Cisco Secure Firewall ASA シリーズコマンドリファレンス、A ～ H コマンド

area

OSPFv2 エリアまたは OSPFv3 エリアを作成するには、ルータコンフィギュレーションモードで area コマンドを使用します。エリアを削除するには、このコマンドの no 形式を使用します。

area area_id

no area area_id

構文の説明


`area_id`	作成するエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	—	—
IPv6 ルータコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	OSPFv3 のサポートが追加されました。

使用上のガイドライン

作成したエリアには、パラメータが設定されていません。関連する area コマンドを使用してエリアパラメータを設定します。

例

次に、エリア ID が 1 の OSPF エリアを作成する例を示します。


ciscoasa(config-router)# area 1
ciscoasa(config-router)#

コマンド	説明
area nssa	（任意）エリアを Not-So-Stubby Area として定義します。
area stub	エリアをスタブエリアとして定義します。
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area authentication

OSPFv2 エリアの認証をイネーブルにするには、ルータコンフィギュレーションモードで area authentication コマンドを使用します。エリア認証をディセーブルにするには、このコマンドの no 形式を使用します。

area area_id authentication [ message-digest ]

no area area_id authentication [ message-digest ]

構文の説明


`area_id`	認証をイネーブルにするエリアの ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
message-digest	（オプション）`area_id` で指定したエリアに対する Message Digest 5（MD5）認証をイネーブルにします。

コマンドデフォルト

エリア認証はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードはサポートされます。

使用上のガイドライン

指定した OSPFv2 エリアが存在しない場合は、このコマンドを入力すると作成されます。message-digest キーワードを指定せずに area authentication コマンドを入力した場合は、簡易パスワード認証がイネーブルになります。message-digest キーワードを指定すると、MD5 認証がイネーブルになります。

例

次に、エリア 1 に対して MD5 認証をイネーブルにする例を示します。


ciscoasa(config-router)# area 1 authentication message-digest
ciscoasa(config-router)#

コマンド	説明
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area default-cost

スタブまたは NSSA に送信されるデフォルト集約ルートのコストを指定するには、ルータコンフィギュレーションモードまたは IPv6 ルータコンフィギュレーションモードで area default-cost コマンドを使用します。デフォルトのコスト値に戻すには、このコマンドの no 形式を使用します。

area area_id default-cost cost

no area area_id default-cost cost

構文の説明


`area_id`	デフォルトコストを変更するスタブまたは NSSA の ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
`cost`	スタブまたは NSSA に使用されるデフォルト集約ルートのコストを指定します。有効な値の範囲は、0 ～ 65535 です。

コマンドデフォルト

cost のデフォルト値は 1 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—
IPv6 ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードおよび OSPFv3 がサポートされています。

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

例

次に、スタブまたは NSSA に送信される集約ルートのデフォルトコストを指定する例を示します。


ciscoasa(config-router)# area 1 default-cost 5
ciscoasa(config-router)#

コマンド	説明
area nssa	（任意）エリアを Not-So-Stubby Area として定義します。
area stub	エリアをスタブエリアとして定義します。
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area filter-list prefix

ABR の OSPFv2 エリア間のタイプ 3 LSA でアドバタイズされたプレフィックスをフィルタリングするには、ルータコンフィギュレーションモードで area filter-list prefix コマンドを使用します。フィルタを変更またはキャンセルするには、このコマンドの no 形式を使用します。

area area_id filter-list prefix list_name { in | out }

no area area_id filter-list prefix list_name { in | out }

構文の説明


`area_id`	フィルタリングを設定するエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
in	指定したエリアに着信するアドバタイズされたプレフィックスに、設定済みプレフィックスリストを適用します。
`list_name`	プレフィックスリストの名前を指定します。
out	指定したエリアから発信されるアドバタイズされたプレフィックスに、設定済みプレフィックスリストを適用します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードはサポートされます。

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

フィルタリングできるのはタイプ 3 LSA だけです。プライベートネットワークに ASBR が設定されている場合、ASBR はプライベートネットワークを記述するタイプ 5 LSA を送信します。この LSA は、パブリックエリアを含む AS 全体にフラッディングされます。

例

次に、他のすべてのエリアからエリア 1 に送信されるプレフィックスをフィルタリングする例を示します。


ciscoasa(config-router)# area 1 filter-list prefix-list AREA_1 in
ciscoasa(config-router)#

コマンド	説明
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area nssa

エリアを NSSA として設定するには、ルータコンフィギュレーションモードまたは IPv6 ルータコンフィギュレーションモードで area nssa コマンドを使用します。NSSA 指定をエリアから削除するには、このコマンドの no 形式を使用します。

area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 } ] [ metric value ] ] [ no-summary ]

no area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type { 1 | 2 } ] [ metric value ] ] [ no-summary ]

構文の説明


`area_id`	NSSA として指定するエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
default-information-originate	NSSA エリアでのタイプ 7 デフォルトの生成に使用します。このキーワードは、NSSA ABR または NSSA ASBR でのみ有効です。
metric `metric_value`	（任意）OSPF デフォルトメトリック値を指定します。有効値の範囲は 0 ～ 16777214 です。
metric-type {1 \| 2 }	（任意）デフォルトルートの OSPF メトリックタイプ。有効な値は次のとおりです。 1 ：タイプ 1 2 ：タイプ 2。デフォルト値は 2 です。
no-redistribution	（任意）ルータが NSSA ABR の場合、redistribute コマンドを使用して、ルートを NSSA エリアでなく通常のエリアにのみ取り込む場合に使用します。
no-summary	（任意）エリアを Not-So-Stubby Area（NSSA）とし、集約ルートが挿入されないようにします。

コマンドデフォルト

デフォルトの設定は次のとおりです。

NSSA エリアは未定義です。
metric-type は 2 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—
IPv6 ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードおよび OSPFv3 がサポートされています。

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

エリアに 1 つのオプションを設定し、後で別のオプションを指定した場合、両方のオプションが設定されます。たとえば、次の 2 のコマンドを別々に入力した場合、コンフィギュレーションには、両方のオプションを指定した 1 つのコマンドが設定されます。


ciscoasa(config-rtr)# area 1 nssa no-redistribution
ciscoasa(config-rtr)# area area_id nssa default-information-originate

例

次に、2 つのオプションを別々に設定すると、1 つのコマンドがコンフィギュレーションに設定される例を示します。


ciscoasa(config-rtr)# area 1 nssa no-redistribution
ciscoasa(config-rtr)# area 1 nssa default-information-originate
ciscoasa(config-rtr)# exit
ciscoasa(config-rtr)# show running-config router ospf 1
router ospf 1
 area 1 nssa no-redistribution default-information-originate

コマンド	説明
area stub	エリアをスタブエリアとして定義します。
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area-password

IS-IS エリア認証パスワードを設定するには、ルータ ISIS コンフィギュレーションモードで、area-password コマンドを使用します。パスワードをディセーブルにするには、このコマンドの no 形式を使用します。

area-password password [ authenticate snp { validate | send-only } ]

no area password [ password ]

構文の説明


`password`	割り当てるパスワード。
authenticate snp	（任意）これを指定すると、システムはシーケンス番号 PDUS（SNP）にパスワードを挿入するようになります。
validate	これを指定すると、システムはパスワードを SNP に挿入し、受け取ったパスワードを SNP で確認するようになります。
send-only	これを指定すると、システムは SNP へのパスワードの挿入だけは行うようになりますが、SNP での受け取ったパスワードの確認は行われません。このキーワードは、ソフトウェアのアップグレード中、移行をスムーズに行うために使用します。

コマンドデフォルト

エリアパスワードは定義されていません。また、エリアパスワードの認証はディセーブルにされています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(1)	このコマンドが追加されました。

使用上のガイドライン

あるエリアに存在するすべてのルータで area-password コマンドを使用することにより、不正ルータによる、リンクステートデータベースへの誤ったルーティング情報の挿入を阻止できます。

このパスワードはプレーンテキストとしてやり取りされるため、この機能が提供するセキュリティは限定されています。

このパスワードは、レベル 1（ステーションルータレベル）の PDU リンクステートパケット（LSP）、Complete Sequence Number PDU（CSNP）、および Partial Sequence Number PDU（PSNP）に挿入されます。

authenticate snp キーワードを validate キーワードまたは send-only キーワードのいずれかと共に指定しない場合、IS-IS プロトコルはパスワードを SNP に挿入しません。

例

次に、エリア認証パスワードを割り当て、このパスワードを SNP に挿入し、システムが受け取った SNP で確認するように指定する例を示します。


ciscoasa(config-router)# router isis
ciscoasa(config-router)# area-password track authenticate snp validate

コマンド	説明
advertise passive-only	パッシブインターフェイスをアドバタイズするように ASA を設定します。
area-password	IS-IS エリア認証パスワードを設定します。
authentication key	IS-IS の認証をグローバルで有効にします。
authentication mode	グローバルな IS-IS インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
authentication send-only	グローバルな IS-IS インスタンスでは、送信される（受信ではなく）IS-IS パケットでのみ認証が実行されるように設定します。
clear isis	IS-IS データ構造をクリアします。
default-information originate	IS-IS ルーティングドメインへのデフォルトルートを生成します。
distance	IS-IS プロトコルにより発見されたルートに割り当てられるアドミニストレーティブディスタンスを定義します。
domain-password	IS-IS ドメイン認証パスワードを設定します。
fast-flood	IS-IS LSP がフルになるように設定します。
hello padding	IS-IS hello をフル MTU サイズに設定します。
hostname dynamic	IS-IS ダイナミックホスト名機能を有効にします。
ignore-lsp-errors	内部チェックサムエラーのある IS-IS LSP を受信した場合に LSP をパージするのではなく無視するように ASA を設定します。
isis adjacency-filter	IS-IS 隣接関係の確立をフィルタ処理します。
isis advertise-prefix	IS-IS インターフェイスで、LSP アドバタイズメントを使用して接続中のネットワークの IS-IS プレフィックスをアドバタイズします。
isis authentication key	インターフェイスに対する認証を有効にします。
isis authentication mode	インターフェイスごとに、インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
isis authentication send-only	送信される（受信ではなく）IS-IS パケットに対してのみ認証を実行するように、インターフェイスごとの IS-IS インスタンスを設定します。
isis circuit-type	IS-IS で使用される隣接関係のタイプを設定します。
isis csnp-interval	ブロードキャストインターフェイス上で定期的に CSNP パケットが送信される間隔を設定します。
isis hello-interval	IS-IS が連続して hello パケットを送信する時間の長さを指定します。
isis hello-multiplier	ネイバーが見落とすことができる IS-IS hello パケット数の最大値を指定します。見落とされたパケット数がこの値を超えると、ASA は隣接がダウンしていると宣言します。
isis hello padding	IS-IS hello をインターフェイスごとのフル MTU サイズに設定します。
isis lsp-interval	インターフェイスごとの連続する IS-IS LSP 送信間の遅延時間を設定します。
isis metric	IS-IS メトリックの値を設定します。
isis password	インターフェイスの認証パスワードを設定します。
isis priority	インターフェイスでの指定された ASA のプライオリティを設定します。
isis protocol shutdown	インターフェイスごとに IS-IS プロトコルを無効にします。
isis retransmit-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis retransmit-throttle-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis tag	IP プレフィックスが LSP に挿入されたときに、インターフェイスに設定された IP アドレスにタグを設定します。
is-type	IS-IS ルーティングプロセスのルーティングレベルを割り当てます。
log-adjacency-changes	NLSP IS-IS 隣接関係がステートを変更（アップまたはダウン）する際に、ASA がログメッセージを生成できるようにします。
lsp-full suppress	PDU がフルになったときに、抑制されるルートを設定します。
lsp-gen-interval	LSP 生成の IS-IS スロットリングをカスタマイズします。
lsp-refresh-interval	LSP の更新間隔を設定します。
max-area-addresses	IS-IS エリアの追加の手動アドレスを設定します。
max-lsp-lifetime	LSP が更新されずに ASA のデータベース内で保持される最大時間を設定します。
maximum-paths	IS-IS のマルチパスロードシェアリングを設定します。
metric	すべての IS-IS インターフェイスのメトリック値をグローバルに変更します。
metric-style	新規スタイル、長さ、および値オブジェクト（TLV）を生成し、TLV のみを受け入れるように、IS-IS を稼働している ASA を設定します。
net	ルーティングプロセスの NET を指定します。
passive-interface	パッシブインターフェイスを設定します。
prc-interval	PRC の IS-IS スロットリングをカスタマイズします。
protocol shutdown	インターフェイス上で隣接関係を形成して LSP データベースをクリアすることができないように、IS-IS プロトコルをグローバルで無効にします。
redistribute isis	特にレベル 1 からレベル 2 へ、またはレベル 2 からレベル 1 へ、IS-IS ルートを再配布します。
route priority high	IS-IS IP プレフィックスにハイプライオリティを割り当てます。
router isis	IS-IS ルーティングをイネーブルにします。
set-attached-bit	レベル 1 とレベル 2 間のルータが Attach ビットを設定する必要がある場合の制約を指定します。
set-overload-bit	SPF 計算の中間ホップとして使用できないことを他のルータに通知するように ASA を設定します。
show clns	CLNS 固有の情報を表示します。
show isis	IS-IS の情報を表示します。
show route isis	IS-IS ルートを表示します。
spf-interval	SPF 計算の IS-IS スロットリングをカスタマイズします。
summary-address	IS-IS の集約アドレスを作成します。

area range（IPv6 ルータ OSPF）

エリア境界で OSPFv3 ルートを統合および集約するには、IPv6 ルータ OSPF コンフィギュレーションモードで area range コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

area area_id ipv6-prefix-/prefix-length [ advertise | not advertise ] [ cost cost ]

no area area_id ipv6-prefix-/prefix-length [ advertise | not advertise ] [ cost cost ]

構文の説明


advertise	（オプション）Type 3 サマリー LSA をアドバタイズおよび生成するように、範囲ステータスを設定します。
`area_id`	ルートを要約するエリアの ID を指定します。10 進数または IPv6 プレフィックスのいずれかを使用して ID を指定できます。
cost `cost`	（オプション）このサマリールートのメトリックまたはコストを指定します。宛先への最短パスを決定するための OSPF SPF 計算で使用します。有効値の範囲は 0 ～ 16777215 です。
ipv6-prefix	IPv6 プレフィックスを指定します。
not-advertise	（オプション）範囲ステータスを DoNotAdvertise に設定します。Type 3 サマリー LSA は抑制され、コンポーネントネットワークは他のネットワークから隠された状態のままです。
`prefix-length`	IPv6 プレフィックス長を指定します。

コマンドデフォルト

範囲ステータスはデフォルトで advertise に設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
IPv6 ルータ OSPF コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

area range コマンドは、ABR でのみ使用されます。このコマンドによって、エリアのルートが統合または集約されます。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、IPv6 プレフィックスおよびプレフィックス長ごとに 1 つのルートがアドバタイズされます。この動作はルート集約と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。このように、OSPFv3 は多くの異なる IPv6 プレフィックスおよびプレフィックス長セットのルートを集約できます。

例

次に、IPv6 プレフィックスが 2000:0:0:4::2 でプレフィックス長が 2001::/64 の他のエリアに ABR によってアドバタイズされる 1 つの集約ルートを指定する例を示します。


ciscoasa(config-router)# area 1 range 
2000:0:0:4::2/2001::/64
 
ciscoasa(config-router)#

コマンド	説明
ipv6 router ospf	OSPFv3 の IPv6 ルータコンフィギュレーションモードを開始します。
show running-config ipv6 router	グローバルルータコンフィギュレーションの IPv6 コマンドを表示します。

area range（ルータ OSPF）

エリア境界でルートを統合および集約するには、OSPF ルータコンフィギュレーションモードで area range コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

area area_id range address mask advertise | not-advertise ]

no area area_id range address mask advertise | not-advertise ]

構文の説明


`address`	サブネット範囲の IP アドレス。
advertise	（任意）Type 3 サマリー LSA をアドバタイズおよび生成するように、アドレス範囲ステータスを設定します。
`area_id`	範囲を設定するエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
`mask`	IP アドレスのサブネットマスク。
not-advertise	（任意）アドレス範囲ステータスを DoNotAdvertise に設定します。Type 3 サマリー LSA は抑制され、コンポーネントネットワークは他のネットワークから隠された状態のままです。

コマンドデフォルト

アドレス範囲ステータスは advertise に設定されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
IPv6 ルータ OSPF コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードはサポートされます。

使用上のガイドライン

指定したエリアが area コマンドを使用して過去に定義されていない場合は、指定したパラメータでこのコマンドがエリアを作成します。

area range コマンドは、エリアのルートを統合または集約するために ABR でのみ使用します。その結果、1 つの集約ルートが ABR によって他のエリアにアドバタイズされます。ルーティング情報は、エリア境界でまとめられます。エリアの外部では、アドレス範囲ごとに 1 つのルートがアドバタイズされます。この動作はルート集約と呼ばれます。1 つのエリアに複数の area range コマンドを設定できます。このように、OSPF は多くの異なるアドレス範囲セットのアドレスを集約できます。

no area area_id range ip_address netmask not-advertise コマンドは、not-advertise オプションキーワードのみを削除します。

例

次に、ネットワーク 10.0.0.0 上のすべてのサブネットおよびネットワーク 192.168.110.0 上のすべてのホストに対する 1 つの集約ルートを、ABR によって他のエリアにアドバタイズするように指定する例を示します。


ciscoasa(config-router)# area 10.0.0.0 range 10.0.0.0 255.0.0.0
ciscoasa(config-router)# area 0 range 192.168.110.0 255.255.255.0
ciscoasa(config-router)#

コマンド	説明
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area stub

エリアをスタブエリアとして定義するには、ルータコンフィギュレーションモードまたは IPv6 ルータコンフィギュレーションモードで area stub コマンドを使用します。スタブエリアを削除するには、このコマンドの no 形式を使用します。

area area_id stub [ no-summary ]

no area area_id stub [ no-summary ]

構文の説明


`area_id`	スタブエリアを識別します。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
no-summary	ABR がサマリーリンクアドバタイズメントをスタブエリアに送信しないようにします。

コマンドデフォルト

デフォルトの動作は次のとおりです。

スタブエリアは定義されません。
サマリーリンクアドバタイズメントはスタブエリアに送信されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	—	—
IPv6 ルータコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.0(1)	OSPFv3 のサポートが追加されました。

使用上のガイドライン

このコマンドは、スタブまたは NSSA に接続された ABR でのみ使用されます。

スタブエリアルータコンフィギュレーションコマンドには、area stub および area default-cost という 2 つのコマンドがあります。スタブエリアに接続されているすべてのルータおよびアクセスサーバーで、area stub コマンドを使用して、エリアをスタブエリアとして設定する必要があります。スタブエリアに接続された ABR でのみ area default-cost コマンドを使用します。area default-cost コマンドは、ABR によってスタブエリアに生成されるサマリーデフォルトルートのメトリックを提供します。

例

次に、指定したエリアをスタブエリアとして設定する例を示します。


ciscoasa(config-rtr)# area 1 stub
ciscoasa(config-rtr)#

コマンド	説明
area default-cost	スタブまたは NSSA に送信されるデフォルトサマリールートのコストを指定します。
area nssa	（任意）エリアを Not-So-Stubby Area として定義します。
router ospf	ルータコンフィギュレーションモードを開始します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

area virtual-link（IPv6 ルータ OSPF）

OSPFv3 仮想リンクを定義するには、ルータ OSPF コンフィギュレーションモードで area virtual-link コマンドを使用します。オプションをリセットするか、または仮想リンクを削除するには、このコマンドの no 形式を使用します。

area area_id virtual-link router_id [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ ttl-security hops hop-count ]

no area area_id virtual-link router_id [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ ttl-security hops hop-count ]

構文の説明


`area_id`	仮想リンクの中継エリアのエリア ID を指定します。10 進数または有効な IPv6 プレフィックスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
hello-interval `seconds`	（オプション）ASA がインターフェイスで送信する hello パケットの間隔を秒単位で指定します。hello 間隔は、hello パケットでアドバタイズされる符号なし整数値です。この値は、共通のネットワークに接続されているすべてのルータおよびアクセスサーバーで同じであることが必要です。有効な値の範囲は、1 ～ 8192 秒です。
retransmit-interval `seconds`	（オプション）インターフェイスに属する隣接ルータの LSA 再送信間の時間を秒単位で指定します。再送信間隔は、接続されているネットワーク上の任意の 2 台のルータ間の予想されるラウンドトリップ遅延です。この値は、予想されるラウンドトリップ遅延よりも大きいことが必要です。有効な値の範囲は、1 ～ 8192 秒です。
`router_id`	仮想リンクネイバーに関連付けられているルータ ID を指定します。ルータ ID は show ipv6 ospf または show ipv6 display コマンドで表示されます。
transmit-delay `seconds`	（オプション）インターフェイス上でリンクステートアップデートパケットを送信するために必要な推定される時間を秒単位で指定します。ゼロよりも大きい整数値を指定します。アップデートパケット内の LSA の経過時間は、転送前にこの値の分だけ増分されます。有効な値の範囲は、1 ～ 8192 秒です。
dead-interval `seconds`	（オプション）hello パケットがどれだけの時間（秒単位）届かなかった場合にネイバーがルータのダウンを示すかを指定します。デッドインターバルは符号なし整数値です。hello 間隔と同様に、この値は、共通のネットワークに接続されているすべてのルータとアクセスサーバーで同じでなければなりません。有効な値の範囲は、1 ～ 8192 秒です。
ttl-security hops hop-count	（オプション）仮想リンク上で存続可能時間（TTL）セキュリティを設定します。ホップカウントの有効な値の範囲は 1 ～ 254 です。

（注）

1 桁のパスワードおよび先頭の数字の後に空白が続くパスワードはサポートされなくなりました。

コマンドデフォルト

デフォルトの設定は次のとおりです。

area_id ：エリア ID は事前に定義されていません。
router_id ：ルータ ID は事前に定義されていません。
hello-interval ：10 秒。
retransmit-interval ：5 秒。
transmit-delay ：1秒。
dead-interval ：40 秒。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
IPv6 ルータ OSPF コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
9.0(1)	このコマンドが追加されました。

使用上のガイドライン

OSPFv3 では、すべてのエリアはバックボーンエリアに接続している必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。

hello パケットの間隔が短い場合、トポロジ変化の検出が速くなりますが、ルーティングトラフィックが多くなります。

再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。

（注）

仮想リンクを正しく設定するには、各仮想リンクネイバーに、中継エリア ID および対応する仮想リンク隣接ルータ ID が含まれている必要があります。ルータ ID を取得するには、show ipv6 ospf コマンドを使用します。

例

次に、OSPFv3 で仮想リンクを確立する例を示します。


ciscoasa(config-if)# ipv6 router ospf 1
ciscoasa(config-rtr)# log-adjacency-changes
ciscoasa(config-rtr)# area 1 virtual-link 192.168.255.1 hello interval 5

area virtual-link（ルータ OSPF）

OSPF 仮想リンクを定義するには、ルータ OSPF コンフィギュレーションモードで area virtual-link コマンドを使用します。オプションをリセットするか、または仮想リンクを削除するには、このコマンドの no 形式を使用します。

area area_id virtual-link router_id [ authentication [ key-chain key-chain-name | message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ dead-interval seconds [[[[ authentication-key[0|8] key ] | [ message-digest-key key_id md5[0|8] key ]]]]

no area area_id virtual-link router_id [ authentication [ key-chain key-chain-name | message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ dead-interval seconds [[[[ authentication-key[0|8] key ] | [ message-digest-key key_id md5[0|8] key ]]]]

構文の説明


`area_id`	仮想リンクの中継エリアのエリア ID。10 進数または IP アドレスのいずれかを使用して ID を指定できます。有効な 10 進値の範囲は、0 ～ 4294967295 です。
authentication	（任意）認証タイプを指定します。
key-chain `key-chain-name`	（任意）認証に使用するキーチェーンを指定します。key-name 引数には最大 63 文字の英数字を指定できます。
authentication-key [0 \| 8] `key`	（任意）ネイバールーティングデバイスで使用する OSPF 認証パスワードを指定します。
dead-interval `seconds`	（任意）hello パケットを受信しない場合に、ネイバールーティングデバイスがダウンしたことを宣言するまでの間隔を指定します。有効な値は、1 ～ 65535 秒です。
hello-interval `seconds`	（任意）インターフェイスで送信される hello パケット間の間隔を指定します。有効な値は、1 ～ 65535 秒です。
md5 [0 \| 8] `key`	（任意）最大 16 バイトの英数字のキーを指定します。
message-digest	（任意）メッセージダイジェスト認証を使用することを指定します。
message-digest-key `key_id`	（任意）Message Digest 5（MD5）認証をイネーブルにし、認証キー ID 番号を指定します。有効な値は、1 ～ 255 です。
0	暗号化されていないパスワードが続くことを指定します。
8	暗号化されたパスワードが後に続くことを指定します。
null	（任意）認証を使用しないことを指定します。パスワードまたはメッセージダイジェスト認証は、OSPF エリアに設定されている場合、上書きされます。
retransmit-interval `seconds`	（任意）インターフェイスに属している隣接ルータの LSA 再送信の間隔を指定します。有効な値は、1 ～ 65535 秒です。
`router_id`	仮想リンクネイバーに関連付けられているルータ ID。ルータ ID は、各ルータによって内部でインターフェイス IP アドレスから生成されます。この値は、IP アドレスの形式で入力する必要があります。デフォルトはありません。
transmit-delay `seconds`	（任意）OSPF がトポロジ変更を受信してから、Shortest Path First（SPF）計算を開始するまでの遅延時間を 0 ～ 65535 秒で指定します。デフォルトは 5 秒です。

（注）

1 桁のパスワードおよび先頭の数字の後に空白が続くパスワードはサポートされなくなりました。

コマンドデフォルト

デフォルトの設定は次のとおりです。

area_id ：エリア ID は事前に定義されていません。
router_id ：ルータ ID は事前に定義されていません。
hello-interval seconds ：10 秒。
retransmit-interval seconds ：5 秒。
transmit-delay seconds ：1 秒。
dead-interval seconds ：40 秒。
authentication-key [0 | 8] key ：キーは事前定義されていません。
message-digest-key key_id md5 [0 | 8] key ：キーは事前定義されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ OSPF コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.12(1)	OSPF 認証のローテーションキーをサポートするためにキーチェーン機能が追加されました。

使用上のガイドライン

OSPF では、すべてのエリアがバックボーンエリアに接続されている必要があります。バックボーンへの接続が失われた場合は、仮想リンクを確立して修復できます。

hello 間隔を小さくすればするほど、トポロジ変更の検出が速くなりますが、ルーティングトラフィックが増加します。

再送信間隔の設定値はあまり小さくしないでください。小さくすると、不要な再送信が行われます。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。

送信遅延の値では、インターフェイスの送信遅延と伝搬遅延を考慮に入れる必要があります。

指定した認証キーは、area area_id authentication コマンドでバックボーンに対して認証がイネーブルにされている場合にのみ使用されます。

簡易テキスト認証と MD5 認証という 2 つの認証方式は、相互排他的です。どちらか一方を指定するか、または両方とも指定しないでください。authentication-key [0 | 8] key または message-digest-key key_id md5[0 | 8] key の後に指定したキーワードと引数は、すべて無視されます。したがって、オプションの引数は、これらのキーワードと引数の組み合わせの前に指定します。

インターフェイスに認証タイプが指定されていない場合、インターフェイスでは、エリアに指定されている認証タイプが使用されます。エリアに認証タイプが指定されていない場合、エリアのデフォルトはヌル認証です。

（注）

仮想リンクを正しく設定するには、各仮想リンクネイバーに、中継エリア ID および対応する仮想リンクネイバールータ ID が含まれている必要があります。ルータ ID を表示するには、show ospf コマンドを使用します。

例

次に、MD5 認証の仮想リンクを確立する例を示します。


ciscoasa(config-rtr)# area 10.0.0.0 virtual-link 10.3.4.5 message-digest-key 3 md5 8 sa5721bk47

次に、ローテーションキー認証で仮想リンクを確立する例を示します。


ciscoasa(config-rtr)# area 10.0.0.0 virtual-link 10.3.4.5 authentication key-chain CHAIN-RTR-OSPFKEY

コマンド	説明
router ospf	ルータコンフィギュレーションモードを開始します。
show ospf	OSPF ルーティングプロセスに関する一般情報を表示します。
show running-config router	グローバルルータコンフィギュレーションのコマンドを表示します。

コマンド	説明
ipv6 router ospf	OSPFv3 のルータコンフィギュレーションモードを開始します。
show ipv6 ospf	OSPFv3 ルーティングプロセスに関する一般情報を表示します。
show running-config ipv6 router	グローバルルータコンフィギュレーションの IPv6 コマンドを表示します。

arp

スタティック ARP エントリを ARP テーブルに追加するには、グローバルコンフィギュレーションモードで arp コマンドを使用します。スタティックエントリを削除するには、このコマンドの no 形式を使用します。

arp interface_name ip_address mac_address [ alias ]

no arp interface_name ip_address mac_address

構文の説明


alias	（任意）このマッピングに対してプロキシ ARP をイネーブルにします。ASA は、指定された IP アドレスの ARP 要求を受信すると、ASA MAC アドレスで応答します。その IP アドレスを持つホスト宛てのトラフィックを ASA が受信すると、ASA は、トラフィックをこのコマンドで指定されたホスト MAC アドレスに転送します。このキーワードは、ARP を実行しないデバイスがある場合などに役立ちます。トランスペアレントファイアウォールモードでは、このキーワードは無視されます。ASA はプロキシ ARP を実行しません。
`interface_name`	ホストネットワークに接続されているインターフェイス。
`ip_address`	ホストの IP アドレス。
`mac_address`	ホストの MAC アドレス。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合（たとえば、所定の IP アドレスの MAC アドレスが変更された場合など）、エントリは更新される前にタイムアウトします。

スタティック ARP エントリは、MAC アドレスを IP アドレスにマッピングし、ホストに到達するまでに通過するインターフェイスを指定します。スタティック ARP エントリはタイムアウトせず、ネットワーク問題の解決に役立つ場合があります。トランスペアレントファイアウォールモードでは、ARP インスペクションでスタティック ARP テーブルが使用されます（arp-inspection コマンドを参照）。

（注）

トランスペアレントファイアウォールモードでは、ダイナミック ARP エントリが ASA との間のトラフィック（管理トラフィックなど）に使用されます。

例

次に、外部インターフェイス上の 10.1.1.1 と MAC アドレス 0009.7cbe.2100 のスタティック ARP エントリを作成する例を示します。


ciscoasa(config)# arp outside 10.1.1.1 0009.7cbe.2100

arp-inspection

トランスペアレントファイアウォールモードでの ARP インスペクションをイネーブルにするには、グローバルコンフィギュレーションモードで arp-inspection コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。

arp-inspection interface_name enable [ flood | no-flood ]

no arp-inspection interface_name enable

構文の説明

enable

ARP インスペクションをイネーブルにします。

flood

（デフォルト）スタティック ARP エントリのどの要素とも一致しないパケットをすべてのインターフェイス（発信元インターフェイスを除く）にフラッディングすることを指定します。MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASA はパケットをドロップします。

（注）

管理専用のインターフェイス（存在する場合）は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

interface_name

ARP インスペクションをイネーブルにするブリッジグループメンバーインターフェイス。

no-flood

（任意）スタティック ARP エントリと正確には一致しないパケットをドロップすることを指定します。

コマンドデフォルト

デフォルトでは、ARP インスペクションはすべてのインターフェイスでディセーブルになっています。すべての ARP パケットは ASA を通過できます。ARP インスペクションをイネーブルにすると、一致しない ARP パケットはデフォルトでフラッディングされます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.7(1)	Integrated Routing and Bridging（IRB; 統合ルーティングおよびブリッジング）を使用するときに、ルーテッドモードでこのコマンドを設定できるようになりました。

使用上のガイドライン

ARP インスペクションをイネーブルにする前に、arp コマンドを使用してスタティック ARP エントリを設定します。

ARP インスペクションでは、すべての ARP パケットをスタティック ARP エントリと照合し（arp コマンドを参照）、一致しないパケットをブロックします。この機能により、ARP スプーフィングが防止されます。

ARP インスペクションをイネーブルにすると、ASA は、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティックエントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASA はパケットをドロップします。
ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送（フラッディング）するか、またはドロップするように ASA を設定できます。

（注）

専用の管理インターフェイス（存在する場合）は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます（ARP スプーフィングと呼ばれる）のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイルータに送信すると、ゲートウェイルータはゲートウェイルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホストトラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある場合、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

（注）

トランスペアレントファイアウォールモードでは、ダイナミック ARP エントリが ASA との間のトラフィック（管理トラフィックなど）に使用されます。

例

次に、外部インターフェイスにおける ARP インスペクションをイネーブルにし、スタティック ARP エントリに一致しない ARP パケットをドロップするように ASA を設定する例を示します。


ciscoasa(config)# arp outside 209.165.200.225 0009.7cbe.2100
ciscoasa(config)# arp-inspection outside enable no-flood

arp permit-nonconnected

非直接接続サブネットも含まれるように ARP キャッシュをイネーブルにするには、グローバルコンフィギュレーションモードで arp permit-nonconnected コマンドを使用します。非直接接続サブネットをディセーブルにするには、このコマンドの no 形式を使用します。

arp permit-nonconnected

no arp permit-nonconnected

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.4(5)、9.0(1)	このコマンドが追加されました。

使用上のガイドライン

ASA ARP キャッシュには、直接接続されたサブネットからのエントリだけがデフォルトで含まれています。no arp permit-nonconnected コマンドがあり（デフォルト動作）、受信した ARP パケットが接続されているインターフェイスとは別のサブネットに存在する場合は、ASA によって着信 ARP 要求も ARP 応答も拒否されます。

最初のケース（デフォルト動作）では、PAT が ASA で設定され、PAT の仮想 IP アドレス（マップ済み）が接続されているインターフェイスとは別のサブネットに存在する場合に障害が発生します。

また、セキュリティリスクを認識していない場合は、この機能をイネーブルにすることは推奨しません。この機能は、ASA に対するサービス拒否（DoS）攻撃を助長する場合があります。任意のインターフェイスのユーザーが大量の ARP 応答を送信して、偽エントリで ASA ARP テーブルがあふれる可能性があります。

次の機能を使用する場合は、この機能を使用する必要がある可能性があります。

セカンデリサブネット。
トラフィック転送の隣接ルートのプロキシ ARP。

例

次に、非接続サブネットをイネーブルにする例を示します。


ciscoasa(config)# arp permit non-connected

デフォルトの動作は、ASA の debug arp コマンドの出力で次のように確認できます。

着信 ARP 要求の場合：


- larp-in: request at outside from 10.10.2.1 0013.8083.0bb1 for 10.10.2.2 0000.0000.0000 having smac 0013.8083.0bb1 dmac ffff.ffff.ffff\narp-in: Arp packet received from 10.10.2.1 which is in different subnet than the connected interface 10.10.1.2/255.255.255.0

着信 ARP 応答の場合：

次に、非接続サブネットをイネーブルにする例を示します。


ciscoasa(config)# arp permit non-connected
 
- arp-in: response at outside from 10.10.2.1 0013.8083.0bb1 for 10.10.1.2 0016.4687.9f43 having smac 0013.8083.0bb1 dmac 0016.4687.9f43\narp-in: Arp packet received from 10.10.2.1 which is in different subnet than the connected interface 10.10.1.2/255.255.255.0

arp rate-limit

ARP レート制限を設定して 1 秒あたりの ARP パケット数を制御するには、グローバルコンフィギュレーションモードで arp rate-limit コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

arp rate-limit seconds

no arp rate-limit

構文の説明


`seconds`	秒数を 10 ～ 32768 の間で指定します。デフォルト値は ASA モデルによって異なります。

コマンドデフォルト

デフォルト値は ASA モデルによって異なります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。

例

次に、ARP レートを 1 秒あたり 10000 に設定する例を示します。


ciscoasa(config)# arp rate-limit 10000

arp timeout

ASA が ARP テーブルを再構築するまでの時間を設定するには、グローバルコンフィギュレーションモードで arp timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。

arp timeout seconds

no arp timeout seconds

構文の説明


`seconds`	ARP テーブルを再構築する間隔の秒数（60 ～ 4294967）。

コマンドデフォルト

デフォルト値は 14,400 秒（4 時間）です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることが必要になる場合があります。

例

次に、ARP タイムアウトを 5,000 秒に変更する例を示します。


ciscoasa(config)# arp timeout 5000

asdm disconnect

アクティブな ASDM セッションを終了するには、特権 EXEC モードで asdm disconnect コマンドを使用します。

asdm disconnect session

構文の説明


`session`	終了するアクティブな ASDM セッションのセッション ID。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、pdm disconnect コマンドから asdm disconnect コマンドに変更されました。

使用上のガイドライン

アクティブな ASDM セッションとそれに関連付けられているセッション ID のリストを表示するには、show asdm sessions コマンドを使用します。特定のセッションを終了するには、asdm disconnect コマンドを使用します。

ASDM セッションを終了しても、残りのアクティブな ASDM セッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM セッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM セッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM セッションにはセッション ID 1 が割り当てられ、その後の新しいセッションにはセッション ID 3 から順に ID が割り当てられます。

例

次に、セッション ID 0 の ASDM セッションを終了する例を示します。asdm disconnect コマンドの入力の前後に、show asdm sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。


ciscoasa# show asdm sessions
0 192.168.1.1
1 192.168.1.2
ciscoasa# asdm disconnect 0
ciscoasa# show asdm sessions
1 192.168.1.2

asdm disconnect log_session

アクティブな ASDM ロギングセッションを終了するには、特権 EXEC モードで asdm disconnect log_session コマンドを使用します。

asdm disconnect log_session session

構文の説明


`session`	終了するアクティブな ASDM ロギングセッションのセッション ID。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

アクティブな ASDM ロギングセッションとそれに関連付けられているセッション ID のリストを表示するには、show asdm log_sessions コマンドを使用します。特定のロギングセッションを終了するには、asdm disconnect log_session コマンドを使用します。

それぞれのアクティブな ASDM セッションには、1 つ以上の関連する ASDM ロギングセッションがあります。ASDM は、ロギングセッションを使用して、ASA から Syslog メッセージを取得します。ログセッションを終了すると、アクティブな ASDM セッションに悪影響が及ぶ場合があります。不要な ASDM セッションを終了するには、asdm disconnect コマンドを使用します。

（注）

各 ASDM セッションには少なくとも 1 つの ASDM ロギングセッションがあるため、show asdm sessions および show asdm log_sessions の出力は同じように見えることがあります。

ASDM ロギングセッションを終了しても、残りのアクティブな ASDM ロギングセッションは、関連付けられているセッション ID を保持します。たとえば、3 つのアクティブな ASDM ロギングセッションがあり、それぞれのセッション ID が 0、1、および 2 の場合、セッション 1 を終了すると、残りのアクティブな ASDM ロギングセッションはそれぞれセッション ID 0 と 2 を保持します。この例で、次の新しい ASDM ロギングセッションにはセッション ID 1 が割り当てられ、その後の新しいロギングセッションにはセッション ID 3 から順に ID が割り当てられます。

例

次に、セッション ID 0 の ASDM セッションを終了する例を示します。asdm disconnect log_sessions コマンドの入力の前後に、show asdm log_sessions コマンドを使用して、アクティブな ASDM セッションを表示しています。


ciscoasa# show asdm log_sessions
0 192.168.1.1
1 192.168.1.2
ciscoasa# asdm disconnect 0
ciscoasa# show asdm log_sessions
1 192.168.1.2

asdm history enable

ASDM 履歴トラッキングをイネーブルにするには、グローバルコンフィギュレーションモードで asdm history enable コマンドを使用します。ASDM 履歴トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。

asdm history enable

no asdm history enable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、pdm history enable コマンドから asdm history enable コマンドに変更されました。

使用上のガイドライン

ASDM 履歴トラッキングをイネーブルにすることによって取得された情報は、ASDM 履歴バッファに保存されます。この情報を表示するには、show asdm history コマンドを使用します。履歴情報は、ASDM によってデバイスモニタリングに使用されます。

例

次に、ASDM 履歴トラッキングをイネーブルにする例を示します。


ciscoasa(config)# asdm history enable
ciscoasa(config)#

asdm image

フラッシュメモリ内の ASDM ソフトウェアイメージの場所を指定するには、グローバルコンフィギュレーションモードで asdm image コマンドを使用します。イメージの場所を削除するには、このコマンドの no 形式を使用します。

asdm image url

no asdm image [ url ]

構文の説明


`url`	フラッシュメモリ内の ASDM イメージの場所を設定します。次の URL 構文を参照してください。 disk0:/ [`path` / ]`filename` ASA 5500 シリーズでは、この URL は内部フラッシュメモリを示します。disk0 の代わりに flash を使用することもできます。これらはエイリアスになります。 disk1:/ [`path` / ]`filename` ASA 5500 シリーズでは、この URL は外部フラッシュメモリを示します。 flash:/ [`path` / ]`filename` この URL は、内部フラッシュメモリを指定します。

コマンドデフォルト

このコマンドをスタートアップコンフィギュレーションに含めない場合、ASA は起動時に最初に検出した ASDM イメージを使用します。内部フラッシュメモリのルートディレクトリ内を検索した後で、外部フラッシュメモリを検索します。ASA がイメージを検出した場合は、asdm image コマンドを実行コンフィギュレーションに挿入します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

フラッシュメモリに複数の ASDM ソフトウェアイメージを保存できます。アクティブな ASDM セッションがある状態で asdm image コマンドを入力して新しい ASDM ソフトウェアイメージを指定した場合、アクティブな ASDM セッションは中断されず、そのセッションを開始した ASDM ソフトウェアイメージを引き続き使用します。新しい ASDM セッションは、新しいソフトウェアイメージを使用します。no asdm image コマンドを入力すると、コンフィギュレーションからコマンドが削除されます。ただし、最後に設定したイメージの場所を使用して、ASA から引き続き ASDM にアクセスできます。

このコマンドをスタートアップコンフィギュレーションに含めない場合、ASA は起動時に最初に検出した ASDM イメージを使用します。内部フラッシュメモリのルートディレクトリ内を検索した後で、外部フラッシュメモリを検索します。ASA がイメージを検出した場合は、asdm image コマンドを実行コンフィギュレーションに挿入します。write memory コマンドを使用して、実行コンフィギュレーションをスタートアップコンフィギュレーションに保存します。asdm image コマンドをスタートアップコンフィギュレーションに保存しない場合、リブートのたびに ASA は ASDM イメージを検索し、asdm image コマンドを実行コンフィギュレーションに挿入します。Auto Update を使用する場合は、起動時にこのコマンドが自動的に追加されるため、ASA 上のコンフィギュレーションは Auto Update Server 上のコンフィギュレーションと一致しなくなります。このような不一致が発生すると、ASA はコンフィギュレーションを Auto Update Server からダウンロードします。不要な Auto Update アクティビティを回避するには、asdm image コマンドをスタートアップコンフィギュレーションに保存します。

例

次に、ASDM イメージを asdm.bin に設定する例を示します。


ciscoasa(config)# asdm image flash:/asdm.bin
ciscoasa(config)#

asdm location

注意	このコマンドを手動で設定しないでください。asdm location コマンドは ASDM によって実行コンフィギュレーションに追加され、内部通信に使用されます。このコマンドは、情報提供のためだけにこのマニュアルに記載されています。

asdm location ip_addr netmask if_name

asdm location ipv6_addr/prefix if_name

構文の説明


`if_name`	最もセキュリティの高いインターフェイスの名前。最もセキュリティの高いインターフェイスが複数ある場合は、任意にインターフェイス名が選択されます。このインターフェイス名は使用されませんが、必須パラメータです。
`ip_addr`	ネットワークトポロジを定義するために ASDM によって内部で使用される IP アドレス。
`ipv6_addr` / `prefix`	ネットワークトポロジを定義するために ASDM によって内部で使用される IPv6 アドレスとプレフィックス。
`netmask`	`ip_addr` のサブネットマスク。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、pdm location コマンドから asdm location コマンドに変更されました。

使用上のガイドライン

このコマンドを手動で設定または削除しないでください。

as-path access-list

正規表現を使用して自律システムパスフィルタを設定するには、グローバルコンフィギュレーションモードで as-path access-list コマンドを使用します。自律システムパスフィルタを削除し、これを実行コンフィギュレーションファイルから削除するには、このコマンドの no 形式を使用します。

as-path access-list acl-name { permit | deny } regexp

no as-path access-list acl-name

構文の説明

acl-name

AS パスアクセスリストを指定する名前。

permit

一致条件に基づいてアドバタイズメントを許可します。

deny

一致条件に基づいてアドバタイズメントを拒否します。

regexp

AS パスフィルタを定義する正規表現。自律システム番号は 1 ～ 65535 の範囲で表します。

自律システム番号の形式の詳細については、router bgp コマンドの説明を参照してください。

（注）

正規表現の設定の詳細については、『Cisco IOS Terminal Services Configuration Guide』の付録「Regular Expressions」を参照してください。

コマンドデフォルト

自律システムパスフィルタは作成されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.2(1)	このコマンドが追加されました。

使用上のガイドライン

自律システムパスフィルタを設定するには、as-path access-list コマンドを使用します。着信と発信の両方の BGP パスに自律システムパスフィルタを適用できます。各フィルタは正規表現で定義されます。正規表現が、ルートの自律システムパスの ASCII ストリング表現と一致した場合、許可または拒否の条件が適用されます。自律システムパスにはローカル自律システム番号を含めないでください。

シスコが採用している 4 バイト自律システム番号は、自律システム番号の正規表現のマッチングおよび出力表示形式のデフォルトとして asplain（たとえば、65538）を使用していますが、RFC 5396 に記載されているとおり、4 バイト自律システム番号を asplain 形式および asdot 形式の両方で設定できます。4 バイト自律システム番号の正規表現マッチングと出力表示のデフォルトを asdot 形式に変更するには、bgp asnotation dot コマンドを使用します。デフォルトで asdot 形式がイネーブルにされている場合、正規表現の 4 バイト自律システム番号のマッチングには、すべて asdot 形式を使用する必要があり、使用しない場合正規表現によるマッチングは失敗します。

例

次の例では、自律システムパスアクセスリスト（番号 500）を定義し、自律システム 65535 から、またはこの自律システムを経由して、10.20.2.2 ネイバーにパスをアドバタイズしないように ASA を設定しています。


ciscoasa(config)# as-path access-list as-path-acl deny _65535_
ciscoasa(config)# as-path access-list as-path-acl deny ^65535$
ciscoasa(config)# router bgp 5000
ciscoasa(config-router)# address-fmaily ipv4
ciscoasa(config-router-af)# neighbor 192.168.1.1 remote-as 65535
ciscoasa(config-router-af)# neighbor 10.20.2.2 remote-as 40000
ciscoasa(config-router-af)# neighbor 10.20.2.2 filter-list as-path-acl out

asp load-balance per-packet

マルチコア ASA の場合、ロードバランシングの動作をパケット単位に変更するには、グローバルコンフィギュレーションモードで asp load-balance per-packet コマンドを使用します。デフォルトのロードバランシングメカニズムを復元するには、このコマンドの no 形式を使用します。

asp load-balance per-packet [ auto ]

no asp load-balance per-packet

構文の説明


auto	ネットワークの状況に応じて、各インターフェイスの受信リングでパケット単位のロードバランシングを自動的に有効または無効にします。

コマンドデフォルト

パケット単位のロードバランシングはデフォルトで無効になっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.1(1)	このコマンドが追加されました。
9.3(1)	auto オプションが追加されました。
9.8(1)	auto オプションが ASA 仮想に対して使用可能になりました。

使用上のガイドライン

ロードバランサのジョブは、パケットを CPU コアに配布し、パケットの順序を維持することです。デフォルトでは、接続は一度に 1 つのコアでしか処理できません。この動作により、使用中のインターフェイス/RX リングの数がコアの数に比べて少ない場合、コアは十分に活用されません。たとえば、ASA で 2 つのギガビットイーサネットインターフェイスしか使用されていない場合は、2 つのコアだけが使用されます。（10 ギガビットイーサネットインターフェイスには 4 つの RX リングと、1 つの RX リングとしてギガビットイーサネットインターフェイスがあります）。パケット単位のロードバランシングを有効にして、より多くのコアを使用できるようにすることで、ロードバランサを最適化することができます。

デフォルトのロードバランシング動作では、多数のインターフェイスが使用されている場合にシステム全体のパフォーマンスが最適化され、パケット単位のロードバランサでは、アクティブなインターフェイスの数が少ない場合にシステム全体のパフォーマンスが最適化されます。

パケット単位のロードバランシングを有効にすると、1 つのコアがインターフェイスからのパケットを処理する場合に、別のコアが同じインターフェイスからの次のパケットを受信して処理できます。したがって、すべてのコアが同じインターフェイスからのパケットを同時に処理することが可能です。

パケット単位のロードバランシングにより、次の場合にパフォーマンスが向上します。

システムがパケットをドロップする
show cpu コマンドで、CPU 使用率が 100% を大きく下回っていることが示されている。CPU 使用率は、使用されているコアの数を示す良い指標です。たとえば、8 コアシステムで、2 つのコアが使用されている場合、show cpu は 25% を示します。4 コアの場合は 50%、6 コアの場合は 75% を示します。
使用中のインターフェイスの数が少ない

（注）

通常、ASA に 64 未満の同時フローがある場合、パケット単位のロードバランシングを有効にすると、そのメリットよりもオーバーヘッドが大きくなります。

auto オプションを指定すると、ASA は非対称トラフィックが追加されたかどうかを検出できます。ロードバランシングが必要な場合、インターフェイス受信リングとコアとの 1 対 1 のロックは解放されます。パケット単位のロードバランシングは、すべてのインターフェイス受信リングではなく、高負荷のインターフェイス受信リングでのみ有効になります。この適応型ロードバランスメカニズムは、次の問題の回避に役立ちます。

フロー上での突発的なトラフィックの増加によって発生するオーバーラン
特定のインターフェイス受信リングをオーバーサブスクライブするバルクフローによるオーバーラン
比較的高過負荷のインターフェイス受信リングによるオーバーラン（シングルコアでは負荷を維持できません）

auto オプションは、9.7 以前の ASA 仮想では使用できません。

例

次に、デフォルトのロードバランシング動作を変更する例を示します。


ciscoasa(config)# asp load-balance per-packet

次に、パケットごとのロードバランシングのオンとオフの自動切り替えをイネーブルにする例を示します。


ciscoasa(config)# asp load-balance per-packet auto

asp rule-engine compile-offload

asp rule-engine compile-offload コマンドを使用して、ルールエンジンのコンパイルオフロード機能を有効または無効にします。

asp rule-engine compile-offload [ threshold rule-threshold ]

no asp rule-engine compile-offload [ threshold rule-threshold ]

構文の説明


threshold`rule-threshold`	コンパイルをオフロードするルール更新しきい値（1 ～ 1000000）。デフォルトは 100 です。

コマンドデフォルト

このコマンドは、デフォルトでイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.20(1)	このコマンドが導入されました。

使用上のガイドライン

有効にすると、tmatch オブジェクトルールの更新回数がしきい値より大きい場合、tmatch コンパイルはコントロールプレーンからデータパスにオフロードされます。これにより、コントロールプレーンで他のタスクを実行する時間が長くなります。オフロードされたコンパイルは、ACL、NAT、VPN などのルールベースのポリシーに使用されます。

コンパイルをオフロードするための固定オーバーヘッドがあるため、デフォルトのしきい値 100 を増やすことでパフォーマンスを調整できます。ほとんどの場合、デフォルトのしきい値で問題なく動作します。

例

次に、しきい値を 1000 に増やす例を示します。


ciscoasa(config)# asp rule-engine compile-offload threshold 1000

asp rule-engine transactional-commit

ルールエンジンのトランザクションコミットモデルを有効または無効にするには、asp rule-engine transactional-commit コマンドを使用します。

asp rule-engine transactional-commit option

no asp rule-engine transactional-commit option

構文の説明


`option`	選択したポリシー用のルールエンジンのトランザクションコミットモデルをイネーブルにします。次のオプションがあります。 access-group ：グローバルに、またはインターフェイスに適用されるアクセスルール。 nat ：ネットワークアドレス変換ルール。

コマンドデフォルト

デフォルトでは、トランザクションコミットモデルはディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.1(5)	このコマンドが追加されました。
9.3(1)	nat キーワードが追加されました。

使用上のガイドライン

デフォルトでは、ルールベースのポリシー（アクセスルールなど）を変更した場合、変更はただちに有効になります。ただし、この即時性にはパフォーマンスにわずかなコストがかかります。パフォーマンスコストは、1 秒あたりの接続数が多い環境で大量のルールリストがある場合に顕著です。たとえば、ASA が 1 秒あたり 18,000 個の接続を処理しながら、25,000 個のルールがあるポリシーを変更する場合などです。

パフォーマンスに影響するのは、ルール検索を高速化するためにルールエンジンがルールをコンパイルするためです。デフォルトでは、新しいルールを適用できるように、接続試行を評価するときに未コンパイルのルールも検索されます。新しいルールはコンパイルされていないため、検索に時間がかかります。

ルール変更を実装するときにルールエンジンがトランザクションモデルを使用するように、この動作を変更できます。これにより、新しいルールがコンパイルされ、使用できるようになるまで、引き続き古いルールが使用されます。トランザクションモデルを使用すると、ルールのコンパイル中、パフォーマンスは低下しないはずです。次の表は、その動作の違いを明確にします。


モデル	コンパイル前	コンパイル中	コンパイル後
デフォルト	古いルールと照合します。	新しいルールと照合します。（接続数/秒が削減されます）	新しいルールと照合します。
トランザクション	古いルールと照合します。	古いルールと照合します。（接続数/秒は影響を受けません）	新しいルールと照合します。

トランザクションモデルのメリットにはこのほか、インターフェイスで ACL を置き換える際、古い ACL の削除と新しいポリシーの適用との間にギャップが生じないことがあります。これにより、動作中に許容可能な接続がドロップされる確率が減少します。

ヒント

ルールタイプのトランザクションモデルをイネーブルにした場合、コンパイルの先頭と末尾をマークする syslog メッセージが存在します。これらのメッセージには、780001 以降の番号が付けられます。

例

次に、アクセスグループのトランザクションコミットモデルをイネーブルにする例を示します。


ciscoasa(config)# asp rule-engine transactional-commit access-group

asr-group

非対称ルーティングインターフェイスグループ ID を指定するには、インターフェイスコンフィギュレーションモードで asr-group コマンドを使用します。ID を削除するには、このコマンドの no 形式を使用します。

asr-group group_id

no asr-group group_id

構文の説明


`group_id`	非対称ルーティンググループ ID。有効な値は、1 ～ 32 です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	対応	—	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

Active/Active フェールオーバーがイネーブルの場合、ロードバランシングにより、発信接続のリターントラフィックがピアユニット上のアクティブなコンテキストを介してルーティングされることがあります。このピアユニットでは、発信接続のコンテキストはスタンバイグループ内にあります。

asr-group コマンドを使用すると、着信インターフェイスのフローが見つからない場合に、着信パケットが同じ ASR グループのインターフェイスで再分類されます。再分類により別のインターフェイスのフローが見つかり、関連付けられているコンテキストがスタンバイ状態の場合、パケットは処理のためにアクティブなユニットに転送されます。

このコマンドを有効にするには、ステートフルフェールオーバーをイネーブルにする必要があります。

ASR 統計情報は、show interface detail コマンドを使用して表示できます。この統計情報には、インターフェイス上で送信、受信、およびドロップされた ASR パケットの数が含まれます。

（注）

同じコンテキスト内の 2 個のインターフェイスを、同じ ASR グループ内で設定してはなりません。

例

次に、選択したインターフェイスを非対称ルーティンググループ 1 に割り当てる例を示します。

コンテキスト ctx1 のコンフィギュレーション：


ciscoasa/ctx1(config)# interface Ethernet2
ciscoasa/ctx1(config-if)# nameif outside
ciscoasa/ctx1(config-if)# ip address 192.168.1.11 255.255.255.0 standby 192.168.1.21
ciscoasa/ctx1(config-if)# asr-group 1

コンテキスト ctx2 のコンフィギュレーション：


ciscoasa/ctx2(config)# interface Ethernet3
ciscoasa/ctx2(config-if)# nameif outside
ciscoasa/ctx2(config-if)# ip address 192.168.1.31 255.255.255.0 standby 192.168.1.41
ciscoasa/ctx2(config-if)# asr-group 1

assertion-consumer-url（廃止）

（注）

このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。

セキュリティデバイスがアサーションコンシューマサービスに接続するためにアクセスする URL を指定するには、webvpn コンフィギュレーションモードで、特定の SAML-type SSO サーバーに対して assertion-consumer-url コマンドを使用します。この URL をアサーションから削除するには、このコマンドの no 形式を使用します。

assertion-consumer-url url

no assertion-consumer-url [ url ]

構文の説明


`url`	SAML-type SSO サーバーで使用するアサーションコンシューマサービスの URL を指定します。URL は http:// または https:// で始まり、255 文字未満の英数字である必要があります。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.5(2)	このコマンドは、SAML 2.0 のサポートの導入に伴って廃止されました。

使用上のガイドライン

シングルサインオン（SSO）は、WebVPN でのみサポートされています。これにより、ユーザーはユーザー名とパスワードを一度だけ入力すれば、別のサーバーでさまざまなセキュアなサービスにアクセスできます。ASA は現在、SAML POST-type の SSO サーバーと SiteMinder-type の SSO サーバーをサポートしています。

このコマンドは、SAML-type の SSO サーバーのみに適用されます。

URL が HTTPS で始まる場合は、アサーションコンシューマサービス SSL 証明書のルート証明書をインストールする必要があります。

例

次に、SAML-type の SSO サーバーのアサーションコンシューマ URL を指定する例を示します。


ciscoasa(config-webvpn)# sso server myhostname type saml-v1.1-post
ciscoasa(config-webvpn-sso-saml# assertion-consumer-url https://saml-server/postconsumer
ciscoasa(config-webvpn-sso-saml#

attribute bind

属性ベースのネットワークオブジェクトの IP-to-attribute バインディングを変更するには、EXEC モードで attribute bind コマンドを使用します。

attribute bind agent-name binding ip-address type attribute-type value attribute-value

構文の説明


`agent-name`	属性をモニターする VM 属性エージェントの名前を指定します。
`ip-address`	管理対象の属性ベースのネットワークオブジェクトの IP アドレスを指定します。
`attribute-type`	更新する属性タイプを識別する文字列を指定します。
`attribute-value`	属性タイプに割り当てる新しい値を識別する文字列を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC モード	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

例

次に、SAML-type の SSO サーバーのアサーションコンシューマ URL を指定する例を示します。


ciscoasa(config)# attribute bind VMAgent binding 10.10.1.19 type custom.location value global

attribute source-group

VMware vCenter または単一の ESXi ホストと通信するように VM 属性エージェントを設定するには、EXEC モードで attribute source-group コマンドを使用します。エージェントを削除するには、このコマンドの no 形式を使用します。

attribute source-group agent-name type agent-type

no attribute source-group agent-name

構文の説明


`agent-name`	VM 属性エージェントの名前を指定します。
`agent-type`	属性エージェントのタイプを指定します。現在、サポートされるエージェントタイプは ESXi のみです。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC モード	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

例

次に、VM 属性エージェントを設定する例を示します。


ciscoasa(config)# attribute source-group VMAgent type esxi

attribute source-group host

VM 属性エージェントが vCenter または単一の ESXi ホストと通信できるように VMware vCenter ホストクレデンシャルを設定するには、属性エージェントコンフィギュレーションモードで attribute source-group host コマンドを使用します。ホストクレデンシャルを削除するには、このコマンドの no 形式を使用します。

host ip-address username ESXi-username password ESXi-password

no host ip-address

構文の説明


`ip-address`	VM 属性エージェントの名前を指定します。
`ESXi-username`	vCenter ホストのユーザー名を指定します。
`ESXi-password`	vCenter ホストのパスワードを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
属性エージェントコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

使用上のガイドライン

属性エージェントを設定または変更した後に、このコマンドを使用します。

例

次に、属性エージェントにホストクレデンシャルを設定する例を示します。


ciscoasa(config)# attribute source-group VMAgent
ciscoasa(config-attr)# host 10.122.202.217 user admin password Cisco123

attribute source-group keepalive

VMware vCenter 通信のキープアライブ設定を構成するには、属性エージェントコンフィギュレーションモードで attribute source-group keepalive コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

keepalive retry-interval interval retry-count count

no keepalive

構文の説明


`interval`	属性エージェントから vCenter へのキープアライブメッセージの間隔を指定します。キープアライブメッセージが送信元からの応答を受信するたびに、エージェントは送信元との接続が有効になっているとみなされ、そのエージェントのキープアライブタイマーが再起動されます。デフォルトは 30 秒です。
`count`	キープアライブメッセージが受信されなかった場合の再試行回数を指定します。タイマーがキープアライブを受信せずに期限切れになるたびに、そのエージェントの再試行回数が増分されます。再試行回数が設定されたしきい値に達すると、エージェントは送信元との接触が失われたことを宣言します。デフォルトは 3 です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
属性エージェントコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

使用上のガイドライン

属性エージェントを設定または変更した後に、このコマンドを使用します。

例

次に、SAML-type の SSO サーバーのアサーションコンシューマ URL を指定する例を示します。


ciscoasa(config)# attribute source-group VMAgent
ciscoasa(config-attr)# keepalive retry-timer 100 retry-count 5

attributes

ASA が DAP 属性データベースに書き込む属性値ペアを指定するには、DAP テスト属性モードで attributes コマンドを使用します。

attributes name value

構文の説明


name	ウェルノウン属性名、または「label」タグを組み込む属性を指定します。label タグは、DAP レコード内のファイル、レジストリ、プロセス、アンチウイルス、アンチスパイウェア、およびパーソナルファイアウォールのエンドポイント属性に対して設定するエンドポイント ID に対応します。
value	AAA 属性に割り当てられた値。

コマンドデフォルト

デフォルトの値や動作はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
DAP 属性コンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

複数の属性値ペアを入力するには、このコマンドを複数回使用します。

通常、ASA は AAA サーバーからユーザー認可属性を取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント属性を取得します。test コマンドの場合、ユーザー認可属性とエンドポイント属性をこの属性モードで指定します。ASA は、これらの属性を、DAP サブシステムが DAP レコードの AAA 選択属性およびエンドポイント選択属性を評価するときに参照する属性データベースに書き込みます。

例

次の例では、認証されたユーザーが SAP グループのメンバーで、エンドポイントシステムにアンチウイルスソフトウェアがインストールされている場合に、ASA が 2 つの DAP レコードを選択することを前提としています。アンチウイルスソフトウェアのエンドポイントルールのエンドポイント ID は nav です。

DAP レコードには、次のポリシー属性があります。


DAP レコード 1	DAP レコード 2
action = continue	action = continue
port-forward = enable hostlist1	url-list = links2
—	url-entry = enable


ciscoasa
 # 
test dynamic-access-policy attributes
ciscoasa
(config-dap-test-attr)# 
attributes aaa.ldap.memberof SAP
ciscoasa
(config-dap-test-attr)#
 attributes endpoint.av.nav.exists true
ciscoasa
(config-dap-test-attr)# 
exit
ciscoasa
 # 
test dynamic-access-policy execute
Policy Attributes:
action = continue
port-forward = enable hostlist1
url-list = links2
url-entry = enable
ciscoasa
 #

auth-cookie-name

認証クッキーの名前を指定するには、AAA サーバーホストコンフィギュレーションモードで auth-cookie-name コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。

auth-cookie-name

構文の説明


`name`	認証クッキーの名前。名前の最大の長さは 128 文字です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
AAA サーバーホストコンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。

使用上のガイドライン

ASA の WebVPN サーバーは、シングルサインオン（SSO）サーバーにシングルサインオン認証要求を送信することに HTTP POST 要求を使用します。認証が成功すると、認証 Web サーバーは、認証クッキーをクライアントブラウザに戻します。クライアントブラウザは、その認証クッキーを提示して、SSO ドメイン内の他の Web サーバーの認証を受けます。auth-cookie-name コマンドは、 ASA によって SSO に使用される認証クッキーの名前を設定します。

一般的な認証クッキーの形式は、Set-Cookie: cookie name=cookie value [;cookie attributes] です。次の認証クッキーの例では、SMSESSION が auth-cookie-name コマンドで設定される名前です。


Set-Cookie:
SMSESSION=yN4Yp5hHVNDgs4FT8dn7+Rwev41hsE49XlKc+1twie0gqnjbhkTkUnR8XWP3hvDH6PZPbHIHtWLDKTa8ngDB/lbYTjIxrbDx8WPWwaG3CxVa3adOxHFR8yjD55GevK3ZF4ujgU1lhO6fta0dSSOSepWvnsCb7IFxCw+MGiw0o88uHa2t4l+SillqfJvcpuXfiIAO06D/dapWriHjNoi4llJOgCst33wEhxFxcWy2UWxs4EZSjsI5GyBnefSQTPVfma5dc/emWor9vWr0HnTQaHP5rg5dTNqunkDEdMIHfbeP3F90cZejVzihM6igiS6P/CEJAjE;Domain=.example.com;Path=/

例

次に、example.com という名前の Web サーバーから受信した認証クッキーに認証クッキー名 SMSESSION を指定する例を示します。


ciscoasa(config)# aaa-server testgrp1 host example.com
ciscoasa(config-aaa-server-host)# auth-cookie-name SMSESSION
ciscoasa(config-aaa-server-host)#

authenticated-session-username

二重認証がイネーブルになっている場合に、セッションに関連付ける認証ユーザー名を指定するには、トンネルグループ一般属性モードで authenticated-session-username コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

authenticated-session-username { primary | secondary }

no authenticated-session-username

構文の説明


primary	プライマリ認証サーバーからのユーザー名を使用します。
secondary	セカンダリ認証サーバーからのユーザー名を使用します。

コマンドデフォルト

デフォルト値は primary です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.2(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authenticated-session-username コマンドは、ASA がセッションに関連付けるユーザー名を抽出する認証サーバーを選択します。

例

次に、グローバルコンフィギュレーションモードで、remotegrp という名前の IPsec リモートアクセストンネルグループを作成し、接続にセカンダリ認証サーバーからのユーザー名を使用することを指定する例を示します。


ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-webvpn)# authenticated-session-username secondary
ciscoasa(config-tunnel-webvpn)#

authentication（bfd-template）

シングルホップおよびマルチホップセッション用の BFD テンプレートで認証を設定するには、BFD コンフィギュレーションモードで authentication コマンドを使用します。シングルホップまたはマルチホップセッション用の BFD テンプレートで認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication authentication-type [ 0|8 ] key-string key-id id

構文の説明


authentication-type	認証タイプを指定します。有効な値は md5 、meticulous-md5 、meticulous-sha-1 、および sha-1 です。
0\|8	0：暗号化されていないパスワードが後に続くことを示します。8：暗号化されたパスワードが後に続くことを示します。
key-string	認証されるルーティングプロトコルを使用してパケットで送信および受信される必要のある認証文字列を指定します。有効な範囲は、1 ～ 17 文字の大文字と小文字の英数字です。ただし、最初の文字は数字にはできません。
id	キー文字列に一致する共有キー ID を指定します。

コマンドデフォルト

このコマンドにデフォルトの動作または値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
BFD コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(2)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、BFD シングルホップおよびマルチホップテンプレートで認証を設定するために使用します。セキュリティを強化するために認証を設定することをお勧めします。

認証は、BFD の送信元と宛先のペアごとに設定する必要があり、認証パラメータは両方のデバイスで同じである必要があります。

例

次に、シングルホップ BFD テンプレートで認証を設定する例を示します。


ciscoasa(config)# bfd single-hop sh-template
ciscoasa(config-bfd)# authentication sha-1 0 cisco key-id 10

次に、マルチホップ BFD テンプレートで認証を設定する例を示します。


ciscoasa(config)# bfd multi-hop mh-template
ciscoasa(config-bfd)# authentication shat-1 0 cisco key-id 10

authentication

WebVPN と電子メールプロキシの認証方式を設定するには、各モードで authentication コマンドを使用します。デフォルトの方式に戻すには、このコマンドの no 形式を使用します。ASA は、ユーザーを認証してユーザー ID を確認します。

authentication [ { [ aaa ] [ certificate ] [ multiple certificate ] [ saml ] [ mailhost ] [ piggyback ] }

no authentication [ [ aaa ] [ certificate ] [ multiple certificate ] [ saml ] [ mailhost ] [ piggyback ]

構文の説明


aaa	ASA が設定済みの AAA サーバーと照合するユーザー名およびパスワードを指定します。
certificate	SSL ネゴシエーション時の証明書を指定します。
mailhost	SMTPS の場合のみ、リモートメールサーバーで認証します。IMAP4S および POP3S の場合、メールホスト認証は必須であり、設定可能なオプションとして表示されません。
multiple certificate	SSL ネゴシエーション時の複数証明書オプションを指定します。
piggyback	HTTPS WebVPN セッションがすでに存在している必要があります。ピギーバック認証は、電子メールプロキシでのみ使用できます。
saml	SAML 認証方式は相互に排他的です。

コマンドデフォルト

次の表に、WebVPN および電子メールプロキシのデフォルトの認証方式を示します。


プロトコル	デフォルトの認証方式
IMAP4S	メールホスト（必須）
POP3S	メールホスト（必須）
SMTPS	AAA
WebVPN	AAA

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Imap4s コンフィギュレーション	対応	—	対応	—	—
Pop3s コンフィギュレーション	対応	—	対応	—	—
smtps コンフィギュレーション	対応	—	対応	—	—
webvpn コンフィギュレーション	対応	—	対応
トンネルグループ webvpn コンフィギュレーション	対応	—	対応

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
7.1(1)	このコマンドは、webvpn コンフィギュレーションモードでは廃止され、WebVPN 用のトンネルグループ webvpn 属性コンフィギュレーションモードに置き換えられました。
8.0(2)	このコマンドは、証明書認証要件の変更を反映するように変更されました。
9.5(2)	このコマンドは、SAML 2.0 のサポートを反映して変更されました。
9.7(1)	既存の認証属性は、複数証明書認証のオプションを含めるように変更されます。

使用上のガイドライン

少なくとも 1 つの認証方式が必要です。たとえば、WebVPN の場合、AAA 認証と証明書認証のいずれか一方または両方を指定できます。任意の順序でこれらのコマンドを入力できます。

WebVPN 証明書認証では、それぞれのインターフェイスに対して HTTPS ユーザー証明書を要求する必要があります。つまり、この選択が機能するには、証明書認証を指定する前に、authentication-certificate コマンドでインターフェイスを指定しておく必要があります。

このコマンドを webvpn コンフィギュレーションモードで入力すると、トンネルグループ webvpn 属性コンフィギュレーションモードの同等のコマンドに変換されます。

WebVPN の場合、AAA 認証と証明書認証の両方を要求できます。この場合、ユーザーは証明書とユーザー名/パスワードの両方を指定する必要があります。電子メールプロキシ認証の場合、複数の認証方式を要求できます。このコマンドを再び指定すると、現在のコンフィギュレーションが上書きされます。

例

次に、WebVPN ユーザーに認証のための証明書を要求する例を示します。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# authentication certificate

例

次に、WebVPN ユーザーに認証のための証明書を要求する例を示します。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# authentication certificate

authentication eap-proxy

L2TP over IPsec 接続に対して EAP をイネーブルにし、ASA が PPP 認証プロセスを外部の RADIUS 認証サーバーにプロキシできるようにするには、トンネルグループ ppp 属性コンフィギュレーションモードで authentication eap-proxy コマンドを使用します。コマンドをデフォルト設定に戻すには（CHAP および MS-CHAP を許可）、このコマンドの no 形式を使用します。

authentication eap-proxy

no authentication eap-proxy

構文の説明

このコマンドにはキーワードまたは引数はありません。

コマンドデフォルト

デフォルトでは、EAP は認証プロトコルとして許可されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ PPP 属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

この属性は、L2TP または IPsec トンネルグループタイプのみに適用できます。

例

次に、設定 ppp コンフィギュレーションモードで、pppremotegrp という名前のトンネルグループの PPP 接続に対して EAP を許可する例を示します。


ciscoasa(config)# tunnel-group pppremotegrp type IPSec/IPSec
ciscoasa(config)# tunnel-group pppremotegrp ppp-attributes
ciscoasa(config-ppp)# authentication eap
ciscoasa(config-ppp)#

authentication key

IS-IS での認証をイネーブルにするには、ルータ ISIS コンフィギュレーションモードで authentication key コマンドを使用します。このような認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication key [ 0 | 8 ] password [ level-1 | level-2 ]

no authentication key [ 0 | 8 ] password [ level-1 | level-2 ]

構文の説明


`password`	認証をイネーブルにし、キーを指定します。
level-1	（任意）レベル 1 パケットについてだけ認証をイネーブルにします。
level-2	（任意）レベル 2 パケットについてだけ認証をイネーブルにします。

コマンドデフォルト

ルータレベルでは、IS-IS パケットにキー認証は適用されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(1)	このコマンドが追加されました。

使用上のガイドライン

key コマンドで設定されたパスワードが存在しない場合、キー認証は行われません。

キー認証は、クリアテキスト認証または MD5 認証に適用できます。モードは authentication mode コマンドで設定されます。

IS-IS に一度に適用できる認証キーは 1 つだけです。つまり、2 番めの authentication key コマンドを設定すると、最初のコマンドは上書きされます。

キーワード level-1 および level-2 のいずれも設定されていない場合、パスワードは両方のレベルに適用されます。

isis authentication key コマンドを使用することにより、個々の IS-IS インターフェイスに認証を指定できます。

（注）

IS-IS では、authentication key-chain コマンドを使用してグローバルに設定されたキーチェーンの有効期限を選択します。ASA のキーチェーンインフラストラクチャが存在しないため、このコマンドとともにキーを提供します。

例

次に、site1 という名前のキーチェーンに属する任意のキーを受け入れ、送信するように IS-IS を設定する例を示します。


ciscoasa(config)# router isis
ciscoasa(config-router)# net 49.0000.0101.0101.0101.00
ciscoasa(config-router)# is-type level-1
ciscoasa(config-router)# authentication mode md5 level-1
ciscoasa(config-router)# authentication key 0 site1 level-1

authentication key eigrp

EIGRP パケットの認証をイネーブルにし、認証キーを指定するには、インターフェイスコンフィギュレーションモードで authentication key eigrp コマンドを使用します。EIGRP 認証をディセーブルにするには、このコマンドの no 形式を使用します。

authentication key eigrp as-number key key-id key-id

no authentication key eigrp as-number

構文の説明


`as-number`	認証する EIGRP プロセスの自律システム番号。これは、EIGRP ルーティングプロセスに設定されている値と同じにする必要があります。
`key`	EIGRP 更新を認証するキー。このキーには、最大 16 文字を含めることができます。
key-id key-id	キー ID 値。有効な値の範囲は 1 ～ 255 です。

コマンドデフォルト

EIGRP 認証はディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
インターフェイスコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。
9.0(1)	マルチコンテキストモードはサポートされます。

使用上のガイドライン

EIGRP メッセージ認証をイネーブルにするには、authentication mode eigrp および authentication key eigrp コマンドの両方をインターフェイスに設定する必要があります。インターフェイスに設定された authentication コマンドを表示するには、show running-config interface コマンドを使用します。

例

次に、インターフェイス GigabitEthernet0/3 に設定された EIGRP 認証の例を示します。


ciscoasa(config)# interface Gigabit0/3
ciscoasa(config-if)# authentication mode eigrp md5
ciscoasa(config-if)# authentication key eigrp 100 thisismykey key_id 5

authentication mode

IS-IS インスタンスに対する IS-IS パケットで使用される認証のタイプを指定するには、ルータ ISIS コンフィギュレーションモードで authentication mode コマンドを使用します。クリアテキスト認証に戻すには、このコマンドの no 形式を使用します。

authentication mode { md5 | text } [ level-1 | level-2 ]

no authentication mode

構文の説明


md5	Message Digest 5（MD5）認証。
text	平文認証
level-1	（任意）レベル 1 パケットについてだけ、指定された認証をイネーブルにします。
level-2	（任意）レベル 2 パケットについてだけ、指定された認証をイネーブルにします。

コマンドデフォルト

クリアテキスト（プレーンテキスト）認証は area-password コマンドや domain-password コマンドなど、その他の方法でも設定できますが、このコマンドを使用すると、ルータレベルでは IS-IS パケットに対する認証は提供されません。

コマンドモード


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

使用上のガイドライン

キーワード level-1 および level-2 のいずれも設定されていない場合、パスワードは両方のレベルに適用されます。

isis authentication mode コマンドを使用することにより、認証のタイプとそのタイプが 1 つの IS-IS インターフェイスに対して（IS-IS インスタンス単位ではなく）適用されるレベルを指定できます。

area-password または domain-password コマンドを使用してクリアテキスト認証が設定されている場合、これらのコマンドよりも authentication mode コマンドが優先されます。

authentication mode コマンドを設定した後で、area-password または domain-password コマンドを設定しようとしてもできません。area-password または domain-password コマンドを使用してクリアテキスト認証を設定しなければならない場合は、まず、no authentication mode コマンドを使用する必要があります。

例

次に、レベル 1 パケットに対する IS-IS インスタンスの MD5 認証を設定する例を示します。


ciscoasa(config)# router isis
ciscoasa(config-router)# net 49.0000.0101.0101.0101.00
ciscoasa(config-router)# is-type level-1
ciscoasa(config-router)# authentication mode md5 level-1
ciscoasa(config-router)# authentication key 0 site1 level-1

authentication ms-chap-v1

L2TP over IPsec 接続に対して PPP の Microsoft CHAP Version 1 認証をイネーブルにするには、トンネルグループ ppp 属性コンフィギュレーションモードで authentication ms-chap-v1 コマンドを使用します。コマンドをデフォルト設定に戻すには（CHAP および MS-CHAP を許可）、このコマンドの no 形式を使用します。Microsoft CHAP Version 1 をディセーブルにするには、このコマンドの no 形式を使用します。

authentication ms-chap-v1

no authentication ms-chap-v1

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ PPP 属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

この属性は、L2TP または IPsec トンネルグループタイプのみに適用できます。このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキストパスワードではなく、暗号化されたパスワードのみをサーバーが格納して比較するために、よりセキュアです。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。

authentication ms-chap-v2

L2TP over IPsec 接続に対して PPP の Microsoft CHAP Version 2 認証をイネーブルにするには、トンネルグループ ppp 属性コンフィギュレーションモードで authentication ms-chap-v1 コマンドを使用します。コマンドをデフォルト設定に戻すには（CHAP および MS-CHAP を許可）、このコマンドの no 形式を使用します。

authentication ms-chap-v2

no authentication ms-chap-v2

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ PPP 属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

この属性は、L2TP または IPsec トンネルグループタイプのみに適用できます。

このプロトコルは CHAP と類似していますが、CHAP のようなクリアテキストパスワードではなく、暗号化されたパスワードのみをサーバーが格納して比較するために、よりセキュアです。また、このプロトコルはデータ暗号化のためのキーを MPPE によって生成します。

authentication pap

L2TP over IPsec 接続に対して PPP の PAP 認証を許可するには、トンネルグループ ppp 属性コンフィギュレーションモードで authentication pap コマンドを使用します。コマンドをデフォルト設定に戻すには（CHAP および MS-CHAP を許可）、このコマンドの no 形式を使用します。

authentication pap

no authentication pap

構文の説明

このコマンドにはキーワードまたは引数はありません。

コマンドデフォルト

デフォルトでは、PAP は認証プロトコルとして許可されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ PPP 属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

この属性は、L2TP または IPsec トンネルグループタイプのみに適用できます。

このプロトコルは、認証時にクリアテキストのユーザー名とパスワードを渡すため、安全ではありません。

例

次に、設定 ppp コンフィギュレーションモードで、pppremotegrp という名前のトンネルグループの PPP 接続に対して PAP を許可する例を示します。


ciscoasa(config)# tunnel-group pppremotegrp type IPSec/IPSec
ciscoasa(config)# tunnel-group pppremotegrp ppp-attributes
ciscoasa(config-ppp)# authentication pap
ciscoasa(config-ppp)#

authentication send-only

IS-IS インスタンスについて、受信ではなく送信される IS-IS パケットに対してのみ認証が実行されるように指定するには、ルータ ISIS コンフィギュレーションモードで authentication send-only コマンドを使用します。送信および受信されるパケットに対して認証が実行されるように設定するには、このコマンドのno 形式を使用します。

authentication send-only [ level-1 | level-2 ]

no authentication send-only

構文の説明


level-1	（任意）認証は受信ではなく、送信されるレベル 1 パケットだけに実行されます。
level-2	（任意）認証は受信ではなく、送信されるレベル 2 パケットだけに実行されます。

コマンドデフォルト

認証がルータレベルで設定されている場合、その認証が送信と受信の IS-IS パケットに適用されます。

コマンドモード


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

使用上のガイドライン

このコマンドは、認証モードおよび認証キーチェーンを設定する前に使用します。これにより、認証の実装がスムーズに進むようになります。送信されるパケットだけに認証が挿入され、受信されるパケットではチェックされない場合、各ルータでキーの設定に費やせる時間が長くなります。このコマンドを使用して、通信を必要とするルータすべてを設定した後で、ルータごとに、認証モードとキーチェーンをイネーブルにします。その後、no authentication send-only コマンドを指定して、send-only 機能をディセーブルにします。

キーワード level-1 および level-2 のいずれも設定されていない場合、send-only 機能は両方のレベルに適用されます。

このコマンドは、クリアテキスト認証または MD5 認証に適用できます。モードは authentication mode コマンドで設定されます。

例

次に、受信ではなく送信されるパケットでクリアテキスト認証が使用されるように IS-IS レベル 1 パケットを設定する例を示します。


ciscoasa(config)# router isis
ciscoasa(config-router)# net 49.0000.0101.0101.0101.00
ciscoasa(config-router)# is-type level-1
ciscoasa(config-router)# authentication send-only level-1
ciscoasa(config-router)# authentication key-chain site1 level-1

authentication-attr-from-server

二重認証がイネーブルになっている場合に、接続に適用する認証サーバーの認可属性を指定するには、トンネルグループ一般属性モードで authentication-attr-from-server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

authentication-attr-from-server { primary | secondary }

no authentication-attr-from-server

構文の説明


primary	プライマリ認証サーバーを使用します。
secondary	セカンダリ認証サーバーを使用します。

コマンドデフォルト

デフォルト値は primary です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.2(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、二重認証がイネーブルになっている場合に限り有効です。 authentication-attr-from-server コマンドは、ASA が接続に適用する認可属性を抽出する認証サーバーを選択します。

例

次に、グローバルコンフィギュレーションモードで、remotegrp という名前の IPsec リモートアクセストンネルグループを作成し、接続に適用する認可属性をセカンダリ認証サーバーから入手する必要があることを指定する例を示します。


ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-webvpn)# authentication-attr-from-server secondary
ciscoasa(config-tunnel-webvpn)#

authentication-certificate

接続を確立している WebVPN クライアントから証明書を要求するには、webvpn コンフィギュレーションモードで authentication-certificate コマンドを使用します。クライアント証明書の要求をキャンセルするには、このコマンドの no 形式を使用します。

authentication-certificate interface-name

no authentication-certificate [ interface-name ]

構文の説明


`interface-name`	接続を確立するために使用するインターフェイスの名前。使用可能なインターフェイス名は、次のとおりです。 inside インターフェイス GigabitEthernet0/1 の名前 outside インターフェイス GigabitEthernet0/0 の名前

コマンドデフォルト

authentication-certificate コマンドを省略すると、クライアント証明書認証はディセーブルになります。インターフェイス名を authentication-certificate コマンドで指定しない場合、デフォルトのインターフェイス名は inside です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

このコマンドを有効にするには、WebVPN が対応するインターフェイスですでにイネーブルになっている必要があります。インターフェイスを設定して名前を付けるには、interface 、IP address 、および nameif コマンドを使用します。

このコマンドは、WebVPN クライアント接続にのみ適用されます。ただし、管理接続のクライアント証明書認証を http authentication-certificate コマンドを使用して指定することは、WebVPN をサポートしないものも含めてすべてのプラットフォームで可能です。

ASA は、PKI トラストポイントを使用して証明書を検証します。証明書が検証に合格しない場合、次のいずれかのアクションが実行されます。


条件	実行されるアクション
ASA に組み込まれているローカル CA がイネーブルでない場合。	ASA は SSL 接続を閉じます。
ローカル CA はイネーブルであるが、AAA 認証がイネーブルでない場合。	ASA は証明書を取得するために、クライアントをローカル CA の証明書登録ページにリダイレクトします。
ローカル CA と AAA 認証の両方がイネーブルの場合。	クライアントは AAA 認証ページにリダイレクトされます。設定されている場合、ローカル CA の登録ページのリンクもクライアントに表示します。

例

次に、外部インターフェイスの WebVPN ユーザー接続の証明書認証を設定する例を示します。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# authentication-certificate outside
ciscoasa(config-webvpn)#

authentication-exclude

エンドユーザーがクライアントレス SSL VPN にログインせずに設定済みリンクを参照できるようにするには、webvpn コンフィギュレーションモードで authentication-exclude コマンドを使用します。複数のサイトへのアクセスを許可するには、このコマンドを複数回使用します。

authentication-exclude url-fnmatch

構文の説明


url-fnmatch	クライアントレス SSL VPN へのログインの要件を免除するリンクを指定します。

コマンドデフォルト

ディセーブル

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

この機能は、一部の内部リソースを SSL VPN 経由で一般利用できるようにする場合に便利です。

リンクに関する情報を、SSL VPN マングリングした形式でエンドユーザーに配布する必要があります。たとえば、SSL VPN を使用してこれらのリソースを参照し、配布するリンクに関する情報に結果の URL をコピーします。

例

次に、2 つのサイトに対して認証要件を免除する例を示します。


ciscoasa
(config)#
 webvpn
ciscoasa
(config-webvpn)#
 authentication-exclude http://www.example.com/public/*
ciscoasa
(config-webvpn)# 
authentication-exclude *example.html
ciscoasa
(config-webvpn)# 
ciscoasa
 #

authentication-port

特定のホストの RADIUS 認証に使用するポート番号を指定するには、AAA サーバーホストコンフィギュレーションモードで authentication-port コマンドを使用します。認証ポートの指定を削除するには、このコマンドの no 形式を使用します。

authentication-port port

no authentication-port

構文の説明


`port`	RADIUS 認証用のポート番号（1 ～ 65535）。

コマンドデフォルト

デフォルトでは、デバイスはポート 1645 で RADIUS をリッスンします（RFC 2058 に準拠）。ポートが指定されていない場合、RADIUS 認証のデフォルトポート番号 1645 が使用されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
AAA サーバーホストコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドのセマンティックが変更され、RADIUS サーバーを含むサーバーグループでホストごとにサーバーポートを指定できるようになりました。

使用上のガイドライン

このコマンドは、認証機能の割り当て先となるリモート RADIUS サーバーホストの宛先 TCP/UDP ポート番号を指定します。RADIUS 認証サーバーで 1645 以外のポートが使用されている場合は、aaa-server コマンドで RADIUS サービスを開始する前に、適切なポートを ASA に設定する必要があります。

このコマンドは、RADIUS 用に設定されているサーバーグループに限り有効です。

例

次に、ホスト「1.2.3.4」に「srvgrp1」という RADIUS AAA サーバーを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、さらに認証ポートを 1650 に設定する例を示します。


ciscoasa
(config)# aaa-server svrgrp1 protocol radius
ciscoasa
(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa
(config-aaa-server-host)# timeout 9
ciscoasa
(config-aaa-server-host)# retry-interval 7
ciscoasa
(config-aaa-server-host)# 
authentication-port 1650
ciscoasa
(config-aaa-server-host)# 
exit
ciscoasa
(config)#

authentication-server-group（imap4s、pop3s、smtps）（廃止）

（注）

このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。

電子メールプロキシに使用する認証サーバーのセットを指定するには、各モードで authentication-server-group コマンドを使用します。認証サーバーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authentication-server-group group_tag

no authentication-server-group

構文の説明


group_tag	事前に設定済みの認証サーバーまたはサーバーグループを指定します。

コマンドデフォルト

デフォルトでは、認証サーバーは設定されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Imap4s コンフィギュレーション	対応	—	対応	—	—
Pop3s コンフィギュレーション	対応	—	対応	—	—
smtps コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
9.5(2)	このコマンドは廃止されました。

使用上のガイドライン

ASA は、ユーザーを認証してユーザー ID を確認します。

AAA 認証を設定する場合は、この属性も設定する必要があります。設定しないと、認証は常に失敗します。

認証サーバーを設定するには、aaa-server コマンドを使用します。

例

次に、「IMAP4SSVRS」という名前の認証サーバーのセットを使用するように IMAP4S 電子メールプロキシを設定する例を示します。


ciscoasa
(config)#
 imap4s
ciscoasa(config-imap4s)# authentication-server-group IMAP4SSVRS

authentication-server-group（トンネルグループ一般属性）

トンネルグループでユーザー認証に使用する AAA サーバーグループを指定するには、トンネルグループ一般属性コンフィギュレーションモードで authentication-server-group コマンドを使用します。この属性をデフォルトに戻すには、このコマンドの no 形式を使用します。

authentication-server-group [( interface_name )] server_group [ LOCAL ]

authentication-server-group [( interface_name )] server_group

構文の説明


interface_name	（オプション）IPsec トンネルが終端するインターフェイスを指定します。
LOCAL	（オプション）通信障害によりサーバーグループにあるすべてのサーバーが非アクティブになった場合に、ローカルユーザーデータベースを使用した認証を要求します。
`server_group`	事前に設定済みの認証サーバーまたはサーバーグループを指定します。

コマンドデフォルト

このコマンドのサーバーグループのデフォルト設定は LOCAL です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.1(1)	このコマンドは、webvpn コンフィギュレーションモードでは廃止され、トンネルグループ一般属性コンフィギュレーションモードに移動されました。
8.0(2)	このコマンドは、インターフェイス単位で IPsec 接続の認証を行えるように拡張されました。

使用上のガイドライン

この属性は、すべてのトンネルグループタイプに適用できます。

認証サーバーを設定するには aaa-server コマンドを使用し、設定済みの AAA サーバーグループにサーバーを追加するには aaa-server-host コマンドを使用します。

例

次に、設定一般コンフィギュレーションモードで、remotegrp という名前の IPsec リモートアクセストンネルグループに aaa-server456 という名前の認証サーバーグループを設定する例を示します。


ciscoasa(config)# tunnel-group remotegrp type ipsec-ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# authentication-server-group aaa-server456
ciscoasa(config-tunnel-general)#

authorization-required

接続前にユーザーが正常に認可されることを求めるには、各モードで authorization-required コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

authorization-required

no authorization-required

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Imap4s コンフィギュレーション	対応	—	対応	—	—
Pop3s コンフィギュレーション	対応	—	対応	—	—
smtps コンフィギュレーション	対応	—	対応	—	—
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.1(1)	このコマンドは、webvpn コンフィギュレーションモードでは廃止され、トンネルグループ一般属性コンフィギュレーションモードに移動されました。
7.2(1)	webvpn コンフィギュレーションモードが imap4s、pop3s、および smtps コンフィギュレーションモードに置き換えられました。
9.5(2)	このコマンドは、imap4s モード、pop3s モード、および smtps モードについては廃止されました。

例

次に、remotegrp という名前のリモートアクセストンネルグループを介して接続するユーザーに、完全な DN に基づく認可を要求する例を示します。最初のコマンドでは、remotegrp という名前のリモートグループのトンネルグループタイプを ipsec_ra（IPsec リモートアクセス）と設定しています。2 番目のコマンドで、指定したトンネルグループのトンネルグループ一般属性コンフィギュレーションモードを開始し、最後のコマンドで、指定したトンネルグループに認可が必要であることを指定しています。


ciscoasa(config)# tunnel-group remotegrp type ipsec_ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# authorization-required
ciscoasa(config-tunnel-general)#

authorization-server-group（imap4s、pop3s、smtps）（廃止）

（注）

このコマンドをサポートする最後のリリースは、Version 9.5(1) でした。

すべてのリモートアクセス VPN のトンネルグループに使用する認可サーバーのセットを指定するには、各モードで authorization-server-group コマンドを使用します。認可サーバーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authorization-server-group group_tag

no authorization-server-group

構文の説明


group_tag	設定済みの認可サーバーまたはサーバーグループを指定します。認可サーバーを設定するには、aaa-server コマンドを使用します。

コマンドデフォルト

デフォルトでは、認可サーバーは設定されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
Imap4s コンフィギュレーション	対応	—	対応	—	—
Pop3s コンフィギュレーション	対応	—	対応	—	—
smtps コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.1(1)	このコマンドは、webvpn コンフィギュレーションモードでは廃止され、トンネルグループ一般属性コンフィギュレーションモードに移動されました。
9.5(2)	このコマンドは廃止されました。

使用上のガイドライン

ASA では、認可を使用して、ユーザーに許可されているネットワークリソースへのアクセスレベルを確認します。aaa-server コマンドで使用する認可用のサーバー設定を使用します。

このコマンドを webvpn コンフィギュレーションモードで入力すると、トンネルグループ一般属性モードの同等のコマンドに変換されます。

VPN 認可が LOCAL と定義されている場合、デフォルトグループポリシー DfltGrpPolicy に設定されている属性が適用されます。

例

次に、「POP3Spermit」という名前の許可サーバーのセットを使用するように POP3S 電子メールプロキシを設定する例を示します。


ciscoasa
(config)#
 pop3s
ciscoasa(config-pop3s)# authorization-server-group POP3Spermit

authorization-server-group（トンネルグループ一般属性）

すべてのリモートアクセス VPN のトンネルグループに使用する認可サーバーのセットを指定するには、各モードで authorization-server-group コマンドを使用します。認可サーバーをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

authorization-server-group [ ( if_name ) ] group_tag

no authorization-server-group

構文の説明


group_tag	設定済みの認可サーバーまたはサーバーグループを指定します。認可サーバーを設定するには、aaa-server コマンドを使用します。
(`if_name` )	（任意）トンネルが終了するインターフェイスの名前。カッコを含める必要があります。

コマンドデフォルト

デフォルトでは、認可サーバーは設定されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
トンネルグループ一般属性コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.1(1)	このコマンドは、webvpn コンフィギュレーションモードでは廃止され、トンネルグループ一般属性コンフィギュレーションモードに移動されました。

使用上のガイドライン

ASA では、認可を使用して、ユーザーに許可されているネットワークリソースへのアクセスレベルを確認します。aaa-server コマンドで使用する認可用のサーバー設定を使用します。

このコマンドを webvpn コンフィギュレーションモードで入力すると、トンネルグループ一般属性モードの同等のコマンドに変換されます。

VPN 認可が LOCAL と定義されている場合、デフォルトグループポリシー DfltGrpPolicy に設定されている属性が適用されます。

例

次に、トンネル一般コンフィギュレーションモードで、「remotegrp」という名前の IPsec リモートアクセストンネルグループに「aaa-server78」という名前の認可サーバーグループを設定する例を示します。


ciscoasa(config)# tunnel-group remotegrp type ipsec-ra
ciscoasa(config)# tunnel-group remotegrp general-attributes
ciscoasa(config-tunnel-general)# authorization-server-group aaa-server78
ciscoasa(config-tunnel-general)#

authorize-only

RADIUS AAA サーバーグループに対して authorize-only モードをイネーブルにするには、AAA サーバーグループコンフィギュレーションモードで authorize-only コマンドを使用します。authorize-only モードをディセーブルにするには、このコマンドの no 形式を使用します。

authorize-only

no authorize-only

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

authorize-only モードはイネーブルになっていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
aaa サーバーグループコンフィギュレーション	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.2(1)	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、ISE 認可変更（CoA）のために RADIUS サーバーグループを authorize-only モードで設定するために使用します。authorize-only モードを使用すると、RADIUS ホスト用に設定された RADIUS 共通パスワードはすべて無視されます。

ISE Change of Authorization（CoA）機能は、認証、認可、およびアカウンティング（AAA）セッションの属性を、セッション確立後に変更するためのメカニズムを提供します。AAA のユーザーまたはユーザーグループのポリシーを変更すると、ISE から ASA へ CoA パケットを直接送信して認証を再初期化し、新しいポリシーを適用できます。インラインポスチャ実施ポイント（IPEP）で、ASA と確立された各 VPN セッションのアクセスコントロールリスト（ACL）を適用する必要がなくなりました。

エンドユーザーが VPN 接続を要求すると、ASA はユーザーに対して ISE 認証を実行し、ネットワークへの制限付きアクセスを提供する ACL を受領します。アカウンティング開始メッセージが ISE に送信され、セッションが登録されます。ポスチャアセスメントが NAC エージェントと ISE 間で直接行われます。このプロセスは、ASA に透過的です。ISE が CoA の「ポリシープッシュ」を介して ASA にポリシーの更新を送信します。これにより、ネットワークアクセス権限を高める新しいユーザー ACL が識別されます。後続の CoA 更新を介し、接続のライフタイム中に追加のポリシー評価が ASA に透過的に行われる場合があります。

例

次に、ISE でローカル証明書の検証と認可用のトンネルグループを設定する例を示します。サーバーグループは認証用に使用されないため、authorize-only コマンドをサーバーグループコンフィギュレーションに組み込みます。


ciscoasa(config)# aaa-server ise protocol radius
ciscoasa(config-aaa-server-group)# authorize-only
ciscoasa(config-aaa-server-group)# interim-accounting-update periodic 1
ciscoasa(config-aaa-server-group)# dynamic-authorization
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server ise (inside) host 10.1.1.3
ciscoasa(config-aaa-server-host)# key sharedsecret
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)# tunnel-group aaa-coa general-attributes
ciscoasa(config-tunnel-general)# address-pool vpn
ciscoasa(config-tunnel-general)# authentication certificate
ciscoasa(config-tunnel-general)# authorization-server-group ise
ciscoasa(config-tunnel-general)# accounting-server-group ise
ciscoasa(config-tunnel-general)# exit

auth-prompt

ASA を介したユーザーセッションの AAA チャレンジテキストを指定または変更するには、グローバルコンフィギュレーションモードで auth-prompt コマンドを使用します。認証チャレンジテキストを削除するには、このコマンドの no 形式を使用します。

auth-prompt prompt [ prompt | accept | reject ] string

no auth-prompt prompt [ prompt | accept | reject ]

構文の説明


accept	Telnet 経由のユーザー認証を受け入れる場合、プロンプトとして string を表示します。
prompt	このキーワードの後に AAA チャレンジプロンプトのストリングを入力します。
reject	Telnet 経由のユーザー認証を拒否する場合、プロンプトとして string を表示します。
`string`	最大 235 文字の英数字または 31 単語のストリング。最初に達した、いずれかの最大数により制限されます。特殊文字、スペース、および句読点を使用できます。疑問符を入力するか、または Enter キーを押すと、ストリングが終了します（疑問符はストリングに含まれます）。

コマンドデフォルト

認証プロンプトを指定しない場合は、次のようになります。

FTP ユーザーには FTP authentication が表示されます。
HTTP ユーザーには HTTP Authentication が表示されます。
Telnet ユーザーにはチャレンジテキストが表示されません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	—	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	セマンティックに小さな変更が加えられました。

使用上のガイドライン

auth-prompt コマンドを使用すると、TACACS+ サーバーまたは RADIUS サーバーからのユーザー認証が必要な場合に、ASA 経由の HTTP、FTP、および Telnet アクセス用の AAA チャレンジテキストを指定できます。このテキストは飾りのようなもので、ユーザーのログイン時に、ユーザー名プロンプトとパスワードプロンプトの上に表示されます。

Telnet からのユーザー認証が行われる場合、accept オプションと reject オプションを使用して、認証試行が AAA サーバーによって受け入れられたか拒否されたかを示す各ステータスプロンプトを表示できます。

AAA サーバーがユーザーを認証すると、ASA は auth-prompt accept テキスト（指定されている場合）をユーザーに表示します。ユーザーが認証されない場合は、reject テキスト（指定されている場合）を表示します。HTTP セッションおよび FTP セッションの認証では、プロンプトにチャレンジテキストのみが表示されます。accept および reject テキストは表示されません。

（注）

Microsoft Internet Explorer では、認証プロンプトに最大 37 文字表示されます。Telnet および FTP では、認証プロンプトに最大 235 文字表示されます。

例

次に、認証プロンプトを「Please enter your username and password」という文字列に設定する例を示します。


ciscoasa(config)# auth
-prompt prompt Please enter your username and password

このストリングがコンフィギュレーションに追加されると、ユーザーには次のように表示されます。


Please enter your username and password
User Name:
Password:

Telnet ユーザーに対しては、ASA が認証試行を受け入れたときに表示されるメッセージと拒否したときに表示されるメッセージを別々に指定できます。次に例を示します。


ciscoasa(config)# auth-prompt reject Authentication failed. Try again.
ciscoasa(config)# auth-prompt accept Authentication succeeded.

次に、認証に成功した場合の認証プロンプトを「You're OK.」という文字列に設定する例を示します。


ciscoasa(config)# auth-prompt accept You’re OK.

認証に成功すると、ユーザーには次のメッセージが表示されます。


You’re OK.

auto-signon

クライアントレス SSL VPN 接続用のユーザーログインクレデンシャルを内部サーバーに自動的に渡すように ASA を設定するには、webvpn コンフィギュレーションモード、webvpn グループコンフィギュレーションモード、または webvpn ユーザー名コンフィギュレーションモードのいずれかのモードで auto-signon コマンドを使用します。特定のサーバーへの自動サインオンをディセーブルにするには、元の ip 、uri 、および auth-type 引数を指定して、このコマンドの no 形式を使用します。すべてのサーバーへの自動サインオンをディセーブルにするには、このコマンドの no 形式を引数なしで使用します。

auto-signon allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all }

no auto-signon [ allow { ip ip-address ip-mask | uri resource-mask } auth-type { basic | ftp | ntlm | all } ]

構文の説明


all	NTLM と HTTP 基本認証の両方の方式を指定します。
allow	特定のサーバーに対する認証をイネーブルにします。
auth-type	認証方式の選択をイネーブルにします。
basic	HTTP 基本認証方式を指定します。
ftp	FTP および CIFS 認証タイプ。
ip	IP アドレスとマスクで認証先のサーバーを特定することを指定します。
`ip-address`	ip-mask とともに使用して、認証先のサーバーの IP アドレス範囲を特定します。
`ip-mask`	ip-address とともに使用して、認証先のサーバーの IP アドレス範囲を特定します。
ntlm	NTLMv1 認証方式を指定します。
`resource-mask`	認証先のサーバーの URI マスクを指定します。
uri	URI マスクで認証先のサーバーを特定することを指定します。

コマンドデフォルト

デフォルトでは、この機能はすべてのサーバーでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
webvpn コンフィギュレーション（グローバル）	対応	—	対応	—	—
webvpn グループポリシーコンフィギュレーション	対応	—	対応	—	—
WebVPN ユーザー名コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
7.1(1)	このコマンドが追加されました。
8.0(1)	NTLMv2 のサポートが追加されました。ntlm キーワードには NTLMv1 と NTLMv2 の両方が含まれます。

使用上のガイドライン

auto-signon コマンドは、クライアントレス SSL VPN ユーザーのためのシングルインオン方式です。この方式では、ログインクレデンシャル（ユーザー名とパスワード）を NTLM 認証と HTTP 基本認証のいずれか一方または両方を使用する認証用の内部サーバーに渡します。複数の auto-signon コマンドを入力でき、それらのコマンドは入力順に処理されます（先に入力したコマンドが優先されます）。

auto-signon 機能は、webvpn コンフィギュレーショングループポリシーモード、webvpn コンフィギュレーションモード、または webvpn ユーザー名コンフィギュレーションモードの 3 つのモードで使用できます。一般的な優先動作が適用されます。つまり、グループよりもユーザー名が優先され、グローバルよりもグループが優先されます。モードは、認証の目的範囲に基づいて選択します。


モード	スコープ
webvpn コンフィギュレーション	すべての WebVPN ユーザー（グローバル）
webvpn グループコンフィギュレーション	グループポリシーで定義される WebVPN ユーザーのサブセット
WebVPN ユーザー名コンフィギュレーション	個々の WebVPN ユーザー

例

次に、NTLM 認証を使用して、すべてのクライアントレスユーザーに自動サインオンを設定する例を示します。認証先のサーバーの IP アドレス範囲は、10.1.1.0 ～ 10.1.1.255 です。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# auto-signon allow ip 10.1.1.0
 255.255.255.0
 auth-type ntlm

次に、HTTP 基本認証を使用して、すべてのクライアントレスユーザーに自動サインオンを設定する例を示します。認証先のサーバーは、URI マスク https://*.example.com/* で定義されています。


ciscoasa(config)# webvpn
ciscoasa(config-webvpn)# auto-signon allow uri https://*.example.com/* auth-type basic
The following example configures auto-signon for clientless users ExamplePolicy group policy, using either HTTP Basic or NTLM authentication, to servers defined by the URI mask https://*.example.com/*:
ciscoasa(config)# group-policy ExamplePolicy attributes
 
ciscoasa(config-group-policy)# webvpn
 
ciscoasa(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

次に、HTTP 基本認証を使用して、Anyuser という名前のユーザーに自動サインオンを設定する例を示します。認証先のサーバーの IP アドレス範囲は、10.1.1.0 ～ 10.1.1.255 です。


ciscoasa(config)# username Anyuser attributes
ciscoasa(config-username)# webvpn
ciscoasa(config-username-webvpn)# auto-signon allow ip 10.1.1.0
 255.255.255.0
 auth-type basic

auto-summary

ネットワークレベルルートへのサブネットルートの自動集約をイネーブルにするには、ルータコンフィギュレーションモードで auto-summary コマンドを使用します。ルート集約をディセーブルにするには、このコマンドの no 形式を使用します。

auto-summary

no auto-summary

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

ルート集約は、RIP バージョン 1、RIP バージョン 2、および EIGRP でイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータコンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。
8.0(2)	EIGRP のサポートが追加されました。
9.0(1)	マルチコンテキストモードのサポートが追加されました。

使用上のガイドライン

ルート集約により、ルーティングテーブルにおけるルーティング情報の量が少なくなります。

RIP バージョン 1 では、常に自動集約が使用されます。RIP バージョン 1 に対して自動集約をディセーブルにすることはできません。

RIP バージョン 2 を使用している場合は、no auto-summary コマンドを指定して、自動集約をオフにすることができます。切断されているサブネット間のルーティングを実行する必要がある場合は、自動サマライズを無効にします。自動サマライズを無効にすると、サブネットがアドバタイズされます。

EIGRP 集約ルートには、アドミニストレーティブディスタンス値 5 が割り当てられます。この値は設定できません。

実行コンフィギュレーションではこのコマンドの no 形式のみが表示されます。

例

次に、RIP ルート集約をディセーブルにする例を示します。


ciscoasa(config)# router rip
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# version 2
ciscoasa(config-router)# no auto-summary

次に、自動 EIGRP ルート集約をディセーブルにする例を示します。


ciscoasa(config)# router eigrp 100
ciscoasa(config-router)# network 10.0.0.0
ciscoasa(config-router)# no auto-summary

auto-update device-id

Auto Update Server で使用する ASA のデバイス ID を設定するには、グローバルコンフィギュレーションモードで auto-update device-id コマンドを使用します。デバイス ID を削除するには、このコマンドの no 形式を使用します。

構文の説明


hardware-serial	ASA のハードウェアシリアル番号を使用して、デバイスを一意に識別します。
hostname	ASA のホスト名を使用して、デバイスを一意に識別します。
ipaddress [`if_name` ]	ASA の IP アドレスを使用して、ASA を一意に識別します。デフォルトでは、ASA は Auto Update Server との通信に使用するインターフェイスを使用します。別の IP アドレスを使用する場合は、if_name オプションを指定します。
mac-address [`if_name` ]	ASA の MAC アドレスを使用して、ASA を一意に識別します。デフォルトでは、ASA は Auto Update Server との通信に使用するインターフェイスの MAC アドレスを使用します。別の MAC アドレスを使用する場合は、if_name オプションを指定します。
string `text`	テキストストリングを指定して、デバイスを Auto Update Server に対して一意に識別します。

コマンドデフォルト

デフォルト ID はホスト名です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

例

次に、デバイス ID をシリアル番号に設定する例を示します。


ciscoasa(config)# auto-update device-id hardware-serial

auto-update poll-at

ASA が Auto Update Server をポーリングする特定の日時をスケジューリングするには、グローバルコンフィギュレーションモードで auto-update poll-at コマンドを使用します。ASA が Auto Update Server をポーリングするようにスケジューリングした日時のうち、指定した日時をすべて削除するには、このコマンドの no 形式を使用します。

auto-update poll-at days-of-the-week time [ randomize minutes [ retry_count [ retry_period ] ]

no auto-update poll-at days-of-the-week time [ randomize minutes [ retry_count [ retry_period ] ]

構文の説明


days-of-the-week	任意の 1 つの曜日（Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、および Sunday）または曜日の組み合わせ。その他の指定可能な値は、daily（月曜日から日曜日まで）、weekdays（月曜日から金曜日まで）、および weekend（土曜日と日曜日）です。
randomize >minutes	指定した開始日時の後に、不定期にポーリングする期間を 1 ～　1,439 分で指定します。
>retry_count	Auto Update Server への接続の初回試行が失敗した場合に、再接続を何回試行するかを指定します。デフォルトは 0 です。
>retry_period	接続試行の間隔を指定します。デフォルトは 5 分です。指定できる範囲は 1 ～ 35791 分です。
>time	ポーリングを開始する時刻を HH:MM 形式で指定します。たとえば、8:00 は午前 8 時で、20:00 は午後 8 時です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.2(1)	このコマンドが追加されました。

使用上のガイドライン

auto-update poll-at コマンドでは、アップデートをポーリングする時刻を指定します。randomize オプションをイネーブルにすると、最初の >time オプションの時刻から指定した期間（分単位）内に、ポーリングが不定期に実行されます。auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。

例

次の例では、ASA は、毎週金曜日と土曜日の午後 10 時から午後 11 時までの間、不定期に Auto Update Server をポーリングします。ASA がサーバーに接続できない場合は、10 分おきにさらに 2 回、接続を試行します。


ciscoasa(config)# auto-update poll-at Friday Saturday 22:00 randomize 60 2 10
ciscoasa(config)# auto-update server http://192.168.1.114/aus/autoupdate.asp

auto-update poll-period

ASA が Auto Update Server からのアップデートを確認する頻度を設定するには、グローバルコンフィギュレーションモードで auto-update poll-period コマンドを使用します。パラメータをデフォルトにリセットするには、このコマンドの no 形式を使用します。

auto-update poll-period poll_period [ retry_count [ retry_period ] ]

no auto-update poll-period poll_period [ retry_count [ retry_period ] ]

構文の説明


`poll_period`	Auto Update Server をポーリングする頻度を分単位（1 ～ 35791）で指定します。デフォルトは 720 分（12 時間）です。
`retry_count`	Auto Update Server への接続の初回試行が失敗した場合に、再接続を何回試行するかを指定します。デフォルトは 0 です。
`retry_period`	接続試行の間隔を分単位（1 ～ 35791）で指定します。デフォルトは 5 分です。

コマンドデフォルト

デフォルトのポーリング期間は、720 分（12 時間）です。

Auto Update Server への最初の接続試行に失敗した場合に再接続を試行するデフォルトの回数は 0 です。

接続試行のデフォルト間隔は 5 分です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

auto-update poll-at および auto-update poll-period コマンドは、同時に使用できません。いずれか 1 つのみを設定できます。

例

次に、ポーリング期間を 360 分に、再試行回数を 1 回に、再試行間隔を 3 分に設定する例を示します。


ciscoasa(config)# auto-update poll-period 360 1 3

auto-update server

Auto Update Server を指定するには、グローバルコンフィギュレーションモードで auto-update server コマンドを使用します。サーバーを削除するには、このコマンドの no 形式を使用します。

auto-update server url [ source interface ] { verify-certificate | no-verification }

no auto-update server url [ source interface ] { verify-certificate | no-verification }

構文の説明


no-verification	Auto Update Server 証明書を確認しません。
source `interface`	要求を Auto Update Server に送信するときに使用するインターフェイスを指定します。management-access コマンドで指定したインターフェイスと同じインターフェイスを指定すると、Auto Update 要求は管理アクセスに使用されるのと同じ IPsec VPN トンネルを通過します。
`url`	次の構文を使用して、Auto Update Server の場所を指定します。http s : [[`user:password@` `location` [:`port` ]] / `pathname`
verify-certificate	HTTPS の場合、Auto Update Server から返された証明書を確認します。この設定は、デフォルトです。

コマンドデフォルト

9.1 以前：証明書の確認はディセーブルになっています。

9.2(1) 以降：verify-certificate オプションはデフォルトでイネーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
7.2(1)	複数のサーバーをサポートできるようにコマンドが変更されました。
9.2(1)	Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。no-verification キーワードが追加されました。

使用上のガイドライン

ASA は、定期的に Auto Update Server にアクセスして、コンフィギュレーション、オペレーティングシステム、および ASDM の更新がないか調べます。

自動アップデート用に複数のサーバーを設定できます。アップデートを確認するときに、最初のサーバーに接続しますが、接続に失敗した場合は、次のサーバーに接続します。このプロセスは、すべてのサーバーを試行するまで続行されます。どのサーバーにも接続できなかった場合は、auto-update poll-period が接続を再試行するように設定されていれば、最初のサーバーから順に接続が再試行されます。

自動アップデート機能を正しく動作させるには、boot system configuration コマンドを使用して、有効なブートイメージを指定する必要があります。また、ASDM ソフトウェアイメージを更新するには、auto-update とともにasdm image コマンドを使用する必要があります。

source interface 引数で指定されたインターフェイスが management-access コマンドで指定されたインターフェイスと同じである場合、Auto Update Server への要求は VPN トンネルを介して送信されます。

9.2(1) 以降：Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定の場合、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。


WARNING: The certificate provided by the auto-update servers will not be verified. In order to verify this certificate please use the verify-certificate option.

設定を移行する場合は、次のように確認なしを明示的に設定します。

auto-update server no-verification

例

次に、Auto Update Server の URL を設定し、インターフェイスを outside として指定する例を示します。


ciscoasa(config)# auto-update server http://10.1.1.1:1741/ source outside verify-certificate

auto-update timeout

Auto Update Server へのアクセスのタイムアウト期間を設定するには、グローバルコンフィギュレーションモードで auto-update timeout コマンドを使用します。タイムアウトを削除するには、このコマンドの no 形式を使用します。

auto-update timeout [ period ]

no auto-update timeout [ period ]

構文の説明


`period`	タイムアウト期間を分単位（1 ～ 35791）で指定します。デフォルトは 0 で、タイムアウトがないことを意味します。タイムアウトを 0 に設定することはできません。タイムアウトを 0 にリセットするには、このコマンドの no 形式を使用します。

コマンドデフォルト

デフォルトのタイムアウトは 0 で、ASA はタイムアウトしないように設定されています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバルコンフィギュレーション	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

タイムアウト状態は、syslog メッセージ 201008 でレポートされます。

タイムアウト期間内に Auto Update Server へのアクセスが行われなかった場合、ASA はそれを通過するすべてのトラフィックを停止します。タイムアウトを設定すると、ASA に最新のイメージとコンフィギュレーションが保持されます。

例

次に、タイムアウトを 24 時間に設定する例を示します。


ciscoasa(config)# auto-update timeout 1440

コマンド	説明
arp timeout	ASA が ARP テーブルを再構築するまでの時間を設定します。
arp-inspection	トランスペアレントファイアウォールモードで、ARP パケットを調査し、ARP スプーフィングを防止します。
show arp	ARP テーブルを表示します。
show arp statistics	ARP 統計情報を表示します。
show running-config arp	ARP タイムアウトの現在のコンフィギュレーションを表示します。

コマンド	説明
arp	スタティック ARP エントリを追加します。
clear configure arp-inspection	ARP インスペクションコンフィギュレーションをクリアします。
firewall transparent	ファイアウォールモードをトランスペアレントに設定します。
show arp statistics	ARP 統計情報を表示します。
show running-config arp	ARP タイムアウトの現在のコンフィギュレーションを表示します。

コマンド	説明
arp	スタティック ARP エントリを追加します。
arp-inspection	トランスペアレントファイアウォールモードで、ARP パケットを調査し、ARP スプーフィングを防止します。
show arp statistics	ARP 統計情報を表示します。
show running-config arp timeout	ARP タイムアウトの現在のコンフィギュレーションを表示します。

コマンド	説明
show asdm image	現在の ASDM イメージファイルを表示します。
boot	ソフトウェアイメージとスタートアップコンフィギュレーションファイルを設定します。

コマンド	説明
clear asp load-balance history	パケットごとの ASP ロードバランシングの履歴統計情報をクリアし、リセットします。
show asp load-balance	ロードバランサのキューサイズのヒストグラムを表示します。
show asp load-balance per-packet	現在のステータス、最高水準点と最低水準点、およびグローバルなしきい値を表示します。
show asp load-balance per-packet history	現在のステータス、最高水準点と最低水準点、グローバルなしきい値、最後のリセット以降のパケットごとの ASP ロードバランシングのオンとオフの切り替え回数、タイムスタンプ付きのパケットごとの ASP ロードバランシングの履歴、およびオンとオフを切り替えた理由を表示します。

コマンド	説明
clear conf asp rule-engine transactional-commit	ルールエンジンのトランザクションコミット設定をクリアします。
show asp rule-engine	ASP ルールエンジンのステータスを表示します。

コマンド	説明
interface	インターフェイスコンフィギュレーションモードを開始します。
show interface	インターフェイス統計情報を表示します。

コマンド	説明
issuer	SAML-type の SSO サーバーのセキュリティデバイス名を指定します。
request-timeout	SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。
show webvpn sso-server	セキュリティデバイスに設定されているすべての SSO サーバーの運用統計情報を表示します。
sso-server	WebVPN SSO サーバーを作成します。
trustpoint	SAML-type のブラウザアサーションへの署名に使用する証明書を含むトラストポイント名を指定します。

コマンド	説明
attribute source-group	VM 属性エージェントを設定します。
object network attribute	属性ベースのネットワークオブジェクトを設定します。
show attribute object-map	object-to-attribute バインディングを示します。
show attribute host-map	host-to-attribute バインディングのマップを示します。

コマンド	説明
object network attribute	属性ベースのネットワークオブジェクトを設定します。
show attribute source-group	設定した属性エージェントに関する情報を表示します。
show attribute object-map	object-to-attribute バインディングを示します。
show attribute host-map	host-to-attribute バインディングのマップを示します。

コマンド	説明
display	現在の属性リストを表示します。
dynamic-access-policy-record	DAP レコードを作成します。
test dynamic-access-policy attributes	属性を入力します。
test dynamic-access-policy execute	DAP を生成するロジックを実行し、生成されたアクセスポリシーをコンソールに表示します。

コマンド	説明
action-uri	シングルサインオン認証用のユーザー名およびパスワードを受信するための Web サーバー URI を指定します。
hidden-parameter	認証 Web サーバーと交換するための非表示パラメータを作成します。
password-parameter	SSO 認証用にユーザーパスワードを送信する必要がある HTTP POST 要求パラメータの名前を指定します。
start-url	プリログインクッキーを取得する URL を指定します。
user-parameter	ユーザー名パラメータを SSO 認証に使用される HTTP POST 要求の一部として送信する必要があることを指定します。

コマンド	説明
pre-fill-username	ユーザー名の事前入力機能をイネーブルにします。
show running-config tunnel-group	指定されたトンネルグループコンフィギュレーションを表示します。
tunnel-group general-attributes	名前付きのトンネルグループの一般属性を指定します。
username-from-certificate	認可時のユーザー名として使用する証明書内のフィールドを指定します。

コマンド	説明
authentication	シングルホップセッションとマルチホップセッションの BFD テンプレートに認証を設定します。
bfd echo	インターフェイスで BFD エコーモードを有効にします。
bfd interval	インターフェイスにベースライン BFD パラメータを設定します。
bfd map	アドレスとマルチホップテンプレートを関連付ける BFD マップを設定します。
bfd slow-timers	BFD スロータイマー値を設定します。
bfd template	シングルホップ BFD テンプレートをインターフェイスにバインドします。
bfd-template single-hop \| multi-hop	BFD テンプレートを設定し、BFD コンフィギュレーションモードを開始します。
clear bfd counters	BFD カウンタをクリアします。
echo	BFD シングルホップテンプレートにエコーを設定します。
neighbor	BGP が登録され、BFD から転送パス検出失敗メッセージを受信できるように、BGP の BFD サポートを設定します。
show bfd drops	BFD でドロップされたパケットの数を表示します。
show bfd map	設定済みの BFD マップを表示します。
show bfd neighbors	既存の BFD 隣接関係の詳細なリストを表示します。
show bfd summary	BFD のサマリー情報を表示します。

コマンド	説明
authentication-certificate	接続を確立する WebVPN クライアントからの証明書を要求します。
show running-config	現在のトンネルグループコンフィギュレーションを表示します。
clear configure aaa	設定した AAA の値を削除またはリセットします。
show running-config aaa	AAA コンフィギュレーションを表示します。

コマンド	説明
clear configure tunnel-group	設定されているすべてのトンネルグループをクリアします。
show running-config tunnel-group	指定した証明書マップエントリを表示します。
tunnel-group-map default-group	crypto ca certificate map コマンドを使用して作成された証明書マップトンネルをトンネルグループに関連付けます。

コマンド	説明
clear configure tunnel-group	トンネルグループデータベース全体または指定されたトンネルグループだけをクリアします。
show running-config tunnel-group	指定されたトンネルグループまたはすべてのトンネルグループの現在実行されているトンネルグループコンフィギュレーションを表示します。
tunnel-group	IPsec および WebVPN トンネルの接続固有レコードのデータベースを作成および管理します。

コマンド	説明
authentication (tunnel-group webvpn configuration mode)	トンネルグループのメンバーが認証にデジタル証明書を使用する必要があることを指定します。
http authentication-certificate	ASA への ASDM 管理接続に証明書による認証を指定します。
interface	接続を確立するために使用するインターフェイスを設定します
show running-config ssl	現在設定されている一連の SSL コマンドを表示します。
ssl trust-point	SSL 証明書トラストポイントを設定します。

コマンド	説明
aaa authentication	aaa-server コマンドまたは ASDM ユーザー認証により指定されたサーバー上の LOCAL、TACACS+、または RADIUS ユーザー認証をイネーブルまたはディセーブルにします。
aaa-server host	AAA サーバーホストコンフィギュレーションモードを開始します。このモードでは、ホストに固有の AAA サーバーパラメータを設定できます。
clear configure aaa-server	すべての AAA コマンドステートメントをコンフィギュレーションから削除します。
show running-config aaa-server	すべての AAA サーバー、特定のサーバーグループ、特定のグループ内の特定のサーバー、または特定のプロトコルの AAA サーバー統計情報を表示します。

コマンド	説明
aaa-server	AAA サーバーグループを作成し、グループ固有の AAA サーバーパラメータとすべてのグループホストに共通の AAA サーバーパラメータを設定します。
aaa-server host	設定済みの AAA サーバーグループにサーバーを追加し、ホスト固有の AAA サーバーパラメータを設定します。
clear configure tunnel-group	設定されているすべてのトンネルグループをクリアします。
show running-config tunnel-group	すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。

コマンド	説明
authorization-dn-attributes	認可用のユーザー名として使用するプライマリおよびセカンダリサブジェクト DN フィールドを指定します。
clear configure tunnel-group	設定されているすべてのトンネルグループをクリアします。
show running-config tunnel-group	指定した証明書マップエントリを表示します。
tunnel-group general-attributes	名前付きのトンネルグループの一般属性を指定します。

コマンド	説明
aaa-server host	認証、許可、およびアカウンティングサーバーを設定します。
clear configure tunnel-group	設定されているすべてのトンネルグループをクリアします。
show running-config tunnel-group	すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。
tunnel-group general-attributes	名前付きのトンネルグループの一般属性を指定します。

コマンド	説明
dynamic-authorization	RADIUS サーバーグループ用のダイナミック認可をイネーブルにします。
interim-accounting-update	RADIUS 中間アカウンティングアップデートメッセージの生成をイネーブルにします。
without-csd	特定のトンネルグループに行われる接続のホストスキャン処理をオフに切り替えます。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、A ～ H コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： ar - az

ar - az

area

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area authentication

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area default-cost

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area filter-list prefix

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area nssa

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area-password

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area range（IPv6 ルータ OSPF）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area range（ルータ OSPF）

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area stub

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

area virtual-link（IPv6 ルータ OSPF）

構文の説明

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンド	説明
clear configure auth-prompt	指定済みの認証プロンプトチャレンジテキスト（ある場合）を削除し、デフォルト値に戻します。
show running-config auth-prompt	現在の認証プロンプトチャレンジテキストを表示します。

コマンド	説明
clear configure router	実行コンフィギュレーションからすべての router コマンドとルータコンフィギュレーションモードコマンドをクリアします。
router eigrp	EIGRP ルーティングプロセスをイネーブルにし、EIGRP ルータコンフィギュレーションモードを開始します。
router rip	RIP ルーティングプロセスをイネーブルにし、RIP ルータコンフィギュレーションモードを開始します。
show running-config router	実行コンフィギュレーション内の router コマンドとルータコンフィギュレーションモードコマンドを表示します。

auto-update poll-period	Auto Update Server からのアップデートを ASA が確認する頻度を設定します。
auto-update server	Auto Update Server を指定します。
auto-update timeout	タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。
clear configure auto-update	Auto Update Server コンフィギュレーションをクリアします。
show running-config auto-update	Auto Update Server コンフィギュレーションを表示します。

auto-update device-id	Auto Update Server で使用するための ASA デバイス ID を設定します。
auto-update poll-period	Auto Update Server からのアップデートを ASA が確認する頻度を設定します。
auto-update timeout	タイムアウト期間内に Auto Update Server に接続されない場合、ASA を通過するトラフィックを停止します。
clear configure auto-update	Auto Update Server コンフィギュレーションをクリアします。
management-access	ASA の内部管理インターフェイスへのアクセスをイネーブルにします。
show running-config auto-update	Auto Update Server コンフィギュレーションを表示します。