスを設定するには、このコマンドを同じ list_name で複数回（各ア

プリケーションに 1 回ずつ）使用します。

設定したアプリケーションをリストから削除するには、no port-forward list_name local_port コマン

ドを使用します（remote_server パラメータと remote_port パラメータは含める必要はありません）。

no port-forward listname localport

設定したリスト全体を削除するには、no port-forward list_name コマンドを使用します。

no port-forward list_name

構文の説明

デフォルトデフォルトのポートフォワーディングリストはありません。

description エンドユーザのポートフォワーディング Java アプレット画面に表示する、

アプリケーション名または簡単な説明を指定します。大 64 文字です。

list_name クライアントレス SSL VPN セッションのユーザがアクセスできるアプリ

ケーション（転送 TCP ポート）のセットをグループ化します。大 64 文字です。

local_port アプリケーションの TCP トラフィックをリッスンするローカルポートを

指定します。ローカルポート番号は、1 つの list_name に対して一度だけ

使用できます。1 ～ 65535 の範囲のポート番号を入力します。既存のサー

ビスとの競合を避けるには、1024 より大きいポート番号を使用します。

remote_port このアプリケーションが接続するリモートサーバ上のポートを指定しま

す。これは、アプリケーションが使用する実際のポートです。1 ～ 65535 の範囲のポート番号またはポート名を入力します。

remote_server アプリケーション用のリモートサーバの DNS 名または IP アドレスを指定

します。IP アドレスを入力する場合は、IPv4 または IPv6 形式のいずれか

の形式で入力します。特定の IP アドレス用にクライアントアプリケー

ションを設定する必要がないように、ホスト名を使用することをお奨めし

ます。dns server-group コマンドの name-server は、ホスト名を IP アドレ

スに解決する必要があります。


OL-20335-02-J


port-forward


コマンド履歴

使用上のガイドラインセキュリティアプライアンスは Microsoft Outlook Exchange（MAPI）プロキシをサポートしていませ

ん。クライアントレス SSL VPN セッションを介してアプリケーションアクセスを提供する、ポートフォワーディングおよびスマートトンネル機能は、いずれも MAPI をサポートしていません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモートユーザが AnyConnect を使用

する必要があります。

例次の表に、この例で使用されている、各アプリケーションの値を示します。

次に、これらのアプリケーションへのアクセスを提供する SalesGroupPorts というポートフォワー

ディングリストを作成する例を示します。

hostname(config)# webvpnhostname(config-webvpn)# port-forward SalesGroupPorts 20143 IMAP4Sserver 143 Get Mailhostname(config-webvpn)# port-forward SalesGroupPorts 20025 SMTPSserver 25 Send Mailhostname(config-webvpn)# port-forward SalesGroupPorts 20022 DDTSserver 22 DDTS over SSHhostname(config-webvpn)# port-forward SalesGroupPorts 20023 Telnetserver 23 Telnet



ルーテッド

トランスペ


マルチ


webvpn コンフィギュレーショ

ンモード

• — • — —



8.0(2) コマンドモードは webvpn に変更されました。

アプリケーション

ローカルポートサーバ DNS 名リモートポート説明

IMAP4S 電子メール 20143 IMAP4Sserver 143 Get Mail

SMTPS 電子メール 20025 SMTPSserver 25 Send Mail

DDTS over SSH 20022 DDTSserver 22 DDTS over SSH

Telnet 20023 Telnetserver 23 Telnet


OL-20335-02-J


port-forward


port-forward auto-start グループポリシー WebVPN またはユーザ名 webvpn モードで入力される

このコマンドは、ユーザがクライアントレス SSL VPN セッションにログ

インしたときに、ポートフォワーディングを自動的に開始し、指定した

ポートフォワーディングリストを割り当てます。

port-forward enable グループポリシー webvpn またはユーザ名 webvpn モードで入力されるこ

のコマンドは、ユーザがログインしたときに指定したポートフォワーディ

ングリストを開始し割り当てます。ただし、この場合、ユーザはクライア

ントレス SSL VPN ポータルページで、[Application Access] > [Start Applications] ボタンを使用してポートフォワーディングを手動で開始す

る必要があります。

port-forward disable グループポリシー WebVPN またはユーザ名 webvpn モードで入力される

このコマンドは、ポートフォワーディングをオフにします。


OL-20335-02-J


port-forward-name

port-forward-nameエンドユーザへの TCP ポートフォワーディングを識別できる表示名を、特定のユーザまたはグループポリシーに対して設定するには、webvpn モードで port-forward-name コマンドを使用します。この

モードは、グループポリシーモードまたはユーザ名モードから開始します。port-forward-name none コマンドを使用の使用により作成されたヌル値を含め、表示名を削除するには、このコマンドの no 形式を使用します。no オプションを指定すると、デフォルト名の「Application Access」が復元さ

れます。表示名を復元しないようにするには、port-forward none コマンドを使用します。

port-forward-name {value name | none}

no port-forward-name

構文の説明

デフォルトデフォルト名は「Application Access」です。


コマンド履歴

例次に、「Remote Access TCP Applications」という名前を FirstGroup という名前のグループポリシーに

設定する例を示します。

hostname(config)# group-policy FirstGroup attributeshostname(config-group-policy)# webvpnhostname(config-group-webvpn)# port-forward-name value Remote Access TCP Applications

none 表示名がないことを指定します。ヌル値を設定して、表示名を不許可にし

ます。値を継承しないようにします。

value name エンドユーザに対してポートフォワーディングを説明します。大 255 文字です。



ルーテッド

トランスペ


マルチ


webvpn • — • — —




OL-20335-02-J


port-forward-name


webvpn グループポリシーコンフィギュレーションモードまたはユーザ名コン

フィギュレーションモードで使用します。webvpn モードを開始して、グ

ループポリシーまたはユーザ名に適用するパラメータを設定できるように

します。

webvpn グローバルコンフィギュレーションモードで使用します。WebVPN のグ

ローバル設定を設定できます。


OL-20335-02-J


port-object

port-objectポートオブジェクトをサービスオブジェクトグループに追加するには、サービスコンフィギュレー

ションモードで port-object コマンドを使用します。ポートオブジェクトを削除するには、このコマ

ンドの no 形式を使用します。

port-object eq service

no port-object eq service

port-object range begin_service end_service

no port-object range begin_service end_service

構文の説明



コマンド履歴

使用上のガイドライン特定のサービス（ポート）またはサービス範囲（複数のポート）のいずれかのオブジェクトを定義する

には、サービスコンフィギュレーションモードで object-group コマンドとともに port-object コマン

ドを使用します。

begin_service サービス範囲の開始値である、TCP ポートまたは UDP ポートの 10 進数ま

たは名前を指定します。この値は、0 ～ 65535 とする必要があります。

end_service サービス範囲の終了値である、TCP ポートまたは UDP ポートの 10 進数ま

たは名前を指定します。ervices。この値は、0 ～ 65535 とする必要があり

ます。

eq service サービスオブジェクトの TCP ポートまたは UDP ポートの 10 進数または名

前を指定します。

range ポートの範囲（包含）を指定します。



ルーテッド

トランスペ


マルチ


サービスコンフィギュレーショ

ン

• • • • —




OL-20335-02-J


port-object

TCP サービスまたは UDP サービスの名前を指定する場合、その名前は、TCP または UDP、またはそ

の両方でサポートされている名前の 1 つであり、オブジェクトグループのプロトコルタイプと整合す

るものである必要があります。たとえば、プロトコルタイプが tcp、udp、tcp-udp の場合、名前はそれ

ぞれ、有効な TCP サービス名、有効な UDP サービス名、有効な TCP および UDP のサービス名であ

る必要があります。

番号を指定した場合、オブジェクトが表示されるときに、プロトコルタイプに基づいて、その番号が

対応する名前（存在する場合）に変換されます。

次のサービス名がサポートされています。

例次に、サービスコンフィギュレーションモードで port-object コマンドを使用して、新しいポート

（サービス）オブジェクトグループを作成する例を示します。

hostname(config)# object-group service eng_service tcp

TCP UDP TCP および UDP

bgp biff discard

chargen bootpc domain

cmd bootps echo

daytime dnsix pim-auto-rp

exec nameserver sunrpc

finger mobile-ip syslog

ftp netbios-ns tacacs

ftp-data netbios-dgm talk

gopher ntp

ident rip

irc snmp

h323 snmptrap

hostname tftp

http time

klogin who

kshell xdmcp

login isakmp

lpd

nntp

pop2

pop3

smtp

sqlnet

telnet

uucp

whois

www


OL-20335-02-J


port-object

hostname(config-service)# port-object eq smtphostname(config-service)# port-object eq telnethostname(config)# object-group service eng_service udphostname(config-service)# port-object eq snmphostname(config)# object-group service eng_service tcp-udphostname(config-service)# port-object eq domainhostname(config-service)# port-object range 2000 2005hostname(config-service)# quit


clear configure object-group

すべての object-group コマンドをコンフィギュレーションから削除します。

group-object ネットワークオブジェクトグループを追加します。

network-object ネットワークオブジェクトグループにネットワークオブジェクトを追加し

ます。

object-group コンフィギュレーションを適化するためのオブジェクトグループを定義

します。

show running-config object-group

現在のオブジェクトグループを表示します。


OL-20335-02-J


post-max-size

post-max-sizeポストできるオブジェクトの大サイズを指定するには、グループポリシー webvpn コンフィギュ

レーションモードで post-max-size コマンドを使用します。このオブジェクトをコンフィギュレー

ションから削除するには、このコマンドの no バージョンを使用します。

post-max-size <size>

no post-max-size

構文の説明

デフォルトデフォルトのサイズは 2147483647 です。


コマンド履歴

使用上のガイドラインこのサイズを 0 に設定すると、オブジェクトのポスティングは不許可になります。

例次に、ポストできるオブジェクトの大サイズを 1500 バイトに設定する例を示します。

hostname(config)# group-policy test attributeshostname(config-group-policy)# webvpnhostname(config-group-webvpn)# post-max-size 1500

関連コマンド

size ポストできるオブジェクトの大サイズを指定します。指定できる範囲は 0 ～ 2147483647 です。



ルーテッド

トランスペ


マルチ


グループポリシー webvpn コン

フィギュレーションモード

• — • — —



コマンド説明

download-max-size ダウンロードするオブジェクトの大サイズを指定します。

upload-max-size アップロードするオブジェクトの大サイズを指定します。


OL-20335-02-J


post-max-size

webvpn グループポリシーコンフィギュレーションモードまたは

ユーザ名コンフィギュレーションモードで使用します。

webvpn モードを開始して、グループポリシーまたはユーザ

名に適用するパラメータを設定できるようにします。

webvpn グローバルコンフィギュレーションモードで使用します。

WebVPN のグローバル設定を設定できます。

コマンド説明


OL-20335-02-J


pppoe client route distance

pppoe client route distancePPPoE によって学習されたルートのアドミニストレーティブディスタンスを設定するには、インター

フェイスコンフィギュレーションモードで pppoe client route distance コマンドを使用します。デ

フォルト設定に戻すには、このコマンドの no 形式を使用します。

pppoe client route distance distance

no pppoe client route distance distance

構文の説明

デフォルト PPPoE によって学習されたルートに指定されているデフォルトのアドミニストレーティブディスタン

スは 1 です。


コマンド履歴

使用上のガイドライン pppoe client route distance コマンドは、ルートが PPPoE から学習された場合のみチェックされます。

ルートが PPPoE から学習された後に pppoe client route distance コマンドを入力した場合、指定され

たアドミニストレーティブディスタンスは既存の学習されたルートには影響しません。指定したアド

ミニストレーティブディスタンスが設定されるのは、このコマンドの入力後に学習されたルートだけ

です。

PPPoE によりルートを取得するには、ip address pppoe コマンドに setroute オプションを指定する必


複数のインターフェイスで PPPoE を設定した場合は、各インターフェイスについて pppoe client route distance コマンドを使用して、インストール済みルートのプライオリティを示す必要がありま

す。PPPoE クライアントを複数のインターフェイス上でイネーブルにすることは、オブジェクトトラッキングのみでサポートされます。

PPPoE を使用して IP アドレスを取得する場合は、フェールオーバーを設定できません。

distance PPPoE によって学習されたルートに適用するアドミニストレーティブディスタンスです。有効な値は、1 ～ 255 です。



ルーテッド

トランスペ


マルチ



レーション

• — • — —




OL-20335-02-J



例次に、GigabitEthernet0/2 上で PPPoE によりデフォルトルートを取得する例を示します。このルート

は、トラッキングエントリオブジェクト 1 によって追跡されます。SLA 動作によって、outside イン

ターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。この SLA 動作が失敗した場合

は、GigabitEthernet0/3 上で PPPoE により取得したセカンダリルートが使用されます。

hostname(config)# sla monitor 123hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside hostname(config-sla-monitor-echo)# timeout 1000hostname(config-sla-monitor-echo)# frequency 3hostname(config)# sla monitor schedule 123 life forever start-time nowhostname(config)# track 1 rtr 123 reachabilityhostname(config)# interface GigabitEthernet0/2hostname(config-if)# pppoe client route track 1hostname(config-if)# ip address pppoe setroutehostname(config)# interface GigabitEthernet0/3hostname(config-if)# pppoe client secondary track 1hostname(config-if)# pppoe client route distance 254hostname(config-if)# ip address pppoe setroute


ip address pppoe PPPoE により取得した IP アドレスを使用して、指定したインターフェイ

スを設定します。

ppoe client secondary セカンダリ PPPoE クライアントインターフェイスのトラッキングを設定

します。

pppoe client route track

PPPoE により学習したルートを、トラッキングエントリオブジェクトに

関連付けます。

sla monitor SLA モニタリング動作を定義します。

track rtr SLA をポーリングするためのトラッキングエントリを作成します。


OL-20335-02-J



pppoe client route trackPPPoE クライアントを設定して、追加されたルートを、指定した追跡対象オブジェクト番号に関連付

けるには、インターフェイスコンフィギュレーションモードで pppoe client route track コマンドを使

用します。PPPoE ルートトラッキングを削除するには、このコマンドの no 形式を使用します。

pppoe client route track number

no pppoe client route track

構文の説明



コマンド履歴

使用上のガイドライン pppoe client route track コマンドは、ルートが PPPoE から学習された場合のみチェックされます。

ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習さ

れたルートはトラッキングオブジェクトには関連付けられません。指定したトラッキングオブジェク

トに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。










number トラッキングエントリのオブジェクト ID。有効な値は、1 ～ 500 です。



ルーテッド

トランスペ


マルチ



レーション

• — • — —




OL-20335-02-J








します。


PPPoE によって学習されたルートアドミニストレーティブディスタンス

を割り当てます。


track rtr SLA をポーリングするためのトラッキングエントリを作成します。


OL-20335-02-J


pppoe client secondary

pppoe client secondaryPPPoE クライアントを追跡対象オブジェクトのクライアントとして登録し、トラッキング状態に基づ

いて起動または終了するように設定するには、インターフェイスコンフィギュレーションモードで pppoe client secondary コマンドを使用します。クライアント登録を削除するには、このコマンドの no 形式を使用します。

pppoe client secondary track number

no pppoe client secondary track

構文の説明



コマンド履歴

使用上のガイドライン pppoe client secondary コマンドは、PPPoE セッションの開始時のみチェックされます。ルートが PPPoE から学習された後に pppoe client route track コマンドを入力した場合、既存の学習されたルー

トはトラッキングオブジェクトには関連付けられません。指定したトラッキングオブジェクトに関連

付けられるのは、このコマンドの入力後に学習されたルートだけです。






number トラッキングエントリのオブジェクト ID。有効な値は、1 ～ 500 です。



ルーテッド

トランスペ


マルチ



レーション

• — • — —




OL-20335-02-J


pppoe client secondary










します。


PPPoE によって学習されたルートアドミニストレーティブディスタンス

を割り当てます。


PPPoE により学習したルートを、トラッキングエントリオブジェクトに

関連付けます。



OL-20335-02-J


pre-fill-username

pre-fill-usernameクライアント証明書からのユーザ名抽出をイネーブルにして、認証および認可で使用できるようにする

には、トンネルグループ webvpn アトリビュートモードで pre-fill-username コマンドを使用します。

コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

pre-fill-username {ssl-client | clientless}

no pre-fill-username

構文の説明

デフォルトデフォルトの値や動作はありません。


コマンド履歴

使用上のガイドライン pre-fill-username コマンドを使用すると、username-from-certificate コマンドで指定された証明書

フィールドから抽出されたユーザ名を、ユーザ名およびパスワードの認証および認可用のユーザ名とし

て使用できるようになります。証明書機能からこの事前入力ユーザ名を使用するには、両方のコマンド

を設定する必要があります。

また、この機能をイネーブルにするには、トンネルグループ一般アトリビュートコンフィギュレー

ションモードで username-from-certificate コマンドを設定する必要もあります。

（注）リリース 8.0.4 および 8.1.2 では、ユーザ名は事前入力されていませんが、ユーザ名フィールド内に送

信されたデータはすべて無視されます。

例次に、remotegrp という IPSec リモートアクセストンネルグループを作成し、SSL VPN クライアント

の認証および認可クエリーに使用される名前がデジタル証明書から抽出される必要があると指定する例

を示します。この例は、グローバルコンフィギュレーションモードで入力されています。

ssl-client この機能を AnyConnect VPN クライアント接続でイネーブルにします。

clientless この機能をクライアントレス接続でイネーブルにします。



ルーテッド

トランスペ


マルチ


トンネルグループ webvpn アト

リビュートコンフィギュレー

ション

• — • — —




OL-20335-02-J


pre-fill-username

hostname(config)# tunnel-group remotegrp type ipsec_rahostname(config)# tunnel-group remotegrp webvpn-attributeshostname(config-tunnel-webvpn)# pre-fill-username ssl-clienthostname(config-tunnel-webvpn)#


pre-fill-username 事前入力ユーザ名機能をイネーブルにします。


指定されたトンネルグループコンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネルグループの一般アトリビュートを指定します。

username-from-certificate 認可時のユーザ名として使用する証明書内のフィールドを指定します。


OL-20335-02-J


preempt

preemptユニットのプライオリティが高い場合に、そのユニットをブート時にアクティブにするには、フェール

オーバーグループコンフィギュレーションモードで preempt コマンドを使用します。プリエンプショ

ンを削除するには、このコマンドの no 形式を使用します。

preempt [delay]

no preempt [delay]

構文の説明

デフォルトデフォルトでは、遅延はありません。


コマンド履歴

使用上のガイドラインプライマリまたはセカンダリのプライオリティをフェールオーバーグループに割り当てると、両方の

ユニットが（ユニットのポーリング期間内で）同時にブートしたときに、フェールオーバーグループ

がどのユニット上でアクティブになるかが指定されます。ただし、あるユニットがもう一方のユニット

よりも先にブートした場合、両方のフェールオーバーグループがそのユニットでアクティブになりま

す。もう一方のユニットがオンラインになったとき、フェールオーバーグループが 2 番めのユニット

のプライオリティの方を高く設定していても、そのフェールオーバーグループが preempt コマンドを

使用して設定されているか、手動で no failover active コマンドを使用してもう一方のユニットに強制

しない限り、2 番めのユニット上ではフェールオーバーグループはアクティブになりません。フェール

オーバーグループが preempt コマンドで設定されている場合、そのフェールオーバーグループは、指

定したユニットで自動的にアクティブになります。

（注）ステートフルフェールオーバーがイネーブルの場合、フェールオーバーグループが現在アクティブで

あるユニットから接続が複製されるまで、プリエンプションは遅延されます。

seconds ピアがプリエンプションされるまでの待ち時間（秒単位）。有効な値は 1 ～ 1200 秒です。



ルーテッド

トランスペ


マルチ




• • — — •




OL-20335-02-J


preempt

例次に、フェールオーバーグループ 1 ではプライマリユニットのプライオリティの方を高く設定し、

フェールオーバーグループ 2 ではセカンダリユニットのプライオリティの方を高く設定する例を示し

ます。どのフェールオーバーグループも、preempt コマンドを使用して待ち時間 100 秒で設定されて

います。したがって、これらのグループは、優先するユニットが利用可能になってから 100 秒後に、

そのユニット上で自動的にアクティブになります。

hostname(config)# failover group 1 hostname(config-fover-group)# primaryhostname(config-fover-group)# preempt 100hostname(config-fover-group)# exithostname(config)# failover group 2hostname(config-fover-group)# secondaryhostname(config-fover-group)# preempt 100hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012 hostname(config-fover-group)# exithostname(config)#



義します。

primary 設定しているフェールオーバーグループのフェールオーバーペアプライ

オリティにおける、プライマリユニットを指定します。

secondary 設定しているフェールオーバーグループのフェールオーバーペアプライ

オリティにおける、セカンダリユニットを指定します。


OL-20335-02-J


prefix-list

prefix-listABR タイプ 3 LSA フィルタリングのプレフィクスリストのエントリを作成するには、グローバルコンフィギュレーションモードで prefix-list コマンドを使用します。プレフィクスリストのエントリを

削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name [seq seq_num] {permit | deny} network/len [ge min_value] [le max_value]

no prefix-list prefix-list-name [seq seq_num] {permit | deny} network/len [ge min_value] [le max_value]

構文の説明

デフォルトシーケンス番号を指定しない場合、プレフィクスリストの初のエントリにシーケンス番号 5 が割り

当てられ、後続の各エントリのシーケンス番号は、5 ずつ増加します。


コマンド履歴

/ network 値と len 値の間に必要な区切り記号。

deny 一致した条件へのアクセスを拒否します。

ge min_value （任意）照合されるプレフィクスの小の長さを指定します。min_value 引数

の値は、len 引数の値よりも大きくする必要があります。また、max_value 引数が存在する場合は、この引数の値以下にする必要があります。

le max_value （任意）照合されるプレフィクスの大の長さを指定します。max_value 引数の値は、min_value 引数が存在する場合は、この引数の値以上にする

必要があり、min_value 引数が存在しない場合は、len 引数の値よりも大き

くする必要があります。

len ネットワークマスクの長さ。有効な値は、0 ～ 32 です。

network ネットワークアドレス。

permit 一致した条件へのアクセスを許可します。

prefix-list-name プレフィクスリストの名前。プレフィクスリスト名にスペースを含めるこ

とはできません。

seq seq_num （任意）指定したシーケンス番号を、作成中のプレフィクスリストに適用

します。



ルーテッド

トランスペ


マルチ



ション

• — • — —




OL-20335-02-J


prefix-list

使用上のガイドライン prefix-list コマンドは、ABR タイプ 3 LSA フィルタリングコマンドです。ABR タイプ 3 LSA フィル

タリングは、OSPF を実行している ABR 機能を拡張し、異なる OSPF エリア間のタイプ 3 LSA をフィ

ルタリングします。プレフィクスリストが設定されると、指定したプレフィクスだけがあるエリアか

ら別のエリアに送信されます。その他のすべてのプレフィクスは、それぞれの OSPF エリアに制限さ

れます。このタイプのエリアフィルタリングは、OSPF エリアが終点または起点となるトラフィック、

あるいはそのエリアの着信および発信両方のトラフィックに適用できます。

プレフィクスリストの複数のエントリが特定のプレフィクスに一致する場合、シーケンス番号がも

小さいエントリが使用されます。適応型セキュリティアプライアンスは、プレフィクスリストの一番

上から、つまりシーケンス番号がも小さいエントリから検索を開始します。一致が見つかると、適応

型セキュリティアプライアンスは、リストの残りは検索しません。効率を良くするため、頻繁に一致

するエントリまたは一致しないエントリに、小さいシーケンス番号を手動で割り当てることで、それら

をリストの上部に配置することもできます。

デフォルトでは、シーケンス番号は自動的に生成されます。シーケンス番号は、no prefix-list sequence-number コマンドで抑制できます。シーケンス番号は、5 ずつ増分して生成されます。プレ

フィクスリスト内に初に生成されるシーケンス番号は 5 です。そのリスト内の次のエントリのシー

ケンス番号は 10 となり、以降も同様となります。あるエントリの値を指定し、後続のエントリの値を

指定しない場合、生成されるシーケンス番号は、指定した値から 5 ずつ増分されます。たとえば、プレ

フィクスリストの初のエントリのシーケンス番号を 3 と指定し、その後シーケンス番号を指定しな

いで 2 つのエントリを追加した場合、これら 2 つエントリに対して自動的に生成されるシーケンス番号

は、8 および 13 となります。

ge キーワードおよび le キーワードを使用して、プレフィクスと照合するプレフィクスの長さの範囲を、

network/len 引数よりも具体的に指定できます。ge キーワードまたは le キーワードのいずれも指定しな

い場合は、完全一致が前提とされます。ge キーワードだけを指定した場合の範囲は、min_value ～ 32 です。le キーワードだけを指定した場合の範囲は、len ～ max_value です。

min_value 引数および max_value 引数の値は、次の条件を満たしている必要があります。

len < min_value <= max_value <= 32

プレフィクスリストから特定のエントリを削除するには、このコマンドの no 形式を使用します。プレ

フィクスリストを削除するには、clear configure prefix-list コマンドを使用します。clear configure prefix-list コマンドを使用すると、関連付けられた prefix-list description コマンドがある場合は、そ

れもコンフィギュレーションから削除されます。

例次に、デフォルトルート 0.0.0.0/0 を拒否する例を示します。

hostname(config)# prefix-list abc deny 0.0.0.0/0

次に、プレフィクス 10.0.0.0/8 を許可する例を示します。

hostname(config)# prefix-list abc permit 10.0.0.0/8

次に、プレフィクス 192/8 を持つルートで大 24 ビットのマスク長を受け入れる例を示します。

hostname(config)# prefix-list abc permit 192.168.0.0/8 le 24

次に、プレフィクス 192/8 を持つルートで 25 ビットよりも大きいマスク長を拒否する例を示します。

hostname(config)# prefix-list abc deny 192.168.0.0/8 ge 25

次に、すべてのアドレス空間で 8 ～ 24 ビットのマスク長を許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 ge 8 le 24

次に、すべてのアドレス空間で 25 ビットよりも大きいマスク長を拒否する例を示します。



OL-20335-02-J


prefix-list

次に、プレフィクス 10/8 を持つすべてのルートを拒否する例を示します。

hostname(config)# prefix-list abc deny 10.0.0.0/8 le 32

次に、プレフィクス 192.168.1/24 を持つルートで長さが 25 ビットよりも大きいすべてのマスクを拒否

する例を示します。


次に、プレフィクス 0/0 を持つすべてのルートを許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 le 32


clear configure prefix-list

prefix-list コマンドを実行コンフィギュレーションから削除します。

prefix-list description プレフィクスリストの説明を入力できます。

prefix-list sequence-number

プレフィクスリストのシーケンス番号付けをイネーブルにします。

show running-config prefix-list

実行コンフィギュレーション内の prefix-list コマンドを表示します。


OL-20335-02-J


prefix-list description

prefix-list descriptionプレフィクスリストに説明を追加するには、グローバルコンフィギュレーションモードで prefix-list description コマンドを使用します。プレフィクスリストの説明を削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name description text

no prefix-list prefix-list-name description [text]

構文の説明



コマンド履歴

使用上のガイドライン prefix-list コマンドおよび prefix-list description コマンドは、特定のプレフィクスリスト名に対して

任意の順序で入力できます。つまり、プレフィクスリストの説明を入力する前に、プレフィクスリス

トを作成する必要はありません。prefix-list description コマンドは、コンフィギュレーション内では、

コマンドを入力した順序とは関係なく、常に関連付けられたプレフィクスリストの前の行に記述され

ます。

すでに説明があるプレフィクスリストのエントリに対して prefix-list description コマンドを入力した

場合、元の説明は新しい説明に置き換えられます。

このコマンドの no 形式を使用している場合、説明テキストを入力する必要はありません。

例次に、MyPrefixList という名前のプレフィクスリストの説明を追加する例を示します。show running-config prefix-list コマンドは、プレフィクスリストの説明が実行コンフィギュレーションに

すでに追加されているものの、プレフィクスリスト自体は設定されていないことを示します。

hostname(config)# prefix-list MyPrefixList description A sample prefix list descriptionhostname(config)# show running-config prefix-list

prefix-list-name プレフィクスリストの名前。

text プレフィクスリストの説明テキスト。大で 80 文字入力できます。



ルーテッド

トランスペ


マルチ



ション

• — • — —




OL-20335-02-J


prefix-list description

!prefix-list MyPrefixList description A sample prefix list description!


clear configure prefix-list

prefix-list コマンドを実行コンフィギュレーションから削除します。

prefix-list ABR タイプ 3 LSA フィルタリングのプレフィクスリストを定義します。




OL-20335-02-J



prefix-list sequence-numberプレフィクスリストのシーケンス番号付けをイネーブルにするには、グローバルコンフィギュレー

ションモードで prefix-list sequence-number コマンドを使用します。プレフィクスリストのシーケン

ス番号付けをディセーブルにするには、このコマンドの no 形式を使用します。



デフォルトデフォルトでは、プレフィクスリストのシーケンス番号付けはイネーブルになっています。


コマンド履歴

使用上のガイドラインコンフィギュレーションには、このコマンドの no 形式だけが記述されます。このコマンドの no 形式

がコンフィギュレーションにある場合、シーケンス番号は（手動で設定したものも含めて）コンフィ

ギュレーションの prefix-list コマンドから削除されます。新しいプレフィクスリストのエントリには、

シーケンス番号は割り当てられません。

プレフィクスリストのシーケンス番号付けがイネーブルの場合、すべてのプレフィクスリストのエン

トリには、デフォルトの番号付け方式（開始値は 5 で、各番号は 5 ずつ増分される）で、シーケンス番

号が割り当てられます。番号付けをディセーブルにする前に、シーケンス番号を手動でプレフィクスリストのエントリに割り当てた場合、手動で割り当てた番号は復元されます。自動番号付けがディセー

ブルになっているときに手動で割り当てたシーケンス番号も復元されます。ただし、番号付けがディ

セーブルの間は、それらのシーケンス番号は表示されません。

例次に、プレフィクスリストのシーケンス番号付けをディセーブルにする例を示します。

hostname(config)# no prefix-list sequence-number



ルーテッド

トランスペ


マルチ



ション

• — • — —




OL-20335-02-J




prefix-list ABR タイプ 3 LSA フィルタリングのプレフィクスリストを定義します。




OL-20335-02-J


pre-shared-key

pre-shared-key事前共有キーに基づく IKE 接続をサポートするために事前共有キーを指定するには、トンネルグルー

プ ipsec アトリビュートコンフィギュレーションモードで pre-shared-key コマンドを使用します。デ

フォルト値に戻すには、このコマンドの no 形式を使用します。

pre-shared-key key

no pre-shared-key

構文の説明



コマンド履歴

使用上のガイドラインこのアトリビュートは、すべての IPSec トンネルグループタイプに適用できます。

例 config-ipsec コンフィギュレーションモードで入力された次のコマンドは、209.165.200.225 という名

前の IPSec LAN-to-LAN トンネルグループの IKE 接続をサポートするために、事前共有キー XYZX を指定しています。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2Lhostname(config)# tunnel-group 209.165.200.225 ipsec-attributeshostname(config-tunnel-ipsec)# pre-shared-key xyzxhostname(config-tunnel-ipsec)#

関連コマンド

key 1 ～ 128 文字の英数字でキーを指定します。



ルーテッド

トランスペ


マルチ


トンネルグループ ipsec アトリ

ビュートコンフィギュレーショ

ン

• — • — —



コマンド説明

clear-configure tunnel-group

設定されているすべてのトンネルグループをクリアします。


OL-20335-02-J


pre-shared-key


すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネルグループ ipsec アトリビュートを設定します。

コマンド説明


OL-20335-02-J


primary

primaryフェールオーバーグループに対するプライマリユニットのプライオリティを高くするには、フェール

オーバーグループコンフィギュレーションモードで primary コマンドを使用します。デフォルト値に

戻すには、このコマンドの no 形式を使用します。

primary

no primary


デフォルトフェールオーバーグループに primary または secondary が指定されていない場合は、フェールオー

バーグループはデフォルトで primary に設定されます。


コマンド履歴

使用上のガイドラインプライマリまたはセカンダリのプライオリティをフェールオーバーグループに割り当てると、両方の

ユニットが（ユニットのポーリング期間内で）同時にブートしたときに、フェールオーバーグループ

がどのユニット上でアクティブになるかが指定されます。あるユニットがもう一方のユニットよりも先

にブートした場合、両方のフェールオーバーグループがそのユニットでアクティブになります。もう

一方のユニットがオンラインになったとき、フェールオーバーグループが 2 番めのユニットのプライ

オリティの方を高く設定していても、そのフェールオーバーグループが preempt コマンドを使用して

設定されているか、手動で no failover active コマンドを使用してもう一方のユニットに強制しない限

り、2 番めのユニット上ではフェールオーバーグループはアクティブになりません。

例次に、フェールオーバーグループ 1 ではプライマリユニットのプライオリティの方を高く設定し、

フェールオーバーグループ 2 ではセカンダリユニットのプライオリティの方を高く設定する例を示し

ます。どのフェールオーバーグループも preempt コマンドを使用して設定されているため、これらの

グループは、優先するユニットが使用可能になったときにそのユニット上で自動的にアクティブになり

ます。

hostname(config)# failover group 1 hostname(config-fover-group)# primary



ルーテッド

トランスペ


マルチ




• • — — •




OL-20335-02-J


primary

hostname(config-fover-group)# preempt 100hostname(config-fover-group)# exithostname(config)# failover group 2hostname(config-fover-group)# secondaryhostname(config-fover-group)# preempt 100hostname(config-fover-group)# mac-address e1 0000.a000.a011 0000.a000.a012 hostname(config-fover-group)# exithostname(config)#



義します。

preempt 優先するユニットが使用可能になったときに、フェールオーバーグループ

をそのユニット上で強制的にアクティブにします。

secondary セカンダリユニットに、プライマリユニットよりも高いプライオリティを

設定します。


OL-20335-02-J


priority

priorityQoS プライオリティキューイングをイネーブルにするには、クラスコンフィギュレーションモードで priority コマンドを使用します。遅延が許容されない重要なトラフィック（Voice over IP（VoIP）な

ど）の場合、Low Latency Queuing（LLQ; 低遅延キューイング）のトラフィックを指定して、このよ

うなトラフィックが常に小レートで送信されるようにできます。プライオリティ要件を削除するに


priority

no priority


デフォルトデフォルトの動作や変数はありません。


コマンド履歴

使用上のガイドライン LLQ プライオリティキューイングを使用すると、特定のトラフィックフロー（音声やビデオのような

遅延の影響を受けやすいトラフィックなど）をその他のトラフィックよりも優先できます。

適応型セキュリティアプライアンスは、次の 2 タイプのプライオリティキューイングをサポートして

います。

• 標準プライオリティキューイング：標準プライオリティキューイングは、インターフェイス

（priority-queue コマンドを参照）上で LLQ プライオリティキューを使用します。その他のすべ

てのトラフィックは「ベストエフォート」のキューに入ります。キューのサイズは無限大ではな

いため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降

のパケットはキューに入ることができず、すべてドロップされます。これは「テールドロップ」

と呼ばれます。キューがいっぱいになることを避けるために、キューのバッファサイズを増やす

ことができます。また、送信キューに入ることができる大パケット数を微調整することもできま

す。これらのオプションを使用することで、遅延およびプライオリティキューイングのロバスト

性を制御できます。LLQ キューにあるパケットは、常にベストエフォートキューにあるパケット

よりも先に送信されます。



ルーテッド

トランスペ


マルチ


Class • • • — —




OL-20335-02-J


priority

• 階層型プライオリティキューイング：階層型プライオリティキューイングは、トラフィックシェーピングキューをイネーブルにしたインターフェイス上で使用されます（shape コマンド）。

シェーピングされたトラフィックのサブセットを優先できます。標準プライオリティキューは使

用されません。階層型プライオリティキューイングに関して、次のガイドラインを参照してくだ

さい。

– プライオリティパケットは、常にシェープキューの先頭に入ります。このため、キューにあ

るその他の非プライオリティパケットよりも、常に先に送信されます。

– プライオリティパケットは、プライオリティトラフィック持続レートがシェープレートを超

過しない限り、シェープキューからはドロップされません。

– IPSec 暗号化パケットの場合、DSCP または優先設定のみに基づいて、トラフィックを照合で

きます。

– プライオリティトラフィック分類については、IPSec-over-TCP はサポートされません。

モジュラポリシーフレームワークでの QoS の設定

プライオリティキューイングをイネーブルにするには、モジュラポリシーフレームワークを使用しま

す。標準プライオリティキューイングまたは階層型プライオリティキューイングを使用できます。

標準プライオリティキューイングの場合は、次の作業を実行します。

1. class-map：プライオリティキューイングを実行するトラフィックを指定します。

2. policy-map：各クラスマップに関連付けるアクションを指定します。


b. priority：クラスマップのプライオリティキューイングをイネーブルにします。


階層プライオリティキューイングの場合は、次の作業を実行します。

1. class-map：プライオリティキューイングを実行するトラフィックを指定します。

2. policy-map（プライオリティキューイングの場合）：各クラスマップに関連付けるアクションを

指定します。


b. priority：クラスマップのプライオリティキューイングをイネーブルにします。ポリシーマップを階層的に使用する場合は、このポリシーマップに priority コマンドだけを含めること

ができます。

3. policy-map（トラフィックシェーピングの場合）：class-default クラスマップに関連付けるアク

ションを指定します。

a. class class-default：アクションを実行する class-default クラスマップを指定します。

b. shape：トラフィックシェーピングをクラスマップに適用します。

c. service-policy：プライオリティキューイングをシェーピングされたトラフィックのサブセッ

トに適用できるように、priority コマンドを設定したプライオリティキューイングポリシーマップを呼び出します。


例次に、ポリシーマップモードの priority コマンドの例を示します。

hostname(config)# policy-map localpolicy1hostname(config-pmap)# class firstclasshostname(config-pmap-c)# priority


OL-20335-02-J


priority

hostname(config-pmap-c)# class class-defaulthostname(config-pmap-c)#

関連コマンド class トラフィック分類に使用するクラスマップを指定します。


すべてのポリシーマップコンフィギュレーションを削除します。ただし、

ポリシーマップが service-policy コマンド内で使用されている場合、そのポ

リシーマップは削除されません。

policy-map ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のア

クションのアソシエーションです。




OL-20335-02-J


priority（VPN ロードバランシング）

priority（VPN ロードバランシング）仮想ロードバランシングクラスタに参加するローカルデバイスにプライオリティを設定するには、

VPN ロードバランシングモードで priority コマンドを使用します。デフォルトのプライオリティ指定

に戻すには、このコマンドの no 形式を使用します。

priority priority

no priority

構文の説明

デフォルトデフォルトのプライオリティは、デバイスのモデル番号によって異なります。


コマンド履歴

使用上のガイドラインまず、vpn load-balancing コマンドを使用して、VPN ロードバランシングモードを開始する必要があ

ります。

このコマンドは、仮想ロードバランシングクラスタに参加しているローカルデバイスのプライオリ

ティを設定します。

プライオリティは、1（低）～ 10（大）の整数である必要があります。

プライオリティは、マスター選定プロセスで、VPN ロードバランシングクラスタ内のどのデバイスが

そのクラスタのマスターデバイスまたはプライマリデバイスになるかを決定する方法の 1 つとして使

用されます。マスター選定プロセスの詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI』を参照してください。

このコマンドの no 形式を使用すると、プライオリティ指定がデフォルト値に戻ります。

priority このデバイスに割り当てるプライオリティ（範囲は 1 ～ 10）。

モデル番号

デフォルトのプライオ

リティ

5520 5

5540 7



ルーテッド

トランスペ


マルチ


VPN ロードバランシング — — • — —




OL-20335-02-J


priority（VPN ロードバランシング）

例次に、現在のデバイスのプライオリティを 9 に設定する priority コマンドが含まれた、VPN ロードバランシングコマンドシーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1hostname(config-if)# ip address 209.165.202.159 255.255.255.0hostname(config)# nameif testhostname(config)# interface GigabitEthernet 0/2hostname(config-if)# ip address 209.165.201.30 255.255.255.0hostname(config)# nameif foohostname(config)# vpn load-balancinghostname(config-load-balancing)# priority 9hostname(config-load-balancing)# interface lbpublic testhostname(config-load-balancing)# interface lbprivate foohostname(config-load-balancing)# cluster ip address 209.165.202.224hostname(config-load-balancing)# participate


vpn load-balancing VPN ロードバランシングモードを開始します。


OL-20335-02-J


priority-queue

priority-queueインターフェイス上に標準プライオリティキューを作成するには、グローバルコンフィギュレーショ

ンモードで priority コマンドと一緒に priority-queue コマンドを使用します。キューを削除するに


priority-queue interface-name

no priority queue interface-name

構文の説明

デフォルトデフォルトでは、プライオリティキューイングはディセーブルです。


コマンド履歴

使用上のガイドライン LLQ プライオリティキューイングを使用すると、特定のトラフィックフロー（音声やビデオのような

遅延の影響を受けやすいトラフィックなど）をその他のトラフィックよりも優先できます。

適応型セキュリティアプライアンスは、次の 2 タイプのプライオリティキューイングをサポートして

います。

• 標準プライオリティキューイング：標準プライオリティキューイングは、priority-queue コマン

ドを使用して作成したインターフェイス上で LLQ プライオリティキューを使用します。その他の

すべてのトラフィックは「ベストエフォート」のキューに入ります。キューのサイズは無限大で

はないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、

以降のパケットはキューに入ることができず、すべてドロップされます。これは「テールドロップ」と呼ばれます。キューがいっぱいになることを避けるために、キューのバッファサイズを増

やすことができます（queue-limit コマンド）。また、送信キューに入ることができる大パケッ

ト数を微調整することもできます（tx-ring-limit コマンド）。これらのオプションを使用すること

で、遅延およびプライオリティキューイングのロバスト性を制御できます。LLQ キューにあるパ

ケットは、常にベストエフォートキューにあるパケットよりも先に送信されます。

interface-name プライオリティキューをイネーブルにする物理インターフェイスの名前（ま

たは ASA 5505 の場合は VLAN インターフェイスの名前）を指定します。



ルーテッド

トランスペ


マルチ



ション

• • • — —




OL-20335-02-J


priority-queue

• 階層型プライオリティキューイング：階層型プライオリティキューイングは、トラフィックシェーピングキューをイネーブルにしたインターフェイス上で使用されます。シェーピングされ

たトラフィックのサブセットを優先できます。標準プライオリティキューは使用されません。

ASA モデル 5505（のみ）では、1 つのインターフェイスにプライオリティキューを設定すると、他の

すべてのインターフェイスで同じコンフィギュレーションが上書きされます。つまり、後に適用され

たコンフィギュレーションだけが、すべてのインターフェイスに存在することになります。さらに、プ

ライオリティキューコンフィギュレーションは、1 つのインターフェイスから削除すると、すべての

インターフェイスからも削除されます。

この問題を回避するには、priority-queue コマンドを 1 つのインターフェイスにのみ設定します。

queue-limit コマンドと tx-ring-limit コマンドの両方またはそのいずれかの設定を、さまざまなイン

ターフェイスで異なる設定にする必要がある場合、任意の 1 つのインターフェイスで、すべての queue-limit のうちで大の値と、すべての tx-ring-limit のうちで小の値を使用します

（CSCsi13132）。

例次に、test というインターフェイスのプライオリティキューを設定して、キュー制限を 30,000 パケッ

ト、送信キュー制限を 256 パケットに指定する例を示します。

hostname(config)# priority-queue testhostname(priority-queue)# queue-limit 30000hostname(priority-queue)# tx-ring-limit 256hostname(priority-queue)#


queue-limit プライオリティキューに入れることができるパケットの大数を指定しま

す。この数を超えると、以後のデータはドロップされます。

tx-ring-limit イーサネット送信ドライバのキューに任意のタイミングで入れることがで

きるパケットの大数を設定します。

policy-map ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上の

アクションのアソシエーションです。

clear configure priority-queue

現在のプライオリティキューコンフィギュレーションを削除します。

show running-config [all] priority-queue

現在のプライオリティキューコンフィギュレーションを表示します。all キーワードを指定すると、このコマンドにより現在のすべてのプライオリ

ティキュー、queue-limit、および tx-ring-limit のコンフィギュレーション

値が表示されます。


OL-20335-02-J


privilege

privilegeコマンド認可で使用するコマンド特権レベルを設定するには（ローカル、RADIUS、および（マッピ

ングされた）LDAP のみ）、グローバルコンフィギュレーションモードで privilege コマンドを使用し

ます。このコンフィギュレーションを不許可にするには、このコマンドの no 形式を使用します。

privilege [ show | clear | configure ] level level [ mode {enable | configure}] command command

no privilege [ show | clear | configure ] level level [ mode {enable | configure}] command command

構文の説明

デフォルトデフォルトでは、次のコマンドには特権レベル 0 が割り当てられています。他のすべてのコマンドの特

権レベルは 15 です。

• show checksum

clear （任意）コマンドの clear 形式のみに対して特権を設定します。clear、show、configure キーワードのいずれも使用しない場合、このコマンドの

すべての形式が影響を受けます。

command command 設定するコマンドを指定します。設定できるのは、main コマンドの特権

レベルのみです。たとえば、すべての aaa コマンドのレベルは設定できま

すが、aaa authentication コマンドと aaa authorization コマンドのレベ

ルを別々に設定することはできません。

main コマンドとサブコマンドの特権レベルを別々に設定することもでき

ません。たとえば、context コマンドは設定できますが、context コマンド

から設定を継承した allocate-interface コマンドは設定できません。

configure （任意）コマンドの configure 形式のみに対して特権を設定します。コマン

ドの configure 形式は、通常、コンフィギュレーションの変更をともなう

形式で、変更されていないコマンド（show または clear プレフィクスが付

いていないもの）または no 形式のいずれかになります。clear、show、

configure キーワードのいずれも使用しない場合、このコマンドのすべて

の形式が影響を受けます。

level level 特権レベルを指定します。有効な値は 0 ～ 15 です。特権レベルの数字が

小さいほど、特権レベルは低くなります。

mode enable （任意）1 つのコマンドをコンフィギュレーションモードだけでなくユー

ザ EXEC モードおよび特権 EXEC モードで入力することができ、このコ

マンドが各モードで異なるアクションを実行する場合は、これらのモード

に別々に特権レベルを設定できます。mode enable キーワードは、ユーザ EXEC モードと特権 EXEC モードの両方に指定できます。

mode configure （任意）1 つのコマンドをコンフィギュレーションモードだけでなくユー

ザ EXEC モードおよび特権 EXEC モードで入力することができ、このコ

マンドが各モードで異なるアクションを実行する場合は、これらのモード

に別々に特権レベルを設定できます。mode configure キーワードは、

configure terminal コマンドを使用してアクセスできるコンフィギュレー

ションモードを指定します。

show （任意）コマンドの show 形式のみに対して特権を設定します。clear、show、configure キーワードのいずれも使用しない場合、このコマンドの

すべての形式が影響を受けます。


OL-20335-02-J


privilege

• show curpriv

• enable

• help

• show history

• login

• logout

• pager

• show pager

• clear pager

• quit

• show version

コンフィギュレーションモードコマンドを 15 よりも低いレベルに移動する場合、必ず configure コマ

ンドもそのレベルに移動します。そうしないと、ユーザはコンフィギュレーションモードを開始でき

なくなります。

すべての特権レベルを表示するには、show running-config all privilege all コマンドを参照してくださ

い。


コマンド履歴

使用上のガイドライン privilege コマンドを使用すると、aaa authorization command LOCAL コマンドの設定時に適応型セ

キュリティアプライアンスのコマンドの特権レベルを設定できます。コマンドが LOCAL キーワード

を使用している場合でも、このキーワードは、ローカル、RADIUS、（マッピングされた）LDAP 認可

をイネーブルにします。

例たとえば、filter コマンドには次の形式があります。

• filter（configure オプションによって表示される）

• show running-config filter



ルーテッド

トランスペ


マルチ



ション

• • • • —


8.0(2) Cisco VSA CVPN3000-Privilege-Level の RADIUS ユーザのサポートが追加され

ました。ldap map-attributes コマンドを使用して LDAP アトリビュートを CVPN3000-Privilege-Level にマッピングした場合、LDAP ユーザはサポートされ

ます。


OL-20335-02-J


privilege

• clear configure filter

特権レベルは各形式に対して別々に設定できます。また、このオプションを省略することで、すべての

形式に同じ特権レベルを設定できます。たとえば、次のように各形式に対して別々に設定します。

hostname(config)# privilege show level 5 command filterhostname(config)# privilege clear level 10 command filterhostname(config)# privilege cmd level 10 command filter

または、すべての filter コマンドを同じレベルに設定できます。

hostname(config)# privilege level 5 command filter

show privilege コマンドを使用すると、形式が画面上で分けて表示されます。

次に、mode キーワードの使用例を示します。enable コマンドは、ユーザ EXEC モードから入力する

必要があります。さらに、コンフィギュレーションモードでアクセス可能な enable password コマン

ドには、も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enablehostname(config)# privilege cmd level 15 mode cmd command enablehostname(config)# privilege show level 15 mode cmd command enable

この例は、mode キーワードを使用する別のコマンド（configure コマンド）を示しています。

hostname(config)# privilege show level 5 mode cmd command configurehostname(config)# privilege clear level 15 mode cmd command configurehostname(config)# privilege cmd level 15 mode cmd command configurehostname(config)# privilege cmd level 15 mode enable command configure

（注）この後の行は、configure terminal コマンド用です。


clear configure privilege コンフィギュレーションから privilege コマンドステートメントを削除

します。

show curpriv 現在の特権レベルを表示します。

show running-config privilege

コマンドの特権レベルを表示します。


OL-20335-02-J


prompt

promptCLI プロンプトをカスタマイズするには、グローバルコンフィギュレーションモードで prompt コマ

ンドを使用します。デフォルトのプロンプトに戻すには、このコマンドの no 形式を使用します。

prompt {[hostname] [context] [domain] [slot] [state] [priority]}

no prompt [hostname] [context] [domain] [slot] [state] [priority]

構文の説明

デフォルトデフォルトのプロンプトはホスト名です。マルチコンテキストモードでは、ホスト名に続けて現在の

コンテキスト名が表示されます（hostname/context）。


コマンド履歴

context （マルチモードのみ）現在のコンテキストを表示します。

domain ドメイン名を表示します。

hostname ホスト名を表示します。

priority フェールオーバーのプライオリティを、pri（プライマリ）または sec（セ

カンダリ）のように表示します。failover lan unit コマンドを使用してプラ

イオリティを設定します。

state ユニットのトラフィックパッシング状態を表示します。次の値は、state キーワードに対して表示されます。

• act：フェールオーバーはイネーブルで、ユニットはアクティブにトラ

フィックを通過させています。

• stby：フェールオーバーはイネーブルで、ユニットはトラフィックを通

過させておらず、スタンバイ、障害、またはその他の非アクティブな

状態になっています。

• actNoFailover：フェールオーバーはイネーブルではなく、ユニットは

アクティブにトラフィックを通過させています。

• stbyNoFailover：フェールオーバーはイネーブルではなく、ユニット

はトラフィックを通過させていません。この状態は、スタンバイユニットのしきい値を超えるインターフェイス障害が発生したときに起

こる可能性があります。



ルーテッド

トランスペ


マルチ



ション

• • • — •




OL-20335-02-J


prompt

使用上のガイドラインキーワードを入力する順序によって、プロンプト内のスラッシュ（/）で区切られたエレメントの順序

が決まります。

マルチコンテキストモードでは、システム実行スペースまたは管理コンテキストにログインすると、

拡張プロンプトを表示できます。管理コンテキスト以外では、デフォルトのプロンプト（ホスト名とコ

ンテキスト名）のみを表示できます。

プロンプトに情報を追加できるため、複数のモジュールがある場合に、どの適応型セキュリティアプ

ライアンスにログインしているかを一目で判別できます。フェールオーバーの発生中は、この機能は両

方の適応型セキュリティアプライアンスのホスト名が同じ場合に役立ちます。

例次に、プロンプト内で使用できるすべてのエレメントを表示する例を示します。

hostname(config)# prompt hostname context priority state

プロンプトが次の文字列に変化します。

hostname/admin/pri/act(config)#


clear configure prompt 設定されているプロンプトをクリアします。

show running-config prompt 設定されているプロンプトを表示します。


OL-20335-02-J


protocol-enforcement

protocol-enforcement圧縮およびループポインタチェックを含めて、ドメイン名、ラベルの長さ、形式のチェックをイネー

ブルにするには、パラメータコンフィギュレーションモードで protocol-enforcement コマンドを使用

します。プロトコル強制をディセーブルにするには、このコマンドの no 形式を使用します。


no protocol-enforcement


デフォルトデフォルトでは、プロトコル強制はイネーブルです。この機能は、policy-map type inspect dns を定

義していなくても、inspect dns を設定していれば、イネーブルにできます。ディセーブルにするには、

ポリシーマップコンフィギュレーションで no protocol-enforcement が明示的に記述されている必要

があります。inspect dns が設定されていない場合、NAT リライトは実行されません。


コマンド履歴

使用上のガイドライン特定の条件下では、このコマンドがディセーブルであってもプロトコル強制は実行されます。これは、

たとえば DNS リソースレコードの解析が他の目的（DNS リソースレコードの分類、NAT または TSIG チェックなど）に必要な場合に発生します。

例次に、DNS インスペクションポリシーマップ内でプロトコル強制をイネーブルにする例を示します。

hostname(config)# policy-map type inspect dns preset_dns_maphostname(config-pmap)# parametershostname(config-pmap-p)# protocol-enforcement



ルーテッド

トランスペ


マルチ


パラメータコンフィギュレー

ション

• • • • —




OL-20335-02-J











OL-20335-02-J


protocol http

protocol httpCRL 取得用に許可された配布ポイントプロトコルとして HTTP を指定するには、ca-crl コンフィギュ

レーションモードで protocol http コマンドを使用します。権限があれば、CRL 配布ポイントの内容

によって取得方法（HTTP、LDAP、SCEP のいずれかまたは複数）が決まります。CRL 取得方法とし

て許可した HTTP を削除するには、このコマンドの no 形式を使用します。

protocol http

no protocol http

構文の説明

デフォルトデフォルトの設定は、HTTP を許可します。


コマンド履歴

使用上のガイドラインこのコマンドを使用する場合は、必ず HTTP ルールをパブリックインターフェイスフィルタに割り当

てます。

例次に、ca-crl コンフィギュレーションモードを開始し、トラストポイント central の CRL を取得するた

めの配布ポイントプロトコルとして HTTP を許可する例を示します。

hostname(configure)# crypto ca trustpoint centralhostname(ca-trustpoint)# crl configurehostname(ca-crl)# protocol http

関連コマンド

このコマンドには、引数またはキーワードはありません。



ルーテッド

トランスペ


マルチ


ca-crl コンフィギュレーション • • • • •



コマンド説明



protocol ldap CRL の取得方法として LDAP を指定します。

protocol scep CRL の取得方法として SCEP を指定します。


OL-20335-02-J


protocol ldap

protocol ldapCRL 取得用の配布ポイントプロトコルとして LDAP を指定するには、ca-crl コンフィギュレーションモードで protocol ldap コマンドを使用します。権限があれば、CRL 配布ポイントの内容によって取得

方法（HTTP、LDAP、SCEP のいずれかまたは複数）が決まります。

CRL 取得方法として許可した LDAP プロトコルを削除するには、このコマンドの no 形式を使用します。

protocol ldap

no protocol ldap

構文の説明

デフォルトデフォルトの設定は、LDAP を許可します。


コマンド履歴


めの配布ポイントプロトコルとして LDAP を許可する例を示します。

hostname(configure)# crypto ca trustpoint centralhostname(ca-trustpoint)# crl configurehostname(ca-crl)# protocol ldap

関連コマンド




ルーテッド

トランスペ


マルチ


CRL コンフィギュレーション • • • • •



コマンド説明



protocol http CRL の取得方法として HTTP を指定します。

protocol scep CRL の取得方法として SCEP を指定します。


OL-20335-02-J


protocol scep

protocol scep CRL 取得用の配布ポイントプロトコルとして SCEP を指定するには、Ca-CRL コンフィギュレーショ

ンモードで protocol scep コマンドを使用します。権限があれば、CRL 配布ポイントの内容によって

取得方法（HTTP、LDAP、SCEP のいずれかまたは複数）が決まります。

CRL 取得方法として許可した SCEP プロトコルを削除するには、このコマンドの no 形式を使用します。

protocol scep

no protocol scep

構文の説明

デフォルトデフォルトの設定は、SCEP を許可します。


コマンド履歴


めの配布ポイントプロトコルとして SCEP を許可する例を示します。

hostname(configure)# crypto ca trustpoint centralhostname(ca-trustpoint)# crl configurehostname(ca-crl)# protocol scephostname(ca-crl)#

関連コマンド




ルーテッド

トランスペ


マルチ


CRL コンフィギュレーション • • • • •



コマンド説明



protocol http CRL の取得方法として HTTP を指定します。

protocol ldap CRL の取得方法として LDAP を指定します。


OL-20335-02-J


protocol-object

protocol-objectプロトコルオブジェクトをプロトコルオブジェクトグループに追加するには、プロトコルコンフィ

ギュレーションモードで protocol-object コマンドを使用します。ポートオブジェクトを削除するに


protocol-object protocol

no protocol-object protocol

構文の説明



コマンド履歴

使用上のガイドラインプロトコルコンフィギュレーションモードでプロトコルオブジェクトを定義するには、object-group コマンドとともに protocol-object コマンドを使用します。

protocol 引数を使用して、IP プロトコルの名前または番号を指定できます。udp プロトコル番号は 17、tcp プロトコル番号は 6、egp プロトコル番号は 47 です。

例次に、プロトコルオブジェクトを定義する例を示します。

hostname(config)# object-group protocol proto_grp_1hostname(config-protocol)# protocol-object udphostname(config-protocol)# protocol-object tcphostname(config-protocol)# exithostname(config)# object-group protocol proto_grphostname(config-protocol)# protocol-object tcphostname(config-protocol)# group-object proto_grp_1hostname(config-protocol)# exithostname(config)#

protocol プロトコルの名前または番号。



ルーテッド

トランスペ


マルチ


プロトコルコンフィギュレー

ション

• • • • —




OL-20335-02-J


protocol-object


clear configure object-group

すべての object group コマンドをコンフィギュレーションから削除します。

group-object ネットワークオブジェクトグループを追加します。

network-object ネットワークオブジェクトグループにネットワークオブジェクトを追加し

ます。

object-group コンフィギュレーションを適化するためのオブジェクトグループを定義

します。

show running-config object-group

現在のオブジェクトグループを表示します。


OL-20335-02-J


protocol-violation

protocol-violationHTTP および NetBIOS インスペクションでプロトコル違反が発生したときのアクションを定義するに

は、パラメータコンフィギュレーションモードで protocol-violation コマンドを使用します。この機

能をディセーブルにするには、このコマンドの no 形式を使用します。

protocol-violation action [drop [log] | log]

no protocol-violation action [drop [log] | log]

構文の説明



コマンド履歴

使用上のガイドラインこのコマンドは、HTTP または NetBIOS ポリシーマップ内で設定できます。HTTP または NetBIOS パーサーが、メッセージの初の数バイト内で有効な HTTP または NetBIOS メッセージを検出できな

い場合は、syslog が発行されます。これは、たとえば、チャンクされたエンコーディングが不正な形

式で、メッセージが解析できない場合に発生します。

例次に、ポリシーマップにおけるプロトコル違反に対するアクションを設定する例を示します。

hostname(config)# policy-map type inspect http http_maphostname(config-pmap)# parametershostname(config-pmap-p)# protocol-violation action drop

drop プロトコルに準拠していないパケットをドロップするように指定します。

log プロトコル違反をログに記録するように指定します。



ルーテッド

トランスペ


マルチ


パラメータコンフィギュレー

ション

• • • • —




OL-20335-02-J


protocol-violation









OL-20335-02-J


proxy-bypass

proxy-bypass適応型セキュリティアプライアンスがコンテンツの低限の書き換えを実行し、書き換えるコンテン

ツのタイプ（外部リンク、XML の両方またはそのいずれか）を指定するように設定するには、

webvpn コンフィギュレーションモードで proxy-bypass コマンドを使用します。プロキシバイパスを

ディセーブルにするには、このコマンドの no 形式を使用します。

proxy-bypass interface interface name {port port number| path-mask path mask} target url [rewrite {link | xml | none}]

no proxy-bypass interface interface name {port port number| path-mask path mask} target url [rewrite {link | xml | none}]

構文の説明


host トラフィックの転送先となるホストを指定します。ホスト IP アドレスまた

はホスト名のいずれかを使用します。

interface プロキシバイパス用の ASA インターフェイスを指定します。

interface name ASA インターフェイスを名前で指定します。

link 絶対外部リンクの書き換えを指定します。

none 書き換えを指定しません。

path-mask 照合するパターンを指定します。

path-mask 照合対象として正規表現を含むことができるパターンを指定します。次の

ワイルドカードを使用できます。

*：すべてに一致します。このワイルドカードはこれだけでは使用でき

ません。英数字の文字列とともに使用する必要があります。?：任意の 1 文字に一致します。

[!seq]：シーケンスにない任意の文字に一致します。

[seq]：シーケンス内の任意の文字に一致します。

大 128 バイトです。

port プロキシバイパス用に予約されているポートを指定します。

port number プロキシバイパス用に予約されている番号の高いポートを指定します。

ポートの範囲は 20000 ～ 21000 です。1 つのプロキシバイパスのルールに

対してポートを 1 つだけ使用できます。

rewrite （任意）書き換えに対する追加ルール（none、または XML とリンクの組み

合わせ）を指定します。

target トラフィックの転送先となるリモートサーバを指定します。

url URL を http(s)://fully_qualified_domain_name[:port] という形式で入力し

ます。大 128 バイトです。ポートは、特に他のポートを指定しない限り、

HTTP の場合は 80、HTTPS の場合は 443 です。

xml XML コンテンツの書き換えを指定します。


OL-20335-02-J


proxy-bypass


コマンド履歴

使用上のガイドラインプロキシバイパスは、コンテンツの書き換えを小限にして、アプリケーションおよび Web リソース

の動作を向上させるために使用します。proxy-bypass コマンドにより、適応型セキュリティアプライ

アンスを通過する特定の Web アプリケーションの処理方法が決定されます。

このコマンドは複数回使用できます。エントリを設定する順序は重要でありません。プロキシバイパ

スルールは、インターフェイスとパスマスクまたはインターフェイスとポートによって一意に指定さ

れます。

パスマスクではなく、ポートを使用してプロキシバイパスを設定する場合、ネットワークコンフィ

ギュレーションによっては、これらのポートの適応型セキュリティアプライアンスへのアクセスを許

可するためにファイアウォール設定の変更が必要になることがあります。このような制限を回避するに

は、パスマスクを使用します。ただし、パスマスクは変更されることがあるため、複数のパスマスクステートメントを使用して変更される可能性をなくすことが必要になる場合があります。

パスとは、URL の .com または .org あるいはその他のタイプのドメイン名の後にあるものすべてです。

たとえば、www.mycompany.com/hrbenefits という URL では、hrbenefits がパスです。同様に、

www.mycompany.com/hrinsurance という URL では、hrinsurance がパスです。すべての「hr」サイト

にプロキシバイパスを使用する場合は、「/hr*」のようにワイルドカード「*」を使用することで、コ

マンドの複数回使用を回避できます。

例次に、webvpn インターフェイス上でプロキシバイパスにポート 20001 を使用し、HTTP とそのデフォ

ルトポート 80 を使用してトラフィックを mycompany.site.com に転送し、XML コンテンツを書き換

えるように適応型セキュリティアプライアンスを設定する例を示します。

hostname(config)# webvpnhostname(config-webvpn)# proxy-bypass interface webvpn port 20001 target http://mycompany.site.com rewrite xml

次に、outside インターフェイス上でプロキシバイパスにパスマスク mypath/* を使用し、HTTP とそ

のデフォルトポート 443 を使用してトラフィックを mycompany.site.com に転送し、XML とリンクの

コンテンツを書き換えるように適応型セキュリティアプライアンスを設定する例を示します。

hostname(config)# webvpnhostname(config-webvpn)# proxy-bypass interface outside path-mask /mypath/* target https://mycompany.site.com rewrite xml,link



ルーテッド

トランスペ


マルチ


WebVPN コンフィギュレー

ション

• — • — —




OL-20335-02-J


proxy-bypass


apcf 特定のアプリケーションに使用する非標準のルールを指定します。

rewrite トラフィックが適応型セキュリティアプライアンスを通過するかどうかを

決定します。


OL-20335-02-J


proxy-ldc-issuer

proxy-ldc-issuerTLS プロキシローカルダイナミック証明書を発行するには、暗号 CA トラストポイントコンフィギュ

レーションモードで proxy-ldc-issuer コマンドを使用します。コンフィギュレーションを削除するに


proxy-ldc-issuer

no proxy-ldc-issuer




コマンド履歴

使用上のガイドライン TLS プロキシローカルダイナミック証明書を発行するには、proxy-ldc-issuer コマンドを使用します。

proxy-ldc-issuer コマンドは、暗号トラストポイントにローカル CA のロールを付与することで、LDC を発行し、暗号 CA トラストポイントコンフィギュレーションモードからアクセスできるようにします。

proxy-ldc-issuer コマンドは、トラストポイントにローカル CA ロールを定義し、TLS プロキシのダイ

ナミック証明書を発行します。このコマンドは、「enrollment self」を使用するトラストポイント下で

のみ設定できます。

例次に、内部ローカル CA を作成して、電話用の LDC に署名する例を示します。このローカル CA は、

proxy-ldc-issuer をイネーブルにした正規の自己署名トラストポイントとして作成されます。

hostname(config)# crypto ca trustpoint ldc_serverhostname(config-ca-trustpoint)# enrollment selfhostname(config-ca-trustpoint)# proxy-ldc-issuerhostname(config-ca-trustpoint)# fqdn my _ldc_ca.example.comhostname(config-ca-trustpoint)# subject-name cn=FW_LDC_SIGNER_172_23_45_200hostname(config-ca-trustpoint)# keypair ldc_signer_keyhostname(config)# crypto ca enroll ldc_server



ルーテッド

トランスペ


マルチ


暗号 CA トラストポイントコン


• • • • —




OL-20335-02-J


proxy-ldc-issuer


ctl-provider CTL プロバイダーインスタンスを定義し、プロバイダーコンフィギュ

レーションモードを開始します。

server trust-point TLS ハンドシェイク中に提示するプロキシトラストポイント証明書を指定

します。

show tls-proxy TLS プロキシを表示します。

tls-proxy TLS プロキシインスタンスを定義し、大セッション数を設定します。


OL-20335-02-J


proxy-server

proxy-server<proxyServerURL> タグの下にある IP 電話のコンフィギュレーションファイルに書き込まれた Phone Proxy 機能に HTTP プロキシを設定するには、Phone-Proxy コンフィギュレーションモードで proxy-server コマンドを使用します。Phone Proxy から HTTP プロキシコンフィギュレーションを削

除するには、このコマンドの no 形式を使用します。

proxy-server address ip_address [listen_port] interface ifc

no proxy-server address ip_address [listen_port] interface ifc

構文の説明

デフォルトリスニングポートが指定されていない場合、デフォルトでは、ポートは 8080 に設定されます。


コマンド履歴

使用上のガイドライン Phone Proxy にプロキシサーバコンフィギュレーションオプションを設定すると、DMZ またはすべ

ての IP 電話 URL が電話サービス用のプロキシサーバに転送される外部ネットワーク上で、HTTP プロキシを許可できます。この設定は、社内ネットワークには戻すことのできない非セキュア HTTP トラフィックに対応します。

入力した ip_address は、IP 電話および HTTP プロキシサーバの場所に基づいたグローバル IP アドレ

スである必要があります。

プロキシサーバが DMZ にあり、IP 電話がネットワークの外側にある場合は、適応型セキュリティアプライアンスは、NAT ルールがあるかどうかはルックアップせず、グローバル IP アドレスを使用して

およびコンフィギュレーションファイルに書き込みます。

適応型セキュリティアプライアンスにより、ホスト名を IP アドレスに解決できる（たとえば、DNS ルックアップが設定されている）場合は、適応型セキュリティアプライアンスがホスト名を IP アドレ

スに解決するため、ip_address 引数にホスト名を入力できます。

interface ifc 適応型セキュリティアプライアンス上で HTTP プロキシが存在するインター

フェイスを指定します。

ip_address HTTP プロキシの IP アドレスを指定します。

listen_port HTTP プロキシのリスニングポートを指定します。指定しない場合、デフォ

ルトは 8080 です。



ルーテッド

トランスペ


マルチ


Phone-Proxy コンフィギュレー

ション

• — • — —




OL-20335-02-J


proxy-server

デフォルトでは、エンタープライズパラメータ下に設定される電話 URL パラメータは、URL 内で FQDN を使用します。HTTP プロキシの DNS ルックアップが FQDN を解決しない場合は、IP アドレ

スを使用するようにパラメータを変更する必要がある場合があります。

プロキシサーバの URL が IP 電話のコンフィギュレーションファイルに正しく書き込まれていること

を確認するには、[Settings] > [Device Configuration] > [HTTP configuration] > [Proxy Server URL] で IP 電話の URL をチェックします。

Phone Proxy は、プロキシサーバへのこの HTTP トラフィックを検査しません。

適応型セキュリティアプライアンスが、IP 電話と HTTP プロキシサーバのパス内にある場合は、既存

のデバッグ手法（syslog やキャプチャなど）を使用してプロキシサーバの問題を解決します。

Phone Proxy の使用中に設定できるプロキシサーバは、1 つだけです。ただし、プロキシサーバを設定

した後に、IP 電話がコンフィギュレーションファイルをダウンロードした場合は、ファイル内にプロ

キシサーバアドレスの書き込まれたコンフィギュレーションファイルを IP 電話が取得できるように、

IP 電話を再起動する必要があります。

例次に、proxy-server コマンドを使用して Phone Proxy に HTTP プロキシサーバを設定する例を示します。

hostname(config-phone-proxy)# proxy-server 192.168.1.2 interface inside


phone-proxy Phone Proxy インスタンスを設定します。


OL-20335-02-J


publish-crl

publish-crl他の適応型セキュリティアプライアンスが、ローカル CA によって発行された証明書の失効状況を検

証できるようにするには、config-ca-server コンフィギュレーションモードで publish-crl コマンドを

使用します。これにより、適応型セキュリティアプライアンスのインターフェイスから直接 CRL のダ

ウンロードを実行できるようになります。CRL をダウンロードできないようにするには、このコマン

ドの no 形式を使用します。

[ no ] publish-crl interface interface [ port portnumber ]

構文の説明

デフォルトデフォルトの publish-crl のステータスは no publish です。TCP ポート 80 は HTTP のデフォルトで

す。


コマンド履歴

使用上のガイドラインデフォルトでは、CRL にはアクセスできません。必要なインターフェイスとポート上の CRL ファイル

へのアクセスをイネーブルにする必要があります。

TCP ポート 80 は HTTP のデフォルトのポート番号です。デフォルト以外のポート（ポート 80 以外）

を設定する場合は、cdp-url コンフィギュレーションにその新しいポート番号が含まれていて、他のデ

バイスがこの特定のポートへのアクセスを認識していることを確認します。

CRL Distribution Point（CDP; CRL 配布ポイント）は、ローカル CA 適応型セキュリティアプライア

ンス上の CRL の場所になります。cdp-url コマンドを使用して設定した URL は、発行済みの証明書に

組み込まれます。CDP に特定の場所を設定していない場合、デフォルトの CDP の URL は、

http://hostname.domain/+CSCOCA+/asa_ca.crl です。

クライアントレス SSL VPN が同じインターフェイス上でイネーブルになっている場合、HTTP リダイ

レクトと CRL ダウンロード要求は、同じ HTTP リスナーによって処理されます。リスナーは着信 URL を確認し、それが cdp-url コマンドで設定されたものと一致する場合に、CRL ファイルはダウン

ロードされます。URL が cdp-url と一致しない場合は、接続は HTTPS にリダイレクトされます（'http redirect' がイネーブルになっている場合）。

interface interface gigabitethernet0/1 などの、インターフェイスに使用する nameif を指定し

ます。詳細については、interface コマンドを参照してください。

port portnumber （任意）インターフェイスデバイスが CRL をダウンロードする場合に使用

するポートを指定します。ポート番号には 1 ～ 65535 の範囲の数値を指定

できます。



ルーテッド

トランスペ


マルチ


config-ca-server • — • — —




OL-20335-02-J


publish-crl

例 config-ca-server モードで入力される、この publish-crl コマンドの例では、CRL ダウンロード用に outside インターフェイスのポート 70 をイネーブルにします。

config-ca-server モードで入力される、この publish-crl コマンドの例では、CRL ダウンロード用に outside のポート 70 をイネーブルにします。

hostname(config)# crypto ca server

hostname (config-ca-server)#publish-crl outside 70

hostname(config-ca-server)#


cdp-url 自動生成された CRL 用に特定の場所を指定します。

show interface インターフェイスの実行時ステータスと統計情報を表示します。


OL-20335-02-J


pwd

pwd現在の作業ディレクトリを表示するには、特権 EXEC モードで pwd コマンドを使用します。

pwd


デフォルトデフォルトは、ルートディレクトリ（/）です。


コマンド履歴

使用上のガイドラインこのコマンドは、機能の点で dir コマンドと類似しています。

例次に、現在の作業ディレクトリを表示する例を示します。

hostname# pwddisk0:/hostname# pwdflash:

関連コマンド



ルーテッド

トランスペ


マルチ


特権 EXEC • • • — •



コマンド説明

cd 現在の作業ディレクトリから、指定したディレクトリに変更します。

dir ディレクトリの内容を表示します。

more ファイルの内容を表示します。


OL-20335-02-J


pwd


OL-20335-02-J

packet-tracer コマンド～ pwd コマンド cisco asa 5500 シリーズ コマンド...

Documents

packet-tracer コマンド～ pwd コマンド cisco asa 5500 シリーズコマンド...