Cisco ASA シ リ ーズ コ マン ド リ フ ァ レ ンス、 T ~ Z コ マン ド および ASASM 用 IOS コ マン ド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2020年11月20日
章のタイトル: validate-attribute コマンド~ vxlan port コ マンド
- validate-attribute
- validate-kdc
- validate-key
- validation-policy
- validation-usage
- vdi
- verify
- verify-header
- version
- virtual http
- virtual telnet
- vlan(グループポリシー)
- vlan(インターフェイス)
- vpdn group
- vpdn username
- vpn-access-hours
- vpn-addr-assign
- vpn-mode
- vpnclient connect
- vpnclient enable
- vpnclient ipsec-over-tcp
- vpnclient mac-exempt
- vpnclient management
- vpnclient mode
- vpnclient nem-st-autoconnect
- vpnclient server
- vpnclient server-certificate
- vpnclient trustpoint
- vpnclient username
- vpnclient vpngroup
- vpn-filter
- vpn-framed-ip-address
- vpn-framed-ipv6-address
- vpn-group-policy
- vpn-idle-timeout
- vpn load-balancing
- vpn-sessiondb
- vpn-sessiondb logoff
- vpn-session-timeout
- vpnsetup
- vpn-simultaneous-logins
- vpn-tunnel-protocol
- vtep-nve
- vxlan port
validate-attribute コマンド~ vxlan port コマンド
validate-attribute
RADIUS アカウンティングの使用時に RADIUS 属性を検証するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで validate-attribute コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。
validate-attribute [ attribute_number ]
no validate-attribute [ attribute_number ]
構文の説明
RADIUS アカウンティングで検証する RADIUS 属性。値の範囲は、1 ~ 191 です。ベンダー固有属性はサポートされません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを設定すると、セキュリティ アプライアンスは、Framed IP 属性に加えて RADIUS 属性に対する照合も実行します。このコマンドは、インスタンスを複数設定できます。
例
次に、ユーザ名 RADIUS 属性の RADIUS アカウンティングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
validate-kdc
アップロードされたキータブファイルを使用した Kerberos キー発行局(KDC)の認証を有効にするには、AAA サーバグループモードで validate-kdc コマンドを使用します。KDC 認証を無効にするには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
validate-kdc コマンドを使用して、グループ内のサーバを認証するように Kerberos AAA サーバグループを設定できます。認証を実行するには、Kerberos キー発行局(KDC)からエクスポートしたキータブファイルもインポートする必要があります。KDC を検証することにより、攻撃者が KDC をスプーフィングして、ユーザクレデンシャルが攻撃者の Kerberos サーバに対して認証されるようにする攻撃を防ぐことができます。
KDC の検証を有効にすると、チケット認可チケット(TGT)を取得してユーザを検証した後、システムは ホスト / ASA_hostname のユーザに代わってサービスチケットも要求します。次にシステムは、返されたサービスチケットを KDC の秘密鍵に対して検証します。これは、KDC から生成され、ASA にアップロードされたキータブファイルに保存されます。KDC 認証に失敗すると、サーバは信頼できないと見なされ、ユーザは認証されません。
KDC 認証を完了するには、次の手順を実行する必要があります。
1.
(KDC 上。)ASA の Microsoft Active Directory でユーザアカウントを作成します( [Start] > [Programs] > [Administrative Tools] > [Active Directory Users and Computers] に移動します)。たとえば、ASA の完全修飾ドメイン名(FQDN)が asahost.example.com の場合は、asahost という名前のユーザを作成します。
2. (KDC 上。)FQDN とユーザアカウントを使用して、ASA のホストサービスプリンシパル名(SPN)を作成します。
3. (KDC 上。)ASA の キータブファイルを作成します(わかりやすくするために改行を追加)。
4. (ASA 上。) aaa kerberos import-keytab コマンドを使用して、キータブ(この例では new.keytab)を ASA にインポートします。
5. (ASA 上。)Kerberos AAA サーバグループ設定に validate-kdc コマンドを追加します。キータブファイルは、このコマンドが含まれているサーバグループでのみ使用されます。
(注) Kerberos 制約付き委任(KCD)とともに KDC 検証を使用することはできません。サーバグループが KCD に使用されている場合、validate-kdc コマンドは無視されます。
例
次に、FTP サーバ上に存在する new.keytab というキータブをインポートし、Kerberos AAA サーバグループで KDC 検証を有効にする例を示します。
関連コマンド
|
|
|
|---|---|
validate-key
LISP メッセージの事前共有キーを指定するには、パラメータ コンフィギュレーション モードで validate-key コマンドを使用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect lisp コマンドを入力します。キーを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA が LISP メッセージの内容を読み取ることができるように、LISP 事前共有キーを指定します。
クラスタ フロー モビリティの LISP インスペクションについて
ASA は、場所の変更について LISP トラフィックを検査し、シームレスなクラスタリング操作のためにこの情報を使用します。LISP の統合により、ASA クラスタ メンバーは、最初のホップ ルータと ETR または ITR との間で渡される LISP トラフィックを検査し、その後、フローの所有者を新しいサイトへ変更できます。
クラスタ フロー モビリティには複数の相互に関連する設定が含まれています。
1. (オプション)ホストまたはサーバの IP アドレスに基づく検査される EID の限定:最初のホップ ルータは、ASA クラスタが関与していないホストまたはネットワークに関する EID 通知メッセージを送信することがあるため、EID をクラスタに関連するサーバまたはネットワークのみに限定することができます。たとえば、クラスタが 2 つのサイトのみに関連しているが、LISP は 3 つのサイトで稼働している場合は、クラスタに関連する 2 つのサイトの EID のみを含めます。 policy-map type inspect lisp 、 allowed-eid および validate-key コマンドを参照してください。
2. LISP トラフィックのインスペクション:ASA は、最初のホップ ルータと ITR または ETR 間で送信された EID 通知メッセージに関して LISP トラフィックを検査します。ASA は EID とサイト ID を相関付ける EID テーブルを維持します。たとえば、最初のホップ ルータの送信元 IP アドレスと ITR または ETR の宛先アドレスをもつ LISP トラフィックを検査する必要があります。 inspect lisp コマンドを参照してください。
3. 指定されたトラフィックでのフロー モビリティを有効にするサービス ポリシー:ビジネスクリティカルなトラフィックでフロー モビリティを有効にする必要があります。たとえば、フロー モビリティを、HTTPS トラフィックのみに制限したり、特定のサーバとの間でやり取りされるトラフィックのみに制限したりできます。 cluster flow-mobility lisp コマンドを参照してください。
4. サイト ID:ASA は各クラスタ ユニットのサイト ID を使用して、新しい所有者を判別します。 site-id コマンドを参照してください。
5. フロー モビリティを有効にするクラスタレベルの設定:クラスタ レベルでもフロー モビリティを有効にする必要があります。このオン/オフの切り替えを使用することで、特定のクラスのトラフィックまたはアプリケーションに対してフロー モビリティを簡単に有効または無効にできます。 flow-mobility lisp コマンドを参照してください。
例
次に、EID を 10.10.10.0/24 ネットワーク上に制限して、事前共有キーを指定する例を示します。
関連コマンド
|
|
|
|---|---|
validation-policy
着信ユーザ接続に関連付けられている証明書を検証するためにトラストポイントを使用できる条件を指定するには、クリプト CA トラストポイント コンフィギュレーション モードで validation-policy コマンドを使用します。指定した条件でトラストポイントを使用できないように指定するには、このコマンドの no 形式を使用します。
[no] validation-policy {ssl-client | ipsec-client} [no-chain] [subordinate-only]
構文の説明
トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを IPsec 接続の検証に使用できることを指定します。 |
|
トラストポイントと関連付けられている認証局(CA)証明書およびポリシーを SSL 接続の検証に使用できることを指定します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
|
|
|
|---|---|
使用上のガイドライン
リモート アクセス VPN では、導入要件に応じて、セキュア ソケット レイヤ(SSL)VPN、IP Security(IPsec)、またはこの両方を使用して、事実上すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。 validation-policy コマンドを使用して、オンボード CA 証明書へのアクセスに使用できるプロトコル タイプを指定できます。
このコマンドで no-chain オプションを指定すると、ASA でトラストポイントとして設定されていない下位 CA 証明書が ASA でサポートされなくなります。
ASA では、同じ CA に対して 2 つのトラストポイントを保持できます。この場合は、同じ CA から 2 つの異なるアイデンティティ証明書が発行されます。トラストポイントが、この機能がイネーブルになっている別のトラストポイントにすでに関連付けられている CA に対して認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。
例
次に、トラストポイント central のクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントを SSL トラストポイントとして指定する例を示します。
次に、トラストポイント checkin1 に対してクリプト CA トラストポイント コンフィギュレーション モードを開始して、このトラストポイントが指定したトラストポイントの下位証明書を受け入れるように設定する例を示します。
関連コマンド
|
|
|
|---|---|
validation-usage
このトラストポイントでの検証が許可される使用タイプを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで validation-usage コマンド を使用します。使用タイプを指定しない場合は、このコマンドの no 形式を使用します。
validation-usage ipsec-client | ssl-client | ssl-server
no validation-usage ipsec-client | ssl-client | ssl-server
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
同じ CA 証明書に関連付けられているトラストポイントが複数ある場合、特定のクライアント タイプに設定できるのは 1 つのトラストポイントだけです。ただし、1 つのトラストポイントを 1 つのクライアント タイプに設定し、別のトラストポイントを別のクライアント タイプに設定することができます。
同じ CA 証明書に関連付けられているトラストポイントがあり、これがすでに 1 つのクライアント タイプに設定されている場合は、この同じクライアント タイプ設定に新しいトラストポイントを設定することはできません。このコマンドの no 形式を使用して設定をクリアして、トラストポイントがいずれのクライアント検証にも使用できないようにすることができます。
リモート アクセス VPN では、配置の要件に応じて、セキュア ソケット レイヤ(SSL)VPN、IP Security(IPsec)、またはこの両方を使用して、すべてのネットワーク アプリケーションまたはリソースにアクセスを許可できます。
関連コマンド
|
|
|
|---|---|
vdi
モバイル デバイスで実行される Citrix Receiver アプリケーションの XenDesktop および XenApp VDI サーバへのセキュアなリモート アクセスを ASA 経由で提供するには、 vdi コマンドを使用します。
vdi type citrix url url domain domain username username password password
構文の説明
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VDI モデルでは、管理者は、企業アプリケーションが事前にロードされているデスクトップをパブリッシュし、エンド ユーザは、これらのデスクトップにリモート アクセスします。これらの仮想リソースは、ユーザが Citrix Access Gateway を移動してアクセスする必要がないように、電子メールなどのその他のリソースと同様に表示されます。ユーザは Citrix Receiver モバイル クライアントを使用して ASA にログオンし、ASA は事前定義された Citrix XenApp または XenDesktop サーバに接続されます。ユーザが Citrix の仮想化されたリソースに接続する場合に、Citrix サーバのアドレスおよびクレデンシャルをポイントするのではなく、ASA の SSL VPN IP アドレスおよびクレデンシャルを入力するように、管理者は [Group Policy] で Citrix サーバのアドレスおよびログオン クレデンシャルを設定する必要があります。ASA がクレデンシャルを確認したら、受信側クライアントは ASA 経由で許可されているアプリケーションの取得を開始します。
サポートされているモバイル デバイス
例
ユーザ名とグループ ポリシーが両方とも設定されている場合、ユーザ名の設定は、グループ ポリシーに優先します。
<password>
<password>]
関連コマンド
|
|
|
|---|---|
verify
ファイルのチェックサムを確認するには、特権 EXEC モードで verify コマンドを使用します。
verify { /md5 | sha-512 } path [ expected_value ]
構文の説明
デフォルト
現在のフラッシュ デバイスがデフォルトのファイル システムです。
(注) /md5 または /sha-512 オプションを指定する場合、FTP、HTTP、TFTP などのネットワーク ファイルをソースとして使用できます。/md5 または /sha-512 オプションを指定せずに verify コマンドを使用した場合は、フラッシュのローカル イメージのみを確認できます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
verify コマンドを使用して、ファイルを使用する前にそのチェックサムを確認します。
ディスクで配布される各ソフトウェア イメージでは、イメージ全体に対して 1 つのチェックサムが使用されます。このチェックサムは、イメージをフラッシュ メモリにコピーする場合にのみ表示され、イメージ ファイルをあるディスクから別のディスクにコピーする場合は表示されません。
新しいイメージをロードまたは複製する前に、そのイメージのチェックサムと MD5 情報を記録しておき、イメージをフラッシュ メモリまたはサーバにコピーするときにチェックサムを確認できるようにします。Cisco.com では、さまざまなイメージ情報を入手できます。
フラッシュ メモリの内容を表示するには、 show flash コマンドを使用します。フラッシュ メモリの内容のリストには、個々のファイルのチェックサムは含まれません。イメージをフラッシュ メモリにコピーした後で、そのイメージのチェックサムを再計算して確認するには、 verify コマンドを使用します。ただし、 verify コマンドでは、ファイルがファイル システムに保存された後にのみ、整合性チェックを実行します。破損しているイメージが ASA に転送され、検出されずにファイル システムに保存される場合があります。破損しているイメージが正常に ASA に転送されると、ソフトウェアはイメージが壊れていることを把握できず、ファイルの確認が正常に完了します。
メッセージ ダイジェスト 5(MD5)ハッシュ アルゴリズムを使用してファイルを検証するには、 /md5 オプションを指定して verify コマンドを使用します。MD5(RFC 1321 で規定)は、一意の 128 ビットのメッセージ ダイジェストを作成することによってデータ整合性を確認するアルゴリズムです。 verify コマンドの /md5 オプションを使用すると、ASA ソフトウェア イメージの MD5 チェックサム値を、その既知の MD5 チェックサム値と比較することによって、イメージの整合性を確認できます。すべてのセキュリティ アプライアンスのソフトウェア イメージの MD5 値は、ローカル システムのイメージの値と比較するために、Cisco.com から入手できるようになっています。SHA-512( /sha-512 )を指定することもできます。
MD5 または SHA-512 整合性チェックを行うには、 /md5 または /sha-512 キーワードを使用して verify コマンドを発行します。たとえば、 verify /md5 flash:cdisk.bin コマンドを発行すると、ソフトウェア イメージの MD5 値が計算され、表示されます。この値を、Cisco.com で入手できるこのイメージの値と比較します。
または、まず Cisco.com から MD5 値を取得し、その値をコマンド構文で指定できます。たとえば、 verify /md5 flash:cdisk.bin 8b5f3062c4cacdbae72571440e962233 コマンドを発行すると、MD5 値が一致するかどうかを示すメッセージが表示されます。MD5 値が一致しない場合は、いずれかのイメージが破損しているか、または入力した MD5 値が正しくありません。
例
次に、cdisk.bin というイメージ ファイルに対して使用された verify コマンドの例を示します。わかりやすくするために、一部のテキストは省略されています。
次に、disk0 の署名イメージに対して使用された verify コマンドの例を示します。
関連コマンド
|
|
|
|---|---|
verify-header
既知の IPv6 拡張ヘッダーだけを許可し、IPv6 拡張ヘッダーの順序を適用するには、パラメータ コンフィギュレーション モードで verify-header コマンドを適用します。パラメータ コンフィギュレーション モードにアクセスするには、まず policy-map type inspect ipv6 コマンドを入力します。これらのパラメータを無効にするには、このコマンドの no 形式を使用します。
verify-header { order | type }
no verify-header { order | type }
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、IPv6 インスペクション ポリシー マップの order および type パラメータをディセーブルにします。
関連コマンド
|
|
|
|---|---|
version
ASA でグローバルに使用する RIP のバージョンを指定するには、ルータ コンフィギュレーション モードで version コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。
構文の説明
デフォルト
ASA は、バージョン 1 およびバージョン 2 のパケットを受信しますが、送信するのはバージョン 1 のパケットのみです。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
インターフェイスで rip send version コマンドと rip receive version コマンドを入力することによって、インターフェイスごとにグローバルな設定を上書きすることができます。
RIP バージョン 2 を指定した場合は、ネイバー認証をイネーブルにし、MD5 ベースの暗号化を使用して、RIP アップデートを認証できます。
例
次に、すべてのインターフェイスで RIP バージョン 2 のパケットを送受信するように ASA を設定する例を示します。
関連コマンド
|
|
|
|---|---|
virtual http
仮想 HTTP サーバを設定するには、グローバル コンフィギュレーション モードで virtual http コマンドを使用します。仮想サーバをディセーブルにするには、このコマンドの no 形式を使用します。
virtual http ip_address [ warning ]
no virtual http ip_address [ warning ]
構文の説明
ASA 上の仮想 HTTP サーバの IP アドレスを設定します。このアドレスは必ず、ASA にルーティングされる未使用のアドレスにしてください。 |
|
(任意)HTTP 接続 を ASA にリダイレクトする必要があることをユーザに通知します。このキーワードは、リダイレクトが自動的に行われないテキストベースのブラウザにのみ適用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
ASA で HTTP 認証を使用する場合は( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、ASAで基本 HTTP 認証がデフォルトで使用されます。 redirect キーワードを指定した aaa authentication listener を使用して、ASA が HTTP 接続を ASA によって生成された Web ページにリダイレクトするように認証方式を変更できます。
ただし、基本 HTTP 認証の使用を続行する場合は、HTTP 認証をカスケードするときに virtual http コマンドが必要になることがあります。
ASA に加えて宛先 HTTP サーバで認証が必要な場合は、 virtual http コマンドを使用して、ASA(AAA サーバ経由)と HTTP サーバで別々に認証を受けることができます。仮想 HTTP を使用しない場合は、ASA に対する認証で使用したものと同じユーザ名とパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名とパスワードを別に入力するように求められることはありません。AAA サーバと HTTP サーバでユーザ名とパスワードが異なる場合、HTTP 認証は失敗します。
このコマンドは、AAA 認証を必要とするすべての HTTP 接続を ASA 上の仮想 HTTP サーバにリダイレクトします。ASA により、AAA サーバのユーザ名とパスワードの入力を求めるプロンプトが表示されます。AAA サーバがユーザを認証すると、ASA は HTTP 接続を元のサーバにリダイレクトして戻しますが、AAA サーバのユーザ名とパスワードは含めません。HTTP パケットにユーザ名とパスワードが含まれていないため、HTTP サーバによりユーザに HTTP サーバのユーザ名とパスワードの入力を求めるプロンプトが別途表示されます。
着信ユーザ(セキュリティの低い方から高い方へ向かう)については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 HTTP アドレスも含める必要があります。さらに、NAT が必要ない場合でも( no nat-control コマンドを使用)、仮想 HTTP IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます(アドレスを同一アドレスに変換)。
発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 HTTP アドレスへのアクセスを許可してください。 static ステートメントは不要です。
(注) virtual http コマンドを使用する場合は、timeout uauth コマンドの期間を 0 秒に設定しないでください。設定すると、実際の Web サーバへの HTTP 接続ができなくなります。
例
次に、AAA 認証とともに仮想 HTTP をイネーブルにする例を示します。
関連コマンド
|
|
|
virtual http コマンドをイネーブルにする場合は、このコマンドを使用すると、ブラウザ キャッシュ内のユーザ名とパスワードを使用して仮想サーバに再接続できます。 |
|
ASA 上に仮想 Telnet サーバを設定して、認証を必要とする他のタイプの接続を開始する前に、ユーザを ASA で認証できるようにします。 |
virtual telnet
ASA 上に仮想 Telnet サーバを設定するには、グローバル コンフィギュレーション モードで virtual telnet コマンドを使用します。ASA によって認証プロンプトが表示されない他のタイプのトラフィックに対する認証が必要な場合は、仮想 Telnet サーバでユーザを認証する必要があります。サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
ASA 上の仮想 Telnet サーバの IP アドレスを設定します。このアドレスは必ず、ASA にルーティングされる未使用のアドレスにしてください。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
任意のプロトコルまたはサービスのネットワーク アクセス認証を設定できますが( aaa authentication match コマンドまたは aaa authentication include コマンドを参照)、HTTP、Telnet、または FTP のみで直接認証することもできます。ユーザがまずこれらのサービスのいずれかで認証を受けておかないと、他のサービスは通過を許可されません。HTTP、Telnet、または FTP の ASA の通過を許可せず、その他のタイプのトラフィックを認証する場合は、ASA 上で設定された所定の IP アドレスにユーザが Telnet で接続し、ASA によって Telnet プロンプトが表示されるように、仮想 Telnet を設定できます。
authentication match コマンドまたは aaa authentication include コマンドを使用して、仮想 Telnet アドレスおよび認証するその他のサービスへの Telnet アクセスに対する認証を設定する必要があります。
認証が済んでいないユーザが仮想 Telnet IP アドレスに接続すると、ユーザはユーザ名とパスワードを求められ、その後 AAA サーバにより認証されます。認証されると、ユーザに [Authentication Successful.] というメッセージが表示されます。これで、ユーザは認証が必要な他のサービスにアクセスできます。
着信ユーザ(セキュリティの低い方から高い方へ向かう)については、送信元インターフェイスに適用されるアクセス リストに宛先インターフェイスとして仮想 Telnet アドレスも含める必要があります。さらに、NAT が必要ない場合でも( no nat-control コマンドを使用)、仮想 Telnet IP アドレスに対する static コマンドを追加する必要があります。通常、アイデンティティ NAT コマンドが使用されます(アドレスを同一アドレスに変換)。
発信ユーザについては、トラフィックの許可は明示的に行われますが、内部インターフェイスにアクセス リストを適用する場合は、必ず仮想 Telnet アドレスへのアクセスを許可してください。 static ステートメントは不要です。
例
次に、他のサービスに対する AAA 認証とともに仮想 Telnet をイネーブルにする例を示します。
関連コマンド
vlan(グループポリシー)
VLAN をグループ ポリシーに割り当てるには、グループ ポリシー コンフィギュレーション モードで vlan コマンドを使用します。グループ ポリシーのコンフィギュレーションから VLAN を削除し、デフォルトのグループ ポリシーの VLAN 設定に置き換えるには、このコマンドの no 形式を使用します。
[ no ] vlan { vlan_id | none }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドでは、このグループ ポリシーに割り当てられているセッションの出力 VLAN インターフェイスを指定します。ASA は、このグループのすべてのトラフィックを指定された VLAN に転送します。VLAN を各グループ ポリシーに割り当ててアクセス コントロールを簡素化できます。このコマンドは、セッション上のトラフィックをフィルタリングする ACL の代わりに使用します。
VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンは、VLAN マッピング オプションでは使用しないでください。vlan-mapping 設定によってパケットが間違ってルーティングされる可能性があるため、これらのインスペクション エンジンは、vlan-mapping 設定を無視します。
例
次のコマンドでは、VLAN 1 をグループ ポリシーに割り当てます。
次のコマンドでは、VLAN マッピングをグループ ポリシーから削除します。
関連コマンド
|
|
|
|---|---|
vlan(インターフェイス)
VLAN ID をサブインターフェイスに割り当てるには、インターフェイス コンフィギュレーション モードで vlan コマンドを使用します。VLAN ID を削除するには、このコマンドの no 形式を使用します。サブインターフェイスでは、トラフィックを通過させるために VLAN ID が必要です。VLAN サブインターフェイスを使用して、1 つの物理インターフェイスに複数の論理インターフェイスを設定できます。VLAN を使用すると、所定の物理インターフェイス上で複数のセキュリティ コンテキストなどのトラフィックを別々に保管できます。
vlan id [ secondary vlan_range ]
no vlan [ secondary vlan_range ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。 |
|
使用上のガイドライン
1 つのプライマリ VLAN と 1 つまたは複数のセカンダリ VLAN を設定できます。ASA はセカンダリ VLAN でトラフィックを受信すると、それをプライマリ VLAN にマップします。トラフィックがサブインターフェイスを通過するには、各サブインターフェイスに VLAN ID が必要となります。VLAN ID を変更するために no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を指定して vlan コマンドを入力すると、ASA によって古い ID が変更されます。リストからいくつかのセカンダリ VLAN を削除するには、 no コマンドを使用して削除する VLAN のみをリストすることができます。リストされた VLAN のみを選択的に削除できます。たとえば、範囲内の 1 つの VLAN を削除することはできません。
サブインターフェイスをイネーブルにするには、 no shutdown コマンドを使用して物理インターフェイスをイネーブルにする必要があります。サブインターフェイスをイネーブルにする場合、通常は、物理インターフェイスをトラフィックが通過しないようにします。これは、物理インターフェイスはタグなしパケットを通過させるためです。したがって、インターフェイスを停止することによって物理インターフェイスを介したトラフィックの通過を防止することはできません。代わりに、 nameif コマンドを省略することによって、トラフィックが物理インターフェイスを通過しないようにします。物理インターフェイスでタグなしパケットを通過させる場合は、通常どおり nameif コマンドを設定できます。
サブインターフェイスの最大数は、プラットフォームによって異なります。プラットフォームごとのサブインターフェイスの最大数については、CLI 設定ガイドを参照してください。
例
次に、VLAN 101 をサブインターフェイスに割り当てる例を示します。
次に、一連のセカンダリ VLAN を VLAN 200 にマップする例を示します。
次に、リストからセカンダリ VLAN 503 を削除する例を示します。
次に、Catalyst 6500 でどのように VLAN マッピングが機能するのかを示します。ノードを PVLANS に接続する方法については、Catalyst 6500 の設定ガイドを参照してください。
関連コマンド
|
|
|
|---|---|
vpdn group
VPDN グループを作成または編集し、PPPoE クライアントを設定するには、グローバル コンフィギュレーション モードで vpdn group コマンドを使用します。コンフィギュレーションからグループ ポリシーを削除するには、このコマンドの no 形式を使用します。
vpdn group group_name { localname username | request dialout pppoe | ppp authentication { chap | mschap | pap }}
no vpdn group group_name { localname name | request dialout pppoe | ppp authentication { chap | mschap | pap }}
(注) PPPoE は、ASA でフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バーチャル プライベート ネットワーク(VPDN)は、リモート ダイヤルイン ユーザとプライベート ネットワーク間の長距離のポイントツーポイント接続を提供するために使用します。セキュリティ アプライアンス上の VDPN では、レイヤ 2 トンネリング技術の PPPoE を使用して、リモート ユーザからパブリック ネットワーク経由のプライベート ネットワークへのダイヤルアップ ネットワーク接続を確立します。
PPPoE は、Point-to-Point Protocol(PPP)over Ethernet です。PPP は、IP、IPX、ARA などのネットワーク層プロトコルで動作するように設計されています。PPP には、セキュリティ メカニズムとして CHAP と PAP も組み込まれています。
PPPoE 接続のセッション情報を表示するには、 show vpdn session pppoe コマンドを使用します。コンフィギュレーションからすべての vpdn group コマンドを削除して、すべてのアクティブな L2TP トンネルと PPPoE トンネルを停止するには、 clear configure vpdn group コマンドを使用します。 clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。
PPPoE は PPP をカプセル化するため、PPPoE は PPP を使用して、認証および VPN トンネル内で動作しているクライアント セッションに対する ECP 機能と CCP 機能を実行します。さらに、PPP によって PPPoE に IP アドレスが割り当てられるため、PPPoE と DHCP の併用はサポートされません。
(注) PPPoE に VPDN グループが設定されていない場合、PPPoE は接続を確立できません。
PPPoE に使用する VPDN グループを定義するには、 vpdn group group_name request dialout pppoe コマンドを使用します。次に、インターフェイス コンフィギュレーション モードで pppoe client vpdn group コマンドを使用して、VPDN グループを特定のインターフェイス上の PPPoE クライアントに関連付けます。
ISP が認証を要求している場合は、 vpdn group group_name ppp authentication { chap | mschap | pap } コマンドを使用して、ISP で使用される認証プロトコルを選択します。
ISP によって割り当てられたユーザ名を VPDN グループに関連付けるには、 vpdn group group_name localname username コマンドを使用します。
PPPoE 接続用のユーザ名とパスワードのペアを作成するには、 vpdn username username password password コマンドを使用します。ユーザ名は、PPPoE に指定した VPDN グループにすでに関連付けられているユーザ名にする必要があります。
(注) ISP で CHAP または MS-CHAP が使用されている場合、ユーザ名はリモート システム名、パスワードは CHAP シークレットと呼ばれることがあります。
PPPoE クライアント機能はデフォルトでオフになっているため、VPDN の設定後、 ip address if_name pppoe [ setroute ] コマンドを使用して PPPoE をイネーブルにします。setroute オプションを指定すると、デフォルト ルートが存在しない場合にデフォルト ルートが作成されます。
PPPoE の設定後すぐに、セキュリティ アプライアンスは通信する PPPoE アクセス コンセントレータを探します。PPPoE 接続が正常終了または異常終了すると、ASA は通信する新しいアクセス コンセントレータを探します。
次の ip address コマンドは、PPPoE セッションの開始後に使用しないでください。使用すると、PPPoE セッションが終了します。
例
次に、VDPN グループ telecommuters を作成し、PPPoE クライアントを設定する例を示します。
関連コマンド
|
|
|
|---|---|
vpdn username
PPPoE 接続用のユーザ名とパスワードのペアを作成するには、グローバル コンフィギュレーション モードで vpdn username コマンドを使用します。
vpdn username username password password [ store-local ]
no vpdn username username password password [ store-local ]
(注) PPPoE は、ASA でフェールオーバーを設定している場合、またはマルチ コンテキスト モードやトランスペアレント モードではサポートされません。PPPoE がサポートされるのは、フェールオーバーを設定していない、シングル モード、ルーテッド モードの場合だけです。
構文の説明
ユーザ名とパスワードをセキュリティ アプライアンス上の NVRAM の特別な場所に保存します。Auto Update Server が clear config コマンドをセキュリティ アプライアンスに送信し、接続が中断されると、セキュリティ アプライアンスは NVRAM からユーザ名とパスワードを読み取り、アクセス コンセントレータに対して再認証できます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
VPDN ユーザ名は、 vpdn group group_name localname username コマンドで指定された VPDN グループにすでに関連付けられているユーザ名にする必要があります。
clear configure vpdn username コマンドは、すべての vpdn username コマンドをコンフィギュレーションから削除します。
例
次に、パスワードが telecommuter 9/8 の bob_smith という VPDN ユーザ名を作成する例を示します。
関連コマンド
|
|
|
|---|---|
vpn-access-hours
グループ ポリシーを設定済み time-range ポリシーに関連付けるには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-access-hours コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから time-range 値を継承できます。値が継承されないようにするには、 vpn-access-hours none コマンドを使用します。
vpn-access hours value { time-range } | none
構文の説明
VPN アクセス時間をヌル値に設定して、time-range ポリシーを許可しないようにします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、FirstGroup というグループ ポリシーを 824 という time-range ポリシーに関連付ける例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-access-hours 824
関連コマンド
|
|
|
|---|---|
vpn-addr-assign
IPv4 アドレスをリモート アクセス クライアントに割り当てる方法を指定するには、グローバル コンフィギュレーション モードで vpn-addr-assign コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no バージョンを使用します。設定されている VPN アドレスの割り当て方法を ASA からすべて削除するには、引数なしで、このコマンドの no 形式を使用します。
vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}
no vpn-addr-assign { aaa | dhcp | local [reuse-delay delay]}
構文の説明
解放された IP アドレスを再利用するまでの遅延時間。指定できる範囲は 0 ~ 480 分です。デフォルトは 0(ディセーブル)です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP を選択する場合は、 dhcp-network-scope コマンドを使用して、DHCP サーバが使用できる IP アドレスの範囲も定義する必要があります。DHCP サーバが使用する IP アドレスを指定するには、dhcp-server コマンドを使用する必要があります。
ローカルを選択する場合は、 ip-local-pool コマンドを使用して、使用する IP アドレスの範囲を定義する必要があります。次に、 vpn-framed-ip-address コマンドと vpn-framed-netmask コマンドを使用して、IP アドレスとネットマスクを個々のユーザに割り当てます。
ローカル プールを使用する場合は、reuse-delay delay オプションを使用して、解放された IP アドレスを再利用するまでの遅延時間を調整します。遅延時間を長くすると、IP アドレスがプールに戻されて即座に再割り当てされるときにファイアウォールで発生する可能性がある問題を回避できます。
例
次に、アドレス割り当て方法として DHCP を設定する例を示します。
ciscoasa(config)# vpn-addr-assign dhcp
関連コマンド
|
|
|
|---|---|
ASA DHCP サーバがグループ ポリシーのユーザにアドレスを割り当てるために使用する IP アドレスの範囲を指定します。 |
|
vpn-mode
クラスタに VPN モードを指定するには、クラスタ グループ設定モードで vpn-mode コマンドを使用します。vpn-mode のクラスタリング コマンドを使用すると、管理者は集中型モードと分散型モードを切り替えることができます。VPN モードをリセットするには、このコマンドの no 形式を使用します。CLI のバックアップ オプションを使用すると、管理者は VPN セッションのバックアップを別のシャーシに作成するかどうかを設定できます。このコマンドの no 形式を使用すると、設定はデフォルト値に戻ります。
vpn-mode [centralized | distributed][backup {flat | remote-chassis}]
[no] vpn-mode [centralized | distributed {flat | remote-chassis}]
デフォルト
構文の説明
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フラット バックアップ モードでは、他のクラスタ メンバーにスタンバイ セッションが確立されます。これにより、ユーザはブレード障害から保護されますが、シャーシ障害の保護は保証されません。
リモートシャーシ バックアップ モードでは、クラスタ内の別のシャーシのメンバーにスタンバイ セッションが確立されます。これにより、ユーザはブレード障害とシャーシ障害の両方から保護されます。
リモートシャーシが単一のシャーシ環境(意図的に構成されたものまたは障害の結果)で構成されている場合、別のシャーシが結合されるまでバックアップは作成されません。
例
関連コマンド
|
|
|
|---|---|
vpnclient connect
設定済みサーバへの Easy VPN Remote 接続の確立を試行するには、グローバル コンフィギュレーション モードで vpnclient connect コマンドを使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
例
次に、設定済み EasyVPN サーバへの Easy VPN リモート接続の確立を試行する例を示します。
ciscoasa(config)# vpnclient connect
ciscoasa(config)#
vpnclient enable
Easy VPN Remote 機能をイネーブルにするには、グローバル コンフィギュレーション モードで vpnclient enable コマンドを使用します。Easy VPN Remote 機能をディセーブルにするには、このコマンドの no 形式を使用します。
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
vpnclient enable コマンドを入力すると、サポートされる ASA は Easy VPN Remote ハードウェア クライアントとして機能します。
例
次に、Easy VPN Remote 機能をイネーブルにする例を示します。
ciscoasa(config)# vpnclient enable
ciscoasa(config)#
次に、Easy VPN Remote 機能をディセーブルにする例を示します。
ciscoasa(config)# no vpnclient enable
ciscoasa(config)#
vpnclient ipsec-over-tcp
Easy VPN Remote ハードウェア クライアントとして動作している ASA を、TCP カプセル化 IPsec を使用するように設定するには、グローバル コンフィギュレーション モードで vpnclient ipsec-over-tcp コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient ipsec-over-tcp [ port tcp_port ]
構文の説明
( port キーワードを指定する場合は必須)TCP カプセル化 IPsec トンネルに使用する TCP ポート番号を指定します。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
デフォルトでは、Easy VPN クライアントおよびサーバは、IPsec を User Datagram Protocol(UDP)パケットにカプセル化します。一部の環境(特定のファイアウォール ルールが設定されている環境など)または NAT デバイスや PAT デバイスでは、UDP を使用できません。そのような環境で標準のカプセル化セキュリティ プロトコル(ESP、プロトコル 50)またはインターネット キー交換(IKE、UDP 500)を使用するには、TCP パケット内に IPsec をカプセル化してセキュアなトンネリングをイネーブルにするようにクライアントとサーバを設定します。ただし、UDP が許可されている環境では、IPsec over TCP を設定すると不要なオーバーヘッドが発生します。
TCP カプセル化 IPsec を使用するように ASA を設定する場合は、次のコマンドを入力して、外部インターフェイスを介して大きなパケットを送信できるようにします。
このコマンドは、Don't Fragment(DF)ビットをカプセル化されたヘッダーからクリアします。DF ビットは、パケットを断片化できるかどうかを決定する IP ヘッダー内のビットです。このコマンドを使用すると、Easy VPN ハードウェア クライアントは MTU サイズよりも大きいパケットを送信できます。
例
次に、デフォルト ポート 10000 を使用して TCP カプセル化 IPsec を使用するように Easy VPN Remote ハードウェア クライアントを設定し、外部インターフェイスを介して大きなパケットを送信できるようにする例を示します。
ciscoasa(config)# vpnclient ipsec-over-tcp
ciscoasa(config)#
次に、ポート 10501 を使用して TCP カプセル化 IPsec を使用するように Easy VPN Remote ハードウェア クライアントを設定し、外部インターフェイスを介して大きなパケットを送信できるようにする例を示します。
ciscoasa(config)# vpnclient ipsec-over-tcp port 10501
ciscoasa(config)#
vpnclient mac-exempt
Easy VPN Remote 接続の背後にあるデバイスに対して個々のユーザ認証要件を免除するには、グローバル コンフィギュレーション モードで vpnclient mac-exempt コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient mac-exempt mac_addr_1 mac_mask_1 [ mac_addr_2 mac_mask_2...mac_addr_n mac_mask_n ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
Cisco IP Phone、無線アクセス ポイント、プリンタなどのデバイスは、認証を実行できないため、個々のユニット認証がイネーブルになっている場合でも認証されません。個々のユーザ認証がイネーブルになっている場合は、このコマンドを使用してこれらのデバイスの認証を免除できます。デバイスに対する個々のユーザ認証の免除は、「デバイス パススルー」とも呼ばれます。
このコマンドでは、MAC アドレスとマスクは、3 つの 16 進数をピリオドで区切って指定します。たとえば、MAC マスク ffff.ffff.ffff は、指定した MAC アドレスとのみ一致します。すべてがゼロの MAC マスクは、いずれの MAC アドレスとも一致しません。MAC マスク ffff.ff00.0000 は、製造業者が同じであるすべてのデバイスと一致します。
(注) ヘッドエンド デバイス上で設定された個別ユーザ認証およびユーザ バイパスが必要です。たとえば、ヘッドエンド デバイスとして ASA がある場合は、グループ ポリシーに従って次のように設定します。
ciscoasa(config-group-policy)# user-authentication enable
ciscoasa(config-group-policy)# ip-phone-bypass enable
例
Cisco IP Phone には、製造業者 ID として 00036b が設定されています。したがって、次のコマンドは、今後追加される可能性がある Cisco IP Phone も含めてすべての Cisco IP Phone を免除します。
ciscoasa(config)# vpnclient mac-exempt 0003.6b00.0000 ffff.ff00.0000
ciscoasa(config)#
次に、1 つの特定の Cisco IP Phone を免除する例を示します。このようにすると、セキュリティは向上しますが、柔軟性が低くなります。
ciscoasa(config)# vpnclient mac-exempt 0003.6b54.b213 ffff.ffff.ffff
ciscoasa(config)#
vpnclient management
Easy VPN Remote ハードウェア クライアントへの管理アクセス用の IPsec トンネルを生成するには、グローバル コンフィギュレーション モードで vpnclient management コマンドを使用します。
vpnclient management tunnel ip_addr_1 ip_mask_1 [ ip_addr_2 ip_mask_2...ip_addr_n ip_mask_n ]
実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。これにより、管理専用の IPsec トンネルが split-tunnel-policy コマンドと split-tunnel-network-list コマンドに従って設定されます。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
ASA 5505 のコンフィギュレーションに次のコマンドが含まれていることを前提とします。
- vpnclient vpngroup :Easy VPN サーバで認証に使用するトンネル グループと IKE 事前共有キーを指定します。
- vpnclient trustpoint :認証に使用する RSA 証明書を識別するトラストポイントを指定します。
(注) NAT デバイスでスタティック NAT マッピングを追加しなければ、NAT デバイスの背後にある ASA のパブリック アドレスにはアクセスできません。
(注) コンフィギュレーションにかかわらず、DHCP 要求(更新メッセージを含む)は IPSec トンネル上を流れません。vpnclient management tunnel を使用しても、DHCP トラフィックは許可されません。
例
次に、ASA 5505 の外部インターフェイスから IP アドレスとマスクの組み合わせが 192.168.10.10 255.255.255.0 であるホストへの IPsec トンネルを生成する例を示します。
ciscoasa(config)# vpnclient management tunnel 192.168.10.0 255.255.255.0
ciscoasa(config)#
次に、IPsec を使用しないで ASA 5505 の外部インターフェイスへの管理アクセスを提供する例を示します。
vpnclient mode
クライアント モードまたはネットワーク拡張モードの Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient mode コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient mode { client-mode | network-extension-mode }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
Easy VPN クライアントは、クライアント モードまたは NEM のいずれかの動作モードをサポートします。動作モードによって、企業ネットワークからトンネル経由で内部ホスト(Easy VPN クライアントから見た場合の内部ホスト)に接続できるかどうかが決まります。Easy VPN クライアントにはデフォルト モードがないため、接続前に動作モードを指定する必要があります。
- クライアント モードでは、Easy VPN クライアントは、内部ホストからのすべての VPN トラフィックに対してポート アドレス変換(PAT)を実行します。このモードでは、ハードウェア クライアント(デフォルトの RFC 1918 アドレスが割り当てられています)の内部アドレスまたは内部ホストに対する IP アドレス管理は必要ありません。PAT により、企業ネットワークから内部ホストにはアクセスできません。
- NEM では、内部ネットワーク上のすべてのノードおよび内部インターフェイスに企業ネットワークでルーティング可能なアドレスが割り当てられます。内部ホストには、企業ネットワークからトンネル経由でアクセスできます。内部ネットワーク上のホストには、アクセス可能なサブネットから IP アドレスが(スタティックに、または DHCP によって)割り当てられます。ネットワーク拡張モードの場合、PAT は VPN トラフィックに適用されません。
(注) Easy VPN ハードウェア クライアントが NEM を使用し、セカンダリ サーバに接続している場合は、各ヘッドエンド デバイスで crypto map set reverse-route コマンドを使用して、逆ルート注入(RRI)によるリモート ネットワークのダイナミック通知を設定します。
例
次に、クライアント モードの Easy VPN Remote 接続を設定する例を示します。
ciscoasa(config)# vpnclient mode client-mode
ciscoasa(config)#
次に、NEM の Easy VPN Remote 接続を設定する例を示します。
ciscoasa(config)# vpnclient mode network-extension-mode
ciscoasa(config)#
vpnclient nem-st-autoconnect
NEM およびスプリット トンネリングが設定されている場合に、IPsec データ トンネルを自動的に開始するように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient nem-st-autoconnect コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
no vpnclient nem-st-autoconnect
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
vpnclient nem-st-autoconnect コマンドを入力する前に、ハードウェア クライアントのネットワーク拡張モードがイネーブルになっていることを確認します。ネットワーク拡張モードを使用すると、ハードウェア クライアントは、単一のルーティング可能なネットワークを VPN トンネルを介してリモート プライベート ネットワークに提供できます。IPsec は、ハードウェア クライアントの背後にあるプライベート ネットワークから ASA の背後にあるネットワークへのトラフィックをすべてカプセル化します。PAT は適用されません。したがって、ASA の背後にあるデバイスは、ハードウェア クライアントの背後にある、トンネルを介したプライベート ネットワーク上のデバイスに直接アクセスできます。これはトンネルを介した場合に限ります。逆の場合も同様です。ハードウェア クライアントがトンネルを開始する必要があります。トンネルのアップ後、いずれの側からでもデータ交換を開始できます。
(注) ネットワーク拡張モードをイネーブルするように Easy VPN サーバを設定する必要もあります。そのためには、グループ ポリシー コンフィギュレーション モードで nem enable コマンドを使用します。
ネットワーク拡張モードでは、スプリット トンネリングが設定されている場合を除き、IPsec データ トンネルが自動的に開始し、保持されます。
例
次に、スプリット トンネリングが設定されたネットワーク拡張モードで自動的に接続するように Easy VPN Remote 接続を設定する例を示します。グループ ポリシー FirstGroup のネットワーク拡張モードがイネーブルになっています。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# nem enable
ciscoasa(config)# vpnclient nem-st-autoconnect
ciscoasa(config)#
関連コマンド
|
|
|
|---|---|
vpnclient server
Easy VPN Remote 接続用のプライマリおよびセカンダリ IPsec サーバを設定するには、グローバル コンフィギュレーション モードで vpnclient server コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient server ip_primary_address [ ip_secondary_address_1 ... ipsecondary_address_10 ]
構文の説明
プライマリ Easy VPN(IPsec)サーバの IP アドレスまたは DNS 名。ASA または VPN 3000 コンセントレータ シリーズは、Easy VPN サーバとして機能できます。 |
|
(任意)最大 10 台のバックアップ Easy VPN サーバの IP アドレスまたは DNS 名のリスト。スペースを使用して、リスト内の項目を区切ります。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
接続を確立する前にサーバを設定する必要があります。 vpnclient server コマンドでは、IPv4 アドレス、名前データベース、または DNS 名がサポートされ、アドレスはその順に解決されます。
例
次に、名前 headend-1 をアドレス 10.10.10.10 に関連付け、 vpnclient server コマンドを使用して 3 台のサーバ(headend-dns.example.com(プライマリ)、headend-1(セカンダリ)、および 192.168.10.10(セカンダリ))を指定する例を示します。
ciscoasa(config)# names
次に、VPN クライアントに IP アドレスが 10.10.10.15 のプライマリ IPsec サーバおよび IP アドレスが 10.10.10.30 と 192.168.10.45 のセカンダリ サーバを設定する例を示します。
ciscoasa(config)# vpnclient server 10.10.10.15 10.10.10.30 192.168.10.10
ciscoasa(config)#
vpnclient server-certificate
証明書マップによって指定された特定の証明書を持つ Easy VPN サーバへの接続のみを受け入れるように Easy VPN Remote 接続を設定するには、グローバル コンフィギュレーション モードで vpnclient server-certificate コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient server-certificate certmap_name
no vpnclient server-certificate
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
このコマンドを使用して、Easy VPN サーバ証明書のフィルタリングをイネーブルにします。証明書マップ自体は、crypto ca certificate map コマンドと crypto ca certificate chain コマンドを使用して定義します。
例
次に、homeservers という名前の証明書マップを持つ Easy VPN サーバへの接続のみをサポートするように Easy VPN Remote 接続を設定する例を示します。
ciscoasa(config)# vpnclient server-certificate homeservers
ciscoasa(config)#
関連コマンド
|
|
|
|---|---|
vpnclient trustpoint
Easy VPN Remote 接続で使用する RSA アイデンティティ証明書を設定するには、グローバル コンフィギュレーション モードで vpnclient trustpoint コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient trustpoint trustpoint_name [ chain ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
crypto ca trustpoint コマンドを使用してトラストポイントを定義します。トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。トラストポイント サブモード内のコマンドは、CA 固有のコンフィギュレーション パラメータを制御します。これらのパラメータでは、ASA が CA 証明書を取得する方法、ASA が CA から証明書を取得する方法、および CA が発行するユーザ証明書の認証ポリシーを指定します。
例
次に、central という名前の特定のアイデンティティ証明書を使用し、証明書チェーン全体を送信するように Easy VPN Remote 接続を設定する例を示します。
ciscoasa(config)# vpnclient trustpoint central chain
ciscoasa(config)#
関連コマンド
|
|
|
|---|---|
vpnclient username
Easy VPN Remote 接続の VPN ユーザ名とパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient username コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient username xauth_username password xauth password
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
XAUTH ユーザ名とパスワードのパラメータは、セキュア ユニット認証がディセーブルで、サーバが XAUTH クレデンシャルを要求する場合に使用します。セキュア ユニット認証がイネーブルの場合、これらのパラメータは無視され、ASA によって、ユーザにユーザ名とパスワードの入力を求めるプロンプトが表示されます。
例
次に、XAUTH ユーザ名 testuser とパスワード ppurkm1 を使用するように Easy VPN Remote 接続を設定する例を示します。
ciscoasa(config)# vpnclient username testuser password ppurkm1
ciscoasa(config)#
vpnclient vpngroup
Easy VPN Remote 接続の VPN トンネル グループ名とパスワードを設定するには、グローバル コンフィギュレーション モードで vpnclient vpngroup コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpnclient vpngroup group_name password preshared_key
構文の説明
Easy VPN サーバで設定された VPN トンネル グループの名前を指定します。最大の長さは 64 文字で、スペースは使用できません。 |
|
デフォルト
Easy VPN Remote ハードウェア クライアントとして動作している ASA の設定でトンネル グループが指定されていない場合、クライアントは RSA 証明書を使用しようとします。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Easy VPN Remote ハードウェア クライアントとして動作している ASA(リリース 7.2(1) ~ 9.2 を実行する ASA 5505、リリース 9.5(1) 以降を実行する ASA 5506 または 5508 モデル)にのみ適用されます。
例
次に、グループ名が TestGroup1、パスワードが my_key123 の VPN トンネル グループを Easy VPN Remote 接続に設定する例を示します。
ciscoasa(config)# vpnclient vpngroup TestGroup1 password my_key123
ciscoasa(config)#
関連コマンド
|
|
|
|---|---|
vpn-filter
VPN 接続に使用する ACL の名前を指定するには、グローバル ポリシーまたはユーザ名モードで vpn - filter コマンドを使用します。 vpn - filter none コマンドを発行して作成したヌル値を含む ACL を削除するには、このコマンドの no 形式を使用します。 no オプションを使用すると、値を別のグループ ポリシーから継承できるようになります。値が継承されないようにするには、 vpn-filter none コマンドを使用します。
このユーザまたはグループ ポリシーに対する、さまざまなタイプのトラフィックを許可または拒否するには、ACL を設定します。次に、 vpn-filter コマンドを使用して、それらの ACL を適用します。
vpn-filter { value ACL name | none }
構文の説明
アクセス リストがないことを示します。ヌル値を設定して、アクセス リストを使用できないようにします。アクセス リストを他のグループ ポリシーから継承しないようにします。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
IPv4 および IPv6 ACL のサポートが追加されました。マルチ コンテキスト モードのサポートが追加されました。 |
|
IPv4 および IPv6 ACL のサポートが追加されました。廃止されたコマンド ipv6-vpn-filter が IPv6 ACL を指定するために誤って使用された場合、接続は終了します。 |
使用上のガイドライン
クライアントレス SSL VPN では、 vpn-filter コマンドで定義された ACL は使用されません。
設計上、vpn-filter 機能では、インバウンド方向のトラフィックだけにフィルタを適用できます。アウトバウンド ルールは自動的にコンパイルされます。icmp アクセス リストを作成するときに、方向フィルタを適用する場合は、アクセス リスト形式で icmp タイプを指定しないでください。
例
次に、FirstGroup という名前のグループ ポリシーの、acl_vpn というアクセス リストを呼び出すフィルタを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-filter value acl_vpn
関連コマンド
|
|
|
|---|---|
vpn-framed-ip-address
個々のユーザに割り当てる IPv4 アドレスを指定するには、ユーザ名モードで vpn - framed-ip-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ip-address { ip_address } { subnet_mask }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、anyuser という名前のユーザに IP アドレス 10.92.166.7 を設定する例を示します。
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ip-address 10.92.166.7 255.255.255.254
vpn-framed-ipv6-address
ユーザに専用の IPv6 アドレスを割り当てるには、ユーザ名モードで vpn - framed-ipv6-address コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
vpn - framed-ipv6-address ip_address/subnet_mask
no vpn - framed-ipv6-address ip_address/subnet_mask
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 anyuser という名前のユーザに IP アドレスとネットマスク 2001::3000:1000:2000:1/64 を設定する例を示します。このアドレスは、プレフィックス値 2001:0000:0000:0000 およびインターフェイス ID 3000:1000:2000:1 を示しています。
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-framed-ipv6-address 2001::3000:1000:2000:1/64
関連コマンド
|
|
|
|---|---|
vpn-group-policy
ユーザが設定済みのグループ ポリシーから属性を継承するようにするには、ユーザ名コンフィギュレーション モードで vpn-group-policy コマンドを使用します。グループ ポリシーをユーザ コンフィギュレーションから削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、ユーザはユーザ名レベルで設定されていない属性を継承できます。
vpn-group-policy {group-policy name}
no vpn-group-policy {group-policy name}
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
特定ユーザのグループ ポリシーの属性値を上書きするには、その値をユーザ名モードで設定します(その属性をユーザ名モードで使用できる場合)。
例
次に、FirstGroup という名前のグループ ポリシーから属性を使用するように anyuser という名前のユーザを設定する例を示します。
ciscoasa(config)# username anyuser attributes
ciscoasa(config-username)# vpn-group-policy FirstGroup
関連コマンド
|
|
|
|---|---|
vpn-idle-timeout
ユーザ タイムアウト期間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-idle-timeout コマンドを使用します。この期間中に接続上で通信アクティビティがない場合、ASA は接続を終了します。任意で、タイムアウトのアラート間隔をデフォルトの 1 分から延長できます。
実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーからタイムアウト値を継承できます。値が継承されないようにするには、 vpn-idle-timeout none コマンドを使用します。
vpn-idle-timeout { minutes | none} [alert-interval minutes ]
no vpn-idle-timeout alert-interval
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
AnyConnect クライアントは、SSL および IKEv2 接続のセッション再開をサポートします。この機能により、エンド ユーザ デバイスはスリープ モードに移行し、WiFi または同様の接続を失い、戻り時に同じ接続を再開できます。
例
次の例は、「FirstGroup」という名前のグループ ポリシーに 15 分の VPN アイドル タイムアウトを設定する方法を示しています。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-idle-timeout 30
セキュリティ アプライアンスは、vpn-idle-timeout 値が 0 の場合、または値が有効な範囲に該当しない場合にユーザに対して値が定義されていない場合、default-idle-timeout 値を使用します。
関連コマンド
vpn load-balancing
VPN ロード バランシングおよび関連機能を設定できる VPN ロード バランシング モードを開始するには、グローバル コンフィギュレーション モードで vpn load-balancing コマンドを使用します。
(注) VPN ロード バランシングを使用するには、Plus ライセンス付きの ASA 5510、または ASA 5520 以降が必要です。また、VPN ロード バランシングには、アクティブな 3DES/AES ライセンスも必要です。セキュリティ アプライアンスは、ロード バランシングをイネーブルにする前に、この暗号ライセンスが存在するかどうかをチェックします。アクティブな 3DES または AES のライセンスが検出されない場合、セキュリティ アプライアンスはロード バランシングをイネーブルにせず、ライセンスでこの使用方法が許可されていない場合には、ロード バランシング システムによる 3DES の内部コンフィギュレーションも抑止します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ロード バランシング クラスタには、セキュリティ アプライアンス モデル 5510(Plus ライセンス付き)または ASA 5520 以降を含めることができます。VPN 3000 シリーズのコンセントレータも含めることができます。混合コンフィギュレーションは可能ですが、通常は、同種クラスタにする方が容易に管理できます。
vpn load-balancing コマンドを使用して、VPN ロード バランシング モードを開始します。VPN ロード バランシング モードでは、次のコマンドを使用できます。
例
次に、 vpn load-balancing コマンドの例を示します。プロンプトが変わる点に注意してください。
次に、interface コマンドを含む VPN load-balancing コマンド シーケンスの例を示します。interface コマンドでは、クラスタのパブリック インターフェイスを「test」、クラスタのプライベート インターフェイスを「foo」と指定しています。
関連コマンド
|
|
|
|---|---|
vpn-sessiondb
VPN セッションまたは AnyConnect クライアント VPN セッションの最大数を指定するには、グローバル コンフィギュレーション モードで vpn-sessiondb コマンドを使用します。コンフィギュレーションから制限を削除するには、このコマンドの no 形式を使用します。
vpn-sessiondb {max-anyconnect-premium-or-essentials-limit number | max-other-vpn-limit number}
構文の説明
| AnyConnect クライアント セッション以外の VPN セッションの最大数を指定します(1 ~ライセンスで許可される最大セッションまで)。これには、Cisco VPN Client(IPsec IKEv1)および LAN-to-LAN VPN が含まれます。 |
||
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、最大 AnyConnect セッションを 200 に設定する例を示します。
関連コマンド
|
|
|
|---|---|
vpn-sessiondb logoff
すべての VPN セッションまたは選択した VPN セッションをログオフするには、グローバル コンフィギュレーション モードで vpn-sessiondb logoff コマンドを使用します。
vpn-sessiondb logoff { all | anyconnect | email-proxy | index index_number | ipaddress IPaddr | l2l | name username | protocol protocol-name | ra-ikev1-ipsec | ra-ikev2-ipsec | tunnel-group groupname | vpn-lb | webvpn } [noconfirm]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、すべての AnyConnect クライアント セッションをログオフする例を示します。
次に、すべての IPsec セッションをログオフする例を示します。
vpn-session-timeout
VPN 接続に許可される最大時間を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-session-timeout コマンドを使用します。この期間が終了すると、ASA は接続を終了します。任意で、タイムアウトのアラート間隔をデフォルトの 1 分から延長できます。
実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーからタイムアウト値を継承できます。値が継承されないようにするには、 vpn-session-timeout none コマンドを使用します。
vpn-session-timeout { minutes | none } [ alert-interval minutes ]
no vpn-session-timeout alert-interval
構文の説明
タイムアウト期間の分数、およびタイムアウト アラートまでの分数を指定します。1 ~ 35791394 の整数を使用します。 |
|
無制限のセッション タイムアウト期間を許可します。セッション タイムアウトにヌル値を設定して、セッション タイムアウトを拒否します。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、FirstGroup という名前のグループ ポリシーに対して 180 分の VPN セッション タイムアウトを設定する例を示します。
関連コマンド
vpnsetup
ASA で VPN 接続を設定するための手順のリストを表示するには、グローバル コンフィギュレーション モードで vpnsetup コマンドを使用します。
vpnsetup {ipsec-remote-access | l2tp-remote-access | site-to-site | ssl-remote-access} steps
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
例
次に、 vpnsetup ssl-remote-access steps コマンドの出力例を示します。
関連コマンド
|
|
|
vpn-simultaneous-logins
ユーザに許可される同時ログイン数を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-simultaneous-logins コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーの値を継承できます。ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。
vpn-simultaneous-logins { integer }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ログインをディセーブルにしてユーザのアクセスを禁止するには、0 を入力します。
(注) 同時ログイン数の最大制限は非常に大きい値ですが、複数の同時ログインを許可すると、セキュリティが侵害されたり、パフォーマンスが低下したりすることがあります。
失効した AnyConnect、IPsec クライアント、またはクライアントレス セッション(異常終了したセッション)は、同じユーザ名で「新しい」セッションが確立されても、セッション データベースに残る場合があります。
vpn-simultaneous-logins の値が 1 の場合は、異常終了後に同じユーザが再度ログインすると、失効したセッションはデータベースから削除され、新しいセッションが確立されます。ただし、既存のセッションがまだアクティブな接続である場合は、同じユーザが別の PC などから再度ログインすると、最初のセッションがログオフし、データベースから削除されて、新しいセッションが確立されます。
同時ログイン数が 1 より大きい値の場合、その最大数に達した状態で再度ログインしようとすると、最もアイドル時間の長いセッションがログオフします。現在のすべてのセッションが同じくらい長い間アイドル状態の場合は、最も古いセッションがログオフします。このアクションにより、セッションが解放されて新しいログインが可能になります。
例
次に、FirstGroup という名前のグループ ポリシーに対して最大 4 つの同時ログインを許可する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 4
vpn-tunnel-protocol
VPN トンネル タイプ(IKEv1 または IKEv2 による IPsec、あるいは IPsec、SSL、またはクライアントレス SSL を介した L2TP)を設定するには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで vpn-tunnel-protocol コマンドを使用します。実行コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。
vpn-tunnel-protocol { ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless }
no vpn-tunnel-protocol { ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用して、1 つ以上のトンネリング モードを設定します。VPN トンネルを介して接続するユーザには、少なくとも 1 つのトンネリング モードを設定する必要があります。
(注) IPsec から SSL へのフォールバックをサポートするには、vpn-tunnel-protocol コマンドに svc 引数と ipsec 引数の両方を設定する必要があります。
例
次に、「FirstGroup」という名前のグループ ポリシーに対して WebVPN トンネリング モードと IPsec トンネリング モードを設定する例を示します。
ciscoasa(config)# group-policy FirstGroup attributes
ciscoasa(config-group-policy)# vpn-tunnel-protocol webvpn
ciscoasa(config-group-policy)# vpn-tunnel-protocol IPsec
関連コマンド
|
|
|
vtep-nve
VXLAN VNI インターフェイスと VTEP 送信元インターフェイスを関連付けるには、インターフェイス コンフィギュレーション モードで vtep-nve コマンドを使用します。アソシエーションを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ASA ごと、またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを設定できます。この VTEP 送信元インターフェイスを指定する NVE インスタンスを 1 つ設定できます。すべての VNI インターフェイスはこの NVE インスタンスに関連付けられている必要があります。
例
次に、GigabitEthernet 1/1 インターフェイスを VTEP 送信元インターフェイスとして設定し、VNI 1 インターフェイスをそれに関連付ける例を示します。
ciscoasa(config-if)# nameif vxlan1000
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
ciscoasa(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# mcast-group 236.0.0.100
関連コマンド
vxlan port
VXLAN UDP ポートを設定するには、グローバル コンフィギュレーション モードで vxlan port コマンドを使用します。デフォルト ポートに戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、VTEP 送信元インターフェイスは UDP ポート 4789 への VXLAN トラフィックを受け入れます。ネットワークで標準以外のポートを使用する場合は、それを変更できます。
フィードバック