packet-tracer コマンド～ pwd コマンド

(1)

C H A P T E R

21

(2)

第 21 章 packet-tracer コマンド～ pwd コマンド packet-tracer

packet-tracer

パケットスニッフィングおよびネットワーク障害隔離を実行するパケットトレース機能をイネーブルにするには、特権 EXEC コンフィギュレーションモードで packet-tracer コマンドを使用します。パケットキャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed]

[xml]

no packet-tracer

構文の説明デフォルトこのコマンドには、デフォルト設定はありません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインパケットのキャプチャに加えて、セキュリティアプライアンスを通過するパケットのライフスパンをトレースすることで、パケットが想定どおりに動作しているかどうかを確認できます。packet-tracer コマンドを使用すると、次の処理ができます。 • 実動ネットワークのすべてのパケットドロップをデバッグする。 • コンフィギュレーションが意図したとおりに機能していることを確認する。 • パケットに適用可能なすべてのルールと、そのルールが追加される原因となった CLI コマンド行を表示する。 input src_int パケットトレースの送信元インターフェイスを指定します。 protocol パケットトレースのプロトコルタイプを指定します。利用できるプロトコルタイプのキーワードは、icmp、rawip、tcp、または udp です。

src_addr パケットトレースの送信元アドレスを指定します。 src_port パケットトレースの送信元ポートを指定します。 dest_addr パケットトレースの宛先アドレスを指定します。 dest_port パケットトレースの宛先ポートを指定します。 detailed （任意）詳細なパケットトレース情報を提供します。 xml （任意）XML 形式でトレースキャプチャを表示します。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム特権 EXEC モード •

—

• • • リリース変更内容 7.2(1) このコマンドが追加されました。

(3)

第 21 章 packet-tracer コマンド～ pwd コマンド packet-tracer • データパス内でのパケット変化を時系列で表示する。 • トレーサパケットをデータパスに挿入する。 packet-tracer コマンドを使用すると、パケットに関する詳細情報、およびパケットがセキュリティアプライアンスによってどのように処理されたかが表示されます。コンフィギュレーションからのコマンドが原因でパケットがドロップしたのではない場合、packet-tracer コマンドにより、原因に関する詳細な情報が読みやすい形式で表示されます。たとえば、ヘッダーの検証が無効なためにパケットがドロップされた場合、「packet dropped due to bad ip header (reason)」というメッセージが表示されます。

例内部ホスト 10.2.25.3 から外部ホスト 209.165.202.158 へのパケットについて、パケットトレースをイ

ネーブルにして詳細情報を表示するには、次のように入力します。

hostname# packet-tracer input inside tcp 10.2.25.3 www 209.165.202.158 aol detailed

page style

WebVPN ユーザがセキュリティアプライアンスに接続したときに表示される WebVPN ページをカス

タマイズするには、webvpn カスタマイゼーションコンフィギュレーションモードで page style コマ

ンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするに

は、このコマンドの no 形式を使用します。

page style value

[no] page style value

構文の説明

デフォルトデフォルトのページスタイルは、background-color:white;font-family:Arial,Helv,sans-serif です。

コマンドモード次の表は、このコマンドを入力できるモードを示しています。

コマンド履歴

使用上のガイドライン style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラ

メータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World

Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。

『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。 • カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。 • RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。 • HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、

value Cascading Style Sheet（CSS）パラメータ（最大 256 文字）。

コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム webvpn カスタマイゼーションコンフィギュレーション • — • — — リリース変更内容 7.1(1) このコマンドが追加されました。

(5)

第 21 章 packet-tracer コマンド～ pwd コマンド

page style

例次に、ページスタイルを large にカスタマイズする例を示します。

F1-asa1(config)# webvpn

F1-asa1(config-webvpn)# customization cisco

F1-asa1(config-webvpn-custom)# page style font-size:large

logo WebVPN ページのロゴをカスタマイズします。

(6)

第 21 章 packet-tracer コマンド～ pwd コマンド pager

pager

Telnet セッションで「---more---」プロンプトが表示されるまでのデフォルトのページ行数を設定す

るには、グローバルコンフィギュレーションモードで pager コマンドを使用します。

pager [lines] lines

構文の説明デフォルトデフォルトは 24 行です。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインこのコマンドは、Telnet セッション用のデフォルトのページ行設定を変更します。現在のセッションのみに対して一時的に設定を変更する場合は、terminal pager コマンドを使用します。管理コンテキストに Telnet で接続した場合、pager コマンドの設定が異なる他のコンテキストに変更しても、ページ行設定は使用中のセッションに従います。現在の pager 設定を変更するには、新しい設

定で terminal pager コマンドを入力するか、pager コマンドを現在のコンテキストで入力します。

pager コマンドは、コンテキストコンフィギュレーションに新しい pager 設定を保存する以外に、新し

い設定を現在の Telnet セッションに適用します。

例次に、表示される行数を 20 に変更する例を示します。

hostname(config)# pager 20

[lines] lines 「---more---」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。

デフォルトは 24 行です。0 は、ページの制限がないことを示します。指定できる範囲は 0 ～ 2147483647 行です。lines キーワードは任意です。このキーワードの有無にかかわらず、コマンドは同じです。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムグローバルコンフィギュレーション • • • • • リリース変更内容 7.0(1) このコマンドは、特権 EXEC モードコマンドからグローバルコンフィギュレーションモードコマンドに変更されました。terminal pager コマンドが特権 EXEC モードコマンドとして追加されました。

(7)

pager

clear configure terminal 端末の表示幅設定をクリアします。 show running-config terminal 現在の端末設定を表示します。

terminal システムログメッセージが Telnet セッションで表示されるように

します。

terminal pager Telnet セッションで「---more---」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width グローバルコンフィギュレーションモードでの端末の表示幅を設

(8)

第 21 章 packet-tracer コマンド～ pwd コマンド parameters

parameters

パラメータコンフィギュレーションモードを開始して、インスペクションポリシーマップのパラメータを設定するには、ポリシーマップコンフィギュレーションモードで parameters コマンドを使用します。

parameters

構文の説明このコマンドには、引数またはキーワードはありません。デフォルトデフォルトの動作や値はありません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインモジュラポリシーフレームワークを使用すると、多くのアプリケーションインスペクションに対して特別なアクションを設定できます。レイヤ 3/4 のポリシーマップ（policy-map コマンド）で、inspect

コマンドを使用してインスペクションエンジンをイネーブルにする場合は、policy-map type inspect

コマンドで作成されたインスペクションポリシーマップで定義されているアクションを、オプションでイネーブルにすることもできます。たとえば、inspect dns dns_policy_map コマンドを入力します。 dns_policy_map は、インスペクションポリシーマップの名前です。インスペクションポリシーマップは、1 つ以上の parameters コマンドをサポートする場合があります。パラメータはインスペクションエンジンの動作に影響します。パラメータコンフィギュレーションモードで使用できるコマンドは、アプリケーションによって異なります。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムポリシーマップコンフィギュレーション • • • • — リリース変更内容 7.2(1) このコマンドが追加されました。

(9)

parameters

例次に、デフォルトのインスペクションポリシーマップ内に DNS パケットの最大メッセージ長を設定

する例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map hostname(config-pmap)# parameters

hostname(config-pmap-p)# message-length maximum 512

関連コマンドコマンド説明 class ポリシーマップのクラスマップ名を指定します。 class-map type inspect アプリケーション固有のトラフィックを照合するためのインスペクションクラスマップを作成します。 policy-map レイヤ 3/4 のポリシーマップを作成します。 show running-config policy-map 現在のポリシーマップコンフィギュレーションをすべて表示します。

(10)

第 21 章 packet-tracer コマンド～ pwd コマンド participate

participate

デバイスを仮想ロードバランシングクラスタに強制的に参加させるには、VPN ロードバランシングコンフィギュレーションモードで participate コマンドを使用します。クラスタに参加しているデバイスをクラスタから削除するには、このコマンドの no 形式を使用します。

participate

no participate

構文の説明このコマンドには、引数またはキーワードはありません。デフォルトデフォルト動作では、デバイスは VPN ロードバランシングクラスタには参加しません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドライン VPN ロードバランシングモードを開始するには、interface コマンドおよび nameif コマンドを使用してインターフェイスを設定してから、vpn load-balancing コマンドを使用する必要があります。また、事前に cluster ip コマンドを使用してクラスタの IP アドレスを設定し、仮想クラスタの IP アドレスが参照するインターフェイスを設定しておく必要があります。このコマンドは、このデバイスを強制的に仮想ロードバランシングクラスタに参加させます。デバイスの参加をイネーブルにするには、このコマンドを明示的に発行する必要があります。同じクラスタに参加しているすべてのデバイスは、同一のクラスタ固有の値（IP アドレス、暗号化設定、暗号キー、およびポート）を共有する必要があります。

（注）暗号化を使用する場合は、事前に isakmp enable inside コマンドを設定しておく必要があります。

inside には、load-balancing inside インターフェイスを指定します。load-balancing inside インター

フェイス上で isakmp がイネーブルになっていない場合、クラスタ暗号化を設定しようとするとエラー

メッセージが表示されます。

cluster encryption コマンドを設定したときには isakmp がイネーブルであった場合でも、participate

コマンドを設定する前にディセーブルにした場合は、participate コマンドの入力時にエラーメッセーコマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム VPN ロードバランシングコンフィギュレーション • — • — — リリース変更内容 7.0(1) このコマンドが追加されました。

(11)

participate

例次に、現在のデバイスの VPN ロードバランシングクラスタへの参加をイネーブルにする participate

コマンドが含まれた、VPN ロードバランシングコマンドシーケンスの例を示します。

hostname(config)# interface GigabitEthernet 0/1

hostname(config-if)# ip address 209.165.202.159 255.255.255.0 hostname(config)# nameif test

hostname(config)# interface GigabitEthernet 0/2

hostname(config-if)# ip address 209.165.201.30 255.255.255.0 hostname(config)# nameif foo

hostname(config)# vpn load-balancing

hostname(config-load-balancing)# interface lbpublic test hostname(config-load-balancing)# interface lbprivate foo

hostname(config-load-balancing)# cluster ip address 209.165.202.224 hostname(config-load-balancing)# participate

(12)

第 21 章 packet-tracer コマンド～ pwd コマンド passive-interface

passive-interface

インターフェイスでの RIP ルーティングアップデートの送信をディセーブルにするには、ルータコンフィギュレーションモードで passive-interface コマンドを使用します。インターフェイスでの RIP ルーティングアップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface {default | if_name}

no passive-interface {default | if_name}

構文の説明

デフォルトすべてのインターフェイスは RIP がイネーブルの場合にアクティブ RIP に対してイネーブルになります。

インターフェイスまたは default キーワードが指定されていない場合、コマンドはデフォルトの

default となり、コンフィギュレーションにはpassive-interface defaultと表示されます。

コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインインターフェイス上で受動 RIP をイネーブルにします。インターフェイスは RIP ルーティングブロードキャストをリッスンし、その情報を使用してルーティングテーブルに値を入力しますが、ルーティングアップデートはブロードキャストしません。例次に、outside インターフェイスを受動 RIP に設定する例を示します。セキュリティアプライアンスのその他のインターフェイスは RIP アップデートを送受信します。

hostname(config)# router rip

hostname(config-router)# network 10.0.0.0

hostname(config-router)# passive-interface outside

default （任意）すべてのインターフェイスを受動モードに設定します。 if_name （任意）指定したインターフェイスを受動モードに設定します。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムルータコンフィギュレーション • — • — — リリース変更内容 7.2(1) このコマンドが追加されました。

(13)

passive-interface

clear configure rip 実行コンフィギュレーションからすべての RIP コマンドをクリアします。

router rip RIP ルーティングプロセスをイネーブルにし、RIP ルータコンフィギュ

レーションモードを開始します。

show running-config

(14)

第 21 章 packet-tracer コマンド～ pwd コマンド passive-interface（EIGRP）

passive-interface

（

EIGRP

）

インターフェイスでの EIGRP ルーティングアップデートの送受信をディセーブルにするには、ルータコンフィギュレーションモードで passive-interface コマンドを使用します。インターフェイスでのルーティングアップデートを再びイネーブルにするには、このコマンドの no 形式を使用します。

passive-interface {default | if_name}

no passive-interface {default | if_name}

構文の説明デフォルト対象のインターフェイスに対してルーティングがイネーブルになっている場合、すべてのインターフェイスはアクティブルーティング（ルーティングアップデートの送受信）がイネーブルになります。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインインターフェイスのパッシブルーティングをイネーブルにします。EIGRP の場合、このコマンドにより対象のインターフェイスでのルーティングアップデートの送受信がディセーブルになります。 EIGRP コンフィギュレーションには、複数の passive-interface コマンドを含めることができます。

passive-interface default コマンドを使用してすべてのインターフェイスで EIGRP ルーティングを

ディセーブルにしてから、no passive-interface コマンドを使用して特定のインターフェイスで EIGRP

ルーティングをイネーブルにできます。

例次に、outside インターフェイスを受動 EIGRP に設定する例を示します。セキュリティアプライアン

スのその他のインターフェイスは EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100 hostname(config-router)# network 10.0.0.0

hostname(config-router)# passive-interface outside

default （任意）すべてのインターフェイスを受動モードに設定します。 if_name （任意）nameif コマンドで指定された、受動モードにするインターフェイスの名前。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムルータコンフィギュレーション • — • — — リリース変更内容 7.2(1) このコマンドが追加されました。 8.0(2) EIGRP ルーティングのサポートが追加されました。

(15)

passive-interface（EIGRP）

次に、inside インターフェイス以外のすべてのインターフェイスを受動 EIGRP に設定する例を示しま

す。inside インターフェイスだけが EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100 hostname(config-router)# network 10.0.0.0

hostname(config-router)# passive-interface default hostname(config-router)# no passive-interface inside

show running-config router

実行コンフィギュレーションのルータコンフィギュレーションコマンド

(16)

第 21 章 packet-tracer コマンド～ pwd コマンド passwd

passwd

ログインパスワードを設定するには、グローバルコンフィギュレーションモードで passwd コマンドを使用します。パスワードをデフォルトに戻して「cisco」に設定するには、このコマンドの no 形式を使用します。Telnet または SSH を使用して、デフォルトユーザとして CLI にアクセスするときに、ログインパスワードの入力を求められます。ログインパスワードを入力すると、ユーザ EXEC モードが開始されます。

{passwd | password} password [encrypted]

no {passwd | password} password

構文の説明

デフォルトデフォルトのパスワードは「cisco」です。

コマンドモード次の表は、このコマンドを入力できるモードを示しています。

コマンド履歴

使用上のガイドラインこのログインパスワードはデフォルトユーザ用です。aaa authentication console コマンドを使用して

Telnet または SSH のユーザごとに CLI 認証を設定した場合、このパスワードは使用されません。 encrypted （任意）パスワードが暗号化された形式であることを指定します。パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。何らかの理由でパスワードを別の適応型セキュリティアプライアンスにコピーする必要があるのに元のパスワードがわからない場合は、暗号化されたパスワードとこのキーワードを使用して passwd コマンドを入力します。通常、

このキーワードは show running-config passwd コマンドを入力した場合のみ表示されます。 passwd | password どちらのコマンドでも入力できます。これらは互いにエイリアス関係にあります。 password パスワードを、大文字と小文字が区別される最大 80 文字の文字列として設定します。パスワードにスペースを含めることはできません。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムグローバルコンフィギュレーション • • • • — リリース変更内容既存このコマンドは既存です。

(17)

passwd

hostname(config)# passwd Pa$$w0rd

次に、別の適応型セキュリティアプライアンスからコピーした、暗号化されたパスワードをパスワー

ドに設定する例を示します。

hostname(config)# passwd jMorNbK0514fadBh encrypted

clear configure passwd ログインパスワードをクリアします。

enable 特権 EXEC モードを開始します。 enable password イネーブルパスワードを設定します。 show curpriv 現在ログインしているユーザ名とユーザの特権レベルを表示します。 show running-config passwd 暗号化された形式でログインパスワードを表示します。

(18)

第 21 章 packet-tracer コマンド～ pwd コマンド password encryption aes

password encryption aes

パスワードの暗号化をイネーブルにするには、グローバルコンフィギュレーションモードで password

encryption aes コマンドを使用します。パスワードの暗号化をディセーブルにするには、このコマンド

の no 形式を使用します。

password encryption aes

no password encryption aes

構文の説明このコマンドには、引数またはキーワードはありません。デフォルトデフォルトの動作や値はありません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインパスワードの暗号化がオンになり、マスターパスフレーズが使用可能になると、ただちにすべてのユーザパスワードが暗号化されます。実行コンフィギュレーションには、パスワードは暗号化された形式で表示されます。パスワードの暗号化をイネーブルにした時点でパスフレーズが設定されていなくても、パスフレーズは将来的に使用可能になるという前提で、コマンドは成功します。このコマンドは、フェールオーバーピア間で自動的に同期されます。

write erase コマンドに続いて reload コマンドを使用すると、マスターパスフレーズが紛失された場合にパスフレーズが削除されます。

例次に、パスワードの暗号化をイネーブルにする例を示します。

Router (config)# password encryption aes

関連コマンドコマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムグローバルコンフィギュレーション • • • — • リリース変更内容 8.3(1) このコマンドが追加されました。コマンド説明

key config-key password-encryption 暗号キーの生成に使用されるパスフレーズを設定します。

(19)

第 21 章 packet-tracer コマンド～ pwd コマンド password（暗号 CA トラストポイント）

password

（暗号

CA

トラストポイント）

登録中に CA に登録されるチャレンジフレーズを指定するには、暗号 CA トラストポイントコンフィギュレーションモードで password コマンドを使用します。通常、CA はこのフレーズを使用して、その後の失効要求を認証します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

password string

no password

構文の説明デフォルトデフォルトの設定は、パスワードを含めません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインこのコマンドを使用すると、実際の証明書登録を開始する前に、証明書の失効パスワードを指定できます。指定したパスワードは、適応型セキュリティアプライアンスにより、アップデートされたコンフィギュレーションが NVRAM に書き込まれるときに暗号化されます。このコマンドがイネーブルになっていない場合は、証明書登録中にパスワードの入力を求められることはありません。例次に、トラストポイント central の暗号 CA トラストポイントコンフィギュレーションモードを開始し、 CA に登録されたチャレンジフレーズをトラストポイント central の登録要求に含める例を示します。

hostname(config)# crypto ca trustpoint central hostname(ca-trustpoint)# password zzxxyy

string パスワードの名前を文字列として指定します。最初の文字に数字は指定できません。文字列には、80 文字以下の任意の英数字（スペースを含む）を指定できます。数字 - スペース - 任意の文字の形式ではパスワードを指定できません。数字の後にスペースを使用すると、問題が発生します。たとえば、「hello 21」は適切なパスワードですが、「21 hello」は不適切です。パスワードチェックでは、大文字と小文字が区別されます。たとえば、パスワード「Secret」とパスワード「secret」は異なります。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム暗号 CA トラストポイントコンフィギュレーション • • • • • リリース変更内容 7.0 このコマンドが追加されました。

(20)

第 21 章 packet-tracer コマンド～ pwd コマンド password（暗号 CA トラストポイント）

crypto ca trustpoint トラストポイントコンフィギュレーションモードを開始します。 default enrollment 登録パラメータをデフォルト値に戻します。

(21)

第 21 章 packet-tracer コマンド～ pwd コマンド password-management

password-management

パスワード管理をイネーブルにするには、トンネルグループ一般アトリビュートコンフィギュレーションモードで password-management コマンドを使用します。パスワード管理をディセーブルにするには、このコマンドの no 形式を使用します。日数をデフォルト値にリセットするには、 password-expire-in-days キーワードを指定してこのコマンドの no 形式を使用します。

password-management [password-expire-in-days days]

no password-management

no password-management password-expire-in-days [days]

構文の説明デフォルトこのコマンドを指定しない場合、パスワード管理は発生しません。password-expire-in-days キーワードを指定しない場合、デフォルトで現在のパスワードの期限が切れる 14 日前から警告が開始されます。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドライン適応型セキュリティアプライアンスは、RADIUS プロトコルと LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは、LDAP の場合のみサポートされています。パスワード管理は、IPSec リモートアクセスおよび SSL VPN トンネルグループに設定できます。 days 現在のパスワードが期限切れになるまでの日数（0 ～ 180）を指定します。このパラメータは、password-expire-in-days キーワードを指定する場合は必須です。 password-expire-in-days （任意）現在のパスワードが期限切れになるまでの日数がこの直後のパラメータにより指定され、適応型セキュリティアプライアンスからユーザにパスワードの期限切れが迫っていることを知らせる警告が開始されることを示します。このオプションは LDAP サーバでのみ有効です。詳細については、「使用上の注意事項」の項を参照してください。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムトンネルグループ一般アトリビュートコンフィギュレーション • — • — — リリース変更内容 7.1(1) このコマンドが追加されました。

(22)

第 21 章 packet-tracer コマンド～ pwd コマンド password-management password-management コマンドを設定すると、適応型セキュリティアプライアンスは、リモートユーザがログインするときに、そのユーザの現在のパスワードの期限切れが迫っている、または期限が切れたことを通知します。それから適応型セキュリティアプライアンスは、ユーザがパスワードを変更できるようにします。現在のパスワードの期限がまだ切れていない場合、ユーザは引き続き現在のパスワードでログインできます。このコマンドは、このような通知をサポートする AAA サーバに対してのみ有効です。RADIUS または LDAP 認証が設定されていない場合、適応型セキュリティアプライアンスはこのコマンドを無視します。

（注）現在、一部の RADIUS サーバでは、MSCHAP はサポートされていても MSCHAPv2 はサポートされ

ていない場合があります。このコマンドには MSCHAPv2 が必要であるため、ベンダーに確認します。リリース 7.1 以降の適応型セキュリティアプライアンスは、通常、LDAP または MS-CHAPv2 をサポートする任意の RADIUS コンフィギュレーションで認証する場合は、次の接続タイプでのパスワード管理をサポートしています。 • AnyConnect VPN クライアント • IPSec VPN クライアント • クライアントレス SSL VPN

Kerberos/Active Directory（Windows パスワード）または NT 4.0 ドメインの場合は、これらの接続タ

イプのいずれでもパスワード管理はサポートされません。RADIUS サーバ（たとえば Cisco ACS）で

は、認証要求を別の認証サーバにプロキシする場合があります。ただし、適応型セキュリティアプラ

イアンスからは、RADIUS サーバのみに対して通信しているように見えます。

（注） LDAP の場合、市販のさまざまな LDAP サーバに、それぞれ独自のパスワード変更方法があります。

現在、適応型セキュリティアプライアンスは、Microsoft Active Directory および Sun LDAP サーバ独自のパスワード管理ロジックのみを実装しています。

ネイティブ LDAP には SSL 接続が必要です。LDAP のパスワード管理を実行する前に、LDAP over

SSL をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。このコマンドは、パスワードの期限が切れる日までの日数を変更するのではなく、期限が切れる日の何日前から適応型セキュリティアプライアンスからユーザにパスワードの期限切れが迫っていることを知らせる警告を開始するかを変更するものであることに注意してください。 password-expire-in-days キーワードを指定する場合は、日数も指定する必要があります。日数を 0 に設定してこのコマンドを指定すると、このコマンドはディセーブルになります。適応型セキュリティアプライアンスは期限切れが迫っていることをユーザに通知しませんが、ユーザは期限が切れた後でもパスワードを変更できます。例次に、WebVPN トンネルグループ「testgroup」について、パスワードの期限が切れる日の 90 日前からユーザへの期限切れの警告を開始するように設定する例を示します。 hostname(config)# tunnel-group testgroup type webvpn

hostname(config)# tunnel-group testgroup general-attributes

hostname(config-tunnel-general)# password-management password-expire-in-days 90 hostname(config-tunnel-general)#

(23)

password-management

hostname(config)# tunnel-group QAgroup type ipsec-ra hostname(config)# tunnel-group QAgroup general-attributes hostname(config-tunnel-general)# password-management hostname(config-tunnel-general)#

clear configure passwd ログインパスワードをクリアします。

passwd ログインパスワードを設定します。 radius-with-expiry RADIUS 認証中のパスワードアップデートのネゴシエーションをイネーブルにします（廃止）。 show running-config passwd 暗号化された形式でログインパスワードを表示します。 tunnel-group general-attributes トンネルグループ一般アトリビュート値を設定します。

(24)

第 21 章 packet-tracer コマンド～ pwd コマンド password-parameter

password-parameter

SSO 認証用にユーザパスワードを送信する必要がある HTTP POST 要求のパラメータの名前を指定するには、AAA サーバホストコンフィギュレーションモードで password-parameter コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。

password-parameter string

（注） HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。構文の説明デフォルトデフォルトの値や動作はありません。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴

使用上のガイドライン適応型セキュリティアプライアンスの WebVPN サーバは、HTTP POST 要求を使用して、認証 Web

サーバにシングルサインオン認証要求を送信します。必要なコマンド password-parameter は、この POST 要求に SSO 認証用のユーザパスワードパラメータが含まれている必要があることを指定します。（注）ユーザはログイン時に実際のパスワード値を入力します。このパスワード値は POST 要求に入力されて認証 Web サーバに渡されます。例次に、AAA サーバホストコンフィギュレーションモードで user_password という名前のパスワードパラメータを指定する例を示します。

hostname(config)# aaa-server testgrp1 host example.com

hostname(config-aaa-server-host)# password-parameter user_password

string HTTP POST 要求に含まれるパスワードパラメータの名前です。パスワードの長さは最大で 128 文字です。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム AAA サーバホストコンフィギュレーション • — • — — リリース変更内容 7.1(1) このコマンドが追加されました。

(25)

第 21 章 packet-tracer コマンド～ pwd コマンド password-parameter 関連コマンドコマンド説明 action-uri シングルサインオン認証用のユーザ名およびパスワードを受信するための Web サーバ URI を指定します。 auth-cookie-name 認証クッキーの名前を指定します。 hidden-parameter 認証 Web サーバと交換するための非表示パラメータを作成します。 start-url プリログインクッキーを取得する URL を指定します。

user-parameter SSO 認証用にユーザ名を送信する必要がある HTTP POST 要

(26)

第 21 章 packet-tracer コマンド～ pwd コマンド password-prompt

password-prompt

WebVPN ユーザがセキュリティアプライアンスに接続するときに表示される WebVPN ページログインボックスのパスワードプロンプトをカスタマイズするには、webvpn カスタマイゼーションモードで password-prompt コマンドを使用します。

password-prompt {text | style} value

[no] password-prompt {text | style} value

コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。構文の説明デフォルトパスワードプロンプトのデフォルトのテキストは「PASSWORD:」です。パスワードプロンプトのデフォルトのスタイルは color:black;font-weight:bold;text-align:right です。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴

使用上のガイドライン style オプションは有効な Cascading Style Sheet（CSS）パラメータとして表されます。これらのパラ

メータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World

Wide Web Consortium（W3C）の Web サイト（www.w3.org）の CSS 仕様を参照してください。

『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。 • カンマ区切りの RGB 値、HTML の色値、または色の名前（HTML で認識される場合）を使用できます。 • RGB 形式は 0,0,0 で、各色（赤、緑、青）を 0 ～ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。 text テキストを変更することを指定します。 style スタイルを変更することを指定します。

value 実際に表示するテキスト（最大 256 文字）、または Cascading Style Sheet

（CSS）パラメータ（最大 256 文字）です。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム WebVPN カスタマイゼーション • — • — — リリース変更内容 7.1(1) このコマンドが追加されました。

(27)

password-prompt

• HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは

緑を、5 番めと 6 番めは青を表しています。

（注） WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、

色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。

例次に、テキストを「Corporate Password:」に変更して、デフォルトスタイルのフォントウェイトを

bolder に変更する例を示します。

F1-asa1(config)# webvpn

F1-asa1(config-webvpn)# customization cisco

F1-asa1(config-webvpn-custom)# password-prompt text Corporate Username: F1-asa1(config-webvpn-custom)# password-prompt style font-weight:bolder

group-prompt WebVPN ページのグループプロンプトをカスタマイズします。

(28)

第 21 章 packet-tracer コマンド～ pwd コマンド password-storage

password-storage

ユーザがクライアントシステムにログインパスワードを保存できるようにするには、グループポリシーコンフィギュレーションモードまたはユーザ名コンフィギュレーションモードで password-storage enable コマンドを使用します。パスワードの保存をディセーブルにするには、 password-storage disable コマンドを使用します。実行コンフィギュレーションから password-storage アトリビュートを削除するには、このコマンドの no 形式を使用します。こうすることで、password-storage の値を別のグループポリシーから継承できるようになります。

password-storage {enable | disable}

no password-storage

構文の説明デフォルトパスワードの保存はディセーブルです。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインパスワードの保存は、セキュアなサイトにあることが判明しているシステムのみでイネーブルにします。このコマンドは、インタラクティブハードウェアクライアント認証またはハードウェアクライアントの個別ユーザ認証とは関係ありません。例次に、FirstGroup というグループポリシーのパスワードの保存をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes hostname(config-group-policy)# password-storage enable

disable パスワードの保存をディセーブルにします。 enable パスワードの保存をイネーブルにします。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムグループポリシー • — • — — ユーザ名 • — • — — リリース変更内容 7.0 このコマンドが追加されました。

(29)

第 21 章 packet-tracer コマンド～ pwd コマンド peer-id-validate

peer-id-validate

ピアの証明書を使用してピアのアイデンティティを検証するかどうかを指定するには、トンネルグループ ipsec アトリビュートモードで peer-id-validate コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。 peer-id-validate option no peer-id-validate 構文の説明デフォルトこのコマンドのデフォルトの設定は req です。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインこのアトリビュートは、すべての IPSec トンネルグループタイプに適用できます。例次に、config-ipsec コンフィギュレーションモードで 209.165.200.225 という名前の IPSec LAN-to-LAN トンネルグループのピアの証明書のアイデンティティを使用して、ピアの検証を要求する例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes hostname(config-tunnel-ipsec)# peer-id-validate req

hostname(config-tunnel-ipsec)# option 次のいずれかのオプションを指定します。 • req：必須 • cert：証明書によりサポートされている場合 • nocheck：チェックしないコマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムトンネルグループ ipsec アトリビュート • — • — — リリース変更内容 7.0.1 このコマンドが追加されました。

(30)

第 21 章 packet-tracer コマンド～ pwd コマンド peer-id-validate 関連コマンドコマンド説明 clear-configure tunnel-group 設定されているすべてのトンネルグループをクリアします。 show running-config tunnel-group すべてのトンネルグループまたは特定のトンネルグループのトンネルグループコンフィギュレーションを表示します。 tunnel-group ipsec-attributes このグループのトンネルグループ ipsec アトリビュートを設定します。

(31)

perfmon

perfmon

パフォーマンス情報を表示するには、特権 EXEC モードで perfmon コマンドを使用します。

perfmon {verbose | interval seconds | quiet | settings} [detail]

構文の説明デフォルト seconds は 120 秒です。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドライン perfmon コマンドを使用すると、適応型セキュリティアプライアンスのパフォーマンスをモニタできます。情報をただちに表示するには、show perfmon コマンドを使用します。継続して 2 分おきに情報を表示するには、perfmon verbose コマンドを使用します。継続して指定した秒数おきに情報を表示

するには、perfmon interval seconds コマンドと perfmon verbose コマンドを併用します。パフォーマンス情報は次の例のように表示されます。

verbose 適応型セキュリティアプライアンスコンソールにパフォーマンスモニタ情報を

表示します。

interval seconds コンソールのパフォーマンス表示が更新されるまでの秒数を指定します。

quiet パフォーマンスモニタ表示をディセーブルにします。

settings interval を表示し、quiet または verbose のいずれであるかを表示します。 detail パフォーマンスに関する詳細情報を表示します。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム特権 EXEC • • • • リリース変更内容 7.0 適応型セキュリティアプライアンスでこのコマンドがサポートされるようになりました。 7.2(1) detail キーワードのサポートが追加されました。

PERFMON STATS: Current Average

Xlates 33/s 20/s Connections 110/s 10/s TCP Conns 50/s 42/s WebSns Req 4/s 2/s TCP Fixup 20/s 15/s HTTP Fixup 5/s 5/s FTP Fixup 7/s 4/s

(32)

第 21 章 packet-tracer コマンド～ pwd コマンド perfmon この情報には、変換、接続、Websense 要求、アドレス変換（「フィックスアップ」と呼ばれる）、および AAA トランザクションについて、毎秒発生する数がリストされます。例次に、パフォーマンスモニタ統計情報を 30 秒おきに適応型セキュリティアプライアンスコンソールに表示する例を示します。

hostname(config)# perfmon interval 120 hostname(config)# perfmon quiet hostname(config)# perfmon settings interval: 120 (seconds) quiet 関連コマンド AAA Authen 10/s 5/s AAA Author 9/s 5/s AAA Account 3/s 3/s コマンド説明 show perfmon パフォーマンス情報を表示します。

(33)

第 21 章 packet-tracer コマンド～ pwd コマンド periodic

periodic

時間範囲機能をサポートする関数に対して、（週ごとに）反復して発生する時間範囲を指定するには、時間範囲コンフィギュレーションモードで periodic コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

periodic days-of-the-week time to [days-of-the-week] time

no periodic days-of-the-week time to [days-of-the-week] time

構文の説明デフォルト periodic コマンドに値が入力されていない場合、time-range コマンドで定義された適応型セキュリティアプライアンスへのアクセスがただちに有効になり、常時オンとなります。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴 days-of-the-week（任意）1 番めの days-of-the-week 引数には、関連付けられている時間範囲が有効になる日または曜日を指定します。2 番めの days-of-the-week 引数には、関連付けられているステートメントの有効期間が終了する日または曜日を指定します。この引数は、単一の曜日または曜日の組み合わせです（Monday（月曜日）、

Tuesday（火曜日）、Wednesday（水曜日）、Thursday（木曜日）、Friday（金曜

日）、Saturday（土曜日）、および Sunday（日曜日））。他に指定できる値は、次のとおりです。 • daily：月曜日～日曜日 • weekdays：月曜日～金曜日 • weekend：土曜日と日曜日終了の曜日が開始の曜日と同じ場合は、終了の曜日を省略できます。 time 時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。 to 「開始時刻から終了時刻まで」の範囲を入力するには、to キーワードを入力する必要があります。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム時間範囲コンフィギュレーション • • • • — リリース変更内容 7.0(1) このコマンドが追加されました。

(34)

第 21 章 packet-tracer コマンド～ pwd コマンド periodic

使用上のガイドライン時間ベース ACL を実装するには、time-range コマンドを使用して、週および 1 日の中の特定の時刻を

定義します。次に、access-list extended time-range コマンドとともに使用して、時間範囲を ACL にバインドします。

periodic コマンドは、時間範囲をいつ有効にするかを指定する方法の 1 つです。absolute コマンドを使用して絶対期間を指定する方法もあります。これらのコマンドのいずれかを、時間範囲の名前を指定

する time-range グローバルコンフィギュレーションコマンドの後に使用します。time-range コマン

ド 1 つにつき複数の periodic を入力できます。

終了の days-of-the-week 値が開始の days-of-the-week 値と同じ場合、終了の days-of-the-week 値を省

略できます。

time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、periodic コマンドは absolute start 時刻を経過した後にのみ評価の対象になり、absolute end 時刻を経過した後は評価の対象にはなりません。時間範囲機能は、適応型セキュリティアプライアンスのシステムクロックに依存しています。ただし、この機能は NTP 同期を使用すると最適に動作します。例次にいくつかの例を示します。次に、月曜日から金曜日の午前 8 時～午後 6 時のみに適応型セキュリティアプライアンスにアクセスすることを許可する例を示します。

hostname(config-time-range)# periodic weekdays 8:00 to 18:00 hostname(config-time-range)#

次に、特定の曜日（月曜日、火曜日、および金曜日）の午前 10 時 30 分～午後 12 時 30 分に適応型セ

キュリティアプライアンスにアクセスすることを許可する例を示します。

hostname(config-time-range)# periodic Monday Tuesday Friday 10:30 to 12:30 hostname(config-time-range)#

permit errors

無効な GTP パケットを許可する、または許可しないと解析が失敗してドロップされるパケットを許可するには、GTP マップコンフィギュレーションモードで permit errors コマンドを使用します。GTP マップコンフィギュレーションモードには、gtp-map コマンドを使用してアクセスできます。デフォルトの動作（無効なパケットまたは解析中に失敗したパケットはすべてドロップされる）に戻すには、このコマンドの no 形式を使用します。

permit errors

no permit errors

構文の説明このコマンドには、引数またはキーワードはありません。デフォルトデフォルトでは、無効なパケットまたは解析中に失敗したパケットはすべてドロップされます。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドライン無効なパケット、または適応型セキュリティアプライアンスを介して送信されるメッセージのインスペクション中にエラーが発生したパケットを許可し、ドロップされないようにするには、GTP マップコンフィギュレーションモードで permit errors コマンドを使用します。例次に、無効なパケットまたは解析中に失敗したパケットが含まれたトラフィックを許可する例を示します。

hostname(config)# gtp-map qtp-policy hostname(config-gtpmap)# permit errors

コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム GTP マップコンフィギュレーション • • • • — リリース変更内容 7.0(1) このコマンドが追加されました。

(36)

第 21 章 packet-tracer コマンド～ pwd コマンド permit errors 関連コマンドコマンド説明 clear service-policy inspect gtp グローバルな GTP 統計情報をクリアします。 gtp-map GTP マップを定義し、GTP マップコンフィギュレーションモードをイネーブルにします。 inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用します。 permit response ロードバランシング GSN をサポートします。 show service-policy inspect gtp GTP コンフィギュレーションを表示します。

(37)

第 21 章 packet-tracer コマンド～ pwd コマンド permit response

permit response

ロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit response コマンドを使用します。GTP マップコンフィギュレーションモードには、gtp-map コマンドを使用してアクセスできます。適応型セキュリティアプライアンスが、要求の送信先であるホスト以外の GSN から返された GTP 応答をドロップできるようにするには、このコマンドの no 形式を使用します。

permit response to-object-group to_obj_group_id from-object-group from_obj_group_id

no permit response to-object-group to_obj_group_id from-object-group

from_obj_group_id

構文の説明デフォルトデフォルトでは、適応型セキュリティアプライアンスは、要求の送信先であるホスト以外の GSN からの GTP 応答をドロップします。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドラインロードバランシング GSN をサポートするには、GTP マップコンフィギュレーションモードで permit

response コマンドを使用します。permit response コマンドは、応答を送信した宛先の GSN 以外の

GSN からの GTP 応答を許可するように GTP マップを設定します。 from-object-group from_obj_group_id to_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセットに応答を送信できる、object-group コマンドで設定されたオブジェクトグループの名前を指定します。適応型セキュリティアプライアンスは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェクトグループのみをサポートしています。現在、IPv6 アドレスは GTP ではサポートされていません。 to-object-group to_obj_group_id from_obj_group_id 引数で指定したオブジェクトグループ内の GSN のセットから応答を受信できる、object-group コマンドで設定されたオブジェクトグループの名前を指定します。適応型セキュリティアプライアンスは、IPv4 アドレスを持つネットワークオブジェクトが含まれたオブジェクトグループのみをサポートしています。現在、IPv6 アドレスは GTP ではサポートされていません。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステム GTP マップコンフィギュレーション • • • • — リリース変更内容 7.0(4) このコマンドが追加されました。

(38)

第 21 章 packet-tracer コマンド～ pwd コマンド permit response ユーザは、ロードバランシング GSN のプールをネットワークオブジェクトとして指定します。同様に、SGSN をネットワークオブジェクトとして指定します。応答する GSN が、GTP 要求を送信した宛先の GSN と同じオブジェクトグループに属する場合、および応答する GSN が GTP 応答を送信できる宛先のオブジェクトグループに SGSN がある場合、適応型セキュリティアプライアンスはその応答を許可します。例次に、192.168.32.0 ネットワーク上の任意のホストから IP アドレスが 192.168.112.57 のホストへの GTP 応答を許可する例を示します。

hostname(config)# object-group network gsnpool32

hostname(config-network)# network-object 192.168.32.0 255.255.255.0 hostname(config)# object-group network sgsn1

hostname(config-network)# network-object host 192.168.112.57 hostname(config-network)# exit

hostname(config)# gtp-map qtp-policy

hostname(config-gtpmap)# permit response to-object-group sgsn1 from-object-group gsnpool32

関連コマンドコマンド説明 clear service-policy inspect gtp グローバルな GTP 統計情報をクリアします。 gtp-map GTP マップを定義し、GTP マップコンフィギュレーションモードをイネーブルにします。 inspect gtp アプリケーションインスペクションに使用する特定の GTP マップを適用します。 permit errors 無効な GTP パケットを許可します。 show service-policy inspect gtp GTP コンフィギュレーションを表示します。

(39)

第 21 章 packet-tracer コマンド～ pwd コマンド pfs

pfs

PFS をイネーブルにするには、グループポリシーコンフィギュレーションモードで pfs enable コマンドを使用します。PFS をディセーブルにするには、pfs disable コマンドを使用します。実行コンフィギュレーションから PFS アトリビュートを削除するには、このコマンドの no 形式を使用します。

pfs {enable | disable}

no pfs

構文の説明デフォルト PFS はディセーブルです。コマンドモード次の表は、このコマンドを入力できるモードを示しています。コマンド履歴使用上のガイドライン PFS 設定は、VPN クライアントと適応型セキュリティアプライアンスで一致している必要があります。別のグループポリシーからの PFS の値の継承を許可するには、このコマンドの no 形式を使用します。 IPSec ネゴシエーションでは、PFS により、新しい各暗号キーが以前のどのキーとも無関係であることが保証されます。例次に、FirstGroup というグループポリシーの PFS を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes hostname(config-group-policy)# pfs enable disable PFS をディセーブルにします。 enable PFS をイネーブルにします。コマンドモードファイアウォールモードセキュリティコンテキストルーテッドトランスペアレントシングルマルチコンテキストシステムグループポリシーコンフィギュレーション • — • — — リリース変更内容 7.0(1) このコマンドが追加されました。